picasso

agatka2, nic nie wykonane. Popatrz do pliku fixlog.txt - jest kompletnie pusty! Czy Ty w ogóle wkleiłaś coś do Notatnika? Proszę powtórz punkty 1 + 3 z podanej instrukcji.

W ogóle nie widzę oznak istartsurf w Google Chrome, ale FRST nie odczytał preferencji Google (wyglądają na uszkodzone) i jest możliwe, że to sesja jest przywracania. Dodatkowo do czyszczenia będą inne śmieci / starocie. Notuję też poblem z Avast (nie jest to najnowsza wersja) - wszystkie jego usługi stoją jako zablokowane w GMER. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [Freecorder FLV Service] => "C:\Program Files (x86)\Freecorder\FLVSrvc.exe" /run HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-264646996-2161709609-1433315882-1000\...\Run: [Akamai NetSession Interface] => C:\Users\Gerard\AppData\Local\Akamai\netsession_win.exe [4672920 2014-04-17] (Akamai Technologies, Inc.) HKU\S-1-5-21-264646996-2161709609-1433315882-1000\...\Run: [dbcffdcdddgfdgfdgdfg] => "Ů" Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\D-Link AirPlus.lnk Startup: C:\Users\Gerard\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IMVU.lnk S2 NMSAccessU; C:\Users\Gerard\AppData\Local\Temp\{D4C92CC8-9456-43FA-8CD1-12B016614C5D}\NMSAccessU.exe [X] S1 cfcktyca; \??\C:\Windows\system32\drivers\cfcktyca.sys [X] U4 eabfiltr; No ImagePath S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X] S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X] URLSearchHook: HKCU - (No Name) - {09ec805c-cb2e-4d53-b0d3-a75a428b81c7} - No File SearchScopes: HKLM - {CE478A33-2406-4F47-9F8C-73DD77C7A8CC} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl SearchScopes: HKLM-x32 - {CE478A33-2406-4F47-9F8C-73DD77C7A8CC} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl SearchScopes: HKCU - {CE478A33-2406-4F47-9F8C-73DD77C7A8CC} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl BHO-x32: AOL Toolbar BHO -> {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} -> C:\Program Files (x86)\AOL\Pasek narzędzi AOL 5.0\aoltb.dll (AOL LLC) Toolbar: HKLM-x32 - AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files (x86)\AOL\Pasek narzędzi AOL 5.0\aoltb.dll (AOL LLC) Toolbar: HKCU - No Name - {DE9C389F-3316-41A7-809B-AA305ED9D922} - No File Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKCU - No Name - {09EC805C-CB2E-4D53-B0D3-A75A428B81C7} - No File CHR HKLM-x32\...\Chrome\Extension: [dpgkoeinjnkgcieloaioiohencfcjjjc] - C:\ProgramData\Codecv\dpgkoeinjnkgcieloaioiohencfcjjjc.crx [] C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Opera C:\Users\Gerard\AppData\Local\Opera Software C:\Users\Gerard\AppData\Roaming\Opera Software C:\Users\Gerard\AppData\Roaming\Mozilla C:\Windows\SysWOW64\sqlite3.dll Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj zbędne i stare aplikacje oraz problematyczny Avast (później zainstalujesz najnowszą wersję): 50 FREE MP3s +1 Free Audiobook!, Adobe Flash Player 11 ActiveX, Adobe Flash Player 11 Plugin 64-bit, Adobe Reader 9.1 - Polish, Akamai NetSession Interface, avast! Free Antivirus, Java™ 6 Update 14, Java™ 6 Update 31, Pasek narzędzi AOL 5.0 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). .

Nie widzę nic podejrzanego w raportach, prolem nie wydaje się pochodną infekcji. Tu największą uwagę zwraca Bitdefender Internet Security silnie ingerujący w opisywane sfery. Wstępnie wyłącz jego osłony rezydentne i sprawdź czy wprowadzi to zmiany. Niemniej to jest tylko częściowy test, aktywność sterowników BitDefender nie zostanie zniesiona. 100% wyniki tylko poprzez tymczasową deinstalację. Gdy uporamy się z podstawowym problemem podam skrypt kosmetyczny usuwający szczątkowe wpisy oraz czyszczący lokalizacje Temp. .

Tytułowy błąd produkuje obiekt infekcji "policyjnej", który notabene uruchamia się pomyślnie (w procesach jest sfałszowany C:\ProgramData\lsass.exe). Przyczyna infekcji to przestarzała Java. Prócz tego jeszcze są różne odpadki adware tu i ówdzie. Jeśli po wyczyszczeniu infekcji nie ustąpią objawy, załóż nowy temat w dziale Hardware. Wspomnę tylko, że oprogramowanie E-MU jest relatywnie stare i może należy poszukać aktualizacji: ==================== Registry (Whitelisted) ================== HKU\S-1-5-21-474559410-1312325989-2775129271-1000\...\Run: [E-MU USB Audio Control Panel] => C:/Program Files (x86)/Creative Professional/E-MU USB Audio/EmuUsbAudioCP.exe [319488 2010-11-11] (E-MU Systems) ==================== Services (Whitelisted) ================= R2 emaudsv; C:\Windows\system32\emaudsv.exe [26624 2010-11-12] (E-MU Systems) ==================== Drivers (Whitelisted) ==================== R3 emusba10; C:\Windows\System32\DRIVERS\emusba10.sys [219096 2010-11-12] (E-MU Systems) Dodatkowo, w Dzienniku zdarzeń widzę taki oto błąd: System errors: ============= Error: (09/21/2014 10:33:03 AM) (Source: Ntfs) (EventID: 137) (User: ) Description: Domyślny menedżer zasobów transakcji w woluminie I: napotkał błąd niepowtarzający operacji i nie można go uruchomić. Dane zawierają kod błędu. Nie wiem do czego to podpiąć, ale zadam komendę fsutil, która może pomóc usunąć błąd. Wstępnie wykonaj następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Startup: C:\Users\Grzegorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk ShortcutTarget: ctfmon.lnk -> C:\ProgramData\lsass.exe (Microsoft Corporation) URLSearchHook: HKCU - (No Name) - {cd90bf73-20f6-44ef-993d-bb920303bd2e} - No File SearchScopes: HKLM-x32 - DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2653012 SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2653012 SearchScopes: HKCU - DefaultScope {3D0ADA0E-CF63-448F-AD14-702B047A72B2} URL = http://search.avg.com/route/?d=4dbacf3a&v=6.103.18.1&i=23&tp=chrome&q={searchTerms}&lng={language}&iy=&ychte=us SearchScopes: HKCU - {3D0ADA0E-CF63-448F-AD14-702B047A72B2} URL = http://search.avg.com/route/?d=4dbacf3a&v=6.103.18.1&i=23&tp=chrome&q={searchTerms}&lng={language}&iy=&ychte=us SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = Toolbar: HKLM-x32 - No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No File Toolbar: HKCU - No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No File Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File S3 ACDaemon; C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe [X] S3 IT9135BDA; System32\Drivers\IT9135BDA.sys [X] Task: {3CBB3667-DC99-4631-BD03-074E49EC8722} - System32\Tasks\{5A0AA3BC-A62E-40ED-AF4D-6926C40CC4CB} => C:\Program Files\Winamp\winamp.exe Task: {4BE6768F-F669-4D76-9BBA-AFE72B5AE18A} - System32\Tasks\ROC_REG_JAN_DELETE => C:\ProgramData\AVG January 2013 Campaign\ROC.exe [2013-01-16] () Task: {F9871E36-DE70-4DCE-9279-CF27F28FB4A0} - System32\Tasks\{0BA92086-42AB-4578-B486-F46535931108} => C:\Program Files\Winamp\winamp.exe Task: C:\Windows\Tasks\ROC_REG_JAN_DELETE.job => C:\ProgramData\AVG January 2013 Campaign\ROC.exe C:\Program Files (x86)\Mozilla Firefox.bak C:\Program Files (x86)\Mozilla Firefox\extensions C:\ProgramData\TEMP C:\Users\Grzegorz\Firefox Setup 4.0.1.exe C:\Users\Grzegorz\AppData\Roaming\jaws Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\URLSearchHooks" /v {A3BC75A2-1F87-4686-AA43-5347D756017C} /f CMD: fsutil resource setautoreset true c:\ Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany, błąd nie powinien się już pojawić. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj starocie: Adobe Reader X (10.0.1), Adobe Shockwave Player 11.6, AVG 2012, Java™ 6 Update 39. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt. .

Dziś awaria po stronie LeaseWeb. Forum było niedostępne przez pewien czas. Problem powinien być już rozwiązany.

Działa tu multum obiektów adware, ale na pewno nie pochodzą one z tego źródła: Jeśli to "instalator" Adobe to wprowadził, nie był to oryginalny instalator tylko jakiś preparowany downloader portalowy: KLIK. Oryginalne instalatory Adobe nie instalują adware tylko McAfee Security Scan Plus lub programy Google. To adware wyprodukowane przez Pay By Ads LTD, nie jest to firmowe Yahoo. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {6fcd6092-9615-4f7f-8898-8df53980e5d2}w64; C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys [61624 2014-08-06] (StdLib) R1 {825c5be7-672f-4c14-9929-48a3a5e1a660}Gw64; C:\Windows\System32\drivers\{825c5be7-672f-4c14-9929-48a3a5e1a660}Gw64.sys [61120 2014-07-08] (StdLib) R2 Update NetCrawl; C:\Program Files (x86)\NetCrawl\updateNetCrawl.exe [325408 2014-09-21] () R2 Update Rock Turner; C:\Program Files (x86)\Rock Turner\updateRockTurner.exe [325408 2014-09-21] () R2 UpdaterSvcRockTurner; C:\Program Files (x86)\Rock Turner\updater.exe [135968 2014-07-09] () R2 Util NetCrawl; C:\Program Files (x86)\NetCrawl\bin\utilNetCrawl.exe [325408 2014-09-21] () R2 Util Rock Turner; C:\Program Files (x86)\Rock Turner\bin\utilRockTurner.exe [325408 2014-09-21] () S2 Nero BackItUp Scheduler 4.0; C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe [X] HKU\S-1-5-21-3416864892-2804832870-1591593753-1001\...\Run: [Yahoo! Search] => C:\Users\Izabela\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.12.4\dsrlte.exe [438632 2014-09-18] (Pay By Ads LTD) AppInit_DLLs: C:\PROGRA~2\Linkey\IEEXTE~1\iedll64.dll => C:\Program Files (x86)\Linkey\IEExtension\iedll64.dll [210960 2014-04-08] (Aztec Media Inc) Task: C:\Windows\Tasks\Yahoo! Search Udpater.job => C:\Users\Izabela\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.12.4\dsrsetup.exe Task: C:\Windows\Tasks\Yahoo! Search.job => C:\Users\Izabela\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.12.4\dsrlte.exe IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe ShellIconOverlayIdentifiers: 00avast -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na URLSearchHook: HKLM-x32 - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=n&ver=12349&tm=334&src=ds&p={searchTerms} SearchScopes: HKLM-x32 - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=n&ver=12349&tm=334&src=ds&p={searchTerms} SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=n&ver=12349&tm=334&src=ds&p={searchTerms} BHO: Linkey -> {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47} -> C:\Program Files (x86)\Linkey\IEExtension\iedll64.dll (Aztec Media Inc) BHO-x32: Rock Turner -> {527b365c-1bd3-4a66-906f-8729805ce78c} -> C:\Program Files (x86)\Rock Turner\RockTurnerbho.dll (Rock Turner) FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\default-search.xml CHR HomePage: Default -> hxxp://rts.dsrlte.com?affID=na CHR RestoreOnStartup: Default -> "hxxp://rts.dsrlte.com?affID=na" CHR StartupUrls: Default -> "hxxp://rts.dsrlte.com?affID=na" CHR HKLM\SOFTWARE\Policies\Google: Policy restriction C:\Program Files (x86)\Linkey C:\ProgramData\AVAST Software C:\ProgramData\TEMP C:\Users\Izabela\AppData\Roaming\SimilarSites C:\Users\Izabela\Downloads\uninstall.exe C:\Windows\SysWOW64\GroupPolicy\GPT.INI C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys C:\Windows\System32\drivers\{825c5be7-672f-4c14-9929-48a3a5e1a660}Gw64.sys Folder: C:\Users\Izabela\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Izabela\AppData\Roaming\Opera Software\Opera Stable\Preferences" Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware: NetCrawl, Rock Turner, Yahoo! Search. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj adware NetCrawl, Rock Turner (o ile nadal będą widoczne po w/w deinstalacjach) oraz szczątek avast! Online Security. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy Yahoo! Search punktujące do rts.dsrlte.com. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt. .

System jest zainfekowany, w starcie uruchamia się bzsbkotiu.exe, są też szczątki adware. Niemniej nie jest pewne skąd ten błąd przy uruchamianiu systemu. Wstępnie wyczyść system z infekcji i zobaczymy co się stanie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Startup: C:\Users\Agata\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bzsbkotiu.exe (Telerik) ShellIconOverlayIdentifiers: 00avast -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKLM\...\Policies\Explorer: [NoControlPanel] 0 IFEO\DatamngrCoordinator.exe: [Debugger] tasklist.exe GroupPolicy: Group Policy on Chrome detected ProxyServer: 121.168.120.78:80 HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://astromenda.com/?f=1&a=ast_ir_14_35_ch&cd=2XzuyEtN2Y1L1Qzu0EtD0Bzy0AyD0FyCzztA0CyDyBtAzz0BtN0D0Tzu0SzyyByEtN1L2XzutAtFtDtFtCyCtFyCtN1L1CzutCyEtBzytDyD1V1RtN1L1G1B1V1N2Y1L1Qzu2SyD0F0B0B0CtCtDyCtG0D0C0DtAtGyE0Ezz0CtGyEzytB0DtGtC0FtB0DtC0EyCyE0FyDyC0A2QtN1M1F1B2Z1V1N2Y1L1Qzu2SzyzyyBtCyCtCyCtBtGtDtA0BtCtGyEtA0D0EtG0BtCzz0BtG0C0A0AtCtByE0DtAzy0F0EtA2Q&cr=1344596677&ir= URLSearchHook: HKCU - (No Name) - {84FF7BD6-B47F-46F8-9130-01B2696B36CB} - No File StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKLM - {2E00D31D-D171-423D-836D-1A4D7EA7F1A9} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_35_ch&cd=2XzuyEtN2Y1L1Qzu0EtD0Bzy0AyD0FyCzztA0CyDyBtAzz0BtN0D0Tzu0SzyyByEtN1L2XzutAtFtDtFtCyCtFyCtN1L1CzutCyEtBzytDyD1V1RtN1L1G1B1V1N2Y1L1Qzu2SyD0F0B0B0CtCtDyCtG0D0C0DtAtGyE0Ezz0CtGyEzytB0DtGtC0FtB0DtC0EyCyE0FyDyC0A2QtN1M1F1B2Z1V1N2Y1L1Qzu2SzyzyyBtCyCtCyCtBtGtDtA0BtCtGyEtA0D0EtG0BtCzz0BtG0C0A0AtCtByE0DtAzy0F0EtA2Q&cr=1344596677&ir= SearchScopes: HKLM-x32 - DefaultScope value is missing. SearchScopes: HKCU - DefaultScope {2E00D31D-D171-423D-836D-1A4D7EA7F1A9} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_35_ch&cd=2XzuyEtN2Y1L1Qzu0EtD0Bzy0AyD0FyCzztA0CyDyBtAzz0BtN0D0Tzu0SzyyByEtN1L2XzutAtFtDtFtCyCtFyCtN1L1CzutCyEtBzytDyD1V1RtN1L1G1B1V1N2Y1L1Qzu2SyD0F0B0B0CtCtDyCtG0D0C0DtAtGyE0Ezz0CtGyEzytB0DtGtC0FtB0DtC0EyCyE0FyDyC0A2QtN1M1F1B2Z1V1N2Y1L1Qzu2SzyzyyBtCyCtCyCtBtGtDtA0BtCtGyEtA0D0EtG0BtCzz0BtG0C0A0AtCtByE0DtAzy0F0EtA2Q&cr=1344596677&ir= SearchScopes: HKCU - {2E00D31D-D171-423D-836D-1A4D7EA7F1A9} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_35_ch&cd=2XzuyEtN2Y1L1Qzu0EtD0Bzy0AyD0FyCzztA0CyDyBtAzz0BtN0D0Tzu0SzyyByEtN1L2XzutAtFtDtFtCyCtFyCtN1L1CzutCyEtBzytDyD1V1RtN1L1G1B1V1N2Y1L1Qzu2SyD0F0B0B0CtCtDyCtG0D0C0DtAtGyE0Ezz0CtGyEzytB0DtGtC0FtB0DtC0EyCyE0FyDyC0A2QtN1M1F1B2Z1V1N2Y1L1Qzu2SzyzyyBtCyCtCyCtBtGtDtA0BtCtGyEtA0D0EtG0BtCzz0BtG0C0A0AtCtByE0DtAzy0F0EtA2Q&cr=1344596677&ir= BHO-x32: Media Buzz -> {12085f9f-1072-476f-a3e5-5e100ec9e25e} -> C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode8500\ie\MediaBuzzV1mode8500.dll () BHO-x32: No Name -> {84FF7BD6-B47F-46F8-9130-01B2696B36CB} -> No File CHR HKLM-x32\...\Chrome\Extension: [dfibfcnjcdaaklcgemfmmniabbifhdpo] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha4446\ch\MediaViewV1alpha4446.crx [] CHR HKLM-x32\...\Chrome\Extension: [eijphncialmcafkfoodhbigpmaehfmjn] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode8500\ch\MediaBuzzV1mode8500.crx [2014-04-24] CHR HKLM-x32\...\Chrome\Extension: [ejjlogcddenldakiifekecjmnjijnkaj] - C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release601\ch\RichMediaViewV1release601.crx [2014-05-13] CHR HKLM-x32\...\Chrome\Extension: [hffkmmfnlgnhdnkfbnhpaabfppdihjcj] - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha394\ch\WebexpEnhancedV1alpha394.crx [2014-05-13] CHR HKLM-x32\...\Chrome\Extension: [kbjlipmgfoamgjaogmbihaffnpkpjajp] - C:\Program Files (x86)\Nosibay\Bubble Dock\extensions\GCSurfMatch.crx [2014-05-13] CHR HKLM-x32\...\Chrome\Extension: [kpdhgpkkloealnjnmepfhanpcleldbef] - C:\Program Files (x86)\Unitech LLC\ividi\1.8.23.0\ividi.crx [2014-05-13] S3 cpuz135; \??\C:\Windows\TEMP\cpuz135\cpuz135_x64.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] CMD: type C:\Windows\System32\Tasks\{6FA58829-370C-4835-AE42-7EF7F8B5D3E1} Task: {027F70DE-8B5A-4B5A-AAC5-BD060467D970} - System32\Tasks\{6E1E2A2A-3B1C-4882-9D5C-BE91949650FF} => D:\gry\wiedzmin\launcher.exe Task: {3FC407CD-3E16-4657-9E9F-95CD5F9CFFF9} - \AmiUpdXp No Task File Task: {666A140D-445E-431A-98A9-051D39E983D8} - System32\Tasks\{E9C2C747-3D10-4E32-B9B6-F62B5FAA0F03} => D:\gry\wiedzmin\launcher.exe Task: {7571D4AD-82D8-460E-91DB-732182BE538D} - System32\Tasks\{6FA58829-370C-4835-AE42-7EF7F8B5D3E1} => C:\Users\Agata\Downloads\dotNetFx35setup.exe [2013-06-07] (Microsoft Corporation) Task: {A9F7431B-73AF-474F-8FA2-D1F3BC470721} - System32\Tasks\{AE34A7C2-CE35-4799-9AD6-94D872AA7E28} => D:\gry\wiedzmin\launcher.exe Task: {D11ACB82-201F-46A4-A2C3-B39D81B129F8} - System32\Tasks\{F1CFC716-57E5-4CDD-ACC8-07A2477C53E9} => D:\gry\wiedzmin\launcher.exe Task: {D58E3CC5-B452-49B5-A890-EF0CD103B6E9} - System32\Tasks\{F9AD3FBD-052A-4E06-B03C-674F16573B2D} => D:\gry\wiedzmin\launcher.exe Task: {E8545700-BABD-4AA7-9485-B51D0D98EC6F} - System32\Tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d-Logon => C:\Program Files (x86)\Intel\Intel® ME FW Recovery Agent\bin\Bootstrap.exe C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\MediaBuzzV1 C:\Program Files (x86)\Nosibay C:\Program Files (x86)\RichMediaViewV1 C:\Program Files (x86)\WebexpEnhancedV1 C:\Program Files (x86)\Unitech LLC C:\ProgramData\AVAST Software C:\ProgramData\Temp C:\Users\Agata\AppData\Roaming\sp_data.sys C:\Users\Agata\AppData\Roaming\Mozilla C:\Users\Agata\AppData\Roaming\nvidiadisp C:\Users\Agata\AppData\Roaming\OpenCandy C:\Users\Agata\Downloads\9f2c91e72c.ccf C:\Users\Agata\Downloads\9f2c91e72c.rsdf C:\Users\Agata\Downloads\Unconfirmed*.crdownload C:\Windows\pss\MyPC Backup.lnk.Startup C:\Windows\system32\Drivers\aswTap.sys Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Agata^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^MyPC Backup.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GetPrivate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchProtection" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{4DA97A20-88A8-03BB-29D5-3D0E10175C9C}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete "HKU\S-1-5-21-1368506913-565370030-2556156532-1001\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Folder: C:\Users\Agata\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Agata\AppData\Roaming\Opera Software\Opera Stable\Preferences" Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy błąd podczas startu nadal występuje. .

W systemie działają obiekty adware, ale jest tu podobna sprawa do tego tematu. Lista zainstalowanych programów jest podejrzanie krótka i nie widać na niej żadnej z przeglądarek, mimo iż w systemie są ślady Firefox, Google Chrome oraz Opera (żadne z narzędzi jej nie skanuje, ale widać ją uruchomioną w procesach). Czy wiesz od kiedy występuje problem z listą zainstalowanych programów? Jedyny dostępny punkt Przywracania systemu pochodzi z 19 września: ==================== Restore Points ========================= 19-09-2014 01:23:07 Windows Update Zanim przejdę do czyszczenia muszę wiedzieć co zrobić ze zdefektowaną listą zainstalowanych. .

W Firefox i Google Chrome nadal są obiekty adware. Są też znaki pobytu Opera (żadne z narzędzi jej nie skanuje), ale trudno stwierdzić, czy ona istnieje, gdyż: Tak, lista programów jest bardzo krótka, nie widać żadnej z przeglądarek. Nie wiadomo co się stało, ale tego już nie da się naprawić w sposób poprzez proste odtworzenie wpisów. Sugeruję cofnąć system do czasu gdy nie było problemu. W systemie są wykryte następujące punkty: ==================== Restore Points ========================= 04-08-2014 15:34:03 avast! antivirus system restore point 29-08-2014 12:10:09 Installed Java 7 Update 67 13-09-2014 21:52:57 Installed SpyHunter 13-09-2014 22:29:35 Removed SpyHunter Proponuję wybrać punkt "Installed Java 7 Update 67" (wydaje się dostatecznie "stary"). Po przywróceniu systemu poproszę o nowe raporty z FRST (wszystkie trzy). Jeśli adware zostanie odtworzone, zajmę się tym, nie podejmować dodatkowych działań. PS. A SpyHunter to wąpliwy program, z daleka od niego. .

Brakuje raportu z GMER. Temat przenoszę na razie do działu Windows. Póki co, jawnych oznak czynnej infekcji nie widać, ale jest coś nie tak, gdyż multum sterowników Microsoftu jest oznaczona jako nie podpisane cyfrowo. To oznacza jedno z dwóch: niepożądaną modyfikację plików lub problemem z niedziałająca usługą Usługi Kryptograficzne. Dodatkowo, w Dzienniku zdarzeń jest poniższy błąd, który może sugerować problem z dyskiem twardym: System errors: ============= Error: (09/19/2014 10:49:36 PM) (Source: volsnap) (EventID: 14) (User: ) Description: Kopie w tle woluminu C: zostały przerwane z powodu usterki We/Wy w woluminie C:. Nie jest też wykluczone, iż Kaspersky Internet Security 15.0.0 (świeżo doinstalowany) tworzy problem zamulenia. Wstępnie: 1. Zweryfikuj stan plików systemowych. Uruchom cmd z prawokliku jako Administrator, wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. 2. W cmd wykonaj też sprawdzanie dysku komendą chkdsk /f /r. .

Proszę dostosuj się do zasad działu: KLIK. Dostarcz obowiązkowe raporty z FRST i GMER.

Mniemam, że to komputer firmowy i pliki BAT w starcie (bginfo.bat, ecr-reg.batm, ieset.bat) są znajome. Jeśli pijesz do Google Chrome (uruchomione w procesach): owszem, są ślady manipulacji adware w tej przeglądarce, aczkolwiek wszystko wygląda dość szczątkowo i mam silne wątpliwości czy stan przez Ciebie opisany ma nadal miejsce (lub: jest problem niewidzialny w logach). Wstępnie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction C:\Program Files (x86)\FlexibleeSHoPPer C:\ProgramData\FlexibleeSHoPPer C:\ProgramData\SharkManCoupon C:\ProgramData\f338749d3f8824bd C:\Users\Administrator\AppData\Roaming\rmi C:\Users\Administrator\Documents\Optimizer Pro C:\Windows\msdownld.tmp C:\Windows\system32\Drivers\glfjyrcp.sys CMD: sc config "Mobile Partner. RunOuc" start= demand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Uruchom AdwCleaner (widzę, że pobrałeś już). Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. Wypowiedz się na czym stoimy. .

Logi z DDS zbędne i usuwam, to tylko awaryjny skan, gdy nie można dostarczyć obowiązkowych raportów FRST i OTL. Zabrakło za to GMER. W systemie jest potężny śmietnik, multum instalacji adware we wszystkich widzialnych przeglądarkach (Firefox, Google Chrome i Internet Explorer). Jest tu i Opera, ale narzędzia jej nie skanują, więc będę pobierać ręcznie dane o niej. W skuteczność Przywracania systemu wątpię, w systemie są także stare instalacje adware. Akcje wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 ttnfd; C:\Windows\System32\drivers\ttnfd.sys [58232 2014-09-04] (Term Tutor) R2 70e6ca8c; c:\Program Files (x86)\Optimizer Pro\OptProCrash.dll [3541448 2014-09-16] () R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [715656 2014-09-13] (Cherished Technololgy LIMITED) R2 ttsvc; C:\Program Files (x86)\TermTutor\Service\ttsvc.exe [276048 2014-09-04] (Term Tutor) HKLM-x32\...\Run: [vProt] => C:\Program Files (x86)\AVG Secure Search\vprot.exe [2640408 2014-08-26] () HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\...\Run: [Google Update] => C:\Users\Marta\AppData\Local\Google\Update\GoogleUpdate.exe [136176 2012-03-07] (Google Inc.) HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\...\Run: [Optimizer Pro] => C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe [146888 2014-08-21] (PC Utilities Software Limited) ShortcutWithArgument: C:\Users\Marta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Users\Marta\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1410632294&from=ild&uid=SAMSUNGXHM500JI_S20CJ9AZ410815 ShortcutWithArgument: C:\Users\Marta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1410632294&from=ild&uid=SAMSUNGXHM500JI_S20CJ9AZ410815 ShortcutWithArgument: C:\Users\Marta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1410632294&from=ild&uid=SAMSUNGXHM500JI_S20CJ9AZ410815 ShortcutWithArgument: C:\Users\Marta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1410632294&from=ild&uid=SAMSUNGXHM500JI_S20CJ9AZ410815 HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1410632294&from=ild&uid=SAMSUNGXHM500JI_S20CJ9AZ410815 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1410632294&from=ild&uid=SAMSUNGXHM500JI_S20CJ9AZ410815 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1410632294&from=ild&uid=SAMSUNGXHM500JI_S20CJ9AZ410815&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1410632294&from=ild&uid=SAMSUNGXHM500JI_S20CJ9AZ410815 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1410632294&from=ild&uid=SAMSUNGXHM500JI_S20CJ9AZ410815 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1410632294&from=ild&uid=SAMSUNGXHM500JI_S20CJ9AZ410815&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1410632294&from=ild&uid=SAMSUNGXHM500JI_S20CJ9AZ410815&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1410632294&from=ild&uid=SAMSUNGXHM500JI_S20CJ9AZ410815 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1410632294&from=ild&uid=SAMSUNGXHM500JI_S20CJ9AZ410815 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1410632294&from=ild&uid=SAMSUNGXHM500JI_S20CJ9AZ410815&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1410632294&from=ild&uid=SAMSUNGXHM500JI_S20CJ9AZ410815 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1410632294&from=ild&uid=SAMSUNGXHM500JI_S20CJ9AZ410815&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1410632294&from=ild&uid=SAMSUNGXHM500JI_S20CJ9AZ410815&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1410632294&from=ild&uid=SAMSUNGXHM500JI_S20CJ9AZ410815&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1410632294&from=ild&uid=SAMSUNGXHM500JI_S20CJ9AZ410815&q={searchTerms} SearchScopes: HKLM-x32 - {7A2B24E3-FE2C-44B3-AB42-A646635E211C} URL = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7SMSN SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1410632294&from=ild&uid=SAMSUNGXHM500JI_S20CJ9AZ410815&q={searchTerms} SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1410632294&from=ild&uid=SAMSUNGXHM500JI_S20CJ9AZ410815&q={searchTerms} SearchScopes: HKCU - {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = http://startsear.ch/?aff=1&q={searchTerms} SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={6A9E299C-827D-4072-BBFA-1DF8D14F8271}&mid=d940c8f5997247d0aa60d16d12990cc7-e6ff24eed6b55948f9ef0f68e18a000992eacfb6&lang=pl&ds=bm012&pr=sa&d=2012-05-26 22:16:01&v=15.2.0.5&pid=avg&sg=0&sap=dsp&q={searchTerms} BHO: TermTutor -> {6CB99040-7828-4C37-AC01-F15758F43E4D} -> C:\Program Files\TermTutor\IE\TermTutorClientIE.dll (Term Tutor) BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\SupTab\SupTab.dll (Thinknice Co. Limited) BHO-x32: TermTutor -> {6CB99040-7828-4C37-AC01-F15758F43E4D} -> C:\Program Files (x86)\TermTutor\IE\TermTutorClientIE.dll (Term Tutor) BHO-x32: IE5BarLauncherBHO Class -> {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} -> C:\Program Files (x86)\vShare.tv plugin\BarLcher.dll (VShare Inc.) Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKLM-x32 - VShareToolBar - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files (x86)\vShare.tv plugin\BarLcher.dll (VShare Inc.) Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\avg-secure-search.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\istartsurf.xml FF HKLM-x32\...\Firefox\Extensions: [{B7082FAA-CB62-4872-9106-E42DD88EDE45}] - C:\Program Files (x86)\McAfee\SiteAdvisor FF HKLM-x32\...\Firefox\Extensions: [bkmrksync@nokia.com] - C:\Program Files (x86)\Nokia\Nokia PC Suite 7\bkmrksync FF HKLM-x32\...\Firefox\Extensions: [avg@toolbar] - C:\ProgramData\AVG Secure Search\FireFoxExt\18.1.9.799 FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Marta\AppData\Roaming\Mozilla\Firefox\Profiles\lbosaufd.default\extensions\faststartff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [termtutor@termtutor.com] - C:\Program Files (x86)\Mozilla Firefox\extensions\termtutor@termtutor.com CHR HomePage: Default -> hxxp://www.istartsurf.com/?type=hp&ts=1410632294&from=ild&uid=SAMSUNGXHM500JI_S20CJ9AZ410815 CHR StartupUrls: Default -> "hxxp://www.istartsurf.com/?type=hp&ts=1410632294&from=ild&uid=SAMSUNGXHM500JI_S20CJ9AZ410815" CHR Extension: (vshare plugin) - C:\Users\Marta\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj [2012-03-07] CHR HKLM-x32\...\Chrome\Extension: [kpionmjnkbpcdpcflammlgllecmejgjj] - C:\Program Files (x86)\vShare.tv plugin\vshareplg.crx [2011-08-31] CHR HKLM-x32\...\Chrome\Extension: [ndibdjnfmopecpmkdieinmbadjfpblof] - C:\ProgramData\AVG Secure Search\ChromeExt\17.3.0.49\avg.crx [2011-08-31] CHR HKLM-x32\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Users\Marta\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [2014-09-13] Task: {126B7EE4-6AF7-4E05-96B4-F1445EC79B9D} - System32\Tasks\Optimizer Pro Schedule => C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe [2014-08-21] (PC Utilities Software Limited) Task: {1446443E-A3AE-42CE-B6D7-91441E5DC473} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2010-07-19] (Google Inc.) Task: {2484FE61-87CB-424B-8685-C09B509E04C9} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2195184045-3265951034-2981680463-1000UA => C:\Users\Marta\AppData\Local\Google\Update\GoogleUpdate.exe [2012-03-07] (Google Inc.) Task: {345377DB-6D1B-4A0F-A6EC-DC9DAC472635} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe [2014-09-13] (AnyProtect.com) Task: {A0265ABA-530F-4CAE-B140-24ABC23F3834} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2010-07-19] (Google Inc.) Task: {A1FAB000-2DB4-4AA4-8776-4B68DC76CB73} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe [2014-09-13] (AnyProtect.com) Task: {D04062DF-6756-43EA-B73B-0E2417673151} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2195184045-3265951034-2981680463-1000Core => C:\Users\Marta\AppData\Local\Google\Update\GoogleUpdate.exe [2012-03-07] (Google Inc.) Task: {E02DBB35-2085-45B8-BEFE-D118B001B0D9} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\windows\TEMP\{302BDDF6-2260-4D5A-A1D5-D58CBB3FAB0A}.exe Task: {F2D93948-4F97-4EB7-81FC-D08B96158CD2} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe [2014-09-13] (AnyProtect.com) Task: {F6EEF331-5FF3-4CF3-9FB8-8DCD1AE6C21C} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\windows\TEMP\{8524D000-6DA5-4274-9C6B-E40F8CEDA240}.exe Task: C:\windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\windows\TEMP\{302BDDF6-2260-4D5A-A1D5-D58CBB3FAB0A}.exe Task: C:\windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\windows\TEMP\{8524D000-6DA5-4274-9C6B-E40F8CEDA240}.exe Task: C:\windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2195184045-3265951034-2981680463-1000Core.job => C:\Users\Marta\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2195184045-3265951034-2981680463-1000UA.job => C:\Users\Marta\AppData\Local\Google\Update\GoogleUpdate.exe CustomCLSID: HKU\S-1-5-21-2195184045-3265951034-2981680463-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Marta\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2195184045-3265951034-2981680463-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Marta\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" C:\Program Files (x86)\Mozilla Firefoxavg-secure-search.xml C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\mozilla firefox\plugins C:\Program Files (x86)\SupTab C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MyFree Codec C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2 C:\ProgramData\IePluginServices C:\ProgramData\WindowsMangerProtect C:\Users\Marta\AppData\Local\*.tmp C:\Users\Marta\AppData\Roaming\ap_logs C:\Users\Marta\AppData\Roaming\aps.scan.quick.results C:\Users\Marta\AppData\Roaming\aps.scan.results C:\Users\Marta\AppData\Roaming\aps.uninstall.scan.results C:\Users\Marta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AnyProtect PC Backup C:\Users\Marta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\hdvidcodec.com C:\Users\Marta\AppData\Roaming\WebExtend C:\Users\Marta\Desktop\Optimizer Pro.lnk C:\Users\Marta\Documents\Optimizer Pro C:\Windows\System32\drivers\ttnfd.sys Folder: C:\Users\Marta\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Marta\AppData\Roaming\Opera Software\Opera Stable\Preferences" Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware i zbędniki: AnyProtect, AVG Security Toolbar, Foxtab, HDVidCodec, MyFreeCodec, Optimizer Pro v3.2, Term Tutor, vShare.tv plugin 1.3 3. W tle działa bardzo stary McAfee SiteAdvisor, który wygląda na odpadkową instalację (brak widocznego deinstalatora). Zastosuj McAfee Consumer Product Removal Tool. 4. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 5. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy istartsurf i inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 6. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt. .

Niewątpliwie jest dużo obiektów adware, w tym starocie. Był tu uruchamiany AdwCleaner, nie wiadomo jaka to wersja i co w nim robiłeś. Wykonaj poniższe działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 Update BatBrowse; C:\Program Files (x86)\BatBrowse\updateBatBrowse.exe [325408 2014-09-18] () R2 Util BatBrowse; C:\Program Files (x86)\BatBrowse\bin\utilBatBrowse.exe [325408 2014-09-18] () R1 {a459d632-5225-4bb9-9a0b-002544d16f6e}w64; C:\Windows\System32\drivers\{a459d632-5225-4bb9-9a0b-002544d16f6e}w64.sys [61112 2014-04-24] (StdLib) S3 catchme; \??\C:\ComboFix\catchme.sys [X] Winlogon\Notify\ScCertProp: wlnotify.dll [X] HKU\S-1-5-21-1826986473-2377712830-1707152965-1000\...\Run: [Google Update] => C:\Users\admin\AppData\Local\Google\Update\GoogleUpdate.exe [116648 2012-07-15] (Google Inc.) HKU\S-1-5-21-1826986473-2377712830-1707152965-1003\...\Run: [Google Update] => "C:\Users\Domu[\AppData\Local\Google\Update\GoogleUpdate.exe" /c HKU\S-1-5-21-1826986473-2377712830-1707152965-1003\...\Run: [Facebook Update] => "C:\Users\Domu[\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver HKU\S-1-5-21-1826986473-2377712830-1707152965-1003\...\Run: [Yahoo! Search] => C:\Users\Domu[\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.8.2\dsrlte.exe ShellIconOverlayIdentifiers: SkyDrive1 -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers: SkyDrive2 -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers: SkyDrive3 -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na HKCU\Software\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = http://search.babylon.com/?affID=110819&tt=010812_hplgoff_3112_1&babsrc=HP_ss&mntrId=1609917600000000000072de2ba42fed StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM-x32 - Backup.Old.DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0FtD0D0E0FtCzy0C0FzztCtDzytCyByCtN0D0Tzu0CtByEzytN1L2XzutBtFtCtFtCtFtAtCtB&cr=1166057275 SearchScopes: HKCU - Backup.Old.DefaultScope {4B522D67-F3FD-4546-91B4-48FCC5F93147} SearchScopes: HKCU - 476B7487775F4F2FB1983A70803165B8 URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=937811&p={searchTerms} SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=010812_hplgoff_3112_1&babsrc=SP_ss&mntrId=1609917600000000000072de2ba42fed SearchScopes: HKCU - {4B522D67-F3FD-4546-91B4-48FCC5F93147} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0FtD0D0E0FtCzy0C0FzztCtDzytCyByCtN0D0Tzu0CtByEzytN1L2XzutBtFtCtFtCtFtAtCtB&cr=1166057275 SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File CHR HKLM\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\admin\AppData\Local\funmoods.crx [2012-09-05] CHR HKLM\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\admin\AppData\Local\funmoods-speeddial.crx [2012-09-05] CHR HKCU\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\admin\AppData\Local\funmoods.crx [2012-09-05] CHR HKCU\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\admin\AppData\Local\funmoods-speeddial.crx [2012-09-05] CHR HKCU\...\Chrome\Extension: [gaiilaahiahdejapggenmdmafpmbipje] - C:\Program Files (x86)\DealPly\DealPly.crx [2012-09-05] CHR HKLM-x32\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\admin\AppData\Local\funmoods.crx [2012-09-05] CHR HKLM-x32\...\Chrome\Extension: [ccncljhbalbbkkfgopogabimepmfkmff] - C:\Program Files (x86)\BatBrowse\ccncljhbalbbkkfgopogabimepmfkmff.crx [2012-09-05] CHR HKLM-x32\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\admin\AppData\Local\funmoods-speeddial.crx [2012-09-05] CHR HKLM-x32\...\Chrome\Extension: [pbpjplgmaeigbnpadeajipebdlihpcfn] - C:\Program Files (x86)\BatBrowse\pbpjplgmaeigbnpadeajipebdlihpcfn.crx [2014-09-18] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction GroupPolicy: Group Policy on Chrome detected CustomCLSID: HKU\S-1-5-21-1826986473-2377712830-1707152965-1003_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Domuś\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1826986473-2377712830-1707152965-1003_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Domuś\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File Task: {091FFF21-6207-40EE-B579-8CF4C84410B8} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-1826986473-2377712830-1707152965-1000UA => C:\Users\admin\AppData\Local\Google\Update\GoogleUpdate.exe [2012-07-15] (Google Inc.) Task: {3C023AD7-0B35-4C72-B67B-68D1814BE44C} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-1826986473-2377712830-1707152965-1003Core => C:\Users\Domuś\AppData\Local\Google\Update\GoogleUpdate.exe [2012-07-31] (Google Inc.) Task: {6E0C3783-F990-45B2-8B38-9703C707F991} - System32\Tasks\Norton Security Scan for Domuś => C:\Program Files (x86)\Norton Security Scan\Engine\4.1.0.28\Nss.exe [2014-01-27] (Symantec Corporation) Task: {A6010B07-B249-48FF-8F5B-04D63F53BE08} - System32\Tasks\{6BA38A07-960D-471F-B4B4-8580AA56D87C} => Iexplore.exe http://www.skype.com/go/downloading?source=installer&ver=6.1.0.129.272&LastError=-9 Task: {A8472EBA-D425-448C-B0FE-C31EBAE4D402} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-1826986473-2377712830-1707152965-1000Core => C:\Users\admin\AppData\Local\Google\Update\GoogleUpdate.exe [2012-07-15] (Google Inc.) Task: {A8B9FFA2-7289-4C61-8DF5-CA82575C0E04} - System32\Tasks\DealPlyUpdate => C:\Program Files (x86)\DealPly\DealPlyUpdate.exe Task: {D9AD3F10-75E6-4C6B-9D05-3666EE8E84B7} - System32\Tasks\Norton Security Scan for admin => C:\Program Files (x86)\Norton Security Scan\Engine\4.1.0.28\Nss.exe [2014-01-27] (Symantec Corporation) Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1826986473-2377712830-1707152965-1000Core.job => C:\Users\admin\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1826986473-2377712830-1707152965-1000UA.job => C:\Users\admin\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1826986473-2377712830-1707152965-1003Core.job => C:\Users\Domu[\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1826986473-2377712830-1707152965-1003UA.job => C:\Users\Domu[\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\Norton Security Scan for admin.job => C:\PROGRA~2\NORTON~2\Engine\410~1.28\Nss.exe Task: C:\Windows\Tasks\Norton Security Scan for Domuś.job => C:\PROGRA~2\NORTON~2\Engine\410~1.28\Nss.exe C:\Program Files (x86)\mozilla firefox C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Norton Security Scan C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MyFree Codec C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlvPlayer C:\ProgramData\Temp C:\Users\admin\AppData\Local\{*} C:\Users\admin\AppData\Roaming\Babylon C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AppSafe C:\Users\admin\Desktop\AppSafe.lnk C:\Users\admin\Downloads\yet_another_cleaner_gam.exe C:\Users\Ania\AppData\Local\Pay-By-Ads C:\Users\Ania\Desktop\Programy\Norton Security Scan.LNK C:\Users\Domuś\AppData\Roaming\DealPly C:\Users\Domuś\Desktop\Co to tu robi wgl\FlvPlayer.lnk C:\Users\Domuś\Desktop\Co to tu robi wgl\Norton Security Scan.LNK C:\Windows\System32\drivers\{a459d632-5225-4bb9-9a0b-002544d16f6e}w64.sys Reg: reg delete "HKU\S-1-5-21-1826986473-2377712830-1707152965-1000\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FixMyRegistry" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\admin\AppData\Roaming\Opera Software\Opera Stable\Extensions Folder: C:\Users\Domuś\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\admin\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: type "C:\Users\Domuś\AppData\Roaming\Opera Software\Opera Stable\Preferences" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware i zbędne aplikacje: Adobe Flash Player Packages, AppCloudUpdater, AppSafe, BatBrowse 1.0.0, FlvPlayer, Norton Security Scan (prawdopodobnie instalacja sponsorowana), MyFreeCodec Samsunga 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj BatBrowse, Funmoods, Funmoods Chat Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Wygląda na to, iż w systemie są trzy konta: admin (z tego dostarczone logi), Ania i Domuś. Zaloguj się na każde po kolei i zrób na każdym nowe logi FRST z opcji Scan (pole Addition zaznaczone). Dołącz też plik fixlog.txt. I objaśnij co się działo z AdwCleaner + dostarcz logi z folderu C:\AdwCleaner. .

Proszę dostosuj się do zasad działu: KLIK. Brakuje obowiązkowych raportów z FRST i GMER. EDIT: Dlaczego treść została wymazana? Po prostu uzupełnij wymagane raporty... .

Wszystko wykonane. Możesz zastosować DelFix. Możliwe, iż ten ASUS WebStorage (stara wersja z 2011) staje się problemem w zetknięciu z określoną aktualizacją systemową. Log sugerował wystąpienie świeżej aktualizacji Windows. .

Dodaj raporty z FRST. Tu są dodatkowe problemy: czynna usługa adware i stary Avast.

Sprawdź czy system uruchamia się poprawnie w stanie tzw. "czystego rozruchu": KB929135.

Comodo na pewno się odinstalował? Poproszę o nowy log z FRST.

To nie było polecenie do wykonania w owej chwili lecz opis tego co mam zamiar zrobić i do tego były potrzebne dane wyciągnięte ostatnim skryptem. Spróbuj poniższej akcji w trybie normalnym (nie w awaryjnym): Przy martwym Pulpicie wywołaj CTRL+SHIFT+ESC (Menedżer zadań). Jeśli to się uda, zaznacz opcję "Pokaż procesy wszystkich użytkowników" (podniesienie uprawnień) i zabij proces explorer.exe (Pulpit zniknie całkowicie). Z menu Plik > Nowe zadanie > wklep C:\Windows\system32\cmd.exe > w uruchomionej linii komend wklep komendę deinstalacji COMODO i ENTER: MsiExec.exe /I{D6AB1F5B-FED6-49A9-9747-327BD28FB3C7} .

Podaj mi jaka jest komenda deinstalacji COMODO i spróbujesz go odinstalować siedząc w środowisku bez załadowanej powłoki. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D6AB1F5B-FED6-49A9-9747-327BD28FB3C7} /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Pomysł był podnoszony dwukrotnie: Od tego czasu nic się nie zmieniło (a jeśli to tylko na gorzej): ilość relatywnych tematów tak mała, że nawet działu nie ma z czego zrobić, i koncentracja użytkowników określonego typu (w 99% tu jest forum Windows, poza nielicznymi wyjątkami). Dział Software: można zadawać powiązane pytania, na odrębną sekcję za mało. Dział Tutoriale: możliwość pisania o Linuksach, jeśli ktoś ma ochotę, byle było to dostatecznie solidne.

Temat przenoszę do działu Windows. Nie wygląda to na problem infekcji. Podstawowa różnica między trybami to aktywność COMODO Internet Security (zresztą jakaś stara wersja z 2012) i to on jest wybitnie podejrzany. Z tego co pamiętam COMODO jest oparty na Instalatorze Windows, więc nie jest możliwa jego deinstalacja z poziomu Trybu awaryjnego (Instalator Windows nie działa w tym trybie) bez sztuczek modyfikujących rejestr. Podejdźmy to wstępnie z innej strony: 1. Wyłączenie wszystkich usług COMODO, Spybot i McAfee + przy okazji usunięcie innych szczątkowych wpisów. Otwórz Notatnik i wklej w nim: DisableService: CLPSLS DisableService: cmdAgent DisableService: cmderd DisableService: cmdGuard DisableService: cmdHlp DisableService: inspect DisableService: McComponentHostService DisableService: SDScannerService DisableService: SDUpdateService DisableService: SDWSCService U3 TrueSight; C:\WINDOWS\System32\drivers\TrueSight.sys [33512 2014-09-18] () U4 eabfiltr; No ImagePath S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 taphss6; system32\DRIVERS\taphss6.sys [X] Winlogon\Notify\SDWinLogon: SDWinLogon.dll [X] BootExecute: autocheck autochk * sdnclean.exe HKLM\...\Run: [COMODO Internet Security] => C:\Program Files\COMODO\COMODO Internet Security\cfp.exe [6756048 2012-11-08] (COMODO) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CLPSLS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mbamchameleon => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CLPSLS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mbamchameleon => ""="Driver" Task: {996AB793-9FE0-4D08-A8E6-12B357B159A8} - \Desk 365 RunAsStdUser No Task File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\WINDOWS\System32\drivers\TrueSight.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\COMODO" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CPA" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Desk 365" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\lollipop" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Malwarebytes Anti-Malware" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PCSpeedUp" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt i go zaprezentuj. 2. Spróbuj wejść w Tryb normalny. Jeśli to się uda, zapewne sieć będzie martwa (COMODO filtruje karty sieciowe) i należy zrobić to: Odinstaluj wszystkie produkty COMODO, zbędnik McAfee Security Scan Plus i przestarzały Spybot - Search & Destroy. Podaj rezultaty i nowy log z FRST. .

Tak jest. Koniec działań. Zamykam temat.

Czyli to. Jeśli wyłączanie spowodowało zanik wejścia o dokładnie takiej nazwie na określonych obiektach, lecz inne nadal to pokazują, są dwie możliwości: - Ominąłeś jeden wpis przy wyłączaniu - Jest więcej rejestracji menu kontekstowego których Autoruns i Silent Runners nie pokazują Skoro na dodatek to martwa funkcja, wyrejestruj całkowicie moduł. Start > Uruchom > wklej komedę: regsvr32 /u "c:\program files\clarus\samsung auto backup\shcontextmenu.dll" Zresetuj system. Podaj czy wejście całkowicie zniknęło. .