picasso

Uściślij gdzie i w jakiej postaci pokazuje Ci się "Relevant Knowledge" i skąd o nim wiesz. W raportach brak oznak tej instalacji. Są owszem inne śmieci i te będą usuwane (poniżej instrukcje). Dodatkowe uwagi: - Używane / pobierane były wątpliwe skanery, od których należy trzymać się z daleka: SpyHunter i XoftSpy od Paretologic. SpyHunter stosuje namolne taktyki reklamodawcze polegające m.in. na tendencyjnym konstruowaniu "opisów usuwania" infekcji, w których jest sugerowany jako jedyne skuteczne rozwiązanie. Oba programy były kiedyś na czarnej liście i do dziś nie są polecane. - Ogólnie czego unikać, by nie zainstalowały się niepożądane "bonusy": KLIK. Wstępnie przeprowadź te działania: 1. Przez Panel sterowania odinstaluj śmiecia Ask Toolbar. 2. Otwórz Notatnik i wklej w nim: AppInit_DLLs: C:\PROGRA~2\NVIDIA~1\3DVISI~1\NVSTIN~1.DLL => C:\PROGRA~2\NVIDIA~1\3DVISI~1\NVSTIN~1.DLL File Not Found AppInit_DLLs-x32: C:\PROGRA~2\NVIDIA~1\3DVISI~1\nvStInit.dll => "C:\PROGRA~2\NVIDIA~1\3DVISI~1\nvStInit.dll" File Not Found SearchScopes: HKCU - {A6CE014A-EAD6-437A-8842-E90BE15015DB} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=8965826C-2D4B-40E4-BA33-D4225BF7DC50&apn_sauid=138E17D3-F839-4685-AC67-EA0915C91699 Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF Plugin-x32: @esn/esnlaunch,version=2.1.4 -> C:\Program Files (x86)\Battlelog Web Plugins\2.1.4\npesnlaunch.dll No File FF Plugin-x32: @esn/esnlaunch,version=2.3.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.3.0\npesnlaunch.dll No File FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF HKLM-x32\...\Firefox\Extensions: [fmdownloader@gmail.com] - C:\Program Files (x86)\Freemake\Freemake Video Downloader\BrowserPlugin\Firefox\fmdownloader@gmail.com S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] U3 ffdoipob; \??\C:\Users\Patryk\AppData\Local\Temp\ffdoipob.sys [X] C:\$AVG C:\Program Files\Enigma Software Group C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} C:\ProgramData\AVG C:\ProgramData\AVG2014 C:\ProgramData\MFAData C:\Users\Patryk\AppData\Local\AVG C:\Users\Patryk\AppData\Local\Avg2014 C:\Users\Patryk\AppData\Local\MFAData C:\Users\Patryk\AppData\Roaming\AVG C:\Users\Patryk\AppData\Roaming\AVG2014 C:\Users\Patryk\AppData\Roaming\TuneUp Software C:\Users\Patryk\Downloads\chromeinstall-*.exe C:\Users\Patryk\Downloads\Free-Sound-Recorder(13331)-dp.exe C:\Users\Patryk\Downloads\SpyHunter-Installer.exe C:\Users\Patryk\Downloads\XoftSpy_AV_Setup.exe C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

Na początek przeczytaj zasady działy: KLIK. Dostarcz obowiązujące tu raporty FRST, OTL i GMER. One są konieczne, by wiedzieć co jest w systemie i podjąć odpowiednie kroki.

Temat przeniosę do działu Windows. Nie notuję tu oznak infekcji. Czy jesteś w stanie powiedziec co widać w oknie, jakiś szczególny napis? W raportach budzi podejrzenie zestaw oprogramowania AMD (ma powiązania z linią komend): HKLM-x32\...\Run: [startCCC] => C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\amd64\CLIStart.exe [767200 2014-04-17] (Advanced Micro Devices, Inc.) SRV:64bit: - [2014-04-18 03:29:24 | 000,239,616 | ---- | M] (AMD) [Auto | Running] -- C:\Windows\SysNative\atiesrxx.exe -- (AMD External Events Utility) Przetestuj czy wyłączenie tych wpisów ma związek. Uruchom Autoruns, w karcie Logon odznacz StartCCC, a w Services usługę AMD External Events Utility. Zreprodukuj sytuację i wypowiedz się czy są zmiany. PS. Dodatkowo w Services możesz wyłączyć aktualizator "Mobile Partner. RunOuc", który sypie błędami, jest też znany z negatywnego mataczenia z fokusem okien. S2 Mobile Partner. RunOuc; C:\Program Files (x86)\Mobile Partner\UpdateDog\ouc.exe [657504 2012-11-12] () .

Antywirus w systemie już jest. Aktualizacje zostały również zalecone i należy kontynuować te działania i później. Dodatkowo możesz rozważyć inne typy zabezpieczeń: - Adblock Plus (darmowy): bloker reklam dla wszystkich głównych przeglądarek. - Malwarebytes Anti-Exploit (dostępna wersja free): w wersji darmowej ochrona przeglądarek oraz Java przed eksploitami / atakami - SandBoxie (po 30-dniach próbowania pojawia się nagscreen, ale z programu nadal można korzystać): wirtualne środowisko, piaskownica .

Błąd jak rozumiem ten sam. Plik jakoby został podstawiony. Na wszelki wypadek zrób ponowną akcję z Search Files i dostarcz wynik. Zaprezentuj mi jeszcze widok układu partycji z poziomu Windows 7: uruchom przystawkę diskmgmt.msc, upewnij się że na dole dobrze widać wszystkie partycje i zrób z tego zrzut ekranu. Kiedy właściwie przestał działać start do XP, po której akcji? I tu może być nieopłacalne jego ożywianie, skoro grasował Sality. Nawet po wyleczeniu mogą być szkody w plikach i brak pierwotnej sprawności. .

1. Poprawki na wpisy szczątkowe. Otwórz Notatnik i wklej w nim: R1 avgtp; C:\windows\system32\drivers\avgtpx86.sys [42784 2014-08-20] (AVG Technologies) HKLM\...\Run: [CIS_{81EFDD93-DBBE-415B-BE6E-49B9664E3E82}] => C:\Users\Magdalena\AppData\Local\Temp\cisE520.exe [3511112 2011-12-21] (COMODO) HKU\S-1-5-21-1624614489-1438924107-3198493719-1000\...\Run: [swg] => "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f CMD: del /q C:\Users\Magdalena\Desktop\AdwCleaner*.* CMD: del /q C:\Users\Magdalena\Downloads\OTL.exe CMD: del /q C:\Users\Magdalena\Downloads\uvtkqgy4.exe CMD: del /q C:\Users\Magdalena\Downloads\SecurityCheck.exe CMD: del /q C:\windows\system32\drivers\avgtpx86.sys CMD: del /q C:\windows\url.txt RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\Comodo RemoveDirectory: C:\Program Files\Mozilla Firefox RemoveDirectory: C:\Program Files\Opera RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Comodo RemoveDirectory: C:\Users\Magdalena\AppData\Local\Opera RemoveDirectory: C:\Users\Magdalena\AppData\Roaming\Opera DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Powstanie kolejny fixlog.txt. Zresetuj ponownie cache wtyczek Google Chrome. 2. Wyłącz zbędne wpisy ze startu. W Autoruns w karcie Logon odznacz: HKLM\...\Run: [updateLBPShortCut] => C:\Program Files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe [222504 2009-05-19] (CyberLink Corp.) HKLM\...\Run: [CLMLServer] => C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe [103720 2009-06-03] (CyberLink) HKLM\...\Run: [updateP2GoShortCut] => C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe [222504 2009-05-19] (CyberLink Corp.) HKLM\...\Run: [updatePDRShortCut] => C:\Program Files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe [222504 2008-01-04] (CyberLink Corp.) HKLM\...\Run: [RemoteControl8] => C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe [91432 2009-04-15] (CyberLink Corp.) HKLM\...\Run: [PDVD8LanguageShortcut] => C:\Program Files\CyberLink\PowerDVD8\Language\Language.exe [50472 2009-04-15] (CyberLink Corp.) HKLM\...\Run: [updatePPShortCut] => C:\Program Files\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe [218408 2008-12-03] (CyberLink Corp.) HKLM\...\Run: [updatePSTShortCut] => C:\Program Files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe [210216 2009-07-21] (CyberLink Corp.) HKLM\...\Run: [APLangApp] => C:\Program Files\AnyPC Client\APLangApp.exe [13312 2009-10-20] (DoctorSoft) HKLM\...\Run: [uCam_Menu] => C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe [222504 2009-05-19] (CyberLink Corp.) HKLM\...\Run: [TkBellExe] => C:\Program Files\Real\RealPlayer\Update\realsched.exe [273544 2011-04-09] (RealNetworks, Inc.) HKLM\...\Run: [PWRISOVM.EXE] => C:\Program Files\PowerISO\PWRISOVM.EXE [167936 2008-11-02] (PowerISO Computing, Inc.) HKLM\...\Run: [GrooveMonitor] => C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation) HKLM\...\Run: [HP Software Update] => C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe [96056 2013-05-30] (Hewlett-Packard) Startup: C:\Users\Magdalena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk Startup: C:\Users\Magdalena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk Startup: C:\Users\Magdalena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk W karcie Services odznacz AdobeARMservice, SkypeUpdate. Zresetuj system. Zdaj relację czy są jakieś wyraźniejsze zmiany na korzyść i czy występują jakieś wyraźniejsze problemy. Dostarcz też fixlog.txt. .

Nie jest wykluczone, że to skutek już wcześniejszego "uszkodzenia" tych programów adware, np. przy udziale skanera czyszczącego. Tego rozszerzenia nie było widać w raporcie FRST. Ale była polityka blokująca funkcje Google (usuwałam skryptem FRST), która z pewnością miała związek z regeneracją rozszerzenia. Ono się musiało dzięki tej polityce odtworzyć już po zrobieniu pierwszego zestawu raportów. Istotnie, fałszywy alarm. W GMER były notowane podejrzane czynności procesu ProtectWindowsManager.exe, ale to był składnik adware WindowsMangerProtect20.0.0.502, który został zadany do deinstalacji. Na tyle na ile widać z raportów = tak. Działania końcowe: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\2dbbc9d48198e2f7 DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Przedstaw wynikowy fixlog.txt. Dopiero po tym: 2. Zastosuj narzędzie DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. .

Wyniki skanu pokazane na obrazku: dwa pierwsze bez znaczenia (z kwarantanny AdwCleaner), dwa pozostałe to detekcje adware w instalatorze DAEMON Tools Lite. Czyszczenie pomyślnie przeprowadzone, ESET udało się ponownie zainstalować, toteż kończymy: 1. Jeszcze drobnostka, sprawdzenie czy odczyt podwójnie wyświetlanej usługi został skorygowany w FRST. Pobierz nową wersję i zrób Scan (bez Addition i Shortcut). Po jego dostarczeniu: 2. Usuń używane narzędzia za pomocą DelFix. Co nie zostanie skasowane dokończ już ręcznie. 3. Wyczyść foldery Przywracania systemu: KLIK. .

Ad "prosiłeś" = jestem kobietą. Wszystkie akcje wykonane (z wyjątkiem usunięcia cracka Chew7Hale) i nie widzę w raportach żadnych oznak infekcji. Mówisz, że problem nadal występuje. Pokaż mi zrzut ekranu z tego zachowania oraz przykładowe linki: Póki co, poprawki. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = CMD: del /q C:\Users\Grzesiek\Desktop\AdwCleaner*.* CMD: del /q C:\Windows\system32\sqlite3.dll RemoveDirectory: C:\Users\Grzesiek\AppData\Local\Akamai RemoveDirectory: C:\AdwCleaner DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie kolejny plik fixlog.txt. Przedstaw go. .

Wszystko ładnie pozamykane, spis linków symbolicznych się znacznie skrócił, a Shortcut.txt wygląda już po ludzku. To mamy załatwione. W kwestii nowych nabytków adware, to notuję podobne zestawy jak poprzednio (znowu Ask Toolbar, tylko inna wersja). Ponato, widnieją zmodyfikowane przez LookSafe adresy DNS, co może być niepożądaną modyfikacją. Akcja: 1. Otwórz Notatnik i wklej w nim: (APN LLC.) C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe (APN LLC.) C:\Users\Owner\AppData\Local\AskPartnerNetwork\Toolbar\Updater\IDC\IdcLdr.exe (APN LLC.) C:\Users\Owner\AppData\Local\AskPartnerNetwork\Toolbar\Updater\IDC\IdcLdr_x64.exe R2 APNMCP; C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe [166296 2014-08-29] (APN LLC.) HKLM-x32\...\Run: [ApnTBMon] => C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe [1942424 2014-08-29] (APN) IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe Task: {0C523F11-E1D2-4FA6-A799-2ABE20AD35CB} - \APSnotifierPP1 No Task File Task: {0DB7EF00-D191-488A-AC2C-BD3858B8CA0D} - System32\Tasks\PC Cleaner Schedule => C:\Program Files (x86)\PC Cleaner\PCCLauncher.exe Task: {6896F8EA-950C-4BD2-8348-9D5A38F6BE2F} - \APSnotifierPP2 No Task File Task: {BE78A481-8D24-4A14-B26D-7ED25A3F45E6} - \APSnotifierPP3 No Task File HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search.ask.com/?tpid=ORJ-SPE&o=APN11406&pf=V7&trgb=IE&p2=^BBE^OSJ000^YY^CA&gct=hp&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^CA&apn_dbr=ie_11.0.9600.17239&apn_uid=4D1963BE-45F3-4BF6-8DD7-9752213D0E16&itbv=12.15.5.30&doi=2014-08-23&psv=&pt=tb StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=cmi_14_24_ie&cd=2XzuyEtN2Y1L1Qzu0AtD0BtA0C0CyEyE0A0EzzyDyC0DtB0FtN0D0Tzu0SzzzyyBtN1L2XzutBtFtBtCtFyEtFtCtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyEyB0F0FyBtCyEtAtGzyzytCtDtG0B0FyD0EtGyDtC0FyEtGtB0E0D0D0D0Czz0AtCtD0CtC2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyByC0Czz0E0FzzzztGyC0ByByCtG0CyE0AtDtGtB0D0BtBtGyByB0AzztAtB0F0EyEzytBtC2Q&cr=298421677&ir= SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=cmi_14_24_ie&cd=2XzuyEtN2Y1L1Qzu0AtD0BtA0C0CyEyE0A0EzzyDyC0DtB0FtN0D0Tzu0SzzzyyBtN1L2XzutBtFtBtCtFyEtFtCtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyEyB0F0FyBtCyEtAtGzyzytCtDtG0B0FyD0EtGyDtC0FyEtGtB0E0D0D0D0Czz0AtCtD0CtC2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyByC0Czz0E0FzzzztGyC0ByByCtG0CyE0AtDtGtB0D0BtBtGyByB0AzztAtB0F0EyEzytBtC2Q&cr=298421677&ir= SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=123&itype=n&ver=13072&tm=405&src=ds&p={searchTerms} SearchScopes: HKLM-x32 - DefaultScope value is missing. SearchScopes: HKLM-x32 - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=123&itype=n&ver=13072&tm=405&src=ds&p={searchTerms} SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=cmi_14_24_ie&cd=2XzuyEtN2Y1L1Qzu0AtD0BtA0C0CyEyE0A0EzzyDyC0DtB0FtN0D0Tzu0SzzzyyBtN1L2XzutBtFtBtCtFyEtFtCtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyEyB0F0FyBtCyEtAtGzyzytCtDtG0B0FyD0EtGyDtC0FyEtGtB0E0D0D0D0Czz0AtCtD0CtC2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyByC0Czz0E0FzzzztGyC0ByByCtG0CyE0AtDtGtB0D0BtBtGyByB0AzztAtB0F0EyEzytBtC2Q&cr=298421677&ir= SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=cmi_14_24_ie&cd=2XzuyEtN2Y1L1Qzu0AtD0BtA0C0CyEyE0A0EzzyDyC0DtB0FtN0D0Tzu0SzzzyyBtN1L2XzutBtFtBtCtFyEtFtCtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyEyB0F0FyBtCyEtAtGzyzytCtDtG0B0FyD0EtGyDtC0FyEtGtB0E0D0D0D0Czz0AtCtD0CtC2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyByC0Czz0E0FzzzztGyC0ByByCtG0CyE0AtDtGtB0D0BtBtGyByB0AzztAtB0F0EyEzytBtC2Q&cr=298421677&ir= SearchScopes: HKCU - {7DDBF870-FD43-4FED-80D6-D0D9AD0CB8C3} URL = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^CA&gct=&itbv=12.15.5.30&apn_uid=4D1963BE-45F3-4BF6-8DD7-9752213D0E16&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^CA&apn_dbr=ie_11.0.9600.17239&doi=2014-08-23&trgb=IE&q={searchTerms}&psv=&pt=tb SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://mysearch.avg.com/search?cid={65864BAE-1CE7-4EEF-8EA6-AC675D831FA4}&mid=861191289cd347d3ab4ab91405788bb8-29cf90d90ef2d6b9d678849a91a3293d0812fa2c&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-08-04 10:39:06&v=18.1.8.643&pid=safeguard&sg=&sap=dsp&q={searchTerms} SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=123&itype=n&ver=13072&tm=405&src=ds&p={searchTerms} BHO: Search App by Ask -> {4F524A2D-5350-4500-76A7-7A786E7484D7} -> C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-SPE\Passport_x64.dll (APN LLC.) BHO-x32: Search App by Ask -> {4F524A2D-5350-4500-76A7-7A786E7484D7} -> C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-SPE\Passport.dll (APN LLC.) Toolbar: HKLM - Search App by Ask - {4F524A2D-5350-4500-76A7-7A786E7484D7} - C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-SPE\Passport_x64.dll (APN LLC.) Toolbar: HKLM-x32 - Search App by Ask - {4F524A2D-5350-4500-76A7-7A786E7484D7} - C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-SPE\Passport.dll (APN LLC.) FF StartMenuInternet: FIREFOX.EXE - firefox.exe FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\default-search.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\safeguard-secure-search.xml C:\Users\Owner\AppData\Local\Google\Chrome\User Data\default C:\Users\Owner\AppData\Roaming\mozilla\Firefox\Profiles\9lpjozou.default C:\Users\Owner\AppData\Roaming\mozilla\Firefox\Profiles\oneyyiv1.default-1375743666646 C:\Users\Owner\Desktop\Obraski na czat\lusia\super_emoty\Shortcut to erde.lnk C:\Users\Owner\Desktop\New folder (2)\DCIM - Shortcut.lnk C:\Users\Owner\Downloads\k,NzE0MDM5MjgsNDc5MjAwODU=,f,z5zsovwo.gif — skrót.lnk C:\Users\Owner\Music\Muzyka\JERZY PIOTROWSKI - Zloty kamien.lnk C:\Users\Owner\Music\Muzyka\JERZY PIOTROWSKI - Zloty kamien — skrót.lnk RemoveDirectory: C:\Users\Owner\Downloads\FRST-OlderVersion Tcpip\..\Interfaces\{70923415-8B08-4621-AAF7-24D755899993}: [NameServer] 208.69.150.250,208.69.150.252 Tcpip\..\Interfaces\{7AAF003C-5C30-4B24-A12B-E93C23612AB6}: [NameServer] 208.69.150.250,208.69.150.252 Tcpip\..\Interfaces\{7DB77D31-0516-44A0-AFC3-DC1E540D62E7}: [NameServer] 208.69.150.250,208.69.150.252 Tcpip\..\Interfaces\{90726EF4-EAEA-4483-87C7-EE239CC129BA}: [NameServer] 208.69.150.250,208.69.150.252 Tcpip\..\Interfaces\{942371D0-17CD-4B8A-80FC-F5AD84230A7C}: [NameServer] 208.69.150.250,208.69.150.252 Tcpip\..\Interfaces\{9B858825-D2C6-4E27-85F0-FD19BE87EB6D}: [NameServer] 208.69.150.250,208.69.150.252 Tcpip\..\Interfaces\{D8015D14-D582-42D5-92FF-B44C5DDFD1D1}: [NameServer] 208.69.150.250,208.69.150.252 Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-21-2696247456-811157038-2453434591-1000\Software\Microsoft\Internet Explorer\Main" /v "bProtector Start Page" /f Reg: reg delete "HKU\S-1-5-21-2696247456-811157038-2453434591-1000\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /f Reg: reg delete "HKU\S-1-5-21-2696247456-811157038-2453434591-1000\Software\Microsoft\Internet Explorer\URLSearchHooks" /v {4c60e5ab-5c68-4c59-abaa-885010b24b32} /f Reg: reg delete "HKU\S-1-5-21-2696247456-811157038-2453434591-1000\Software\Microsoft\Internet Explorer\URLSearchHooks" /v {77f5fe49-12e3-4cf5-abb4-d993a0164d9e} /f Reg: reg delete "HKU\S-1-5-21-2696247456-811157038-2453434591-1000\Software\Microsoft\Internet Explorer\URLSearchHooks" /v {d2cf9842-af95-48cd-b873-bfbb48cd7f5e} /f Reg: reg delete "HKU\S-1-5-21-2696247456-811157038-2453434591-1000\Software\Microsoft\Internet Explorer\URLSearchHooks" /v {da7a20cf-bef4-4342-ad78-0240fdf87055} /f Reg: reg delete "HKU\S-1-5-21-2696247456-811157038-2453434591-1000\Software\Microsoft\Internet Explorer\SearchScopes" /v bProtectorDefaultScope" /f Reg: reg delete "HKU\S-1-5-21-2696247456-811157038-2453434591-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}" /f Reg: reg delete "HKU\S-1-5-21-2696247456-811157038-2453434591-1000\Software\Microsoft\Internet Explorer\SearchScopes\{1248F259-004C-4A7D-8FDE-CBB26DAEBEA2}" /f Reg: reg delete "HKU\S-1-5-21-2696247456-811157038-2453434591-1000\Software\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}" /f Reg: reg delete "HKU\S-1-5-21-2696247456-811157038-2453434591-1000\Software\Microsoft\Internet Explorer\SearchScopes\{36A406DB-5AD9-4A3C-B35E-ECCBD63EDCC5}" /f Reg: reg delete "HKU\S-1-5-21-2696247456-811157038-2453434591-1000\Software\Microsoft\Internet Explorer\SearchScopes\{b7fca997-d0fb-4fe0-8afd-255e89cf9671}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: del /q C:\Users\Owner\Desktop\fix*.txt Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware Search App by Ask, System Optimizer Pro oraz natrętny zbędnik AVG SafeGuard toolbar. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Ustaw poprawne DNS na podstawie tych instrukcji: KLIK. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut), ale w sekcji Internet wyłącz Whitelist, oraz AdwCleaner tylko w trybie Szukaj. Dołącz też plik fixlog.txt. .

Temat przenoszę do działu Windows. Brak oznak infekcji. Na przyszłość: GMER zrobiony w złych warunkach, przy czynnym emulatorze SPTD (KLIK). Wprawdzie go ruszyłeś, ale nie zresetowałeś systemu, by odładować sterownik z pamięci i mimo wyłączenia i "braku pliku" nadal był uruchomiony: R4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] Z raportów nic nie wynika. Sugestie ogólne: 1. Pod kątem wolnego startu do rozważenia: Odinstaluj zbędny Akamai NetSession Interface, jeden proces mniej i ustąpią określone błędy z Dziennika zdarzeń. Wpływ ESET Smart Security, a 100% potwierdzenie poprzez tymczasową deinstalację. Test z czystym rozruchem: KLIK. W przypadku braku rezultatów: KLIK. 2. W Dzienniku zdarzeń są też poniższe błędy, więc może należy przeprowadzić sprawdzanie dysku pod kątem błędów. Error: (09/05/2014 07:05:36 PM) (Source: Application Error) (EventID: 1005) (User: ) Description: System Windows nie może uzyskać dostępu do pliku z jednej z następujących przyczyn: problem z połączeniem sieciowym; problem z dyskiem, na którym jest przechowywany plik; problem ze sterownikami magazynu zainstalowanymi na tym komputerze; brak dysku. System Windows zamknął program LEGO® Clone Wars™ z powodu tego błędu. Program: LEGO® Clone Wars™ Plik: Wartość błędu jest wyświetlona w sekcji Dodatkowe dane. Akcja użytkownika 1. Otwórz plik ponownie. Ta sytuacja może być przejściowym problemem, który sam się rozwiąże po ponownym uruchomieniu programu. 2. Jeśli nadal nie można uzyskać dostępu do pliku i - jest w sieci, administrator sieci powinien sprawdzić, czy nie ma problemu z siecią i czy można skontaktować się z serwerem. - jest na dysku wymiennym, na przykład dyskietce lub dysku CD-ROM, sprawdź, czy cały dysk jest włożony do komputera. 3. Sprawdź i napraw system plików, uruchamiając program CHKDSK. Aby uruchomić program CHKDSK, kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie CMD, a następnie kliknij przycisk OK. W wierszu polecenia wpisz polecenie CHKDSK /F, a następnie naciśnij klawisz ENTER. 4. Jeżeli problem nie ustąpi, przywróć plik z kopii zapasowej. 5. Ustal, czy można otworzyć inne pliki na tym samym dysku. Jeśli nie, dysk może być uszkodzony. Jeśli jest to dysk twardy, skontaktuj się z administratorem komputera lub dostawcą sprzętu komputerowego, aby uzyskać dalszą pomoc. Dodatkowe dane Wartość błędu: 00000000 Typ dysku: 0 Error: (09/05/2014 02:09:03 PM) (Source: MsiInstaller) (EventID: 11310) (User: Brutus) Description: Produkt: Akamai NetSession Interface - Błąd 1310. Błąd zapisu w pliku: C:\Users\Łukasz\AppData\Local\Akamai\admintool.exe. Błąd systemu 0. Sprawdź, czy masz dostęp do tego katalogu. .

Widzę tu infekcję, czyli rzekomy plik Microsoftu C:\ProgramData\wmc.exe w Harmonogramie zadań. Wg tematów na Google to może być infekcja, która ma związek z manipulacjami na kontach bankowych. I raport sugeruje, że ten szkodnik mógł wejść z nielegalnej paczki ... Kaspersky Antivirus 2013. Plik utworzony zaraz po pobraniu RAR i w tym samym czasie co pliki Kasperskiego, co jest zbyt dużym zbiegiem okoliczności: 2014-08-15 16:25 - 2014-08-15 16:25 - 00003020 _____ () C:\Windows\System32\Tasks\SYSTEM 2014-08-15 16:24 - 2014-08-15 16:24 - 00030784 ____S (Microsoft® Corporation) C:\ProgramData\wmc.exe 2014-08-15 16:24 - 2014-08-15 16:24 - 00001111 _____ () C:\Users\Public\Desktop\Kaspersky Anti-Virus 2013.lnk 2014-08-15 16:24 - 2014-08-15 16:24 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Anti-Virus 2013 2014-08-15 16:22 - 2014-08-15 16:22 - 00000000 ____D () C:\Program Files (x86)\Kaspersky Lab 2014-08-15 15:54 - 2014-08-15 15:04 - 180975546 _____ () C:\Users\asus\Downloads\Kaspersky.AV.2013.Pl-2014-08-10(1).rar Pirackie wersje antywirusów to sprzeczność z zabezpieczeniami: "zabezpieczasz" system narażając się na backdoory i wyciek danych z systemu. Ten Kaspersky (nie najnowszy zresztą) będzie wyrzucany, nie biorę żadnej odpowiedzialności za niego i jest silne podejrzenie, że paczka wprowadziła infekcję. Poza tym, są drobne odpadki adware w Google Chrome. Ale mam silne wątpliwości czy zdefiniowane szkodniki mają jakikolwiek związek ze spadkiem prędkości internetu. Przeprowadź następujące działania: 1. Odinstaluj Kaspersky Anti-Virus 2013. 2. Otwórz Notatnik i wklej w nim: (Microsoft® Corporation) C:\ProgramData\wmc.exe (Microsoft Corporation) C:\Windows\SysWOW64\reg.exe Task: {D23B4F95-12F2-413D-A3A9-C55814ED46D3} - System32\Tasks\SYSTEM => C:\ProgramData\wmc.exe [2014-08-15] (Microsoft® Corporation) HKLM\...\Run: [installerLauncher] => "C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-4159-A75F-CFD0C7EA4FBF}\setuplauncher.exe" /run:"C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-41 (the data entry has 36 more characters). HKLM-x32\...\Run: [] => [X] StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files\T-Mobile\InternetManager_H\OCx64\addon FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird CHR RestoreOnStartup: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1400967366&from=wpc&uid=HitachiXHTS547550A9E384_J2160051CSLJTDCSLJTDX" CHR HKLM\SOFTWARE\Policies\Google: Policy restriction C:\ProgramData\wmc.exe C:\ProgramData\.windows.sys C:\ProgramData\*.bin C:\Program Files\ESET C:\Program Files\Common Files\Bitdefender C:\Users\asus\Downloads\eset_smart_security-2014-08-10.rar C:\Users\asus\Downloads\eset_smart_security-2014-08-10.rar.exe C:\Users\asus\Downloads\Kaspersky.AV.2013.Pl-2014-08-10.rar C:\Users\asus\Downloads\Kaspersky.AV.2013.Pl-2014-08-10(1).rar C:\Windows\SysWow64\捵ꛉE C:\Windows\SysWow64\蒠V Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: sc config "Internet Manager. RunOuc" start= demand CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: - Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączne (ręcznie je aktywujesz). - Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy adware sweet-page. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz jakie zmiany w systemie. .

Czy jest jakaś poprawa w działaniu systemu? Kolejna porcja czynności: 1. Odinstaluj starocie (na końcu zainstalujesz najnowsze wersje tego co potrzebne): ==================== Installed Programs ====================== Adobe Flash Player 10 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 10.1.53.64 - Adobe Systems Incorporated) Adobe Flash Player 11 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 11.1.102.55 - Adobe Systems Incorporated) Adobe Reader X (10.1.1) - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-AA1000000001}) (Version: 10.1.1 - Adobe Systems Incorporated) Adobe Shockwave Player 11.5 (HKLM\...\Adobe Shockwave Player) (Version: 11.5.9.620 - Adobe Systems, Inc.) Comodo Dragon (HKLM\...\Comodo Dragon) (Version: 15.0 - COMODO) COMODO Internet Security (HKLM\...\{D6AB1F5B-FED6-49A9-9747-327BD28FB3C7}) (Version: 5.9.23139.2195 - COMODO Security Solutions Inc.) GeekBuddy (HKLM\...\{B7A6A044-B9C1-4420-B3F8-5200B523FC84}) (Version: 4.16.114 - Comodo Security Solutions Inc) Mozilla Firefox 8.0.1 (x86 pl) (HKLM\...\Mozilla Firefox 8.0.1 (x86 pl)) (Version: 8.0.1 - Mozilla) Opera 12.14 (HKLM\...\Opera 12.14.1738) (Version: 12.14.1738 - Opera Software ASA) Jeśli są w Firefox cenne dane, przed deinstacją możesz skopiować hasła + zakładki (i nic więcej) za pomocą MozBackup. Przy deinstalacji Firefoxa odpowiedz twierdząco na pytanie o usuwanie danych użytkownika. 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. .

FRST: spróbuj w Trybie awaryjnym obejść zawieszenia. GMER: To nadal nie wygląda na log zrobiony po odinstalowaniu emulatorów (ich aktywność mocno zaciemnia sprawy). Miałeś: odinstalować Alcohol (to zresztą archaiczna wersja), by pozbyć się sterownika vaxscsi, następnie indywidualnie odinstalować sterownik SPTD narzędzie SPTDinst, zresetować komputer i ponowić skan. .

Nie mam podstaw podejrzewać infekcji, prędzej już ESET. Uruchomiłeś GMER, więc się upewnij, że transfer dysku nie spadł do PIO - Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Temat przenoszę, wstępnie jednak do Hardware ze względu na "smużenia". Dodaj dane wymagane działem: KLIK. Wspomnę też, że widziany tu system XP nie wygląda na oryginalny tylko przeróbkę, co może być nie bez znaczenia. PS. W spoilerze komstyczne działania na wpisy szczątkowe. To nie ma związku z problemami. .

W systemie działa inwazyjne adware SmarterPower, choć to nie jedyny obiekt adware. Przypuszczalne drogi nabycia: KLIK. Ponadto, to nieoryginalny system z modyfikowanymi plikami, scrackowany badziewnym "aktywatorem" Chew7Hale, którego aktywność jest łapana w GMER jako "rootkit": ==================== Processes (Whitelisted) ================= () C:\Windows\System32\hale.exe (Microsoft Corporation) C:\Windows\System32\cmd.exe ==================== Registry (Whitelisted) ================== HKLM\...\Run: [Chew7Hale] => C:\Windows\System32\hale.exe [2169856 2012-06-28] () ---- Processes - GMER 2.1 ---- Process ukryty proces (*** hidden***) 3864 Process cmd.exe (*** hidden***) 5924 Ten obiekt powoduje duże obciążenie zasobów komputera i po prostu wolną pracę oraz inne "ciekawostki". Mnóstwo przyadków na forum np.: KLIK / KLIK / KLIK / KLIK / KLIK. Po wyczyszczeniu systemu z adware będziesz usuwał ten crack. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: () C:\Program Files\SmarterPower\bin\utilSmarterPower.exe () C:\Program Files\SmarterPower\bin\SmarterPower.PurBrowse.exe () C:\Program Files\SmarterPower\bin\SmarterPower.BrowserAdapter.exe () C:\Program Files\SmarterPower\updateSmarterPower.exe R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [694784 2014-07-31] (Cherished Technololgy LIMITED) [File not signed] R2 Update SmarterPower; C:\Program Files\SmarterPower\updateSmarterPower.exe [323320 2014-09-05] () R2 Util SmarterPower; C:\Program Files\SmarterPower\bin\utilSmarterPower.exe [323320 2014-09-05] () R1 {5eeb83d0-96ea-4249-942c-beead6847053}Gw; C:\Windows\System32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw.sys [52376 2014-09-04] (StdLib) R1 {6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw; C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw.sys [52920 2014-07-09] (StdLib) S3 dump_wmimmc; \??\G:\Yulgang2EN\GameGuard\dump_wmimmc.sys [X] S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X] S3 vtany; \??\C:\Windows\vtany.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] HKU\S-1-5-21-3397978267-1128441615-3336433578-1000\...\Run: [MarbleStation] => [X] HKU\S-1-5-21-3397978267-1128441615-3336433578-1000\...\Run: [Akamai NetSession Interface] => C:\Users\Grzesiek\AppData\Local\Akamai\netsession_win.exe [4672920 2014-04-17] (Akamai Technologies, Inc.) HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1406818087&from=smt&uid=SAMSUNGXSP1654N_S0GEJ10L317166 HKCU\Software\Microsoft\Internet Explorer\Main,Default_page_url = http://www.istartsurf.com/?type=hp&ts=1406818087&from=smt&uid=SAMSUNGXSP1654N_S0GEJ10L317166 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1406818087&from=smt&uid=SAMSUNGXSP1654N_S0GEJ10L317166&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1406818087&from=smt&uid=SAMSUNGXSP1654N_S0GEJ10L317166 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1406818087&from=smt&uid=SAMSUNGXSP1654N_S0GEJ10L317166 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1406818087&from=smt&uid=SAMSUNGXSP1654N_S0GEJ10L317166&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search bar = http://search.msn.com/spbasic.htm HKLM\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1406818087&from=smt&uid=SAMSUNGXSP1654N_S0GEJ10L317166 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKCU - DefaultScope {C33946FC-C759-4842-BAC0-1A899E00F368} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=902615&p={searchTerms} SearchScopes: HKCU - {C33946FC-C759-4842-BAC0-1A899E00F368} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=902615&p={searchTerms} ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1406818087&from=smt&uid=SAMSUNGXSP1654N_S0GEJ10L317166 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1406818087&from=smt&uid=SAMSUNGXSP1654N_S0GEJ10L317166 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Users\Grzesiek\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1406818087&from=smt&uid=SAMSUNGXSP1654N_S0GEJ10L317166 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1406818087&from=smt&uid=SAMSUNGXSP1654N_S0GEJ10L317166 ShortcutWithArgument: C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Users\Grzesiek\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1406818087&from=smt&uid=SAMSUNGXSP1654N_S0GEJ10L317166 ShortcutWithArgument: C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1406818087&from=smt&uid=SAMSUNGXSP1654N_S0GEJ10L317166 ShortcutWithArgument: C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Users\Grzesiek\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1406818087&from=smt&uid=SAMSUNGXSP1654N_S0GEJ10L317166 ShortcutWithArgument: C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1406818087&from=smt&uid=SAMSUNGXSP1654N_S0GEJ10L317166 ShortcutWithArgument: C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Users\Grzesiek\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1406818087&from=smt&uid=SAMSUNGXSP1654N_S0GEJ10L317166 BHO: No Name -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> No File BHO: SmarterPower -> {bd7c9b62-a7d9-4405-be51-7fd633f08791} -> C:\Program Files\SmarterPower\SmarterPowerbho.dll (SmarterPower FF Plugin: @live.heroesandgenerals.com/npretox -> H:\Heroes & Generals\live\npretoxlive.dll No File CustomCLSID: HKU\S-1-5-21-3397978267-1128441615-3336433578-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Grzesiek\AppData\Local\Google\Update\1.3.23.9\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3397978267-1128441615-3336433578-1000_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Grzesiek\AppData\Local\Google\Update\1.3.21.153\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3397978267-1128441615-3336433578-1000_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\Grzesiek\AppData\Local\Google\Update\1.3.22.3\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3397978267-1128441615-3336433578-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Grzesiek\AppData\Local\Google\Update\1.3.21.165\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3397978267-1128441615-3336433578-1000_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\Grzesiek\AppData\Local\Google\Update\1.3.22.5\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3397978267-1128441615-3336433578-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Grzesiek\AppData\Local\Google\Update\1.3.24.7\psuser.dll No File Task: {0621EA11-9665-423A-80C0-D95C41B813B3} - System32\Tasks\{A9D937AE-6F22-4F9F-A5E5-87DE11242E05} => L:\689342\DCIM.exe Task: {13EBF5B7-10F2-4084-B6A7-74479B8EFACC} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\Windows\TEMP\{D24FF821-C4BF-4218-B2A6-834E7B325B29}.exe Task: {2640E843-E05A-4EAC-95E2-5F518359F9AC} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{C2447809-C5D6-4A21-97FD-D20C6BB7CEC0}.exe Task: {527FFEBF-BB2B-45A7-9434-4ACAA1ED29E8} - System32\Tasks\{86D8205B-23CE-4BF6-A315-426454F36707} => L:\689342\DCIM.exe Task: {5EA62580-125B-4361-9571-A931CC3FA4AC} - System32\Tasks\Express Files Updater => C:\Program Files\ExpressFiles\EFupdater.exe Task: {6B5CF4E8-6E0C-4BA4-A47C-F00168BF2460} - System32\Tasks\{CD014EE2-7A27-4E7B-AF40-FEFC21C0415B} => L:\689342\DCIM.exe Task: {C5CC002E-9A57-4EB4-86B6-C5A37B97FA2E} - System32\Tasks\{97D03FDC-6234-4D7D-BA25-F24C6AFF6901} => L:\689342\DCIM.exe Task: {DF00FF46-F939-49D1-86C5-493B278C259D} - System32\Tasks\{95DFA4C8-A8A4-444A-AFE6-FFDCF419CC36} => L:\689342\DCIM.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\Windows\TEMP\{D24FF821-C4BF-4218-B2A6-834E7B325B29}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{C2447809-C5D6-4A21-97FD-D20C6BB7CEC0}.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\Program Files\Mozilla Firefox C:\Program Files\SupTab C:\ProgramData\TEMP C:\ProgramData\whoislive C:\Users\Grzesiek\AppData\Local\Temp*.html C:\Users\Grzesiek\AppData\Roaming\Mozilla C:\Windows\System32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw.sys C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw.sys RemoveDirectory: C:\Autorun.inf RemoveDirectory: D:\Autorun.inf RemoveDirectory: E:\Autorun.inf RemoveDirectory: F:\Autorun.inf RemoveDirectory: G:\Autorun.inf RemoveDirectory: H:\Autorun.inf Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\${searchCLSID}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware FoxTab PDF Reader, istartsurf uninstall, WindowsMangerProtect20.0.0.502, SmarterPower oraz zbędny Akamai NetSession Interface i wszystkie stare Java. 3. Napraw uszkodzony specjalny skrót Internet Explorer: Shortcut: C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. Odpowiadasz już w nowym poście, nie edytuj pierwszego. .

Wszystko gładko poszło. Finalizujemy sprawę: Usuń używane narzędzia przy udziale DelFix. Co nie zostanie skasowane automatycznie, ręcznie załatw. .

Twój plik hal.dll wygląda inaczej niż mój (inny rozmiar + suma kontrolna MD5) i jest oznaczony jako modyfikowany dnia dzisiejszego: C:\WINDOWS\system32\hal.dll [2014-09-05 14:01][2008-05-15 2:20] 0319208 ____A (Microsoft Corporation) 0EC3C2C84FC95B03ACEDB54ACBB35503 Co więcej, szukając na sumę kontrolną wychodzi, że w Twoim XP siedzi plik ... Windows 8! Czy Ty coś ręcznie kombinowałeś, pobierałeś skąd plik? Oczywiście wstawianie niekompatybilnych plików tylko pogarsza sprawę. Mój plik z polskiego XP SP3 wygląda następująco: C:\WINDOWS\system32\hal.dll [2008-04-15 08:30][2008-04-15 08:30] 0081152 ____A (Microsoft Corporation) c4ba879b581be34536fe01f79ac28631 Podmieniaj pliki: 1. Pobierz: KLIK. Zapisz wprost na dysku C (etykieta SYSTEM). Otwórz Notatnik i wklej w nim: Replace: C:\hal.dll C:\WINDOWS\system32\hal.dll Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. 2. Wejdź do środowiska zewnętrznego. Uruchom FRST, wybierz system XP (nie pomyl się), uruchom Fix. Powstanie fixlog.txt. 3. Spróbuj uruchomić XP. Pokaż wynikowy fixlog.txt. .

MBAM wykrył tylko (nieczynne już) szczątki adware. Usuń za pomocą programu. I kończymy: 1. Wyczyść foldery Przywracania systemu: KLIK. 2. Zaktualizuj poniżej wymienione programy: KLIK. Internet Explorer Version 7 ==================== Installed Programs ====================== Adobe Reader 8 - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-A81200000003}) (Version: 8.1.2 - Adobe Systems Incorporated) Java 7 Update 51 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217051FF}) (Version: 7.0.510 - Oracle) Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.20125.0 - Microsoft Corporation) Microsoft Office Enterprise 2007 (HKLM\...\ENTERPRISE) (Version: 12.0.4518.1014 - Microsoft Corporation) ----> instalacja SP3 .

Nadal czekam na GMER, tego skanu nie zastąpią wyciągi z FRST i OTL. A w podanych tu logach nie widzę niczego szkodliwego.

Proszę dostosuj się do zasad działu: KLIK. Uzupełnij obowiązkowe logi FRST i GMER.

Czy ten błąd na pewno się powtarza przy ponownej próbie? Nie próbuj nic ściągać z sieci. Pliki muszą być w wersjach zgodnych z polskim XP SP3 i w razie konieczności to ja dostarczę poprawny plik. Ponadto, ten błąd może oznaczać różne usterki: rzeczywisty brak pliku lub jego uszkodzenie, problem z plikiem boot.ini lub inny problem związany z układem rozruchowym (a jest tu dual boot z Windows 7). Zawartość pliku boot.ini już sprawdzałam. Na początek weryfikacja czy plik jest w systemie i w jakim stanie: Przejdź do środowiska zewnętrznego, uruchom FRST i wybierz XP, w polu Search wklep hal.dll i klik w Search Files. Dostarcz wynikowy log. .

Na przyszłość: trzymaj się konfiguracji FRST nakreślonej w przyklejonym, sekcja Drivers MD5 nie ma być zaznaczona domyślnie w skanowaniu. Jeśli chodzi o dokończenie czyszczenia systemu z naprawionym Google, to jeszcze doczyść szczątkowe wpisy i Tempy. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1957994488-1275210071-1547161642-1003\...\Run: [Akamai NetSession Interface] => "C:\Documents and Settings\mb\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe" HKU\S-1-5-21-1957994488-1275210071-1547161642-1003\...\Run: [AVG-Secure-Search-Update_1213b] => C:\Documents and Settings\mb\Dane aplikacji\AVG 1213b Campaign\AVG-Secure-Search-Update-1213b.exe /PROMPT /mid=924133cc3f7447d0ba99d1581d9d6ac0-06ce4fc639803a2e3563922518183d8e94088cb9 /CMPID=1213b HKU\S-1-5-21-1957994488-1275210071-1547161642-1003\...\Run: [badoo Desktop] => C:\Documents and Settings\All Users\Dane aplikacji\Badoo\Badoo Desktop\1.6.58.1220\Badoo.Desktop.exe SearchScopes: HKCU - {36B7D707-D522-4D20-8762-483B349F6C38} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=490215B5-23E8-463D-8451-99D04C4B5117&apn_sauid=2D405B27-1C6D-41E4-8D4A-AAE52660F7EB FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CustomCLSID: HKU\S-1-5-21-1957994488-1275210071-1547161642-1003_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Documents and Settings\mb\Dane aplikacji\GG\ggdrive\ggdrive-menu.dll No File S2 vToolbarUpdater18.1.9; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\18.1.9\ToolbarUpdater.exe [X] S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X] C:\Program Files\mozilla firefox C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Amnesia: Mroczny Obłęd Packages" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\GTA IV San Andreas Packages" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\151785371.portal.qtrax.com /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt - przedstaw go. .

Log z FRST niekompletny, brakuje plików Addition i Shortcut, uzupełnij. Póki co, nie widzę tu oznak rzeczywistej infekcji rootkit, ale log GMER jest niejasny ze względu na: Ani ComboFix ani GMER nie zostały uruchomione w poprawnym środowisku. W tle działa emulator napędów wirtualnych: KLIK. Są aż dwa sterowniki: R0 sptd; C:\WINDOWS\System32\Drivers\sptd.sys [643072 2007-09-14] (Duplex Secure Ltd.) [File not signed] S3 vaxscsi; C:\WINDOWS\System32\Drivers\vaxscsi.sys [223128 2007-09-14] (Alcohol Soft Co., Ltd.) Odinstaluj Alcohol oraz sterownik SPTD, zresetuj komputer i ponów skan GMER. RKill w oparciu o metodę heurystyczną (niestety możliwe fałszywe alarmy), konkretnie kombinację warunków uruchomienia z folderu Windows i braku podpisu cyfrowego, zabił proces urządzeń USB Lexar: Checking for processes to terminate: * C:\WINDOWS\system32\LxrSII1s.exe (PID: 544) [WD-HEUR] S2 LxrSII1s; C:\WINDOWS\system32\LxrSII1s.exe [49152 2006-01-09] () [File not signed] To nie wygląda na infekcję. .

Na przyszłość: GMER zrobiony w złych warunkach, przy czynnym sterowniku SPTD: KLIK. R0 sptd; C:\Windows\System32\Drivers\sptd.sys [564824 2013-04-05] (Duplex Secure Ltd.) Tak, widzę ten obiekt w starcie - wpis o nazwie CMD. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: () C:\Users\Marcin\Downloads\AdwCleaner.pl 3.308.exe HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [CMD] => cmd.exe /k if %date:~6,4%%date:~3,2%%date:~0,2% LEQ 20140911 (exit) else (start http://farmaster.net/ && exit) HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 SearchScopes: HKCU - {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = FF Plugin-x32: @esn.me/esnsonar,version=0.70.0 -> C:\Program Files (x86)\Battlelog Web Plugins\Sonar\0.70.0\npesnsonar.dll No File FF Plugin HKCU: ubisoft.com/uplaypc -> D:\Gry\Trials Evolution Gold Edition\datapack\orbit\npuplaypc.dll No File S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" CMD: type C:\Windows\System32\Tasks\QtraxPlayer1 Task: {06E5205F-E4FD-4CC9-BA12-8A8566CEF235} - System32\Tasks\QtraxPlayer1 => C:\Program Files (x86)\Microsoft Silverlight\sllauncher.exe [2014-02-13] (Microsoft Corporation) Task: {21A7BDBB-4706-4B61-9F13-9729274CAB29} - System32\Tasks\{730E1798-D897-4054-8012-CEA44F66FEF5} => Firefox.exe http://ui.skype.com/ui/0/5.1.0.112.259/en/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:notoffered;alreadyoffered Task: {2A042F92-CEA2-42ED-8971-E4157A54FAA1} - System32\Tasks\{DB4DE19C-72E4-457E-A1F4-290437682852} => Firefox.exe http://ui.skype.com/ui/0/5.3.0.111.259/en/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:notoffered;alreadyoffered Task: {323DDE43-2BBA-46C9-BD1C-C83C7F4AA5EE} - System32\Tasks\{1AB6011F-3641-4F58-9011-F1F13721199E} => Firefox.exe http://ui.skype.com/ui/0/5.3.0.120.259/en/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:notoffered;alreadyoffered Task: {4C7FBFB5-66AF-404D-A016-7941BC3DA28A} - System32\Tasks\{F827B9C1-AE01-4B10-BF01-91CF449CDBD0} => Firefox.exe http://ui.skype.com/ui/0/5.1.0.112.259/en/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:notoffered;alreadyoffered Task: {C0568A09-FB21-4CE5-A390-DB3D5D844765} - System32\Tasks\{16BBFF1B-FAF7-484E-8D33-C4B8DD48537D} => Firefox.exe http://ui.skype.com/ui/0/5.3.0.120.259/en/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:offered-installed;madedefault AlternateDataStreams: C:\ProgramData\Templates:gs5sys AlternateDataStreams: C:\Users\Marcin\Cookies:gs5sys AlternateDataStreams: C:\Users\Marcin\Szablony:gs5sys AlternateDataStreams: C:\Users\Marcin\AppData\Local\Historia:gs5sys C:\ProgramData\hash.dat C:\ProgramData\uxxadbmu.rlu C:\Users\Marcin\AppData\Local\{*} C:\Users\Marcin\AppData\Roaming\Temp C:\windows\d3dx.dat C:\windows\SysWow64\scrypt130511GeForce GT 330Mglg2tc1984w64l4.bin C:\windows\SysWow64\poclbm121016GeForce GT 330Mv1w256l4.bin Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i logi z folderu C:\AdwCleaner (by używany). Powiedz mi także czy na Pulpicie nie ma przypadkiem jakiegoś dziwnego nieusuwalnego folderu bez nazwy, w logu bowiem widzę to (ukośnik po nazwie "Desktop" wskazuje, że coś po nim jest): 2014-08-25 23:10 - 2014-09-03 13:50 - 00000000 ___RD () C:\Users\Marcin\Desktop\ .