picasso

dregon proszę odpowiadaj mi tu w temacie posługując się polem szybkiej odpowiedzi na spodzie. Nie twórz osobnych tematów na każdy nowy post, który jest odpowiedzią na moje wypowiedzi tutaj, bo brak logiki i linearności dialogu. Tematy skleiłam. vs. Podejrzewałam, iż będą błędy. Tymi odpadkami zajmę się. Kolejne poprawki: 1. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście SavingsbullFilter > Dalej. 2. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4}_is1 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SmartSaver+ 8 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\DSite FF Plugin-x32: @Google.com/GoogleEarthPlugin -> C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.23.9\npGoogleUpdate3.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.23.9\npGoogleUpdate3.dll No File S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Local\Avg2014 C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Local\BIT1D40.tmp C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Local\BonanzaDealsLive C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Local\cache C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Local\com C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Local\DriverToolkit C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Local\FLT C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Local\genienext C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Local\Lollipop C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Local\nsiCE25.tmp C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Local\Packages C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Local\SaveSense C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Local\SaveSenseLive C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Local\SearchProtect C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Local\SwvUpdater C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Local\Wajam C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Roaming\Activeris C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Roaming\Allmyapps C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Roaming\AVG2014 C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Roaming\DigitalSites C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Roaming\freegames111 C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Roaming\GoforFiles C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Roaming\IminentToolbar C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Roaming\OpenCandy C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Roaming\Optimizer Pro C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Roaming\PerformerSoft C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Roaming\SaveSense C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Roaming\SupTab C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Roaming\sweet-page C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Roaming\systweak C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Roaming\TuneUp Software C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Roaming\ValueApps C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Roaming\WinZipper CMD: sfc /scanfile=C:\Windows\system32\drivers\usbuhci.sys CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Nie przedstawiłeś logów ze spoilera. Najpewniejszy test to tymczasowa deinstalacja. .

Czy Twoja wypowiedź oznacza, iż nie było go od początku instalacji Windows? Jeśli ogólnie chodzi o ten piracki Windows, to nie jestem w stanie stwierdzić czy to jakiś kastrat silnie modyfikowany i co jeszcze jest w nim nie tak. Nie wiadomo też, czy ten kto robił płytę nie zaszył czegoś brzydkiego w nim. Takie nielegalne produkcje mogą mieć backdoory. Jest oczywistym co tu zalecam, tzn. wyposażenie się w oryginalny Windows. Forum nie może wspierać piratów. .

Skrypt wykonany. Usuń E:\frst i popraw za pomocą DelFix. IE jest zintegrowany z systemem, FRST go zresztą wykrył. Czy masz na myśli, że go wyłączyłeś z poziomu komponentów Windows (to tylko ukrywa dostęp do IE)? Jeśli chodzi o aktualizację Adobe Flash, to zważ, że są tu dwie wersje: ==================== Installed Programs ====================== Adobe Flash Player 10 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 10.0.42.34 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 15 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 15.0.0.152 - Adobe Systems Incorporated) ----> wtyczka dla Firefox/Opera Ta druga jest aktualna, ta pierwsza do deinstalacji. .

Oznak czynnej infekcji brak, ale do czyszczenia odpadki adware i zbędne programy. Nowy problem utworzony podczas diagnostki to zainstalowanie starych skanerów do spyware. To programy przeterminowane. Obecnie zaciera się granica zadaniowa i podział na "antywirus" / "antyspyware" to relikt. Nowoczesny antywirus realizuje detekcje różnych typów. Są także inne rodzaje skanerów przystosowane bardziej do bieżcych zagrożeń (np. MBAM, AdwCleaner). Przeprowadź poniższe działania: 1. Przez Dodaj/Usuń programy odinstaluj: - Śmieciarskie programy: ACE Mega CoDecS Pack, Bing Bar, e-trendy, Qtrax Player, Softonic for Windows. Ten kodek pak to wyrób z 2004! - Stare niebezpieczne wersje Java: Java 2 Runtime Environment, SE v1.4.2_03, Java™ 6 Update 20. - Zbędne skanery: Ad-Aware Browsing Protection (odpadek), Browser Guard 4.0 (stary), McAfee Security Scan Plus (prawdopodobnie i tak instalacja sponsorowana), PC Tools Spyware Doctor 9.1 (stary), SpyHunter4 wersja 4.16.5.4290 (wątpliwy program), Spybot - Search & Destroy (przestarzały). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\Witek\DANEAP~1\PRICEM~1\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\At2.job => C:\DOCUME~1\NETWOR~1\DANEAP~1\PRICEM~1\UPDATE~1\UPDATE~1.EXE S2 SpyHunter 4 Service; C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE [X] S3 EsgScanner; C:\WINDOWS\System32\DRIVERS\EsgScanner.sys [19984 2012-06-22] () R0 gfibto; C:\WINDOWS\System32\drivers\gfibto.sys [13560 2012-11-27] (GFI Software) S3 andnetndis; system32\DRIVERS\lgandnetndis.sys [X] S3 Ca2001v; System32\Drivers\Ca2001v.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] HKU\S-1-5-21-823518204-1336601894-725345543-1004\...\Run: [Facebook Update] => "C:\Documents and Settings\Witek\Ustawienia lokalne\Dane aplikacji\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver Startup: C:\Documents and Settings\Gość\Menu Start\Programy\Autostart\OpenOffice.org 3.2.lnk SearchScopes: HKLM - DefaultScope value is missing. Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF Plugin HKCU: @Skype Limited.com/Facebook Video Calling Plugin -> C:\Documents and Settings\Witek\Ustawienia lokalne\Dane aplikacji\Facebook\Video\Skype\npFacebookVideoCalling.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [gacela2@nurago.com] - C:\Program Files\GfK e-trendy\FirefoxAddon.xpi FF HKLM\...\Firefox\Extensions: [{cb84136f-9c44-433a-9048-c5cd9df1dc16}] - C:\Program Files\PC Tools\PC Tools Security\BDT\Firefox FF HKCU\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\Documents and Settings\All Users\Dane aplikacji\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver" C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Dane aplikacji\Ad-Aware Antivirus C:\Documents and Settings\All Users\Dane aplikacji\Ad-Aware Browsing Protection C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\Witek\hpothb07.dat C:\Documents and Settings\Witek\Dane aplikacji\0D1F1S1C1P0P1C1F1N1C1T1H2UtF1E1I C:\Documents and Settings\Witek\Dane aplikacji\Ad-Aware Antivirus C:\Documents and Settings\Witek\Moje dokumenty\sdsetup*.exe C:\Documents and Settings\LocalService\hpothb07.dat C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\System32\DRIVERS\EsgScanner.sys C:\WINDOWS\System32\drivers\gfibto.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia DownloadHelper + Adblock Plus trzeba będzie przeinstalować. 4. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj GfK e-trendy (o ile nadal będzie po w/w deinstalacji). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Wg raportu Windows Defender nie istnieje w systemie (brak usługi i powiązanych plików). Czy w ogóle na dysku jest folder C:\Program Files\Windows Defender? Czy Windows Defender kiedykolwiek działał? Co to za Windows, jak silnie modyfikowany?

Wszystko pomyślnie przetworzone. Widzę też, że IE8 wrócił na miejsce. Kolejna porcja czynności: 1. Był uruchamiany GMER, toteż na wszelki wypadek sprawdź transfer dysku. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: del /q C:\WINDOWS\system32\sqlite3.dll RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\WINDOWS\jumpshot.com DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Dostacz wynikowy fixlog.txt. 3. Wyłącz zbędne wpisy ze startu. W Autoruns w karcie Logon odfajkuj: HKLM\...\Run: [ASUS Camera ScreenSaver] => C:\WINDOWS\ASScrProlog.exe [37232 2013-01-22] () HKLM\...\Run: [WinampAgent] => D:\Wszystko Z Dysku ' C '\Winamp\winampa.exe [74752 2011-03-22] (Nullsoft, Inc.) HKLM\...\Run: [Alcmtr] => C:\WINDOWS\ALCMTR.EXE [69632 2005-05-05] (Realtek Semiconductor Corp.) HKU\S-1-5-21-448539723-2111687655-1801674531-1003\...\Run: [MSMSGS] => C:\Program Files\Messenger\msmsgs.exe [1695232 2008-04-14] (Microsoft Corporation) Startup: C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Autostart\InterVideo WinCinema Manager.lnk W karcie Services wyłącz wpis WMPNetworkSvc. Zresetuj system. Opisz jak się sprawuje system. W planie jest jeszcze diagnostyka dysku. .

Dostarcz pierwszy log z serii, wyciągnij starszy plik C:\FRST\Logs\Fixlog_data_czas.txt.

Zadania czyszczące wykonane. Mimo początkowego komunikatu obie rundy przedstawiają te same wyniki. "Wycinek", czy tym bardziej cały CBS.log nie są mi potrzebne. Tak jak już wskazywał to błąd, plik gameux.dll jest potwierdzony jako uszkodzony i brak alternatywnych kopii w systemie: 2014-09-25 17:37:50, Info CSI 000001cb [sR] Cannot repair member file [l:20{10}]"gameux.dll" of Microsoft-Windows-GameExplorer, Version = 6.1.7601.18020, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2014-09-25 17:37:51, Info CSI 000001cd [sR] Cannot repair member file [l:20{10}]"gameux.dll" of Microsoft-Windows-GameExplorer, Version = 6.1.7601.18020, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2014-09-25 17:37:51, Info CSI 000001ce [sR] This component was referenced by [l:150{75}]"Package_1_for_KB2773072~31bf3856ad364e35~x86~~6.1.1.5.2773072-2_neutral_GDR" 2014-09-25 17:37:51, Info CSI 000001d1 [sR] Could not reproject corrupted file [ml:520{260},l:46{23}]"\??\C:\windows\System32"\[l:20{10}]"gameux.dll"; source file in store is also corrupted Podaj spis wystąpień pliku. W FRST w polu szukania wklej gameux.dll, klik w Search Files i dostarcz wynikowy log. Program startowany via "Uruchom jako Administrator"? .

Temat przenoszę do działu Windows Vista. Tu nie ma oznak czynnej infekcji, problemy są innej natury. Był stosowany jakiś skrypt do OTL - co to było i skąd, podaj log z folderu C:\_OTL. Przedstaw też co robił AdwCleaner dostarczając raporty z C:\AdwCleaner. Na przyszłość: raport FRST skonfigurowany niezgodnie z zaleceniem, sekcja "Drivers MD5" nie miała być zaznaczona. W spoilerze podrzędne akcje i drobne doczyszczanie szczątków adware czy wpisów pustych / zbędnych, lecz to nie ma związku z problemami: Po wykonaniu tego skryptu powiedz czy nadal pojawia się ten komunikat: A jeśli tak, to dostarcz zrzut ekranu to przedstawiający. SpyHunter to program wątpliwej reputacji. W przeszłości był na czarnej liście. Namolnie się reklamuje jako usuwacz infekcji A lub B (umniejszając przy tym wagę konkurencji o znacznie lepszej reputacji), naciska na instalację, po czym się okazuje, że usuwanie wyników nie jest za darmo. W spoilerze już zaleciłam pozbycie się produktów firmy Enigma Software. Nie ma tu żadnego problemu. Jedyne co notuje SFC, to "uszkodzony" plik ustawień paska bocznego settings.ini. Wynik do zignorowania: KB947595. vs. ==================== Faulty Device Manager Devices ============= Name: Microsoft ISATAP Adapter Description: Microsoft ISATAP Adapter Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: Microsoft Service: tunnel Problem: : This device is disabled. (Code 22) Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions. Name: AGPKLWHI IDE Controller Description: AGPKLWHI IDE Controller Class Guid: {4D36E97B-E325-11CE-BFC1-08002BE10318} Manufacturer: (Standard mass storage controllers) Service: a52twn2z Problem: : This device is disabled. (Code 22) Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions. Tu również brak problemów w rozumieniu sugerowanym: - ISATAP Adapter z wykrzyknikiem na Vista to norma. - "AGPKLWHI IDE Controller" nie ma zaś co aktualizować, to nie jest prawdziwy kontroler dysków tylko wirtualny rootkit-podobny produkt aktywności sterownika SPTD od emulatorów napędów (Alcohol, DAEMON Tools). Urządzenie to zmienia nazwy przy każdym starcie systemu. Więcej informacji: KLIK. Z Twojego raportu FRST, to para: ==================== Drivers (Whitelisted) ==================== R0 sptd; C:\Windows\System32\Drivers\sptd.sys [691696 2010-01-30] () [File not signed] U3 a52twn2z; No ImagePath Jeśli poprawnie usunęłaś sterownik SPTD, to i "Losowa nazwa IDE Controller" zniknął również. To i tak należało zrobić. W Dzienniku zdarzeń brak powiązanych błędów. Ten efekt jest też charakterystyczny dla wadliwych / niekompatybilnych rozszerzeń powłoki czy kodeków. I tu właśnie budzą podejrzenia kodeki, ich moduły są aktywnie załadowane, a wszystko stare: ==================== Loaded Modules (whitelisted) ============= 2009-08-11 20:18 - 2009-08-11 20:18 - 00497664 _____ () C:\Windows\system32\ac3filter.acm 2009-06-02 17:10 - 2009-06-02 17:10 - 00050688 _____ () C:\Windows\system32\ff_acm.acm 2010-07-13 21:48 - 2010-07-13 21:48 - 03834880 _____ () C:\Program Files\VistaCodecPack\filters\ffdshow.ax 2008-11-13 00:39 - 2008-11-13 00:39 - 00053248 _____ () C:\Windows\system32\DivXAF.ax Proponuję zacząć od deinstalacji pakietów kodeków (to i tak było za dużo, wszystko stare): K-Lite Codec Pack 6.2.0 (Basic), Vista Codec Package. Sugeruję też pozbyć się bardzo starego zintegrowanego firmowo DVD MovieFactory for TOSHIBA (od Ulead Systems). To jedynie część kodeków które są w systemie, widać więcej programów tworzących takie modyfikacje, ale zacznijmy od pakietów kombinowanych. Zgłoś się tu z wynikami czy jest poprawa. .

Czyli kończymy, kroki końcowe już znasz: KLIK. To normalne. Google Chrome podczas aktualizacji do nowszej wersji "przesuwa się" do wyższego folderu C:\Program Files\Google\Chrome\Application\x.x.x.x, następuje też wymiana plików wykonywalnych (chrome.exe > old_chrome.exe). Stare wersje można ręcznie skasować. .

To do oceny w dziale Hardware. Użyj Przywracanie systemu, by odkręcić tę instalację. Ponadto, w temacie BSOD punktującym sterownik Intel igdpmd64.sys było powiedziane: .

Poprzednie zadania wykonane i w ostatnim logu już było OK. W związku z tym poniższy problem musi mieć inną przyczynę: No cóż, obawiam się, że to może być jednak wina mocarnego pakietu avast! Internet Security. Na próbę go całkowicie odinstaluj, zrób nowy log FRST (z Addition, ale bez Shortcut) i wypowiedz się czy są jakieś zmiany. .

GMER zrobiony w złym środowisku, nie zdjąłeś emulatorów: KLIK. Ale zostaw to już. Odnoszę się do Twojej wypowiedzi po wstępnym czyszczeniu: Jeśli chodzi o to co tam robiono na innym forum, to błędy w skrypcie. Linii zainstalowanych nie ukrytych programów nie można załączać w skrypcie, to w ogóle zostanie zignorowane, bo jest to jedynie notatka zwracająca uwagę na poprawną deinstalację i nic poza tym. Skutki: Skype Packages (wrapper adware) nadal jest na liście zainstalowanych. System ogólnie nie został dobrze wyczyszczony, np. w Google Chrome nadal jest adware, a w Firefox niedomyślny plik user.js. Reinstalowałeś przeglądarki, ale wątpliwe, by to była tzw. "czysta" instalacja, pewnie profile na dysku zostały i to była nakładka, bo stan widziany tu pokazuje nadal bałagan w preferencjach. Poza tym, jest tu i też Opera, ale żadne z narzędzi jej nie skanuje, więc póki co zawartość nieznana. Wstępne akcje poprawkowe: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {680936CC-07F5-46EE-8A8C-DBAA5B24FC92} - System32\Tasks\Upd Inst-S-1156239722 => c:\programdata\brilliantinstaller\upd inst\Upd Inst.exe Task: {87D2E5C9-F3C8-478C-9AFA-4B6784C9BEA2} - System32\Tasks\Upd Inst-S-42011561 => c:\programdata\appready software\upd inst\Upd Inst.exe Task: C:\windows\Tasks\Upd Inst-S-1156239722.job => c:\programdata\brilliantinstaller\upd inst\Upd Inst.exe Task: C:\windows\Tasks\Upd Inst-S-42011561.job => c:\programdata\appready software\upd inst\Upd Inst.exe S2 1a34a8e0; "C:\windows\system32\rundll32.exe" "c:\progra~2\AssistantSvc.dll",service S3 cpuz135; \??\C:\Users\pc\AppData\Local\Temp\cpuz135\cpuz135_x64.sys [X] S0 txly; System32\drivers\clehlnyc.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\...\Run: [] => [X] HKLM\...\Policies\Explorer: [NoControlPanel] 0 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKCU - DefaultScope {06E320FB-DA3F-4199-ACEB-1771BE300B9D} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289075&CUI=UN22166906242510514&UM=1 SearchScopes: HKCU - {06E320FB-DA3F-4199-ACEB-1771BE300B9D} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289075&CUI=UN22166906242510514&UM=1 SearchScopes: HKCU - {84E73978-A84D-4AEF-950F-E305680E5C46} URL = C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\AppReady Software C:\ProgramData\BrilliantInstaller C:\ProgramData\26a8f481a0ac6502 C:\ProgramData\AllCheapPrice C:\ProgramData\DisicouentExtensi C:\ProgramData\FaunDeals C:\ProgramData\Fuun2Save C:\ProgramData\RegularDeails C:\Users\pc\AppData\Local\Popajar C:\Users\pc\AppData\Roaming\de6ddd9f.dat C:\Users\pc\AppData\Roaming\0F1F1C2Y1H1P1C0I0T C:\Users\pc\AppData\Roaming\3909 C:\Users\pc\AppData\Roaming\System DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Skype Packages RemoveDirectory: C:\AdwCleaner Folder: C:\Users\pc\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\pc\AppData\Roaming\Opera Software\Opera Stable\Preferences" Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 3. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware YoutubeAdblocker. Ponadto usuwano na siłę foldery innych adware bez poprawej deinstalacji rozszerzeń, więc sprawdź czy na liście są też: ABoitSAveer, TakETheeCooupon i websaavvE. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (potem je włączysz). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. Wypowiedz się co się dzieje. .

W pliku Secure Preferences jest owszem odwołanie do tego: }, "impaepofmnammebeenafgmllpnjaiime": { "active_permissions": { "api": [ "contextMenus", "cookies", "management", "notifications", "storage", "tabs" ], "explicit_host": [ "http://*/*", "https://*/*" ], "manifest_permissions": [ ], "scriptable_host": [ "http://*/*", "https://*/*" ] }, "commands": { }, "content_settings": [ ], "creation_flags": 38, "disable_reasons": 1, "ephemeral_app": false, "events": [ ], "from_bookmark": false, "from_webstore": false, "granted_permissions": { "api": [ "contextMenus", "cookies", "management", "notifications", "storage", "tabs" ], "explicit_host": [ "http://*/*", "https://*/*" ], "manifest_permissions": [ ], "scriptable_host": [ "http://*/*", "https://*/*" ] }, "incognito_content_settings": [ ], "incognito_preferences": { }, "initial_keybindings_set": true, "install_time": "13056590696824313", "location": 8, "newAllowFileAccess": true, "path": "C:\\Program Files\\Google\\Chrome\\Application\\Extensions\\chrome\\app", "preferences": { }, "regular_only_preferences": { }, "state": 0, "was_installed_by_default": false, "was_installed_by_oem": false }, Niemniej nie wydaje się, by to było na dysku. Nie wiem jak to możliwe, że rozszerzenie było aktywne produkując reklamy, a brak na dysku powiązanego folderu. Myślę, że tu już nie ma nad czym dywagować i po prostu: 1. Skasuj ten pusty folder C:\Program Files\Google. 2. Odinstaluj Supreme Adblocker z poziomu opcji Google. Przeładuj przeglądarkę i potwierdź, że rozszerzenie się nie zregenerowało. .

Nic podejrzanego w raportach. 1. Usuń sobie puste wpisy i wyczyść lokalizacje tymczasowe. Otwórz Notatnik i wklej w nim: Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Filter: text/xml - {807553E5-5146-11D5-A672-00B0D022E945} - No File FF Plugin-x32: @esn.me/esnsonar,version=0.70.4 -> C:\Program Files (x86)\Battlelog Web Plugins\Sonar\0.70.4\npesnsonar.dll No File FF Plugin-x32: @esn/npbattlelog,version=2.3.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.3.1\npbattlelog.dll No File FF Plugin-x32: @esn/npbattlelog,version=2.3.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.3.2\npbattlelog.dll No File R3 ALSysIO; \??\C:\Users\Piotr\AppData\Local\Temp\ALSysIO64.sys [X] S3 cpuz135; \??\C:\Windows\TEMP\cpuz135\cpuz135_x64.sys [X] S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [X] S4 NVHDA; system32\drivers\nvhda64v.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Dostarcz wynikowy fixlog.txt. 2. Do aktualizacji: Internet Explorer Version 10 ==================== Installed Programs ====================== Adobe Flash Player 10 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 10.0.42.34 - Adobe Systems Incorporated) ----> wtyczka dla IE .

Wszystko wykonane. Możemy kończyć: 1. Usuń używane narzędzia z folderu C:\Users\A&A\Desktop\ff. Popraw za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. .

Chyba antywirus coś grzebał, gdyż FRST przetwarzając skrypt nie wszystko znalazł, ponadto jeszcze jeden wpis został przemigrowany via msconfig. Nowy log nie pokazuje już nic podejrzanego. Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Giyqsagy RemoveDirectory: C:\Users\Pozioma\Desktop\Stare dane programu Firefox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. W systemie jest zainstalowany Malwarebytes Anti-Malware. Upewnij się, że baza jest zaktualizowana i wykonaj jeszcze dodatkowy skan. Gdyby coś zostało wykryte, przedstaw raport. .

Ostatni skrypt wykonany i finalizujemy sprawy: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Odinstaluj stare produkty Adobe i Java, zastąp najnowszymi. Są też nowsze wersje przeglądarek. ==================== Installed Programs ====================== Adobe Flash Player 12 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 12.0.0.44 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 14 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 14.0.0.179 - Adobe Systems Incorporated) ----> wtyczka dla Firefox Adobe Reader 9.5.5 MUI (HKLM\...\{AC76BA86-7AD7-FFFF-7B44-A91000000001}) (Version: 9.5.5 - Adobe Systems Incorporated) Google Chrome (HKCU\...\Google Chrome) (Version: 34.0.1847.116 - Google Inc.) Java 7 Update 51 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217051FF}) (Version: 7.0.510 - Oracle) Java™ 6 Update 39 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216035FF}) (Version: 6.0.390 - Oracle) Microsoft Office Home and Student 2010 (HKLM\...\Office14.SingleImage) (Version: 14.0.7015.1000 - Microsoft Corporation) ----> instalacja SP2 Mozilla Firefox 32.0.2 (x86 pl) (HKLM\...\Mozilla Firefox 32.0.2 (x86 pl)) (Version: 32.0.2 - Mozilla) Nazwa wyświetlana nie jest dostateczna. Rozszerzenia wyszukuje się precyzyjnie wg ID rozszerzenia: CHR Extension: (Video download helper) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\dbkchnicaiglcjpgbmpfmoafckkomdcm [2014-07-05] I to właśnie to szukanie nie zwróciło mi żadnego linka w Chrome Store. W normalnych okolicznościach wyszukując na Google wg ID pokazuje się link zawierający ID rozszerzenia. Na przykład to rozszerzenie: CHR Extension: (Google Keep – notatki i listy) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\hmjkmjkepdijhoojdojkdfohbdgmmhki [2014-03-30] vs. hxxps://chrome.google.com/webstore/detail/google-keep-notes-and-lis/hmjkmjkepdijhoojdojkdfohbdgmmhki?hl=pl Całkiem możliwe, że wcześniej trefny "Video download helper" był w sklepie, ale został usunięty ze względu na czynności adware. Google jakiś czas temu wzmocniło selekcję i zabezpieczenia, teoretycznie w Google Chrome można instalować tylko rozszerzenia ze sklepu, ale adware już znalazło conajmniej dwa obejścia tego "problemu". .

Proszę dostosuj się do zasad działu: KLIK. Zestaw dostarczonym logów niekompletny. Tu są obowiązkowe także raporty z FRST i GMER.

Proszę stosuj funkcję Edytuj, gdy trzeba uzupełnić posta, a nikt jeszcze nie odpisał. Posty sklejam. Wątpię. To nie jest infekcja tego rodzaju. Te pliki i foldery są w porządku. Były od początki instalacji Windows tylko ich nie widziałeś. Skan OTL przestawia w Opjach folderów "Pokaż ukryte foldery i pliki" + "Ukryj chronione pliki systemu operacyjnego". To ta pogrubiona opcja steruje widocznością wymieniach elementów. - Pliki desktop.ini: odpowiadają za specjalną ikonę Pulpitu i polonizację nazwy (dlatego w eksploratorze widzisz "Pulpit" zamiast "Desktop"). Są dwa, gdyż Pulpit który widzisz to wirtualna przestrzeń składająca dwa foldery w widok ogólny: C:\Users\Twoje konto + C:\Users\Public - System Volume Information: folder Przywracania systemu i operacji związanych z cieniowaniem woluminu. - $Recycle.Bin: prawdziwy folder Kosza powielony na każdym dostępnym dysku. Na Pulpicie to tylko wirtualny skrót. Infekcja pomyślnie usunięta. Widzę też, że chyba coś robiłeś na własną rękę w KMSpico, gdyż zniknął jednen z jego wpisów. Natomiast pytaniem jest co się pokazuje podczas próby uruchomienia Windows Defender. Dodaj też log z Farbar Service Scanner. .

Tematy łączę. W systemie jest ogromna ilość adware, w tym wiele pozycji wygląda jak niepoprawnie odinstalowana (uruchomione obiekty, lecz brak deinstalatora). Wstępne działania: 1. Przez Panel sterowania odinstaluj adware: Codec Pack Packages, Image Editor Packages, KKingCoupion, PDF Creator Packages, PrincaeCiouppon, ReoyalShOppERAPp, SavingsbullFilter, SharkManCoupon, SmartSaver+ 8, Update for PDF Creator, Update for Zip Extractor. Pozbądź się także starego i zbędnego tandemu Crawler Toolbar with Web Security Guard + Spyware Terminator 2012. Jeśli jakieś błędy przy deinstalacji wystąpią, nie szkodzi, kontynuuj. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 70e6ca8c; c:\Program Files (x86)\Optimizer Pro\OptProCrashSvc.dll [186496 2014-03-21] () R2 LPTSystemUpdater; C:\Program Files (x86)\LPT\srpts.exe [32288 2014-02-09] () S2 savesenselive; C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe [146920 2014-01-26] (SaveSense) S3 savesenselivem; C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe [146920 2014-01-26] (SaveSense) R2 ST2012_Svc; C:\Program Files (x86)\Spyware Terminator\st_rsser64.exe [1146304 2014-05-13] (Crawler.com) R2 Update Surftastic; C:\Program Files (x86)\Surftastic\updateSurftastic.exe [111392 2014-02-21] () S2 WajamUpdaterV3; C:\Program Files (x86)\Wajam\Updater\WajamUpdaterV3.exe [114176 2013-10-25] (Wajam) [File not signed] R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [425104 2014-02-26] (Taiwan Shui Mu Chih Ching Technology Limited.) S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2012-06-22] () S1 StarOpen; C:\Windows\SysWow64\Drivers\StarOpen.sys [5632 2006-07-24] () [File not signed] S2 SpyHunter 4 Service; C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE [X] S2 Stereo Service; "C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe" [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] Task: {05A0FAE9-9D7F-4D24-ABD1-25590ECCFAA3} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe Task: {08E8D64E-D573-4065-9CF9-001058C8D96E} - System32\Tasks\3d8c097a-d75d-43d1-aa88-eb4ad99df514-5 => C:\Program Files (x86)\MediaPlayerplus\3d8c097a-d75d-43d1-aa88-eb4ad99df514-5.exe Task: {167A22CF-12BD-4AEB-B647-14C94704C186} - System32\Tasks\SaveSenseLiveUpdateTaskMachineUA => C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe [2014-01-26] (SaveSense) Task: {3C85AF43-996D-49CF-A242-C196C6EFC42A} - System32\Tasks\3d8c097a-d75d-43d1-aa88-eb4ad99df514-4 => C:\Program Files (x86)\MediaPlayerplus\3d8c097a-d75d-43d1-aa88-eb4ad99df514-4.exe Task: {4304EAE9-6DA2-4217-B2AE-4EFACA653EAE} - System32\Tasks\3d8c097a-d75d-43d1-aa88-eb4ad99df514-1 => C:\Program Files (x86)\MediaPlayerplus\MediaPlayerplus-codedownloader.exe Task: {44101BA9-CB5F-49AA-B6FF-5BD20A9C029A} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe Task: {6560D23A-4774-450B-944B-9040DA94EB05} - System32\Tasks\SaveSenseLiveUpdateTaskMachineCore => C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe [2014-01-26] (SaveSense) Task: {6C205B89-8665-42BE-BAB1-2BC198CE8DC6} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2014-01-16] (Google Inc.) Task: {78D1EC06-217D-4057-A382-6705369252E6} - System32\Tasks\DSite => C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Roaming\DSite\UpdateProc\UpdateTask.exe [2014-01-26] () Task: {9A1302B4-A043-4F25-A971-FA06A6E17FD3} - System32\Tasks\AmiUpdXp => C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Local\SwvUpdater\Updater.exe Task: {A4EB6967-A148-40CF-B69E-CC75818AD493} - System32\Tasks\512823f1-87fd-4b5e-bf0a-0e1c683e9223-1 => C:\Program Files (x86)\Freeven Pro 1.3\Freeven Pro 1.3-codedownloader.exe Task: {9F67F1BF-5D5A-4EF1-BFC8-5C41E551932E} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe [2014-01-13] (Megaify Software Co., Ltd.) Task: {BBA7B92E-26EC-4BB9-A915-91C199B50760} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2014-01-16] (Google Inc.) Task: {CBF786C6-E815-4D3A-8B2B-D574443803C7} - System32\Tasks\LaunchApp => C:\Program Files (x86)\MyPC Backup\MyPC Backup.exe Task: {E368B25F-F29E-4B05-BC87-F99A88BD2D6D} - System32\Tasks\512823f1-87fd-4b5e-bf0a-0e1c683e9223-4 => C:\Program Files (x86)\Freeven Pro 1.3\512823f1-87fd-4b5e-bf0a-0e1c683e9223-4.exe [2014-04-15] (Freeven) Task: C:\Windows\Tasks\3d8c097a-d75d-43d1-aa88-eb4ad99df514-1.job => C:\Program Files (x86)\MediaPlayerplus\MediaPlayerplus-codedownloader.exe Task: C:\Windows\Tasks\3d8c097a-d75d-43d1-aa88-eb4ad99df514-4.job => C:\Program Files (x86)\MediaPlayerplus\3d8c097a-d75d-43d1-aa88-eb4ad99df514-4.exe Task: C:\Windows\Tasks\3d8c097a-d75d-43d1-aa88-eb4ad99df514-5.job => C:\Program Files (x86)\MediaPlayerplus\3d8c097a-d75d-43d1-aa88-eb4ad99df514-5.exe Task: C:\Windows\Tasks\512823f1-87fd-4b5e-bf0a-0e1c683e9223-1.job => C:\Program Files (x86)\Freeven Pro 1.3\Freeven Pro 1.3-codedownloader.exe Task: C:\Windows\Tasks\512823f1-87fd-4b5e-bf0a-0e1c683e9223-4.job => C:\Program Files (x86)\Freeven Pro 1.3\512823f1-87fd-4b5e-bf0a-0e1c683e9223-4.exe Task: C:\Windows\Tasks\AmiUpdXp.job => C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Local\SwvUpdater\Updater.exe Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: C:\Windows\Tasks\DSite.job => C:\Users\O[Filtr wulgaryzmów]I~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineCore.job => C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe Task: C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineUA.job => C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe HKLM-x32\...\Run: [fst_de_7] => [X] AppInit_DLLs: C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll => C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll File Not Found AppInit_DLLs: C:\PROGRA~2\OPTIMI~1\OPTPRO~2.DLL => C:\Program Files (x86)\Optimizer Pro\OptProCrash_x64.dll [2681648 2014-03-21] () AppInit_DLLs-x32: c:\progra~2\searchprotect\searchprotect\bin\spvc32loader.dll => "c:\progra~2\searchprotect\searchprotect\bin\spvc32loader.dll" File Not Found AppInit_DLLs-x32: c:\progra~2\optimi~1\optpro~1.dll => c:\Program Files (x86)\Optimizer Pro\OptProCrash.dll [2961368 2014-03-21] () ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=sc&from=wpm0226&uid=ST9320320AS_5SX4K3AKXXXX5SX4K3AK&ts=1393412161 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\opera.exe (Opera Software) -> hxxp://www.sweet-page.com/?type=sc&ts=1389823694&from=cor&uid=ST9320320AS_5SX4K3AKXXXX5SX4K3AK ShortcutWithArgument: C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1389823694&from=cor&uid=ST9320320AS_5SX4K3AKXXXX5SX4K3AK ShortcutWithArgument: C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=sc&from=wpm0226&uid=ST9320320AS_5SX4K3AKXXXX5SX4K3AK&ts=1393412161 ShortcutWithArgument: C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera12.15 1748.lnk -> C:\Program Files (x86)\Opera\opera.exe (Opera Software) -> hxxp://www.sweet-page.com/?type=sc&ts=1389823694&from=cor&uid=ST9320320AS_5SX4K3AKXXXX5SX4K3AK ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=sc&from=wpm0226&uid=ST9320320AS_5SX4K3AKXXXX5SX4K3AK&ts=1393412161 ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\opera.exe (Opera Software) -> hxxp://www.sweet-page.com/?type=sc&ts=1389823694&from=cor&uid=ST9320320AS_5SX4K3AKXXXX5SX4K3AK HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1402092449&from=cor&uid=ST9320320AS_5SX4K3AKXXXX5SX4K3AK&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1402092449&from=cor&uid=ST9320320AS_5SX4K3AKXXXX5SX4K3AK&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1402092449&from=cor&uid=ST9320320AS_5SX4K3AKXXXX5SX4K3AK&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1402092449&from=cor&uid=ST9320320AS_5SX4K3AKXXXX5SX4K3AK&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1389823694&from=cor&uid=ST9320320AS_5SX4K3AKXXXX5SX4K3AK SearchScopes: HKLM - {460C3D19-B3D4-4964-A550-77D263B0CCCB} URL = SearchScopes: HKLM - {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL = http://www.sweet-page.com/web/?type=ds&ts=1389823694&from=cor&uid=ST9320320AS_5SX4K3AKXXXX5SX4K3AK&q={searchTerms} SearchScopes: HKLM-x32 - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snapdo.com/?p=mKO_AwFzXIpYRbPGr6JN_C9Okvk3V9BHMT-IkVs3eDgJlBATeRnAqXYyYJDXLfK6eZDr--M9JXGUna04ensW1Y9tWfcKY8_9HgKig_UQ7mxIYo82FlJl8EeQMAe2WF0m1GavOvyfDaV4QcyvPSFPDpodeKEwLNjXDzU4Ls1qwBFMFNJbfR608fJbE3eOmo2P-MGoxTUMD7qShw,,&q={searchTerms} SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snapdo.com/?p=mKO_AwFzXIpYRbPGr6JN_C9Okvk3V9BHMT-IkVs3eDgJlBATeRnAqXYyYJDXLfK6eZDr--M9JXGUna04ensW1Y9tWfcKY8_9HgKig_UQ7mxIYo82FlJl8EeQMAe2WF0m1GavOvyfDaV4QcyvPSFPDpodeKEwLNjXDzU4Ls1qwBFMFNJbfR608fJbE3eOmo2P-MGoxTUMD7qSgA,,&q={searchTerms} SearchScopes: HKCU - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} URL = http://www.crawler.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=60327 BHO: Plus-HD-9.5 -> {11111111-1111-1111-1111-110511311166} -> C:\Program Files (x86)\Plus-HD-9.5\Plus-HD-9.5-bho64.dll (Plus HD) BHO: MediaPlayerplus -> {11111111-1111-1111-1111-110511421146} -> C:\Program Files (x86)\MediaPlayerplus\MediaPlayerplus-bho64.dll (Freeven) BHO: Freeven Pro 1.3 -> {11111111-1111-1111-1111-110511421155} -> C:\Program Files (x86)\Freeven Pro 1.3\Freeven Pro 1.3-bho64.dll (Freeven) BHO: KINgCoupuon -> {56D3A495-004A-5305-3EC2-0C0D3D6E3D48} -> C:\ProgramData\KINgCoupuon\1CyZFc.x64.dll () BHO: KKingCoupion -> {6C277649-83C1-7382-6F9E-920426A91EFD} -> C:\ProgramData\KKingCoupion\SR8O97rf_.x64.dll () BHO-x32: No Name -> {11111111-1111-1111-1111-110411771118} -> No File BHO-x32: &Crawler Toolbar Helper -> {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} -> C:\Program Files (x86)\Crawler\Toolbar\ctbr.dll (Crawler.com) BHO-x32: KINgCoupuon -> {56D3A495-004A-5305-3EC2-0C0D3D6E3D48} -> C:\ProgramData\KINgCoupuon\1CyZFc.dll () BHO-x32: KKingCoupion -> {6C277649-83C1-7382-6F9E-920426A91EFD} -> C:\ProgramData\KKingCoupion\SR8O97rf_.dll () BHO-x32: No Name -> {84FF7BD6-B47F-46F8-9130-01B2696B36CB} -> No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKLM - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} - No File Toolbar: HKLM-x32 - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} - No File Toolbar: HKLM-x32 - &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Program Files (x86)\Crawler\Toolbar\ctbr.dll (Crawler.com) Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - No File Handler-x32: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Program Files (x86)\Crawler\Toolbar\ctbr.dll (Crawler.com) FF Plugin-x32: @tools.updaterss.com/SaveSenseLive Update;version=3 -> C:\Program Files (x86)\SaveSenseLive\Update\1.3.23.0\npGoogleUpdate3.dll (SaveSense) FF Plugin-x32: @tools.updaterss.com/SaveSenseLive Update;version=9 -> C:\Program Files (x86)\SaveSenseLive\Update\1.3.23.0\npGoogleUpdate3.dll (SaveSense) FF Plugin HKCU: @lightspark.github.com/Lightspark;version=1 -> C:\Program Files (x86)\Lightspark 0.5.3-git\nplightsparkplugin.dll No File FF HKLM-x32\...\Firefox\Extensions: [ext@flashenhancer.com] - C:\Program Files (x86)\AmiExt\flashEnhancer\ff FF HKLM-x32\...\Firefox\Extensions: [ext@MediaWatchV1home579.net] - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home579\ff FF HKLM-x32\...\Firefox\Extensions: [{4B3803EA-5230-4DC3-A7FC-33638F3D3542}] - C:\Program Files (x86)\Crawler\Toolbar\firefox FF HKCU\...\Firefox\Extensions: [freegames4357@BestOffers] - C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Roaming\Mozilla\Extensions\freegames4357@BestOffers FF HKCU\...\Firefox\Extensions: [speedtest4354@BestOffers] - C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Roaming\Mozilla\Extensions\speedtest4354@BestOffers FF HKCU\...\Firefox\Extensions: [{13b2a6cd-c8be-4191-a05b-b843a6b780cb}] - C:\Program Files (x86)\Re-markit\155.xpi FF HKCU\...\Firefox\Extensions: [{5a95a9e0-59dd-4314-bd84-4d18ca83a0e2}] - C:\Program Files (x86)\Wajam\Firefox\{5a95a9e0-59dd-4314-bd84-4d18ca83a0e2}.xpi GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKCU\SOFTWARE\Policies\Google: Policy restriction testsigning: ==> Check for possible unsigned rootkit driver nointegritychecks: ==> Integrity Checks is disabled C:\Program Files (x86)\Mozilla Firefox\searchplugins C:\Program Files (x86)\AmiExt C:\Program Files (x86)\Crawler C:\Program Files (x86)\DriverToolkit C:\Program Files (x86)\Freeven Pro 1.3 C:\Program Files (x86)\Google C:\Program Files (x86)\Iminent C:\Program Files (x86)\LPT C:\Program Files (x86)\MediaPlayerplus C:\Program Files (x86)\Mobogenie C:\Program Files (x86)\MyPC Backup C:\Program Files (x86)\Optimizer Pro C:\Program Files (x86)\Re-markit C:\Program Files (x86)\SaveSenseLive C:\Program Files (x86)\Spyware Terminator C:\Program Files (x86)\Surftastic C:\Program Files (x86)\Wajam C:\Program Files (x86)\WinZipper C:\ProgramData\26291a5eae6fc8d4 C:\ProgramData\KKingCoupion C:\ProgramData\ReoyalShOppERAPp C:\ProgramData\Spyware Terminator C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Earth C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spyware Terminator 2012 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Local\{*} C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Local\Google C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Local\Mobogenie C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Roaming\DSite C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Roaming\Mozilla\Extensions C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Roaming\newnext.me C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Roaming\speedtest4354 C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Imperia Online.lnk C:\Users\Public\Desktop\Google Chrome.lnk C:\Users\Public\Desktop\Spyware Terminator 2012.lnk C:\Windows\pss\*.lnk.* C:\Windows\System32\DRIVERS\EsgScanner.sys C:\Windows\SysWow64\ZombieAlert.A222801BB6B4.2.6.80.dll C:\Windows\SysWow64\Drivers\StarOpen.sys DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKCU\Software\Microsoft\Internet Explorer\AboutURLs DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Search DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchURI DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs DeleteKey: HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main DeleteKey: HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI DeleteKey: HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl CMD: sfc /scanfile=C:\Windows\system32\drivers\usbuhci.sys CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Local CMD: dir /a C:\Users\O[Filtr wulgaryzmów]iencze\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Wprawdzie nie dostarczyłeś mi tych logów z Kavremover, ale to nie jest już potrzebne. Tym razem widoczne zmiany i wszystkie sterowniki Kasperskiego zostały ładnie usunięte. Został McAfee. Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R0 mfewfpk; C:\Windows\System32\drivers\mfewfpk.sys [281928 2011-03-13] (McAfee, Inc.) C:\Windows\System32\drivers\mfewfpk.sys RemoveDirectory: C:\ProgramData\Kaspersky Lab EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie plik fixlog.txt. 2. Ponownie uruchom McAfee Consumer Product Removal Tool, ale tym razem z poziomu Trybu normalnego, a nie awaryjnego. 3. W Google Chrome: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Rucek Na Windows 8 domyślnie nie jest łatwo wejść do Trybu awaryjnego. OTL jest też słabo zgody z tą platformą, więc w tym przypadku możemy go ominąć. lokoskul22 Możliwe, iż programów nie da się uruchomić ze względu na infekcję. Druga sprawa: Windows ma modyfikowany system aktywacji (KMSpico). I czy Firefox to wersja Modern UI czy klasyczna? Obecnie w logach brak wykrytego Firefoxa. Działania wstępne pod kątem infekcji: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-721118335-2541393669-1043028165-1001\...\Run: [nvxasync] => C:\Users\Adrian\AppData\Roaming\nvxasync\nvxasync.exe [76678656 2014-09-29] () HKU\S-1-5-21-721118335-2541393669-1043028165-1001\...\Winlogon: [shell] C:\ProgramData\nvxasync\nvxasync.exe [76678656 2014-09-29] () C:\ProgramData\nvxasync C:\Users\Adrian\AppData\Roaming\nvxasync C:\Users\Adrian\AppData\Roaming\fpacked.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są widoczne zmiany. .

Podaj mi dodatkowy skan. Otwórz Notatik i wklej w nim: Folder: C:\Program Files\Google Folder: C:\Program Files (x86)\Google\Chrome\Application CMD: type "C:\Users\pb\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dołącz wynikowy fixlog.txt. Wprawdzie ścieżka kieruje na C:\Program Files\Google, ale tu jest 64-bitowy system i 32-bitowe Chrome, więc możliwe przekierowanie na C:\Program Files (x86)\Google. FRST ma detekcję multi-profili, wykrył tylko jeden. Mój komentarz był w kontekście tego, że póki co to nigdzie nie widać śladów tego dziwnego Ad-blocka. Powyższy skan może coś naświetli, bo lokalizacja atypowa. .