picasso

Pliki ISO i RAR zdają się być bezpieczne jako "ogólne" formaty, ale nie wiadomo co w nich jest, tzn. czy już w nich nie zostały spakowane obiekty z zalążkami wirusa. Sądzę, że bezpieczniej będzie zostawić tylko audio i video, czy pliki TXT. .

Problem z obrazem = nie wiem w czym rzecz i jest to osobny nieinfekcyjny problem. Brak tu danych, nie wiadomo co za komunikat widziałeś. Błądząc w ciemno: - Skoro obraz jest podmontowany, ale setup się nie uruchamia, to może blokuje go COMODO jednak (mimo, że jak twierdzisz "wyłączyłeś", co zrestą nie jest wykonalne w pełni, zawsze zostają aktywne procesy COMODO). - Ponadto, nie jest tu wykluczony jako przyczyna problem zarysowany poniżej w punkie 2. Osobna sprawa to dwa całkowicie inne problemy, czyli: 1. Agresywne adware Spigot w systemie. Czyszczenie tego oraz szczątków programowych w spoilerze: A w spoilerze, gdyż to sprawa i tak podrzędna w obliczu tego jaki zasadniczy poważny problem się tu rysuje: 2. W Dzienniku zdarzeń są błędy złych bloków dysku: System errors: ============= Error: (05/24/2014 01:51:58 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Temat przenoszę do działu Hardware na sprzętową diagnostykę. Dostosuj się do wymogów tego działu: KLIK. Obrazek z diskmgmt.msc możesz opuścić, dane o dyskach (jest tylko jeden fizyczny podzielony na trzy partycje) są w Addition: ==================== Drives ================================ Drive c: () (Fixed) (Total:78.13 GB) (Free:30.94 GB) NTFS ==>[Drive with boot components (obtained from BCD)] Drive d: () (Fixed) (Total:73.24 GB) (Free:70.51 GB) NTFS Drive e: () (Fixed) (Total:81.51 GB) (Free:9.9 GB) NTFS ==================== MBR & Partition Table ================== Disk: 0 (MBR Code: Windows 7 or 8) (Size: 233 GB) (Disk ID: 1D151D15) Partition 1: (Active) - (Size=78 GB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=155 GB) - (Type=OF Extended) .

Nie udzieliłeś mi odpowiedzi na pytanie jakie "ikony na pasku" Cię niepokoją. Ponadto, czy nadal występuje problem "Nie uruchamia się część programów przy starcie" (tu była również do sprawdzenia instalacja BitDefender) oraz co z reinstalacją Synaptics (touchpad). Zadanie usuwania pomyślnie wykonane. Czy po przeprowadzonym usuwaniu minera "Math Problem Solver" uspokoił się procesor i komputer przestał się grzać? W zakresie czyszczenia systemu kończymy: 1. Drobna poprawka na wpisy szczątkowe. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3183270048-2252803029-1860483952-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Darek\AppData\Local\Akamai\netsession_win.exe" S3 btmaux; system32\DRIVERS\btmaux.sys [X] S3 btmhsf; system32\DRIVERS\btmhsf.sys [X] S3 ibtfltcoex; system32\DRIVERS\iBtFltCoex.sys [X] Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Uruchom TFC - Temp Cleaner. 3. Przez SHIFT+ DEL (omija Kosz) usuń: C:\Users\Darek\Downloads\Programs (używane narzędzia stąd) C:\Users\Darek\Desktop\Stare dane programu Firefox Popraw za pomocą DelFix. 4. Wyczyść foldery Przywracania systemu, o ile coś powstało w międzyczasiew (pierwszy log pokazywał brak punktów): KLIK. .

Monikaa93, zasady działu: KLIK. Proszę uzupełnij obowiazkowe tu raporyty z FRST. .

Zabrakło raportu FRST Shortcut. I nie przymierzaj się do użycia pobranego ComboFix, nie ma podstaw. Jest tu aktywne adware BrowserDefeder (w formie odpadków po niedokładnie odinstalowanym zespole adware Delta Toolbar), ale to wgląda na starą instalację i raczej nie ma wpływu na opisywane objawy, bo równie dobrze problem może tworzyć COMODO Internet Security. I widzę, że pobierałeś programy z portali, tzn. "Asystentów pobierania" zamiast poprawnych instalatorów zasadniczych: KLIK. Na teraz wykonaj doczyszczanie śieci: 1. Otwórz Notatnik i wklej w nim: AppInit_DLLs-x32: c:\progra~3\browse~1\261339~1.144\{c16c1~1\browse~1.dll => C:\ProgramData\BrowserDefender\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.dll [2521040 2013-05-23] () Task: {7B9C3D05-6CE4-4B11-9D8C-5CC7D9E886A2} - System32\Tasks\Opera D7 => C:\Program Files (x86)\Opera\launcher.exe Task: {EA5D98BE-4A15-41E0-817A-FD4E29145375} - System32\Tasks\Opera D6 => C:\Program Files (x86)\Opera\launcher.exe Task: {F5451A3C-D369-4BFB-9430-D217461686AB} - System32\Tasks\EPUpdater => C:\Users\DOMOWY\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=A8F8BC5FF47B3FA2&affID=119821&tsp=4950 FF SelectedSearchEngine: AVG Secure Search C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\Przyspiesz C:\Program Files (x86)\Opera C:\ProgramData\BrowserDefender C:\Users\DOMOWY\AppData\Roaming\OpenCandy C:\Users\DOMOWY\Downloads\kED(11810).exe C:\Users\DOMOWY\Downloads\Realtek-High-Definition-Audio-Codecs(21164).exe C:\Users\DOMOWY\Downloads\YouTube-Downloader(27896).exe C:\Users\DOMOWY\Downloads\setup_przyspiesz_ndw554hqu.exe C:\Users\DOMOWY\Downloads\SoftonicDownloader_dla_anki.exe Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Zrób nowy log FRST z opcji Scan (bez Addition, ale dostarcz brakujący Shortcut). Dołącz też plik fixlog.txt. .

Wszystko wykonane. Czy po czyszczeniu Firefox ustąpiły objawy? Jeśli tak, to kończ temat: 1. Uruchom TFC - Temp Cleaner. 2. Usuń używane narzędzia za pomocą DelFix. Przez SHIFT+DEL (omija Kosz) skasuj folder C:\MATS. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Do aktualizacji: Internet Explorer Version 8 .

Używałeś Combofix i na ten temat: KLIK. Brak danych. Zaprezentuj przykłady jak te pliki wyglądają (dokładne ścieżki dostępu i nazwy). Na razie nie wiem jak pliki wyglądają, prawdopodobnie trzeba będzie uruchomić jakieś śledzenie co tworzy te pliki, bo tu z podanych raportów absolutnie nic nie wynika. Nie ma tu żadnych widocznych oznak infekcji, która może odpowiadać za efekt. Są tylko odpadki adware (w tym dwa czynne sterowniki). Widzę też powtarzające się błędy programu Acunetix Web Vulnerability Scanner 8.0, który zresztą jest "Av8.0_full_100%_clean_and_cracked": Application errors: ================== Error: (05/25/2014 00:50:17 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: WVSScheduler.exe, wersja: 0.0.0.0, sygnatura czasowa: 0x2a425e19 Nazwa modułu powodującego błąd: WVSScheduler.exe, wersja: 0.0.0.0, sygnatura czasowa: 0x2a425e19 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x000ce562 Identyfikator procesu powodującego błąd: 0x7cc Godzina uruchomienia aplikacji powodującej błąd: 0xWVSScheduler.exe0 Ścieżka aplikacji powodującej błąd: WVSScheduler.exe1 Ścieżka modułu powodującego błąd: WVSScheduler.exe2 Identyfikator raportu: WVSScheduler.exe3 Na razie doczyść szczątki adware i programów: 1. Otwórz Notatnik i wklej w nim: R1 {572f484b-455f-44b0-9d6a-da3ad2071365}Gw; C:\Windows\System32\drivers\{572f484b-455f-44b0-9d6a-da3ad2071365}Gw.sys [52928 2014-04-24] (StdLib) R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw.sys [52920 2014-05-09] (StdLib) S3 catchme; \??\C:\Users\sebek\AppData\Local\Temp\catchme.sys [X] S3 taphss6; system32\DRIVERS\taphss6.sys [X] S3 XFDriver; \??\C:\Program Files\Xfire2\XFDriver.sys [X] BHO: IplexToALLPlayer - {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} - No File FF user.js: detected! => C:\Users\sebek\AppData\Roaming\Mozilla\Firefox\Profiles\7swdtaol.default\user.js C:\NPE C:\ProgramData\Norton C:\Users\sebek\AppData\Local\genienext C:\Users\sebek\AppData\Local\NPE C:\Users\sebek\AppData\Roaming\AVG C:\Users\sebek\AppData\Roaming\AVG2014 C:\Users\sebek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Windows\system32\sqlite3.dll C:\Windows\System32\drivers\{572f484b-455f-44b0-9d6a-da3ad2071365}Gw.sys C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw.sys Unlock: C:\Users\sebek\AppData\Local\Microsoft\Windows\Explorer\ThumbCacheToDelete C:\Users\sebek\AppData\Local\Microsoft\Windows\Explorer\ThumbCacheToDelete Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj program Acunetix Web Vulnerability Scanner 8.0 oraz adware VO Package. 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt, C:\ComboFix.txt oraz logi z folderu C:\AdwCleaner. Wypowiedz się czy są jakieś zmiany (choć ja wątpię). .

Jest tu multum instalacji adware. A UAC owszem wyłączony: O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0 Do wdrożenia: 1. Otwórz Notatnik i wklej w nim: (Cherished Technololgy LIMITED) C:\ProgramData\WPM\wprotectmanager.exe () C:\Program Files (x86)\BatBrowse\bin\utilBatBrowse.exe S2 Update BatBrowse; C:\Program Files (x86)\BatBrowse\updateBatBrowse.exe [317728 2014-05-13] () R2 Util BatBrowse; C:\Program Files (x86)\BatBrowse\bin\utilBatBrowse.exe [317728 2014-05-09] () R2 Wpm; C:\ProgramData\WPM\wprotectmanager.exe [493568 2014-01-24] (Cherished Technololgy LIMITED) S2 BrowserDefendert; C:\ProgramData\BrowserDefender\2.6.1562.220\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.exe [X] S2 WsysSvc; C:\ProgramData\eSafe\eGdpSvc.exe [X] R1 wStLib64; C:\Windows\System32\drivers\wStLib64.sys [61112 2014-03-18] (StdLib) S3 ipswuio; System32\DRIVERS\ipswuio.sys [X] U3 tmlwf; U3 tmwfp; Task: {0CB5D686-536C-4930-A6BF-0D11CBD728F0} - System32\Tasks\AmiUpdXp => C:\Users\agrawa\AppData\Local\SwvUpdater\Updater.exe [2014-01-24] (Amonetizé Ltd) Task: {774FD7F6-DD21-459A-B726-5BE02399FCAE} - System32\Tasks\GS-Enabler-S-993492499 => c:\programdata\house of soft\gs-enabler\GS-Enabler.exe Task: C:\Windows\Tasks\AmiUpdXp.job => C:\Users\agrawa\AppData\Local\SwvUpdater\Updater.exe Task: C:\Windows\Tasks\GS-Enabler-S-993492499.job => c:\programdata\house of soft\gs-enabler\GS-Enabler.exe HKLM-x32\...\Run: [tuto4pc_pl_16] => [X] HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKU\S-1-5-21-451162146-2078016651-3158051376-1000\...\Run: [LiveSupport] => "C:\Program Files (x86)\LiveSupport\LiveSupport.exe" /noshow /log AppInit_DLLs: C:\PROGRA~2\GS-ENA~1\ASSIST~2.DLL => C:\Program Files (x86)\GS-Enabler\Assistant_x64.dll [4229120 2014-01-24] () AppInit_DLLs-x32: c:\progra~3\browse~1\261562~1.220\{c16c1~1\browse~1.dll => "c:\progra~3\browse~1\261562~1.220\{c16c1~1\browse~1.dll" File Not Found AppInit_DLLs-x32: c:\users\agrawa\appdata\local\dprotect\ebp.dll => "c:\users\agrawa\appdata\local\dprotect\ebp.dll" File Not Found AppInit_DLLs-x32: ,c:\users\agrawa\appdata\local\dprotect\ebpsd.dll => "c:\users\agrawa\appdata\local\dprotect\ebpsd.dll" File Not Found ShortcutWithArgument: C:\Users\agrawa\Desktop\skroty\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=tt4&utm_campaign=eXQ&utm_content=sc&from=tt4&uid=ST9500325AS_6VE632G1XXXX6VE632G1&ts=1387983439 ShortcutWithArgument: C:\Users\agrawa\Desktop\skroty\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=tt4&utm_campaign=eXQ&utm_content=sc&from=tt4&uid=ST9500325AS_6VE632G1XXXX6VE632G1&ts=1387983439 ShortcutWithArgument: C:\Users\agrawa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.awesomehp.com/?type=sc&ts=1390584799&from=amt&uid=ST9500325AS_6VE632G1XXXX6VE632G1 ShortcutWithArgument: C:\Users\agrawa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.awesomehp.com/?type=sc&ts=1390584799&from=amt&uid=ST9500325AS_6VE632G1XXXX6VE632G1 ShortcutWithArgument: C:\Users\agrawa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.awesomehp.com/?type=sc&ts=1390584799&from=amt&uid=ST9500325AS_6VE632G1XXXX6VE632G1 ShortcutWithArgument: C:\Users\agrawa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.awesomehp.com/?type=sc&ts=1390584799&from=amt&uid=ST9500325AS_6VE632G1XXXX6VE632G1 ShortcutWithArgument: C:\Users\agrawa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.awesomehp.com/?type=sc&ts=1390584799&from=amt&uid=ST9500325AS_6VE632G1XXXX6VE632G1 ShortcutWithArgument: C:\Users\agrawa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.awesomehp.com/?type=sc&ts=1390584799&from=amt&uid=ST9500325AS_6VE632G1XXXX6VE632G1 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.awesomehp.com/?type=sc&ts=1390584799&from=amt&uid=ST9500325AS_6VE632G1XXXX6VE632G1 HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.toolksearchbook.info/?pid=1917&r=2014/01/24&hid=6931636282687209828&lg=EN&cc=PL&unqvl=46 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.awesomehp.com/?type=hp&ts=1390584799&from=amt&uid=ST9500325AS_6VE632G1XXXX6VE632G1 HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://isearch.babylon.com/?babsrc=HP_ss_btis2&mntrId=843D00A0C6000000&affID=121828&tsp=4995 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1390584799&from=amt&uid=ST9500325AS_6VE632G1XXXX6VE632G1&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.awesomehp.com/?type=hp&ts=1390584799&from=amt&uid=ST9500325AS_6VE632G1XXXX6VE632G1 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.awesomehp.com/?type=hp&ts=1390584799&from=amt&uid=ST9500325AS_6VE632G1XXXX6VE632G1 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1390584799&from=amt&uid=ST9500325AS_6VE632G1XXXX6VE632G1&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1390584799&from=amt&uid=ST9500325AS_6VE632G1XXXX6VE632G1&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.awesomehp.com/?type=hp&ts=1390584799&from=amt&uid=ST9500325AS_6VE632G1XXXX6VE632G1 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://websearch.toolksearchbook.info/?pid=1917&r=2014/01/24&hid=6931636282687209828&lg=EN&cc=PL&unqvl=46 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1390584799&from=amt&uid=ST9500325AS_6VE632G1XXXX6VE632G1&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - c:\program files\internet explorer\iexplore.exe http://www.awesomehp.com/?type=sc&ts=1390584799&from=amt&uid=ST9500325AS_6VE632G1XXXX6VE632G1 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1390584799&from=amt&uid=ST9500325AS_6VE632G1XXXX6VE632G1&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1390584799&from=amt&uid=ST9500325AS_6VE632G1XXXX6VE632G1&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.toolksearchbook.info/?l=1&q={searchTerms}&pid=1917&r=2014/01/24&hid=6931636282687209828&lg=EN&cc=PL&unqvl=46 SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1390584799&from=amt&uid=ST9500325AS_6VE632G1XXXX6VE632G1&q={searchTerms} SearchScopes: HKLM-x32 - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.toolksearchbook.info/?l=1&q={searchTerms}&pid=1917&r=2014/01/24&hid=6931636282687209828&lg=EN&cc=PL&unqvl=46 SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1390584799&from=amt&uid=ST9500325AS_6VE632G1XXXX6VE632G1&q={searchTerms} SearchScopes: HKCU - URL http://isearch.babylon.com/?q={searchTerms}&babsrc=SP_ss_btis2&mntrId=843D00A0C6000000&affID=121828&tsp=4995 SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1390584799&from=amt&uid=ST9500325AS_6VE632G1XXXX6VE632G1&q={searchTerms} SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKCU - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.toolksearchbook.info/?l=1&q={searchTerms}&pid=1917&r=2014/01/24&hid=6931636282687209828&lg=EN&cc=PL&unqvl=46 BHO: greaitsaveer - {12885D0A-1982-AE82-A287-5D97C7A0BD21} - C:\Program Files (x86)\greaitsaveer\Q8opNfBn.x64.dll () BHO: SNT - {275F5ABD-620F-F473-BC3D-D2EADA166104} - C:\Program Files (x86)\SNT\tTyXdyhv.x64.dll () BHO: YoutubeAdblocker - {34AE7789-06C2-25A0-CD62-747E38DE2CC0} - C:\Program Files (x86)\YoutubeAdblocker\ljCdZWtjl.x64.dll () BHO: SNT - {753278AB-E8F5-1C90-9873-FB03975BBBDF} - C:\Program Files (x86)\SNT\KESJRup.x64.dll () BHO: greaTsaVVer - {AAAA7408-36A2-8C35-AFE1-B887370F86AF} - C:\Program Files (x86)\greaTsaVVer\0VBOWh.x64.dll () BHO-x32: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files (x86)\SupTab\SupTab.dll (Thinknice Co. Limited) FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\awesomehp.xml FF HKLM-x32\...\Firefox\Extensions: [lightningnewtab@gmail.com] - C:\Users\agrawa\AppData\Roaming\Mozilla\Firefox\Profiles\ka8uy78n.default-1388216266354\extensions\lightningnewtab@gmail.com.xpi FF HKLM-x32\...\Firefox\Extensions: [ext@MediaPlayerV1alpha6312.net] - C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha6312\ff FF HKLM-x32\...\Firefox\Extensions: [ext@MediaViewerV1alpha1487.net] - C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha1487\ff FF HKLM-x32\...\Firefox\Extensions: [ext@MediaViewV1alpha3675.net] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha3675\ff FF HKLM-x32\...\Firefox\Extensions: [ext@MediaViewV1alpha3044.net] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha3044\ff FF HKLM-x32\...\Firefox\Extensions: [ext@MediaWatchV1home812.net] - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home812\ff FF HKLM-x32\...\Firefox\Extensions: [ext@MediaBuzzV1mode1789.net] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode1789\ff FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird FF HKCU\...\Firefox\Extensions: [eran@whoislive.com] - C:\Users\agrawa\AppData\Local\Temp\whoislive.xpi CHR HKLM-x32\...\Chrome\Extension: [caonpmpelmcofdfdfbbeakchijokfcla] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha3044\ch\MediaViewV1alpha3044.crx [2014-02-27] CHR HKLM-x32\...\Chrome\Extension: [ccncljhbalbbkkfgopogabimepmfkmff] - C:\Program Files (x86)\BatBrowse\ccncljhbalbbkkfgopogabimepmfkmff.crx [2014-02-27] CHR HKLM-x32\...\Chrome\Extension: [cfdkkghemjaackpnodiacedfadojaboh] - C:\Users\agrawa\AppData\Local\Temp\whoislive.crx [2014-03-08] CHR HKLM-x32\...\Chrome\Extension: [gkjgahjefnklbmfipfdedkgnacknomeg] - C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha1487\ch\MediaViewerV1alpha1487.crx [2014-02-23] CHR HKLM-x32\...\Chrome\Extension: [lglenfadobliaeejkpfkpdgkhjjcikoe] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha3675\ch\MediaViewV1alpha3675.crx [2014-02-27] CHR HKLM-x32\...\Chrome\Extension: [mckopchneaecndnjkhiaepfacghpfoek] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode1789\ch\MediaBuzzV1mode1789.crx [2014-04-23] CHR HKLM-x32\...\Chrome\Extension: [okoacgcofjacbllebfkmmbaeochckcaa] - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home812\ch\MediaWatchV1home812.crx [2014-03-20] CHR HKLM-x32\...\Chrome\Extension: [pbpjplgmaeigbnpadeajipebdlihpcfn] - C:\Program Files (x86)\BatBrowse\pbpjplgmaeigbnpadeajipebdlihpcfn.crx [2014-03-20] CHR HKLM-x32\...\Chrome\Extension: [pkndmigholgfjlniaohblojbhgjbkakn] - C:\Users\agrawa\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv2.crx [2014-01-24] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKCU\SOFTWARE\Policies\Google: Policy restriction Google Update Helper (x32 Version: 1.3.23.0 - BonanzaDeals) Hidden AlternateDataStreams: C:\Windows:42F828527794813F AlternateDataStreams: C:\ProgramData\TEMP:373E1720 C:\Program Files (x86)\Mobogenie C:\ProgramData\DSearchLink C:\Users\agrawa\AppData\Local\Mobogenie C:\Users\agrawa\AppData\Roaming\Babylon C:\Users\agrawa\AppData\Roaming\Dealply C:\Users\agrawa\AppData\Roaming\deluge C:\Users\agrawa\AppData\Roaming\eCyber C:\Users\agrawa\AppData\Roaming\ESET C:\Users\agrawa\AppData\Roaming\EZDownloader C:\Users\agrawa\AppData\Roaming\iSafe C:\Users\agrawa\AppData\Roaming\MetaCrawler C:\Users\agrawa\AppData\Roaming\newnext.me C:\Users\agrawa\AppData\Roaming\OpenCandy C:\Users\agrawa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\agrawa\Desktop\skroty\Continue Image Editor Installation.lnk C:\Users\agrawa\Desktop\skroty\Mobogenie.lnk C:\Users\agrawa\Desktop\skroty\Search.lnk C:\Users\agrawa\Desktop\skroty\YAC.lnk C:\Users\agrawa\Desktop\skroty\Trend Micro Internet Security.lnk C:\Windows\System32\drivers\wStLib64.sys Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System /v EnableLUA /t REG_DWORD /d 0x1 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\lollipop" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Folder: C:\Users\agrawa\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\agrawa\AppData\Roaming\Opera Software\Opera Stable\Preferences" Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware: BaliockTheAdAApip, BatBrowse 1.0.0, BieistiSaveaForrYeoUU, Codec Pack Packages, Codec Package Packages, Google Update Helper (od adware BonanzaDeals), greaitsaveer, GS-Enabler, GS-Supporter 1.80, Media Buzz, Media Player, Media View (2 pozycje), Media Viewer, Media Watch, Mozilla Firefox Packages, SNT, Software Version Updater, SupTab, Update for Codec Pack, Update for Codec Package, Whoislive, WPM17.8.0.3325, YoutubeAdblocker. 3. Wyczyść Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj BieistiSaveaForrYeoUU, Media Buzz, Media View (2 pozycje), Media Viewer, Media Watch, Quick Start, Whoislive (o ile nadal będą po w/w deinstalacjach) Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy websearch i inne niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Uruchom TFC - Temp Cleaner. 7. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt i log z AdwCleaner. .

Zabrakło pliku FRST Shortcut. Jedyne co tu widzę, to adware "Premium Codec" w Firefox. Wdróż następujące działania: 1. Wyczyść Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 2. Inne drobne poprawki na odpadki. Otwórz Notatnik i wklej w nim: Task: {0134988F-A444-4862-A13F-331E5459455F} - \BonanzaDealsLiveUpdateTaskMachineUA No Task File Task: {926C2FD2-40F1-4E79-91F6-0A4DB873057B} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe Task: {D5DE39A3-3A99-4608-8939-76B42EF1F9C7} - \BonanzaDealsLiveUpdateTaskMachineCore No Task File S2 SpyHunter 4 Service; C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE [X] S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2012-06-22] () S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] C:\Windows\System32\DRIVERS\EsgScanner.sys C:\ProgramData\Kaspersky Lab C:\Users\Damian\AppData\Local\Google Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: sc config "PLAY ONLINE. RunOuc" start= demand Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware BonanzaDeals) > Dalej. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). .

Żadnych widzialnych oznak przekierowań, a z rosyjskich akcentów jest widoczne tylko rozszerzenie Dolka.ru w Google Chrome - czy to celowa instalacja? Czy dobrze podejrzewam, że problem jest w przeglądarce Opera? Ta przeglądarka nie jest skanowania przez żadne z używanych tu narzędzi logów. Zgłaszałam propozycję tego skanu w FRST, ale wprowadzenie tego wymaga czasu i niestety na teraz są tylko chałupnicze metody weryfikacji preferencji Opera. Jeśli to chodzi o Operę, poproszę o dodatkowe dane. Otwórz Notatnik i wklej w nim: Folder: C:\Users\Marek\AppData\Roaming\Opera Folder: C:\Users\Marek\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Marek\AppData\Roaming\Opera Software\Opera Stable\Preferences" Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy plik fixlog.txt. 1. Odinstaluj Exterminate It!. 2. Odinstaluj ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\Marek\Desktop\ComboFix.exe /uninstall .

Zulko Tu jest inna sytuacja - przecież on ma zablokowany Windows. Log jest zrobiony z poziomu środowiska zewnętrznego WinRE. FRST w takim środowisku działa inaczej i tworzy tylko jeden log. GMER w ogóle nie działa w WinRE, a OTL tylko z płyty OTLPE (i w tym przypadku można go sobie darować, bo OTL na tej płycie to straszny archaizm). Ragdor No tak, ale w jakim trybie Windows go próbowałeś uruchomić? Jeśli z "zewnątrz" to zapomnij o tym, ComboFix działa tylko spod Windows. A jeśli spod Windows, to równie dobrze infekcja go mogła zablokować. I ComboFix tu w ogóle nie jest potrzebny. System ma zablokowane wszystkie tryby, gdyż działa tu wariant infekcji modyfikujący usługę Instrumentacji Windows (Winmgmt). Ponadto, są i ślady zainstalowanego adware nabytego przez "downloadery" typu "Softonic": KLIK, ale kompleksowym usuwaniem adware się zajmiemy, gdy już pomyślnie do Windows się zalogujesz, gdyż logi pobrane spod Windows są znacznie bogatsze. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: HKU\MODEL\...\Policies\Explorer: [] Startup: C:\Users\MODEL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk S2 Update webget; C:\Program Files (x86)\webget\updatewebget.exe [317720 2014-05-25] () S2 Util webget; C:\Program Files (x86)\webget\bin\utilwebget.exe [317720 2014-05-27] () S2 Winmgmt; C:\ProgramData\D7545E79C617DF181983FA1D0BF757BD\8zrjmqlsod.dot [332024 2014-05-25] (Microsoft Corporation) S1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys [61112 2014-05-12] (StdLib) C:\ProgramData\RUNDLL32.EXE-*.txt C:\ProgramData\D7545E79C617DF181983FA1D0BF757BD C:\ProgramData\systemk C:\Program Files (x86)\Settings Manager C:\Users\MODEL\AppData\Local\cache C:\Users\MODEL\AppData\Local\Temp\*.exe C:\Users\MODEL\Downloads\SoftonicDownloader_dla_winamp-beta.exe C:\Users\MODEL\Downloads\Winamp(12928).exe C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. System zostanie odblokowany, zaloguj się w Trybie normalnym. Zrób nowy log FRST z opcji Scan, mają powstać trzy logi (pola Addition i Shortcut zaznaczone). Dołącz też plik fixlog.txt. .

Th0rNax, ta infekcja modyfikuje skróty LNK przeglądarek. Został już wskazany link do obowiązujących tu raportów. Bez raportów nie da się pracować "na oko". PS. delta-homes.com to co innego niż Delta Search (delta-search.com). .

Na temat używania ComboFix: KLIK. I przesadziłeś mocno, program był uruchamiany wielokrotnie: Czas ukończenia: 2014-05-24 05:26:13 ComboFix-quarantined-files.txt 2014-05-24 03:26 ComboFix2.txt 2014-05-22 09:03 ComboFix3.txt 2014-05-22 08:26 ComboFix4.txt 2014-05-22 07:07 ComboFix5.txt 2014-05-24 03:07 Zestaw obowiązkowych tu logów nadal niekompletny, brak pliku FRST Shortcut oraz GMER. Dla świętego spokoju dostarcz ten GMER. W już podanych raportach nie ma oznak infekcji. Temat zapewne przeniosę do działu Windows. Zacznij od sprawdzenia wpływu ESET Smart Security (z 2012), którego część usług jest zresztą w stanie wyłączonym. Wiarygodny test: tymczasowa deinstalacja). Od razu odinstaluj też McAfee Security Scan Plus - to zbędnik, przypuszczalnie zainstalowany przez nieuwagę jako sponsor Adobe: KLIK. PS. Drobna kosmetyka głównie wpisów odpadkowych, nie ma żadnego związku z problemem i nie polepszy stanu systemu. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [] => [X] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction FF SearchEngineOrder.1: Ask.com Search FF NetworkProxy: "type", 0 FF SearchPlugin: C:\Users\TEST\AppData\Roaming\Mozilla\Firefox\Profiles\kp38ngeg.default\searchplugins\askcom.xml FF SearchPlugin: C:\Users\TEST\AppData\Roaming\Mozilla\Firefox\Profiles\kp38ngeg.default\searchplugins\askcomsearch.xml FF HKLM\...\Firefox\Extensions: [{C1CA7765-44E4-452e-9D00-A04F3D434281}] - FF HKLM-x32\...\Firefox\Extensions: [{C1CA7765-44E4-452e-9D00-A04F3D434281}] - FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files\T-Mobile\InternetManager_H\OCx64\addon StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {887563D7-8775-4D42-87BD-ABB96E35BA3D} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=YYYYYYYYPL&apn_uid=1F5DC5A9-C89C-4FBF-A84E-F17B0C62E59C&apn_sauid=37954127-E1B4-414F-BC79-23670E447E81 SearchScopes: HKCU - {D66EE8CE-80A5-4A2F-B5CC-7A89B495D91E} URL = DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab S3 BlueletAudio; system32\DRIVERS\blueletaudio.sys [X] S3 BlueletSCOAudio; system32\DRIVERS\BlueletSCOAudio.sys [X] S3 BT; system32\DRIVERS\btnetdrv.sys [X] S3 BTHidEnum; system32\DRIVERS\vbtenum.sys [X] S4 BTHidMgr; System32\Drivers\BTHidMgr.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 VComm; system32\DRIVERS\VComm.sys [X] S3 VcommMgr; System32\Drivers\VcommMgr.sys [X] CMD: sc config "Mobilny Internet. RunOuc" start= demand Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Usuwanie infekcji sweet-page przeprowadziłeś niedokładnie, nadal w procesach aktywny obiekt tej infekcji (PluginService.exe) oraz zmodyfikowane ustawienia. Od razu będę adresować też wpisy puste po odinstalowanych programach. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: (Cherished Technololgy LIMITED) C:\Documents and Settings\All Users\Dane aplikacji\IePluginServices\PluginService.exe R2 IePluginServices; C:\Documents and Settings\All Users\Dane aplikacji\IePluginServices\PluginService.exe [704112 2014-05-08] (Cherished Technololgy LIMITED) S2 mi-raysat_3dsmax2012_32; "C:\Program Files\Autodesk\3ds Max Design 2012\mentalimages\satellite\raysat_3dsmax2012_32server.exe" [X] S3 NBService; C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe [X] S3 NMIndexingService; "C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe" [X] S2 Update webget; "C:\Program Files\webget\updatewebget.exe" [X] S2 Util webget; "C:\Program Files\webget\bin\utilwebget.exe" [X] S3 dmyymtgf; No ImagePath S4 IntelIde; No ImagePath S3 ZDCndis5; \??\C:\WINDOWS\system32\ZDCndis5.SYS [X] S3 ZDPSp50; System32\Drivers\ZDPSp50.sys [X] NETSVC: SSHNAS -> No Registry Path. HKLM\...\Run: [] => [X] HKU\S-1-5-21-602162358-1409082233-1417001333-1008\...\Run: [ABBYY Screenshot Reader Bonus] => [X] AppInit_DLLs: C:\PROGRA~1\SupTab\SEARCH~1.DLL => C:\PROGRA~1\SupTab\SEARCH~1.DLL File Not Found Startup: C:\Documents and Settings\WIN\Menu Start\Programy\Autostart\OpenOffice.ux.pl 2.0.2.lnk Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe Google Update Helper (Version: 1.3.24.7 - Google Inc.) Hidden ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.sweet-page.com/?type=scpp&ts=1400516250&from=cor&uid=SAMSUNGXHD502HI_S1VZJ9CS708421 ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox 3.6 Beta 5\Mozilla Firefox 3.6 Beta 5 (Tryb awaryjny).lnk -> C:\Program Files\Mozilla Firefox 3.6 Beta 5\firefox.exe (Mozilla Corporation) -> hxxp://www.sweet-page.com/?type=scpp&ts=1400516250&from=cor&uid=SAMSUNGXHD502HI_S1VZJ9CS708421 ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox 3.6 Beta 5\Mozilla Firefox 3.6 Beta 5.lnk -> C:\Program Files\Mozilla Firefox 3.6 Beta 5\firefox.exe (Mozilla Corporation) -> hxxp://www.sweet-page.com/?type=scpp&ts=1400516250&from=cor&uid=SAMSUNGXHD502HI_S1VZJ9CS708421 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1400516197&from=cor&uid=SAMSUNGXHD502HI_S1VZJ9CS708421&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1400516197&from=cor&uid=SAMSUNGXHD502HI_S1VZJ9CS708421&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=scpp&ts=1400516250&from=cor&uid=SAMSUNGXHD502HI_S1VZJ9CS708421 SearchScopes: HKCU - {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo BHO: No Name - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No File Toolbar: HKLM - No Name - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ C:\Documents and Settings\All Users\Dane aplikacji\boost_interprocess C:\Documents and Settings\All Users\Dane aplikacji\BurrowsEE2siave C:\Documents and Settings\All Users\Dane aplikacji\IePluginServices C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\WPM C:\Documents and Settings\eo07\Dane aplikacji\facemoods.com C:\Documents and Settings\eo07\Dane aplikacji\NCdownloader C:\Documents and Settings\eo07\Dane aplikacji\OpenCandy C:\Documents and Settings\eo07\Dane aplikacji\sweet-page C:\Documents and Settings\eo07\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\systemowe\Dane aplikacji\facemoods.com C:\Documents and Settings\systemowe\Dane aplikacji\PriceGong C:\Program Files\mozilla firefox\plugins C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia będą do reinstalacji. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Odinstaluj te stare programy: ==================== Installed Programs ====================== Adobe Reader X (10.1.9) - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-AA1000000001}) (Version: 10.1.9 - Adobe Systems Incorporated) Adobe Shockwave Player 12.1 (HKLM\...\Adobe Shockwave Player) (Version: 12.1.1.151 - Adobe Systems, Inc.) Google Update Helper (Version: 1.3.24.7 - Google Inc.) Hidden Java 2 Runtime Environment, SE v1.4.0_03 (HKLM\...\{AC1E4C93-C1E7-11D6-9D10-00010240CE95}) (Version: - ) Java™ 6 Update 31 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216031FF}) (Version: 6.0.310 - Oracle) Mozilla Firefox (3.6.24) (HKLM\...\Mozilla Firefox (3.6.24)) (Version: 3.6.24 (pl) - Mozilla) 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

Formaty audio i video są OK, więc to możesz sobie zabezpieczyć przed sformatowaniem dysków C + D. Ale zagrożeniem są wszelkie pliki wykonywalne (EXE, DLL, SCR, SYS), dokumenty (DOC, DOCX, XLS) i pliki HTML. Zalecam tu format, gdyż walka z infekcją w wykonywalnych to walka z wiatrakami. Bardzo trudno ją zatrzymać, a nawet jeśli to dojdzie do skutku szkody mogą być zbyt duże (uszkodzone pliki systemu i programów). Naprawy mogą być nieopłacalne. .

Posty sklejam, nadwyżkę zbędnych logów usuwam (mogłeś to zresztą samodzielnie skorygować). Te detekcje Avast na pliku Samsung wyglądają na fałszywe alarmy. Fixlog wykonany OK. Możesz przejść dalej. .

Proszę używaj opcję Edytuj, gdy nikt jeszcze nie odpisał, zamiast tworzyć post pod postem. Posty skleiłam. I jest tu problem z dyskiem: 4 KB w uszkodzonych sektorach. Zostaniesz przekierowany na sprzętową diagnostykę dysku twardego, bo może jest tu poważniejszy problem. Ale zanim do tego dojdzie proszę jeszcze o nowy log z FRST (bez Addition i Shortcut), który ma obrazować czy nadal podwójne katalogi są wykrywane na dysku i jak wygląda wartość BootExecute (ekzekwuje planowany checkdisk). .

Podejrzenia się potwierdziły. Folder Downloads został przelokowany w nieodpowiednie miejsce: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders {374DE290-123F-4565-9164-39C4925E467B} REG_EXPAND_SZ %USERPROFILE%\Contacts\Downloads Ponadto, brakuje też wielu innych wpisów. Korekta: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders] "{1B3EA5DC-B587-4786-B4EF-BD1DC332AEAE}"="C:\\Users\\rzepek\\AppData\\Roaming\\Microsoft\\Windows\\Libraries" "{56784854-C6CB-462B-8169-88E350ACB882}"="C:\\Users\\rzepek\\Contacts" "{7D1D3A04-DEBB-4115-95CF-2F29DA2920DA}"="C:\\Users\\rzepek\\Searches" "{374DE290-123F-4565-9164-39C4925E467B}"="C:\\Users\\rzepek\\Downloads" "{A520A1A4-1780-4FF6-BD18-167343C5AF16}"="C:\\Users\\rzepek\\AppData\\LocalLow" "{BFB9D5E0-C6A9-404C-B2B2-AE6DB6AF4968}"="C:\\Users\\rzepek\\Links" "{4C5C32FF-BB9D-43B0-B5B4-2D72E54EAAA4}"="C:\\Users\\rzepek\\Saved Games" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders] "{374DE290-123F-4565-9164-39C4925E467B}"=hex(2):25,00,55,00,53,00,45,00,52,00,\ 50,00,52,00,4f,00,46,00,49,00,4c,00,45,00,25,00,5c,00,44,00,6f,00,77,00,6e,\ 00,6c,00,6f,00,61,00,64,00,73,00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Zresetuj system i wykonaj ponownie Fix z poprzedniego posta podając wynikowy fixlog.txt. .

OK, fixlog potwierdza usunięcie. Przejdź do dalszych czynności.

Tu nie pomogą żadne programy instalowane po stronie systemu, gdyż jest to infekcja routera: Wnioski: albo pozorowany reset, albo po resecie infekcja znów zaatakowała router. W raporcie FRST są znaki tej infekcji, adres 23.253.94.129 to przyczyna problemu. Tcpip\Parameters: [DhcpNameServer] 23.253.94.129 8.8.8.8 Tu nie ma innego rozwiązania niż reset ustawień routera: zmiana loginu na niestandardowy oraz ustawień DNS. .

zagladacz, przecież mówiłam: po to jest klawisz ESC użyty w tym momencie, gdy ekran "kółeczka" go pokaże na samym początku.

Ponownie zresetuj komputer.

Windows powinien się uruchomić, tzn. przejść z ekranu checkdiska do ładowania kolejnych ekranów. To się nie dzieje?

Chodzi o trwardy reset. Jeśli skan jest w toku, nie ma możliwości użycia ESC. ESC jest możliwe tylko na samym początku zanim skan się zacznie, na ekranie skanu jest informacja o tym, jeśli nie zdążysz użyć ESC skan się rozpoczyna i nie można się już wycofać w ten sposób. .

Skoro przespałeś rozpoczęcie trzeciej rundy, to przerwij skan resetując komputer. I jak mówiłam: jeśli po raz kolejny chkdsk będzie chciał się wykonać, to zaraz na początku, gdy skanowanie ma się rozpocząć, jest propozycja anulowania przez ESC. A trwałym usunięciem pętli zajmę się potem, gdy już dostaniesz się do Windows i podasz statystyki z Dziennika. Tylko jedna uwaga: skan startował już trzy razy, więc będą aż trzy korespondujące nagrania w Dzienniku. Przeklej wszystkie do wglądu. .