picasso

Brakuje trzeciego raportu FRST Shortcut. Ja tu widzę tylko szczątki adware. Wdróż: 1. Otwórz Notatnik i wklej w nim: S2 WebUpdater; "C:\Program Files\BrowseFox\updater.exe" [X] S3 EagleXNt; \??\C:\windows\system32\drivers\EagleXNt.sys [X] S3 XFDriver; \??\C:\Program Files\Xfire2\XFDriver.sys [X] HKU\S-1-5-21-2789141661-186915839-826018185-1000\...\Run: [] => [X] HKU\S-1-5-21-2789141661-186915839-826018185-1000\...\Run: [Web Desktop] => C:\Users\Anna\AppData\Roaming\BrowseFox\desktop.exe HKU\S-1-5-21-2789141661-186915839-826018185-1000\...\Run: [skrybot] => [X] Task: {36D4B2D7-60BD-45FF-A4AF-858AACD428C0} - System32\Tasks\{F3717652-E33F-4988-96E4-FA06EEFDC2E3} => C:\Program Files\Game Cam V2\GameCamV2.exe Task: {547AC895-3794-4BFE-BD65-FF22BA629813} - System32\Tasks\{BF5D59F3-7501-439A-860C-F667E2375C3E} => C:\Program Files\Game Cam V2\GameCamV2.exe Task: {6FC442BC-B181-4664-9000-C4DE7C3AEC0B} - System32\Tasks\{464723AC-E4A3-4A0A-8160-FA27FC256198} => C:\Program Files\Game Cam V2\GameCamV2.exe Task: {A1DEBB2D-4983-4E07-AE9F-A26F3A2F2246} - System32\Tasks\schedule!3036567561 => C:\ProgramData\BetterSoft\OptimizerPro\OptimizerPro.exe Task: {AF55B778-4CE0-408C-B185-2112E746E6DB} - System32\Tasks\{FE681289-5821-46DB-B03C-02839512AFAE} => C:\Program Files\Game Cam V2\GameCamV2.exe Task: {CC255152-E774-46D0-B244-CE174553B088} - System32\Tasks\OptimizerProUpdaterTask{71A846ED-C1AB-4E72-A4F3-E51D59887BE7} => C:\ProgramData\Premium\OptimizerPro\OptimizerPro.exe Task: C:\windows\Tasks\schedule!3036567561.job => C:\ProgramData\BetterSoft\OptimizerPro\OptimizerPro.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKCU - {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear FF HKCU\...\Firefox\Extensions: [{B64D9B05-48E1-4CEB-BF58-E0643994E900}] - C:\Program Files\Common Files\DVDVideoSoft\plugins\ff\ CHR Extension: (No Name) - C:\Users\Anna\AppData\Local\Google\Chrome\User Data\Default\Extensions\phdibklhohedacdhcfaojcfbcmlaaihf [2014-04-27] CHR HKLM\...\Chrome\Extension: [chjmbacfdkjmndiemcnknpfdmajjgnia] - C:\ProgramData\Browse2save\chjmbacfdkjmndiemcnknpfdmajjgnia.crx [2014-02-22] C:\ProgramData\xgneqrwu.hrx C:\Users\Anna\AppData\Roaming\Mozilla\Firefox\profiles\extensions C:\Users\Anna\Downloads\AdBlock_dla_Chrome_Sciagnij.pl.exe C:\Users\Anna\Downloads\FlashPlayersetup__2583_i794794742_il4.exe C:\windows\system32\sqlite3.dll Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{4F524A2D-5637-4300-76A7-A758B70C0C02} /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{62D82EC1-0D3A-DF54-8E3E-07E1337A5311} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f CMD: type "C:\Users\Anna\AppData\Roaming\Mozilla\Firefox\profiles.ini" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj zbędnik (instalacja pewnie sponsorowana): McAfee Security Scan Plus. 3. W Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się wyraźnie czy problemy nadal występują. .

Nie ma tu oznak tej infekcji, prawdopodobnie to wariant niepermanentny działający z poziomu przeglądarki internetowej. Jest za to adware. Czyli do przeprowadzenia następujące działania: 1. Przez Panel sterowania odinstaluj adware Rock Turner. 2. Uruchom TFC - Temp Cleaner. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też log z AdwCleaner. .

Zabrakło trzeciego raportu FRST Shortcut. W systemie działa adware BonanzaDeals i WebSparkle oraz kilka innych niepożądanych elementów. Przypuszczalne źródło nabycia: KLIK. Akcja: 1. Otwórz Notatnik i wklej w nim: (Uniblue Systems Ltd) C:\Program Files\Uniblue\DriverScanner\dsmonitor.exe () C:\Program Files\WebSparkle\updateWebSparkle.exe () C:\Program Files\WebSparkle\bin\utilWebSparkle.exe () C:\Program Files\WebSparkle\bin\WebSparkle.BrowserAdapter.exe () C:\Program Files\WebSparkle\bin\WebSparkle.PurBrowse.exe R2 Update WebSparkle; C:\Program Files\WebSparkle\updateWebSparkle.exe [317728 2014-06-05] () R2 Util WebSparkle; C:\Program Files\WebSparkle\bin\utilWebSparkle.exe [317728 2014-06-05] () S4 NMIndexingService; "C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe" [X] R1 {058899d6-9704-4de3-aae7-17e9fc44c761}t; C:\Windows\System32\drivers\{058899d6-9704-4de3-aae7-17e9fc44c761}t.sys [55232 2014-04-24] (StdLib) S3 cpuz134; \??\C:\Users\user\AppData\Local\Temp\cpuz134\cpuz134_x32.sys [X] S3 DFUBTUSB; System32\Drivers\frmupgr.sys [X] Task: {0C9EEBC7-E693-4973-A6F9-9D81EEFEC72D} - System32\Tasks\dsmonitor => C:\Program Files\Uniblue\DriverScanner\dsmonitor.exe [2013-01-11] (Uniblue Systems Ltd) Task: {1B659A7E-6028-4C36-AE3B-D44A542EB437} - System32\Tasks\Update Bonanza => C:\Users\user\AppData\Roaming\UpdateBonanza\UpdateProc\UpdateTask.exe [2013-04-12] () Task: {841A754C-02A5-4F7B-8FC0-B6250BAC443A} - System32\Tasks\Bonanza => C:\Users\user\AppData\Roaming\Bonanza\UpdateProc\UpdateTask.exe [2013-04-30] () Task: {ACCBE978-01C7-4C74-858A-EF14350E8717} - System32\Tasks\BonanzaDealsUpdate => C:\Program Task: {D3F1D303-9A6B-41DD-A810-BD96F00EA13F} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: {F12B490F-4794-4610-8593-63C3C71F357A} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\Windows\Tasks\Bonanza.job => C:\Users\user\AppData\Roaming\Bonanza\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\Windows\Tasks\dsmonitor.job => C:\Program Files\Uniblue\DriverScanner\dsmonitor.exe Task: C:\Windows\Tasks\Update Bonanza.job => C:\Users\user\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE Google Update Helper (Version: 1.3.23.0 - BonanzaDeals) Hidden FF Plugin: @tools.bdupdater.com/BonanzaDealsLive Update;version=3 - C:\Program Files\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll (BonanzaDeals) FF Plugin: @tools.bdupdater.com/BonanzaDealsLive Update;version=9 - C:\Program Files\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll (BonanzaDeals) FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Users\user\Nero_instalator_sciagnij.exe C:\Windows\System32\蒟礹᭄ C:\Windows\System32\悗⹛᭄ C:\Windows\System32\䂀᭄ C:\Windows\System32\嗇䙙᭄ C:\Windows\System32\嗇䙙᭄ C:\Windows\System32\闿᭄¨ C:\Windows\System32\뼒袌᭄ Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware: Bonanza Deals (remove only), DefaultTab, DriverScanner, Google Update Helper (fake od adware BonanzaDeals), Smart PC Cleaner v3.2, Update_for_BonanzaDeals, WebSparkle 1.0.0. 3. Wyczyść Firefox z adware: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST z opcji Scan, zaznacz poola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt i log z AdwCleaner. .

Zabrakło trzeciego raportu FRST Shortcut. Jeśli chodzi o niemożność doczepienia raportu GMER, to wyraźnie w instrukcji jest napisane, by użyć funkcję Kopiuj i zapisać do nowego pliku wyniki. Ty użyłeś opcję Zapisz, która produkuje plik o rozszerzeniu *.LOG niedopuszczalny w załącznikach. Na przyszłość: albo zmienić ręcznie rozszerzenie pliku z *.LOG na *.TXT, albo zapisać nowy plik TXT. Jest tu cała kolekcja adware zainstalowana, na jeden z tych sposobów: KLIK. Do wdrożenia: 1. Otwórz Notatnik i wklej w nim: (Cherished Technololgy LIMITED) C:\ProgramData\IePluginService\PluginService.exe (PriceMeter) C:\Program Files (x86)\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe () C:\Program Files (x86)\BrowseMark\updateBrowseMark.exe () C:\Program Files (x86)\BrowseMark\bin\utilBrowseMark.exe () C:\Users\bartek\AppData\Local\fst_pl_96\upfst_pl_96.exe (PriceMeter) C:\Users\bartek\AppData\Local\PriceMeter\pricemeterw.exe (PriceMeter) C:\Users\bartek\AppData\Local\PriceMeter\pricemeter.exe () C:\Program Files (x86)\fst_pl_96\fst_pl_96.exe () C:\Program Files (x86)\Bench\BService\bservice.exe () C:\Program Files (x86)\Bench\Wd\wd.exe (PriceMeter) C:\Users\bartek\AppData\Local\PriceMeter\pricemeter.exe () C:\Program Files (x86)\BrowseMark\bin\BrowseMark.PurBrowse64.exe (PriceMeter) C:\Users\bartek\AppData\Local\PriceMeter\pricemeter.exe () C:\Program Files (x86)\BrowseMark\bin\BrowseMark.BrowserAdapter.exe R2 IePluginService; C:\ProgramData\IePluginService\PluginService.exe [705136 2014-04-11] (Cherished Technololgy LIMITED) S2 pricemeterliveUpdate; C:\Program Files (x86)\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe [150504 2014-04-19] (PriceMeter) S3 pricemeterliveUpdatem; C:\Program Files (x86)\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe [150504 2014-04-19] (PriceMeter) R2 Update BrowseMark; C:\Program Files (x86)\BrowseMark\updateBrowseMark.exe [317728 2014-06-09] () R2 Util BrowseMark; C:\Program Files (x86)\BrowseMark\bin\utilBrowseMark.exe [317728 2014-06-09] () S2 ProtectMonitor; C:\Program Files\PCDApp\StartHelp.exe [X] R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61120 2014-04-19] (StdLib) R1 {b99c8534-7800-48fa-bd71-519a46cdc7e1}w64; C:\Windows\System32\drivers\{b99c8534-7800-48fa-bd71-519a46cdc7e1}w64.sys [61120 2014-04-24] (StdLib) S3 ATICDSDr; \??\C:\Users\bartek\AppData\Local\Temp\ATICDSDr.sys [X] S3 FXDrv32; \??\F:\FXDrv64.sys [X] HKLM-x32\...\Run: [fst_pl_96] => C:\Program Files (x86)\fst_pl_96\fst_pl_96.exe [3985408 2014-03-27] () HKLM-x32\...\Run: [bService] => C:\Program Files (x86)\Bench\BService\bservice.exe [49664 2014-03-27] () HKLM-x32\...\Run: [Wd] => C:\Program Files (x86)\Bench\Wd\wd.exe [60416 2014-03-27] () HKLM-x32\...\Run: [DApp] => C:\Program Files\PCDApp\start.vbs HKLM-x32\...\Run: [bench Settings Cleaner] => C:\Program Files (x86)\Bench\Proxy\cl.exe [55296 2014-05-06] () HKLM-x32\...\Runonce: [Discount Dragon-repairJob] - wscript.exe "C:\Users\bartek\AppData\Local\Discount Dragon\repair.js" "Discount Dragon-repairJob" [X] HKLM-x32\...\RunOnce: [upfst_pl_96.exe] - C:\Users\bartek\AppData\Local\fst_pl_96\upfst_pl_96.exe -runonce [3264512 2014-03-27] () HKU\S-1-5-21-2126986811-4245351377-3046878550-1001\...\Run: [LiveSupport] => "C:\Program Files (x86)\LiveSupport\LiveSupport.exe" /noshow /log HKU\S-1-5-21-2126986811-4245351377-3046878550-1001\...\Run: [speedUpMyComputer] => C:\Program Files (x86)\SmartTweak\SpeedUpMyComputer\SpeedUpMyComputer.exe /ot /as HKU\S-1-5-21-2126986811-4245351377-3046878550-1001\...\Run: [PriceMeterW] => C:\Users\bartek\AppData\Local\PriceMeter\pricemeterw.exe [309256 2014-04-13] (PriceMeter) HKU\S-1-5-21-2126986811-4245351377-3046878550-1001\...\Run: [FixMyRegistry] => C:\Program Files (x86)\SmartTweak\FixMyRegistry\FixMyRegistry.exe [1886840 2014-05-26] () Task: {02F18772-4627-4A9D-A78B-56E7490E49D3} - System32\Tasks\PriceMeterLiveUpdateUpdateTaskMachineUA => C:\Program Files (x86)\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe [2014-04-19] (PriceMeter) Task: {1379A527-B6D2-4527-BCF9-4608B2EE9827} - System32\Tasks\bench-S-1-5-21-2126986811-4245351377-3046878550-1001 => C:\Program Files (x86)\Bench\Updater\updater.exe [2014-03-27] () Task: {221EF87A-07BC-4F57-A58E-5E9049AA3FB9} - System32\Tasks\Opera scheduled Autoupdate 1397853349 => C:\Program Files (x86)\Opera\launcher.exe [2014-05-27] (Opera Software) Task: {39AF2AEB-7B0E-42EE-8705-0D885D669891} - System32\Tasks\pricemeterdownloader => C:\Users\bartek\AppData\Local\PriceMeter\pricemeterd.exe [2014-04-13] (PriceMeter) Task: {46F0161B-3079-47C4-BE6A-4EEC733807DD} - System32\Tasks\pricemeterwatcher => C:\Users\bartek\AppData\Local\PriceMeter\pricemeterw.exe [2014-04-13] (PriceMeter) Task: {B7822410-81EE-44A4-8705-38929EA56A21} - System32\Tasks\bench-sys => C:\Program Files (x86)\Bench\Updater\updater.exe [2014-03-27] () Task: {BE137005-4C17-42D3-93EF-9C7D005F4645} - System32\Tasks\PriceMeterLiveUpdateUpdateTaskMachineCore => C:\Program Files (x86)\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe [2014-04-19] (PriceMeter) Task: {DFB5446F-91A4-4A13-A0F8-6391FD113042} - System32\Tasks\Price Meter Updater => C:\Users\bartek\AppData\Roaming\PRICEM~1\UPDATE~1\UPDATE~1.EXE Task: {F7376F7A-7CDD-41F4-A70E-7F6B17B177E9} - System32\Tasks\pricemetertask => C:\Users\bartek\AppData\Local\PriceMeter\TEMP\pricemeter.exe Task: C:\Windows\Tasks\bench-S-1-5-21-2126986811-4245351377-3046878550-1001.job => C:\Program Files (x86)\Bench\Updater\updater.exe Task: C:\Windows\Tasks\bench-sys.job => C:\Program Files (x86)\Bench\Updater\updater.exe Task: C:\Windows\Tasks\Price Meter Updater.job => C:\Users\bartek\AppData\Roaming\PRICEM~1\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\PriceMeterLiveUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe Task: C:\Windows\Tasks\PriceMeterLiveUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe Google Update Helper (x32 Version: 1.3.23.0 - PriceMeter) Hidden HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aartemis.com/web/?type=ds&ts=1397905644&from=smt&uid=HitachiXHDS721050CLA362_JPB511HA0XXM7B0XXM7BX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.aartemis.com/web/?type=ds&ts=1397905644&from=smt&uid=HitachiXHDS721050CLA362_JPB511HA0XXM7B0XXM7BX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aartemis.com/web/?type=ds&ts=1397905644&from=smt&uid=HitachiXHDS721050CLA362_JPB511HA0XXM7B0XXM7BX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.aartemis.com/web/?type=ds&ts=1397905644&from=smt&uid=HitachiXHDS721050CLA362_JPB511HA0XXM7B0XXM7BX&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://aartemis.com/?type=sc&ts=1397905644&from=smt&uid=HitachiXHDS721050CLA362_JPB511HA0XXM7B0XXM7BX BHO: Discount Dragon BHO - {EA34C851-D481-49F5-A356-3A8B0A8F3B7E} - C:\Program Files (x86)\Discount Dragon\FrameworkBHO64.dll () BHO-x32: Discount Dragon BHO - {EA34C851-D481-49F5-A356-3A8B0A8F3B7E} - C:\Program Files (x86)\Discount Dragon\FrameworkBHO.dll () FF Plugin-x32: @tools.updatepm.com/PriceMeterLiveUpdate Update;version=3 - C:\Program Files (x86)\PriceMeterLiveUpdate\Update\1.3.23.0\npGoogleUpdate3.dll (PriceMeter) FF Plugin-x32: @tools.updatepm.com/PriceMeterLiveUpdate Update;version=9 - C:\Program Files (x86)\PriceMeterLiveUpdate\Update\1.3.23.0\npGoogleUpdate3.dll (PriceMeter) AlternateDataStreams: C:\ProgramData\TEMP:373E1720 C:\ProgramData\TEMP C:\Users\bartek\AppData\Local\41 C:\Users\bartek\AppData\Local\BIT9ACD.tmp C:\Users\bartek\AppData\Local\{0362B592-F903-475F-8505-76ECAA52AC13} C:\Users\bartek\AppData\Roaming\aartemis C:\Users\bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SmartTweak Software C:\Users\bartek\Desktop\FixMyRegistry.lnk C:\Windows\System32\drivers\{b99c8534-7800-48fa-bd71-519a46cdc7e1}w64.sys C:\Windows\System32\drivers\wStLibG64.sys CMD: netsh advfirewall reset Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware: BrowseMark, Discount Dragon, FixMyRegistry, fst_pl_96, Google Update Helper (fałszywka od adware PriceMeter), PC Data App, Price Metar, Software Version Updater, WPM18.8.0.212. 3. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adres aartemis.com, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt. .

Adware nabyłeś na jeden z tych sposobów: KLIK. Poniższy plik to nie jest instalator właściwy programu tylko "Asystent pobierania" skoncentrowany na instalacji niepożądanych sponsorów. Bezpośrednim następstwem jego uruchomienia była instalacja adware webget. To nie jedyne adware w systemie, są też starsze elementy wskazujące na podobne działania z pobieraniem z portali. C:\Users\Państwo Hrabia\Downloads\Apache-OpenOffice(12754).exe Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: (Cherished Technololgy LIMITED) C:\ProgramData\WPM\wprotectmanager.exe () C:\Program Files (x86)\webget\bin\utilwebget.exe () C:\Program Files (x86)\webget\bin\webget.PurBrowse64.exe () C:\Program Files (x86)\webget\bin\webget.BrowserAdapter.exe () C:\Program Files (x86)\webget\updatewebget.exe R2 Update webget; C:\Program Files (x86)\webget\updatewebget.exe [317720 2014-06-08] () R2 Util webget; C:\Program Files (x86)\webget\bin\utilwebget.exe [317720 2014-06-08] () R2 Wpm; C:\ProgramData\WPM\wprotectmanager.exe [499856 2014-01-02] (Cherished Technololgy LIMITED) R1 {55685567-4840-4a91-962b-49a412e9485a}w64; C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys [61112 2014-05-26] (StdLib) R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}w64; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}w64.sys [61112 2014-05-10] (StdLib) ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=sc&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843 ShortcutWithArgument: C:\Users\Państwo Hrabia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=sc&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843 ShortcutWithArgument: C:\Users\Państwo Hrabia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=sc&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843 ShortcutWithArgument: C:\Users\Państwo Hrabia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=sc&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843 ShortcutWithArgument: C:\Users\Państwo Hrabia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=sc&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843 ShortcutWithArgument: C:\Users\Państwo Hrabia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=sc&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843 ShortcutWithArgument: C:\Users\Państwo Hrabia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=sc&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=sc&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=hp&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=hp&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=hp&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=ds&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843 SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=ds&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843 SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=ds&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843 SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=ds&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843 SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=ds&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss_Btisdt7&mntrId=3231685D435F5321&affID=123627&tsp=4988 SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=ds&from=cor&uid=WDCXWD10JPVT-75A1YT0_WX61EC1LDX73EC1LDX73&ts=1377723843 SearchScopes: HKCU - {37CE32E4-11A2-4013-A7B4-B061C9337D58} URL = Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK CHR HKLM-x32\...\Chrome\Extension: [ifohbjbgfchkkfhphahclmkpgejiplfo] - C:\Users\Państwo Hrabia\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx [2013-08-28] C:\Users\Państwo Hrabia\AppData\Roaming\Babylon C:\Users\Państwo Hrabia\AppData\Roaming\eUpdate C:\Users\Państwo Hrabia\Downloads\Apache-OpenOffice(12754).exe C:\Users\Państwo Hrabia\Downloads\SPTDinst-v186-x64 (2).exe.39cf6nq.partial C:\Users\Państwo Hrabia\Downloads\SPTDinst-v186-x64.exe C:\Windows\system32\Drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys C:\Windows\system32\Drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}w64.sys Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware Qtrax Player, webget, WPM17.8.0.3297. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware Extended Protection Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

Posługujesz się przestarzałym FRST: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 27-02-2014 02 (ATTENTION: ====> FRST version is 97 days old and could be outdated) A to dlatego, że pobrałaś go z serwisu trzeciego, który nie ma pozwolenia na hostowanie programu i nawet nie jest w stanie podążyć za aktualizacjami: F:\FRST64_WWW.INSTALKI.PL.EXE. W nagłówku raportu FRST jest wyraźnie powiedziane, że jedyna strona z autoryzacją, która hostuje FRST i gwarantuje najnowszą wersję to tylko i wyłącznie BleepingComputer (strona domowa FRST). W przyklejonym linki: KLIK. I FRST zawssze pobiera się od nowa, jest zbyt często aktualizowany. Owszem, tu nie koniec, w starcie nadal uruchamia się niepożądany obiekt. Jest też śmieciarski pasek Avira sponsorowany przez Ask. Wykonaj: 1. Pobierz najnowszy FRST z linka podanego powyżej. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-767868679-2717527556-2569949838-1001\...\Run: [pwo7] - C:\Users\Vicky\AppData\Roaming\pwo7\svchost.exe [8164139 2014-06-03] () GroupPolicyUsers\S-1-5-21-767868679-2717527556-2569949838-1000\User: Group Policy restriction detected Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File FF Plugin-x32: @adobe.com/ShockwavePlayer - C:\windows\SysWOW64\Adobe\Director\np32dsw_1200112.dll No File Task: {4C2BE54B-AD09-4851-A566-F8F1BA822193} - System32\Tasks\{AC9968F7-268F-431B-90BF-171DD9FFD3A1} => Firefox.exe Task: {65D6491D-40A4-4B0D-9296-9D60207FCA88} - System32\Tasks\{7F62307A-C0BC-424C-819D-19C1DFCC1847} => Firefox.exe Task: {C82C29D5-34D2-4467-972E-C9325DFCA06A} - System32\Tasks\{8244E8EB-7440-46D5-8436-8FEB6504B1A9} => Firefox.exe C:\Users\Vicky\AppData\Roaming\pwo7 C:\Users\Vicky\AppData\Roaming\Babylon Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Avira SearchFree Toolbar - od wersji Avira Free Antivirus 14.0.3.350 (posiadasz) ten pasek nie jest już instalowany, zastąpiono go Avira Browser Safety, który nie jest oparty na Ask. - Spyware Terminator - sfatygowany starawy program o nieczystej historii. 3. Wyczyść Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia będą do reinstalacji. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Post z błędną diagnozą usuwam. Wbrew temu co tu powiedziano były oznaki infekcji rootkit, a konkretnie ZeroAccess w wersji fałszywego Google: HKU\S-1-5-21-3853803772-3165243653-2453907892-1001\...\Run: [Google Update*] => [X] ZeroAccess: C:\Users\ad\AppData\Local\Google\Desktop\Install Te błędy usług to zapewne skutek tej infekcji (usunięte usługi). Jeśli to jest już w toku, temat zamknę. W przeciwnym wypadku mogę go pociągnąć. .

Uruchamianie aplikacji na uprawnieniu konta SYSTEM lub TrustedInstaller Lokalne konto systemowe NT AUTHORITY\SYSTEM (SID: S-1-5-18) oraz usługa NT SERVICE\TrustedInstaller (SID: S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464) wbudowane w Windows mają szerszy zakres uprawnień niż konto użytkownika typu administracyjnego. TrustedInstaller został wprowadzony w Vista i przejął kontrolę na systemowymi plikami i obiektami rejestru, uniemożliwiając typowe ręczne modyfikacje. Uruchomienie aplikacji w kontekście jednego nich jest wybiegiem, by obejść uprawnienia systemu plików i rejestru bez ich zmiany, pomocnym przykładowo przy usuwaniu obiektów do których nie ma dostępu. Poniżej programy umożliwiające uruchamianie aplikacji z poziomu konta SYSTEM lub/i TrustedInstaller. Efekt ich działania można potwierdzić w Menedżerze zadań sprawdzając kolumnę "Nazwa użytkownika". Proszę zauważyć, że w Menedżerze oba stany będą oznaczone w taki sam sposób, tzn. "SYSTEM". Uruchomienie na uprawnieniu konta SYSTEM: GiveMePower (GMP) Run As System ----> NirCmd (polecenie "elevatecmd runassystem") ----> PAExec (parametry -s -i) ----> PsExec (parametry -s -i) ----> RunAsSystem ----> System Informer | Process Hacker (menu System > Run as...) Uruchomienie na uprawnieniu TrustedInstaller: ExecTI RunX (zastępuje Elevate To System) ----> AdvancedRun ----> NanaRun | NSudo ----> PowerRun ----> RunAsTI (skrypty dodające m.in. wpisy menu kontekstowego) ----> System Informer | Process Hacker (menu System > Run... > Create this task with TrustedInstaller privileges) Stare programy usunięte z listy: Tutorial powiązany: Nieusuwalne klucze rejestru - Klucze bez uprawnień

Przecież jest napisane jak to się rozwiązuje - należy odinstalować kanał na którym jest PIO + restart systemu. Windsows przebuduje kanał i jeśli wszystko pójdzie sprawnie, PIO zmieni się w DMA = system z kopyta ruszy i spdadnie obciążenie procesora. To może były to obiekty CureIt - również uruchamia losowe procesy (obejście na okoliczność blokady malware). .

Są tu problemy o różnym podłożu: - Błąd RunDLL: to skutek niedokładnego wyczyszczenia owej wspominanej infekcji "policyjnej". W Autostarcie ostał się skrót próbujący uruchamiać nieistniejący już plik infekcji. Ten wpis nie ma wpływu na wydajność, jest martwy. Tym się zajmę w tym temacie. Startup: C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\msconfig.lnk ShortcutTarget: msconfig.lnk -> C:\PROGRA~2\hiaco.dat (No File) - Niska wydajność, samoczynne wyłączanie i problem z baterią: to brzmi jak problem o podłożu sprzętowym. Pod tym kątem załóż nowy temat w dziale Hardware podając tam dane wymagane działem: KLIK. Podlinkuj im też ten temat, by wiedzieli, że inne sprawy załatwiam ja. Prawdopodobnie zajmowałeś się głównym widokiem klucza SPTD, a należało odblokować jego podklucz cfg. Ja zresztą w skrypcie poniżej i tak usunę ten klucz SPTD w całości. Pod kątem błędu RunDLL oraz inne kosmetyczne działania (m.in. usunięcie starych niedziałających rozszerzeń FF): 1. Otwórz Notatnik i wklej w nim: Startup: C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\msconfig.lnk S2 HDD & SSD access service; "C:\Program Files\Common Files\BinarySense\disksvc.exe" [X] S3 catchme; \??\C:\Users\Piotr\AppData\Local\Temp\catchme.sys [X] U1 eabfiltr; Task: {190ACF02-F7C5-4BBD-AFAF-4022B08672A2} - System32\Tasks\{EE0B7021-4879-44B9-893D-0529606BECAB} => Firefox.exe http://ui.skype.com/ui/0/6.14.0.104/pl/abandoninstall?page=tsProgressBar Task: {268D4667-2A41-4D1C-ABC7-00E52DFCB705} - System32\Tasks\{E122CEF3-ED07-4088-B859-A7BD56C64239} => Firefox.exe http://ui.skype.com/ui/0/6.14.0.104/pl/abandoninstall?page=tsProgressBar Task: {49ADAC66-73AF-4EDC-AFEB-052A00F6E545} - System32\Tasks\{6F637DD1-00A3-46F8-81D7-49A2630F8DA4} => Firefox.exe http://ui.skype.com/ui/0/6.14.0.104/pl/abandoninstall?page=tsProgressBar Task: {7D7E2381-FD4E-4C97-BA91-15842426F775} - System32\Tasks\{4E6FBD59-4BB2-4349-9172-FA0046288019} => Firefox.exe http://ui.skype.com/ui/0/5.1.0.112.259/pl/go/help.faq.installer?source=lightinstaller&LastError=1618 ProxyServer: 178.18.31.116:8089 SearchScopes: HKLM - DefaultScope value is missing. FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ FF HKLM\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files\DigitalPersona\Bin\FirefoxExt\ FF HKCU\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files\DigitalPersona\Bin\firefoxext C:\Program Files\Mozilla Firefox\extensions C:\Program Files\mozilla firefox\plugins C:\ProgramData\*.exe C:\Users\Piotr\AppData\Roaming\desktop.ini C:\Users\Piotr\AppData\Roaming\ESET C:\Windows\grep.exe C:\Windows\MBR.exe C:\Windows\sed.exe C:\Windows\PEV.exe C:\Windows\zip.exe C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\sptd Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany, a błąd RunDLL nie powinien się już pokazać. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Preferencje Google Chrome wyglądają na naruszone, toteż: - Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. - Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Zakładanie dwóch tematów nie ma sensu, logi są już w tym temacie. Duplikat w dziale diagnostyki malware usuwam, zresztą podane tam logi i tak stare tzn. dokładnie te same co tu, a nie z dzisiaj. jaszczompik Logi główne z FRST i OTL są ucięte, ten serwis wklejkowy jest do kitu. Zrób nowy log FRST i umieść na wklej.org (dopuszcza dłuższe treści i nie zmienia odowania znaków). Ten błąd IdePort0 jak i objawy spowolnienia i trzeszczenia dźwięku są charakterystyczne obniżenia transferu dysku z DMA do PIO. Przeczytaj ustęp: Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. W podanych logach nie ma żadnych oznak infekcji. Nie widać też tych procesów / plików. Te procesy wyglądają jak procesy GMER (losowe pliki). Nie wiem ile razy pobierałeś i uruchamiałeś GMER, w pierwszym logu jest inny plik GMER niż w/w: Running: zfnyhxyv.exe; Driver: C:\DOCUME~1\Misiek\USTAWI~1\Temp\ugtdypow.sys Sprawdź czy na dysku w pobranych masz pliki GMER o takich nazwach (nekt4pna.exe, d7ybfbe3.exe, up9lp2m5.exe). I jak mówiłam: nowy log z FRST dostarcz. Log jest dobrze poukładany, tak ma wyglądać. .

Po pierwsze, nie usunąłeś sterownika SPTD od emulatorów: KLIK. Odinstaluj go narzędziem SPTDinst i zresetuj system. R0 sptd; C:\WINDOWS\System32\Drivers\sptd.sys [691696 2010-12-12] () Po drugie, system mógł spowolnić ze względu na zbyt długi czas odpowiedzi kontrolera dysku. Zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Teraz możemy przejść do usuwania pozostałych infekcji i śmieci. Są tu ślady infekcji routera w postaci tych IP (wg Whois są one z USA i Singapuru): Tcpip\Parameters: [DhcpNameServer] 23.253.94.129 128.199.225.64 Należy zalogować się do routera, zmienić ustawienia DNS i login. Jeśli logowanie niemożliwe, wykonaj reset do ustawień fabrycznych via obudowę, ale i tak dane logowania muszą być zmienione. Po wykonaniu tego możesz się zabrać za doczyszczanie adware i innych drobnostek: 1. Otwórz Notatnik i wklej w nim: (Cherished Technololgy LIMITED) C:\Documents and Settings\All Users\Dane aplikacji\WPM\wprotectmanager.exe () C:\Program Files\Rock Turner\updater.exe S2 Update Rock Turner; C:\Program Files\Rock Turner\updateRockTurner.exe [317728 2014-06-01] () R2 UpdaterSvcRockTurner; C:\Program Files\Rock Turner\updater.exe [109568 2014-06-01] () R2 Wpm; C:\Documents and Settings\All Users\Dane aplikacji\WPM\wprotectmanager.exe [510608 2014-03-05] (Cherished Technololgy LIMITED) S2 SkypeUpdate; "C:\Program Files\Skype\Updater\Updater.exe" [X] R1 {b2db3058-74ee-4ace-bcd8-8cd0fbe3a4f6}t; C:\WINDOWS\System32\drivers\{b2db3058-74ee-4ace-bcd8-8cd0fbe3a4f6}t.sys [55224 2014-05-19] (StdLib) S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S1 SpyEmrg; System32\Drivers\spyemrg.sys [X] S2 SSPORT; \??\C:\WINDOWS\system32\Drivers\SSPORT.sys [X] HKLM\...\Run: [fst_pl_46] => [X] HKLM\...\Run: [upfst_pl_46.exe] => C:\Documents and Settings\Kasia\Ustawienia lokalne\Dane aplikacji\fst_pl_46\upfst_pl_46.exe -runhelper HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe HKLM\...\Run: [DApp] => C:\Program Files\PCDApp\start.vbs HKU\S-1-5-21-1844237615-1326574676-1417001333-1003\...\Run: [Torntv Downloader] => C:\Program Files\TornTV.com\Torntv Downloader.exe /c=startup HKU\S-1-5-21-1844237615-1326574676-1417001333-1003\...\Run: [LiveSupport] => "C:\Program Files\LiveSupport\LiveSupport.exe" /noshow /log HKU\S-1-5-21-1844237615-1326574676-1417001333-1003\...\Run: [AmitiAntivirus] => C:\Program Files\NETGATE\Amiti Antivirus\AmitiAv.exe HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1391784748&from=tt4u&uid=FUJITSUXMHW2120BH_NZ2MT782A413T782A413X&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1391784748&from=tt4u&uid=FUJITSUXMHW2120BH_NZ2MT782A413T782A413X&q={searchTerms} URLSearchHook: HKLM - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=112670&tt=251212_ctrl_5212_3&babsrc=SP_sst&mntrId=0c8056020000000000000017c406f923 SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640 BHO: Rock Turner - {527b365c-1bd3-4a66-906f-8729805ce78c} - C:\Program Files\Rock Turner\RockTurnerbho.dll (Rock Turner) Toolbar: HKCU - No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff Task: C:\WINDOWS\Tasks\AmiUpdXp.job => C:\Documents and Settings\Kasia\Dane aplikacji\23300\a6657.exe AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:51E9F892 AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:676C1C69 C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\eSafe C:\Documents and Settings\All Users\Dane aplikacji\IePluginService C:\Documents and Settings\All Users\Dane aplikacji\Lavasoft C:\Documents and Settings\All Users\Dane aplikacji\MFAData C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Dane aplikacji\WPM C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\MFAData C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp C:\Documents and Settings\Kasia\Dane aplikacji\23300 C:\Documents and Settings\Kasia\Dane aplikacji\Amiti Antivirus C:\Documents and Settings\Kasia\Ustawienia lokalne\Temp C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\WINDOWS\system32\Drivers\{b2db3058-74ee-4ace-bcd8-8cd0fbe3a4f6}t.sys C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Alcmtr" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ALLUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ares" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EA Core" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IPLA!" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kamsoft" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\msfpgxjSrv" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f CMD: netsh firewall reset Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj adware Rock Turner, Software Version Updater. 3. Wyczyść Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz GMER (po deinstalacji SPTD). Dołącz też plik fixlog.txt i log z AdwCleaner. .

Temat przenoszę do działu Windows. Nie ma tu żadnych oznak infekcji i wątpliwe, by efekty były jej skutkiem. Tylko kosmetyczne usunięcie szczątkowych wpisów i niekompatybilnego rozszrzenia ESET dla Thunderbird. Operacja nie ma związku z problemem zasadniczym, toteż w spoilerze: Dziennik zdarzeń przedstawia to jako następujące błędy: Application errors: ================== Error: (06/02/2014 09:39:53 AM) (Source: Application Error) (EventID: 1005) (User: ) Description: System Windows nie może uzyskać dostępu do pliku C:\Windows\System32\sstpsvc.dll z jednej z następujących przyczyn: problem z połączeniem sieciowym; problem z dyskiem, na którym jest przechowywany plik; problem ze sterownikami magazynu zainstalowanymi na tym komputerze; lub brak dysku. System Windows zamknął program Proces hosta dla usług systemu Windows z powodu następującego błędu. Program: Proces hosta dla usług systemu Windows Plik: C:\Windows\System32\sstpsvc.dll Wartość błędu jest wyświetlona w sekcji Dodatkowe dane. Akcja użytkownika 1. Otwórz plik ponownie. Ta sytuacja może być przejściowym problemem, który sam się rozwiąże po ponownym uruchomieniu programu. 2. Jeśli nadal nie można uzyskać dostępu do pliku i - jest w sieci, administrator sieci powinien sprawdzić, czy nie ma problemu z siecią, i czy można skontaktować się z serwerem. - jest na dysku wymiennym, na przykład dyskietce lub dysku CD-ROM, sprawdź, czy cały dysk jest włożony do komputera. 3. Sprawdź i napraw system plików, uruchamiając program CHKDSK. Aby uruchomić program CHKDSK, kliknij przycisk Start, kliknij polecenie Uruchom, wpisz CMD, a następnie kliknij przycisk OK. W wierszu polecenia wpisz CHKDSK /F, a następnie naciśnij klawisz ENTER. 4. Jeżeli problem nie ustąpi, przywróć plik z kopii zapasowej. 5. Ustal, czy można otworzyć inne pliki na tym samym dysku. Jeśli nie, dysk może być uszkodzony. Jeśli jest to dysk twardy, skontaktuj się z administratorem lub dostawcą sprzętu komputerowego, aby uzyskać dalszą pomoc. Dodatkowe dane Wartość błędu: C000009C Typ dysku: 3 Error: (06/02/2014 09:39:53 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Aplikacja powodująca błąd svchost.exe_SstpSvc, wersja 6.0.6001.18000, sygnatura czasowa 0x47918b89, moduł powodujący błąd sstpsvc.dll, wersja 6.0.6001.18000, sygnatura czasowa 0x4791a7c4, kod wyjątku 0xc0000006, przesunięcie błędu 0x0000eaa8, identyfikator procesu 0x558, godzina rozpoczęcia aplikacji 0xsvchost.exe_SstpSvc0. Te komunikaty sugerują błędy dysku / uszkodzony plik. Zacznij opd podstaw: 1. Sprawdzenie dysku pod kątem błędów. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: chkdsk /f /r Zresetuj system. Powinno zostać wykonane sprawdzanie dysku. Wyniki zostaną nagrane w Dzienniku zdarzeń w gałęzi Aplikacja w postaci rekordu 1001 ze źródłem Wininit. Pobierz szczegóły tego rekordu, skopiuj i wklej do posta statystyki. 2. Sprawdzenie poprawności plików systemowych. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. .

Odtwarzacz VLC nie był więc pobierany ze strony oryginalnej, tylko z jakiegoś portalu z downloaderem: KLIK. Prócz AdwCleaner używałeś też SpyHunter, to wątpliwy program reklamujący się w każdej instrukcji usuwania jako "remover" tego zgrożenia (sugerując dedykowaną szczepionkę). Po instalacji wycodzi na jaw, iż wyniki można usunąć po nabyciu komercyjnej wersji. qone8 to hijacker skrótów przeglądarek, i jeśli występuje pojedynczo bez dodatków nie wpływa na wydajność, jest jedynie uciążliwością. W Twoich raportach brak oznak czynnej infekcji, przyczyna bieżącego stanu systemu jest więc inna. Np. podejrzanym jest Avast per se, który odświeżał swoje pliki, czyli się pewnie aktualizował, bardzo niedawno (29 maja). Sprawdź go = testowa deinstalacja. PS. Tylko mini korekty: 1. Otwórz Notatnik i wklej w nim: FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\default-search.xml URLSearchHook: HKLM-x32 - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk C:\ProgramData\WindowsProtectManger C:\Program Files\Enigma Software Group C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Dodatkowo dodaj też logi z C:\AdwCleaner, bo nie wiadomo co było usuwane. 2. Uruchom TFC - Temp Cleaner. .

Opisywane objawy to infekcja routera a nie systemu, nawroty infekcji wskazują, że router nie jest zabezpieczony. Czy podczas resetów zmieniłeś login do routera na niestandardowy? Babylon to nie wirus tylko adware, tu w postaci szczątkowej, owe szczątki rezydują w systemie już od dawna. I w podanych raportach brak oznak infekcji. A ten odczyt w GMER o ukrytym module to prawdopodobnie konsekwencja braku aktualizacji Vista (to będzie potem do nadrobienia): Platform: Microsoft® Windows Vista™ Home Basic Service Pack 1 (X86) OS Language: Polish Internet Explorer Version 8 Tylko drobne kosmetyczne działania na wpisy odpadkowe i puste: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-392944919-3480735444-3123389750-1000\...\MountPoints2: {1b9fd1f7-d877-11de-a659-002219e21dcf} - F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\SYS83.exe HKU\S-1-5-21-392944919-3480735444-3123389750-1000\...\MountPoints2: {a37e2f21-d31f-11e1-9d3b-002219e21dcf} - F:\Install.exe HKU\S-1-5-21-392944919-3480735444-3123389750-1000\...\MountPoints2: {d1e3d435-7637-11df-b357-002219e21dcf} - F:\SLATKO/torta.exe HKU\S-1-5-21-392944919-3480735444-3123389750-1000\...\Winlogon: [shell] C:\Windows\Explorer.exe [2927104 2009-04-04] (Microsoft Corporation) SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File CHR HKLM\...\Chrome\Extension: [dhkplhfnhceodhffomolpfigojocbpcb] - C:\Users\weronika\AppData\Roaming\BabylonToolbar\CR\BabylonChrome1.crx [2012-08-08] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ S3 massfilter; system32\drivers\massfilter.sys [X] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] AlternateDataStreams: C:\ProgramData\TEMP:587EB586 C:\Users\weronika\AppData\Local\Google C:\Users\weronika\AppData\Roaming\BabylonToolbar Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\facemoods" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BabylonToolbar /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E55E7026-EF2A-4A17-AAA7-DB98EA3FD1B1} /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Również go przedstaw. .

Czy podane raporty są już po deinstalacji Avast? One pokazują program jako w pełni zinstalowany, cała pula sterowników i inne elementy. No chyba że po nieudanych próbach z Avast ponownie go przeinstalowałeś... .

Widzę tu tylko adware i to głównie w szczątkach, oraz nieczynne źle kiedyś doczyszczone odpadki infekcji "policyjnej". Akcja: 1. Otwórz Notatnik i wklej w nim: S4 WebCake Desktop Updater; "C:\Program Files (x86)\WebCake\WebCakeDesktop.Updater.exe" "C:\Users\Pawe│\AppData\Roaming\WebCake\WebCakeDesktop.exe" S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 massfilter_lte; \??\C:\windows\system32\drivers\massfilter_lte.sys [X] S3 zgdcat; system32\DRIVERS\zgdcat.sys [X] S3 zgdcdiag; system32\DRIVERS\zgdcdiag.sys [X] S3 zgdcmdm; system32\DRIVERS\zgdcmdm.sys [X] S3 zgdcnet; system32\DRIVERS\zgdcnet.sys [X] S3 zgdcnmea; system32\DRIVERS\zgdcnmea.sys [X] HKU\.DEFAULT\...\RunOnce: [] - [X] HKU\S-1-5-19\...\RunOnce: [] - [X] HKU\S-1-5-20\...\RunOnce: [] - [X] HKU\S-1-5-21-2666340739-2498256653-3035462964-1000\...\Policies\Explorer: [NofolderOptions] 0 Task: {10CB747F-820E-4E3E-989B-34469BC094E9} - System32\Tasks\YourFile DownloaderUpdate => C:\Program Files (x86)\YourFileDownloader Updater\YourFileUpdater.exe [2014-05-20] (http://yourfiledownloader.com) Task: {49A58959-3400-4B38-80C5-E58CF8A113FE} - System32\Tasks\DigitalSite => C:\Users\Paweł\AppData\Roaming\DigitalSite\UpdateProc\UpdateTask.exe [2013-04-12] () Task: {7AE693AA-E1E8-4C7D-B64B-A05E41887163} - System32\Tasks\Digital Sites => C:\Users\PAWE~1\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE Task: {ECEB85FB-663E-44B1-892F-6714A80D4754} - System32\Tasks\DSite => C:\Users\PAWE~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE Task: C:\windows\Tasks\Digital Sites.job => C:\Users\PAWE~1\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE Task: C:\windows\Tasks\DigitalSite.job => C:\Users\PAWE~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE Task: C:\windows\Tasks\DSite.job => C:\Users\PAWE~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE AppInit_DLLs: c:\progra~3\bitguard\271832~1.68\{c16c1~1\loader.dll => c:\progra~3\bitguard\271832~1.68\{c16c1~1\loader.dll File Not Found AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll File Not Found ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX&q={searchTerms} SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX&q={searchTerms} SearchScopes: HKCU - {062A0111-06AE-4D8B-BE52-3B27724D95CC} URL = http://websearch.ask.com/redirect?client=ie&tb=SGT&o=APN10374&src=kw&q={searchTerms}&locale=&apn_ptnrs=^AHO&apn_dtid=^YYYYYY^YY^PL&apn_uid=a72d9980-6dc7-4bd7-bfc0-45f9b0fc2182&apn_sauid=1B887098-0C21-441E-8424-8BFC7A3C76B8 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&babsrc=SP_ss_din2g&mntrId=2E6E72B7C3133987&affID=119357&tt=040713_rdrctful&tsp=4937 SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX&q={searchTerms} SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = BHO-x32: WebCake - {2A5A2A90-3B30-4E6E-A955-2F232C6EF517} - C:\Program Files (x86)\WebCake\WebCakeIEClient.dll (WebCake LLC) FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\webssearches.xml C:\ProgramData\Microsoft\Windows\Start Menu\YourFileDownloader C:\Users\Paweł\AppData\Local\Google C:\Users\Paweł\AppData\Roaming\skype.ini C:\Users\Paweł\AppData\Roaming\skype.dat C:\Users\Paweł\AppData\Roaming\Babylon C:\Users\Paweł\AppData\Roaming\Betcat C:\Users\Paweł\AppData\Roaming\File Scout C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lollipop.lnk C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\Paweł\Downloads\creative_mediasource_player_5_free_downloader.exe C:\Users\Public\Desktop\YourFile Downloader.lnk Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\WebCake Desktop Updater" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\lollipop_03081805" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WebCake Desktop"/f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f Reg: reg delete "HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f Reg: reg delete "HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware Feature Update Service (YFD), Installer, Lollipop, Update for Codec Pack, WebCake 3.00, webssearches uninstaller, YourFileDownloader. 3. Wyczyść Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt i log z AdwCleaner. .

W systemie działa rootkit Necurs (blokuje sterowniki systemowe), stąd problem ze startem systemu i uruchomieniem GMER. To nie jedyna infekcja w systemie, ale ma priorytet usuwania. Wykonaj: 1. Uruchom Kaspersky TDSSKiller. Dla wyniku Rootkit.Win32.Necurs.gen (3fc68e249a2755ff) oraz UDS:DangerousObject.Multi.Generic (syshost32) wybierz akcję Delete. Natomiast wszystkie wyniki typu LockedFile.Multi.Generic mają mieć przyznane Skip, gdyż to prawidłowe sterowniki zablokowane przez rootkita. Zresetuj system. Na dysku C powstanie log z usuwania. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut), spróbuj też ponowić próbę z GMER. Dołącz log z Kasperskiego. .

Zabrakło raportu FRST Shortcut. W bieżących logach nie ma widocznych oznak infekcji w stanie czynnym. Jego obecność w logu w sekcji "ZeroAccess Check" check tylko dlatego, że szukanie na nazwę "desktop.ini" w OTL jest niezbyt precyzyjne. To poprawny plik systemowy. Z mojego systemu: C:\Windows\system32>dir /a:h C:\Windows\assembly Wolumin w stacji C nie ma etykiety. Numer seryjny woluminu: C2BA-164D Katalog: C:\Windows\assembly 2009-07-14 06:42 227 Desktop.ini 2011-07-24 02:22 0 PublisherPolicy.tme 2011-07-24 02:22 0 pubpol4.dat 3 plik(ów) 227 bajtów 0 katalog(ów) 65 367 560 192 bajtów wolnych C:\Windows\system32> Wg obrazka ESET Twoim problemem był całkiem inny typ infekcji = adware. Nabyte na jeden z tych sposobów: KLIK. Pokaż mi obrazek z CCleaner to przedstawiający. W dostarczonym tu raporcie FRST nie ma wykrytego nic nieciekawego w Google Chrome. Nie dostarczyłeś żadnego raportu z MBAM. Z tego co widzę na dysku jest przynajmniej plik z tego drugiego skanowania, więc go dostarcz: G:\mbam-log-2014-06-02 (00-33-34).xml. I nie tylko wymieniane narzędzia używałeś. Był także na chodzie AdwCleaner - dostarcz logi z folderu G:\AdwCleaner. Ten skan nie pokazuje nic szczególnego. Plik setup możesz skasować, bo i tak nie powinno go być w tej ścieżce, a pozostałe to nie wydaje się by była to infekcja. .

Zacznij od uruchomienia diagnostyka Apps troubleshooter. Uruchom narzędzie, zaznacz opcję "Run as Administrator" oraz automatyczne naprawy, podaj wyniki. I ten wątek wydzielę w postaci osobnego tematu do działu Windows 8. .

Niestety folder jest zablokowany i nie udało się. Z pewnością to jego blokada jest przyczyną niemożności utrzymania układu rozszerzeń (zmiany się po prostu nie zapisują). Zanim podam bardziej radykalne metody sprawdź może czy reinstalacja Google Chrome coś tu zdziała. Folder "Default" z profilem jest skopiowany na Pulpit, więc w razie czego jakiś plik stamtąd będzie można potem odtworzyć. Odinstaluj Google Chrome via Panel sterowania. Przy deinstalacji odpowiedz twierdząco na pytanie o usuwanie danych użytkownika. Po tej akcji sprawdź czy na dysku ostał się folder i czy można go ruszyć / skasować: C:\Users\mati\AppData\Local\Google\Chrome .

W systemie jest infekcja, czyli kopacz Bitcoinów w postaci "programu" PCDApp, stąd wysokie użycie procesora. Infekcji się nabawiłeś pobierając i uruchamiając ten plik: 2014-05-29 13:20 - 2014-05-29 13:20 - 00780352 _____ () C:\Users\Steve\Downloads\MKJogoLeagueofLegends__7934_il3806914.exe To "downloader" skoncentrowany na montowaniu adware i sponsorów a nie program zasadniczy. Ponadto, w systemie są także różne inne odpadki adware wskazujące na to, że pewne zachowania powtarzasz i nie jesteś uważny. Czego unikać, skąd nie pobierać: KLIK. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: () C:\Program Files\PCDApp\dgen.exe (cake bake) C:\Program Files (x86)\Betcat\WBDesktop.Updater.1.0.0.16.exe R2 WebCake Desktop Updater; C:\Program Files (x86)\Betcat\WBDesktop.Updater.1.0.0.16.exe [51992 2013-08-15] (cake bake) S2 ProtectMonitor; C:\Program Files\PCDApp\StartHelp.exe [X] R1 {b2db3058-74ee-4ace-bcd8-8cd0fbe3a4f6}Gw64; C:\Windows\System32\drivers\{b2db3058-74ee-4ace-bcd8-8cd0fbe3a4f6}Gw64.sys [61112 2014-05-27] (StdLib) Task: {99A2F262-8648-4870-8A87-EB5C0D4CBFAF} - System32\Tasks\Dealply => C:\Users\Steve\AppData\Roaming\Dealply\UpdateProc\UpdateTask.exe [2013-10-17] () Task: C:\Windows\Tasks\Dealply.job => C:\Users\Steve\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1396965899&from=wpc&uid=WDCXWD5000YS-01MPB0_WD-WCANU147902979029 ShortcutWithArgument: C:\Users\edek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1396965899&from=wpc&uid=WDCXWD5000YS-01MPB0_WD-WCANU147902979029 ShortcutWithArgument: C:\Users\edek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1396965899&from=wpc&uid=WDCXWD5000YS-01MPB0_WD-WCANU147902979029 ShortcutWithArgument: C:\Users\edek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1396965899&from=wpc&uid=WDCXWD5000YS-01MPB0_WD-WCANU147902979029 ShortcutWithArgument: C:\Users\edek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1396965899&from=wpc&uid=WDCXWD5000YS-01MPB0_WD-WCANU147902979029 ShortcutWithArgument: C:\Users\edek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1396965899&from=wpc&uid=WDCXWD5000YS-01MPB0_WD-WCANU147902979029 ShortcutWithArgument: C:\Users\edek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1396965899&from=wpc&uid=WDCXWD5000YS-01MPB0_WD-WCANU147902979029 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1396965899&from=wpc&uid=WDCXWD5000YS-01MPB0_WD-WCANU147902979029 ShortcutWithArgument: C:\Users\Steve\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1382039035&from=air&uid=WDCXWD5000YS-01MPB0_WD-WCANU147902979029 ShortcutWithArgument: C:\Users\Steve\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1382039035&from=air&uid=WDCXWD5000YS-01MPB0_WD-WCANU147902979029 ShortcutWithArgument: C:\Users\Steve\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://start.qone8.com/?type=sc&ts=1382039035&from=air&uid=WDCXWD5000YS-01MPB0_WD-WCANU147902979029 ShortcutWithArgument: C:\Users\Steve\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1382039035&from=air&uid=WDCXWD5000YS-01MPB0_WD-WCANU147902979029 ShortcutWithArgument: C:\Users\Steve\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://start.qone8.com/?type=sc&ts=1382039035&from=air&uid=WDCXWD5000YS-01MPB0_WD-WCANU147902979029 HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.doko-search.com/?babsrc=HP_ss&mntrId=C2955404A6849CBD&affID=125839&tsp=5038 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.qone8.com/?type=hp&ts=1382039035&from=air&uid=WDCXWD5000YS-01MPB0_WD-WCANU147902979029 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1396965899&from=wpc&uid=WDCXWD5000YS-01MPB0_WD-WCANU147902979029&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1396965899&from=wpc&uid=WDCXWD5000YS-01MPB0_WD-WCANU147902979029 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1396965899&from=wpc&uid=WDCXWD5000YS-01MPB0_WD-WCANU147902979029 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1396965899&from=wpc&uid=WDCXWD5000YS-01MPB0_WD-WCANU147902979029&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1396965899&from=wpc&uid=WDCXWD5000YS-01MPB0_WD-WCANU147902979029&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1396965899&from=wpc&uid=WDCXWD5000YS-01MPB0_WD-WCANU147902979029 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1396965899&from=wpc&uid=WDCXWD5000YS-01MPB0_WD-WCANU147902979029 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1396965899&from=wpc&uid=WDCXWD5000YS-01MPB0_WD-WCANU147902979029&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1396965899&from=wpc&uid=WDCXWD5000YS-01MPB0_WD-WCANU147902979029 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396965899&from=wpc&uid=WDCXWD5000YS-01MPB0_WD-WCANU147902979029&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396965899&from=wpc&uid=WDCXWD5000YS-01MPB0_WD-WCANU147902979029&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396965899&from=wpc&uid=WDCXWD5000YS-01MPB0_WD-WCANU147902979029&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396965899&from=wpc&uid=WDCXWD5000YS-01MPB0_WD-WCANU147902979029&q={searchTerms} SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382039041&from=air&uid=WDCXWD5000YS-01MPB0_WD-WCANU147902979029&q={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.doko-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=C2955404A6849CBD&affID=125839&tsp=5038 SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382039041&from=air&uid=WDCXWD5000YS-01MPB0_WD-WCANU147902979029&q={searchTerms} SearchScopes: HKCU - {A89FA41E-FAC7-415B-802A-2AED36685184} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=4000CC52-FBC2-4F5C-8CE5-B0A27CC4832B&apn_sauid=798D8981-24EE-47E6-97A3-98F57A40E615 CHR StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://www.sweet-page.com/?type=sc&ts=1396965899&from=wpc&uid=WDCXWD5000YS-01MPB0_WD-WCANU147902979029 CHR HKLM-x32\...\Chrome\Extension: [cekcjpgehmohobmdiikfnopibipmgnml] - C:\Users\Steve\AppData\Local\Google\Chrome\User Data\Default\Extensions\ [2013-06-20] CHR HKLM-x32\...\Chrome\Extension: [ifohbjbgfchkkfhphahclmkpgejiplfo] - C:\Users\Steve\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx [2013-10-17] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files\T-Mobile\InternetManager_H\OCx64\addon FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKCU\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKCU\...\Firefox\Extensions: [freegames4357@BestOffers] - C:\Users\Steve\AppData\Roaming\Mozilla\Extensions\freegames4357@BestOffers FF HKCU\...\Firefox\Extensions: [speedtest4354@BestOffers] - C:\Users\Steve\AppData\Roaming\Mozilla\Extensions\speedtest4354@BestOffers C:\Program Files\PCDApp C:\Program Files (x86)\AlllCheapPrioCe C:\Program Files (x86)\safeweb C:\Program Files (x86)\YoutubeAdblocker C:\ProgramData\620e6e52795aacf2 C:\ProgramData\AlllCheapPrioCe C:\ProgramData\safeweb C:\ProgramData\YoutubeAdblocker C:\Users\edek\Desktop\AnalysisLog.sr0 C:\Users\edek\AppData\Roaming\PerformerSoft C:\Users\edek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Softonic.lnk C:\Users\edek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Softonic C:\Users\edek\Desktop\Softonic.lnk C:\Users\edek\Desktop\.lnk C:\Users\Steve\AppData\Local\Genesis_05291209 C:\Users\Steve\AppData\Roaming\Betcat C:\Users\Steve\AppData\Roaming\Dealply C:\Users\Steve\AppData\Roaming\PerformerSoft C:\Users\Steve\AppData\Roaming\Web Cake C:\Users\Steve\AppData\Roaming\Mozilla\Extensions C:\Users\Steve\Downloads\MKJogoLeagueofLegends__7934_il3806914.exe C:\Windows\system32\Drivers\{b2db3058-74ee-4ace-bcd8-8cd0fbe3a4f6}Gw64.sys C:\Windows\SysWow64\unrar.dll CMD: sc config "Internet Manager. RunOuc" start= demand Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware 5u0Coupons, Lightning Newtab, saFeweB, Share With Care, YoutubeAdblocker Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. Oczywiście odpowiadasz mi już w nowym poście. Nie edytuj pierwszego. .

Systemy podobne, lecz nie identyczne. Mogą być różnice prowadzące do instalacji niepożądanych aktualizacji. http://www.zdnet.com/registry-hack-enables-continued-updates-for-windows-xp-7000029851/ http://www.msfn.org/board/topic/171814-posready-2009-updates-ported-to-windows-xp-sp3-enu/page-5?do=findComment&comment=1078652 I podobno trik już nie działa: http://www.autopatcher.net/forum/viewtopic.php?f=7&t=155 .

Cóż, jest tu adware, nabyte na jeden z tych sposobów: KLIK. Jedno z nich wyglądana na świeżo zainstalowane z ffdshow, z tym że wątpię, by to pochodziło z instalacji oryginalnego ffdshow, raczej z downloadera portalowego który miał "ściągnąć" ffdshow. Wdróż następujce działania: 1. Otwórz Notatnik i wklej w nim: () C:\Program Files\Mobogenie\MgAssist.exe () C:\Program Files\webget\updatewebget.exe () C:\Program Files\Mobogenie\DaemonProcess.exe () C:\Program Files\webget\bin\utilwebget.exe R2 MgAssistService; C:\Program Files\Mobogenie\MgAssist.exe [70848 2014-04-28] () R2 Update webget; C:\Program Files\webget\updatewebget.exe [317720 2014-05-30] () R2 Util webget; C:\Program Files\webget\bin\utilwebget.exe [317720 2014-05-30] () R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt; C:\WINDOWS\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt.sys [55224 2014-05-12] (StdLib) C:\WINDOWS\system32\Drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt.sys S0 cerc6; No ImagePath HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe [748736 2014-04-28] () HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?ptr=100&crg=3.1010000.10039&barid={94BFF767-BE8C-11E2-A4FB-00000021671D} SearchScopes: HKLM - DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&ptr=100&q={searchTerms}&crg=3.1010000.10039&barid={94BFF767-BE8C-11E2-A4FB-00000021671D} SearchScopes: HKLM - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&ptr=100&q={searchTerms}&crg=3.1010000.10039&barid={94BFF767-BE8C-11E2-A4FB-00000021671D} SearchScopes: HKCU - DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = Toolbar: HKCU - No Name - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - No File FF Extension: webget - C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\6qjs2xp1.default\Extensions\{55685567-4840-4a91-962b-49a412e9485a}.xpi [2014-05-26] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\Fighters C:\Documents and Settings\All Users\Dane aplikacji\IBUpdaterService C:\Documents and Settings\PC\Dane aplikacji\newnext.me C:\Documents and Settings\PC\Dane aplikacji\OpenCandy C:\Documents and Settings\PC\Dane aplikacji\PerformerSoft C:\Documents and Settings\PC\Dane aplikacji\SmartPCFix CMD: netsh firewall reset Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj adware Mobogenie, Web Protect for Windows, webget. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

Zadania wykonane, minimalne cyzelowanie potem. W kwestii ekranu odzyskiwania po błędzie: 1. Jeśli chodzi o niemożność wyboru opcji na tym ekranie, to czy kiedykolwiek wcześniej opcje trybów Windows były wybieralne z poziomu standardowego ekranu bez błędu? Jeśli nie, to problem jest brak ładowanych sterowników klawiatury na złączu USB. W takim przypadku należy spróbować w BIOS wyszukać i uaktywnić opcję w stylu "Enable USB Legacy Support". Lub podpiąć klawiaturę PS/2. 2. Jeśli chodzi o przemianę językową dialogów, to podaj skan na sumy kontrolne pliku BOOTMGR i jego kopii. Wg wyciągu jest tu tylko jedna aktywna partycja 100MB (Zastrzeżone przez system) i tam powinien być główny plik boot menedżera. Partycja jest jednak ukryta w normalnych okolicznościach, więc tymczasowo ją podmontuj za pomocą MountStorPE. Następnie wejdź na nią i skopiuj z niej plik BOOTMGR oraz folder pl-PL (leży w folderze Boot) do tymczasowo utworzonego folderu C:\Tmp. Otwórz Notatnik i wklej w nim: File: C:\Tmp\bootmgr File: C:\Tmp\pl-PL\bootmgr.exe.mui File: C:\Tmp\pl-PL\memtest.exe.mui File: C:\Windows\Boot\PCAT\bootmgr File: C:\Windows\Boot\PCAT\pl-PL\bootmgr.exe.mui File: C:\Windows\Boot\PCAT\pl-PL\memtest.exe.mui Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw fixlog.txt. 3. Dostarcz też te pliki: ==================== One Month Created Files and Folders ======== 2014-05-29 19:36 - 2014-05-29 19:36 - 00143000 _____ () C:\Windows\Minidump\052914-11232-01.dmp 2014-05-29 19:23 - 2014-05-29 19:23 - 00143000 _____ () C:\Windows\Minidump\052914-10280-01.dmp .