picasso

1. Usuń używane narzędzia z folderu C:\Users\user\Desktop\naprawa. Popraw za pomocą DelFix. 2. Nie wiem czy to jeszcze aktualne, na liście zainstalowanych była stara wtyczka dla IE: Adobe Flash Player 11 ActiveX. Do deinstalacji. 3. Wyczyść foldery Przywracania systemu: KLIK. To tyle. .

To infekcja plików wykonywalnych, wszystkich które uruchamiają się w starcie. Ponadto w systemie działa adware. Wstępnie: przejdź w Tryb awaryjny Windows i uruchom ComboFix. Dostarcz wynikowy log. .

Pierwszy skrypt: wygląda na to, że wykonywałeś dwa razy, bo prawie wszystko jest "not found". Na przyszłość: skrypty są jednorazowe i nie wolno ich powtarzać, nawet jeśli zgłosi się jakiś błąd. I kończymy: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj systemowy Internet Explorer do wersji 8, nawet jeśli go nie używasz. .

Jaki błąd? Jeśli chodzi o stopień zaśmiecenia systemu, w systemie było i jest nadal więcej obiektów adware. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [761968 2014-06-12] (Cherished Technololgy LIMITED) R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [425104 2014-02-26] (Taiwan Shui Mu Chih Ching Technology Limited.) R2 Wpm; C:\ProgramData\WPM\wprotectmanager.exe [540304 2014-06-11] (Cherished Technololgy LIMITED) S2 Util NetCrawl; "C:\Program Files (x86)\NetCrawl\bin\utilNetCrawl.exe" [X] S3 SBIOSIO; \??\C:\Users\Edyta\AppData\Local\Temp\__Samsung_Update\SBIOSIO64.sys [X] S1 {6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw64; system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw64.sys [X] HKLM-x32\...\Run: [fst_se_47] => [X] ShellIconOverlayIdentifiers: 00avast -> {472083B0-C522-11CF-8763-00608CC02F24} => No File Task: {A436F287-09BF-4776-A549-7BFF9AF30433} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe Task: {A50069E1-16DE-419A-B3C8-385EEC816DC9} - System32\Tasks\bench-sys => C:\Program Files (x86)\Bench\Updater\updater.exe Task: C:\WINDOWS\Tasks\bench-sys.job => C:\Program Files (x86)\Bench\Updater\updater.exe Task: C:\WINDOWS\Tasks\bench-Updater removing.job => ? ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1402605191&from=wpm0612&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACA05693 ShortcutWithArgument: C:\Users\Edyta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1402605191&from=wpm0612&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACA05693 ShortcutWithArgument: C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1402605191&from=wpm0612&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACA05693 ShortcutWithArgument: C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1402605191&from=wpm0612&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACA05693 ShortcutWithArgument: C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1402605191&from=wpm0612&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACA05693 HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1402605191&from=wpm0612&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACA05693&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/ HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1394637952&from=tugs&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACA05693 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1402605191&from=wpm0612&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACA05693&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1394637952&from=tugs&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACA05693&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1394637952&from=tugs&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACA05693 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1394637952&from=tugs&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACA05693&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1402605191&from=wpm0612&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACA05693&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1402605191&from=wpm0612&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACA05693&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.delta-homes.com/?type=sc&ts=1402605191&from=wpm0612&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACA05693 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1394637952&from=tugs&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACA05693&q={searchTerms} SearchScopes: HKLM - {11900973-0897-3A41-300B-2AB6974903BD} URL = http://dts.search-results.com/sr?src=ieb&gct=ds&appid=1175&systemid=1&apn_uid=2285406564584649&apn_dtid=IME001&o=APN10653&apn_ptnrs=AGE&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1394637952&from=tugs&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACA05693&q={searchTerms} SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2001} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=coolmsd&cd=2XzuyEtN2Y1L1Qzu0C0A0FyBtAtAtDzzyBzztC0CyE0E0EyEtN0D0Tzu0CyDtAzztN1L2XzutBtFtBtFyEtFyBtAtCtN1L1Czu1R1F1F1I1H1B1Q&cr=1521658066&ir= SearchScopes: HKLM - {A9A9ECA3-DEA4-482B-AD43-46692B227404} URL = http://www.bing.com/search?q={searchTerms}&form=IE10TR&src=IE10TR&pc=MASMJS SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1402605191&from=wpm0612&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACA05693&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1402605191&from=wpm0612&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACA05693&q={searchTerms} SearchScopes: HKLM-x32 - {457C042F-E631-FDD4-EDD8-6E4C4EB5538E} URL = http://dts.search-results.com/sr?src=ieb&gct=ds&appid=1175&systemid=1&apn_uid=2285406564584649&apn_dtid=IME001&o=APN10653&apn_ptnrs=AGE&q={searchTerms} SearchScopes: HKLM-x32 - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2001} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=coolmsd&cd=2XzuyEtN2Y1L1Qzu0C0A0FyBtAtAtDzzyBzztC0CyE0E0EyEtN0D0Tzu0CyDtAzztN1L2XzutBtFtBtFyEtFyBtAtCtN1L1Czu1R1F1F1I1H1B1Q&cr=1521658066&ir= SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1402605191&from=wpm0612&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACA05693&q={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&babsrc=SP_ss_din2g&mntrId=F83DCAF73308781C&affID=119357&tsp=4922 SearchScopes: HKCU - {11900973-0897-3A41-300B-2AB6974903BD} URL = http://dts.search-results.com/sr?src=ieb&gct=ds&appid=1175&systemid=1&apn_uid=2285406564584649&apn_dtid=IME001&o=APN10653&apn_ptnrs=AGE&q={searchTerms} SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1402605191&from=wpm0612&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACA05693&q={searchTerms} SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2001} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=coolmsd&cd=2XzuyEtN2Y1L1Qzu0C0A0FyBtAtAtDzzyBzztC0CyE0E0EyEtN0D0Tzu0CyDtAzztN1L2XzutBtFtBtFyEtFyBtAtCtN1L1Czu1R1F1F1I1H1B1Q&cr=1521658066&ir= SearchScopes: HKCU - {A9A9ECA3-DEA4-482B-AD43-46692B227404} URL = FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\delta-homes.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\sweet-page.xml FF HKLM-x32\...\Firefox\Extensions: [quick_start@gmail.com] - C:\Users\Edyta\AppData\Roaming\Mozilla\Firefox\Profiles\f3yame1l.default\extensions\quick_start@gmail.com FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Edyta\AppData\Roaming\Mozilla\Firefox\Profiles\f3yame1l.default\extensions\faststartff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [shortcutff@gmail.com] - C:\Users\Edyta\AppData\Roaming\Mozilla\Firefox\Profiles\f3yame1l.default\extensions\shortcutff@gmail.com CHR HKLM\...\Chrome\Extension: [pflphaooapbgpeakohlggbpidpppgdff] - C:\Users\Edyta\AppData\Local\mysearchdial_speedial_v9.0.2.crx [2013-06-21] CHR HKCU\...\Chrome\Extension: [pflphaooapbgpeakohlggbpidpppgdff] - C:\Users\Edyta\AppData\Local\mysearchdial_speedial_v9.0.2.crx [2013-06-21] CHR HKLM-x32\...\Chrome\Extension: [ifohbjbgfchkkfhphahclmkpgejiplfo] - C:\Users\Edyta\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx [2013-08-24] CHR HKLM-x32\...\Chrome\Extension: [kpkbnefaikfaeadgidhpoanckoiaheli] - C:\Program Files (x86)\HDvidCodec.com\HDvidCodec10.crx [2013-08-24] CHR HKLM-x32\...\Chrome\Extension: [pflphaooapbgpeakohlggbpidpppgdff] - C:\Users\Edyta\AppData\Local\mysearchdial_speedial_v9.0.2.crx [2013-06-21] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction GroupPolicy: Group Policy on Chrome detected C:\Program Files (x86)\HDvidCodec.com C:\Program Files (x86)\topBuyyer C:\ProgramData\cf1097e963a07555 C:\ProgramData\IePluginServices C:\ProgramData\topBuyyer C:\ProgramData\WPM C:\Users\Edyta\AppData\Roaming\0D1F1S1C1P0P1C1F1N1C1T1H2UtF1E1I C:\Users\Edyta\AppData\Roaming\337Games C:\Users\Edyta\AppData\Roaming\Babylon C:\Users\Edyta\AppData\Roaming\Desk 365 C:\Users\Edyta\AppData\Roaming\eDownload C:\Users\Edyta\AppData\Roaming\eIntaller C:\Users\Edyta\AppData\Roaming\eUpdate C:\Users\Edyta\AppData\Roaming\mysearchdial C:\Users\Edyta\AppData\Roaming\SimilarAddon C:\Users\Edyta\AppData\Roaming\sweet-page C:\Users\Edyta\AppData\Roaming\Systweak DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\sptd Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware WinZipper. 3. Wyczyść Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj MySearchDial Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy delta-homes i inne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Drobna poprawka na odpadkowe wpisy. Dwa skrypty, gdyż wypięcie szczątkowego dziennika po odinstalowanym Spybot wymaga tymczasowego unieruchomienia usługi Dziennik zdarzeń: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: BootExecute: autocheck autochk * sdnclean.exe FF Plugin: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf -> C:\Program Files\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll No File FF Plugin: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> C:\Program Files\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Dane aplikacji\Malwarebytes C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy C:\Documents and Settings\Maacieek\Dane aplikacji\Lavasoft C:\Documents and Settings\Maacieek\Dane aplikacji\LavasoftStatistics C:\Program Files\Spybot - Search & Destroy 2 C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: sc config Eventlog start= disabled EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Zachowaj wynikowy fixlog.txt. 2. Otwórz Notatnik i wklej w nim: C:\WINDOWS\system32\config\SpybotSD.evt CMD: sc config Eventlog start= auto Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie kolejny fixlog.txt. 3. Przedstaw oba pliki fixlog.txt. .

W systemie działa cała grupa adware. Wdróż następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 248642b4; c:\Program Files (x86)\PC_Booster\AssistantSvc.dll [174928 2014-09-05] () [File not signed] S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-1080440751-1908717303-3949083742-1001\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-1080440751-1908717303-3949083742-1001\...\Run: [Google Update] => "C:\Users\Mary\AppData\Local\Google\Update\GoogleUpdate.exe" /c AppInit_DLLs: C:\PROGRA~2\PC_BOO~1\ASSIST~2.DLL => C:\Program Files (x86)\PC_Booster\Assistant_x64.dll [4210176 2014-09-05] () AppInit_DLLs-x32: c:\progra~2\pc_boo~1\assist~1.dll => c:\Program Files (x86)\PC_Booster\Assistant.dll [4296192 2014-09-05] () HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/ BHO: YoUtubeeAdBlocke -> {6a1a3bd5-ef29-4196-8140-cb246e1f5b1e} -> C:\Program Files (x86)\YoUtubeeAdBlocke\PK9mom4CKuQrgB.x64.dll () BHO: priccechop -> {fe0256e5-e211-4c2e-b8e1-34357e67d9f9} -> C:\Program Files (x86)\priccechop\ASgDxSQbDasuOG.x64.dll () BHO-x32: YoUtubeeAdBlocke -> {6a1a3bd5-ef29-4196-8140-cb246e1f5b1e} -> C:\Program Files (x86)\YoUtubeeAdBlocke\PK9mom4CKuQrgB.dll () BHO-x32: priccechop -> {fe0256e5-e211-4c2e-b8e1-34357e67d9f9} -> C:\Program Files (x86)\priccechop\ASgDxSQbDasuOG.dll () GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HomePage: Default -> hxxp://search.gboxapp.com/ CHR RestoreOnStartup: Default -> "hxxp://search.gboxapp.com/" CHR StartupUrls: Default -> "hxxp://search.gboxapp.com/" CHR Extension: (priceichop) - C:\Users\Mary\AppData\Local\Google\Chrome\User Data\Default\Extensions\panmpcnnimefckkkidnmmknhfcjddkkj [2014-09-05] FF user.js: detected! => C:\Users\Mary\AppData\Roaming\Mozilla\Firefox\Profiles\k3mjyevj.default\user.js FF Extension: YoUtubeeAdBlocke - C:\Users\Mary\AppData\Roaming\Mozilla\Firefox\Profiles\k3mjyevj.default\Extensions\0@jX1M1.com [2014-09-05] FF Extension: priceichop - C:\Users\Mary\AppData\Roaming\Mozilla\Firefox\Profiles\k3mjyevj.default\Extensions\ZlA@tP6.net [2014-09-05] FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File FF Plugin HKCU: @tools.google.com/Google Update;version=3 -> C:\Users\Mary\AppData\Local\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File FF Plugin HKCU: @tools.google.com/Google Update;version=9 -> C:\Users\Mary\AppData\Local\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File CustomCLSID: HKU\S-1-5-21-1080440751-1908717303-3949083742-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Mary\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1080440751-1908717303-3949083742-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Mary\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1080440751-1908717303-3949083742-1001_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\Mary\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1080440751-1908717303-3949083742-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Mary\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File Task: {395A0030-39F2-4AE9-9E5B-D03107481B0B} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-1080440751-1908717303-3949083742-1001UA => C:\Users\Mary\AppData\Local\Google\Update\GoogleUpdate.exe Task: {5CD4001A-3189-48CD-9A88-9D2341161923} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {6E182D55-45E9-4C40-83CB-A8DAC22C2A43} - System32\Tasks\PC_Booster-S-493389286 => c:\programdata\trusted publisher\pc_booster\PC_Booster.exe [2013-09-05] () Task: {7DA4A61A-A8F5-491F-8778-72F34DA59B96} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {AED66B1C-6F2A-4B42-ABD1-67D38EA8814E} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-1080440751-1908717303-3949083742-1001Core => C:\Users\Mary\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1080440751-1908717303-3949083742-1001Core.job => C:\Users\Mary\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1080440751-1908717303-3949083742-1001UA.job => C:\Users\Mary\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\PC_Booster-S-493389286.job => c:\programdata\trusted publisher\pc_booster\PC_Booster.exe AlternateDataStreams: C:\Users\Mary\Cookies:l0Q46WohlQyPNK9OlZmW AlternateDataStreams: C:\Users\Mary\AppData\Local\Temp:udhlNyknuCfyHz9rBHJ79WY AlternateDataStreams: C:\Users\Mary\AppData\Local\Temporary Internet Files:GeWBZIOXi033HLcMrPSubbXWlmzhiK C:\Users\Administrator C:\Users\Gość C:\Users\HomeGroupUser$ C:\Users\Mary\AppData\Local\Comodo C:\Users\Mary\AppData\Local\Chromatic Browser C:\Users\Mary\AppData\Local\Torch Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware: PC_Booster, PC_Sustainer 1.80, priccechop, YoUtubeeAdBlocke. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

Poprzednie zadania wykonane. Miałeś tylko Firefox odinstalować i nie instalować nowej wersji, dopóki nie przeczyszczę z adware. Skutki: nowy Firefox jest nadal zaśmiecony. FRST nie skanuje Opery, ręcznie pobierałam dane. W Operze również jest adware: Kolejna porcja zadań: 1. W Operze CTRL+SHIFT+E i odinstaluj adware PlusHD-V1.9. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\AppCertDlls: [x64] -> c:\program files\settings manager\systemk\x64\sysapcrt.dll SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=a&ver=13277&tm=397&src=ds&p={searchTerms} CHR HKLM\SOFTWARE\Policies\Google: Policy restriction FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\default-search.xml FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\webssearches.xml C:\Program Files\mozilla firefox\searchplugins C:\Program Files\Bench Folder: C:\Windows\system32\GroupPolicy EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Przedstaw ten log. .

Zapomniałam zupełnie o tym, że coś jest nie tak z Internet Explorer w kontekście edytora forum. Firefox, Google Chrome i Opera OK. O jakiej stronie mowa? FRST nie skanuje Opery, ale w poprzednio zadanym skrypcie sprawdzałam jej preferencje. W Operze nadal siedzi adware TornTV: Pliki tymczasowe były co dopiero czyszczone. Kolejna porcja zadań: 1. W Operze: Rozszerzenia > odmontuj TheTorntv V10. Ustawienia > Prywatność i bezpieczeństwo > Wyczyść dane przeglądania > od samego początku. 2. W Internet Explorer: Opcje internetowe > Zaawansowane > Resetuj. Po tej akcji dodatki Bitcomet, Java i Avast zostaną wyłączone, ale w opcjach będziesz mógł to przestawić ponownie. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Przedstaw ten log. .

Czym Ty robisz plik i za pomocą jakiej przeglądarki przeklejasz, że nie ma pewności w kwestii przejść do nowej linii? Przeklejam z mojego posta skrypt do Notatnika i wszystko jest jak należy. Linii jest 75 i tyle też wychodzi wprost z przeklejenia. A te "nadwyżkowe" to tylko kwestia "zawinięcia" wierszy (w Notatniku steruje tym opcja w menu Format). "ATTENTION" są na końcu linii, każda dyrektywa Task: to nowa linia. .

Zadania wykonane. W systemie są trzy konta: aktualnie zalogowane i czyszczone milenka21 oraz bioly1234 i Administrator. Zaloguj się po kolei na dwa pozostałe konta i z każdego zrób logi z FRST (zaznaczone pole Addition, ale nie Shortcut). .

Niestety skrypt do FRST w ogóle nie wykonany. Otwórz proszę plik Fixlog i popatrz co się stało: źle wkleiłeś zawartość (albo nie posługiwałeś się Notatnikiem tylko innym edytorem, albo coś poszło nie tak) = wszystkie linie sklejone. Skrypt w Notatniku ma wyglądać identycznie jak w moim poście, przejścia do nowej linii są niezbędne, w przeciwnym wypadku FRST w ogóle nie zinterpretuje wpisów. Trzeba od nowa zrobić tę partię, dostosowując już do zmian zaszłych po deinstalacjach, a Firefox to słabo się odinstalował, multum wpisów i cała konfiguracja na dysku. Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-08-26] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-08-26] (globalUpdate) [File not signed] R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [715656 2014-08-26] (Cherished Technololgy LIMITED) S2 trntv; C:\Users\SZEF\AppData\Roaming\TornTV.com\TornTVSvc.exe [X] R1 {ed7eb956-75ed-460d-8f69-29a93b07afd1}w64; C:\Windows\System32\drivers\{ed7eb956-75ed-460d-8f69-29a93b07afd1}w64.sys [61120 2014-08-25] (StdLib) S3 ASUSProcObsrv; \??\E:\I386\AsPrOb64.sys [X] Task: {0136126B-1C88-4AB4-A15F-9396EA45897E} - System32\Tasks\3df4ae78-cb14-43a9-9da2-ecaae484d736-2 => C:\Program Files (x86)\TheTorntv V10\3df4ae78-cb14-43a9-9da2-ecaae484d736-2.exe Task: {1F08394A-E80B-42D3-97AD-67CB95D3D6B7} - System32\Tasks\3df4ae78-cb14-43a9-9da2-ecaae484d736-5_user => C:\Program Files (x86)\TheTorntv V10\3df4ae78-cb14-43a9-9da2-ecaae484d736-5.exe Task: {21BFAE22-7AD5-4DB1-8672-D127308B98D8} - System32\Tasks\3df4ae78-cb14-43a9-9da2-ecaae484d736-1 => C:\Program Files (x86)\TheTorntv V10\TheTorntv V10-codedownloader.exe Task: {228F48F8-5F3C-468E-9557-43123570495B} - System32\Tasks\BlockAndSurf Update => C:\Program Files (x86)\ver5BlockAndSurf\N0BlockAndSurfB54.exe Task: {250BAB48-BD6E-4A0D-99D1-F88769A0A7B0} - System32\Tasks\3df4ae78-cb14-43a9-9da2-ecaae484d736-11 => C:\Program Files (x86)\TheTorntv V10\3df4ae78-cb14-43a9-9da2-ecaae484d736-11.exe Task: {47A5108A-7EAC-4D76-B01B-BC7ADB1C883D} - System32\Tasks\3df4ae78-cb14-43a9-9da2-ecaae484d736-3 => C:\Program Files (x86)\TheTorntv V10\3df4ae78-cb14-43a9-9da2-ecaae484d736-3.exe Task: {4AD625DB-350F-4BD5-87A7-5D613043725E} - System32\Tasks\3df4ae78-cb14-43a9-9da2-ecaae484d736-4 => C:\Program Files (x86)\TheTorntv V10\3df4ae78-cb14-43a9-9da2-ecaae484d736-4.exe Task: {864DE72C-9554-41A7-876A-08CD7DDE5BFF} - System32\Tasks\3df4ae78-cb14-43a9-9da2-ecaae484d736-5 => C:\Program Files (x86)\TheTorntv V10\3df4ae78-cb14-43a9-9da2-ecaae484d736-5.exe Task: {9222458E-B4C4-4751-A3DB-C2FF63AC6F5B} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-08-26] (globalUpdate) Task: {98F9D86E-7D3A-48B7-A6C9-5ECA78F00F78} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-08-26] (globalUpdate) Task: {B65A03E7-B6A9-46C0-9484-52932C1179B6} - System32\Tasks\9f3778b9-5e3c-4bcc-9650-0df564f358ad => C:\Program Files (x86)\TheTorntv V10\3df4ae78-cb14-43a9-9da2-ecaae484d736-4.exe Task: C:\Windows\Tasks\3df4ae78-cb14-43a9-9da2-ecaae484d736-1.job => C:\Program Files (x86)\TheTorntv V10\TheTorntv V10-codedownloader.exe Task: C:\Windows\Tasks\3df4ae78-cb14-43a9-9da2-ecaae484d736-11.job => C:\Program Files (x86)\TheTorntv V10\3df4ae78-cb14-43a9-9da2-ecaae484d736-11.exe Task: C:\Windows\Tasks\3df4ae78-cb14-43a9-9da2-ecaae484d736-2.job => C:\Program Files (x86)\TheTorntv V10\3df4ae78-cb14-43a9-9da2-ecaae484d736-2.exe Task: C:\Windows\Tasks\3df4ae78-cb14-43a9-9da2-ecaae484d736-3.job => C:\Program Files (x86)\TheTorntv V10\3df4ae78-cb14-43a9-9da2-ecaae484d736-3.exe Task: C:\Windows\Tasks\3df4ae78-cb14-43a9-9da2-ecaae484d736-4.job => C:\Program Files (x86)\TheTorntv V10\3df4ae78-cb14-43a9-9da2-ecaae484d736-4.exe Task: C:\Windows\Tasks\3df4ae78-cb14-43a9-9da2-ecaae484d736-5.job => C:\Program Files (x86)\TheTorntv V10\3df4ae78-cb14-43a9-9da2-ecaae484d736-5.exe Task: C:\Windows\Tasks\3df4ae78-cb14-43a9-9da2-ecaae484d736-5_user.job => C:\Program Files (x86)\TheTorntv V10\3df4ae78-cb14-43a9-9da2-ecaae484d736-5.exe Task: C:\Windows\Tasks\9f3778b9-5e3c-4bcc-9650-0df564f358ad.job => C:\Program Files (x86)\TheTorntv V10\3df4ae78-cb14-43a9-9da2-ecaae484d736-4.exe Task: C:\Windows\Tasks\BlockAndSurf Update.job => C:\Program Files (x86)\ver5BlockAndSurf\N0BlockAndSurfB54.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe HKU\S-1-5-21-3915100798-2594843860-4059984336-1000\...\Run: [TornTv Downloader] => C:\Users\SZEF\AppData\Roaming\TornTV.com\Torntv Downloader.exe /c=startup Startup: C:\Users\SZEF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TornTvDownloader.lnk GroupPolicy: Group Policy on Chrome detected ShortcutWithArgument: C:\Users\SZEF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1409013418&from=ild&uid=ST9320325AS_S2WJNPFVXXXXS2WJNPFV ShortcutWithArgument: C:\Users\SZEF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1409013418&from=ild&uid=ST9320325AS_S2WJNPFVXXXXS2WJNPFV ShortcutWithArgument: C:\Users\SZEF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1409013418&from=ild&uid=ST9320325AS_S2WJNPFVXXXXS2WJNPFV ShortcutWithArgument: C:\Users\SZEF\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1409013418&from=ild&uid=ST9320325AS_S2WJNPFVXXXXS2WJNPFV HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1409013418&from=ild&uid=ST9320325AS_S2WJNPFVXXXXS2WJNPFV&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1409013418&from=ild&uid=ST9320325AS_S2WJNPFVXXXXS2WJNPFV HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1409013418&from=ild&uid=ST9320325AS_S2WJNPFVXXXXS2WJNPFV HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1409013418&from=ild&uid=ST9320325AS_S2WJNPFVXXXXS2WJNPFV&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1409013418&from=ild&uid=ST9320325AS_S2WJNPFVXXXXS2WJNPFV SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1409013418&from=ild&uid=ST9320325AS_S2WJNPFVXXXXS2WJNPFV&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1409013418&from=ild&uid=ST9320325AS_S2WJNPFVXXXXS2WJNPFV&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1409013418&from=ild&uid=ST9320325AS_S2WJNPFVXXXXS2WJNPFV&q={searchTerms} SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1409013418&from=ild&uid=ST9320325AS_S2WJNPFVXXXXS2WJNPFV&q={searchTerms} BHO: No Name -> {11111111-1111-1111-1111-110611331111} -> No File BHO-x32: No Name -> {11111111-1111-1111-1111-110611331111} -> No File BHO-x32: No Name -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> No File FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://istart.webssearches.com/?type=sc&ts=1409013418&from=ild&uid=ST9320325AS_S2WJNPFVXXXXS2WJNPFV C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\SiteLookup C:\Program Files (x86)\SupTab C:\ProgramData\IePluginServices C:\ProgramData\InstallMate C:\ProgramData\WindowsMangerProtect C:\Users\SZEF\AppData\Local\globalUpdate C:\Users\SZEF\AppData\Roaming\Mozilla C:\Users\SZEF\AppData\Roaming\SimilarAddon C:\Users\SZEF\AppData\Roaming\VOPackage C:\Users\SZEF\AppData\Roaming\webssearches C:\Users\SZEF\Desktop\Continue Live Installation.lnk C:\Windows\system32\Drivers\{ed7eb956-75ed-460d-8f69-29a93b07afd1}w64.sys C:\Windows\SysWOW64\GroupPolicy\GPT.INI Folder: C:\Users\SZEF\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\SZEF\AppData\Roaming\Opera Software\Opera Stable\Preferences" Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\webssearches uninstall" /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: netsh advfirewall reset EmptyTemp: Przypominam: w Notatniku ma być plik robiony, a przejścia do nowej linii mają wyglądać identycznie jak w moim poście. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Nowe logi już umieszczaj w nowych postach, nie edytuj wstecznie starych. .

Porzuć już ten wątek. Usunę ten wpis ręcznie. Oczekuję na końcowe logi, bo na pewno będzie jeszcze co robić.

Proszę dostarcz logi z wszystkich używanych narzędzi pokazujące co uprzednio było usuwane. Log z TDSSKiller jest na dysku C:\, log z AdwCleaner w folderze C:\AdwCleaner. A na teraz poprawki na szczątki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-421937301-649035308-745041611-1000\...\Run: [FactoryTest] => C:\Windows\Test.bat HKU\S-1-5-21-421937301-649035308-745041611-1000\...\Run: [Power2GoExpress] => NA HKU\S-1-5-21-421937301-649035308-745041611-1001\...\Run: [syshost32] => C:\Users\Marta\AppData\Local\{B8A42213-B41E-2B52-58E0-508438280BD1}\syshost.exe HKU\S-1-5-21-421937301-649035308-745041611-1001\...\Run: [Gmgwgc] => C:\Users\Marta\AppData\Roaming\Gmgwgc.exe AppInit_DLLs-x32: c:\progra~3\bitguard\271832~1.68\{c16c1~1\bitguard.dll => "c:\progra~3\bitguard\271832~1.68\{c16c1~1\bitguard.dll" File Not Found HKCU\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = fbdirecto.net/1/ http://www.lenovo.com HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie SearchScopes: HKCU - FE439ACCCA2A41938FC2F7ADCFA5C220 URL = http://dts.search-results.com/sr?src=ieb&gct=ds&appid=393&systemid=1&apn_dtid=IME001&apn_ptnrs=AG1&o=APN10653&apn_uid=5302656637214527&q={searchTerms} SearchScopes: HKCU - {5DD1C60E-CB86-421E-80B2-6421DBC61FA0} URL = http://search.softonic.com/MON00085/tb_v1?q={searchTerms}&SearchSource=4&cc= Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File CHR HKLM\SOFTWARE\Policies\Google: Policy restriction U2 CLKMSVC10_3A60B698; No ImagePath U2 CLKMSVC10_C3B3B687; No ImagePath U2 DriverService; No ImagePath U2 IAStorDataMgrSvc; No ImagePath U2 idealife Update Service; No ImagePath U3 IGRS; No ImagePath U2 IviRegMgr; No ImagePath U2 Oasis2Service; No ImagePath U2 PCCarerServic; No ImagePath U2 ReadyComm.DirectRouter; No ImagePath U2 RichVideo; No ImagePath U2 SoftwareService; No ImagePath U2 Stereo Service; No ImagePath HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\01381089.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\10667509.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\23180710.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\67429634.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\78736736.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\01381089.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\10667509.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\23180710.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\67429634.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\78736736.sys => ""="Driver" Task: {832E0C0B-7734-42BB-B0AF-0A11742F82AD} - System32\Tasks\{533D9083-8BB5-46EC-BFB9-3F5865D066C0} => Chrome.exe http://ui.skype.com/ui/0/6.16.0.105/pl/abandoninstall?page=tsMain Task: {A03E687A-75A8-4BDD-9B07-557EDD7AA2DA} - System32\Tasks\{A5340A00-98D1-4ED3-B2D9-64B71EDA13F8} => C:\Program Files (x86)\Gadu-Gadu 10\gg.exe Task: {AF5889AC-14BF-4B68-834C-BEB89FE9A31C} - System32\Tasks\{45460307-19EB-434A-B856-8535E60CCB6F} => Chrome.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=5.10.0.116.259&LastError=12002 Task: {BE7AB697-9BC3-455F-96E8-5B3FACADF81F} - System32\Tasks\{6566F171-A3DE-4FFE-8274-E4CEF8D0404D} => C:\Program Files (x86)\Gadu-Gadu 10\gg.exe Task: {E02119EC-B934-4D16-A104-5E449D77C1EF} - System32\Tasks\{61DEDE7E-08A6-4263-83D6-0797D02B3DAE} => Chrome.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=5.8.0.158&LastError=12002 Task: {F1548E3F-88C9-4C9A-A189-532A3F3153C6} - System32\Tasks\{2D95EF76-82BA-4F55-A4DA-F252E03DF736} => Chrome.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.3.0.105&LastError=12002 RemoveDirectory: C:\Program Files (x86)\mozilla firefox RemoveDirectory: C:\ProgramData\201374f8a2149a2e RemoveDirectory: C:\ProgramData\LizardSales RemoveDirectory: C:\Users\Marta\AppData\Local\CRE RemoveDirectory: C:\Users\Marta\AppData\Roaming\msnmsg RemoveDirectory: C:\Users\Marta\AppData\Roaming\mozilla RemoveDirectory: C:\Users\TEMP RemoveDirectory: C:\Users\TEMP.Marta-Komputer RemoveDirectory: C:\Users\TEMP.Marta-Komputer.000 RemoveDirectory: C:\Users\TEMP.Marta-Komputer.001 RemoveDirectory: C:\Users\TEMP.Marta-Komputer.002 CMD: del /q C:\Users\Marta\AppData\Roaming\*.exe CMD: del /q C:\Windows\SysWOW64\sqlite3.dll Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4}_is1 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\nfsDigitalClock03 New Free Screensaver_is1" /f Reg: reg delete "HKCU\SOFTWARE\Microsoft\Internet Explorer\Search" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres fbdirecto.net, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > ustaw Google jako domyślną, skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. .

W logu było zbyt dużo elementów wskazujących, że deinstalacja była bardziej pozorowana niż rzeczywista, bądź też uszkodziłeś komponenty deinstalacji we wcześniejszej fazie próbując ręcznie coś robić. Klik w mały druczek "continue". Jeśli mimo tego zostanie zwrócony jakiś błąd, zajmę się wpisem ręcznie. .

Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {DD13B237-ADD0-4AD6-868D-C6BCE98DF2C5} - System32\Tasks\{69FF37D2-9644-4A31-B9E7-96C4DAF0F3A3} => C:\Program Files (x86)\Java\jre7\bin\javacpl.exe HKLM-x32\...\Run: [fst_gb_102] => [X] C:\Program Files (x86)\findopolis C:\Program Files (x86)\predm C:\Program Files (x86)\SupTab C:\ProgramData\IePluginServices C:\ProgramData\WindowsMangerProtect C:\Users\Administrator\AppData\Local\fst_gb_102 C:\Users\Administrator\AppData\Local\CrashDumps C:\Users\bioly1234\AppData\Local\fst_gb_102 C:\Users\bioly1234\Downloads\Java_Updater_Setup.exe C:\Users\milenka21\AppData\Local\LPT C:\Users\milenka21\AppData\Local\Smartbar C:\Users\milenka21\AppData\Roaming\GroovorioUpdater C:\Users\milenka21\Desktop\Internet Explorer.lnk C:\Users\milenka21\Desktop\Internet Explorer (2).lnk Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{ac225167-00fc-452d-94c5-bb93600e7d9a} /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw uszkodzony specjalny skrót IE: Shortcut: C:\Users\milenka21\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\milenka21\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy stamtąd, przestaw na "Otwórz stronę nowej karty" 4. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście SafeFinder Smartbar > Dalej 5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

FRST pobrany stosunkowo dawno (dziś jest 10 września), po uruchomieniu powinien samoistnie się zaktualizować do najnowszej wersji, możliwe że infekcje adware i obecne problemy z siecią to uniemożliwiły. Ręczny link pobierania jest ciągle ten sam (z niego więc pobierasz ponownie), tylko pod nim są udostępniane kolejne wersje, a najnowszy FRST jest datowany na dziś. Tak więc czekam na logi z najnowszego i przejdziemy do działania. EDIT: Logi zaktualizowane. Przechodzimy do usuwania, pierwsza runda: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-08-26] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-08-26] (globalUpdate) [File not signed] R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [715656 2014-08-26] (Cherished Technololgy LIMITED) R2 servervo; C:\Users\SZEF\AppData\Roaming\VOPackage\VOsrv.exe [71680 2014-08-26] () [File not signed] R2 Update WebSpades; C:\Program Files (x86)\WebSpades\updateWebSpades.exe [323360 2014-09-07] () R2 Util WebSpades; C:\Program Files (x86)\WebSpades\bin\utilWebSpades.exe [323360 2014-09-07] () R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [528896 2014-08-26] (Fuyu LIMITED) [File not signed] S2 trntv; C:\Users\SZEF\AppData\Roaming\TornTV.com\TornTVSvc.exe [X] R1 {ed7eb956-75ed-460d-8f69-29a93b07afd1}w64; C:\Windows\System32\drivers\{ed7eb956-75ed-460d-8f69-29a93b07afd1}w64.sys [61120 2014-08-25] (StdLib) S3 ASUSProcObsrv; \??\E:\I386\AsPrOb64.sys [X] Task: {0136126B-1C88-4AB4-A15F-9396EA45897E} - System32\Tasks\3df4ae78-cb14-43a9-9da2-ecaae484d736-2 => C:\Program Files (x86)\TheTorntv V10\3df4ae78-cb14-43a9-9da2-ecaae484d736-2.exe Task: {1F08394A-E80B-42D3-97AD-67CB95D3D6B7} - System32\Tasks\3df4ae78-cb14-43a9-9da2-ecaae484d736-5_user => C:\Program Files (x86)\TheTorntv V10\3df4ae78-cb14-43a9-9da2-ecaae484d736-5.exe Task: {21BFAE22-7AD5-4DB1-8672-D127308B98D8} - System32\Tasks\3df4ae78-cb14-43a9-9da2-ecaae484d736-1 => C:\Program Files (x86)\TheTorntv V10\TheTorntv V10-codedownloader.exe Task: {228F48F8-5F3C-468E-9557-43123570495B} - System32\Tasks\BlockAndSurf Update => C:\Program Files (x86)\ver5BlockAndSurf\N0BlockAndSurfB54.exe Task: {250BAB48-BD6E-4A0D-99D1-F88769A0A7B0} - System32\Tasks\3df4ae78-cb14-43a9-9da2-ecaae484d736-11 => C:\Program Files (x86)\TheTorntv V10\3df4ae78-cb14-43a9-9da2-ecaae484d736-11.exe Task: {47A5108A-7EAC-4D76-B01B-BC7ADB1C883D} - System32\Tasks\3df4ae78-cb14-43a9-9da2-ecaae484d736-3 => C:\Program Files (x86)\TheTorntv V10\3df4ae78-cb14-43a9-9da2-ecaae484d736-3.exe Task: {4AD625DB-350F-4BD5-87A7-5D613043725E} - System32\Tasks\3df4ae78-cb14-43a9-9da2-ecaae484d736-4 => C:\Program Files (x86)\TheTorntv V10\3df4ae78-cb14-43a9-9da2-ecaae484d736-4.exe Task: {864DE72C-9554-41A7-876A-08CD7DDE5BFF} - System32\Tasks\3df4ae78-cb14-43a9-9da2-ecaae484d736-5 => C:\Program Files (x86)\TheTorntv V10\3df4ae78-cb14-43a9-9da2-ecaae484d736-5.exe Task: {9222458E-B4C4-4751-A3DB-C2FF63AC6F5B} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-08-26] (globalUpdate) Task: {98F9D86E-7D3A-48B7-A6C9-5ECA78F00F78} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-08-26] (globalUpdate) Task: {B65A03E7-B6A9-46C0-9484-52932C1179B6} - System32\Tasks\9f3778b9-5e3c-4bcc-9650-0df564f358ad => C:\Program Files (x86)\TheTorntv V10\3df4ae78-cb14-43a9-9da2-ecaae484d736-4.exe Task: C:\Windows\Tasks\3df4ae78-cb14-43a9-9da2-ecaae484d736-1.job => C:\Program Files (x86)\TheTorntv V10\TheTorntv V10-codedownloader.exe Task: C:\Windows\Tasks\3df4ae78-cb14-43a9-9da2-ecaae484d736-11.job => C:\Program Files (x86)\TheTorntv V10\3df4ae78-cb14-43a9-9da2-ecaae484d736-11.exe Task: C:\Windows\Tasks\3df4ae78-cb14-43a9-9da2-ecaae484d736-2.job => C:\Program Files (x86)\TheTorntv V10\3df4ae78-cb14-43a9-9da2-ecaae484d736-2.exe Task: C:\Windows\Tasks\3df4ae78-cb14-43a9-9da2-ecaae484d736-3.job => C:\Program Files (x86)\TheTorntv V10\3df4ae78-cb14-43a9-9da2-ecaae484d736-3.exe Task: C:\Windows\Tasks\3df4ae78-cb14-43a9-9da2-ecaae484d736-4.job => C:\Program Files (x86)\TheTorntv V10\3df4ae78-cb14-43a9-9da2-ecaae484d736-4.exe Task: C:\Windows\Tasks\3df4ae78-cb14-43a9-9da2-ecaae484d736-5.job => C:\Program Files (x86)\TheTorntv V10\3df4ae78-cb14-43a9-9da2-ecaae484d736-5.exe Task: C:\Windows\Tasks\3df4ae78-cb14-43a9-9da2-ecaae484d736-5_user.job => C:\Program Files (x86)\TheTorntv V10\3df4ae78-cb14-43a9-9da2-ecaae484d736-5.exe Task: C:\Windows\Tasks\9f3778b9-5e3c-4bcc-9650-0df564f358ad.job => C:\Program Files (x86)\TheTorntv V10\3df4ae78-cb14-43a9-9da2-ecaae484d736-4.exe Task: C:\Windows\Tasks\BlockAndSurf Update.job => C:\Program Files (x86)\ver5BlockAndSurf\N0BlockAndSurfB54.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe HKU\S-1-5-21-3915100798-2594843860-4059984336-1000\...\Run: [TornTv Downloader] => C:\Users\SZEF\AppData\Roaming\TornTV.com\Torntv Downloader.exe /c=startup Startup: C:\Users\SZEF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TornTvDownloader.lnk GroupPolicy: Group Policy on Chrome detected ShortcutWithArgument: C:\Users\SZEF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1409013418&from=ild&uid=ST9320325AS_S2WJNPFVXXXXS2WJNPFV ShortcutWithArgument: C:\Users\SZEF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1409013418&from=ild&uid=ST9320325AS_S2WJNPFVXXXXS2WJNPFV ShortcutWithArgument: C:\Users\SZEF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1409013418&from=ild&uid=ST9320325AS_S2WJNPFVXXXXS2WJNPFV ShortcutWithArgument: C:\Users\SZEF\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1409013418&from=ild&uid=ST9320325AS_S2WJNPFVXXXXS2WJNPFV HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1409013418&from=ild&uid=ST9320325AS_S2WJNPFVXXXXS2WJNPFV&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1409013418&from=ild&uid=ST9320325AS_S2WJNPFVXXXXS2WJNPFV HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1409013418&from=ild&uid=ST9320325AS_S2WJNPFVXXXXS2WJNPFV HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1409013418&from=ild&uid=ST9320325AS_S2WJNPFVXXXXS2WJNPFV&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1409013418&from=ild&uid=ST9320325AS_S2WJNPFVXXXXS2WJNPFV SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1409013418&from=ild&uid=ST9320325AS_S2WJNPFVXXXXS2WJNPFV&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1409013418&from=ild&uid=ST9320325AS_S2WJNPFVXXXXS2WJNPFV&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1409013418&from=ild&uid=ST9320325AS_S2WJNPFVXXXXS2WJNPFV&q={searchTerms} SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1409013418&from=ild&uid=ST9320325AS_S2WJNPFVXXXXS2WJNPFV&q={searchTerms} BHO: No Name -> {11111111-1111-1111-1111-110611331111} -> No File BHO: BlockAndSurf -> {B4D7DCE9-70A4-6253-F5E3-52BD99EF69C2} -> C:\Program Files (x86)\ver5BlockAndSurf\178_x64.dll () BHO-x32: No Name -> {11111111-1111-1111-1111-110611331111} -> No File BHO-x32: No Name -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> No File FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\SZEF\AppData\Roaming\Mozilla\Firefox\Profiles\95ouojc5.default\extensions\faststartff@gmail.com FF HKCU\...\Firefox\Extensions: [{706D7F0F-33E2-8C65-3E51-0956792D987E}] - C:\Program Files (x86)\ver5BlockAndSurf\178.xpi FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://istart.webssearches.com/?type=sc&ts=1409013418&from=ild&uid=ST9320325AS_S2WJNPFVXXXXS2WJNPFV C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\SiteLookup C:\Users\SZEF\AppData\Local\globalUpdate C:\Users\SZEF\AppData\Roaming\SimilarAddon C:\Windows\system32\Drivers\{ed7eb956-75ed-460d-8f69-29a93b07afd1}w64.sys C:\Windows\SysWOW64\GroupPolicy\GPT.INI Folder: C:\Users\SZEF\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\SZEF\AppData\Roaming\Opera Software\Opera Stable\Preferences" Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware: BlockAndSurf, Remote Desktop Access (VuuPC), TheTorntv V10, TornTV, WebSpades, webssearches uninstall, WindowsMangerProtect20.0.0.722. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Groszexxx Niestety nie posiadam. Grillaz Nie wniesie nic do sprawy, gdyż został zrobiony już po przywróceniu oryginalnego MBR. System nadal jest mocno zainfekowany dziadostwami, głównie adware/PUP, ale jest w katalogu Windows i plik (point.dll) sugerujący pozostałe komponenty infekcji ransomware. Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 F06DEFF2-5B9C-490D-910F-35D3A91196222; C:\Program Files\Settings Manager\systemk\systemkmgrc2.cfg [34192 2014-07-06] (Aztec Media Inc) R1 {01531192-f7ef-415f-a549-cfdb11836731}w; C:\Windows\System32\drivers\{01531192-f7ef-415f-a549-cfdb11836731}w.sys [52512 2014-05-27] (StdLib) S2 globalUpdate; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-07-03] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-07-03] (globalUpdate) [File not signed] R2 IePluginService; C:\ProgramData\IePluginService\PluginService.exe [705136 2014-04-11] (Cherished Technololgy LIMITED) R2 RelevantKnowledge; C:\Program Files\RelevantKnowledge\rlservice.exe [186136 2013-08-17] (TMRG, Inc.) R2 SystemkService; C:\Program Files\Settings Manager\systemk\SystemkService.exe [3572240 2014-07-06] (Aztec Media Inc) Task: {070D3B6E-3D73-413B-B575-9AA5600202F4} - System32\Tasks\APSnotifierPP2 => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: {1FC8ACD1-A495-48CD-AB74-4172D705EA47} - System32\Tasks\update => c:\Windows\update.exe [2014-06-24] () Task: {51C46059-4F18-4CB1-865D-00C51C98D33B} - System32\Tasks\bench-S-1-5-21-3503922415-40461195-2409546329-1000 => C:\Program Files\Bench\Updater\updater.exe [2014-03-27] () Task: {70862824-6C14-4C90-BB91-6B854FF0F3BD} - System32\Tasks\e29193b0-b61f-4d86-ada8-6277dd849368-5 => C:\Program Files\PlusHD-V1.9\e29193b0-b61f-4d86-ada8-6277dd849368-5.exe [2014-07-03] (PlusHDv1.9) Task: {73F80DE4-D653-44D4-A41D-6CF813D7E10D} - System32\Tasks\e29193b0-b61f-4d86-ada8-6277dd849368-1 => C:\Program Files\PlusHD-V1.9\PlusHD-V1.9-codedownloader.exe [2014-07-03] (PlusHDv1.9) Task: {76756C18-03F0-4A1A-B25A-759EF5993E98} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [2014-07-03] (globalUpdate) Task: {78D571DD-1B2E-4ABD-8B64-08F9ACE1AA4C} - System32\Tasks\e29193b0-b61f-4d86-ada8-6277dd849368-2 => C:\Program Files\PlusHD-V1.9\e29193b0-b61f-4d86-ada8-6277dd849368-2.exe [2014-07-03] (PlusHDv1.9) Task: {87A5A734-BAF2-4E92-89A7-14B1F99AA872} - System32\Tasks\e29193b0-b61f-4d86-ada8-6277dd849368-11 => C:\Program Files\PlusHD-V1.9\e29193b0-b61f-4d86-ada8-6277dd849368-11.exe [2014-07-03] (PlusHDv1.9) Task: {89D4DCD7-2D0C-441B-A1C3-5B5F2D6089F2} - System32\Tasks\e29193b0-b61f-4d86-ada8-6277dd849368-3 => C:\Program Files\PlusHD-V1.9\e29193b0-b61f-4d86-ada8-6277dd849368-3.exe [2014-07-03] (PlusHDv1.9) Task: {A708B0A6-16F0-4168-B8B6-E0F71053821A} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [2014-07-03] (globalUpdate) Task: {C97E974E-1138-4AF7-94C8-C3DDEF9B90C3} - System32\Tasks\e29193b0-b61f-4d86-ada8-6277dd849368-4 => C:\Program Files\PlusHD-V1.9\e29193b0-b61f-4d86-ada8-6277dd849368-4.exe [2014-07-03] (PlusHDv1.9) Task: {CE7D8C9C-1786-4B13-BE75-D75159009748} - System32\Tasks\e29193b0-b61f-4d86-ada8-6277dd849368-5_user => C:\Program Files\PlusHD-V1.9\e29193b0-b61f-4d86-ada8-6277dd849368-5.exe [2014-07-03] (PlusHDv1.9) Task: {E088F974-4E5B-4A00-BEC9-1333AC062E15} - System32\Tasks\APSnotifierPP3 => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: {E7551CBC-8E39-466E-8AC3-E7C9804AE04E} - System32\Tasks\bench-sys => C:\Program Files\Bench\Updater\updater.exe [2014-03-27] () Task: {F93C71B5-70B2-4696-845F-341F3952DD4F} - System32\Tasks\APSnotifierPP1 => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\bench-S-1-5-21-3503922415-40461195-2409546329-1000.job => C:\Program Files\Bench\Updater\updater.exe Task: C:\Windows\Tasks\bench-sys.job => C:\Program Files\Bench\Updater\updater.exe Task: C:\Windows\Tasks\e29193b0-b61f-4d86-ada8-6277dd849368-1.job => C:\Program Files\PlusHD-V1.9\PlusHD-V1.9-codedownloader.exe Task: C:\Windows\Tasks\e29193b0-b61f-4d86-ada8-6277dd849368-11.job => C:\Program Files\PlusHD-V1.9\e29193b0-b61f-4d86-ada8-6277dd849368-11.exe Task: C:\Windows\Tasks\e29193b0-b61f-4d86-ada8-6277dd849368-2.job => C:\Program Files\PlusHD-V1.9\e29193b0-b61f-4d86-ada8-6277dd849368-2.exe Task: C:\Windows\Tasks\e29193b0-b61f-4d86-ada8-6277dd849368-3.job => C:\Program Files\PlusHD-V1.9\e29193b0-b61f-4d86-ada8-6277dd849368-3.exe Task: C:\Windows\Tasks\e29193b0-b61f-4d86-ada8-6277dd849368-4.job => C:\Program Files\PlusHD-V1.9\e29193b0-b61f-4d86-ada8-6277dd849368-4.exe Task: C:\Windows\Tasks\e29193b0-b61f-4d86-ada8-6277dd849368-5.job => C:\Program Files\PlusHD-V1.9\e29193b0-b61f-4d86-ada8-6277dd849368-5.exe Task: C:\Windows\Tasks\e29193b0-b61f-4d86-ada8-6277dd849368-5_user.job => C:\Program Files\PlusHD-V1.9\e29193b0-b61f-4d86-ada8-6277dd849368-5.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe HKLM\...\Run: [bench Settings Cleaner] => C:\Program Files\Bench\Proxy\cl.exe [55296 2014-07-15] () HKLM\...\Run: [fst_pl_107] => [X] HKLM\...\Run: [bService] => C:\Program Files\Bench\BService\1.1\bservice.exe [52736 2014-07-15] () HKLM\...\Run: [Wd] => C:\Program Files\Bench\Wd\wd.exe [92672 2014-07-15] () HKLM\...\Run: [bench Communicator Watcher] => C:\Program Files\Bench\Proxy\pwdg.exe [127488 2014-07-15] () HKLM\...\RunOnce: [Discount Dragon-repairJob] => wscript.exe "C:\Users\JAREK\AppData\Local\Discount Dragon\repair.js" "Discount Dragon-repairJob" IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe HKLM\...\AppCertDlls: [x64] -> c:\program files\settings manager\systemk\x64\sysapcrt.dll HKLM\...\AppCertDlls: [x86] -> C:\Program Files\Settings Manager\systemk\sysapcrt.dll [489488 2014-07-06] () HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1398854194&from=amt&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACC11826 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1398854194&from=amt&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACC11826&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1398854194&from=amt&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACC11826 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1398854194&from=amt&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACC11826&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1398854194&from=amt&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACC11826 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1398854194&from=amt&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACC11826&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1398854194&from=amt&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACC11826&q={searchTerms} SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=a&ver=13277&tm=397&src=ds&p={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=113348&babsrc=SP_ss&mntrId=9eabdca4000000000000001e101f21c1 SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1398854194&from=amt&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACC11826&q={searchTerms} SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={AE38E523-F8DD-46DD-8563-464FD2FB814A}&mid=01b5e4fde43447d3a786d15756fbc832-d75f75b540b66ca4692600629a241bc715a0d7af&lang=pl&ds=AVG&pr=fr&d=2013-05-01 09:07:51&v=15.3.0.11&pid=avg&sg=0&sap=dsp&q={searchTerms} SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=a&ver=13277&tm=397&src=ds&p={searchTerms} BHO: PlusHD-V1.9 -> {11111111-1111-1111-1111-110511951170} -> C:\Program Files\PlusHD-V1.9\PlusHD-V1.9-bho.dll (PlusHDv1.9) BHO: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files\SupTab\SupTab.dll (Thinknice Co. Limited) BHO: AVG Safe Search -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -> C:\Program Files\AVG\AVG2012\avgssie.dll No File BHO: Linkey -> {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47} -> C:\Users\JAREK\AppData\Local\Linkey\IEExtension\iedll.dll (Aztec Media Inc) BHO: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File BHO: Discount Dragon BHO -> {EA34C851-D481-49F5-A356-3A8B0A8F3B7E} -> C:\Program Files\Discount Dragon\FrameworkBHO.dll () Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG2012\avgpp.dll No File FF Plugin: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF Plugin: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF HKLM\...\Firefox\Extensions: [quick_start@gmail.com] - C:\Users\JAREK\AppData\Roaming\Mozilla\Firefox\Profiles\q8wugrkr.default\extensions\quick_start@gmail.com C:\Program Files\globalUpdate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge C:\Users\Default\AppData\Roaming\TuneUp Software C:\Users\JAREK\AppData\Roaming\aps.uninstall.scan.results C:\Users\JAREK\AppData\Roaming\Babylon C:\Users\JAREK\AppData\Roaming\New Version Available C:\Users\JAREK\AppData\Roaming\OpenCandy C:\Users\JAREK\AppData\Roaming\SimilarAddon C:\Users\JAREK\AppData\Roaming\webssearches C:\Users\JAREK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Discount Dragon C:\Windows\point.dll C:\Windows\update.exe C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\System32\drivers\{01531192-f7ef-415f-a549-cfdb11836731}w.sys Hosts: Folder: C:\Users\JAREK\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\JAREK\AppData\Roaming\Opera Software\Opera Stable\Preferences" Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\fst_pl_107" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Wd" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh advfirewall reset CMD: sc config "Internet w Cyfrowym Polsacie. RunOuc" start= demand Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: Adware: Discount Dragon, Installer, Linkey, PlusHD-V1.9, RelevantKnowledge, Settings Manager, WPM18.8.0.212. Archaiczny Firefox 10.0.2. Jest mocno zanieczyszczony, nie opłaca się go czyścić i robić nakładki aktualizacyjnej, lepiej zrobić czystą instalację najnowszej wersji. Przed deinstalacją możesz zrobić kopię zapasową zakładek + haseł (i niczego więcej, by nie zanieczyścić nowej instalacji Firefox) za pomocą MozBackup. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

+ Na wszelki wypadek pokaż mi jeszcze zrzuty ekranu z ustawień dysku. W Menedżerze urządzeń w menu Widok włącz opcję Pokaż urządzenia wg połączenia, rozwiń wszystkie gałęzie, by było widać gdzie siedzi dysk twardy, pobierz właściwości kontrola pokazujące ustawienia DMA i z całości zrób zrzuty ekranu. .

kacper3355, proszę podaj mi ten log z GMER. Komputer nie został sprawdzony pod kątem infekcji rootkit, FRST i OTL to ogólne skany podstawowe. Infekcja może być złapana także ze stron leganych / poprawnych, np. to strona mogła zostać zainfekowana (wklejki typu iframe) i nieświadomy użytkownik po jej odwiedzeniu też ma "bonusy". Jaki IP sprawdzasz? I w materii IP to proponuję się skontaktować z dostawcą sieci. .

Nadal czekam na GMER. - Jeśli z Twojego komputera, to mogłaby robić to infekcja. Zakładając, że jej nie ma (ale GMER nadal nie sprawdzony): - Zależy w jakiej jesteś sieci (wg IP widzianego na forum lubonet.com) i jaki ta sieć przyznaje adres IP. Jeśli masz wewnętrzny, to z tej sieci na zewnątrz wychodzi masa innych jednostek widziana pod wspólnym IP zewnętrznym. W takiej sytuacji wyjściem jest (o ile jest w ogóle taka możliwość) zmiana adresu IP na zewnętrzny. .

Favikony są przetrzymywane w cache Firefox. Komenda czyści cache. Brakujące favikony powinny się uaktualnić z serwera po otworzeniu danej strony. Polski tutorial nie może być modyfikowany (uzupełniany o rzeczy nieobecne w oryginale) bez pozwolenia autora oryginału. Jest to tłumaczenie i musi być wierne. .

Poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\CoollSaLaeCoupon C:\Program Files (x86)\piricaeciHoop C:\Program Files (x86)\pRiCCechop C:\Program Files (x86)\tperifecctucoUpoon C:\Program Files (x86)\YYoUtubeAdBloceke C:\ProgramData\374311380 C:\ProgramData\fa44b07cd1d0e72f C:\ProgramData\CoollSaLaeCoupon C:\ProgramData\piricaeciHoop C:\ProgramData\pRiCCechop C:\ProgramData\tperifecctucoUpoon C:\ProgramData\Trusted Publisher C:\ProgramData\YYoUtubeAdBloceke C:\Users\Bobek\AppData\Local\Packages Reg: reg add "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /ve /t REG_SZ /d "\"C:\Program Files (x86)\Opera\Launcher.exe"" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie kolejny fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

Brak raportu z GMER, a log z OTL źle skonfigurowany (opcja "Rejestr" ustawiona na Wszystko, a miało być "Użyj filtrowania"). Jedyne co tu jest od infekcji w stanie czynnym, to odpadkowy (lecz uruchomiony) sterownik adware grupy Sambreel. To może być powiązane z wolnym systemem. W spoilerze czynności porządkowe: ... a w spoilerze, gdyż: To pachnie sprzętem. Temat przenoszę do działu Hardware. Dostarcz dane wymagane działem: KLIK. .

SunShine, nie wiem dlaczego to się teraz właśnie stało, ale crack jest i zachowuje się nienormalnie, o czym świadczy pierwszy dostarczony log GMER pokazujący ukryte procesy. Cracka należy się pozbyć. Przeczytaj PW. Po przeprowadzeniu akcji podanej na PW zgłoś się tu ponownie w temacie, zrób nowy log FRST (bez Addition i Shortcut) i opowiedz co się dzieje z systemem. .

Zrobił przecież log z FRST ... Ma dostęp do środowiska WinRE (rozszerzone PE) i jego linii komend. Boot Mode: Recovery ==================== Drives ================================ Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS Drive y: (MULTIBOOT) (Removable) (Total:0.98 GB) (Free:0.97 GB) FAT32 Nie potrzebuje dodatkowych płyt. * Od razu pobrać dla ułatwienia wersję GUI for Windows. Po rozpakowaniu zmienić nazwę folderu na krótkie "DMDE", folder skopiować na dysk przenośny Y, w Wierszu polecenia WinRE wklepać Y:\DMDE\dmde.exe. Tools > Copy Sectors > wypełnić pola (Start Sector zaczynając od zera) > w Destination wybrać File i zapisać plik. EDIT: * Nie zauważyłam, ten DMDE to niestety 32-bit (tylko wersja Pro ma natywne kompilacje), a tu jest system 64-bit. Odpada więc WinRE / WinPE w wersji x64, DMDE nie uruchomi się. Musi być użyta wersja 32-bit WinRE / WinPE lub jakaś inna płyta. EDIT: Właściwie to zrzut z DMDE mogę wysłać autorowi FRST, więc darujmy sobie dodatkowe kroki przy udziale komend FRST. .