Skocz do zawartości

picasso

Administratorzy
 Pokaż profil  Zobacz aktywność

  • Postów

    36 524

  • Dołączył

  • Ostatnia wizyta

 Typ zawartości 

Treść opublikowana przez picasso

  1. picasso
    Brak widocznych oznak infekcji w rozumieniu trojanów czy wirusów, ale jest w systemie niepożądany program typu PUP, czyli Yet Another Cleaner!. Program ten może mieć negatywne skutki, gdyż ładuje się przy udziale zestawu usług/sterowników. Niemniej tu równie dobrze podejrzanym dla opisywanych efektów może być avast! Internet Security. Wstępnie pozbądź się tego lewego YAC i zobaczymy co się stanie: 1. Przez Panel sterowania odinstaluj Yet Another Cleaner!. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] R3 TRIXX; \??\C:\Users\petik1\AppData\Local\Temp\TRIXX.sys [X] S3 X6va022; \??\C:\Windows\SysWOW64\Drivers\X6va022 [X] S3 X6va025; \??\C:\Windows\SysWOW64\Drivers\X6va025 [X] Task: {EBB1E46D-4E8D-45D0-8014-7DA5269D30F7} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe FF Plugin: @esn/npbattlelog,version=2.5.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.0\npbattlelogx64.dll No File C:\Program Files\Enigma Software Group C:\ProgramData\STOPzilla! C:\Users\petik1\Desktop\Sync Folder.lnk C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP C:\Windows\system32\Drivers\kgpcpy.cfg C:\Windows\SysWOW64\Drivers\kgpfr2.cfg EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz jakieś zmiany. .
  2. picasso
    Zadania przetworzone, ale nadal są widzialne odpadki adware. Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CHR HomePage: Default -> hxxp://rts.dsrlte.com?affID=na CHR StartupUrls: Default -> "hxxp://rts.dsrlte.com?affID=na" RemoveDirectory: C:\Program Files (x86)\NetCrawl RemoveDirectory: C:\Program Files (x86)\Rock Turner RemoveDirectory: C:\Users\Izabela\AppData\Local\Google\Chrome\User Data\Default\Extensions\pfhnkainfgebjkhaoadlkjgjhhgpbohg RemoveDirectory: C:\Users\Izabela\Desktop\Stare dane programu Firefox EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Powstanie kolejny plik fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .
  3. picasso
    W systemie działa multum obiektów adware uruchamianych metodą via Harmonogram zadań oraz usługi. Potencjalne drogi nabycia: KLIK. Wstępne działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {18E0AA83-9D50-4E58-8C2B-76BF566C781F} - System32\Tasks\eb1d300f-ab15-4910-bfc8-74bd8d84d566-7 => C:\Program Files (x86)\Senses\eb1d300f-ab15-4910-bfc8-74bd8d84d566-7.exe [2014-09-22] (Object Browser) Task: {26094FD8-6F3F-4DA2-B611-487470B5E673} - System32\Tasks\00a46f62-8f6a-4f75-899b-9a82c3ee6a4b-5_user => C:\Program Files (x86)\iWebar\00a46f62-8f6a-4f75-899b-9a82c3ee6a4b-5.exe [2014-09-23] (iWebar) Task: {373728B0-2F33-4F59-B064-02D86318CB55} - System32\Tasks\00a46f62-8f6a-4f75-899b-9a82c3ee6a4b-1 => C:\Program Files (x86)\iWebar\iWebar-codedownloader.exe [2014-09-23] (iWebar) Task: {389AC3E9-A34B-47FB-96F9-3C0993BAF0F2} - System32\Tasks\eb1d300f-ab15-4910-bfc8-74bd8d84d566-5 => C:\Program Files (x86)\Senses\eb1d300f-ab15-4910-bfc8-74bd8d84d566-5.exe [2014-09-23] (Object Browser) Task: {488ED5A6-6C96-45D7-A2FD-1DE9B6EC005F} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-09-23] (globalUpdate) Task: {5E604E49-DF69-4A9C-A46E-B39999CB961E} - System32\Tasks\eb1d300f-ab15-4910-bfc8-74bd8d84d566-6 => C:\Program Files (x86)\Senses\eb1d300f-ab15-4910-bfc8-74bd8d84d566-6.exe [2014-09-22] (Object Browser) Task: {6D14C6C5-DFBD-4C06-ABF3-447366756CDF} - System32\Tasks\00a46f62-8f6a-4f75-899b-9a82c3ee6a4b-11 => C:\Program Files (x86)\iWebar\00a46f62-8f6a-4f75-899b-9a82c3ee6a4b-11.exe [2014-09-23] (iWebar) Task: {6D30713F-C0DB-48E7-9743-248957F37E55} - System32\Tasks\Installer_shopperpro => C:\Users\Renatka\AppData\Local\Installer\Installshopperpro_16485\delay.exe Task: {6E05C858-A9AB-4CE8-8E88-C7AC1C92ECE6} - System32\Tasks\eb1d300f-ab15-4910-bfc8-74bd8d84d566-2 => C:\Program Files (x86)\Senses\eb1d300f-ab15-4910-bfc8-74bd8d84d566-2.exe [2014-09-23] (Object Browser) Task: {8B999ED4-F985-4923-883B-51599762A2DE} - System32\Tasks\eb1d300f-ab15-4910-bfc8-74bd8d84d566-5_user => C:\Program Files (x86)\Senses\eb1d300f-ab15-4910-bfc8-74bd8d84d566-5.exe [2014-09-23] (Object Browser) Task: {8E60512F-DB10-4859-AB77-6664F62173BC} - System32\Tasks\00a46f62-8f6a-4f75-899b-9a82c3ee6a4b-7 => C:\Program Files (x86)\iWebar\00a46f62-8f6a-4f75-899b-9a82c3ee6a4b-7.exe [2014-09-23] (iWebar) Task: {8E790712-870D-4E99-A17B-FB5B1099DB77} - System32\Tasks\a9027b17-e2f1-4381-8382-728f2f90d7e8-5_user => C:\Program Files (x86)\iWebar\a9027b17-e2f1-4381-8382-728f2f90d7e8-5.exe [2014-09-22] (iWebar) Task: {97EA4F6B-52A9-4A30-96CE-9DFC0C895A58} - System32\Tasks\a9027b17-e2f1-4381-8382-728f2f90d7e8-1 => C:\Program Files (x86)\iWebar\iWebar-codedownloader.exe [2014-09-23] (iWebar) Task: {9803EED5-82B4-4B32-A28E-46716F6E80D0} - System32\Tasks\a9027b17-e2f1-4381-8382-728f2f90d7e8-6 => C:\Program Files (x86)\iWebar\a9027b17-e2f1-4381-8382-728f2f90d7e8-6.exe [2014-09-22] (iWebar) Task: {98A3D03F-5A64-4AA0-9A0E-4E9CC501B44D} - System32\Tasks\a9027b17-e2f1-4381-8382-728f2f90d7e8-7 => C:\Program Files (x86)\iWebar\a9027b17-e2f1-4381-8382-728f2f90d7e8-7.exe [2014-09-22] (iWebar) Task: {A92A7E55-0326-41B1-B877-47186AEF3554} - System32\Tasks\VH => C:\Users\Renatka\AppData\Roaming\VH.exe [2014-09-23] (Object Browser) Task: {B29FD627-E159-46B3-B441-8F458FF2CA4E} - System32\Tasks\a9027b17-e2f1-4381-8382-728f2f90d7e8-2 => C:\Program Files (x86)\iWebar\a9027b17-e2f1-4381-8382-728f2f90d7e8-2.exe [2014-09-22] (iWebar) Task: {B98CA832-24E5-46B8-A8A1-048FE0FAAD50} - System32\Tasks\00a46f62-8f6a-4f75-899b-9a82c3ee6a4b-2 => C:\Program Files (x86)\iWebar\00a46f62-8f6a-4f75-899b-9a82c3ee6a4b-2.exe [2014-09-23] (iWebar) Task: {BC0055D1-D40B-4798-9023-AABC6476EDE7} - System32\Tasks\eb1d300f-ab15-4910-bfc8-74bd8d84d566-3 => C:\Program Files (x86)\Senses\eb1d300f-ab15-4910-bfc8-74bd8d84d566-3.exe [2014-09-23] (Object Browser) Task: {C6E1FD08-AFA4-474D-8AAD-334C6FB3E893} - System32\Tasks\eb1d300f-ab15-4910-bfc8-74bd8d84d566-4 => C:\Program Files (x86)\Senses\eb1d300f-ab15-4910-bfc8-74bd8d84d566-4.exe [2014-09-23] (Object Browser) Task: {C802258C-D91A-43D7-9D91-770923255559} - System32\Tasks\IXXI => C:\Users\Renatka\AppData\Roaming\IXXI.exe [2014-09-23] (Object Browser) Task: {CE3758DC-40A4-4ED5-8B53-702E0D5C2B32} - System32\Tasks\a9027b17-e2f1-4381-8382-728f2f90d7e8-4 => C:\Program Files (x86)\iWebar\a9027b17-e2f1-4381-8382-728f2f90d7e8-4.exe [2014-09-22] (iWebar) Task: {D6A8B3D7-34B0-49CD-A8A1-241E33753CFD} - System32\Tasks\eb1d300f-ab15-4910-bfc8-74bd8d84d566-11 => C:\Program Files (x86)\Senses\eb1d300f-ab15-4910-bfc8-74bd8d84d566-11.exe [2014-09-23] (Object Browser) Task: {D8522199-68ED-4587-A8D7-377418B4EB76} - System32\Tasks\eb1d300f-ab15-4910-bfc8-74bd8d84d566-1 => C:\Program Files (x86)\Senses\Senses-codedownloader.exe [2014-09-23] (Object Browser) Task: {D8FC6862-4944-408F-95CD-BE2178DE1572} - System32\Tasks\00a46f62-8f6a-4f75-899b-9a82c3ee6a4b-6 => C:\Program Files (x86)\iWebar\00a46f62-8f6a-4f75-899b-9a82c3ee6a4b-6.exe [2014-09-23] (iWebar) Task: {DA1FC8F0-A6AF-4D11-BBA0-4963E1623BF2} - System32\Tasks\00a46f62-8f6a-4f75-899b-9a82c3ee6a4b-4 => C:\Program Files (x86)\iWebar\00a46f62-8f6a-4f75-899b-9a82c3ee6a4b-4.exe [2014-09-23] (iWebar) Task: {DAF530C1-529C-4573-A5D1-861492AD92E2} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-09-23] (globalUpdate) Task: {E37B73FB-7AF4-4F16-AE6B-9B854CA38EC4} - System32\Tasks\a9027b17-e2f1-4381-8382-728f2f90d7e8-11 => C:\Program Files (x86)\iWebar\a9027b17-e2f1-4381-8382-728f2f90d7e8-11.exe [2014-09-22] (iWebar) Task: {E3AA1EE5-58BB-43DB-A2B1-52D9158FB44D} - System32\Tasks\00a46f62-8f6a-4f75-899b-9a82c3ee6a4b-5 => C:\Program Files (x86)\iWebar\00a46f62-8f6a-4f75-899b-9a82c3ee6a4b-5.exe [2014-09-23] (iWebar) Task: {FA7E1153-16DE-44A7-9351-576500A1A013} - System32\Tasks\a9027b17-e2f1-4381-8382-728f2f90d7e8-5 => C:\Program Files (x86)\iWebar\a9027b17-e2f1-4381-8382-728f2f90d7e8-5.exe [2014-09-22] (iWebar) Task: C:\Windows\Tasks\00a46f62-8f6a-4f75-899b-9a82c3ee6a4b-1.job => C:\Program Files (x86)\iWebar\iWebar-codedownloader.exe Task: C:\Windows\Tasks\00a46f62-8f6a-4f75-899b-9a82c3ee6a4b-11.job => C:\Program Files (x86)\iWebar\00a46f62-8f6a-4f75-899b-9a82c3ee6a4b-11.exe Task: C:\Windows\Tasks\00a46f62-8f6a-4f75-899b-9a82c3ee6a4b-2.job => C:\Program Files (x86)\iWebar\00a46f62-8f6a-4f75-899b-9a82c3ee6a4b-2.exe Task: C:\Windows\Tasks\00a46f62-8f6a-4f75-899b-9a82c3ee6a4b-4.job => C:\Program Files (x86)\iWebar\00a46f62-8f6a-4f75-899b-9a82c3ee6a4b-4.exe Task: C:\Windows\Tasks\00a46f62-8f6a-4f75-899b-9a82c3ee6a4b-5.job => C:\Program Files (x86)\iWebar\00a46f62-8f6a-4f75-899b-9a82c3ee6a4b-5.exe Task: C:\Windows\Tasks\00a46f62-8f6a-4f75-899b-9a82c3ee6a4b-5_user.job => C:\Program Files (x86)\iWebar\00a46f62-8f6a-4f75-899b-9a82c3ee6a4b-5.exe Task: C:\Windows\Tasks\00a46f62-8f6a-4f75-899b-9a82c3ee6a4b-6.job => C:\Program Files (x86)\iWebar\00a46f62-8f6a-4f75-899b-9a82c3ee6a4b-6.exe Task: C:\Windows\Tasks\00a46f62-8f6a-4f75-899b-9a82c3ee6a4b-7.job => C:\Program Files (x86)\iWebar\00a46f62-8f6a-4f75-899b-9a82c3ee6a4b-7.exe Task: C:\Windows\Tasks\a9027b17-e2f1-4381-8382-728f2f90d7e8-1.job => C:\Program Files (x86)\iWebar\iWebar-codedownloader.exe Task: C:\Windows\Tasks\a9027b17-e2f1-4381-8382-728f2f90d7e8-11.job => C:\Program Files (x86)\iWebar\a9027b17-e2f1-4381-8382-728f2f90d7e8-11.exe Task: C:\Windows\Tasks\a9027b17-e2f1-4381-8382-728f2f90d7e8-2.job => C:\Program Files (x86)\iWebar\a9027b17-e2f1-4381-8382-728f2f90d7e8-2.exe Task: C:\Windows\Tasks\a9027b17-e2f1-4381-8382-728f2f90d7e8-4.job => C:\Program Files (x86)\iWebar\a9027b17-e2f1-4381-8382-728f2f90d7e8-4.exe Task: C:\Windows\Tasks\a9027b17-e2f1-4381-8382-728f2f90d7e8-5.job => C:\Program Files (x86)\iWebar\a9027b17-e2f1-4381-8382-728f2f90d7e8-5.exe Task: C:\Windows\Tasks\a9027b17-e2f1-4381-8382-728f2f90d7e8-5_user.job => C:\Program Files (x86)\iWebar\a9027b17-e2f1-4381-8382-728f2f90d7e8-5.exe Task: C:\Windows\Tasks\a9027b17-e2f1-4381-8382-728f2f90d7e8-6.job => C:\Program Files (x86)\iWebar\a9027b17-e2f1-4381-8382-728f2f90d7e8-6.exe Task: C:\Windows\Tasks\a9027b17-e2f1-4381-8382-728f2f90d7e8-7.job => C:\Program Files (x86)\iWebar\a9027b17-e2f1-4381-8382-728f2f90d7e8-7.exe Task: C:\Windows\Tasks\eb1d300f-ab15-4910-bfc8-74bd8d84d566-1.job => C:\Program Files (x86)\Senses\Senses-codedownloader.exe Task: C:\Windows\Tasks\eb1d300f-ab15-4910-bfc8-74bd8d84d566-11.job => C:\Program Files (x86)\Senses\eb1d300f-ab15-4910-bfc8-74bd8d84d566-11.exe Task: C:\Windows\Tasks\eb1d300f-ab15-4910-bfc8-74bd8d84d566-2.job => C:\Program Files (x86)\Senses\eb1d300f-ab15-4910-bfc8-74bd8d84d566-2.exe Task: C:\Windows\Tasks\eb1d300f-ab15-4910-bfc8-74bd8d84d566-3.job => C:\Program Files (x86)\Senses\eb1d300f-ab15-4910-bfc8-74bd8d84d566-3.exe Task: C:\Windows\Tasks\eb1d300f-ab15-4910-bfc8-74bd8d84d566-4.job => C:\Program Files (x86)\Senses\eb1d300f-ab15-4910-bfc8-74bd8d84d566-4.exe Task: C:\Windows\Tasks\eb1d300f-ab15-4910-bfc8-74bd8d84d566-5.job => C:\Program Files (x86)\Senses\eb1d300f-ab15-4910-bfc8-74bd8d84d566-5.exe Task: C:\Windows\Tasks\eb1d300f-ab15-4910-bfc8-74bd8d84d566-5_user.job => C:\Program Files (x86)\Senses\eb1d300f-ab15-4910-bfc8-74bd8d84d566-5.exe Task: C:\Windows\Tasks\eb1d300f-ab15-4910-bfc8-74bd8d84d566-6.job => C:\Program Files (x86)\Senses\eb1d300f-ab15-4910-bfc8-74bd8d84d566-6.exe Task: C:\Windows\Tasks\eb1d300f-ab15-4910-bfc8-74bd8d84d566-7.job => C:\Program Files (x86)\Senses\eb1d300f-ab15-4910-bfc8-74bd8d84d566-7.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\IXXI.job => C:\Users\Renatka\AppData\Roaming\IXXI.exe Task: C:\Windows\Tasks\VH.job => C:\Users\Renatka\AppData\Roaming\VH.exe S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-09-23] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-09-23] (globalUpdate) [File not signed] R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [715656 2014-09-22] (Cherished Technololgy LIMITED) R1 {00c97d86-accb-4288-9972-6d929c1fe93a}Gw64; C:\Windows\System32\drivers\{00c97d86-accb-4288-9972-6d929c1fe93a}Gw64.sys [44624 2014-09-22] (StdLib) S3 JMCR; \SystemRoot\System32\drivers\jmcr.sys [X] S3 rtbth; \SystemRoot\System32\drivers\rtbth.sys [X] U4 BthAvrcpTg; No ImagePath U4 BthHFEnum; No ImagePath U4 bthhfhid; No ImagePath HKLM-x32\...\Run: [] => [X] Winlogon\Notify\DeviceNP-x32: DeviceNP.dll [X] HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1411391917&from=smt&uid=HitachiXHTS547575A9E384_J1140021G1BNZJG1BNZJX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1411391917&from=smt&uid=HitachiXHTS547575A9E384_J1140021G1BNZJG1BNZJX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1411391917&from=smt&uid=HitachiXHTS547575A9E384_J1140021G1BNZJG1BNZJX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1411391917&from=smt&uid=HitachiXHTS547575A9E384_J1140021G1BNZJG1BNZJX&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1411391917&from=smt&uid=HitachiXHTS547575A9E384_J1140021G1BNZJG1BNZJX BHO: iWebar -> {11111111-1111-1111-1111-110611191113} -> C:\Program Files (x86)\iWebar\iWebar-bho64.dll (iWebar) BHO: Senses -> {11111111-1111-1111-1111-110611191115} -> C:\Program Files (x86)\Senses\Senses-bho64.dll (Object Browser) BHO: iWebar -> {11111111-1111-1111-1111-110611511123} -> C:\Program Files (x86)\iWebar\iWebar-bho64.dll (iWebar) BHO-x32: iWebar -> {11111111-1111-1111-1111-110611191113} -> C:\Program Files (x86)\iWebar\iWebar-bho.dll (iWebar) BHO-x32: Senses -> {11111111-1111-1111-1111-110611191115} -> C:\Program Files (x86)\Senses\Senses-bho.dll (Object Browser) BHO-x32: iWebar -> {11111111-1111-1111-1111-110611511123} -> C:\Program Files (x86)\iWebar\iWebar-bho.dll (iWebar) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\SupTab C:\Program Files (x86)\YouTube Accelerator C:\ProgramData\374311380 C:\ProgramData\IePluginServices C:\ProgramData\WindowsMangerProtect C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YouTube Accelerator C:\Users\Public\Documents\YTAHelper C:\Users\Renatka\AppData\Local\globalUpdate C:\Users\Renatka\AppData\Local\Installer C:\Users\Renatka\AppData\Roaming\IXXI C:\Users\Renatka\AppData\Roaming\IXXI.exe C:\Users\Renatka\AppData\Roaming\VH C:\Users\Renatka\AppData\Roaming\VH.exe C:\Users\Renatka\Documents\Optimizer Pro C:\Users\Renatka\Downloads\Niepotwierdzony*.crdownload C:\Windows\System32\drivers\{00c97d86-accb-4288-9972-6d929c1fe93a}Gw64.sys Folder: C:\Users\Renatka\AppData\Roaming\IDT Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware iWebar, Senses. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt. .
  4. picasso
    Wszystko zrobione i drobne poprawki zostały. Otwórz Notatnik i wklej w nim: CloseProcesses: BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\AVAST Software DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Powstanie kolejny plik fixlog.txt. Przedstaw go. .
  5. picasso
    Wszystko zostało pomyślnie wykonane. Drobne poprawki. Otwórz Notatnik i wklej w nim: S3 aswTap; system32\DRIVERS\aswTap.sys [X] RemoveDirectory: C:\Users\Agata\AppData\Roaming\Mozilla DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Dzięki! .
  6. picasso
    Akcje wykonane. Z każdego konta po kolei pokasuj pobrane narzędzia, następnie na koncie administracyjnym Lukasz_2 uruchom DelFix i wyczyść foldery Przywracania systemu.
  7. picasso
    1. Wyniki FRST: infekcja pomyślnie usunięta. Tak więc nasuwa się pytanie czy połączenia explorer.exe ustały? 2. Wyniki RogueKiller: PUM.DNS: Detekcja francuskich DNS strony routera: KLIK / KLIK. Ten typ wyników jest nieusuwalny za pomocą skanerów robiących edycję rejestru, gdyż DhcpNameServer jest aktualizowane z routera. Widziałam te DNS już na początku w raporcie FRST i ominęłam celowo, ponieważ na forum tutaj widzę Cię pod IP tego samego dostawcy, co mi sugeruje że jesteś za granicą. Jeśli tak, to te zgłoszenia w RogueKiller są fałszywymi alarmami i nie ma infekcji routera. Natomiast DNS ustawione spod Windows (156.154.70.25, 156.154.71.25) to z kolei COMODO Secure DNS. Tcpip\Parameters: [DhcpNameServer] 212.76.224.172 89.2.0.1 89.2.0.2 Tcpip\..\Interfaces\{08BC1738-7EFC-4C1B-92E5-695128BA97AC}: [NameServer] 156.154.70.25,156.154.71.25 Tcpip\..\Interfaces\{1427378F-01E4-4954-85B7-81DA3A1AA628}: [NameServer] 156.154.70.25,156.154.71.25 PUM.DesktopIcons: To tylko detekcja braku widoczności specjalnych ikon na Pulpicie - odpowiednik prawokliku na Pulpit > Personalizuj > Zmień ikony Pulpitu > w(y)łączanie widzialności danej ikony. Do ominięcia. Proc.Svchost: Nie wiem o co chodzi. Wg raportu FRST nie było żadnych podejrzanych instancji tego procesu (domyślne są na białej liście). 3. COMODO Internet Security: efekt wygląda tak jakbyś odmówił omyłkowo dostępu przy którymś z pytań i została stworzona reguła blokująca wszystko. Nie mam tej instalacji u siebie i nie wiem jakie są tam opcje. Czy na pewno nie ma opcji związanej z resetem reguł do stanu domyślnego? Jeśli brak opcji, to proponuję po prostu przeinstalować COMODO. .
  8. picasso
    Na koncie Lukasz OK, zresztą i Firefox został na nim już zresetowany, mimo że nie było tak naprawdę wiadomo co w nim jest na tym koncie (brak dopasowanych logów). Widać nowy profil o charakterystycznej nazwie tworzonej przez reset: FireFox: ======== FF ProfilePath: C:\Users\Lukasz\AppData\Roaming\Mozilla\Firefox\Profiles\k36r3jq4.default-1411410876524 Ale w związku z tym, że było zamieszanie z kontami i byłam przekonana, że pierwszy zestaw logów pochodzi z w pełni zalogowanego konta Lukasz_2, są wymagane poprawki właśnie na koncie Lukasz_2. Resetowałeś nie ten profil Firefox co należy, czyli konta Lukasz, a to Firefox Lukasz_2 był pokazany w logach jako zaśmiecony i jest nadal. Ten profil trzeba zresetować: FireFox: ======== FF ProfilePath: C:\Users\Lukasz_2\AppData\Roaming\Mozilla\Firefox\Profiles\lvgsm8a7.default Czyli zaloguj się na Lukasz_2 i z poziomu tego konta idą wszystkie akcje: 1. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3226649207-2173951153-2690345056-1001\...\Run: [AVG-Secure-Search-Update_JUNE2013_TB] => "C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_TB.exe" /PROMPT /CMPID=JUNE2013_TB HKU\S-1-5-21-3226649207-2173951153-2690345056-1001\...\Run: [AVG-Secure-Search-Update_JUNE2013_HP] => "C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_HP.exe" /PROMPT /CMPID=JUNE2013_HP RemoveDirectory: C:\Users\Lukasz\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Lukasz_2\Desktop\Stare dane programu Firefox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .
  9. picasso
    Przypuszczalnie blokuje COMODO Internet Security. Zdaje się że sobie zablokowałeś dostęp do wszystkiego odmawiając jakiejś modyfikacji. Czy w Trybie awaryjnym Windows nie ma problemu? Jeśli nie, blokuje COMODO.
  10. picasso
    Pierwszy log: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 12-09-2014 Ran by Lukasz_2 (administrator) on LUKASZ-PC on 20-09-2014 11:59:13 Drugi log: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 12-09-2014 Ran by Lukasz_2 (administrator) on LUKASZ-PC on 22-09-2014 20:38:18 I dlatego pierwsze logi zostały zrobione z poziomu konta Lukasz_2. "Uruchom jako Administrator" zmienia kontekst uruchomionego konta. Skan OTL: zawsze robi elewację uprawnień i nie jest możliwe, by przedstawić środowisko konta limitowanego, to był problem w niektórych tematach, musiałam pobierać określone dane ręcznie. FRST natomiast umożliwia zrobienie skanu na limitowanym koncie, tylko przez to że użyłeś "Uruchom jako Administrator" został zmieniony kontekst. Zrób logi FRST z poziomu konta Lukasz, nie uruchamiaj FRST opcją "Uruchom jako Administrator". .
  11. picasso
    Dwa wpisy odpadkowe po AVG się nie skasowały, podam poprawki po zweryfikowaniu drugiego konta. Podane tu logi pochodzą z tego samego konta Lukasz_2 co poprzednio, a miałeś zrobić logi z konta Lukasz. .
  12. picasso
    Ad "prosiłeś" = jestem kobietą. Zabrakło pliku FRST Shortcut. W raportach brak oznak czynnej infekcji, usługa Centrum zaś jest po prostu wyłączona i wystarczy przekonfigurować jej start. Do wykonania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 eins2750; C:\Windows\system32\rundll32.exe C:\Windows\eins2750.dll,RDServiceStart eins2750 "C:\Users\JOB\AppData\Local\Temp\inx1C5.tmp" S3 esihdrv; \??\C:\Users\KOMPUTER\AppData\Local\Temp\esihdrv.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] Task: {A150C449-D1A0-4909-A820-B9FA06A0E7B7} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files\Apple Software Update\SoftwareUpdate.exe Task: {A5E7D6BB-CD6F-4FC9-8CCE-9082C0D9529A} - \Microsoft\Windows\WindowsCalendar\Reminders - KOMPUTER No Task File Task: {C19F6768-DA55-4BEC-929D-9A3A48675AEC} - System32\Tasks\Norton Product InstallerIdle => C:\Windows\System32\Adobe\Shockwave 12\SymInstallStub.exe RemoveDirectory: C:\found.000 RemoveDirectory: C:\Program Files\ClearThink RemoveDirectory: C:\ProgramData\AVAST Software Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{16D9930C-92FE-42D3-B64D-8838C7468FE4}" /f CMD: for /d %f in (C:\Users\Default\{*}) do rd /s /q "%f" CMD: for /d %f in (C:\Users\KOMPUTER\{*}) do rd /s /q "%f" CMD: for /d %f in (C:\Users\JOB\{*}) do rd /s /q "%f" CMD: del /q C:\Users\KOMPUTER\Downloads\eset_smart_security_live_installe*.exe CMD: sc config wscsvc start= delayed-auto EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W pasku eksploratora wklej ścieżkę C:\ProgramData i ENTER. Ze środka przez SHIFT+DEL (omija Kosz) skasuj wszystkie foldery o dziwnych "krzaczowatych" nazwach. 3. Preferencje Google Chrome wygldaj na uszkodzone. W przeglądarce: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (w opcjach je aktywujesz ponownie). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition, ale zaznacz Shortcut). Przedstaw też fixlog.txt i potwierdź ustąpienie problemów z Centrum. .
  13. picasso
    Zadania pomyślnie wykonane. Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: BHO: No Name -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> No File BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File BHO-x32: No Name -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> No File Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - No File Handler-x32: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - No File RemoveDirectory: C:\ProgramData\374311380 RemoveDirectory: C:\ProgramData\Avg_Update_0814tb RemoveDirectory: C:\Program Files (x86)\AVG Security Toolbar RemoveDirectory: C:\Program Files (x86)\MyFree Codec RemoveDirectory: C:\Users\Marta\Desktop\Stare dane programu Firefox DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny plik fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .
  14. picasso
    Istotnie, mamy infekcję ładowaną metodą ShellIconOverlayIdentifiers (klasy ikon nakładkowych eksploratora) uruchamiającą plik udający coś "bezpiecznego" od Microsoftu (C:\ProgramData\Microsoft\Secure\Icons\SecureIconsProvider.dll). Ten rodzaj infekcji wygląda na nabyty via jakiś crack. COMODO nawet nie wykrył tej infekcji. To co jest w folderze C:\Windows\Installer to szczątki instalatorów adware opartych na Instalatorze Windows. Po usunięciu adware są to tylko odpadki i nie mają wpływu na system. A jeśli chodzi o adware, to zapewne jedna z tych metod nabycia: KLIK. Tu się wszystko zgadza, folder Default to matryca używana do zakładania nowych kont, Publiczny też jest domyślnym folderem. A te obiekty z kłódkami to są linki symboliczne. Przechodzimy do usuwania infekcji, przy okazji i puste wpisy po programach: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: ShellIconOverlayIdentifiers: 1SecureIconsProvider -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\ProgramData\Microsoft\Secure\Icons\SecureIconsProvider.dll () U3 TrueSight; C:\Windows\SysWOW64\drivers\TrueSight.sys [33512 2014-09-19] () HKLM\...\Policies\Explorer: [NoFolderOptions] 0 CHR HKLM\SOFTWARE\Policies\Google: Policy restriction FF HKLM-x32\...\Firefox\Extensions: [{E4D03422-D07A-4609-89C3-705974F05472}] - C:\Program Files (x86)\proxysurf.com\Firefox FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll No File Task: {19C6D86B-D6DC-4143-A5A3-A28539177886} - System32\Tasks\Wise Memory Optimizer Task => C:\Program Files (x86)\Wise\Wise Memory Optimizer\WiseMemoryOptimzer.exe Task: {1D271201-4621-4139-AB17-CCBC6B8775EB} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Scan the system => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDScan.exe Task: {46F2C079-63D4-4885-9E0F-509E24F33DC0} - System32\Tasks\{9707311F-754A-4E64-BBFC-95E04A488269} => E:\!!!!Najważniejsze pliki\Spybot - Search & Destroy 1.6.2.46 64bit.exe Task: {7B214DA5-DC5A-42AA-B202-5D3E1803FEC7} - System32\Tasks\{EAC74457-1C81-46D6-BE48-01C39E5BE04D} => C:\Program Files (x86)\WinSnap\WinSnap.exe Task: {B034BF74-414A-42B4-938A-38CD03DC8899} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Refresh immunization => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDImmunize.exe Task: {DBAD5418-8CC2-4068-9549-0DD9C49009FA} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Check for updates => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe Task: {E0F3BBF7-0B88-4DCE-B4CE-DC7D266622CB} - System32\Tasks\Driver Booster Beta SkipUAC (Spid3r) => C:\Program Files (x86)\IObit\Driver Booster Beta\DriverBooster.exe Task: {FDE65472-8169-4350-BE0B-DA20B7CAA6B6} - System32\Tasks\Driver Booster SkipUAC (Spid3r) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: C:\Windows\Tasks\Wise Memory Optimizer Task.job => C:\Program Files (x86)\Wise\Wise Memory Optimizer\WiseMemoryOptimzer.exe C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\cisEA.exe C:\ProgramData\Microsoft\Secure C:\ProgramData\TEMP C:\Users\Spid3r\lb5yqtn8226j6t C:\Users\Default\AppData\Roaming\TuneUp Software C:\Users\Spid3r\AppData\Roaming\Imminent C:\Users\Spid3r\AppData\Roaming\TuneUp Software C:\Windows\SysWOW64\sqlite3.dll C:\Windows\SysWOW64\drivers\TrueSight.sys RemoveDirectory: C:\Users\Spid3r\Desktop\Old Firefox Data Reg: reg delete "HKU\S-1-5-21-2622835651-1712134509-2677869765-1000\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKU\S-1-5-21-2622835651-1712134509-2677869765-1000\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /f Reg: reg delete HKU\S-1-5-21-2622835651-1712134509-2677869765-1000\Software\Microsoft\Windows\CurrentVersion\policies\System /f Reg: reg delete HKU\S-1-5-21-2622835651-1712134509-2677869765-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /f Reg: reg delete HKU\S-1-5-21-2622835651-1712134509-2677869765-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\Software\Microsoft\Windows\CurrentVersion\policies\System /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\LBTServ" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\LPTSystemUpdater" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PSI_SVC_2" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PSI_SVC_2_x64" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\RUBotSrv" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SbieSvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SDScannerService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SDUpdateService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SDWSCService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Winstep Xtreme Service" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\WiseBootAssistant" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\*WerKernelReporting" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AVG_UI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Browser Infrastructure Helper" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DownloadAccelerator" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GUDelayStartup" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Trend Micro RUBotted V2.0 Beta" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tvncontrol" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. 2. Przejdź w Tryb awaryjny Windows, gdyż COMODO uniemożliwi pracę FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W systemie są uruchomione także szczątki po niepełnie odinstalowanym AVG. W Trybie awaryjnym zastosuj firmowy usuwacz AVG Remover. 4. Opuść Tryb awaryjny. Odinstaluj via Panel sterowania zbędnik GeekBuddy od COMODO. Sugeruję pozbyć się też wszystkich programów IOBit (Advanced SystemCare 7, IObit Uninstaller, Smart Defrag 3, Surfing Protection), gdyż firma ma grzeszki na sumieniu i jest to marka w której nie pokładam żadnego zaufania: KLIK. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. I dostarcz log RogueKiller pokazujący to: Logi proszę wstaw jako załączniki forum, serwis wklejkowy je zmanipulował (obcięte specjalne znaki). .
  15. picasso
    Mimo, że log z wykonania skryptu pokazuje usunięcie Term Tutor z Firefox, on wrócił... Poprawki pod tym kątem: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\extensions\termtutor@termtutor.com DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Powstanie kolejny plik fixlog.txt. 2. Na wszelki wypadek: - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone ale Ad-block trzeba będzie przeinstalować. - W Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .
  16. picasso
    Skoro problem braków na liście zainstalowanych istniał przed 19 września, musimy podejść sprawę brutalnie i kompletnie usunąć przeglądarki, by je zainstalować ponownie na czysto. Podobnie sprawa się ma z antywirusem Avast. Niestety problemem tu jest co jeszcze było wcześniej na liście zainstalowanych, nie mogę porównać i nie wiem ile takich rzekomo odinstalowanych programów istnieje. Na pewno jest multum poszkodowanych aplikacji i oprogramowania sterowników. Wystarczy ocenić log Shortcut co tam jest vs. spis programów w logu Addition. Ogólnie to całość listy wygląda jakby stratowano praktycznie cały klucz HKLM, ostały się tylko niektóre pozycje. Akcje wstępne: 1. Kopie zapasowe (o ile jest taka potrzeba, bo jeśli nic cennego nie ma, wszystko na ubój): - Firefox: do przekopiowania zakładek + haseł możesz użyć MozBackup. - Google Chrome + Opera: Skopiuj gdzieś na dysk poniższe foldery, potem coś ewentualnie wygrzebiemy stamtąd, o ile będzie taka potrzeba. C:\Users\pc\AppData\Local\Google\Chrome\User Data\Default C:\Users\pc\AppData\Roaming\Opera Software\Opera Stable 2. Otwórz Menu Start i szukaj linków do deinstalatorów. Potem wejdź po kolei do folderów C:\Program Files i C:\Program Files (x86). Dla wszystkich programów, których nie ma na liście deinstalacji, a są ich foldery, poszukaj w nim plików deinstalacyjnych typu uninstall.exe, setup.exe etc. Przeprowadź tyle deinstalacji ile zdołasz. Następnie uruchom specjalne usuwacze, by przynajmniej częściowo pozbyć się zdefektowanych instalacji: - Do Java (firmowy + JavaRA) i Adobe Reader: KLIK. - Przejdź w Tryb awaryjny Windows i zastosuj Avast Uninstall Utility + McAfee Consumer Product Removal Tool. 3. W tym punkcie usuwam nie tylko adware, ale i wszystkie dane przelądarek. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 Update Mega Browse; C:\Program Files (x86)\Mega Browse\updateMegaBrowse.exe [324520 2014-09-18] () R2 Util Mega Browse; C:\Program Files (x86)\Mega Browse\bin\utilMegaBrowse.exe [324520 2014-09-18] () R2 SCBackService; C:\Program Files (x86)\Splashtop\Splashtop Connect\BackService.exe [477000 2010-11-15] (Splashtop Inc.) R2 WCUService_STC_FF; C:\Program Files (x86)\Splashtop\Splashtop Connect Firefox Software Updater\WCUService.exe [493384 2011-03-24] (Splashtop Inc.) R1 {29b136c9-938d-4d3d-8df8-d649d9b74d02}Gw64; C:\Windows\System32\drivers\{29b136c9-938d-4d3d-8df8-d649d9b74d02}Gw64.sys [61120 2014-04-24] (StdLib) R1 {29b136c9-938d-4d3d-8df8-d649d9b74d02}w64; C:\Windows\System32\drivers\{29b136c9-938d-4d3d-8df8-d649d9b74d02}w64.sys [44320 2014-09-18] (StdLib) S3 gdrv; \??\C:\Windows\gdrv.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] Task: {26388F9A-87BB-43C5-BA0A-789FCBB06F74} - System32\Tasks\Yahoo! Search Udpater => C:\Users\pc\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.12.4\dsrsetup.exe [2014-09-19] (Pay By Ads LTD) Task: {ABD592E7-568F-40F0-B615-45D8B3ECD607} - System32\Tasks\Yahoo! Search => C:\Users\pc\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.12.4\dsrlte.exe [2014-09-19] (Pay By Ads LTD) Task: {E70AA195-F4BE-402E-82D5-A822E77C2F09} - System32\Tasks\Opera scheduled Autoupdate 1370894575 => C:\Program Files (x86)\Opera\launcher.exe [2014-08-27] (Opera Software) HKLM-x32\...\Run: [ZyngaGamesAgent] => C:\Program Files (x86)\Splashtop\Splashtop Connect\ZyngaGamesAgent.exe [841544 2010-11-15] (Splashtop Inc.) HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [sTCAgent] => "C:\Program Files (x86)\Splashtop\Splashtop Connect IE\STCAgent.exe" HKU\S-1-5-21-1814759783-3317407556-1525104232-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-1814759783-3317407556-1525104232-1000\...\Run: [Yahoo! Search] => C:\Users\pc\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.12.4\dsrlte.exe [438632 2014-09-19] (Pay By Ads LTD) ShellIconOverlayIdentifiers-x32: Uchwyt nakładania ikony podpisu cyfrowego -> {36A21736-36C2-4C11-8ACB-D4136F2B57BD} => C:\Windows\SysWOW64\AcSignIcon.dll No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKCU\SOFTWARE\Policies\Google: Policy restriction HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.msn.com/?pc=AV01 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=AV01 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Bar = http://www.msn.com/?pc=AV01 URLSearchHook: HKCU - UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File SearchScopes: HKLM-x32 - DefaultScope {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKLM-x32 - {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKLM-x32 - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.00000&barid={F9FD2E56-6A5D-11E2-A4AE-902B3413D539} SearchScopes: HKCU - DefaultScope {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=113480&tt=3212_4&babsrc=SP_ss&mntrId=3e84c4e700000000000090f6520c6e5e SearchScopes: HKCU - {161E51CA-22F6-479a-B7A6-5D02A905F9CF} URL = http://www.google.com/cse?cx=partner-pub-3794288947762788%3A7941509802&ie=UTF-8&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A7941509802&q={searchTerms} SearchScopes: HKCU - {240C5F3D-1C82-4659-BA55-CC89212F1630} URL = http://websearch.ask.com/redirect?client=ie&tb=STT&o=102866&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=^5N&apn_dtid=^YYYYYY^YY^PL&apn_uid=9f09e307-aa9c-4ad9-b24c-e0f573fb780f&apn_sauid=BEF599F6-199D-49E5-B700-1F736E009BB3 SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKCU - {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKCU - {6D120D83-BC5A-4115-AA24-4E28FEBC581D} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBDSV SearchScopes: HKCU - {E61D6263-5AEA-4ccd-B458-81460A944014} URL = http://www.bing.com/search?q={searchTerms}&form=SPLBR1&pc=SPLH SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.00000&barid={F9FD2E56-6A5D-11E2-A4AE-902B3413D539} BHO-x32: No Name -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> No File BHO-x32: No Name -> {D4027C7F-154A-4066-A1AD-4243D8127440} -> No File BHO-x32: No Name -> {EEE6C35C-6118-11DC-9C72-001320C79847} -> No File BHO-x32: No Name -> {EF7BD87A-8024-11E2-F316-F3E56188709B} -> No File Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM-x32 - No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File Toolbar: HKLM-x32 - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File C:\Program Files (x86)\Google C:\Program Files (x86)\Mega Browse C:\Program Files (x86)\Mobogenie C:\Program Files (x86)\Opera C:\Program Files (x86)\Splashtop C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus C:\Users\pc\AppData\Local\Google C:\Users\pc\AppData\Local\Mozilla C:\Users\pc\AppData\Local\Opera Software C:\Users\pc\AppData\Local\Pay-By-Ads C:\Users\pc\AppData\Roaming\FileOpen C:\Users\pc\AppData\Roaming\Mozilla C:\Users\pc\AppData\Roaming\newnext.me C:\Users\pc\AppData\Roaming\Opera Software C:\Users\pc\AppData\Roaming\Splashtop C:\Users\pc\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\pc\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\pc\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk C:\Users\pc\Downloads\*(*)-dp.exe C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\Windows\SysWOW64\GroupPolicy\GPT.INI C:\Windows\SysWOW64\Adobe\Director C:\Windows\System32\drivers\{29b136c9-938d-4d3d-8df8-d649d9b74d02}Gw64.sys C:\Windows\System32\drivers\{29b136c9-938d-4d3d-8df8-d649d9b74d02}w64.sys Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete "HKCU\Software\Opera Software" /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Opera Software" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Akamai /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\DealPly /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zainstaluj wybraną przeglądarkę. 6. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition i Shortcut. Dołącz też plik fixlog.txt i log z AdwCleaner. .
  17. picasso
    Może zrób jeszcze raz nowe raporty z FRST (Addition tak, Shortcut nie), by było wiadome czy po deinstalacji BitDefender nie ostały się jakieś odpadki.
  18. picasso
    Tak, programy zostały odtworzone. Są też pewne drobne różnice, ale nie są to zmiany wybitne. Notuję odpadki adware jedynie w Firefox (Term Tutor). Natomiast w Google Chrome nie widzę jawnych manipulacji, choć są dwa rozszerzenia nie odczytane poprawnie, tak jakby były uszkodzone, a także jest podejrzenie naruszenia pliku Preferences. Nie wiadomo jednak skąd ten błąd przy uruchomieniu Google. Wstępnie przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM-x32 - DefaultScope value is missing. Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF Plugin-x32: @videolan.org/vlc,version=2.1.3 -> F:\Programy\VLC\npvlc.dll No File FF SearchPlugin: C:\Users\komputerek\AppData\Roaming\Mozilla\Firefox\Profiles\9onw30mg.default\searchplugins\yahoo-avast.xml FF Extension: Term Tutor - C:\Program Files (x86)\Mozilla Firefox\extensions\termtutor@termtutor.com [2014-09-19] CHR Extension: (hgmnkflcjcohihpdcniifjbafcdelhlm) - C:\Users\komputerek\AppData\Local\Google\Chrome\User Data\Default\Extensions\hgmnkflcjcohihpdcniifjbafcdelhlm [2014-09-17] CHR Extension: (namcaplenodjnggbfkbopdbfngponici) - C:\Users\komputerek\AppData\Local\Google\Chrome\User Data\Default\Extensions\namcaplenodjnggbfkbopdbfngponici [2014-09-17] S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [X] C:\Program Files\Enigma Software Group C:\Program Files\TermTutor C:\Program Files (x86)\IObit C:\Program Files (x86)\Opera C:\Program Files (x86)\Temp C:\ProgramData\Doctor Web C:\ProgramData\IObit C:\ProgramData\Malwarebytes C:\ProgramData\Spybot - Search & Destroy C:\Users\komputerek\AppData\Local\*.tmp C:\Users\komputerek\AppData\Local\Opera Software C:\Users\komputerek\AppData\Roaming\IObit C:\Users\komputerek\AppData\Roaming\Opera Software C:\Windows\SysWOW64\sqlite3.dll C:\Windows\System32\Tasks\Safer-Networking EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom Google Software removal tool (jedna z procedur to reset ustawień przeglądarki). Następnie pobierz nowy instalator Google i nadpisz nim obecną instalację, bo wg listy zainstalowanych jest tu starsza wersja 36.0.1985.143. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .
  19. picasso
    Temat wstępnie przenoszę do działu Hardware ze względu na rozmaitość BSODów, ale może przejdzie i do Windows. Porównaj jakich danych brakuje w temacie: KLIK. Brak oznak czynnej infekcji i wątpliwe, by tu o infekcję chodziło. Były owszem obiekty adware i np. w Firefox nadal masz martwą stronę nowej karty (przejęta przez usunięty niepoprawnie program adware QuickStart), ale to rzeczy podrzędne i w ogóle nie ten poziom ingerencji, nie ma możliwości by to była przyczyna freezów czy BSOD. Na razie doczyszczanie szczątków czy pustych wpisów nie jest istotne, potem się ewentualnie tym zajmę, gdy objawią się jakieś konkrety na temat: Niestety obecnie nie mam czasu przejrzeć tych plików DMP. Mam nadzieję, że ktoś inny je zdebuguje. To nie infekcja, a plików owszem na dysku nie znajdziesz. - a4j6ppy3.SYS: sterownik "rootkit-podobny" produkowany przez sterownik główny SPTD od Alcohola czy DAEMON Tools. Sterownik zmienia nazwę przy każdym starcie systemu i jest ulotny (brak pliku na dysku). Dla porównania temat: KLIK. - pwliqfob.sys: Sterownik tymczasowy GMER, odładowywany automatycznie po zamknięciu GMER. I nawet w logu GMER masz nazwy pod jakimi się uruchamiał: GMER 2.1.19357 - http://www.gmer.net Rootkit scan 2014-09-20 22:32:11 Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP1T0L0-1 M4-CT128M4SSD2 rev.040H 119,24GB Running: bj6yp3cl.exe; Driver: D:\Temp\pwliqfob.sys Wygląda na to, iż postąpiłeś odwrotnie niż ma deinstalacja przebiegać, czyli najpierw usunąłeś sterownik SPTD, a potem zabrałeś się za deinstalację Alcohol. Kolejność zdarzeń musi być odwrotna. Sterownik SPTD jest wymagany do deinstalacji, gdy go brak Alcohol podczas deinstalacji plecie coś o "naruszeniu integralności". Przywróć go narzędziem SPTDinst, a Alcohol się odinstaluje: KLIK. Oczywiście po deinstalacji Alcohola trzeba zająć się ponownie sterownikiem SPTD, bo deinstalacja Alcohol go nie usuwa. Dodatkowo: program Smart File Advisor 1.1.3 to też część instalacji Alcohola, zbędnik z nim montowany, którego nie odfajkowano w dialogu instalacyjnym. Nie wydaje się, by przedstawione logi były aktualne, więc nie można nawet stwierdzić czy dany program poprawnie sę odinstalował. W logach widać czynną Avirę i stary Online Armor, brak widocznego COMODO. Mówisz o wymianie Aviry na COMODO, brak jednak wzmianek o Online Armor. Ponadto: dla dobra diagnostyki pozbądź się wszystkich programów tego rodzaju. Oprogramowanie zabezpieczające to inwazyjny system (ładowanie via sterowniki) i to może zaciemniać diagnostykę. Owszem, w Dzienniku zdarzeń są błędy kręcące się wokół namowy do uruchomienia chkdsk: Error: (09/19/2014 10:19:14 PM) (Source: Application Error) (EventID: 1005) (User: ) Description: System Windows nie może uzyskać dostępu do pliku z jednej z następujących przyczyn: problem z połączeniem sieciowym; problem z dyskiem, na którym jest przechowywany plik; problem ze sterownikami magazynu zainstalowanymi na tym komputerze; brak dysku. System Windows zamknął program The Sims™ 4 z powodu tego błędu. Program: The Sims™ 4 Plik: Wartość błędu jest wyświetlona w sekcji Dodatkowe dane. Akcja użytkownika 1. Otwórz plik ponownie. Ta sytuacja może być przejściowym problemem, który sam się rozwiąże po ponownym uruchomieniu programu. 2. Jeśli nadal nie można uzyskać dostępu do pliku i - jest w sieci, administrator sieci powinien sprawdzić, czy nie ma problemu z siecią i czy można skontaktować się z serwerem. - jest na dysku wymiennym, na przykład dyskietce lub dysku CD-ROM, sprawdź, czy cały dysk jest włożony do komputera. 3. Sprawdź i napraw system plików, uruchamiając program CHKDSK. Aby uruchomić program CHKDSK, kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie CMD, a następnie kliknij przycisk OK. W wierszu polecenia wpisz polecenie CHKDSK /F, a następnie naciśnij klawisz ENTER. 4. Jeżeli problem nie ustąpi, przywróć plik z kopii zapasowej. 5. Ustal, czy można otworzyć inne pliki na tym samym dysku. Jeśli nie, dysk może być uszkodzony. Jeśli jest to dysk twardy, skontaktuj się z administratorem komputera lub dostawcą sprzętu komputerowego, aby uzyskać dalszą pomoc. Skoro chkdsk nie startuje w trybie planowanym spod systemu, możesz sprawdzić czy da się z poziomu środowiska WinRE uruchomionego z płyty instalacyjnej DVD: KLIK. Niemniej tu jest dysk SSD a nie klasyczny dysk pod który chkdsk jest projektowany, więc chkdsk ma ograniczenia i jest limitowany do struktury systemu plików (bad sectory to inna sprawa). Cóż, AdwCleaner traktuje go jako niepożądany program typu PUP, w logu widać kasację obiektów tego dziwa... .
  20. picasso
    Nie opisałeś w jakim celu chcesz uruchamiać skany, co się konkretnie dzieje. Poza tym, nie ukończyłeś poprzedniego tematu. Tu nadal w systemie są te same problemy, czyli adware i podejrzana usługa McxSvc oraz różne odpadkowe wpisy (m.in. od ESET, MBAM). Nowy problem to coś co wygląda na infekcję, czyli uruchomienie procesów z folderu C:\Windows\TEMP\pdk-SYSTEM. Ogólnie: śmietnik potężny w systemie. Tym razem nie uciekaj. Wstępne czyszczenie: 1. Przez Panel sterowania odinstaluj stare wersje i zbędne aplikacje: Adobe Flash Player 11 Plugin, Adobe Flash Player 14 ActiveX, Adobe Reader 9.1 - Polish, Adobe Shockwave Player 11.5, Java 7 Update 11, Java™ 6 Update 20 (64-bit), Java™ 6 Update 24, McAfee Security Scan Plus, Mozilla Firefox 17.0.1 (x86 en-US), Mozilla Maintenance Service, MyFreeCodec, Tibia MULTI-ip changer Firefox jest stary i mocno zanieczyszczony adware i szkodnikami. Nie opłaca się go czyścić, a i tak zdaje się, że główną przeglądarką jest Google Chrome. Przy deinstalacji potwierdź usuwanie "danych użytkownika". Resztę dokończy poniższy skrypt: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Reg: reg query "HKLM\SYSTEM\CurrentControlSet\Services\.EsetTrialReset" /s S4 .EsetTrialReset; C:\Windows\system32\regedt32.exe [10240 2009-07-14] (Microsoft Corporation) U2 McxSvc; C:\Windows\SysWOW64\wbem\msds.exe [3846241 2013-11-23] () [File not signed] S2 MBAMService; "F:\Malwarebytes' Anti-Malware\mbamservice.exe" [X] S2 StarWindServiceAE; f:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe [X] R3 MBAMProtector; C:\Windows\system32\drivers\mbam.sys [24904 2012-04-04] (Malwarebytes Corporation) S1 StarOpen; C:\Windows\SysWow64\Drivers\StarOpen.sys [5632 2006-07-24] () [File not signed] S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] S3 dump_wmimmc; \??\E:\GRY\MU online global\GameGuard\dump_wmimmc.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 LgBttPort; system32\DRIVERS\lgbtpt64.sys [X] S3 lgbusenum; system32\DRIVERS\lgbtbs64.sys [X] S3 LGVMODEM; system32\DRIVERS\lgvmdm64.sys [X] S3 RSUSBSTOR; System32\Drivers\RtsUStor.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S3 usbbus; system32\DRIVERS\lgx64bus.sys [X] S3 UsbDiag; system32\DRIVERS\lgx64diag.sys [X] S3 USBModem; system32\DRIVERS\lgx64modem.sys [X] U4 WMCoreService; No ImagePath URLSearchHook: HKCU - (No Name) - {687578b9-7132-4a7a-80e4-30ee31099e03} - No File SearchScopes: HKLM - {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL = SearchScopes: HKCU - {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL = http://websearch.search-guide.info/?l=1&q={searchTerms}&pid=233&r=2013/11/12&hid=1136661776475716838&lg=EN&cc=PL&unqvl=40 BHO-x32: Blog This in Windows Live v2 -> {3adefb8e-b923-35e6-86e2-2b7841f5d2a7} -> C:\Windows\SysWOW64\mscoree.dll (Microsoft Corporation) Toolbar: HKCU - No Name - {687578B9-7132-4A7A-80E4-30EE31099E03} - No File CustomCLSID: HKU\S-1-5-21-1813054588-749713010-1817662991-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Bartek\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1813054588-749713010-1817662991-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Bartek\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File Task: {2F17A764-BAF1-4D12-9DAC-F65B1DE800DB} - System32\Tasks\Funmoods => C:\Users\Bartek\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE Task: {397CC96C-E6A9-461F-A106-587CAC15BEE6} - System32\Tasks\{7E0CEB6F-0242-45DE-84C4-6F93BF9C3BC0} => Chrome.exe http://www.skype.com/go/downloading?source=installer&ver=6.0.0.126&LastError=-9 Task: {66C9EB6C-4DD2-46E2-BF20-4DB645AC6242} - System32\Tasks\{A14E1A74-5CD1-4F1C-90BA-17E8897D0FF8} => Chrome.exe http://ui.skype.com/ui/0/6.14.0.104/pl/abandoninstall?page=tsMain Task: {9E9AFFF6-85DB-4CA3-BA20-C124EC1B9240} - System32\Tasks\{C54C7D28-3724-4A30-8264-D9F539BE6104} => Chrome.exe http://www.skype.com/go/downloading?source=installer&ver=5.10.0.114&LastError=-9 C:\Program Files (x86)\*.tmp C:\ProgramData\TEMP C:\Users\Bartek\AppData\Local\mysearchdial-speeddial.crx C:\Users\Bartek\AppData\Local\CRE C:\Users\Bartek\AppData\Roaming\eCyber C:\Users\Bartek\AppData\Roaming\iSafe C:\Users\Bartek\AppData\Roaming\Mozilla C:\Users\Bartek\AppData\Roaming\newnext.me C:\Users\Bartek\AppData\Roaming\op C:\Users\Bartek\AppData\Roaming\systweak C:\Users\Bartek\AppData\Roaming\WinLive C:\Users\AIM C:\Users\Driver C:\Users\Panel C:\Users\Public\*.exe C:\Windows\pss\*.CommonStartup C:\Windows\pss\*.Startup C:\Windows\SysWOW64\sho*.tmp C:\Windows\SysWOW64\wbem\msds.exe C:\Windows\SysWow64\Drivers\StarOpen.sys C:\Windows\system32\drivers\mbam.sys DeleteKey: HKLM\SYSTEM\CurrentControlSet\services\sptd Reg: reg delete HKCU\Software\Google\Chrome\Extensions /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0DD87F40-D1BF-755F-D6B4-6022A9FE1099}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0DD87F40-D1BF-755F-D6B4-6022A9FE1099}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt i log z AdwCleaner. .
  21. picasso
    Proszę dostosuj się do zasad działu: KLIK. Dostarcz obowiązkowe raporty z FRST i GMER. Dodatkowo dodaj także log z Farbar Service Scanner. .
  22. picasso
    W systemie brak widocznych oznak infekcji. Obcięta ścieżka dostępu, podaj pełną. Czy chodzi o C:\Program Files (x86)\InstallShield Installation Information, czy może o C:\Users\Grzegorz\AppData\Roaming\InstallShield? Ale w katalogu "Install Shield" nie powinno być narzędzia typu "procview" (menedżer procesów). Tak więc czy przypadkiem to Ty ręcznie nie pobrałeś i nie zapisałeś czegoś w tym folderze? .
  23. picasso
    Obrazek wskazuje, iż to niejaki WinThruster. Nie wiem co o nim sądzić, ale AdwCleaner wykrywa jego komponety i usuwa, czyli możliwe, że to niepożądany program instalowany metodami PUP. I wygląda na to, iż jest on już odinstalowany, gdyż nie widzę powiązanego wejścia w Addition. Jeśli chodzi o adware, to operacje z Revo nie pomogły tego odinstalować poprawnie. Nadal w systemie uruchamiają się procesy adware, również multum preferencji przeglądarek jest przejętych. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [715656 2014-09-20] (Cherished Technololgy LIMITED) S2 mglupdate; C:\Program Files (x86)\Maxiget\Updater\MaxigetUpdater.exe [131480 2014-09-20] (Maxiget Ltd.) S3 mglupdatem; C:\Program Files (x86)\Maxiget\Updater\MaxigetUpdater.exe [131480 2014-09-20] (Maxiget Ltd.) U4 bdselfpr; No ImagePath Task: {6CAE0FE3-675F-4A3E-899A-DD91FCE7EC84} - System32\Tasks\MaxigetUpdaterTaskMachineUA => C:\Program Files (x86)\Maxiget\Updater\MaxigetUpdater.exe [2014-09-20] (Maxiget Ltd.) Task: {6DE9C3D4-419E-41CB-A800-DE356FC8DB7A} - System32\Tasks\MaxigetUpdaterTaskMachineCore => C:\Program Files (x86)\Maxiget\Updater\MaxigetUpdater.exe [2014-09-20] (Maxiget Ltd.) Task: C:\Windows\Tasks\MaxigetUpdaterTaskMachineCore.job => C:\Program Files (x86)\Maxiget\Updater\MaxigetUpdater.exe Task: C:\Windows\Tasks\MaxigetUpdaterTaskMachineUA.job => C:\Program Files (x86)\Maxiget\Updater\MaxigetUpdater.exe Winlogon\Notify\ScCertProp: wlnotify.dll [X] ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1411221593&from=epom2&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Users\oem\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1411221593&from=epom2&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1411221593&from=epom2&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Users\oem\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1411221593&from=epom2&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1411221593&from=epom2&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Users\oem\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1411221593&from=epom2&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431 HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1411221593&from=epom2&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1411221593&from=epom2&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1411221593&from=epom2&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1411221593&from=epom2&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1411221593&from=epom2&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1411221593&from=epom2&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1411221593&from=epom2&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1411221593&from=epom2&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1411221593&from=epom2&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1411221593&from=epom2&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1411221593&from=epom2&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1411221593&from=epom2&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1411221593&from=epom2&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1411221593&from=epom2&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1411221593&from=epom2&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431&q={searchTerms} BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\SupTab\SupTab.dll (Thinknice Co. Limited) CHR HKLM-x32\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Users\oem\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [2014-09-20] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction FF Plugin-x32: @omaha.maxiget.com/Maxiget Updater;version=3 -> C:\Program Files (x86)\Maxiget\Updater\70.3.29.7018\npMaxigetUpdater3.dll (Maxiget Ltd.) FF Plugin-x32: @omaha.maxiget.com/Maxiget Updater;version=9 -> C:\Program Files (x86)\Maxiget\Updater\70.3.29.7018\npMaxigetUpdater3.dll (Maxiget Ltd.) FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird CustomCLSID: HKU\S-1-5-21-1402326780-2026060396-4273624969-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\oem\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1402326780-2026060396-4273624969-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\oem\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File C:\Spacekace C:\Program Files\FileViewPro C:\Program Files\ESET C:\Program Files (x86)\Maxiget C:\Program Files (x86)\SupTab C:\Program Files (x86)\WinThruster C:\ProgramData\IePluginServices C:\Users\oem\AppData\Local\Maxiget C:\Users\oem\AppData\Roaming\ESET C:\Users\oem\AppData\Roaming\QuickScan C:\Users\oem\AppData\Roaming\Solvusoft C:\Windows\SysWOW64\GroupPolicy\GPT.INI EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .
  24. picasso
    Temat sprzątam. Wprawdzie nie ma oznak czynnej infekcji w rozumieniu trojanów, ale w Firefox nadal jest adware (hosts i WebConnect). I są tu znaki dwóch kont: Lukasz i Lukasz_2 (z tego zostały zrobione logi). Do zrobienia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKU\S-1-5-21-3226649207-2173951153-2690345056-1000\...\Run: [Gyazo] => C:\Program Files (x86)\Gyazo\GyStation.exe HKU\S-1-5-21-3226649207-2173951153-2690345056-1001\...\Run: [AVG-Secure-Search-Update_JUNE2013_TB] => "C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_TB.exe" /PROMPT /CMPID=JUNE2013_TB HKU\S-1-5-21-3226649207-2173951153-2690345056-1001\...\Run: [AVG-Secure-Search-Update_JUNE2013_HP] => "C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_HP.exe" /PROMPT /CMPID=JUNE2013_HP Task: {376A8ED6-3020-4F88-98FE-B2EB378885B4} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{F8AF48B9-6092-43F2-9EC6-1EEEAB8CDD8F}.exe Task: {D5F99704-21A0-4E42-888C-C16DB51AA2FF} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\Windows\TEMP\{CC77281B-424D-4E68-B7AA-5409745C1BA5}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\Windows\TEMP\{CC77281B-424D-4E68-B7AA-5409745C1BA5}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{F8AF48B9-6092-43F2-9EC6-1EEEAB8CDD8F}.exe GroupPolicyUsers\S-1-5-21-3226649207-2173951153-2690345056-1002\User: Group Policy restriction detected GroupPolicyUsers\S-1-5-21-3226649207-2173951153-2690345056-1001\User: Group Policy restriction detected GroupPolicyUsers\S-1-5-21-3226649207-2173951153-2690345056-1000\User: Group Policy restriction detected StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\Avg_Update_0814tb C:\ProgramData\InstallMate C:\Users\Lukasz\AppData\Roaming\Gyazo C:\Users\Lukasz\Downloads\Setup.exe Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-21-3226649207-2173951153-2690345056-1000\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /f Reg: reg delete "HKU\S-1-5-21-3226649207-2173951153-2690345056-1000\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}" /f Reg: reg delete "HKU\S-1-5-21-3226649207-2173951153-2690345056-1000\Software\Microsoft\Internet Explorer\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}" /f Reg: reg delete "HKU\S-1-5-21-3226649207-2173951153-2690345056-1000\Software\Microsoft\Internet Explorer\SearchScopes\{C19E4BF8-5BED-4410-98C7-6571A000149A}" /f Reg: reg delete "HKU\S-1-5-21-3226649207-2173951153-2690345056-1000\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: sc config "Cyfrowy Polsat E3276. RunOuc" start= demand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. AdwCleaner źle naprawił specjalny skrót IE (utata specjalnego atrybutu, nie działa jak należy): Shortcut: C:\Users\Lukasz_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Lukasz_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Usuń błąd WMI numer 10 narzędziem Fix-it: KLIK. 5. Zrób nowy log FRST z opcji Scan (zaznacz Addition) z poziomu tego drugiego konta, o ile to konto jest czynne i nie jest to jakiś odpadek, w przeciwnym razie usuń po prostu tamto konto i powiązany folder z dysku. Dołącz też plik fixlog.txt. .
  25. picasso
    Na początek dostosuj się do zasad działu i dostarcz obowiązkowe raporty (FRST, OTL i GMER): KLIK.
×
×
  • Dodaj nową pozycję...