picasso

mw1900, prozeę dostosuj się do zasad działu, dostarczony zestaw logów obowiązkowych jest niekompletny. Brak pliku OTL Extras, brak raportów z FRST i GMER. .

Posty sklejam. Zostawiam tylko log FRST zrobiony z poziomu płyty Hirens, reszta później zrobionych logów w większości niepoprawna (kompletnie puste pliki FRST i OTL). Jest tu problem z wejściem w obojętny tryb Windows, gdyż infekcja przekonfigurowała usługę Instrumentacji Windows (Winmgmt). To nie jedyna infekcja w systemie, jest i adware, ale to doczyścimy dokładniej potem spod Windows, gdyż raport FRST spod Hirens jest bardzo okrojony. 1. Przygotuj w Notatniku plik o zawartości: S2 APNMCP; C:\Program Files\AskPartnerNetwork\Toolbar\apnmcp.exe [166352 2014-03-18] (APN LLC.) S2 FromDocToPDF_65Service; C:\Program Files\FromDocToPDF_65\bar\1.bin\65barsvc.exe [42504 2013-06-08] (COMPANYVERS_NAME) S2 IBUpdaterService; C:\Windows\system32\dmwu.exe [1863984 2014-04-07] () S2 Update LinkSwift; C:\Program Files\LinkSwift\updateLinkSwift.exe [317728 2014-05-17] () S2 Util LinkSwift; C:\Program Files\LinkSwift\bin\utilLinkSwift.exe [317728 2014-05-19] () S2 winmgmt; C:\Documents and Settings\All Users\Dane aplikacji\2992199F9A\0ve1t79.cpp [164864 2014-05-18] () C:\Documents and Settings\All Users\Dane aplikacji\2992199F9A S4 Browser Manager; C:\Documents and Settings\All Users\Dane aplikacji\Browser Manager\2.3.796.11\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.exe [X] S1 {25d71abf-7776-46f5-a269-9951331f9030}t; C:\Windows\System32\drivers\{25d71abf-7776-46f5-a269-9951331f9030}t.sys [55224 2014-04-24] (StdLib) C:\Windows\System32\drivers\{25d71abf-7776-46f5-a269-9951331f9030}t.sys S3 ADDMEM; \??\C:\DOCUME~1\Daniel\USTAWI~1\Temp\__Samsung_Update\ADDMEM.SYS [X] HKLM\...\Run: [sweetIM] => C:\Program Files\SweetIM\Messenger\SweetIM.exe [115032 2012-10-04] (SweetIM Technologies Ltd.) HKLM\...\Run: [sweetpacks Communicator] => C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe [231768 2012-08-15] (SweetIM Technologies Ltd.) HKLM\...\Run: [ApnTBMon] => C:\Program Files\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe [1801168 2014-03-18] (APN) HKLM\...\Run: [FromDocToPDF Search Scope Monitor] => C:\Program Files\FromDocToPDF_65\bar\1.bin\65SrchMn.exe [44784 2013-06-08] (MindSpark) HKLM\...\Run: [FromDocToPDF_65 Browser Plugin Loader] => C:\Program Files\FromDocToPDF_65\bar\1.bin\65brmon.exe [30096 2013-06-08] (VER_COMPANY_NAME) AppInit_DLLs: c:\docume~1\alluse~1\daneap~1\browse~1\23796~1.11\{16cdf~1\browse~1.dll => c:\docume~1\alluse~1\daneap~1\browse~1\23796~1.11\{16cdf~1\browse~1.dll File Not Found Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Akcję wykonujesz za pomocą FRST uruchomionego z poziomu płyty Hirens (a nie spod Windows). Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. System zostanie odblokowany. Wchodzisz do Windows i robisz obowiązkowe tu logi FRST, OTL i GMER. Dołącz także plik fixlog.txt pozyskany w pnkcie 1. .

Posty sklejam do oczekiwanej tu początkowo formy. Jeśli chodzi o problem zasadniczy, w systemie jest multum instalacji adware. Zacznij od poprawnych deinstalacji, poprawki wdrożmy po deinstalacjach: 1. Przez Dodaj/Usuń programy odinstaluj adware albrechto, coupon downloader, CouponDownloader, FindWide.com, fst_pl_117, Installer, Linkey, Media Watch, PC Performer, Settings Manager, Software Version Updater, Video Player, WPM17.8.0.3442 oraz zbędniki (prawdopodobnie także instalacje sponsorowane) AVG Security Toolbar, McAfee Security Scan Plus. 2. Zrób nowe logi FRST z opcji Scan, pole Addition ma być ponownie zaznaczone, by pozyskać ten log, ale Shortcut zbędny. .

System jest zainfekowany, w starcie uruchamia się szkodliwy skrypt VBS, stąd problem z działaniem Centrum. Prawdopodobnie usługa Centrum została wyłączona przez infekcję i jest więcej zdefektowanych usług z puli związanej z zabezpieczeniami (piję do Zapory). Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: (AutoIt Team) C:\Users\Basia\bjpky\DpdPfatgZ.exe HKU\S-1-5-21-2568246086-2447926606-4193830083-1002\...\RunOnce: [bjpky] - C:\Users\Basia\bjpky\14122.vbs [184 2014-02-06] () Startup: C:\Users\Basia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\start.lnk StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKCU - DefaultScope {51BCC7B1-3642-4753-9589-1AB5C0C58671} URL = SearchScopes: HKCU - {51BCC7B1-3642-4753-9589-1AB5C0C58671} URL = FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files\T-Mobile\InternetManager_H\OCx64\addon BHO-x32: WebConnect - {a860a8fe-ae61-4d7a-8836-4b748a5faff6} - C:\Program Files (x86)\WebConnect\WebConnectBHO.dll No File S2 Util WebConnect; "C:\Program Files (x86)\WebConnect\bin\utilWebConnect.exe" [X] S3 SBIOSIO; \??\C:\windiag\SBIOSIO64.SYS [X] C:\Users\Basia\bjpky C:\Users\Basia\AppData\Roaming\*.exe C:\Users\Basia\AppData\Roaming\*.tmp C:\Users\Basia\AppData\Roaming\dclogs C:\Users\Basia\AppData\Roaming\Ispida Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {51BCC7B1-3642-4753-9589-1AB5C0C58671} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {51BCC7B1-3642-4753-9589-1AB5C0C58671} /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Były tu też śmieci adware i w Firefox ostały się szczątki. Wyczyść konkretnie prezeglądarkę: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. .

Na temat używania ComboFix: KLIK. Program nie usuwał żadnych infekcji. Ogólnie infekcja "Komorowski" nie zostawiła żadnych śladów w raportach, wnioskuję więc, że to był ten wariant działający na poziomie cache przeglądarki. Tylko drobne działania kosmetyczne do wykonania: 1. Otwórz Notatnik i wklej w nim: StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe FF Plugin: adobe.com/AdobeAAMDetect - C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll No File S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 X6va017; \??\C:\Windows\SysWOW64\Drivers\X6va017 [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] 2014-04-27 11:53 - 2014-04-27 11:53 - 00000000 _____ () C:\end 2014-04-26 15:49 - 2014-04-26 15:49 - 00000020 _____ () C:\Windows\°ó˝ 2014-04-26 15:43 - 2014-04-26 15:43 - 00000020 _____ () C:\Windows\Hůą 2014-04-26 15:43 - 2014-04-26 15:43 - 00000020 _____ () C:\Windows\Hőa C:\Users\Piotrek\AppData\Roaming\3909 CMD: C:\Users\Piotrek\Downloads\ComboFix.exe /uninstall Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ostatnia z komend to deinstalacja ComboFix, więc czekaj cierpliwie, aż proces się ukończy. Przedstaw wynikowy fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Usuń używane narzędzia za pomocą DelFix. 4. Na dalszą metę zaktualizuj cały Windows, gdyż stan obecny to (brak SP1 i IE11): Platform: Windows 7 Home Premium (X64) OS Language: Polish Internet Explorer Version 8 To tyle. .

Wyniki z AdwCleaner są bez znaczenia: - Te dwa pliki wykryte w Tasks możliwe, że są kasowane pozornie z powodu braku uprawnień, ale to tylko nieczynne odpadki (nie są ładowane przez Harmonogram zadań). - Obecność prefs.js Firefox i Preferences Google Chrome w raporcie to nie jest detekcja zagrożenia, to są linie informacyjne jaki plik preferencji jest otwierany do skanu. Problem leży gdzie indziej, w aktywnych wpisach adware, których AdwCleaner w ogóle nie wykrywa. Wykonaj następujące działania: 1. Otwórz Notatnik i wklej w nim: (Cherished Technololgy LIMITED) C:\ProgramData\IePluginServices\PluginService.exe () C:\Program Files\CouponDownloader\CouponDownloaderService.exe (iWin Inc.) C:\Program Files\iWin Games\iWinTrusted.exe () C:\Program Files\004\rqpbhevlkc32.exe R2 CouponDownloaderService; c:\Program Files\CouponDownloader\CouponDownloaderService.exe [691200 2014-05-01] () R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [704112 2014-05-08] (Cherished Technololgy LIMITED) R2 iWinTrusted; C:\Program Files\iWin Games\iWinTrusted.exe [176408 2010-09-27] (iWin Inc.) R2 rqpbhevlkc32; C:\Program Files\004\rqpbhevlkc32.exe [543232 2014-05-14] () R1 netfilter; C:\Windows\System32\drivers\netfilter.sys [47488 2014-02-13] (NetFilterSDK.com) S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] U3 Winsock - Google Desktop Search Backup Before First Install; No ImagePath U3 Winsock - Google Desktop Search Backup Before Last Install; No ImagePath HKLM\...\Policies\Explorer: [NoCDBurning] 0 URLSearchHook: HKCU - (No Name) - {5c81f57f-3cf7-4785-b4ef-11ace31aec4f} - No File URLSearchHook: HKCU - (No Name) - {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No File URLSearchHook: HKCU - (No Name) - {ce0c2586-da36-452b-acdb-320d9bcb19bf} - No File SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKLM - {5D61CC5D-C7BF-454D-A732-892BE6AD7CE5} URL = http://startsear.ch/?aff=1&src=sp&cf=8efe0310-cffd-11e0-a58e-bdf56661fa09&q={searchTerms} SearchScopes: HKLM - {6E8A0749-83E2-41DC-A934-C9DF52471DA9} URL = http://startsear.ch/?aff=1&src=sp&cf=3d064c50-f466-11e1-852a-b389ef4b11d9&q={searchTerms} SearchScopes: HKCU - {5D61CC5D-C7BF-454D-A732-892BE6AD7CE5} URL = http://startsear.ch/?aff=1&src=sp&cf=8efe0310-cffd-11e0-a58e-bdf56661fa09&q={searchTerms} SearchScopes: HKCU - {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = http://search.certified-toolbar.com?si=44393&st=bs&tid=3786&ver=2.9&ts=1367921146474&tguid=44393-3786-1367921146474-D41D8CD98F00B204E9800998ECF8427E&q={searchTerms} SearchScopes: HKCU - {6E8A0749-83E2-41DC-A934-C9DF52471DA9} URL = http://startsear.ch/?aff=1&src=sp&cf=3d064c50-f466-11e1-852a-b389ef4b11d9&q={searchTerms} SearchScopes: HKCU - {A03F5EC1-6ADF-4402-A53B-48B000E8E745} URL = http://startsear.ch/?aff=1&q={searchTerms} SearchScopes: HKCU - {CC154F9B-3B46-43D1-8940-7AD5C58574F8} URL = http://startsear.ch/?aff=1&src=sp&cf=75b12e80-80cb-11e1-b1c4-a341d39482d8&q={searchTerms} Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKCU - No Name - {5C81F57F-3CF7-4785-B4EF-11ACE31AEC4F} - No File Toolbar: HKCU - No Name - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - No File Toolbar: HKCU - No Name - {CE0C2586-DA36-452B-ACDB-320D9BCB19BF} - No File CHR HKCU\SOFTWARE\Policies\Google: Policy restriction FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ Task: {6BAF7832-5EDA-4C1E-B5D0-6AFB80032C6E} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Task: {A6ADDBBC-5ACA-42AD-983D-6CB758301948} - System32\Tasks\{A9A9E79A-BE2E-4F71-88F1-2AAAD671F94C} => Firefox.exe http://ui.skype.com/ui/0/5.5.0.114/pl/abandoninstall?page=tsDownload&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:notoffered;userlevelpresent Task: {A89C0DBA-EE8F-4BF3-82FB-52D22646659E} - System32\Tasks\At1 => C:\Users\rzepek\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\Ad-Aware Update (Weekly).job => C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Task: C:\Windows\Tasks\At1.job => C:\Users\rzepek\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE AlternateDataStreams: C:\ProgramData\Temp:436DEE1E C:\Program Files\004 C:\Program Files\Coupon Downloader C:\Program Files\CouponDownloader C:\Program Files\iWin Games C:\ProgramData\IePluginServices C:\ProgramData\Spybot - Search & Destroy C:\Users\rzepek\AppData\Local\Temp*.html C:\Windows\System32\Tasks\Browser Updater C:\Windows\System32\Tasks\ProtectedSearch C:\Windows\System32\rp_rules.dat C:\Windows\System32\rp_stats.dat C:\Windows\system32\sqlite3.dll C:\Windows\System32\drivers\netfilter.sys C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wprawdzie logi nie wykazują szkodliwych obiektów w konfiguracji przeglądarek, ale skany są ograniczone. Na wszelki wypadek: - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. - W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Przeładuj też cache wtyczek: w pasku adresów wpisz chrome://plugins i ENTER, na liście wtyczek wybierz dowolną i kliknij Wyłącz, następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Wszystkie usługi zostały odbudowane pomyślnie. Przechodzimy do kolejnego etapu: 1. Usuń kwarantannę FRST. Otwórz Notatnik i wklj w nim: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Ręcznie usuń używane narzędzia. Następnie popraw narzędziem DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zrób pełne skanowanie za pomocą Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. .

Ten adres jest bardzo podejrzany i wygląda na jeden z owych fałszywych linków, których celem jest instalacja niepożądanego oprogramowania. U mnie jego uruchomienie powoduje przekierowania na takie oto adresy (za każdym razem inne i za każdym razem chce się pobierać inny podejrzany plik wyglądający na jakiś "downloader"): hxxp://megaupl0ad.org/archive/hitachi%20live%20viewer%203 (strona wygląda jak podrobiona Softpedia) hxxp://smart.yourfiledownloader.com/j5GNXnbRqlNv64FWfN2OFWf... W systemie nie ma widocznych oznak infekcji, nie wygląda na to by coś tu się zainstalowało, a jeśli nawet, to użyte Przywracanie systemu zlikwidowało ślady. Do czyszczenia jest adware oraz szczątki odinstalowanego McAfee. Akcja: 1. Ten krok wykonaj z poziomu Trybu awaryjnego Windows, gdyż COMODO może zablokować wykonanie operacji. Otwórz Notatnik i wklej w nim: SearchScopes: HKCU - DefaultScope {0388404D-6072-4CEB-B521-8F090FEAEE57} URL = http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120110&user_guid=AEB6BEEDFBD04E6C9C5AEC3B1FBFE33F&machine_id=fdf1244bc62c5092a23ea09bcc692257&browser=IE&os=win&os_version=6.1-x64-SP1&iesrc={referrer:source} SearchScopes: HKCU - {0388404D-6072-4CEB-B521-8F090FEAEE57} URL = http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120110&user_guid=AEB6BEEDFBD04E6C9C5AEC3B1FBFE33F&machine_id=fdf1244bc62c5092a23ea09bcc692257&browser=IE&os=win&os_version=6.1-x64-SP1&iesrc={referrer:source} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=18556 BHO: No Name - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - No File BHO-x32: StartNow Toolbar Helper - {6E13D095-45C3-4271-9475-F3B48227DD9F} - C:\Program Files (x86)\StartNow Toolbar\Toolbar32.dll () BHO-x32: No Name - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - No File Toolbar: HKLM-x32 - StartNow Toolbar - {5911488E-9D1E-40ec-8CBB-06B231CC153F} - C:\Program Files (x86)\StartNow Toolbar\Toolbar32.dll () Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Handler: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - No File Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - No File Handler-x32: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - No File Handler-x32: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - No File Filter: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} - No File Filter-x32: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} - No File FF Plugin: @mcafee.com/MSC,version=10 - c:\PROGRA~1\mcafee\msc\NPMCSN~1.DLL No File FF Plugin-x32: @mcafee.com/MSC,version=10 - c:\progra~2\mcafee\msc\npmcsn~1.dll No File FF Plugin-x32: @mcafee.com/SAFFPlugin - C:\Program Files (x86)\McAfee\SiteAdvisor\npmcffplg32.dll No File C:\Program Files (x86)\mozilla firefox\plugins FF HKLM-x32\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx [2013-10-16] HKU\S-1-5-21-1137575165-3099178337-4115244329-1000\...\Run: [] => [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="" R2 Updater Service for StartNow Toolbar; C:\Program Files (x86)\StartNow Toolbar\ToolbarUpdaterService.exe [244960 2011-10-25] () S3 ALSysIO; \??\C:\Users\IZA\AppData\Local\Temp\ALSysIO64.sys [X] U3 BcmSqlStartupSvc; U2 CLKMSVC10_3A60B698; U2 CLKMSVC10_C3B3B687; U2 DriverService; U2 iATAgentService; U2 idealife Update Service; U3 IGRS; U2 IviRegMgr; U2 nvUpdatusService; U2 Oasis2Service; U2 PCCarerService; U2 ReadyComm.DirectRouter; U2 RichVideo; U2 RtLedService; U2 SeaPort; U2 SoftwareService; U3 SQLWriter; U2 Stereo Service; C:\Program Files (x86)\webget CMD: sc config "PLAY ONLINE. RunOuc" start= demand Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware StartNow Toolbar. 3. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

Wg poprzedniego raportu FSS (oraz przy ładowaniu uprawnień via SetACL) nie było w ogóle klucza usługi BFE w rejestrze, więc nie wiem co tu może blokować import. Czy plik importowałeś opcją "Scal"? Spróbuj jeszcze ponowić próbę importu BFE.reg z poziomu Trybu awaryjnego Windows. .

Przedstaw o jakim rodzaju reklam mowa oraz raporty z folderu C:\AdwCleaner dla dowodu co było usuwane. W dostarczonych tu raportach nie widać żadnych oznak reklamiarzy. Jedyne co widzę to: - Zainstalowany Smart File Advisor 1.1.3. To może być niechciana instalacja i odinstaluj to, jeśli nie wiesz skąd się wzięło. - Pobrany na dysku wątpliwy program Yet Another Cleaner. Plik yet_another_cleaner_sk.exe do wyrzucenia. .

Raport z FRST przedstawia konkretne miejsce, z którego ładuje się ta infekcja. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-178726868-3365838391-836067975-1000\...0c966feabec1\InprocServer32: [Default-shell32] C:\Users\oem\AppData\Local\{6ac2c385-67cc-1eac-dbda-09cfdcfa762c}\n. ATTENTION! ====> ZeroAccess/Alureon? C:\Users\oem\AppData\Local\{6ac2c385-67cc-1eac-dbda-09cfdcfa762c} AppInit_DLLs: D:\PROGRA~1\KASPER~1\x64\sbhook64.dll => D:\PROGRA~1\KASPER~1\x64\sbhook64.dll File Not Found AppInit_DLLs: ,D:\PROGRA~1\KASPER~1\x64\kloehk.dll => D:\PROGRA~1\KASPER~1\x64\kloehk.dll File Not Found Winlogon\Notify\klogon: %SystemRoot%\System32\klogon.dll [X] FF Plugin HKCU: ubisoft.com/uplaypc - C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File Task: {154599B6-6AF4-4BDB-942E-7166BBF538BA} - System32\Tasks\{E6F38033-62B2-4BCE-8754-01B455421EEB} => Firefox.exe Task: {399A65CD-EA43-409E-9594-37FF95714E78} - System32\Tasks\{6D29904B-7D0D-4A0F-93EC-8D5A7FAE889A} => D:\Gry\Heroes of Might and Magic III - Zlota Edycja\Heroes3.exe Task: {998F1DBE-8A31-4429-9167-72C21C907563} - System32\Tasks\{7791A1B6-F87F-489F-9A71-120692C8368B} => Firefox.exe Task: {A3C14CAC-C485-4E9A-8685-4CCE8B8B47D2} - System32\Tasks\{E197745C-E78C-4FBF-BA22-AA5FE2EE5B2B} => D:\Gry\Heroes of Might and Magic III - Zlota Edycja\Heroes3.exe Task: {D303FCC7-217F-4B4F-B4CD-7D1B888944DD} - System32\Tasks\{44DDAF17-F788-4FF8-B8AB-9859DEB3096B} => D:\Instalki\instalki gier\FIFA 13\Game\fifa13.exe Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Preferencje Google Chrome wyglądaj na naruszone, toteż w przeglądarce: - Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. - Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. .

Nie wygląda na to, że załadowałeś plik BFE.reg. Dopiero po tym możesz importować reguły SetACL dla usługi BFE. .

Jest progres, ale nie do końca. Nadal są trzy brakujące usługi: BFE, PolicyAgent i RemoteAccess. 1. Pobierz SetACL (Administrators: Download the EXE version of SetACL 3.0.6 for 32-bit and 64-bit Windows.), rozpakuj i z folderu 64-bit przekopiuj SetACL.exe do C:\Windows. 2. Następnie wykonaj ręczną rekonstrukcję BFE, PolicyAgent i RemoteAccess z tych postów: KLIK i KLIK. 3. Zresetuj system i zrób nowy log z Farbar Service Scanner. .

Proszę nie umieszczaj logów w scalonej paczce, to utrudnia odwoływanie się do konkretnych elementów. Wszystkie logi tekstowe wstawione w załączniki. Tylko plik Preferences miał być zlinkowany osobno. Plik już mam, więc link do paczki usuwam. Wszystko wykonane. Log z FSS pokazuje, iż nadal brakuje multum usług. Odbędzie się kolejna próba ich odbudowy, tym razem już w środowisku bez czynnej infekcji. Kolejna porcja czynności: 1. Uruchom TFC - Temp Cleaner. 2. Uruchom ServicesRepair. 3. Zresetuj system i zrób nowy log z Farbar Service Scanner. .

Ale podany log nie jest z GMER tylko z OTL... Otwórz ten link i sprawdź samodzielnie co tam się pokazuje. Proszę dodaj raport z GMER. A jest problem z jego doczepianiem, gdyż wbrew zaleceniom w instrukcji (użycie Kopiuj, by zapisać do nowego pliku TXT) została użyta opcja bezpośredniego zapisu do pliku, co tworzy plik o rozszerzeniu *.LOG, format zabroniony w załącznikach. Alo albo: zapisać do nowego pliku TXT, zmienić ręcznie rozszerzenie z LOG na TXT. Co to konkretnie oznacza? .

Posty scalone. A funkcja dodawania załączników jest w Edycji, należało wybrać opcję "Użyj pełnego edytora". Temat przenoszę do działu Windows. Nie ma tu żadnych widocznych oznak infekcji. Skoro tryby Windows wykazują różnicę, rozpocznij od wyłączenia części wpisów startowych, by sprawdzić czy coś to wniesie do sprawy. Mimo, że system nagle się uruchomił bez zacięć, przeprowadź poniższe działania, bo i tak są tu różne zbędniki, a w razie potrzeby pewne wpisy będzie można przywrócić na miejsce. 1. Na początek usuń puste / odpadkowe wpisy (plus inne drobne korekty), głównie dużo śmieci w Harmonogramie. Otwórz Notatnik i wklej w nim: S3 bdfsfltr; C:\Windows\SysWOW64\DRIVERS\bdfsfltr.sys [327368 2010-07-27] (BitDefender) C:\Windows\SysWOW64\DRIVERS\bdfsfltr.sys HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" Winsock: Catalog5 01 C:\Windows\SysWOW64\mswsock.dll [232448] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5-x64 01 %SystemRoot%\System32\mswsock.dll [326144] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Task: {004AB3ED-2425-45C8-A32F-42D390AB611C} - System32\Tasks\{BAD12F59-AB4D-4755-89DD-6C770D1511BB} => C:\Program Files (x86)\Thief - Deadly Shadows\System\t3.exe Task: {0853ADF7-483B-48A1-B56C-CD5CC6261181} - System32\Tasks\{71973CA2-E665-41B1-B74F-579DB3DE1D9B} => C:\Program Files (x86)\Raven\SOF\SoF.exe Task: {0A739D2A-727E-4DE5-A9F9-2D21ADED9275} - System32\Tasks\{35100CF0-0690-4FF8-B9A1-56AA6931D4C5} => C:\Program Files (x86)\Psygnosis\Drakan\Drakan.exe Task: {0F9BA372-235F-4847-81E3-C8AD55B44157} - System32\Tasks\{F560A7D2-CFA2-41B9-905C-613416F191BE} => C:\Program Files (x86)\Rockstar Games\GTA San Andreas\gta_sa.exe Task: {15A39965-276D-4B09-AD5F-49AA78E9C31E} - System32\Tasks\{6DCD9FEB-9EEA-4D00-9BA7-9F10DA28DE65} => C:\Downloads\Heroes Chronicles\Clash of the Dragons\Dragons.exe Task: {18F13370-BEF0-4501-9440-0C744843B61B} - System32\Tasks\{77D3F4E2-D05C-45A4-BF0B-E600051EAB62} => c:\program files (x86)\opera\opera.exe [2012-06-07] (Opera Software) Task: {22440450-9099-4EE4-BC79-F380FFD22239} - System32\Tasks\{8D5BD893-06C1-4686-8815-9154B10F9769} => C:\SEGA\Touring Car DEMO\STCC.EXE Task: {27A6DC9B-1868-47FE-9114-AC283061976C} - System32\Tasks\{D780FE1C-984D-4F6C-B942-DFE93700C43D} => C:\Program Files (x86)\Crime Cities\CrimeCities.exe Task: {2B34781A-3115-418D-A686-63FBCF92A3E8} - System32\Tasks\{02A5C539-CE8B-4A65-ADF9-F63EBBDCB7DA} => C:\Program Files (x86)\LucasArts\RACER\SWEP1RCR.EXE Task: {2C86D8CA-3D07-4A20-8D9F-A8A4F93C80B2} - System32\Tasks\{C4348B64-AF2F-4D45-914F-169587F1DADD} => C:\Program Files (x86)\Team JPN\Guitar Hero Aerosmith\Guitar Hero Aerosmith.exe Task: {2CCFFA8C-039D-48B8-B9AC-A0932B01FFBA} - System32\Tasks\{34070085-7C3F-478C-9C7A-166A36B6F12F} => C:\Program Files (x86)\Rockstar Games\GTA San Andreas\gta_sa.exe Task: {32B76646-0C62-4FDD-9E21-0175732DDB06} - System32\Tasks\{F08980BB-9558-4C79-8178-CED7D43680DE} => C:\Program Files (x86)\GTA2\gta2.exe Task: {3363B451-7199-4878-9E91-33DEDB4BB913} - System32\Tasks\{1ACCD0A0-9FE3-46D2-B151-7D667DD4AC1A} => C:\Program Files (x86)\Icarus Studios, Inc\Dexter The Game\Dexter.exe Task: {3662FEA0-D713-4D70-86B9-5130F9E409CA} - System32\Tasks\JavaUpdateSched => C:\Windows\System32\jusched.exe Task: {38F22FF7-D078-4353-913E-256AC4299789} - System32\Tasks\{9005D88A-13EA-4A75-834B-9CC995CB2910} => C:\Program Files (x86)\Crime Cities\CrimeCities.exe Task: {3B215268-E2EB-45B6-ACED-CC939612E5EF} - System32\Tasks\{608D0598-7CE9-4861-B319-860E5CB533B4} => C:\Program Files (x86)\Icarus Studios, Inc\Dexter The Game\Dexter.exe Task: {3BBFE023-0740-4F76-B622-68558D5389E0} - System32\Tasks\{B93D181F-B05B-49A4-B088-93EACBAB8898} => C:\Program Files (x86)\Monte Cristo\Airline Tycoon Evolution\Config.exe Task: {3FC158C4-38D9-4474-ACC9-CC50D39CE3FD} - System32\Tasks\{C89C78D8-7E91-4B6A-A237-DFC5BC4AB376} => C:\Program Files (x86)\Rockstar Games\GTA San Andreas\gta_sa.exe Task: {496B338B-98F9-4936-89B7-C7EA3132AE7C} - System32\Tasks\{6CFC6FF3-AA9C-4BC5-A469-8857F2E029D4} => C:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\NFSC.exe Task: {4D7A73FA-2B7E-4B27-B2B0-E26A06DEFD71} - System32\Tasks\{E449B03A-65EC-4E8C-AF2B-A57CFC94BCF9} => C:\Program Files (x86)\Psygnosis\Drakan\Drakan.exe Task: {5489A61B-1B4B-4E4F-AD8F-86BA1B1DD1EF} - System32\Tasks\{E5CBFF48-90E7-443F-92CD-9B360FC39C13} => C:\Downloads\BallsofSteelFull5Tables\Balls Of Steel\SETUP.EXE Task: {56312C1E-A9BC-467E-9F07-7BB1B73913CB} - System32\Tasks\{AABABD43-4FAB-44CD-94C1-536AAA98A061} => E:\SETUP.EXE Task: {596386ED-058A-49E1-AFA1-A4B3570CBF82} - System32\Tasks\{5B5ECDA8-D771-46C4-8FCB-CC8D0DF49EB5} => C:\Program Files (x86)\LEGO Media\Games\LEGO Racers\LEGORacers.exe Task: {5D6F40FA-2686-4CD0-8712-0F2427EA3D09} - System32\Tasks\{23E8820F-6969-4EBE-AA91-D1FEA7CB0D79} => C:\RAINBOW SIX Black Thorn\rainbow\BlackThorn.exe Task: {644C1B13-C0AA-4700-BB5E-A41FE362E9D7} - System32\Tasks\{0BEE7669-00D6-46E2-AEF9-1F57C81AD353} => C:\DiscNoir\tin3_dxd.exe Task: {698D5D13-686C-4862-8D23-60CFC8255915} - System32\Tasks\{6DE9BD2A-4D09-49D5-A82A-3F58AC234849} => C:\Downloads\Heroes Chronicles\Clash of the Dragons\Dragons.exe Task: {6B6A98EA-F2BC-4F5B-BAE8-A2C326A32BE9} - System32\Tasks\{71012866-79DC-4E03-9F8A-71307884D016} => C:\Program Files (x86)\Icarus Studios, Inc\Dexter The Game\Dexter.exe Task: {77B823CF-5116-437D-ABB5-50A3D7C5EBDE} - System32\Tasks\{F6166566-0CDE-49ED-9F52-7F0A3270524B} => C:\Program Files (x86)\Kalypso Media\Airline Tycoon 2\AirlineTycoon2.exe Task: {851EB1A7-841F-49F6-884A-704A87C5D09A} - System32\Tasks\{5651F079-24A9-4978-94F1-7AD99E236AE5} => C:\Program Files (x86)\EA Games\Need For Speed Underground Demo\speeddemo.exe Task: {8899BB82-2E79-44A9-B227-CF1686F19B9F} - System32\Tasks\{9F699F81-5624-4E79-885C-42D60A415151} => C:\Program Files (x86)\Thief - Deadly Shadows\System\t3.exe Task: {8C705A91-D6A6-42E4-8D1B-8CE15CC82D7B} - System32\Tasks\{612961AA-F7B6-4BE9-ADB2-A4B4888A798A} => C:\Program Files (x86)\Team17\Worms Armageddon\WA.exe Task: {8E12DAA1-3BE5-46DF-8F00-0CAB6F1E05A8} - System32\Tasks\{82FD708A-B850-42E2-8691-D1497E14E814} => C:\Neo\SimPark\tp.exe Task: {8F8AA35A-A073-4931-869B-EE3B413B7487} - System32\Tasks\{55EA08CD-B2A4-4B03-BCFE-BBF163E71832} => E:\SETUP.EXE Task: {91A02298-3844-4083-A3FA-323468AA0D2D} - System32\Tasks\{C16D165B-F9D1-4537-B426-5A6E0C99463D} => C:\Program Files (x86)\Project IGI\pc\IGI.exe Task: {91B2969E-3709-4DEB-9D81-75DD9F14DFAB} - System32\Tasks\{E958F428-F6EF-4888-A336-28CED29635EB} => C:\Program Files (x86)\Thief - Deadly Shadows\System\t3.exe Task: {95C5CBE6-FCF2-4753-8715-2A4AF28C49A2} - System32\Tasks\{FB3746CD-EE64-4325-9DDA-113F40AF69AB} => C:\Program Files (x86)\Waterslide Island (Demo)\wsi.exe Task: {A7B32B28-C600-4784-872F-10C90C2697E6} - System32\Tasks\{AB68C2D5-44A1-476E-98DB-22A1C721E256} => C:\Program Files (x86)\Activision\Spider-Man 2\System\Webhead.exe Task: {B40D2F3A-DB2F-4FB1-82BF-826AC39DADF5} - System32\Tasks\{BBE5FFA2-AC5E-4BE7-86B1-F1068E7F2A71} => C:\Program Files (x86)\Bullfrog\Theme Park World\tp.exe Task: {B6A7FCE8-E529-4430-8371-9651D213D1EE} - System32\Tasks\{D9EE8B58-BD1C-4B82-9112-31360A051EF0} => C:\gry\ProRally2001\ProRally2001.exe Task: {B81B3E14-7C69-43E8-A27B-3DC359F46BA3} - System32\Tasks\{E8A812AB-3E2D-4803-8E12-0ED53A7D7800} => C:\Program Files (x86)\Waterslide Island (Demo)\wsi.exe Task: {B8652808-2F30-4720-AC15-E7196C5A2210} - System32\Tasks\{DDFDDA63-FC70-4B5B-8033-29DBF0CE70C8} => C:\SEGA\Touring Car DEMO\STCC.EXE Task: {BCD76183-0474-4A32-A5A9-B5E4F7997F5E} - System32\Tasks\{A5C07F03-12BE-4C04-AA46-B863A1FA0533} => C:\Program Files (x86)\Thief - Deadly Shadows\System\t3.exe Task: {CDB0D99E-9B49-4A09-8AA5-CD800C74EBDF} - System32\Tasks\{35CD4B6E-8CAB-40DB-AD3B-B3247194F292} => C:\Program Files (x86)\Fox\Croc\CrocRun.exe Task: {D1CA26E2-F4FD-433F-8069-01FC095B3C34} - System32\Tasks\{C9794CE0-6B19-4A45-88E6-0AD36D2C60F4} => C:\Program Files (x86)\Monte Cristo\Airline Tycoon Evolution\Starter.exe Task: {D7576120-4769-4C04-9254-FC5630F91B8D} - System32\Tasks\{A568F8CC-A7F2-4B12-8DD2-0FD1B5BE9BF9} => C:\Program Files (x86)\EA SPORTS\NBA Live 2000\nbawin.exe Task: {D79748AB-377D-411E-9B66-779815D8016F} - System32\Tasks\{4B67F5FA-B457-4C0F-B4E8-0B5770ACC75E} => C:\Program Files (x86)\Kalypso Media\Airline Tycoon 2\AirlineTycoon2.exe Task: {DEF1E0F8-630A-410B-BDE8-B48E12D2D42C} - System32\Tasks\BrowserDefendert => Sc.exe start BrowserDefendert Task: {E051859C-EBE1-41BC-B3CB-F2695099EA92} - System32\Tasks\{9F3EECA7-0E1B-4682-A4C3-BD918E402472} => C:\gry\RC Daredevil\RC DareDevil.exe Task: {E06AC5BF-0780-4AEC-8C7B-D8F135BA0113} - System32\Tasks\{A704393C-FD33-4C7E-A445-67E6F4DF6E48} => C:\Program Files (x86)\GTA2\gta2.exe Task: {E7543CF0-1074-41FD-A141-4555757C5341} - System32\Tasks\{E11C0512-14EC-4393-913B-F8A3552937B9} => C:\Program Files (x86)\Sno-Cross\SnoCross.exe Task: {E7D82D32-2F5E-4BFE-9F90-6E359C408009} - System32\Tasks\{90C9EBE5-5022-4235-9594-2DB0CF9FE8D3} => C:\Program Files (x86)\Pocket Tanks Deluxe\ptanks.exe Task: {E823BB72-118E-47BF-A65B-510EDC844C31} - System32\Tasks\{537FCB6E-6F86-479F-95F9-DB3F759E7938} => C:\Program Files (x86)\Monte Cristo\Airline Tycoon Evolution\at.exe Task: {EF1266A0-FFE7-4B91-8987-F89D2EC8858A} - System32\Tasks\{721DBCDD-1C2B-4B6F-9E5B-7AAF4924BA40} => C:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\NFSC.exe Task: {F9554B99-3F99-4FCB-9FD3-CC301DE07D88} - System32\Tasks\{18BC5768-9ADE-452E-A77A-3466D3CFE9A5} => C:\SEGA\Touring Car DEMO\STCC.EXE Task: {F96E88F8-F0DF-4F61-9C08-43B95A8AAF7B} - System32\Tasks\{2F659698-D857-4A3F-AFD6-CF18E8B9C1A1} => C:\Program Files (x86)\Botanicula\Botanicula.exe Task: {FEF2F038-B9F9-4B66-A373-72DFAF4B92B1} - System32\Tasks\EPUpdater => C:\Users\sklep\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe AlternateDataStreams: C:\ProgramData\TEMP:E9EB8C3A AlternateDataStreams: C:\Users\sklep\Downloads\ApplicationCompatibilityToolkitSetup.exe:BDU AlternateDataStreams: C:\Users\sklep\Downloads\Diablo-III-Setup-plPL.exe:BDU AlternateDataStreams: C:\Users\sklep\Downloads\nGlide102_setup.exe:BDU AlternateDataStreams: C:\Users\sklep\Downloads\uiftoiso_setup.exe:BDU CHR HKCU\...\Chrome\Extension: [nikpibnbobmbdbheedjfogjlikpgpnhp] - C:\Program Files (x86)\Common Files\DVDVideoSoft\plugins\DVDVideoSoftBrowserExtension.crx [2012-12-01] StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Program Files (x86)\Mplayer\Assets\Blank.htm HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Program Files (x86)\Mplayer\Assets\Blank.htm HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = C:\Program Files (x86)\Mplayer\Assets\Blank.htm C:\Program Files (x86)\AVG C:\ProgramData\bdinstall.bin C:\ProgramData\AVG2014 C:\ProgramData\b5240000-6513-4c4b-d7e9-c6fb99050493 C:\ProgramData\BitDefender C:\ProgramData\MFAData C:\Users\sklep\Desktop\PULPIT\DAEMON Tools Lite.lnk C:\Users\sklep\Desktop\PULPIT\Programy\DAEMON Tools Lite.lnk C:\Users\sklep\Desktop\PULPIT\Programy\DAEMON Tools Pro.lnk Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Trojan Remover Packages" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom Autoruns i powyłączaj następujące elementy: W karcie Scheduled Tasks odznacz zadania DriverEasy, Google i Real. W karcie Logon odznacz: HKLM\...\Run: [rfagent] => C:\Program Files\RFA 8\rfagent64.exe [3145864 2012-01-27] (KsL Software) HKLM-x32\...\Run: [PDVDDXSrv] => C:\Program Files (x86)\CyberLink\PowerDVD DX\PDVDDXSrv.exe [140520 2009-12-29] (CyberLink Corp.) HKLM-x32\...\Run: [Dell Webcam Central] => C:\Program Files (x86)\Dell Webcam\Dell Webcam Central\WebcamDell2.exe [409744 2009-06-24] (Creative Technology Ltd) HKLM-x32\...\Run: [Desktop Disc Tool] => c:\Program Files (x86)\Roxio\Roxio Burn\RoxioBurnLauncher.exe [498160 2009-10-15] () HKLM-x32\...\Run: [GrooveMonitor] => C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe [31072 2008-10-25] (Microsoft Corporation) HKLM-x32\...\Run: [NBKeyScan] => C:\Program Files (x86)\Nero\Nero8\Nero BackItUp\NBKeyScan.exe [2221352 2008-02-18] (Nero AG) HKLM-x32\...\Run: [WinampAgent] => C:\Program Files (x86)\Winamp\winampa.exe [74752 2010-12-09] (Nullsoft, Inc.) HKLM-x32\...\Run: [iAStorIcon] => C:\Program Files (x86)\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe [284440 2011-10-17] (Intel Corporation) HKLM-x32\...\Run: [TkBellExe] => C:\Program Files (x86)\Real\RealPlayer\update\realsched.exe [296056 2012-01-15] (RealNetworks, Inc.) HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-05-11] (Adobe Systems Incorporated) HKLM-x32\...\Run: [sunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [254336 2013-07-02] (Oracle Corporation) HKU\S-1-5-21-1081826087-927070240-1253586494-1000\...\Run: [indxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] => C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreSvr.exe [1828136 2008-02-28] (Nero AG) HKU\S-1-5-21-1081826087-927070240-1253586494-1000\...\Run: [Argus Monitor] => C:\Program Files (x86)\ArgusMonitor\ArgusMonitor.exe [1762504 2012-08-06] (Argotronic UG (haftungsbeschraenkt)) HKU\S-1-5-21-1081826087-927070240-1253586494-1000\...\Run: [soniqueQuickStart] => C:\Program Files (x86)\Sonique\sqstart.exe [44832 2011-05-27] () HKU\S-1-5-21-1081826087-927070240-1253586494-1000\...\Run: [ModemOnHold] => C:\Program Files (x86)\NetWaiting\netWaiting.exe [26144 2007-05-10] (BVRP) HKU\S-1-5-21-1081826087-927070240-1253586494-1000\...\Run: [ALLUpdate] => C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe [1379840 2011-08-16] () HKU\S-1-5-21-1081826087-927070240-1253586494-1000\...\Run: [Google Update] => C:\Users\sklep\AppData\Local\Google\Update\GoogleUpdate.exe [136176 2010-11-11] (Google Inc.) W karcie Services odznacz AdobeARMservice oraz: S3 BITCOMET_HELPER_SERVICE; C:\Program Files (x86)\BitComet\tools\BitCometService.exe [1296728 2010-12-28] (www.BitComet.com) S2 Nero BackItUp Scheduler 3; C:\Program Files (x86)\Nero\Nero8\Nero BackItUp\NBService.exe [877864 2008-02-18] (Nero AG) S3 NMIndexingService; C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexingService.exe [529704 2008-02-28] (Nero AG) S2 PLFlash DeviceIoControl Service; C:\Windows\SysWOW64\IoctlSvc.exe [81920 2006-12-19] (Prolific Technology Inc.) S2 UserAccess7; C:\Windows\SysWOW64\UAService7.exe [143360 2013-11-13] (Sony DADC Austria AG.) W karcie Drivers odznacz sfatygowane sterowniki zabezpieczeń oprogramowania (Protect, Startforce, Tages) i ArgusMonitor: S1 acedrv05; C:\Windows\system32\drivers\acedrv05.sys [136192 2011-03-31] () S3 ArgusMonitor; C:\Windows\SysWow64\drivers\ArgusMonitor.sys [67272 2012-06-01] (Argotronic UG (haftungsbeschraenkt)) S2 atksgt; C:\Windows\System32\DRIVERS\atksgt.sys [303616 2012-07-26] () S2 lirsgt; C:\Windows\System32\DRIVERS\lirsgt.sys [35328 2012-07-26] () R0 sfdrv01; C:\Windows\System32\drivers\sfdrv01.sys [75384 2009-02-03] (Protection Technology (StarForce)) R0 sfdrv01a; C:\Windows\System32\drivers\sfdrv01a.sys [77432 2009-02-03] (Protection Technology (StarForce)) S0 sfsync02; C:\Windows\System32\drivers\sfsync02.sys [22936 2006-07-10] (Protection Technology) R0 sfvfs02; C:\Windows\System32\drivers\sfvfs02.sys [107384 2007-02-08] (Protection Technology (StarForce)) R0 sptd; C:\Windows\System32\Drivers\sptd.sys [564824 2013-07-06] (Duplex Secure Ltd.) Wyłączenie elementów zabezpieczeń oprogramowania prawdopodobnie uniemożliwi uruchomienie określonych gier, ale na razie prowadzimy tu diagnostykę. Natomiast sterownik SPTD to w zasadzie kompletnie do wyrzucenia, gdyż w systemie nie ma pełnych instalacji emulatorów (Alcohol, DAEMON), tylko puste skróty po DAEMON (i tak usuwane skryptem FRST). SPTD możesz usunąć za pomocą SPTDinst: KLIK. 3. Po wszystkich akcjach ponowna próba startu do Trybu normalnego. Przedstaw czy są jakieś wyraźniejsze zmiany. .

Tu wszystkie tryby są zablokowane, gdyż jest zmodyfikowana usługa Instrumentacji Windows (Winmgmt). Poproszę o raporty z FRST. F8 > Napraw komputer > Wiersz polecenia > uruchamiasz z pendrive zgodnie z opisem. .

Tak, chodzi po prostu o automatyczny restart, który jest tu wymagany, by sfinalizować usuwanie określonych elementów.

Wątpię, by to była sprawka AdwCleaner. Problem w tym, że zostały wyłączone via msconfig liczne usługi Windows (producentów trzecich zresztą też): ==================== Disabled items from MSCONFIG ============== MSCONFIG\Services: 976137e5 => 2 MSCONFIG\Services: AdobeARMservice => 2 MSCONFIG\Services: AdobeFlashPlayerUpdateSvc => 3 MSCONFIG\Services: AeLookupSvc => 3 MSCONFIG\Services: ALG => 3 MSCONFIG\Services: AppIDSvc => 3 MSCONFIG\Services: Apple Mobile Device => 2 MSCONFIG\Services: aspnet_state => 3 MSCONFIG\Services: AudioEndpointBuilder => 2 MSCONFIG\Services: AudioSrv => 2 MSCONFIG\Services: AxInstSV => 3 MSCONFIG\Services: BackupStack => 2 MSCONFIG\Services: BDESVC => 3 MSCONFIG\Services: BFE => 2 MSCONFIG\Services: BITS => 3 MSCONFIG\Services: Bonjour Service => 2 MSCONFIG\Services: Browser => 3 MSCONFIG\Services: BrowserProtect => 2 MSCONFIG\Services: BstHdAndroidSvc => 2 MSCONFIG\Services: BstHdLogRotatorSvc => 2 MSCONFIG\Services: bthserv => 3 MSCONFIG\Services: btwdins => 2 MSCONFIG\Services: c2cautoupdatesvc => 2 MSCONFIG\Services: c2cpnrsvc => 2 MSCONFIG\Services: CertPropSvc => 3 MSCONFIG\Services: clr_optimization_v4.0.30319_32 => 2 MSCONFIG\Services: clr_optimization_v4.0.30319_64 => 2 MSCONFIG\Services: CltMngSvc => 2 MSCONFIG\Services: COMSysApp => 3 MSCONFIG\Services: Crypkey License => 3 MSCONFIG\Services: CryptSvc => 3 MSCONFIG\Services: cvhsvc => 2 MSCONFIG\Services: defragsvc => 3 MSCONFIG\Services: Dhcp => 2 MSCONFIG\Services: Dnscache => 2 MSCONFIG\Services: dot3svc => 3 MSCONFIG\Services: DPS => 2 MSCONFIG\Services: EapHost => 3 MSCONFIG\Services: EFS => 3 MSCONFIG\Services: ehRecvr => 3 MSCONFIG\Services: ehSched => 3 MSCONFIG\Services: eventlog => 2 MSCONFIG\Services: EventSystem => 3 MSCONFIG\Services: Fax => 3 MSCONFIG\Services: fdPHost => 3 MSCONFIG\Services: FDResPub => 2 MSCONFIG\Services: FontCache => 2 MSCONFIG\Services: FontCache3.0.0.0 => 3 MSCONFIG\Services: gupdate => 2 MSCONFIG\Services: gupdatem => 3 MSCONFIG\Services: gusvc => 3 MSCONFIG\Services: Hamachi2Svc => 2 MSCONFIG\Services: hidserv => 3 MSCONFIG\Services: hkmsvc => 3 MSCONFIG\Services: HomeGroupListener => 3 MSCONFIG\Services: HomeGroupProvider => 3 MSCONFIG\Services: IAStorDataMgrSvc => 2 MSCONFIG\Services: idsvc => 3 MSCONFIG\Services: IGRS => 3 MSCONFIG\Services: IKEEXT => 2 MSCONFIG\Services: IPBusEnum => 3 MSCONFIG\Services: iphlpsvc => 3 MSCONFIG\Services: iPod Service => 3 MSCONFIG\Services: KeyIso => 3 MSCONFIG\Services: KtmRm => 3 MSCONFIG\Services: LanmanServer => 2 MSCONFIG\Services: LanmanWorkstation => 2 MSCONFIG\Services: Lenovo ReadyComm AppSvc => 3 MSCONFIG\Services: Lenovo ReadyComm ConnSvc => 3 MSCONFIG\Services: lltdsvc => 3 MSCONFIG\Services: lmhosts => 2 MSCONFIG\Services: LMIGuardianSvc => 2 MSCONFIG\Services: LMS => 2 MSCONFIG\Services: MBAMScheduler => 2 MSCONFIG\Services: MBAMService => 2 MSCONFIG\Services: McComponentHostService => 3 MSCONFIG\Services: mcmscsvc => 2 MSCONFIG\Services: McNASvc => 2 MSCONFIG\Services: McODS => 3 MSCONFIG\Services: McProxy => 2 MSCONFIG\Services: McSysmon => 3 MSCONFIG\Services: Microsoft SharePoint Workspace Audit Service => 3 MSCONFIG\Services: MMCSS => 2 MSCONFIG\Services: MpfService => 2 MSCONFIG\Services: MpsSvc => 2 MSCONFIG\Services: MSDTC => 3 MSCONFIG\Services: MSiSCSI => 3 MSCONFIG\Services: msiserver => 3 MSCONFIG\Services: napagent => 3 MSCONFIG\Services: Netlogon => 3 MSCONFIG\Services: Netman => 3 MSCONFIG\Services: netprofm => 3 MSCONFIG\Services: NlaSvc => 2 MSCONFIG\Services: nsi => 2 MSCONFIG\Services: NvStreamSvc => 2 MSCONFIG\Services: nvsvc => 2 MSCONFIG\Services: nvUpdatusService => 2 MSCONFIG\Services: ose => 3 MSCONFIG\Services: osppsvc => 3 MSCONFIG\Services: OverwolfUpdaterService => 3 MSCONFIG\Services: p2pimsvc => 3 MSCONFIG\Services: p2psvc => 3 MSCONFIG\Services: PcaSvc => 3 MSCONFIG\Services: PerfHost => 3 MSCONFIG\Services: pla => 3 MSCONFIG\Services: PNRPAutoReg => 3 MSCONFIG\Services: PNRPsvc => 3 MSCONFIG\Services: PolicyAgent => 3 MSCONFIG\Services: Power => 2 MSCONFIG\Services: ProtectedStorage => 3 MSCONFIG\Services: QWAVE => 3 MSCONFIG\Services: RasAuto => 3 MSCONFIG\Services: RasMan => 3 MSCONFIG\Services: RemoteRegistry => 3 MSCONFIG\Services: RpcLocator => 3 MSCONFIG\Services: RzKLService => 2 MSCONFIG\Services: SamSs => 2 MSCONFIG\Services: SbieSvc => 2 MSCONFIG\Services: SCardSvr => 3 MSCONFIG\Services: SCPolicySvc => 3 MSCONFIG\Services: SDRSVC => 3 MSCONFIG\Services: seclogon => 3 MSCONFIG\Services: SENS => 2 MSCONFIG\Services: SensrSvc => 3 MSCONFIG\Services: SessionEnv => 3 MSCONFIG\Services: sftlist => 2 MSCONFIG\Services: sftvsa => 3 MSCONFIG\Services: SharedAccess => 3 MSCONFIG\Services: ShellHWDetection => 2 MSCONFIG\Services: SkypeUpdate => 2 MSCONFIG\Services: SNMPTRAP => 3 MSCONFIG\Services: Spooler => 2 MSCONFIG\Services: sppuinotify => 3 MSCONFIG\Services: SSDPSRV => 2 MSCONFIG\Services: SstpSvc => 3 MSCONFIG\Services: Steam Client Service => 3 MSCONFIG\Services: Stereo Service => 2 MSCONFIG\Services: stisvc => 2 MSCONFIG\Services: swprv => 3 MSCONFIG\Services: SysMain => 2 MSCONFIG\Services: TabletInputService => 3 MSCONFIG\Services: TapiSrv => 3 MSCONFIG\Services: TBS => 3 MSCONFIG\Services: TermService => 3 MSCONFIG\Services: Themes => 2 MSCONFIG\Services: THREADORDER => 3 MSCONFIG\Services: TrkWks => 2 MSCONFIG\Services: TrustedInstaller => 3 MSCONFIG\Services: TunnelBearMaintenance => 3 MSCONFIG\Services: UI0Detect => 3 MSCONFIG\Services: UNS => 2 MSCONFIG\Services: upnphost => 2 MSCONFIG\Services: UxSms => 2 MSCONFIG\Services: VaultSvc => 3 MSCONFIG\Services: vds => 3 MSCONFIG\Services: VSS => 3 MSCONFIG\Services: W32Time => 3 MSCONFIG\Services: WatAdminSvc => 3 MSCONFIG\Services: wbengine => 3 MSCONFIG\Services: WbioSrvc => 3 MSCONFIG\Services: wcncsvc => 3 MSCONFIG\Services: WcsPlugInService => 3 MSCONFIG\Services: WdiServiceHost => 3 MSCONFIG\Services: WdiSystemHost => 3 MSCONFIG\Services: WebClient => 3 MSCONFIG\Services: Wecsvc => 3 MSCONFIG\Services: wercplsupport => 3 MSCONFIG\Services: WerSvc => 3 MSCONFIG\Services: WinDefend => 2 MSCONFIG\Services: WinHttpAutoProxySvc => 3 MSCONFIG\Services: Winmgmt => 2 MSCONFIG\Services: WinRM => 3 MSCONFIG\Services: Wlansvc => 2 MSCONFIG\Services: wmiApSrv => 3 MSCONFIG\Services: WMPNetworkSvc => 2 MSCONFIG\Services: WPCSvc => 3 MSCONFIG\Services: WPDBusEnum => 3 MSCONFIG\Services: WSearch => 2 MSCONFIG\Services: wuauserv => 2 MSCONFIG\Services: wudfsvc => 3 MSCONFIG\Services: WwanSvc => 2 W pierwszej kolejności zajmij się ożywieniem usług. Start > w polu szukania wpisz msconfig > z prawokliku Uruchom jako Administrator. Wejdź do karty Usługi i zaptaszkuj wszystkie odznaczone pola. Zresetuj system. Zrób nowy log FRST Addition, który ma udowodnić zmiany. Gdy to pomyślnie rozwiążesz, zajmę się doczyszczaniem systemu z adware, gdyż czyszczenie było prowadzone niedokładnie. .

Na pokazanym obrazku jest przecież widoczny wpis "Extended Update". Natomiast "SupraSavings" rzeczywiście jest ukryty i Ty go nie widzisz, zapomniałam go w skrypcie załączyć do odkrycia. Odpowiedz mi na pytanie czy wykonałaś już pierwszą część, czyli skrypt FRST? Jeśli nie, dodam wpis "SupraSavings" do uwidaczniania. Jeśli tak, to na razie omiń po prostu deinstalację "SupraSavings", zajmę się tym w ramach poprawek. .

Proszę trzymaj się konfiguracji FRST w przyklejonym temacie: sekcje Drivers MD5 i List BCD nie miały być zaznaczone. Są tu skomasowane problemy i liczne infekcje a nie tylko podejrzewana w tytule tematu: "infekcja z Facebook" (wpisy {a45624fe-880e-0d76-5251-a8d8a45624fe}), Bitcoin miner (wpis "Keyboard Inf.") oraz adware (globalUpdate, Torntv, webget). Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: () C:\Program Files\webget\updatewebget.exe () C:\Program Files\webget\bin\utilwebget.exe () C:\Users\admin\AppData\Roaming\Theta\wwing.exe () C:\Program Files\webget\bin\webget.PurBrowse.exe () C:\Program Files\webget\bin\webget.BrowserAdapter.exe Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{a45624fe-880e-0d76-5251-a8d8a45624fe}.exe () HKU\S-1-5-21-2372006593-2295337032-2824968523-1000\...\Run: [Keyboard Inf.] => C:\Users\admin\AppData\Roaming\Theta\wwing.exe [4086272 2014-03-19] () BHO: Torntv V9.0 - {11111111-1111-1111-1111-110511131190} - C:\Program Files\Torntv V9.0\Torntv V9.0-bho.dll No File BHO: webget - {dc264a72-fa75-4948-b881-ea8eff8e5dd2} - C:\Program Files\webget\webgetbho.dll No File FF Plugin: @staging.google.com/globalUpdate Update;version=10 - C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF Plugin: @staging.google.com/globalUpdate Update;version=4 - C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) S2 globalUpdate; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-05-12] (globalUpdate) S3 globalUpdatem; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-05-12] (globalUpdate) R2 Update webget; C:\Program Files\webget\updatewebget.exe [317720 2014-05-13] () R2 Util webget; C:\Program Files\webget\bin\utilwebget.exe [317720 2014-05-13] () R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw.sys [52920 2014-05-07] (StdLib) S3 AsrCDDrv; \??\C:\Windows\system32\Drivers\AsrCDDrv.sys [X] S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X] Task: {126B7BE4-C981-45F8-B153-AB426C4353AD} - System32\Tasks\c0976ad7-b268-4bd9-b131-7cf2ab414e25-6 => C:\Program Files\Torntv V9.0\Torntv V9.0-novainstaller.exe Task: {1D34BAE4-D16D-44B1-BB8E-F9E0C83325FB} - System32\Tasks\c0976ad7-b268-4bd9-b131-7cf2ab414e25-4 => C:\Program Files\Torntv V9.0\c0976ad7-b268-4bd9-b131-7cf2ab414e25-4.exe Task: {203A668C-1A89-4B54-8C07-D31A509A9E49} - System32\Tasks\c0976ad7-b268-4bd9-b131-7cf2ab414e25-1 => C:\Program Files\Torntv V9.0\Torntv V9.0-codedownloader.exe Task: {26118E73-281D-4950-BAE5-0B5D765C900F} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [2014-05-12] (globalUpdate) Task: {5AC9FA7D-6C58-47FF-B63E-F1E6306EF284} - System32\Tasks\c0976ad7-b268-4bd9-b131-7cf2ab414e25-7 => C:\Program Files\Torntv V9.0\Torntv V9.0-nova.exe Task: {89625DB9-4CFB-4B5F-ADA1-9C8D7A0FBDB5} - System32\Tasks\c0976ad7-b268-4bd9-b131-7cf2ab414e25-5 => C:\Program Files\Torntv V9.0\c0976ad7-b268-4bd9-b131-7cf2ab414e25-5.exe Task: {8B1DE93F-28F0-4E8D-86CA-937ECAB57FD0} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [2014-05-12] (globalUpdate) Task: {F4851116-5196-4EE4-BFDB-2062FAECCC0E} - System32\Tasks\c0976ad7-b268-4bd9-b131-7cf2ab414e25-2 => C:\Program Files\Torntv V9.0\c0976ad7-b268-4bd9-b131-7cf2ab414e25-2.exe Task: C:\Windows\Tasks\c0976ad7-b268-4bd9-b131-7cf2ab414e25-1.job => C:\Program Files\Torntv V9.0\Torntv V9.0-codedownloader.exe Task: C:\Windows\Tasks\c0976ad7-b268-4bd9-b131-7cf2ab414e25-2.job => C:\Program Files\Torntv V9.0\c0976ad7-b268-4bd9-b131-7cf2ab414e25-2.exe Task: C:\Windows\Tasks\c0976ad7-b268-4bd9-b131-7cf2ab414e25-4.job => C:\Program Files\Torntv V9.0\c0976ad7-b268-4bd9-b131-7cf2ab414e25-4.exe Task: C:\Windows\Tasks\c0976ad7-b268-4bd9-b131-7cf2ab414e25-5.job => C:\Program Files\Torntv V9.0\c0976ad7-b268-4bd9-b131-7cf2ab414e25-5.exe Task: C:\Windows\Tasks\c0976ad7-b268-4bd9-b131-7cf2ab414e25-6.job => C:\Program Files\Torntv V9.0\Torntv V9.0-novainstaller.exe Task: C:\Windows\Tasks\c0976ad7-b268-4bd9-b131-7cf2ab414e25-7.job => C:\Program Files\Torntv V9.0\Torntv V9.0-nova.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe C:\Program Files\globalUpdate C:\Program Files\mozilla firefox C:\Users\admin\AppData\Local\globalUpdate C:\Users\admin\AppData\Local\Lollipop C:\Users\admin\AppData\Local\Opera Software C:\Users\admin\AppData\Roaming\*.exe C:\Users\admin\AppData\Roaming\{a45624fe-880e-0d76-5251-a8d8a45624fe} C:\Users\admin\AppData\Roaming\Opera Software C:\Users\admin\AppData\Roaming\systweak C:\Users\admin\AppData\Roaming\Theta C:\Windows\system32\Drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw.sys Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware Torntv V9.0, webget oraz wątpliwy skaner SpyHunter. 3. W Google Chropme: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi, trzeci Shortcut nie jest potrzebny. Dołącz też plik fixlog.txt i log z AdwCleaner. .

Arczi677, proszę zacząć od zrobienia poprawnych logów. Przecież użyłeś starej wersji FRST: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 03-03-2014 03 (ATTENTION: ====> FRST version is 73 days old and could be outdated) Ten program jest non-stop aktualizowany i należy go pobierać za każdym razem na nowo. Usuń obecną wersję, pobierz najnowszą (KLIK) i zrób porządne raporty. Pola Addition i Shortcut mają być zaznaczone, by ponownie powstały te logi. .

Na temat używanych skanerów: - Podjęta próba z uruchomieniem ComboFix. Na ten temat: KLIK, - SpyHunter to wątpliwy program, który stosuje silną promocję, by go zainstalować w systemie, ale "niespodzianka" to płatne usuwanie wyników. - Spybot - Search & Destroy to przestarzały i mało dziś skuteczny skaner. Problem reklam istnieje, gdyż adware nie zostało po prostu dobrze wyczyszczone, w systemie jest czynny obiekt SupraSavings, który zmodyfikował łańcuch sieciowy Winsock, ponadto liczne odpadki po MediaPlayerplus. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: (SecureAssist) C:\Program Files\suprasavings\SecureAssist.exe R2 SecureAssist; C:\Program Files\SupraSavings\SecureAssist.exe [1558032 2014-03-12] (SecureAssist) S2 SpyHunter 4 Service; C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE [X] S3 cleanhlp; D:\Program Files\Nowy folder\Run\cleanhlp64.sys [57024 2014-04-15] (Emsisoft GmbH) S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2012-06-22] () S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] HKLM-x32\...\Run: [Ad-Aware Browsing Protection] => "C:\ProgramData\Ad-Aware Browsing Protection\adawarebp.exe" HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-910083959-2990359175-3200047685-1000\...\Run: [Facebook Update] => "C:\Users\PC\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver Task: {20D7FACC-0D22-4D69-985D-923E86569BBB} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-910083959-2990359175-3200047685-1000UA => C:\Users\PC\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {4499D05F-1C3C-4562-A06B-81B8DA233D5E} - System32\Tasks\3d8c097a-d75d-43d1-aa88-eb4ad99df514-2 => C:\Program Files (x86)\MediaPlayerplus\3d8c097a-d75d-43d1-aa88-eb4ad99df514-2.exe [2014-04-13] (Freeven) Task: {554AEA72-8891-4FAC-8A17-3065E9777BF7} - System32\Tasks\3d8c097a-d75d-43d1-aa88-eb4ad99df514-1 => C:\Program Files (x86)\MediaPlayerplus\MediaPlayerplus-codedownloader.exe [2014-04-13] (Freeven) Task: {59E4BCD2-D476-4197-AF56-5B74C2E717C7} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-910083959-2990359175-3200047685-1000Core => C:\Users\PC\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {E34A4B3C-4CB5-410A-B6A3-74756A1D59AC} - System32\Tasks\3d8c097a-d75d-43d1-aa88-eb4ad99df514-4 => C:\Program Files (x86)\MediaPlayerplus\3d8c097a-d75d-43d1-aa88-eb4ad99df514-4.exe [2014-04-13] (Freeven) Task: {E7CE2B4A-FFE3-4F79-B61C-35A98977C32F} - \SpyHunter4Startup No Task File Task: {E8030110-E86E-455B-87A4-7C573FC1141D} - System32\Tasks\3d8c097a-d75d-43d1-aa88-eb4ad99df514-5 => C:\Program Files (x86)\MediaPlayerplus\3d8c097a-d75d-43d1-aa88-eb4ad99df514-5.exe [2014-04-13] (Freeven) Task: {F6FD5DB0-8A03-4A91-98E3-42E491F9AAF6} - System32\Tasks\3d8c097a-d75d-43d1-aa88-eb4ad99df514-3 => C:\Program Files (x86)\MediaPlayerplus\3d8c097a-d75d-43d1-aa88-eb4ad99df514-3.exe [2014-04-13] (Freeven) Task: C:\Windows\Tasks\3d8c097a-d75d-43d1-aa88-eb4ad99df514-1.job => C:\Program Files (x86)\MediaPlayerplus\MediaPlayerplus-codedownloader.exe Task: C:\Windows\Tasks\3d8c097a-d75d-43d1-aa88-eb4ad99df514-2.job => C:\Program Files (x86)\MediaPlayerplus\3d8c097a-d75d-43d1-aa88-eb4ad99df514-2.exe Task: C:\Windows\Tasks\3d8c097a-d75d-43d1-aa88-eb4ad99df514-3.job => C:\Program Files (x86)\MediaPlayerplus\3d8c097a-d75d-43d1-aa88-eb4ad99df514-3.exe Task: C:\Windows\Tasks\3d8c097a-d75d-43d1-aa88-eb4ad99df514-4.job => C:\Program Files (x86)\MediaPlayerplus\3d8c097a-d75d-43d1-aa88-eb4ad99df514-4.exe Task: C:\Windows\Tasks\3d8c097a-d75d-43d1-aa88-eb4ad99df514-5.job => C:\Program Files (x86)\MediaPlayerplus\3d8c097a-d75d-43d1-aa88-eb4ad99df514-5.exe Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-910083959-2990359175-3200047685-1000Core.job => C:\Users\PC\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-910083959-2990359175-3200047685-1000UA.job => C:\Users\PC\AppData\Local\Facebook\Update\FacebookUpdate.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SecureAssist => ""="service" ProxyServer: 127.0.0.1:8080 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab FF Plugin HKCU: @Skype Limited.com/Facebook Video Calling Plugin - C:\Users\PC\AppData\Local\Facebook\Video\Skype\npFacebookVideoCalling.dll No File C:\32788R22FWJFW C:\Program Files\Enigma Software Group C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\FLV Player.lnk C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\SysWow64\SecureAssist.ini C:\Windows\SysWow64\SecureAssistOff.ini C:\Windows\SysWow64\unrar.dll Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: rd /s /q "C:\Users\PC\Desktop\Stare dane programu Firefox" CMD: netsh winsock reset Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware Extended Update, SupraSavings, szczątkową instalację Ad-Aware Browsing Protection, oraz stary Spybot - Search & Destroy. 3. Wyczyść Firefox (ponownie): menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj MediaPlayerplus Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner. .

Podałeś mi niepoprawny log z FRST, z poprzedniego uruchomienia, zrób nowy skan: .

Są tu oznaki infekcji routera, co może być nie bez znaczenia w kontekście problemu PayPal. Ten szczególny adres IP wg Whois pochodzi z Tajwanu: KLIK. Tcpip\Parameters: [DhcpNameServer] 168.95.1.1 Ponadto są tu szczątki adware, ale to nie ma związku ze zdarzeniem podstawowym. Przeprowadź następujące działania: 1. Zresetuj ustawienia routera. Należy zmienić login i ustawienia DNS. Dodatkowo: o ile tego jeszcze nie zrobiłeś, zmień dane logowania PayPal. 2. Otwórz Notatnik i wklej w nim: R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61112 2014-04-09] (StdLib) S2 SPDRIVER_1.35.1.155; \??\C:\Program Files (x86)\ShopperPro\JSDriver\1.35.1.155\jsdrv.sys [X] HKLM-x32\...\Run: [fst_pl_31] => [X] AppInit_DLLs-x32: c:\progra~2\optimi~1\optpro~1.dll => "c:\progra~2\optimi~1\optpro~1.dll" File Not Found Task: {27EF978A-C3C0-4CA2-A6AA-EAAA7FA53ACE} - System32\Tasks\SPDriver => C:\Program Files (x86)\ShopperPro\JSDriver\1.35.1.155\jsdrv.exe Task: {2BA4CCDE-863C-4A13-98DF-A099BAAACCC1} - \bench-sys No Task File Task: {318DA270-7E35-4443-A471-32B7D355D631} - System32\Tasks\ShopperProJSUpd => C:\Program Files (x86)\ShopperPro\updater.exe Task: {3A0D27E4-DC8B-45B0-9238-DE71E4CF7D4F} - System32\Tasks\bench-Updater removing Task: {3D1C2D20-2772-4929-ABCB-0B1AF014063B} - \Show-Password Update No Task File Task: {B25F7934-45AC-4977-9B5D-66E6B3B0CF0A} - System32\Tasks\SomotoUpdateCheckerAutoStart => C:\Users\agusia\AppData\Local\FilesFrog Update Checker\update_checker.exe Task: {D8561507-60D7-45AE-B1FA-3DA18D4201CF} - \EPUpdater No Task File Task: {F71B18CF-BAD2-4DC4-9730-487173EF4B92} - System32\Tasks\ShopperPro => C:\Program Files (x86)\ShopperPro\ShopperPro.exe Task: C:\Windows\Tasks\bench-Updater removing.job => ? GroupPolicy: Group Policy on Chrome detected ProxyServer: 199.191.120.205:46760 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = AlternateDataStreams: C:\ProgramData\Temp:373E1720 C:\Program Files (x86)\mozilla firefox\extensions C:\Users\agusia\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384} C:\Users\agusia\AppData\Roaming\qone8 C:\Users\agusia\Desktop\Nowy folder (2)\McAfee Security Scan Plus.lnk C:\Windows\System32\drivers\wStLibG64.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\fst_pl_96" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\lollipop_03270551" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SPDriver" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\qone8 uninstaller" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\ShopperPro" /f CMD: netsh advfirewall reset Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Specjalny skrót Internet Explorer został błędnie naprawiony czymś (utrata specjalnego atrybutu): Shortcut: C:\Users\agusia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\agusia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Wyczyść Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale iMacros for Firefox tyrzeba będzie przeinstalować. 5. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > usuń wszystkie adresy stamtąd, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres mysearch.avg.com Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia zostaną wyłączone, więc ponownie aktywuj AdBlock. Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 6. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 7. Uruchom TFC - Temp Cleaner. 8. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .