picasso

Zapomniałeś dodać pliku Fixlog.txt utworzonego podczas przetwarzania skryptu FRST. Dołącz go. Kurde, zastanawiałam się nad nim, bo miał jeden z nowszych znaczników dostępu i nie mogłam znaleźć linka w oficjalnym Chrome Store. Niemniej rozproszyło mnie też kilka innych pozycji. Skąd to rozszerzenie konkretnie pobrałeś? A w Chrome Store mogą się zdarzyć babole. Były już afery z rozszerzeniami śledzącymi (zintegrowany skrypt typu "spyware"), od czasu do czasu wyskakują jakieś akcje z adware. 1. Skoro to już pewne, iż "Video download helper" produkuje reklamy, pozbądź się go całkowicie deinstalując. 2. Druga sprawa: AdwCleaner sporo grzebał w Chrome, więc dla pewności zrób tę akcję: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (ponownie trzeba będzie aktywować ręcznie). 3. I jeszcze mini usuwanie szczątków widocznych w Addition. Otwórz Notatnik i wklej w nim: Task: {67E8414E-4691-4B8F-9AEF-0932185CEEFD} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\windows\TEMP\{6DD88726-D0C6-4482-9AAC-DBD80F933D72}.exe Task: C:\windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\windows\TEMP\{6DD88726-D0C6-4482-9AAC-DBD80F933D72}.exe CustomCLSID: HKU\S-1-5-21-3298792027-3563228929-1561543473-1002_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Chrisso\AppData\Local\Google\Update\1.3.21.135\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3298792027-3563228929-1561543473-1002_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\Chrisso\AppData\Local\Google\Update\1.3.21.99\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3298792027-3563228929-1561543473-1002_Classes\CLSID\{0E55CBE1-B06A-49B6-AD8D-9EFAA0160C6F}\InprocServer32 -> C:\Users\Chrisso\AppData\Local\Google\Update\1.3.21.57\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3298792027-3563228929-1561543473-1002_Classes\CLSID\{218D2740-5A50-42A8-AB9F-62FF1B168782}\InprocServer32 -> C:\Users\Chrisso\AppData\Local\Google\Update\1.3.21.69\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3298792027-3563228929-1561543473-1002_Classes\CLSID\{29A96789-9595-4947-BEDB-0FCC776F7DB8}\InprocServer32 -> C:\Users\Chrisso\AppData\Local\Google\Update\1.2.183.39\goopdate.dll No File CustomCLSID: HKU\S-1-5-21-3298792027-3563228929-1561543473-1002_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> C:\Users\Chrisso\AppData\Local\Google\Update\1.3.21.79\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3298792027-3563228929-1561543473-1002_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\Chrisso\AppData\Local\Google\Update\1.3.21.145\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3298792027-3563228929-1561543473-1002_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\Chrisso\AppData\Local\Google\Update\1.3.21.123\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3298792027-3563228929-1561543473-1002_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Chrisso\AppData\Local\Google\Update\1.3.21.153\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3298792027-3563228929-1561543473-1002_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> C:\Users\Chrisso\AppData\Local\Google\Update\1.3.21.149\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3298792027-3563228929-1561543473-1002_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\Chrisso\AppData\Local\Google\Update\1.3.22.3\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3298792027-3563228929-1561543473-1002_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Chrisso\AppData\Local\Google\Update\1.3.21.165\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3298792027-3563228929-1561543473-1002_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\Chrisso\AppData\Local\Google\Update\1.3.21.115\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3298792027-3563228929-1561543473-1002_Classes\CLSID\{DB25D157-76D4-41C1-97B5-359E4A4CECEB}\InprocServer32 -> C:\Users\Chrisso\AppData\Local\Google\Update\1.3.21.65\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3298792027-3563228929-1561543473-1002_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\Chrisso\AppData\Local\Google\Update\1.3.21.111\psuser.dll No File Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. .

Temat rozwiązany. Zamykam. Dzięki za dotację!

Temat przenoszę do działu Windows. Brak oznak czynnej infekcji. W raportach brak także konkretów relatywnych do zgłaszanego problemu, widzę też że dużo wyłączałeś via msconfig. Może na początek: - W Autoruns w karcie Services odfajkuj pozycje AdobeARMservice, c2cautoupdatesvc, c2cpnrsvc, SamsungAllShareV2.0, SkypeUpdate, WinDefend (by widzieć tę ostatnią, należy włączyć pokazywanie wpisów Microsoftu). Zresetuj system. - Sprawdź czy nie bruździ Avast. PS. I w spoilerze drobne doczyszczanie szczątków adware / wpisów pustych, ale to nie ma znaczenia dla problemu. .

Zadanie pomyślnie wykonane. Tak, jedziesz do punktu 2.

criss20ster, proszę dbaj o formę i edytuj posty, a nie twórz posta pod postem. Sklejam. Jeśli chodzi o usuwanie Kasperskiego i reszty, gładko poszło. IObit Malware Fighter nie odinstalował się jednak kompletnie. Drobne poprawki. Otwórz Notatnik i wlej w nim: S3 amdiox86; system32\DRIVERS\amdiox86.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 netr28u; system32\DRIVERS\netr28u.sys [X] S3 RTL8192su; system32\DRIVERS\RTL8192su.sys [X] CMD: regsvr32 /u /s "C:\Program Files\IObit\IObit Uninstaller\UninstallExplorer32.dll" CMD: regsvr32 /u /s "C:\Program Files\IObit\IObit Malware Fighter\adsremoval\IE\Adblock.dll" RemoveDirectory: C:\Program Files\IObit\IObit Malware Fighter RemoveDirectory: C:\Program Files\Przyspiesz RemoveDirectory: C:\ProgramData\Kaspersky Lab RemoveDirectory: C:\Windows\3F5C371F8EA24F259D3DD0B4526E3AEA.TMP DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wyynikowy fixlog.txt. To celowo ominęłam. Od takich wynalazków należy trzymać się z daleka. Automaty do aktualizacji sterowników mogą pogorszyć sprawy i są tu na forum bardzo odradzane. Automat nie ma rozumu, może podstawić sterowniki nie pasujące do sprzętu, już tu były na forum przypadki użytkowników, którzy namieszali sobie automatami i trzeba było radykalne działania podejmować. Sterowniki aktualizuje się ręcznie precyzyjnie pobierając ze stosownej strony produceta ściśle dopasowany plik, a nie na hurra hurtowe ładowanie nie wiadomo czego. To programy tego samego rodzaju. Jeszcze jeden darmowy (ma funkcję nagrywania instalacji): COMODO Programs Manager. Ale uwaga: żadne programy tego typu nie powinny być stosowane do deinstalacji antywirusów. Antywirusy należy deinstalować via Panel sterowania przy udziale własnego instalatora, a w przypadku trudności (tak jak tu) należy skorzystać z dedykowanego deinstalatora producenta antywirusa: KLIK. To jest strona domowa programu, nie pobiera się ze stron innych niż domowa, bo potem są takie historie z "downloaderami": KLIK. Już wiem czemu Google Chrome blokuje hxxp://www.puransoftware.com/PuranUtilitiesSetup.exe (przy czym pobieranie w Internet Explorer przechodzi): zmieniła się licencja, mimo iż na stronie domowej jest "free for private and non-commercial use", obecnie to również jest program mający adware w instalatorze i trzeba wszystko odrzucić (przyciski Decline). To właściwie to już sprawa się równa, skoro takie sztuki również i tu. Może zróbmy tak: Zostaw już w spokoju te pozycje Advanced SystemCare 7, Game Booster 3, Smart Defrag 3, których uporczywie się trzymasz i tak się do nich przyzwyczaiłeś. Jednak IObit Uninstaller proponuję wymienić na Revo lub COMODO. .

Sprawa wygląda na rozwiązaną. Kroki końcowe: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\HDD Regenerator RemoveDirectory: C:\Users\lukas\Desktop\Stare dane programu Firefox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt zanim przejdziesz to tego punktu: 2. Usuń pozostałe wystąpienia narzędzi za pomocą DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. I na przyszłość czego unikać, bo ten "Site Counselor" oraz delikwenci cięci wcześniej AdwCleaner nie wlecieli z powietrza, zatwierdziłeś te instalacje przez nieuwagę. Albo to był lewy instalator sponsorowany, albo jakiś "downloader" portalowy. Czego unikać: KLIK. .

W raportach nie ma nic oczywistego. Zaprezentuj mi jak Avast te wyniki przedstawia, tzn. wyciągnij z raportu. Ponadto, to się dzieje przy uruchamianiu określonej przeglądarki (tylko Google Chrome, tylko Internet Explorer), czy obojętnie której? Wstępnie przeprowadź następujące działania: 1. Na początek przez Panel sterowania odinstaluj stare dziurawe aplikacje (zagrożenia): Adobe Flash Player 14 ActiveX, Adobe Reader 9.5.0, Adobe Shockwave Player 11.5, Java™ 6 Update 20 (64-bit), Java™ 6 Update 20 oraz produkty Norton (w systemie jest nowszy Avast). Proponuję też pozbyć się zbędnika Bing Bar. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - {4C1C855B-1431-4F69-BCF5-4400F94E95FF} URL = http://www.ask.com/web?q={searchterms}&l=dis&o=ushpl SearchScopes: HKLM-x32 - {4C1C855B-1431-4F69-BCF5-4400F94E95FF} URL = http://www.ask.com/web?q={searchterms}&l=dis&o=ushpl SearchScopes: HKCU - {4C1C855B-1431-4F69-BCF5-4400F94E95FF} URL = http://www.ask.com/web?q={searchterms}&l=dis&o=ushpl BHO-x32: No Name -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> No File CHR Extension: (No Name) - C:\Users\Weak\AppData\Local\Google\Chrome\User Data\Default\Extensions\mfhnkgpdlogbknkhlgdjlejeljbhflim [2014-09-16] CHR HKCU\...\Chrome\Extension: [kpckgflgdapkpabemgkielbefdildaio] - C:\Users\Weak\AppData\Roaming\ACEStream\extensions\chrome_new\magicplayer.crx [2013-11-07] C:\Users\Weak\Downloads\*(*)-dp.exe C:\Windows\system32\FxsTmp C:\Windows\SysWOW64\sho*.tmp Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. Wypowiedz się co się dzieje. .

Tym razem wklejony Fixlog jest kompletny. Podany log AdwCleaner to już ostatni i nic nie pokazuje, mnie chodzi o dostarczenie logów z poprzednich uruchomień zanim się tu zgłosiłeś, a była kupa podejść. Czyli te logi z usuwania dostarcz, by było wiadomo co i jak usuwano: AdwCleaner[s6].txt - [1403 octets] - [03/07/2014 09:24:44] AdwCleaner[s7].txt - [2018 octets] - [29/09/2014 09:26:36] I nie ma sensu już używać AdwCleaner, bo on nic tu nie wyciśnie więcej. Fałszywka Google nie jest związana z obecnymi reklamami, to stary i nieczynny odpadek adware, oczywiście dla porządku usuwany, ale brak kontekstu. Natomiast reklamy są, gdyż ten Site Counselor jest nadal w Firefox po rzekomym usunięciu: FireFox: ======== FF Extension: Site Counselor - C:\Users\lukas\AppData\Roaming\Mozilla\Firefox\Profiles\fajivg9s.default\Extensions\{e0352044-1439-48ba-99b6-b05ed1a4d2de} [2014-09-25] W związku z tym, oraz tym że są przekierowania nowej karty, mimo iż log FRST tego nie pokazuje: ... proponuję radykalną metodę czyszczenia Firefox: 1. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 2. Zresetuj system, uruchom Firefox, by sprawdzić czy są jeszcze jakieś problemy i zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). .

W raportach śmietnik, więc to "pilnowanie rejestru" to słabo tu wychodziło, mimo licznych "optymalizatorów". Pozornie odinstalowany Kaspersky, szczątki adware, antywirusa Ad-Aware i Firefox. Przykładowe zastępstwa: - IObit Malware Fighter + Surfing Protection: masz ESET Smart Security. Możesz jeszcze rozważyć ewentualnie Malwarebytes Anti-Exploit, ale trzeba sprawdzić czy gładko pójdzie równolegle z pakietem ESET. - Advanced SystemCare 7, Game Booster 3, IObit Uninstaller, Smart Defrag 3: za darmo np. Puran Utilities. - IObit Uninstaller: kolejna alternatywa to darmowa wersja Revo Uninstaller Freeware. .

Ten Fixlog jest niekompletny, urwany i nie wykonane dwie ostatnie komendy. Co się działo podczas wykonywania Fix - czy został przerwany ręcznie, czy był jakiś błąd, czy może źle wkleiłeś log? Ale czy problem reklam nadal występuje po usunięciu Site Counselor skryptem FRST? Ponadto, Twoje raporty to są względnie "czyste", jeśli porównać do tego z czym tu użytkownicy przychodzą. Tu był jedynie jeden widoczny czynny wpis adware, a reszta to szczątki. Bardzo mało wpisów. A rzeczywiście, Microsoft coś zmienił ostatnio i ja także widzę pustą stronę. Link zastępczy: KLIK. .

Pokaż zrzut ekranu z kwarantanny co to było, okno ma być tak rozciągnięte, by było widać pełną ścieżkę dostępu. Uruchom Autoruns i w karcie Logon odznacz te wpisy: HKLM-x32\...\Run: [startCCC] => C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [642216 2012-08-06] (Advanced Micro Devices, Inc.) HKLM-x32\...\Run: [sunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [254336 2013-07-02] (Oracle Corporation) Zresztą ten wpis Java to na razie pomiń ze względu na punkt 1 poniżej. W systemie są odpadki adware, w tym trzy czynne usługi (z tego dwie to sterowniki), co może być przyczyną spowolnienia. Pod tym kątem: 1. Przez Panel sterowania odinstaluj adware IePluginService12.27.0.3326, przy okazji i stare wystąpienia Adobe Reader X (10.1.10) MUI + wszystkie Java. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {55685567-4840-4a91-962b-49a412e9485a}w64; C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys [61112 2014-05-26] (StdLib) R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}w64; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}w64.sys [61112 2014-05-12] (StdLib) R2 IePluginService; C:\ProgramData\IePluginService\PluginService.exe [705136 2014-04-11] (Cherished Technololgy LIMITED) S3 BTATH_LWFLT; \SystemRoot\system32\DRIVERS\btath_lwflt.sys [X] S2 Update webget; "C:\Program Files (x86)\webget\updatewebget.exe" [X] S2 Util webget; "C:\Program Files (x86)\webget\bin\utilwebget.exe" [X] Task: {377AE4DD-966C-46D5-9A8D-9432F9A2A65D} - System32\Tasks\Omiga Plus RunAsStdUser => C:\Program Files (x86)\Omiga Plus\omigaplus.exe Task: {6289A9F2-F219-4B27-88D1-EE056FC43CA5} - \AutoKMS No Task File Task: {BE25E737-C552-4195-B62E-7C7DFAC0456F} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [Adobe ARM] => "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" HKU\S-1-5-21-1890577046-1904970765-735041783-1001\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" ShortcutWithArgument: C:\Users\J\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=sc&from=wpm0226&uid=HitachiXHTS547550A9E384_J1120021CEPLRACEPLRAX&ts=1393568236 ShortcutWithArgument: C:\Users\J\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1388677535&from=wpm0102&uid=HitachiXHTS547550A9E384_J1120021CEPLRACEPLRAX ShortcutWithArgument: C:\Users\J\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=sc&from=wpm0226&uid=HitachiXHTS547550A9E384_J1120021CEPLRACEPLRAX&ts=1393568236 HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=HitachiXHTS547550A9E384_J1120021CEPLRACEPLRAX&ts=1393568236&type=default&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1388677535&from=wpm0102&uid=HitachiXHTS547550A9E384_J1120021CEPLRACEPLRAX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=hp&from=wpm0226&uid=HitachiXHTS547550A9E384_J1120021CEPLRACEPLRAX&ts=1393568236 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=hp&from=wpm0226&uid=HitachiXHTS547550A9E384_J1120021CEPLRACEPLRAX&ts=1393568236 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1388677535&from=wpm0102&uid=HitachiXHTS547550A9E384_J1120021CEPLRACEPLRAX&q={searchTerms} SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1388677535&from=wpm0102&uid=HitachiXHTS547550A9E384_J1120021CEPLRACEPLRAX&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1388677535&from=wpm0102&uid=HitachiXHTS547550A9E384_J1120021CEPLRACEPLRAX&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1388677535&from=wpm0102&uid=HitachiXHTS547550A9E384_J1120021CEPLRACEPLRAX&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1388677535&from=wpm0102&uid=HitachiXHTS547550A9E384_J1120021CEPLRACEPLRAX&q={searchTerms} SearchScopes: HKCU - DefaultScope {607D409B-3C06-4744-AA43-6650F770CB34} URL = SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKCU - {607D409B-3C06-4744-AA43-6650F770CB34} URL = Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File C:\Program Files (x86)\Mobogenie C:\ProgramData\IePluginService C:\ProgramData\WPM C:\Users\J\AppData\Local\genienext C:\Windows\MultiKMS C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}w64.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. Wypowiedz się czy widzisz zmiany. .

Pokaż zrzut ekranu z Dziennika / kwarantanny Avast, by było wiadome o czym mowa.

Dostarczony Fixlog jest już z drugiego podejścia i nie wykazuje żadnych napraw, bo to pierwsza runda je załatwiła i stosowny starszy log powinien być w C:\FRST\Logs\Fixlog_data_czas.txt. Co to znaczy "zawiesił się" - ile czekałeś? Nie wykonała się ostatnia z komend (czyszczenie Temp), komenda ta może się długo wykonywać. Czy po usunięciu YAC jest jakaś poprawa? Poprawki. Otwórz Notatnik i wklej w nim: CloseProcesses: C:\sh4ldr C:\Program Files\Enigma Software Group C:\Users\Mirek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter C:\Users\Mirek\Desktop\SpyHunter.lnk C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\System32\Tasks\SpyHunter4Startup RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Users\Mirek\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Dom EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ma nastąpić restart. Dostarcz wynikowy fixlog.txt. .

Temat przenoszę do działu Windows XP. Brak znaków czynnej infekcji, tylko szczątki adware, więc efekty są pochodną czegoś innego. W spoilerze tylko doczyszczanie wpisów starych i szczątkowych, to nie powinno mieć jednak związku z opisywanymi problemami. Problem pochodzi od wpisu Hewlett-Packard związanego z systemem firmowego Recovery: HKLM\...\Run: [Recguard] => C:\WINDOWS\Sminst\Recguard.exe [1187840 2005-12-20] () Komunikat potwierdza uszkodzenie instalacji, tzn. brakuje pliku C:\WINDOWS\Sminst\BaseImg.dll, który usunął Avast. Przywróć plik z kwarantanny na miejsce. Ponadto, patrząc na kwarantannę Avast jeszcze się zdaje, że Avast zdewastował oprogramowanie touchpada. Na liście zainstalowanych jest pozycja Synaptics Pointing Device Driver, ale właściwie brak oznak, by oprogramowanie było. Podobne zalecenia jak wcześniej: 1. Sprawdź Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Wyłącz zbędne wpisy ze startu. W Autoruns w karcie Logon odznacz: HKLM\...\Run: [GrooveMonitor] => C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe [31016 2006-10-27] (Microsoft Corporation) HKLM\...\Run: [NeroFilterCheck] => C:\WINDOWS\system32\NeroCheck.exe [155648 2006-01-12] (Nero AG) HKLM\...\Run: [FixCamera] => C:\WINDOWS\FixCamera.exe [20480 2007-02-10] () HKLM\...\Run: [HP Software Update] => C:\Program Files\HP\HP Software Update\HPWuSchd2.exe [49152 2007-03-11] (Hewlett-Packard Co.) HKLM\...\Run: [tsnpstd3] => C:\WINDOWS\tsnpstd3.exe [270336 2007-03-10] () HKLM\...\Run: [snpstd3] => C:\WINDOWS\vsnpstd3.exe [827392 2006-09-19] () HKLM\...\Run: [uSBToolTip] => C:\Program Files\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe [199752 2007-02-20] (Pinnacle Systems GmbH) HKLM\...\Run: [sunJavaUpdateSched] => C:\Program Files\Common Files\Java\Java Update\jusched.exe [256896 2014-05-07] (Oracle Corporation) HKU\S-1-5-21-1343024091-1454471165-1417001333-1006\...\Run: [MSMSGS] => C:\Program Files\Messenger\msmsgs.exe [1695232 2008-04-14] (Microsoft Corporation) HKU\S-1-5-21-1343024091-1454471165-1417001333-1006\...\Run: [skype] => C:\Program Files\Skype\Phone\Skype.exe [21650016 2014-07-24] (Skype Technologies S.A.) HKU\S-1-5-21-1343024091-1454471165-1417001333-1006\...\Run: [Facebook Update] => C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Facebook\Update\FacebookUpdate.exe [138096 2014-06-11] (Facebook Inc.) Startup: C:\Documents and Settings\admin\Menu Start\Programy\Autostart\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk Startup: C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk Startup: C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Autostart\HP Digital Imaging Monitor.lnk Startup: C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk Startup: C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Autostart\HP Digital Imaging Monitor.lnk W karcie Services odznacz JavaQuickStarterService, SkypeUpdate. W karcie Scheduled Tasks odfajkuj wszystkie wystąpienia Facebooka. Zresetuj system. (części wpisów może nie być po deinstalacjach ze spoilera) 3. A na koniec sprawdzić czy to nie Avast bruździ. .

Wszystko wygląda na przetworzone. Kroki końcowe z poziomu konta Adam: 1. Ręcznie usuń pobrane narzędzia z folderu D:\Nowy folder. Popraw za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Java 7 Update 55 (wersja 32-bit) do najnowszej wersji. vs. Windows Defender i multum innych skanerów jawnie blokowane przez wpisy infekcji MSIL/Injector (cała litania IFEO w początkowym logu FRST). Problem Metro niejasny, ale były czynne obiekty adware i całkiem możliwe, że to miało powiązanie. Operacje zalecone pod kątem usuwania wymienianych elementów pomogły na wszystkie usterki, więc to była przyczyna problemów. Nabyta przyczyna. Tu czas nie jest żadnym wyznacznikiem, system można załatwić zaledwie kilka minut od postawienia, jeśli się uruchomi niepożądany pobrany ręcznie instalator. MSIL/Injector to głównie infekcja charakterystyczna dla cracków. Adware weszło zaś tymi metodami: KLIK. .

Kompletnie nic się nie zgadza (tak jakby inny profil Google był sprawdzany), w pliku Preferences Google Chrome brak jakichkolwiek odniesień, praktycznie zero rozszerzeń. Otwórz Google Chrome, przejdź do Rozszerzeń, włącz Tryb programisty i zrób zrzut ekranu z widocznych rozszerzeń. .

Dostarczony tu log FRST Addition nie jest poprawny i nie mogę go brać pod uwagę. Główny log jest z wersji z 27 września: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 27-09-2014 Ran by Chrisso (administrator) on AS on 30-09-2014 00:43:47 Addition zaś pochodzi sprzed ponad dwóch tygodni i nie jest z najnowszej wersji: Additional scan result of Farbar Recovery Scan Tool (x86) Version: 11-09-2014 Ran by Chrisso at 2014-09-11 13:25:28 AdwCleaner był uruchamiany wiele razy, dostarcz także poprzednie logi z usuwania: AdwCleaner[s0].txt - [24025 octets] - [11/09/2014 15:27:38] AdwCleaner[s1].txt - [2868 octets] - [26/09/2014 15:21:24] Pokaż mi próbkę tych reklam na zrzucie oraz na jakie adresy te podkreślenia przekierowują. W Google Chrome wg FRST są następujące rozszerzenia i teoretycznie nic tu podejrzanego nie widać, ale to mogą być pozory: CHR Extension: (Mindjet) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgpkinhfhnglbhoeoeooekalejbhbhgl [2014-03-30] CHR Extension: (Kindle Cloud Launcher) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\cabgeinondjemaplkkcifnplhcbeeiob [2014-03-13] CHR Extension: (Adblock Plus) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2014-03-13] CHR Extension: (Video download helper) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\dbkchnicaiglcjpgbmpfmoafckkomdcm [2014-07-05] CHR Extension: (Realm of the Mad God) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhjfmaldpppkmjjgkmadddbanpabfflp [2014-03-13] CHR Extension: (Lucidchart Schematy - Desktop) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\djejicklhojeokkfmdelnempiecmdomj [2014-03-30] CHR Extension: (Springpad) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\fkmopoamfjnmppabeaphohombnjcjgla [2014-03-13] CHR Extension: (Eurosport.com) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdgbgdcalebljdefaifebkkdcemjlaai [2014-03-13] CHR Extension: (TinEye Reverse Image Search) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\haebnnbpedcbhciplfhjjkbafijpncjl [2014-03-13] CHR Extension: (Symphonical) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\hcgllakjbbignhambejggdljofdagfja [2014-03-30] CHR Extension: (Google Keep – notatki i listy) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\hmjkmjkepdijhoojdojkdfohbdgmmhki [2014-03-30] CHR Extension: (Send to Kindle (by Klip.me)) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\ipkfnchcgalnafehpglfbommidgmalan [2014-03-13] CHR Extension: (Skype Click to Call) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl [2013-01-10] CHR Extension: (Extensions Manager (aka Switcher)) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\lpleipinonnoibneeejgjnoeekmbopbc [2014-03-13] CHR Extension: (Save to Pocket) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\niloccemoadcdkdjlinkgdfekeahmflj [2014-03-13] CHR Extension: (Google Wallet) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2013-08-23] CHR Extension: (SEO Analysis with Seoptimer) - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\pplbjgemahdghhnelnlihpflpdkkmmgj [2014-04-13] Na razie działania wstępne: 1. Usuń wszystkie wystąpienia FRST i jego logi. Pobierz najnowszą wersję z przyklejonego. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 avgtp; C:\windows\system32\drivers\avgtpx86.sys [42784 2014-08-07] (AVG Technologies) S3 AVG Security Toolbar Service; C:\Program Files\AVG\AVG10\Toolbar\ToolbarBroker.exe [167264 2011-11-10] () S2 ABBYY.Licensing.PDFTransformer.Classic.3.0; "F:\Program Files\ABBYY PDF Transformer 3.0\NetworkLicenseServer.exe" -service [X] S3 NitroDriverReadSpool9; "C:\Program Files\Nitro\Pro 9\NitroPDFDriverService9.exe" [X] S2 vToolbarUpdater18.1.9; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\18.1.9\ToolbarUpdater.exe [X] S1 ASPI32; No ImagePath S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] HKU\S-1-5-21-3298792027-3563228929-1561543473-1002\...\Run: [AdobeBridge] => [X] Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG2012\avgpp.dll No File FF Plugin: @nitropdf.com/NitroPDF -> C:\Program Files\Nitro\Pro 9\npnitromozilla.dll No File CHR HKLM\...\Chrome\Extension: [dopemniaeocfenlpnoannaefnhfcjcgi] - C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Extensions\searchswitch.crx [] CHR HKLM\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - C:\Program Files\Skype\Toolbars\ChromeExtension\skype_chrome_extension.crx [2014-07-14] CHR HKCU\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\Chrisso\AppData\Local\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx [2013-12-05] DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\superfish.com DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Search C:\Program Files\Mozilla Firefoxavg-secure-search.xml C:\ProgramData\Temp C:\Windows\system32\drivers\avgtpx86.sys C:\Users\Chrisso\AppData\Roaming\FileOpen C:\Users\Chrisso\AppData\Roaming\Thinstall CMD: regsvr32 /u /s "C:\Program Files\IObit\IObit Uninstaller\UninstallExplorer32.dll" CMD: del /q C:\Users\Chrisso\Downloads\AdwCleaner*.exe CMD: del /q C:\Users\Chrisso\Downloads\ComboFix*.exe CMD: type "C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Preferences" Folder: C:\Users\Chrisso\AppData\Local\Google\Chrome\User Data\Default\Local Storage Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Specjalny skrót IE jest uszkodzony: Shortcut: C:\Users\Chrisso\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Chrisso\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. W Google Chrome: Ustawienia > karta Rozszerzenia > po kolei wyłączaj po jednym rozszrzeniu na raz i restart przeglądarki, by sprawdzić czy reklamy nadal występują. Gdy ustalisz które rozszerzenie wpływa na produkcję reklam, zanotuj nazwę i mi ją podaj. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstał adekwatny log. Dołącz też plik fixlog.txt. .

Na razie to tu prawie nic nie widać, drobne odpadki adware, ale nie to: Kompletnie nie widać tego w raporcie, jedyna Ad-block podobna pozycja to zasadniczy Ad-block: Chrome: ======= CHR Profile: C:\Users\pb\AppData\Local\Google\Chrome\User Data\Default CHR Extension: (Google Docs) - C:\Users\pb\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-07-10] CHR Extension: (Google Drive) - C:\Users\pb\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2014-07-10] CHR Extension: (YouTube) - C:\Users\pb\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2014-07-10] CHR Extension: (Google Search) - C:\Users\pb\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2014-07-10] CHR Extension: (AdBlock) - C:\Users\pb\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2014-09-07] CHR Extension: (Google Wallet) - C:\Users\pb\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-07-10] CHR Extension: (Gmail) - C:\Users\pb\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2014-07-10] Będę pobierać preferencje Google w skrypcie, by sprawdzić gdzie jest odwołanie do tego. Dwie rodzaje detekcji: - Instalator Avira: tak, starsze wersje zawierają niepożądany pasek "Ask Toolbar". - Downloader portalowy Nic nowego poza omówionymi wcześniej aspektami. Wstępnie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SweetPacks C:\Users\pb\AppData\Roaming\Mozilla Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: type "C:\Users\pb\AppData\Local\Google\Chrome\User Data\Default\Preferences" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Na przyszłość, GMER zrobiony w złych warunkach przy czynnym emulatorze SPTD. Nie wykonałeś ogłoszenia: KLIK. Temat przenoszę do działu Windows. Problem zasadniczy nie jest pochodną infekcji. A w spoilerze usuwanie szczątków po adware i wpisów pustych oraz owego sterownika SPTD (to odpadek), ale to nie jest powiązane z miejscem na dysku. Co najwyżej ostatnia z komend czyszczenia lokalizacji tymczasowych może tymczasowo uwolnić nieco miejsca. ==================== Drives ================================ Drive c: () (Fixed) (Total:19.53 GB) (Free:0 GB) NTFS ==>[Drive with boot components (obtained from BCD)] Drive d: () (Fixed) (Total:43.94 GB) (Free:8.78 GB) NTFS Drive e: () (Fixed) (Total:48.33 GB) (Free:5.63 GB) NTFS ==================== MBR & Partition Table ================== ======================================================== Disk: 0 (MBR Code: Windows 7 or 8) (Size: 111.8 GB) (Disk ID: 3CCD3CCC) Partition 1: (Active) - (Size=19.5 GB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=92.3 GB) - (Type=OF Extended) Jest tylko jeden dysk fizyczny podzielony na 3 partycje. Jeśli te proporcje partycji są poprawne, to ogólnie to jest przyznane za mało na system. C ustawione na ~20GB, co jest minimum instalacyjnym. A tu trzeba liczyć cieniowanie woluminu, aktualizacje Windows, zainstalowane programy. Nawet jeśli wskazujesz inny dysk jako miejsce instalacji programów, to i tak tworzą się ich foldery na dysku systemowym C np. tu: C:\ProgramData C:\Users\Grzesiek\AppData\Local C:\Users\Grzesiek\AppData\Roaming Cóż, nie sądzę, że dasz radę tu się uwolnić na stałe od problemów. Będzie wieczny problem z uciekającym miejscem i ściskanie pasa, by instalować tylko mniejsze aplikacje, ścibolić wszędzie i się ograniczać. Tu na widoku jest rozszerzenie partycji C poprzez podebranie z sąsiadującej z nią partycji nieco wolnego miejsca. Tylko też nie ma za bardzo z czego brać, pozostałe partycje również ledwo zipią i mało wolnego. I w obecnej sytuacji nie jest nawet możliwe zaktualizowanie Windows, który jest kompletnie goły (brak SP1, IE11 i reszty łat), brak miejsca na dysku: Platform: Windows 7 Home Basic (X64) OS Language: Polski (Polska) Internet Explorer Version 8 Wstępnie wykonaj diagnostykę miejsca za pomocą aplikacji SpaceSniffer. Z prawokliku Uruchom jako Administrator, by obliczone zostały też obszary zablokowane przez uprawnienia. Ale jak mówię, tu jest niefortunnie podzielony dysk i partycja z Windows jest po prostu za mała. .

Brakuje obowiązkowego GMER. No cóż, mamy tu odpadkowe adware oraz szczątki trojana MSIL/Injector. Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Reg: reg query "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\System backup" /s Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Schedule /s Reg: reg query "HKCU\Software\Microsoft\Windows Script" /s Reg: reg query "HKCU\Software\Microsoft\Windows Script Host" /s CMD: sc config "PLAY ONLINE. RunOuc" start= demand R1 {29b136c9-938d-4d3d-8df8-d649d9b74d02}Gw64; C:\Windows\System32\drivers\{29b136c9-938d-4d3d-8df8-d649d9b74d02}Gw64.sys [61120 2014-04-24] (StdLib) R1 {29b136c9-938d-4d3d-8df8-d649d9b74d02}w64; C:\Windows\System32\drivers\{29b136c9-938d-4d3d-8df8-d649d9b74d02}w64.sys [60704 2014-05-22] (StdLib) HKLM\...\Policies\Explorer\Run: [Help and Restore] => C:\Windows\Microsoft.NET\Framework\v2.0.50727\AppLaunch.exe [56472 2014-03-21] ( (Microsoft Corporation)) HKU\S-1-5-21-968353270-2445360347-1696007631-1000\...\Winlogon: [shell] explorer.exe,"C:\Windows\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe" HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1411652405&from=wpc&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1411652405&from=wpc&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1411652405&from=wpc&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1411652405&from=wpc&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1411652405&from=wpc&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1411652405&from=wpc&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1411652405&from=wpc&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1411652405&from=wpc&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1411652405&from=wpc&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1411652405&from=wpc&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1411652405&from=wpc&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1411652405&from=wpc&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1411652405&from=wpc&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1411652405&from=wpc&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1411652405&from=wpc&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1411652405&from=wpc&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF204686646866&q={searchTerms} BHO: No Name -> {122735e5-21b1-4899-93bc-0cdd6380a60a} -> No File BHO-x32: No Name -> {122735e5-21b1-4899-93bc-0cdd6380a60a} -> No File Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File CHR Extension: (GuoSave) - C:\Users\Adam\AppData\Local\Google\Chrome\User Data\Default\Extensions\aedjecglgkjccpaalcgpocfjbcjohfko [2014-09-25] CHR Extension: (GoSSave) - C:\Users\Adam\AppData\Local\Google\Chrome\User Data\Default\Extensions\leolnijocgbaebibcjhgjojpmeppkapo [2014-09-25] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File Task: {46A230F7-A3DA-4DC4-BDD4-210493A8EB17} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {6693FD75-2D2C-47A5-B762-90F4BBA83901} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {998160A0-231E-4014-A042-F0742D8E0930} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe Task: {A0BBEE0B-2586-4F3B-BBEF-AE08D843F145} - System32\Tasks\SW-Booster-S-792098896 => c:\programdata\trusted publisher\sw-booster\SW-Booster.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe C:\END C:\Program Files (x86)\4jres.dll C:\Program Files (x86)\4jUninstall RadioRage.dll C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\NextCioup C:\Program Files (x86)\YouutUbeADBlocke C:\ProgramData\db930178e28582b9 C:\ProgramData\GoeSave C:\ProgramData\GuoSave C:\ProgramData\NextCioup C:\ProgramData\Norton C:\ProgramData\Trusted Publisher C:\ProgramData\YouutUbeADBlocke C:\Users\Adam\jaijaeq.exe C:\Users\Adam\Orig_0401.jar C:\Users\Adam\AppData\Local\Chromatic Browser C:\Users\Adam\AppData\Local\Comodo C:\Users\Adam\AppData\Local\Torch C:\Users\Adam\AppData\Roaming\msconfig.ini C:\Users\Adam\AppData\Roaming\Windows Loader.exe C:\Users\Adam\AppData\Roaming\AVG C:\Users\Adam\AppData\Roaming\C03E69C9 C:\Users\Adam\AppData\Roaming\EZDownloader C:\Users\Adam\AppData\Roaming\OpenCandy C:\Users\Adam\AppData\Roaming\uTorrent C:\Users\Adam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk C:\Users\Adam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Alcohol 52%.lnk C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\µTorrent.lnk C:\Users\Adam\Downloads\SpyHunter-installer.exe C:\Users\Administrator\AppData\Local\Comodo C:\Users\Administrator\AppData\Local\Chromatic Browser C:\Users\Administrator\AppData\Local\Google C:\Users\Administrator\AppData\Local\Torch C:\Users\Gość\AppData\Local\Chromatic Browser C:\Users\Gość\AppData\Local\Comodo C:\Users\Gość\AppData\Local\Google C:\Users\Gość\AppData\Local\Torch C:\Windows\pss\TornTvDownloader.lnk.Startup C:\Windows\System32\drivers\{29b136c9-938d-4d3d-8df8-d649d9b74d02}Gw64.sys C:\Windows\System32\drivers\{29b136c9-938d-4d3d-8df8-d649d9b74d02}w64.sys C:\Windows\SysWow64\setup.exe C:\Windows\SysWOW64\GroupPolicy\GPT.INI RemoveDirectory: C:\Users\Adam\Desktop\Stare dane programu Firefox DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Adam^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^TornTvDownloader.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AlcoholAutomount DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\jaijaeq DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RadioRage EPM Support DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RadioRage Home Page Guard 64 bit DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RadioRage Search Scope Monitor DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RadioRage_4j Browser Plugin Loader DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RadioRage_4j Browser Plugin Loader 64 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RadioRage_4jbar Uninstall DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SFAUpdater DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Smart File Advisor DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\System backup DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TornTv Downloader DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

Na przyszłość: ciągle proszę o dostarczanie raportów OTL, obowiązkowy jest także GMER. W Firefox jest adware Site Counselor. Wdróż następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: BootExecute: autocheck autochk * sdnclean.exe S3 Lavasoft Kernexplorer; \??\C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys [X] R3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] CustomCLSID: HKU\S-1-5-21-3635252407-3609743005-2640781616-1003_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\Users\UpdatusUser\Desktop\BESTplayer.exe No File Task: {0B60336D-EF33-4DCE-B710-307E225D305C} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Task: {11959611-87C8-4263-A49D-F360FFABFEBC} - System32\Tasks\{3902DAA3-2D4B-43F8-B549-062CDD40F84E} => C:\Program Files\Skype\Phone\Skype.exe Task: {32433FCE-263A-492A-8C5F-CEF2B8D068E1} - System32\Tasks\{2D41BDD4-F191-42FE-9B5E-2F895CF5826D} => C:\Program Files\Skype\Phone\Skype.exe Task: {719AE054-33A5-44A7-8336-F2280292CD4D} - System32\Tasks\{39F79A4A-D146-4C78-9BFC-5190C793CC2F} => C:\Program Files\Skype\Phone\Skype.exe Task: C:\Windows\Tasks\Ad-Aware Update (Weekly).job => C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Task: C:\Windows\Tasks\{015DDA45-1AD3-4DCF-A9E1-931E0AF1ED76}.job => c:\program files\mozilla firefox\firefox.exe Task: C:\Windows\Tasks\{17365AA8-17A6-4BB7-88AD-1E7F7BE3354B}.job => c:\program files\mozilla firefox\firefox.exe FF Extension: Site Counselor - C:\Users\lukas\AppData\Roaming\Mozilla\Firefox\Profiles\fajivg9s.default\Extensions\{e0352044-1439-48ba-99b6-b05ed1a4d2de} [2014-09-25] C:\ProgramData\TEMP C:\Users\lukas\AppData\Local\Google Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\savesenselive" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\savesenselivem" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware SaveSense) > Dalej. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). EDIT: Następnym razem proszę nie zakładaj tematów równolegle na różnym forach bez powiadomienia, bo to się mści, a instrukcji nie wolno krzyżować i jedna ze stron musi spasować. Znalazłam alternatywny temat założony na innym forum. Ten komentarz o reklamach to oderwany od rzeczywistości, przecież adware w Firefox jest. Cześć wpisów już przetworzono, ale porównać wystarczy zawartość tutejszego pliku Fixlog. Poza tym, ruszono trzy wejścia, które należało zostawić w spokoju: S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] Jeśli tu się zjawisz, nie możesz już zastosować powyższego Fixlist z punktu 1, nowy skrypt: CloseProcesses: BootExecute: autocheck autochk * sdnclean.exe S3 Lavasoft Kernexplorer; \??\C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys [X] R3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] CustomCLSID: HKU\S-1-5-21-3635252407-3609743005-2640781616-1003_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\Users\UpdatusUser\Desktop\BESTplayer.exe No File Task: {0B60336D-EF33-4DCE-B710-307E225D305C} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Task: {11959611-87C8-4263-A49D-F360FFABFEBC} - System32\Tasks\{3902DAA3-2D4B-43F8-B549-062CDD40F84E} => C:\Program Files\Skype\Phone\Skype.exe Task: {32433FCE-263A-492A-8C5F-CEF2B8D068E1} - System32\Tasks\{2D41BDD4-F191-42FE-9B5E-2F895CF5826D} => C:\Program Files\Skype\Phone\Skype.exe Task: {719AE054-33A5-44A7-8336-F2280292CD4D} - System32\Tasks\{39F79A4A-D146-4C78-9BFC-5190C793CC2F} => C:\Program Files\Skype\Phone\Skype.exe Task: C:\Windows\Tasks\Ad-Aware Update (Weekly).job => C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe C:\ProgramData\TEMP C:\Users\lukas\AppData\Local\Google Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\savesenselive" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\savesenselivem" /f EmptyTemp: Ponadto, zalecono "deinstalację" Google Update. Przecież wejście jest ukryte i go nie widać, dlatego są wymagane szczególne działania. Punkty 2 + 3 z tutejszej instrukcji nadal aktualne. .

Temat przenoszę do działu Windows, opisany problem to nie jest infekcja. A zestaw wzmaganych logów niekompletny: brakuje FRST Shortcut, nadal sprawdzam też raporty z OTL. GMER zrobiony natomiast w złym środowisku przy czynnym sterowniku SPTD od emulacji napędów wirtualnych. ==================== Installed Programs ====================== ESET Smart Security (HKLM\...\{C6591CEE-10AE-416A-9220-42DE057C628B}) (Version: 7.0.317.4 - ESET, spol s r. o.) + ========================= Accounts: ========================== Administrator (S-1-5-21-1611168523-4051905444-464354362-500 - Administrator - Disabled) anzcrbjqfwl (S-1-5-21-1611168523-4051905444-464354362-1332 - Limited - Enabled) CRISS (S-1-5-21-1611168523-4051905444-464354362-1000 - Administrator - Enabled) => C:\Users\CRISS Gość (S-1-5-21-1611168523-4051905444-464354362-501 - Limited - Disabled) HomeGroupUser$ (S-1-5-21-1611168523-4051905444-464354362-1002 - Limited - Enabled) PiotrPC (S-1-5-21-1611168523-4051905444-464354362-1319 - Limited - Enabled) Te losowe konta (tu widoczne anzcrbjqfwl) tworzy nie kto inny a ESET Smart Security. Proszę, temat z forum: KLIK. Cytuję clou: Poboczne sprawy nie związane z w/w problemem: są tu szczątki adware oraz czynny Kaspersky Internet Security (wygląda na niepoprawnie odinstalowany) skombinowany z pakietem ESET. To prosta droga na szubiennicę. Ponadto, Kaspersky filtruje klawiaturę i mysz, niepoprawne usunięcie sterowników "na żywca" spowoduje pad tych urządzeń. Pod tym kątem akcje: 1. Z poziomu Trybu normalnego odinstaluj via Panel sterowania: - Śmieciarskie aplikacje: PcSpeedTest 1.1.1.0, Przyspiesz.pl. - Proponuję też pozbyć się wszystkich produktów IOBit (Advanced SystemCare 7, Driver Booster, Game Booster 3, IObit Malware Fighter, IObit Uninstaller, Protected Folder, Smart Defrag 3, Surfing Protection). Firma ma nieciekawą historię (kradzież bazy danych MBAM, związki partnerskie z podejrzanymi reklamami/producentami, instalacje adware w instalatorach). Więcej: KLIK. Jeśli jednak zdecydujesz się zostawić tę markę, to pozbądź się chociaż IObit Malware Fighter + Surfing Protection. Zbędne przy ESET Smart Security, tylko męczysz system nadmiarem rezydentów. 2. Wejdź w Tryb awaryjny Windows. Otwórz Notatnik i wklej w nim: CloseProcesses: R0 gfibto; C:\Windows\System32\drivers\gfibto.sys [13560 2013-07-10] (GFI Software) Task: {273F7D11-6A49-48F8-8DF6-778FC8729828} - System32\Tasks\Ad-Aware Antivirus Scheduled Scan => C:\PROGRA~1\Ad-Aware Antivirus\AdAwareLauncher.exe Task: {51A4E61F-02ED-4033-B5F9-98468306877E} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files\Desk 365\desk365.exe Task: {91DD9FAB-CE54-48D6-89A4-B36A45DF5BAC} - System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-1611168523-4051905444-464354362-1000 => C:\Program Files\Real\RealUpgrade\RealUpgrade.exe Task: {A5D8CFF0-6402-4F4F-9BC4-3CA3909AA2F3} - System32\Tasks\Omiga Plus RunAsStdUser => C:\Program Files\Omiga Plus\omigaplus.exe Task: {E1DCB0FD-0AB0-43E6-8885-A3F409B4FADE} - System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-1611168523-4051905444-464354362-1000 => C:\Program Files\Real\RealUpgrade\RealUpgrade.exe Task: {E5D1D3C0-A6AF-4243-9DB6-4E30AC8EF5B6} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe AV: Kaspersky Internet Security (Enabled - Up to date) {179979E8-273D-D14E-0543-2861940E4886} AS: Kaspersky Internet Security (Enabled - Up to date) {ACF8980C-0107-DEC0-3FF3-1313EF89023B} FW: Kaspersky Internet Security (Enabled) {2FA2F8CD-6D52-D016-2E1C-81546ADD0FFD} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\IMFservice => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" ShellIconOverlayIdentifiers: 00avast -> {472083B0-C522-11CF-8763-00608CC02F24} => No File SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1385306098&from=slbnew&uid=SAMSUNGXHE502IJ_S1MTJ1LS700206&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1385306098&from=slbnew&uid=SAMSUNGXHE502IJ_S1MTJ1LS700206&q={searchTerms} CHR HKLM\...\Chrome\Extension: [blbkdnmdcafmfhinpmnlhhddbepgkeaa] - https://chrome.google.com/webstore/detail/blbkdnmdcafmfhinpmnlhhddbepgkeaa [] CHR HKLM\...\Chrome\Extension: [dchlnpcodkpfdpacogkljefecpegganj] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 14.0.0\ChromeExt\urladvisor.crx [2013-10-16] CHR HKLM\...\Chrome\Extension: [hakdifolhalapjijoafobooafbilfakh] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 14.0.0\ChromeExt\online_banking_chrome.crx [2013-10-16] CHR HKLM\...\Chrome\Extension: [hghkgaeecgjhjkannahfamoehjmkjail] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 14.0.0\ChromeExt\content_blocker_chrome.crx [2013-10-16] CHR HKLM\...\Chrome\Extension: [jagncdcchgajhfhijbbhecadmaiegcmh] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 14.0.0\ChromeExt\virtkbd.crx [2013-10-16] CHR HKLM\...\Chrome\Extension: [nbmafkdmkkckhggblphicnnhlgljnoje] - C:\Program Files\TornTV.com\torn2_10.crx [2013-10-16] CHR HKLM\...\Chrome\Extension: [pjldcfjmnllhmgjclecdnfampinooman] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 14.0.0\ChromeExt\ab.crx [2013-10-16] C:\Program Files\Mozilla Firefox C:\Program Files\TornTV.com C:\Users\CRISS\AppData\Roaming\Mozilla C:\Windows\System32\drivers\gfibto.sys Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d kbdclass /f Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d mouclass /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IObit Malware Fighter" /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wejdź w Tryb awaryjny Windows i zastosuj Kaspersky Remover. 4. Otwórz Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj obiekty Kasperskiego Anti-Banner, Dangerous Websites Blocker, Kaspersky URL Advisor, Safe Money, Virtual Keyboard oraz Advanced SystemCare Surfing Protection od IOBit Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt. .

Owszem, nowe obiekty są w logu, ale one powstały zanim przeprowadziłeś usuwanie FRST, więc pewnie zostały dociągnięte przez aktywną infekcję w tle. Zadawałam do usuwania tylko to co było widać w poprzednim logu. Kolejne podejście: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-774380394-1341737781-3001330708-1000\...\Run: [Giyqsagy] => C:\Users\Pozioma\AppData\Roaming\Feviewo\beoklay.exe [311404 2014-08-28] (ON Technology Corp) HKU\S-1-5-21-774380394-1341737781-3001330708-1000\...\Run: [YkzjPack] => C:\Users\Pozioma\AppData\Local\YkzjPack\tmpD829.exe [110592 2014-09-29] (Copyright © 1996-2013 VideoLAN and VLC Authors) HKU\S-1-5-21-774380394-1341737781-3001330708-1000\...\Run: [YtjcPack] => regsvr32.exe HKU\S-1-5-21-774380394-1341737781-3001330708-1000\...\Run: [Answworks] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Pozioma\AppData\Local\YkzjPack\tsUtilServices.dll FF Extension: DynamicRenderer Class - C:\Users\Pozioma\AppData\Roaming\Mozilla\Firefox\Profiles\pfijyol4.default\Extensions\{99E3C1FC-AEB7-077F-6DEF-7629C05B0AA5} [2014-09-20] C:\Users\Pozioma\AppData\Local\YkzjPack C:\Users\Pozioma\AppData\Roaming\Feviewo C:\Windows\Tasks\Security Center Update - *.job C:\Windows\System32\Tasks\Security Center Update - * HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\74502215.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\74502215.sys => ""="Driver" Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. 2. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Powstanie kolejny plik fixlog.txt. 3. Prewencyjnie kompleksowo wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Avira Browser Safety i FireFTP będą do reinstalacji. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, gdyż na bank są szkodniki także w Harmonogramie zadań (ruszyłam to tylko częściowo powyższym skryptem). Dołącz też plik fixlog.txt. .

Tu musiało być coś więcej robione, bo brakowało wpisów w Harmonogramie zadań również kompletnie nie związanych z AVG. Nie liczę dwóch wpisów wyłączonych przez msconfig, gdyż zrobienie tej akcji przesunęło wpisy do innego klucza i żadne z narzędzi nie potrafiło tego odnaleźć. Te klucze zaadresował ostatni skrypt do FRST. Nawiasem mówiąc to narzędzie Arka zostało pobrane (w domyśle także uruchomione) przed zrobieniem logów w poście numer #4, o czym świadczy log FRST z owego czasu pokazujący to narzędzie na dysku. Ponadto, nawet jeśli zmieniłeś kolejność, to i tak to FRST usuwał komponenty AVG (a nie narzędzie firmowe AVG): Content of fixlist: ***************** R1 avgtp; C:\windows\system32\drivers\avgtpx64.sys [46368 2013-11-11] (AVG Technologies) FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\nation-secure-search.xml ***************** avgtp => Service stopped successfully. avgtp => Service deleted successfully. C:\Program Files (x86)\mozilla firefox\browser\searchplugins\nation-secure-search.xml => Moved successfully. C:\Windows\system32\drivers\avgtpx64.sys => Moved successfully. Kompletny brak zmian, nadal masa czynnych komponentów Kasperskiego, brak także oznak uruchomienia ponownie tego firmowego usuwacza. Na dysku są dwa logi datowane sprzed zadań podanych w moim poprzednim poście: C:\Users\A&A\Desktop\kavremvr 2014-09-29 20-30-02 (pid 1732).log C:\Users\A&A\Desktop\kavremvr 2014-09-29 17-52-08 (pid 3960).log Dostarcz oba pliki, tylko musisz im zmienić nazwę rozszerzenia z *.LOG na *.TXT (po odznaczeniu w Opcje folderów > Widok > Ukrywaj rozszerzenia znanych typów plików), by weszły w załączniki. Ponawiam pytanie: czy narzędzie Kasperskiego zostało na pewno użyte w Trybie awaryjnym Windows? Co się pokazuje jak je uruchamiasz? .

Na koncie Gosia nadal widać adware w Google Chrome. Skoro Chrome zostanie odinstalowany, to doczyścisz ręcznie. Wszystkie operacje z poziomu konta Adam: 1. Odinstaluj Google Chrome, bo to globalna instalacja. Przy deinstalacji potwierdź usuwanie danych użytkownika. Po tym sprawdź czy zostały poniższe katalogi na dysku i te przez SHIFT+DEL skasuj: C:\Users\Agnieszka\AppData\Local\Google C:\Users\Gosia\AppData\Local\Google C:\Users\Komputronik\AppData\Local\Google 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Users\Agnieszka\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Gosia\Desktop\Stare dane programu Firefox DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Dostarcz wynikowy fixlog.txt. 3. Jeszcze poproszę po raz kolejny o log FRST z Adama. Pobierz nową wersję FRST, następnie uruchom FRST, zaznacz pole Addition i tylko ten log Addition mi dostarcz. .