picasso

Zastrzeżenia na temat raportów FRST: - Trzymaj się konfiguracji w przyklejonym temacie. Sekcja Drivers MD5 nie ma być zaznaczona. - Niepełny zestaw raportów z FRST, brakuje pliku Shortcut. Owszem, w systemie jest adware, ale nie jest tu aż tak wiele jak sugerujesz, tylko odpadki. Ponadto, widzę na dysku pobrany AdwCleaner, czy on był używany z opcji Usuń? Na dysku nie widać folderu C:\AdwCleaner, co sugeruje jedno z dwóch: programu nie użyto w trybie usuwania lub usunięto ten folder. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw.sys [52920 2014-05-07] (StdLib) C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw.sys Task: {36FD8DA6-140C-46E5-82A4-0363F68F3EA3} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{2BF7B26D-26E9-4F1A-9B50-3AC2925FDE72}.exe Task: {6003149D-578C-437E-B4FC-C88CE544DA04} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\Windows\TEMP\{5A68BDB3-3B7C-456B-A8EF-5230525DD098}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\Windows\TEMP\{5A68BDB3-3B7C-456B-A8EF-5230525DD098}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{2BF7B26D-26E9-4F1A-9B50-3AC2925FDE72}.exe HKLM\...\Run: [] => [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File AlternateDataStreams: C:\ProgramData\TEMP:373E1720 C:\Program Files\Mozilla Firefox\extensions C:\Program Files\mozilla firefox\plugins C:\Users\biuro3\AppData\Roaming\SuperMP3Download Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Optimizer Pro" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{fe885e3d} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > sprawdź czy widać WattcHItNioeAds (to rozszerzenie prawdopodobnie będzie już nieobecne po usunięciu polityki Google skryptem FRST) Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Jeśli pobrany AdwCleaner nie został jeszcze użyty, zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy log FRST z opcji Scan, bez Addition ale zaznacz brakujący Shortcut. Dołącz też plik fixlog.txt i log z AdwCleaner. .

Ad "odpisałeś" = jestem kobietą. Użycie MBAM = przedstaw raport co było usuwane. Na przyszłość: skoro temat był w toku, należało się wstrzymać z użyciem programu, bo usuwanie programów w pełni zainstalowanych (piję do "Lollipop") nie jest poprawną metodą. Wszystko dokładnie było widoczne w raportach gdzie są modyfikacje awesomehp, a zadania zostały tu podzielone nie dlatego, że nie wiadomo było jak to usunąć (to było akurat bardzo proste zadanie), tylko dlatego, że rezydowało tu bardzo inwazyjne adware "Settings Manager" trudne do odładowania, poważniejsza modyfikacja niż awesomehp. Dlatego została zadana deinstalacja jako krok pierwszy. Jesteśmy w połowie zadania. Jest tu jeszcze co czyścić, nadal są szczątki różnych adware, ponadto różne puste wpisy i odpadki po programach. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: IFEO\jumpflip: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe HKLM\...\AppCertDlls: [x86] -> C:\Program Files (x86)\Settings Manager\systemk\sysapcrt.dll HKLM\...\AppCertDlls: [x64] -> C:\Program Files (x86)\Settings Manager\systemk\x64\sysapcrt.dll GroupPolicy: Group Policy on Chrome detected Task: {2FED2350-3583-400B-8322-CA541957DC1C} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {3674A1DD-3F5D-454B-B692-DD0FCD0ED809} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {763D8AC0-D1F8-4977-9652-D1C2DB7E9295} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKU\S-1-5-21-1706887735-24700494-238556219-1000\...\Run: [ALLUpdate] => "F:\ALLPlayer\ALLUpdate.exe" "sleep" HKU\S-1-5-21-1706887735-24700494-238556219-1000\...\Run: [ChicaPasswordManager] => "C:\Program Files (x86)\ChicaLogic\Chica Password Manager\stpass.exe" /autorunned HKU\S-1-5-21-1706887735-24700494-238556219-1000\...\Run: [ChomikBox] => C:\Program Files (x86)\ChomikBox\ChomikBox.exe HKU\S-1-5-21-1706887735-24700494-238556219-1000\...\Run: [speedUpMyComputer] => C:\Program Files (x86)\SmartTweak\SpeedUpMyComputer\SpeedUpMyComputer.exe /ot /as /ss HKU\S-1-5-21-1706887735-24700494-238556219-1000\...\Run: [FixMyRegistry] => C:\Program Files (x86)\SmartTweak\FixMyRegistry\FixMyRegistry.exe /ot /as /ss S2 TBPanel; No ImagePath S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.default-search.net?sid=492&aid=109&itype=a&ver=12521&tm=302&src=hmp HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.com/spbasic.htm HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1395594888&from=amt&uid=ST31000528AS_9VP1CBR6XXXX9VP1CBR6&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NAV&pvid=21.2.0.38 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.com/spbasic.htm HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,SearchURL = http://home.microsoft.com/access/autosearch.asp?p=%s HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = http://www.default-search.net/search?sid=492&aid=109&itype=a&ver=12521&tm=302&src=ds&p={searchTerms} SearchScopes: HKLM-x32 - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = http://www.default-search.net/search?sid=492&aid=109&itype=a&ver=12521&tm=302&src=ds&p={searchTerms} SearchScopes: HKCU - DefaultScope Software\Microsoft\Internet Explorer\SearchScopes URL = SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = http://www.default-search.net/search?sid=492&aid=109&itype=a&ver=12521&tm=302&src=ds&p={searchTerms} BHO-x32: No Name - {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} - No File AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 C:\extensions.ini C:\Program Files\AdTrustMedia C:\Program Files\Enigma Software Group C:\Program Files (x86)\MediaBuzzV1 C:\Program Files (x86)\RichMediaViewV1 C:\Program Files (x86)\Settings Manager C:\Program Files (x86)\SmartTweak C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} C:\ProgramData\Adtrustmedia C:\ProgramData\AVG C:\ProgramData\RegClean C:\ProgramData\Wincert C:\ProgramData\WPM C:\Users\Public\Documents\GOOBZO C:\Users\Public\Documents\ShopperPro C:\Users\Szymon\.android C:\Users\Szymon\daemonprocess.txt C:\Users\Szymon\AppData\Local\34f9935e-e09f-4f97-549b-397028a012df C:\Users\Szymon\AppData\Local\AdTrustMedia C:\Users\Szymon\AppData\Local\AVG C:\Users\Szymon\AppData\Local\cache C:\Users\Szymon\AppData\Local\CrashRpt C:\Users\Szymon\AppData\Local\Mobogenie C:\Users\Szymon\AppData\Local\UpdateChecker C:\Users\Szymon\AppData\Roaming\AVG C:\Users\Szymon\AppData\Roaming\rmi C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SmartTweak Software C:\Users\Szymon\AppData\Roaming\SupTab C:\Users\Szymon\Documents\Mobogenie C:\Users\Szymon\Documents\Optimizer Pro C:\Users\Szymon\Downloads\309271-*.exe C:\Users\Szymon\Downloads\Nero_7_Sciagnij.pl*.exe C:\Users\Szymon\Downloads\Niepotwierdzony 821505.crdownload C:\Users\Szymon\Downloads\SpyHunter-Installer.exe C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP C:\Windows\system32\unrar64.dll C:\Windows\SysWOW64\unrar.dll C:\Windows\SysWOW64\GroupPolicy\GPT.INI Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner oraz zaległy raport z MBAM. .

W raportach nie notuję oznak infekcji. Tylko drobne poprawki: 1. Otwórz Notatnik i wklej w nim: SearchScopes: HKCU - {AF9F92CA-19B8-47D6-BCE5-B9B3419D7462} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=902615&p={searchTerms} CHR HKLM-x32\...\Chrome\Extension: [cikkkfooompgefbcjlgdjejfdknkheaj] - C:\Program Files (x86)\Common Files\Spigot\GC\DomainErrorHelper_1.0_0.crx [2013-09-02] CHR HKLM-x32\...\Chrome\Extension: [gpiifgmgnfdiblgpaepbmfdkcheicgof] - C:\Program Files (x86)\Common Files\Spigot\GC\nta_1.0_0.crx [2013-09-02] HKU\S-1-5-21-382561098-1241728398-2634279966-1000\...\Run: [Tiny download manager] => C:\Users\Filip\AppData\Local\DM\TinyDM.exe [288728 2014-01-22] (http://www.tinydm.com/) C:\Windows\SysWOW64\sqlite3.dll Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. W związku z tym, iż AdwCleaner grzebał mocno w preferencjach przeglądarek, a w Firefox są nadal preferencje przekierowane na Yahoo, najlepiej zresetuj ich ustawienia: - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenie FireFTP trzeba będzie przeinstalować. - Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia zostaną wyłączone i należy je ponownie zaktywować. 3. Odinstaluj Tiny Download Manager, prawdopodobnie to instalacja niechciana. 4. Uruchom TFC - Temp Cleaner. Uściślij o co konkretnie chodzi. AdwCleaner jest prostym programem, którego detekcja opiera się głównie na raportach community parającego się usuwaniem infekcji, tu nie ma klasycznej sygnaturowej bazy danych. Zasada podstawowa: najpierw należy się starać odinstalować śmieci adware poprzez Panel sterowania oraz menedżery przeglądarek, a AdwCleaner stosować jako program poprowkowy. AdwCleaner może mieć fałszywe alarmy, toteż zawsze warto się skonsultować na temat wyników jego pracy. Nie można też ustalić ogólnej zasady co robić z wynikami różnych skanerów, są ustawione domyślne akcje (kwarantanna to asekuracja na wypadek, gdyby jednak wpis miał wrócić na miejsce), ale fałszywe alarmy są możliwe. Swoją drogą to AdwCleaner wykrył głównie śmieci wprowadzane instalacją produktów IObit (komponenty "Spigot"). IObit to nie jest marka godna zaufania. Darmowe produkty są wspomagane sponsorami (instalacja adware), a sama firma ma niezbyt chlubną historię m.in. bezczelną kradzież bazy danych MBAM. Więcej o IOBit: KLIK. Tu na forum nie polecam żadnych produktów tej firmy. .

Ten dostarczony zrzut ekranu jest przecież zbyt mały, nic nie jestem w stanie odczytać. Dostarcz porządny obrazek pokazujący dokładnie wyniki, tak by ścieżki dostępu nie były ucięte. Poza tym, czy nie jesteś w stanie skopiować po prostu tych wyników i wkleić tu do posta? Co do GMER: tak, pełny skan. .

Awesomehp czy SweetPage to nie wirusy tylko adware, nabyte na jeden z tych sposobów: KLIK. I w Twoim systemie jest o wiele więcej składników adware. Program wątpliwej reputacji, on jest "polecany" przez czynniki zainteresowane jego promocją. Na początek odinstaluj określone rzeczy i doczyścimy resztę ręcznie: 1. Przez Panel sterowania odinstaluj: Lollipop, PrivDog, Rich Media View, Settings Manager, UpdateChecker. 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. .

Zestaw dostarczonych raportów niepełny: brak plików: FRST Shortcut oraz GMER. Dołącz raporty ze skanerów gdzie konkretnie zostały wykryte zagrożenia, bo sama nazwa to za mało. Czy ten "Win32:BProtect-F" przypadkiem nie jest wykrywany w Temp? Na razie w raportach nie widać oznak czynnej infekcji, więc problemy z ładowaniem stron są raczej innej natury. Zobaczymy jeszcze co powie GMER. .

W systemie jest zainstalowane adware, stąd problemy. Nabyte przypuszczalnie na jeden z tych sposobów: KLIK. Wdróż następujące działania: 1. Otwórz Notatnik i wklej w nim: () C:\Program Files (x86)\FindRight\updateFindRight.exe () C:\Program Files (x86)\FindRight\bin\utilFindRight.exe R2 Update FindRight; C:\Program Files (x86)\FindRight\updateFindRight.exe [317728 2014-05-13] () R2 Util FindRight; C:\Program Files (x86)\FindRight\bin\utilFindRight.exe [317728 2014-05-13] () R1 {42e50651-9669-456e-9081-d5a836274274}Gw64; C:\Windows\System32\drivers\{42e50651-9669-456e-9081-d5a836274274}Gw64.sys [61112 2014-04-24] (StdLib) C:\Windows\system32\Drivers\{42e50651-9669-456e-9081-d5a836274274}Gw64.sys S4 NVHDA; system32\drivers\nvhda64v.sys [X] S4 nvlddmkm; system32\DRIVERS\nvlddmkm.sys [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe BHO-x32: No Name - {2c774641-5504-46a8-b63f-6715ae3fe376} - No File Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware FindRight. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

Zrób sprawdzanie dysku z poziomu środowiska zewnętrznego: przy starcie F8 > Napraw komputer > Wiersz polecenia > wklep komendę chkdsk /f /r i ENTER. Tak zrobione sprawdzanie dysku nie nagrywa nic do Dziennika zdarzeń, więc będziesz musiał przepisać mi z ekranu co się pokazało w statystykach. .

Proszę dodać następujące informacje: - Wyniki ze skanera gdzie konkretnie (precyzyjne ścieżki dostępu) zostały wykryte tytułowe zagrożenia. - Brakujące obowiązkowe raporty: FRST i GMER. Usuwam też raport z OTL, jest niepoprawnie zrobiony, ustawione opcje "Wszystko", a ma być "Użyj filtrowania". Wróć do przyklejonej instrukcji jak ma być zrobiony raport. .

MrPLZagrajmy, w systemie jest rootkit ZeroAccess w wersji fałszywego Google (znaki Unicode i RTL), lekko czymś już naruszony. Infekcja ta usuwa z systemu liczne uługi, stąd nie działa Zapora, ale to nie wszystkie szkody i usuniętych usług jest więcej (cały układ Windows Update). Ponadto, są tu też dodatkowe infekcje, czyli BitCoin Miner ("PowerMon") i adware. Widzę, że już podejmowałeś próbę naprawy za pomocą Services Repair. To nie ma racji bytu przy czynnej infekcji. W pierwszej fazie będzie usuwanie infekcji, usługi będą rekonstruowane w drugiej fazie. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: () C:\Windows\Temp\PowerMon\PowerMon.exe HKLM\...\Policies\Explorer: [3212083974] 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un: [AdobeBridge] => [X] HKU\S-1-5-21-1948933813-2092389452-934283344-1000\...\Run: [Java] => %APPDATA%\Microsoft\jushed.exe HKU\S-1-5-21-1948933813-2092389452-934283344-1000\...\Run: [Google Update*] => [X] HKU\S-1-5-21-1948933813-2092389452-934283344-1000\...\Winlogon: [shell] C:\Windows\explorer.exe [2871808 2011-05-11] (Microsoft Corporation) Winsock: Catalog5 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5 05 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5-x64 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5-x64 05 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" S2 PowerMon; C:\Windows\Temp\PowerMon\PowerMon.exe [1958288 2013-10-11] () S2 ABConfSV; L:\ArcaVir\Common\ArcaConfSV.exe [X] S2 ABMainSV; L:\ArcaVir\ArcaVir\ArcaMainSV.exe [X] S2 ArcaRemoteService; L:\ArcaVir\ArcaAgent\ArcaRemoteSvc.exe [X] S2 AVBackup; L:\ArcaVir\ArcaTools\ArcaBackup\ArcaBackupService.exe [X] S2 AVTasks2; L:\ArcaVir\Common\ArcaTasksService.exe [X] S2 AVUpdate; L:\ArcaVir\ArcaUpdate\update.exe [X] S2 *etadpug; "C:\Program Files (x86)\Google\Desktop\Install\{91bfea6f-a31b-5e17-ffc7-599a0feb4b6c}\ \...\???\{91bfea6f-a31b-5e17-ffc7-599a0feb4b6c}\GoogleUpdate.exe" S3 ABFLT; \??\L:\ArcaVir\ArcaVir\ABFLT.sys [X] S3 ABWFP; \??\L:\ArcaVir\ArcaVir\ABWFP.sys [X] S3 ADIHdAudAddService; system32\drivers\ADIHdAud.sys [X] S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] U4 vsserv; S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] Task: {038D0BBE-0472-4FA1-95E2-8B2835CD35C8} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: {21DAA56A-3714-4959-871B-662C46A26631} - System32\Tasks\ProtectedSearch\Protected Search => C:\Program Files (x86)\Protected Search\ProtectedSearch.exe Task: {26724A2F-980C-48AB-9BB6-427C1324CE4E} - System32\Tasks\{F042A921-964B-421E-B26B-92DF97F2C874} => K:\Counter-Strike\Counter-Strike\cstrike.exe [2007-01-30] (DigitalZone ) Task: {8B7C04C2-4D76-42AF-A0AA-46C1F6590E23} - System32\Tasks\{2DCC10A8-1612-41AF-AE29-2AF48C256F76} => G:\PCFormat.exe Task: {A6381EAE-5B76-406C-9EE6-C6D6D86736DF} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: {A6E60348-036B-4C17-839D-0083BD28F4DF} - System32\Tasks\{ACE5FA09-1566-4CE9-ADC8-053C8353AEED} => D:\Minecraft.exe Task: {CA5E3229-31CE-49BB-AE66-E7455389ECD9} - System32\Tasks\{E5740F2D-A89C-408C-84BB-42B3DEE40B34} => K:\Km TPR\KM_TPR.exe [2001-11-29] () Task: {E26F85B7-E40B-42D9-AA39-59BDA631AE9C} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C ShortcutWithArgument: C:\Users\OEM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C ShortcutWithArgument: C:\Users\OEM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C ShortcutWithArgument: C:\Users\OEM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C&q={searchTerms} URLSearchHook: ATTENTION ==> Default URLSearchHook is missing. StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1390604799&from=cor&uid=395049983_397234_1C8C6C2C&q={searchTerms} SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://mysearch.avg.com/search?cid={8DB11069-4C0C-4117-97CF-7EF746977CBC}&mid=0840d4a0772647d086d9d1568027c34b-54e456de474e5148b7a2012dcce6f966901e3107&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-04-14 16:36:30&v=18.0.5.292&pid=safeguard&sg=&sap=dsp&q={searchTerms} Toolbar: HKCU - No Name - {4D594333-0076-A76A-76A7-7A786E7484D7} - No File FF Plugin-x32: @tools.bdupdater.com/BonanzaDealsLive Update;version=3 - C:\Program Files (x86)\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll No File FF Plugin-x32: @tools.bdupdater.com/BonanzaDealsLive Update;version=9 - C:\Program Files (x86)\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll No File FF Plugin HKCU: @onlive.com/OnLiveGameClientDetector,version=1.0.0 - C:\Program Files (x86)\OnLive\Plugin\npolgdet.dll No File FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\safeguard-secure-search.xml 2014-04-14 16:35 - 2014-05-08 23:24 - 00003750 _____ () C:\Program Files (x86)\Mozilla Firefoxsafeguard-secure-search.xml CHR HKLM-x32\...\Chrome\Extension: [dghncoeocefmhkhiphdgikkamjeglbfh] - C:\Program Files (x86)\mystarttb\chrome-newtab-search.crx [2014-02-01] CHR HKLM-x32\...\Chrome\Extension: [pkndmigholgfjlniaohblojbhgjbkakn] - C:\Users\OEM\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv2.crx [2014-05-14] AlternateDataStreams: C:\ProgramData:NT AlternateDataStreams: C:\Users\All Users:NT AlternateDataStreams: C:\ProgramData\Application Data:NT AlternateDataStreams: C:\ProgramData\Dane aplikacji:NT AlternateDataStreams: C:\ProgramData\Microsoft:L1aFyWqjXYyfeKbc8iV AlternateDataStreams: C:\ProgramData\Microsoft:qWrQDPQUgMdMiAmmjq4Jl1js AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT AlternateDataStreams: C:\Users\OEM\Dane aplikacji:NT AlternateDataStreams: C:\Users\OEM\Ustawienia lokalne:Dqj9xJuP4j4kSZ3FWurQZfCuaF AlternateDataStreams: C:\Users\OEM\AppData\Local:Dqj9xJuP4j4kSZ3FWurQZfCuaF AlternateDataStreams: C:\Users\OEM\AppData\Roaming:NT AlternateDataStreams: C:\Users\OEM\AppData\Local\Dane aplikacji:Dqj9xJuP4j4kSZ3FWurQZfCuaF DeleteJunctionsIndirectory: C:\Program Files\Windows Defender C:\ProgramData\*.bin C:\Program Files (x86)\mystarttb C:\Program Files (x86)\Google\Desktop C:\Users\OEM\AppData\Local\Google\Desktop C:\Users\OEM\AppData\Roaming\*.exe C:\Users\OEM\AppData\Roaming\IObit C:\Users\OEM\AppData\Roaming\QuickScan C:\Windows\Temp\PowerMon Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NortonSupport" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: copy /y "C:\Users\OEM\AppData\Local\Google\Chrome\User Data\Default\Preferences" C:\Users\OEM\Desktop\Preferences Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj zbędniki AVG SafeGuard toolbar, McAfee Security Scan Plus oraz MyFreeCodec. 3. Wyczyść Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut), GMER i Farbar Service Scanner. Dołącz też plik fixlog.txt i log z AdwCleaner. Ponadto, na Pulpicie powstał plik Preferences, zapakuj do ZIP, shostuj gdzieś i podaj link do tego pliku. .

eff385, ale tu nie koniec działań! Prosiłam o podanie raportów po przeprowadzonych działaniach.

Na zakończenie powiem, iż sprawdziłam instalację Avast i rzeczywiście również u mnie Firefox przy pierwszym uruchomieniu dłużej się rozgrzewa. .

To teraz dostarcz raporty z FRST, gdyż w systemie były widoczne obiekty adware i należy to doczyścić.

erykx94, proszę dostosuj się do zasad działu, bo podany tu zestaw raportów mocno niekompletny: KLIK. Nie dość, że brakuje pliku OTL Extras, to jeszcze brak obowiązkowych FRST i GMER. Uzupełnij wszystko. .

Jaki był cel używania DelFix zanim cokolwiek zostało tu zrobione? Log z GMER został zrobiony w złych warunkach, czyli przy czynnym emulatorze napędów wirtualnych SPTD: KLIK. Wg Shortcut masz zainstalowane DAEMON Tools Lite i Alcohol. R0 sptd; E:\WINDOWS\System32\Drivers\sptd.sys [691696 2009-12-03] () U3 a8etmdql; E:\WINDOWS\system32\Drivers\a8etmdql.sys [0 ] (Microsoft Corporation) Widzę liczne problemy w przedstawionym systemie. Po pierwsze działa tu infekcja Conficker (to ona blokuje dostęp do stron), jest również adware, a stan aktualizacji systemu krytyczny: Platform: Microsoft Windows XP Professional Dodatek Service Pack 2 (X86) OS Language: Polish Internet Explorer Version 6 Jest tu również coś nie tak z listingiem obiektów na dysku, FRST pokazuje niektóre obiekty podwójnie i to raczej nie jest przekłamanie, gdyż już był taki temat na forum i użytkownik potwierdził podwójne wyświetlanie w eksploratorze. Czyli jest tu dodatkowy problem nieznanego podłoża. Na dodatek ścieżki dostępu do katalogów profilu mają nazwy wskazujące na problem z brakiem dostępu i tworzenie antykolizyjnych nazw poprzez doklejanie fraz "Windows" i "Nazwa komputera": E:\Documents and Settings\All Users.WINDOWS E:\Documents and Settings\Radek.LZTU9NUP1182PY8 Wstępnie przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com?o=15425&l=dis URLSearchHook: HKCU - UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - E:\Program Files\Ask.com\GenericAskToolbar.dll No File BHO: Nero Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Program Files\Ask.com\GenericAskToolbar.dll No File Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - E:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () Toolbar: HKLM - Nero Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - E:\Program Files\Ask.com\GenericAskToolbar.dll No File Toolbar: HKCU - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - E:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () HKLM\...\Run: [TimeSink Ad Client] => E:\Program Files\TimeSink\AdGateway\TsAdBot.exe [95744 1999-10-15] (Conducent Technologies, Inc.) HKU\S-1-5-21-1957994488-73586283-682003330-1003\...\Run: [cbvcs] => E:\WINDOWS\System32\urretnd.exe HKU\S-1-5-21-1957994488-73586283-682003330-1003\...\Run: [cdoosoft] => E:\DOCUME~1\RADEK~1.LZT\USTAWI~1\Temp\herss.exe S2 ADILOADER; System32\Drivers\adildr.sys [X] S3 adiusbaw; System32\DRIVERS\adiusbaw.sys [X] S4 hpt3xx; No ImagePath S2 mvqpbaptc; E:\WINDOWS\system32\mamfpuyt.dll [164746 2004-08-04] () NETSVC: mvqpbaptc -> E:\WINDOWS\system32\mamfpuyt.dll () ListPermissions: E:\WINDOWS\system32\mamfpuyt.dll E:\WINDOWS\system32\mamfpuyt.dll E:\Program Files\TimeSink E:\Documents and Settings\Radek.LZTU9NUP1182PY8\Ustawienia lokalne\Temp*.html C:\autorun.VIR Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj adware DAEMON Tools Toolbar, webget oraz niebezpieczne dziurawe starocie Java i Firefox: ==================== Installed Programs ====================== DAEMON Tools Toolbar (HKLM\...\DAEMON Tools Toolbar) (Version: 1.1.1.0014 - DT Soft Ltd) Java 2 Runtime Environment Standard Edition v1.3.1_03 (HKLM\...\JRE 1.3.1_03) (Version: - ) Java™ 6 Update 17 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216017FF}) (Version: 6.0.170 - Sun Microsystems, Inc.) Mozilla Firefox (3.5.13) (HKLM\...\Mozilla Firefox (3.5.13)) (Version: 3.5.13 (en-US) - Mozilla) webget (HKLM\...\webget) (Version: 2014.05.11.124632 - webget) 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) + GMER (po usunięciu SPTD). Dołącz też plik fixlog.txt. .

OK, jeśli coś nie usunęło się, dokończ ręcznie. Temat rozwiązany. Zamykam. .

aqurato, masz przecież wszystko na temat aktualizacji w przyklejonym temacie: KLIK. U Ciebie w systemie jest wersja Java 7 Update 51 w wersji 32-bit, pobierasz więc 55. W linkowanym temacie klik w link "Pobieranie" > na stronie w sekcji Java SE 7u55 klik w JRE Download > Accept > wybierasz paczkę Windows x86 Offline (paczka 32-bit). .

Obecny plik Addition nie pokazuje już tych wpisów. Nie wiem jakim sposobem zniknęły, skoro Fix ich nie przetwarzał. Problemu jednak już nie ma i kończ sprawy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku te foldery: C:\Documents and Settings\Admin\Pulpit\Stare dane programu Firefox C:\Kaspersky Rescue Disk 10.0 C:\MATS Zastosuj też narzędzie DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. .

Dostarczone wyciągi z Dziennika zdarzeń są nieodpowiednie, skopiowałeś hurtem różne błędy z pominięciem zasadniczego rekordu ze sprawdzania dysku. Jeśli na pewno sprawdzenia dysku zostało wykonane przy restarcie systemu, masz dostarczyć wyniki konkretnego jednego rekordu: Rekord ma wyglądać mniej więcej w taki sposób: Nazwa dziennika:Application Źródło: Microsoft-Windows-Wininit Data: .... Identyfikator zdarzenia:1001 (...) Sprawdzanie systemu plików na C: .

Ogólnie podaje się tu raporty wymagane działem: KLIK (FRST, OTL i GMER). Raporty te są w stanie przedstawić tylko bieżący skanowany system Windows oraz znak pośredni infekcji routera (wartość DhcpNameServer). Nie ma narzędzi pozwalających uściślić ten rodzaj infekcji na poziomie routera. I jeśli to router jest zainfekowany, musisz się dostać do jego ustawień i je zresetować (ustawienia DNS oraz login). .

Proszę uzupełnij wymagane raporty FRST i GMER.

Czy na pewno wirus jest tylko tam wykrywany, robiłeś pełny skan? Objaw brzmi niepokojąco, tak jakby wirus działał, a do System Volume Information były kopiowane obiekty zarażone w innych miejscach. USBFix nie zajmuje się usuwaniem wirusów tego typu (wirus może być przecież w wykonywalnym). Tu najlepiej sformatować pendrive. .

Skrypt wykonany. Jeśli chodzi o Internet Explorer, sprawdź jeszcze czy coś da reset przeglądarki: Opcje internetowe > Zaawansowane > Resetuj. To działanie wyłączy paski Google i Windows Live, których notabene i tak można się pozbyć poprzez kompletną deinstalację. Jeśli nie pomoże, to podtrzymuję wersję z ESET i należy sprawdzić czy ma on wpływ na zachowanie przeglądarki. .

Możemy kończyć: 1. Uruchom TFC - Temp Cleaner. 2. Odinstaluj USBFix. Skasuj ręcznie używane narzędzia z folderu C:\Users\Dusiek\Desktop\Downloads. Zastosuj DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj cały Windows i resztę podanych niżej programów, stan obecny: Windows 7 Home Premium (X64) OS Language: Polish Internet Explorer Version 8 ==================== Installed Programs ====================== Adobe Flash Player 10 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 10.0.45.2 - Adobe Systems Incorporated) Adobe Reader X (10.1.6) (HKLM-x32\...\{AC76BA86-7AD7-1033-7B44-AA1000000001}) (Version: 10.1.6 - Adobe Systems Incorporated) Java 7 Update 40 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217040FF}) (Version: 7.0.400 - Oracle) Java™ 6 Update 20 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86416020FF}) (Version: 6.0.200 - Sun Microsystems, Inc.) Java™ 6 Update 34 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83216034FF}) (Version: 6.0.340 - Oracle) Mozilla Firefox 28.0 (x86 pl) (HKLM-x32\...\Mozilla Firefox 28.0 (x86 pl)) (Version: 28.0 - Mozilla) OpenOffice.org 3.3 (HKLM-x32\...\{0141D498-16DA-4221-A529-1D7A64BE8B05}) (Version: 3.3.9567 - OpenOffice.org) Te wszystkie stare Adobe i Java do deinstalacji, OpenOffice.org należy zastąpić najnowszą wersją, by interpretował najnowszą Java.

Ten dodatek avast! Online Security był już wcześniej sprawdzany i jego wyłączanie nie przynosiło rezultatu (tryb awaryjny Firefox). W związku z tym, że wychodzi na to, iż to jednak rozszerzenie Avast ma coś do rzeczy, ja tu więcej nie zaradzę. Proponuję zostawić jak jest, to tylko pierwsze uruchomienie przeglądarki jest dłuższe. I zakończ poprzednie czyszczenie: 1. Uruchom TFC - Temp Cleaner. 2. Usuń używane narzędzia z folderu D:\Inne\frst oraz folder "Stare dane programu Firefox" z Pulpitu. Popraw za pomocą DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Do aktualizacji te trzy programy: Internet Explorer Version 9 ==================== Installed Programs ====================== Java 7 Update 51 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217045FF}) (Version: 7.0.510 - Oracle) Mozilla Firefox 29.0 (x86 pl) (HKLM-x32\...\Mozilla Firefox 29.0 (x86 pl)) (Version: 29.0 - Mozilla) Dla jasności to Java 32-bit a nie 64-bit (64-bitowa jest już w nowszej wersji). .