Skocz do zawartości

picasso

Administratorzy
 Pokaż profil  Zobacz aktywność

  • Postów

    36 524

  • Dołączył

  • Ostatnia wizyta

 Typ zawartości 

Treść opublikowana przez picasso

  1. picasso
    Ale w linku są podane dwie gałęzie Opery do aktualizacji, nowa 15+ (silnik Blink) i stara do 12 (silnik Presto). Rozumiem, że nie chcesz "przeskoczyć" na nową opartą na Blink, ale zaktualizuj starą 11 do wersji 12. Linki: KLIK. .
  2. picasso
    Jeśli mówisz o obiekcie tego rodzaju (równy nazwie konta): To jest tylko wirtualny skrót do ścieżki C:\Users\Twoje konto. Wchodzisz tam, klikasz prawym na wybrane foldery (np. Moje dokumenty, Moja muzyka, Pobrane...) > Właściwości > Lokalizacja > Przenieś. Nie wszystkie foldery udostępniają tę opcję. Tzn. ukryty folder AppData nie podlega tej metodzie migracji.
  3. picasso
    Mówiłam, że skan długo portwa, tylko sugerowałam skan każdego dysku z osobna. Załączyłeś je hurtem do skanu?
  4. picasso
    W skanie SFC nic związanego z usterką. Poproszę o log z Farbar Service Scanner.
  5. picasso
    Skoro tak, to skasuj tę usługę. Otwórz Notatnik i wklej w nim: S2 HPSLPSVC; C:\Users\Home\AppData\Local\Temp\7zS3610\hpslpsvc64.dll [X] Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .
  6. picasso
    W raportach brak śladów tej infekcji, wnioskuję więc, iż McAfee sobie poradził. Problem z adware nadal występuje, gdyż jest czynny proces ochronny qone8 (PluginService.exe), dodatkowo nadal multum modyfikacji w rejestrze, a także niektóre skróty LNK są zmodyfikowane, by otwierać ten URL. FRST i OTL to narzędzia nieinwazyjne, więc odpadają. Jedynie GMER mógłby mieć coś do rzeczy (wróć do opisu GMER i sekcji "Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP)"), ale to przeważnie dotyczy XP, ponadto notowalne byłyby szersze objawy. Tu co innego zwraca uwagę: oba komputery łaczy rozgałęziona instalacja McAfee. Czyszczenie adware: 1. Otwórz Notatnik i wklej w nim: (Cherished Technololgy LIMITED) C:\ProgramData\IePluginService\PluginService.exe R2 IePluginService; C:\ProgramData\IePluginService\PluginService.exe [705136 2014-04-11] (Cherished Technololgy LIMITED) S2 Update WebSpades; "C:\Program Files (x86)\WebSpades\updateWebSpades.exe" [X] U3 BcmSqlStartupSvc; U2 IviRegMgr; U2 RichVideo; U3 SQLWriter; HKLM-x32\...\Run: [] => [X] HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\...\Policies\Explorer: [NoFolderOptions] 0 Task: {1667B1D9-00E7-4A1B-802E-752B7C7A631B} - System32\Tasks\711bd280-00bb-4a68-b469-95176701eb0f-4 => C:\Program Files (x86)\FreeHD-Sport TV V9.0\711bd280-00bb-4a68-b469-95176701eb0f-4.exe Task: {846548C0-B959-4D7E-A54C-9A8AA9EA273C} - System32\Tasks\711bd280-00bb-4a68-b469-95176701eb0f-1 => C:\Program Files (x86)\FreeHD-Sport TV V9.0\FreeHD-Sport TV V9.0-codedownloader.exe Task: {DF5FBBCB-C339-4AA1-B4D8-8863B1A33BB9} - System32\Tasks\711bd280-00bb-4a68-b469-95176701eb0f-3 => C:\Program Files (x86)\FreeHD-Sport TV V9.0\711bd280-00bb-4a68-b469-95176701eb0f-3.exe Task: {F811DF53-895A-4F28-952C-EFD73C9B99D4} - System32\Tasks\{FB1EB8AF-ABC6-478B-97C6-3F3B8652C20A} => Chrome.exe http://ui.skype.com/ui/0/6.3.59.105/pl/abandoninstall?page=tsBing Task: C:\windows\Tasks\711bd280-00bb-4a68-b469-95176701eb0f-1.job => C:\Program Files (x86)\FreeHD-Sport TV V9.0\FreeHD-Sport TV V9.0-codedownloader.exe Task: C:\windows\Tasks\711bd280-00bb-4a68-b469-95176701eb0f-3.job => C:\Program Files (x86)\FreeHD-Sport TV V9.0\711bd280-00bb-4a68-b469-95176701eb0f-3.exe Task: C:\windows\Tasks\711bd280-00bb-4a68-b469-95176701eb0f-4.job => C:\Program Files (x86)\FreeHD-Sport TV V9.0\711bd280-00bb-4a68-b469-95176701eb0f-4.exe ShortcutWithArgument: C:\Users\WIECZORECZKI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916 ShortcutWithArgument: C:\Users\WIECZORECZKI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916 ShortcutWithArgument: C:\Users\WIECZORECZKI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.qone8.com/?type=hp&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qone8.com/web/?type=ds&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.qone8.com/?type=hp&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qone8.com/web/?type=ds&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qone8.com/web/?type=ds&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.qone8.com/?type=hp&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.qone8.com/web/?type=ds&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916&q={searchTerms} SearchScopes: HKCU - DefaultScope {E613F2CF-288A-42B9-8D47-D4E572DCE99A} URL = http://www.google.com/search?hl=pl&q={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119776&tt=100313_9111pl&babsrc=SP_ss&mntrId=E08F002682B13EEB SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1398797844&from=ild&uid=WDCXWD5000BEVT-24A0RT0_WD-WX41A40E7916E7916&q={searchTerms} BHO-x32: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files (x86)\SupTab\SupTab.dll (Thinknice Co. Limited) Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Handler-x32: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL No File Handler-x32: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL No File FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird FF HKCU\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 C:\Program Files (x86)\SupTab C:\ProgramData\IePluginService C:\ProgramData\WPM C:\Users\WIECZORECZKI\AppData\Roaming\Babylon C:\Users\WIECZORECZKI\AppData\Roaming\ESET C:\Users\WIECZORECZKI\AppData\Roaming\Mozilla C:\Users\WIECZORECZKI\AppData\Roaming\SupTab C:\windows\SysWow64\unrar.dll Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adres qone8, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres qone8 Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy qone8. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .
  7. picasso
    Problemem jest usługa Windows Update w stanie Wyłączonym: S4 wuauserv; C:\Windows\system32\wuaueng.dll [1933848 2012-06-03] (Microsoft Corporation) Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Windows Update i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie). Po tej operacji ponów podejście z "Narzędziem analizy gotowości aktualizacji systemu". .
  8. picasso
    Podaj wyciąg z weryfikacji plików. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. .
  9. picasso
    Pobierz ponownie FRST i zrób skan, ale tym razem w sekcji Services odfajkuj pozycję Whitelist. Dodatkowe raporty Addition i Shortcut zbędne. .
  10. picasso
    W GMER nic podejrzanego. DelFix na pewno nie jest powiązany. Użyłeś GMER, toteż do wglądu Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. .
  11. picasso
    Temat przenoszę do działu diagnostyki infekcji. Mamy tutaj ogromne śmietnisko adware oraz przestarzały Norton Internet Security. Akcje wstępne: 1. Otwórz Notatnik i wklej w nim: () C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe () C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe (Akamai Technologies, Inc.) C:\Users\Kamil\AppData\Local\Akamai\netsession_win.exe (Akamai Technologies, Inc.) C:\Users\Kamil\AppData\Local\Akamai\netsession_win.exe R2 BitGuard; C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe [3780064 2013-11-18] () S2 bonanzadealslive; C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-12-12] (BonanzaDeals) S3 bonanzadealslivem; C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-12-12] (BonanzaDeals) S3 ALSysIO; \??\C:\Users\Kamil\AppData\Local\Temp\ALSysIO64.sys [X] S3 dump_wmimmc; \??\C:\AeriaGames\WolfTeam-PL\GameGuard\dump_wmimmc.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 X6va007; \??\C:\Users\Kamil\AppData\Local\Temp\0074C7A.tmp [X] S3 X6va008; \??\C:\Windows\SysWOW64\Drivers\X6va008 [X] HKU\S-1-5-21-4004612957-2434042554-4162887488-1002\...\Run: [Akamai NetSession Interface] => C:\Users\Kamil\AppData\Local\Akamai\netsession_win.exe [4672920 2014-04-17] (Akamai Technologies, Inc.) HKU\S-1-5-21-4004612957-2434042554-4162887488-1002\...\Run: [backgroundContainer] => "C:\Windows\SysWOW64\Rundll32.exe" "C:\Users\Kamil\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll",DllRun AppInit_DLLs: c:\progra~3\bitguard\271832~1.68\{c16c1~1\loader.dll => C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\loader.dll [1958880 2013-11-18] () AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll File Not Found AppInit_DLLs-x32: c:\progra~3\bitguard\271832~1.68\{c16c1~1\bitguard.dll => C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.dll [3618304 2013-11-18] () HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT3031607&CUI=UN36657972239928124 HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=66019 HKCU\Software\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = http://www.crawler.com/homepage.aspx?tbid=66019 HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=8205CC52AF0CA0F9&affID=123627&tsp=4977 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bing.com?pc=HPNTDF HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.funmoods.com/?f=1&a=nv1&chnl=nv1&cd=2XzuyEtN2Y1L1Qzu0C0CyDtB0A0FtCyC0FyDtCtDtB0FtDyCtN0D0Tzu0CtBtBzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1843585367 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://websearch.searchannel.info/?pid=356&r=2013/07/15&hid=4116392465&lg=EN&cc=PL&unqvl=24 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,CustomizeSearch = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch URLSearchHook: HKLM-x32 - SFT_eng7 Toolbar - {08d6b0b4-c132-470d-a8e2-aa2e9c3851c9} - C:\Program Files (x86)\SFT_eng7\prxtbSFT1.dll (Conduit Ltd.) URLSearchHook: HKLM-x32 - XfireXO Toolbar - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Program Files (x86)\XfireXO\prxtbXfir.dll (Conduit Ltd.) URLSearchHook: HKCU - (No Name) - {0b1be383-efa8-44d5-a7c2-9a39594575a1} - No File URLSearchHook: HKCU - (No Name) - {687578b9-7132-4a7a-80e4-30ee31099e03} - No File URLSearchHook: HKCU - (No Name) - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - No File URLSearchHook: HKCU - XfireXO Toolbar - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Program Files (x86)\XfireXO\prxtbXfir.dll (Conduit Ltd.) URLSearchHook: HKCU - SFT_eng7 Toolbar - {08D6B0B4-C132-470D-A8E2-AA2E9C3851C9} - C:\Program Files (x86)\SFT_eng7\prxtbSFT1.dll (Conduit Ltd.) URLSearchHook: HKCU - (No Name) - {8F3C1D75-D467-43C2-9A36-655366B76F5F} - No File URLSearchHook: HKCU - (No Name) - {D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM - {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF SearchScopes: HKLM - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=nv1&chnl=nv1&cd=2XzuyEtN2Y1L1Qzu0C0CyDtB0A0FtCyC0FyDtCtDtB0FtDyCtN0D0Tzu0CtBtBzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1843585367 SearchScopes: HKLM-x32 - DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=nv1&chnl=nv1&cd=2XzuyEtN2Y1L1Qzu0C0CyDtB0A0FtCyC0FyDtCtDtB0FtDyCtN0D0Tzu0CtBtBzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1843585367 SearchScopes: HKLM-x32 - Backup.Old.DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF SearchScopes: HKLM-x32 - {48146AB2-C20C-FAFF-6300-342C04894EFD} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={F783AE69-A1B9-41CD-A3F8-A4680576D4FA} SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031818 SearchScopes: HKLM-x32 - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchannel.info/?l=1&q={searchTerms}&pid=356&r=2013/07/15&hid=4116392465&lg=EN&cc=PL&unqvl=24 SearchScopes: HKLM-x32 - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=nv1&chnl=nv1&cd=2XzuyEtN2Y1L1Qzu0C0CyDtB0A0FtCyC0FyDtCtDtB0FtDyCtN0D0Tzu0CtBtBzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1843585367 SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=8205CC52AF0CA0F9&affID=123627&tsp=4977 SearchScopes: HKCU - Backup.Old.DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=8205CC52AF0CA0F9&affID=123627&tsp=4977 SearchScopes: HKCU - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} URL = http://www.crawler.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=66019 SearchScopes: HKCU - {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF SearchScopes: HKCU - {48146AB2-C20C-FAFF-6300-342C04894EFD} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={F783AE69-A1B9-41CD-A3F8-A4680576D4FA} SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKCU - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchannel.info/?l=1&q={searchTerms}&pid=356&r=2013/07/15&hid=4116392465&lg=EN&cc=PL&unqvl=24 SearchScopes: HKCU - {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92541439576545498 SearchScopes: HKCU - {DC5E4BA6-DF9A-4B50-8793-F2E1E86AE7ED} URL = http://websearch.ask.com/redirect?client=ie&tb=MPC2&o=41647997&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=8E&apn_dtid=YYYYYYM3PL&apn_uid=533CC4A5-0CC9-4545-ACBF-0D7BC30F7F90&apn_sauid=F737CFDB-CD73-4C38-B3E8-FA25E5BA22F2 SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=nv1&chnl=nv1&cd=2XzuyEtN2Y1L1Qzu0C0CyDtB0A0FtCyC0FyDtCtDtB0FtDyCtN0D0Tzu0CtBtBzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1843585367 BHO: No Name - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No File BHO-x32: SFT_eng7 Toolbar - {08d6b0b4-c132-470d-a8e2-aa2e9c3851c9} - C:\Program Files (x86)\SFT_eng7\prxtbSFT1.dll (Conduit Ltd.) BHO-x32: SearchNewTab - {5D86AEED-4901-3F66-15F9-16DD3C0DC49A} - C:\ProgramData\SearchNewTab\51e3c57f0fbb2.dll () BHO-x32: XfireXO Toolbar - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Program Files (x86)\XfireXO\prxtbXfir.dll (Conduit Ltd.) BHO-x32: Funmoods Helper Object - {75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} - C:\Program Files (x86)\Funmoods\1.5.23.22\bh\escort.dll (Funmoods BHO) BHO-x32: DealPly - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files (x86)\DealPly\DealPlyIE.dll (DealPly Technologies Ltd) BHO-x32: saafE ssaVVe - {F55BBBC2-9184-D971-498B-6E35789043CC} - C:\ProgramData\saafE ssaVVe\51e3c5714ef0e.dll () BHO-x32: Yontoo - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files (x86)\Yontoo\YontooIEClient.dll (Yontoo LLC) BHO-x32: BonanzaDeals - {fe063412-bea4-4d76-8ed3-183be6220d17} - C:\Program Files (x86)\BonanzaDeals\BonanzaDealsIE.dll (BonanzaDeals) Toolbar: HKLM-x32 - SFT_eng7 Toolbar - {08d6b0b4-c132-470d-a8e2-aa2e9c3851c9} - C:\Program Files (x86)\SFT_eng7\prxtbSFT1.dll (Conduit Ltd.) Toolbar: HKLM-x32 - No Name - {98889811-442D-49dd-99D7-DC866BE87DBC} - No File Toolbar: HKLM-x32 - Funmoods Toolbar - {A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - C:\Program Files (x86)\Funmoods\1.5.23.22\escorTlbr.dll (Funmoods) Toolbar: HKLM-x32 - XfireXO Toolbar - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Program Files (x86)\XfireXO\prxtbXfir.dll (Conduit Ltd.) Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Toolbar: HKCU - No Name - {08D6B0B4-C132-470D-A8E2-AA2E9C3851C9} - No File Toolbar: HKCU - No Name - {8F3C1D75-D467-43C2-9A36-655366B76F5F} - No File Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKCU - No Name - {D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0} - No File Toolbar: HKCU - No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File Toolbar: HKCU - No Name - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No File Toolbar: HKCU - No Name - {0B1BE383-EFA8-44D5-A7C2-9A39594575A1} - No File Toolbar: HKCU - No Name - {687578B9-7132-4A7A-80E4-30EE31099E03} - No File CHR HKLM\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\Kamil\AppData\Local\funmoods.crx [2012-08-15] CHR HKLM\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\Kamil\AppData\Local\funmoods-speeddial.crx [2012-08-15] CHR HKCU\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\Kamil\AppData\Local\funmoods.crx [2012-08-15] CHR HKCU\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\Kamil\AppData\Local\funmoods-speeddial.crx [2012-08-15] CHR HKCU\...\Chrome\Extension: [ejpbbhjlbipncjklfjjaedaieimbmdda] - C:\Users\Kamil\AppData\Local\CRE\ejpbbhjlbipncjklfjjaedaieimbmdda.crx [2012-08-26] CHR HKCU\...\Chrome\Extension: [gaiilaahiahdejapggenmdmafpmbipje] - C:\Program Files (x86)\DealPly\DealPly.crx [2011-08-14] CHR HKCU\...\Chrome\Extension: [pacgpkgadgmibnhpdidcnfafllnmeomc] - C:\Users\Kamil\AppData\Local\CRE\pacgpkgadgmibnhpdidcnfafllnmeomc.crx [2012-04-17] CHR HKLM-x32\...\Chrome\Extension: [bbjciahceamgodcoidkjpchnokgfpphh] - C:\Users\Kamil\AppData\Local\funmoods.crx [2012-08-15] CHR HKLM-x32\...\Chrome\Extension: [bcbmkfppgaodmedidlnmaejnfbjgegfb] - C:\Users\Kamil\AppData\Local\Temp\ccex.crx [2012-08-15] CHR HKLM-x32\...\Chrome\Extension: [bpeeepmahhfjiediknjejcmcfmjcjdck] - C:\Users\Kamil\AppData\Local\Google\Chrome\User Data\Default\Extensions\serach.crx [2012-08-15] CHR HKLM-x32\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\Kamil\AppData\Local\funmoods-speeddial.crx [2012-08-15] CHR HKLM-x32\...\Chrome\Extension: [dkdkpmmkgdbglmfmmmmehbkmnkopingb] - C:\Users\Kamil\AppData\Local\Google\Chrome\User Data\Default\Extensions\v9-toolbar.crx [2012-08-15] CHR HKLM-x32\...\Chrome\Extension: [ejpbbhjlbipncjklfjjaedaieimbmdda] - C:\Users\Kamil\AppData\Local\CRE\ejpbbhjlbipncjklfjjaedaieimbmdda.crx [2012-08-26] CHR HKLM-x32\...\Chrome\Extension: [gaiilaahiahdejapggenmdmafpmbipje] - C:\Program Files (x86)\DealPly\DealPly.crx [2011-08-14] CHR HKLM-x32\...\Chrome\Extension: [jcdgjdiieiljkfkdcloehkohchhpekkn] - C:\Users\Kamil\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetFB.crx [2012-03-12] CHR HKLM-x32\...\Chrome\Extension: [kdidombaedgpfiiedeimiebkmbilgmlc] - C:\Program Files (x86)\DefaultTab\DefaultTab.crx [2012-07-17] CHR HKLM-x32\...\Chrome\Extension: [niapdbllcanepiiimjjndipklodoedlc] - C:\Program Files (x86)\Yontoo\YontooLayers.crx [2012-10-02] CHR HKLM-x32\...\Chrome\Extension: [pacgpkgadgmibnhpdidcnfafllnmeomc] - C:\Users\Kamil\AppData\Local\CRE\pacgpkgadgmibnhpdidcnfafllnmeomc.crx [2012-04-17] CHR HKLM-x32\...\Chrome\Extension: [pmlghpafmmnmmkjdhacccolfgnkiboco] - C:\Program Files (x86)\1ClickDownload\oneclickdownloader11.crx [2012-04-17] Task: {05833640-FF70-42FC-9C99-0EB6FAEB4B75} - System32\Tasks\{23B33F0C-60D8-452A-9AC8-E1E20384E0DB} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {067D29A1-778E-40DB-9F1A-3E1827522049} - System32\Tasks\{893CD080-2C13-4652-8DE2-E0AAF2399D72} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {06B50A54-D0C8-4AD2-B4DA-DFA4F7CCA6A4} - System32\Tasks\{34495EE6-3246-417C-A960-43C2FE20C11F} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {08B7FCBF-5F16-4F12-A0D3-A1AE5D85739A} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-12-12] (BonanzaDeals) Task: {094E46B3-D425-489C-9F36-A52BB22000F1} - System32\Tasks\{FD9569EC-4A01-4B41-A18A-EEB2BA98C992} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {1764B151-2C49-4FC8-9D7E-ED32CA9DEFDD} - System32\Tasks\{483B261A-4C71-448F-9655-C3FC271278FC} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {20FF7F9E-2410-4E79-89B7-70DE64B0A018} - System32\Tasks\{0E249FEE-4810-45F5-A71F-034819F9B5CB} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {2A010D0B-CC84-4F7C-8913-075EE918EA9B} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-12-12] (BonanzaDeals) Task: {2F0DEA7C-6689-42DC-B483-ADA62F5B3C72} - System32\Tasks\{BA7E7207-476E-4DA1-8F8D-40253C9BEE45} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {317BA980-DC92-4B47-908C-3A7F26BB96BA} - System32\Tasks\{7A77044C-2528-47B6-9BBB-C6F42B4B7ACE} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {34DDFDCA-E14E-4A16-BD67-C40987B52CA0} - System32\Tasks\{67E14771-44F7-4163-A9C3-CE499FD2CEC6} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {34FF8A1E-A337-483A-BAE6-9477D2F27733} - System32\Tasks\{09B13C84-B051-4627-A1FA-20CC654A98E7} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {37EDC935-D218-47B8-98D1-2645EFB2F3F0} - System32\Tasks\{1FADEBBB-1F6E-4AF4-AD73-A62BE5AC8BE4} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {38B69EB7-1348-485D-8344-4570E89A457E} - System32\Tasks\{21067B93-6C19-4625-A9A8-8429CB9B0BE1} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {3DFEB094-E46F-4B4B-A832-A8ACF8D21420} - System32\Tasks\{509EC5B8-44BA-4B2C-A9E9-86B27D44DEDE} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {403FCDE9-E2FA-4FEF-AC55-E3A48ABCB33A} - System32\Tasks\{93F05A31-0661-4163-9B7C-2A4D38D3F9CA} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {45595F55-4754-435F-9D7C-D1406A73A1B4} - System32\Tasks\{ED0D62DF-F38F-4B61-A5F0-8004C4150978} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {51A3D366-8AC0-42D0-9DFB-57B963EF2DD3} - System32\Tasks\{F057FAA9-1DFF-4B1D-8C2A-61DD9027433C} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {574ED724-7CD3-4166-A3C6-3123576FE422} - System32\Tasks\{E396B9D5-4E92-4C51-87BA-936282F2933D} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {58184A59-6FB0-4CAA-BFCF-D91C6C0AA7EE} - System32\Tasks\{3982679F-2137-4D9E-8A5E-E7633BCF15BB} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {5A0B87FC-AAC6-4F8A-A363-33111DA42D87} - System32\Tasks\{45903F58-F9B2-43B4-A4D9-DEFE3461CF12} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {5AF03A46-D844-411D-AD60-6CF5E5EEFE4C} - System32\Tasks\{34E16D11-20F4-4BE1-93E2-F72937504A43} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {5FB956A0-38C0-4B88-88D5-AA303CEE355C} - System32\Tasks\{0E1511D2-7625-4F83-BBF4-76F7A02486BB} => C:\Users\Kamil\Desktop\League of Legends\lol.launcher.admin.exe Task: {62D7AE99-7654-4977-835D-3840AF463EB8} - System32\Tasks\{8C3CD98B-D1DE-4A32-BD4E-8A11571ACE08} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {63724774-AF37-42D0-9FD3-7339F3A5FF24} - System32\Tasks\{2E06BF70-5AEE-426A-A906-52CB14925D5E} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {6472557C-DA6B-4808-ABDF-D6D8E4535D36} - System32\Tasks\{A2B1DAF2-487F-497A-B431-21288B4539F6} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {65E8A5A2-35F3-4C8D-B085-7F8499A9B151} - System32\Tasks\{31F2631B-C0D1-4C58-B059-BB4C48F6CD0A} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {677F9ED2-C878-4C90-AE53-5E59DD05C47B} - System32\Tasks\{EA125673-E5EF-4563-9B18-59D4E161D027} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {70F48D1A-A2F1-41D7-93CB-9F7EC95E9B84} - System32\Tasks\DealPly => C:\Users\Kamil\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe [2013-02-11] () Task: {77063089-B1F6-42FC-888F-B795F8B7743D} - System32\Tasks\{D0696ACB-B926-4933-BC11-4D95FA476A50} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {77C428F0-54A8-4AAE-9BF8-FFCF0AFF209B} - System32\Tasks\{96F125C8-EF75-422E-B591-24A96C78E326} => Firefox.exe http://ui.skype.com/ui/0/4.2.0.155.161/pl/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;notincluded,google-chrome:notoffered;notincluded Task: {79EA8F65-2B4C-414E-B9BE-66924A964DCF} - System32\Tasks\BackgroundContainer Startup Task => Rundll32.exe "C:\Users\Kamil\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll",DllRun Task: {7AA488DD-2950-4175-A82D-E004E20A9045} - System32\Tasks\BonanzaDealsUpdate => C:\Program Task: {8017D989-21DC-4FAD-A5FC-9EB19DA84D30} - System32\Tasks\{073D24C4-65D6-4E31-8AB4-B02A53443D38} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {870FD5A0-16E7-4362-A118-E7F18B681B16} - System32\Tasks\{3797D4F9-3482-41CD-9759-6F2F0C3E91FA} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {8A817A0F-CCFE-4A67-865E-45F9FD9F2729} - System32\Tasks\{C3A4A0A7-49AE-4ADF-B9A3-F410BB72769D} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {A3ACA301-E8BF-4F6C-98D1-3C41A6A49D08} - System32\Tasks\{300DF856-FFE9-4E29-BF99-235F64F4469B} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {A549191C-2430-4BE4-B13E-56534C086A6A} - System32\Tasks\{0F3F8CAD-6583-4950-ABD4-7D47C57FE727} => C:\Users\Kamil\Desktop\League of Legends\lol.launcher.admin.exe Task: {AA0C6FAF-0A3B-4D0E-ACFA-AAAD071CDB72} - System32\Tasks\{CE8223AC-A30F-44B7-9CE5-ECC359FEFD78} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {AA60BE16-F3A0-406E-807E-E6727C839E7F} - System32\Tasks\BitGuard => Sc.exe start BitGuard Task: {B40A8724-90E2-4949-88CA-81E19BBFA4F9} - System32\Tasks\bProtector => Sc.exe start bProtector Task: {B5D94426-C417-4F6B-866D-B28BF5FBBF48} - System32\Tasks\{909190A1-9E8E-4D1F-96C6-8C12D0167C21} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {B8924651-9AA4-4887-8E31-AD55EE2FE725} - System32\Tasks\{FC4FFC05-DEEB-4BEC-83F1-C2E4E4EA018E} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {C4239F52-6B70-4EE3-A2C6-56B4EBC31F91} - System32\Tasks\{84B8A8BA-9BB6-4C4C-AA05-E15CEE93291E} => C:\Users\Kamil\Downloads\pandoraMT2 yanghack.exe Task: {D0B81601-5A6B-4134-8F61-D10FEF739E80} - System32\Tasks\{3FE9712A-0375-48B7-B1D2-FBD5715648F0} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {D9BF7FFE-33A6-43CB-9E95-3EB1FC6B9332} - System32\Tasks\{F2A13E7D-933F-4A18-A1C8-5EB5379ADFC4} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {E12FD004-D023-4F61-9ECA-BE9C13C6B9E3} - System32\Tasks\{ABBCD216-4A29-4E0B-BB94-D85CEEEEAD91} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: {EE613397-FF68-437E-A420-DEEEDF3A5E31} - System32\Tasks\{E02F5F7E-7C65-41D1-9E32-0E044D63E876} => Firefox.exe http://ui.skype.com/ui/0/4.2.0.155.161/pl/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;notincluded,google-chrome:notoffered;notincluded Task: {EED9FD7D-663A-4B29-8E93-BC56146F6A3C} - System32\Tasks\{06EC7120-88B2-42CF-8CD7-F24B6ED62038} => C:\Users\Kamil\Desktop\Minecraft.exe [2013-07-16] () Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe AlternateDataStreams: C:\ProgramData\Temp:D1B5B4F1 C:\Program Files (x86)\mozilla firefox C:\Users\Kamil\AppData\Local\CRE C:\Users\Kamil\AppData\Local\Google\Chrome\User Data\Default\External Extensions C:\Users\Kamil\AppData\Local\Mozilla C:\Users\Kamil\AppData\Roaming\Babylon C:\Users\Kamil\AppData\Roaming\eType C:\Users\Kamil\AppData\Roaming\File Scout C:\Users\Kamil\AppData\Roaming\Mozilla C:\Users\Kamil\AppData\Roaming\OpenCandy C:\Users\Kamil\AppData\Roaming\PerformerSoft C:\Users\Kamil\AppData\Roaming\_MDLogs Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: netsh advfirewall reset Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw specjalny skrót Internet Explorer (utrata specjalnego atrybutu): Shortcut: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Przez Panel sterowania odinstaluj: - Adware: BitGuard, Bonanza Deals, DealPly, DefaultTab Chrome, FoxTab FLV Player, Funmoods Web Search, Qtrax Player, saafE ssaVVe, SafeSaver 1.74, Search Assistant WebSearch 1.74, SearchNewTab, SFT_eng7 Toolbar, Update_DealPly, Updater Service, XfireXO Toolbar, Yontoo 1.10.02. - Stare aplikacje i zbędniki: Adobe Flash Player 10 ActiveX, Adobe Flash Player 10 Plugin, Adobe Reader 9.3, Adobe Shockwave Player 11.5, Adobe Shockwave Player 12.0, Akamai NetSession Interface, Java™ 7 Update 5, Norton Internet Security 4. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj wszystkie widoczne rozszerzenia z wyjątkiem Battlefield, Skype, Website Logon Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adres delta-search.com, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres delta-search.com Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt i log z AdwCleaner. Wypowiedz się czy są jakieś wyraźne zmiany. .
  12. picasso
    Zabrakło obowiązkowego raportu z GMER. A paskudztwo owszem siedzi - cała kolekcja adware, w tym bardzo silny obiekt Movies Toolbar ładowany metodą AppCertDlls. Prócz tego są tu odpadki archaicznej instalacji Symantec. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: (Cherished Technololgy LIMITED) C:\Documents and Settings\All Users\Dane aplikacji\IePluginService\PluginService.exe (Cherished Technololgy LIMITED) C:\Documents and Settings\All Users\Dane aplikacji\WPM\wprotectmanager.exe (PriceMeter) C:\Program Files\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe () C:\Program Files\BrowseMark\updateBrowseMark.exe () C:\Program Files\BrowseMark\bin\utilBrowseMark.exe (PriceMeter) C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\PriceMeter\pricemeterw.exe R2 IePluginService; C:\Documents and Settings\All Users\Dane aplikacji\IePluginService\PluginService.exe [705136 2014-04-11] (Cherished Technololgy LIMITED) S2 pricemeterliveUpdate; C:\Program Files\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe [150504 2014-04-18] (PriceMeter) S3 pricemeterliveUpdatem; C:\Program Files\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe [150504 2014-04-18] (PriceMeter) R2 Update BrowseMark; C:\Program Files\BrowseMark\updateBrowseMark.exe [316704 2014-04-30] () R2 Util BrowseMark; C:\Program Files\BrowseMark\bin\utilBrowseMark.exe [316704 2014-05-01] () R2 Wpm; C:\Documents and Settings\All Users\Dane aplikacji\WPM\wprotectmanager.exe [566272 2014-04-18] (Cherished Technololgy LIMITED) R1 F06DEFF2-5B9C-490D-910F-35D3A9119622; C:\Program Files\Movies Toolbar\Datamngr\setmgrc1.cfg [31096 2014-04-06] (Bandoo Media Inc) R1 tStLibG; C:\WINDOWS\System32\drivers\tStLibG.sys [55232 2014-04-19] (StdLib) Task: C:\WINDOWS\Tasks\At5.job => C:\DOCUME~1\Dawid\DANEAP~1\PRICEM~1\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\PriceMeterLiveUpdateUpdateTaskMachineCore.job => C:\Program Files\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe Task: C:\WINDOWS\Tasks\PriceMeterLiveUpdateUpdateTaskMachineUA.job => C:\Program Files\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe Task: C:\WINDOWS\Tasks\pricemetertask.job => C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\PriceMeter\pricemeter.exe Task: C:\WINDOWS\Tasks\pricemeterwatcher.job => C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\PriceMeter\pricemeterw.exe HKLM\...\AppCertDlls: [x64] -> c:\program files\movies toolbar\datamngr\x64\apcrtldr.dll HKLM\...\AppCertDlls: [x86] -> c:\program files\movies toolbar\datamngr\apcrtldr.dll [490496 2014-04-06] () HKLM\...\Run: [] => [X] IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe HKU\S-1-5-21-1845119400-1298913301-3594010967-1005\...\Run: [PriceMeterW] => C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\PriceMeter\pricemeterw.exe [309256 2014-04-13] (PriceMeter) HKU\S-1-5-21-1845119400-1298913301-3594010967-1005\...\Run: [iLivid] => "C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\iLivid\iLivid.exe" -autorun HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1397832165&from=cor&uid=HitachiXHTS541610J9SA00_SB2C01SMG1LDEBG1LDEBX HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1397832165&from=cor&uid=HitachiXHTS541610J9SA00_SB2C01SMG1LDEBG1LDEBX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1397832165&from=cor&uid=HitachiXHTS541610J9SA00_SB2C01SMG1LDEBG1LDEBX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1397832165&from=cor&uid=HitachiXHTS541610J9SA00_SB2C01SMG1LDEBG1LDEBX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1397832165&from=cor&uid=HitachiXHTS541610J9SA00_SB2C01SMG1LDEBG1LDEBX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1397832165&from=cor&uid=HitachiXHTS541610J9SA00_SB2C01SMG1LDEBG1LDEBX SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1397832165&from=cor&uid=HitachiXHTS541610J9SA00_SB2C01SMG1LDEBG1LDEBX&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1397832165&from=cor&uid=HitachiXHTS541610J9SA00_SB2C01SMG1LDEBG1LDEBX&q={searchTerms} SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1397832165&from=cor&uid=HitachiXHTS541610J9SA00_SB2C01SMG1LDEBG1LDEBX&q={searchTerms} SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=974&systemid=406&v=n12281-321&apn_uid=5075453358044284&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms} BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files\SupTab\SupTab.dll (Thinknice Co. Limited) FF Plugin: @tools.updatepm.com/PriceMeterLiveUpdate Update;version=3 - C:\Program Files\PriceMeterLiveUpdate\Update\1.3.23.0\npGoogleUpdate3.dll (PriceMeter) FF Plugin: @tools.updatepm.com/PriceMeterLiveUpdate Update;version=9 - C:\Program Files\PriceMeterLiveUpdate\Update\1.3.23.0\npGoogleUpdate3.dll (PriceMeter) FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ FF HKLM\...\Firefox\Extensions: [quick_start@gmail.com] - C:\Documents and Settings\Dawid\Dane aplikacji\Mozilla\Firefox\Profiles\k892xccp.default\extensions\quick_start@gmail.com FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\sweet-page.xml C:\Documents and Settings\All Users\Dane aplikacji\48e4ac4dbef777db C:\Documents and Settings\All Users\Dane aplikacji\AVG C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\F-Secure C:\Documents and Settings\All Users\Dane aplikacji\SuperbApp C:\Documents and Settings\All Users\Dane aplikacji\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} C:\Documents and Settings\LocalService\Dane aplikacji\AVG C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\AVG C:\Documents and Settings\Dawid\Dane aplikacji\AVG C:\Documents and Settings\Dawid\Dane aplikacji\OpenCandy C:\Documents and Settings\Dawid\Dane aplikacji\Opera Software C:\Documents and Settings\Dawid\Dane aplikacji\SimilarSites C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\AVG C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Comodo C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Google\Chrome C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Opera Software C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Torch C:\Documents and Settings\Administrator C:\Documents and Settings\Gość C:\Documents and Settings\Pomocnik C:\Documents and Settings\SUPPORT_388945a0 C:\Program Files\AVG C:\Program Files\Opera C:\Program Files\SiteFinder C:\WINDOWS\System32\drivers\tStLibG.sys C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser" /v {C4069E3A-68F1-403E-B40E-20066696354B} /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń odinstaluj adware: BrowseMark, Movies Toolbar for Firefox (Dist. by Bandoo Media, Inc.), Price Metar, Sweet Page, Update for PriceMeter, WebSaveros, WPM18.8.0.212. 3. Wyczyść Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom Norton Removal Tool z poziomu Trybu awaryjnego Windows. 6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) i zaległy GMER. Dołącz też plik fixlog.txt i log z AdwCleaner. Podsumuj jaki jest stan po czyszczeniu. .
  13. picasso
    Przecież mówiłam wyraźnie: Miałeś przedstawić te pliki do oceny i dopiero wtedy mogłeś przejść do wykonywania kolejnych akcji. Teraz jest już oczywiście za późno ze względu na DelFix. Sugeruję pomyśleć o jakieś nowoczesnej zaporze, bo tu widziana jest stara (datowanie komponentów w raporcie z 2010/2011) i już nierozwijana. Z darmowych rozwijane produkty to przykładowo: COMODO Firewall, Online Armor Free, PrivateFirewall. .
  14. picasso
    Wiem od czego jest AIDA i zupełnie nie miałam na myśli "świadomości" instalacji. Wyłączanie sterownika było po prostu związane ze sprawdzaniem czy ma on coś do rzeczy, ponieważ nie uściśliłeś, że przeinstalowałeś nVidia i problem jakoby nie występuje już. Nawiasem mówiąc, Ty chyba mylisz obiekty AIDA wskazywane przeze mnie. Wcześniej było zadane wyłączanie wpisu w Harmonogramie (AIDA64 AutoStart to nie był sterownik), teraz czegoś innego (czyli sterownik AIDA64). + Wyłączanie sterownika zadałam dopiero dziś, a od dwóch dni ponoć problem nie występuje, mówisz więc o poprzednim wpisie AIDA, który nie był sterownikiem. Chyba że robiłeś coś więcej na własną rękę, czego nie ma w temacie. .
  15. picasso
    Skan wspominanych usług nie wykazuje ich naruszeń. W związku z tym wróćmy na chwilę do Winsock i tego fatalnego działania z usuwaniem kluczy. 1. Wykonaj przebudowę Winsock wg tych kroków: KLIK. Czyli: - reset części Protocol poprzez komendę netsh winsock reset - reset części NameSpace przez import pliku WinsockNSP_WIN7_Vista_64bit.reg (masz zmienić rozszerzenie z TXT na REG). 2. Zresetuj system. Podaj czy są jakieś zmiany. Dodatkowo, zrób nowy log z FRST, ale przy pozycji Services odznacz opcję Whitelist. .
  16. picasso
    kerpal, proszę bez bezsensownych postów "i jak teraz wyglądają logi ?". Z raportów nic nie wynika. A skoro MBAM nie może ukończyć skanowania, to sprawdź zamiennie co powie i jak się zachowa Malwarebytes Anti-Rootkit. Co do tego przycinania, to jeszcze sprawdź czy coś wniesie do sprawy: - Czysty rozruch KB929135. - Wyłączenie sterownika AIDA64. W Autoruns w karcie Drivers odfajkuj AIDA64Driver i zresetuj system. - Sprawdzenie czy są aktualizacje do pozostałych sterowników (C-Media, Logitech). PS. A ten skrypt OTL na tamtym forum to miał kuriozalne linie. Usuwanie nieistniejących obiektów autorun.inf z wszystkich dysków (oni tam stosują lewą matrycę nie zważając co jest rzeczywiście w logu), przetwarzanie wpisów "not found" preferencji Firefox, które nie zostaną usunięte (i dowód w tu podanym OTL), błędy w sekcji :reg (użycie skrótów HKCU i HKLM). .
  17. picasso
    Ten log z GMER nadal wskazuje, że SPTD był czynny, ale zostaw to już. Oznak czynnej infekcji nie widać. 1. Doczyść tylko szczątki adware i wpisy puste, w spoilerze instrukcje: 2. Dla świętego spokoju zrób jeszcze skan za pomocą Malwarebytes Anti-rootkit. Z logów nic kompletnie nie wynika pod kątem zgłaszanego problemu. Temat przenoszę do działu Sieci. Podaj dane wymagane działem: KLIK. .
  18. picasso
    Drobne poprawki. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\Google C:\Users\Patryk\AppData\Local\Google C:\Windows\system32\GroupPolicy\Machine C:\Windows\system32\GroupPolicy\User Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f CMD: rd /s /q C:\AdwCleaner CMD: rd /s /q "C:\Users\Patryk\Doctor Web" CMD: del /q C:\Users\Patryk\Downloads\AdwCleaner*.* CMD: del /q C:\Users\Patryk\Downloads\den2we3o.exe CMD: del /q C:\Users\Patryk\Downloads\Shortcut.txt CMD: del /q C:\Windows\SysWOW64\sqlite3.dll Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy plik fixlog.txt. .
  19. picasso
    W systemie nie widzę żadnych programów używających tego sterownika. Dokończ ten klucz. Otwórz Notatnik i wklej w nim: Unlock: HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg Unlock: HKLM\SYSTEM\CurrentControlSet\Services\sptd R0 sptd; C:\Windows\System32\Drivers\sptd.sys [386680 2014-04-27] (Duplex Secure Ltd.) Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Avast? Chyba masz na myśli Avira. I skoro nastąpiła poprawa sytuacji, to zakończ czyszczenie: 1. Usuń foldery: C:\Users\Aleksandra\Desktop\Stare dane programu Firefox D:\Downloads\FRST Popraw DelFix. 2. Wyczyść foldery Przywraania systemu: KLIK. .
  20. picasso
    Temat przenoszę do działu Software. Oznak infekcji brak, aczkolwiek obowiązkowego GMER nie dostarczyłeś. Tylko drobnostki: - Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy: w pasku adresów wpisz chrome://plugins i ENTER. na liście wtyczek wybierz dowolną i kliknij Wyłącz, następnie wtyczkę ponownie Włącz. - Uruchom TFC - Temp Cleaner. Sprawdź konfigurację ESET, a konkretnie skan protokołu HTTPS. Podobny temat z forum: KLIK. Notabene: Twój ESET stary (z 2010). EDIT do niżej: A rzeczywiście, coś mi się w oczach mieniło i popatrzyłam na "Version:01-05-2014". Logi są zrobione "miesiące wstecz": Ran by Admin (administrator) on HOME-EAEFBDAC22 on 29-01-2014 17:41:02 .
  21. picasso
    1. Jeśli chodzi o crack, to usuń wpis wyłączony w msconfig i powiązany plik z dysku. Start > w polu szukania wpisz regedit > skasuj klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Chew7Hale Zlikwiduj ten plik: C:\Windows\System32\hale.exe. 2. Jeśli chodzi o DelFix, to powiedziałam, by ręcznie dokasować co nie zostanie usunięte. Czy zlikwidowałeś pobrane skanery z folferu C:\Users\ewunia\Desktop\fdfdfdf? DelFix nie usuwa narzędzi z podfolderów Pulpitu i Pobranych. 3. Czyszczenie folderów Przywracania systemu: KLIK. 4. Do aktualizacji poniższe pozycje: Internet Explorer Version 9 ==================== Installed Programs ====================== Adobe Flash Player 11 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla IE Google Chrome (HKLM\...\Google Chrome) (Version: 34.0.1847.116 - Google Inc.) Microsoft Office Professional Plus 2010 (HKLM\...\Office14.PROPLUS) (Version: 14.0.4763.1000 - Microsoft Corporation) ----> instalacja SP2 Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.20913.0 - Microsoft Corporation) .
  22. picasso
    Akcja wykonana. Na koniec: 1. Ponownie zastosuj DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Uprzednie zalecenia aktualizacyjne z posta #4 zostały wykonane, z wyjątkiem tych dwóch pozycji: ==================== Installed Programs ====================== Adobe Reader XI (11.0.05) - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.05 - Adobe Systems Incorporated) Opera 11.61 (HKLM-x32\...\Opera 11.61.1250) (Version: 11.61.1250 - Opera Software ASA) .
  23. picasso
    Kolejna porcja czynności: 1. Usunięcie m.in. odpadkowego Dziennika zdarzeń Dr. Web. Będą aż dwa skrypty do FRST, gdyż to wymaga tymczasowego wyłączenia usługi Dziennik zdarzeń: - Otwórz Notatnik i wklej w nim: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" Unlock: C:\Qoobox CMD: rd /s /q C:\Qoobox CMD: rd /s /q C:\AdwCleaner CMD: del /q C:\rmneshta.log CMD: del /q "C:\Documents and Settings\Administrator\Pulpit\Default_EXE.reg" CMD: rd /s /q "C:\Documents and Settings\Pawel\Doctor Web" CMD: del /q "C:\Documents and Settings\Pawel\Pulpit\cureit.log" CMD: del /q "C:\Documents and Settings\Pawel\Pulpit\Default_EXE.reg" CMD: del /q "C:\Documents and Settings\Pawel\Pulpit\FIX.REG" CMD: del /q "C:\Documents and Settings\Pawel\Ustawienia lokalne\Temp*.html" CMD: sc config Eventlog start= disabled Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Zachowaj wynikowy fixlog.txt. - Otwórz Notatnik i wklej w nim: C:\WINDOWS\system32\config\Doctor Web.evt CMD: sc config Eventlog start= auto Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Powstanie kolejny fixlog.txt. Przedstaw oba pliki fixlog.txt. Po ich potwierdzeniu: 2. Uruchom TFC - Temp Cleaner. 3. Odinstaluj HiJackThis i USBFix. Przez SHIFT+DEL skasuj używane narzędzia z folderu C:\Documents and Settings\Pawel\Pulpit\LOG. Popraw narzędziem DelFix. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Zrób pełny skan za pomocą Kaspersky Virus Removal Tool. Domyślnie narzędzie wykonuje skan ekspresowy, należy wejść do opcji i po kolei zaznaczać pełny skan dysków. Są tu aż trzy dyski, każdy z nich musi być przeskanowany, na każdym z nich może być zalążek wirusa: ==================== Drives ================================ Drive c: () (Fixed) (Total:39.06 GB) (Free:5.26 GB) NTFS ==>[Drive with boot components (Windows XP)] Drive d: (Różne) (Fixed) (Total:94.73 GB) (Free:52.37 GB) NTFS Drive e: (Gry) (Fixed) (Total:96.68 GB) (Free:7.02 GB) NTFS Skan potrwa długo. Gdy go ukończysz, przedstaw wyniki. 6. Co dalej po skanie: - Na PW jeszcze pisałeś o instalacji pełnego antywirusa. To na końcu. I należy się pozbyć przestarzałego PC Tools Firewall Plus 7.0. - Wszystkie programy, które odmówią uruchomienia, są uszkodzone przez wirusa i należy je przeinstalować. Dodam, iż masz zainstalowane następujące wersje: ==================== Installed Programs ====================== Gadu-Gadu 10 (HKLM\...\Gadu-Gadu 10) (Version: - GG Network S.A.) GG (HKCU\...\GG) (Version: 11 - GG Network S.A.) Pozbyć się Gadu-Gadu 10, a zainstalowane GG11 zaktualizować do najnowszej wersji GG12. Gadu-Gadu 10 to stara wersja, przytłoczona reklamami, ciężka i zasobożerna, na dodatek wiele funkcji nie działa (zlikwidowano określone serwisy). Tu jest zainstalowana na dodatek wersja z bugiem produkującym śmieci (czyszczę w powyższym skrypcie) tego rodzaju: 2014-04-29 20:29 - 2014-04-29 20:36 - 00002089 _____ () C:\Documents and Settings\Pawel\Ustawienia lokalne\TempPXy632.html 2014-04-29 19:48 - 2014-04-29 19:53 - 00002432 _____ () C:\Documents and Settings\Pawel\Ustawienia lokalne\Tempgb2200.html 2014-04-29 19:48 - 2014-04-29 19:53 - 00002089 _____ () C:\Documents and Settings\Pawel\Ustawienia lokalne\Tempab2200.html + Ale po co w ogóle podłączać pendrive do komputera, który jest zainfekowany wirusem w wykonywalnych?! Jakiekolwiek podpinanie urządzeń pod jego zawirusowany system mija się z celem, gdyż: - Nie wolno od niego skopiować żadnych plików wykonywalnych, w przeciwnym wypadku reinfekcja Twojego systemu. - A kumpel, zamiast od Ciebie kopiować pliki, musi się zająć czyszczeniem systemu z wirusa, gdyż w pewnym momencie system może odmówić posłuszeństwa i się już nie uruchomi. .
  24. picasso
    Uwagi wstępne na temat używanych aplikacji: - Były używane wątpliwe skanery SpyHunter i YAC. Z daleka od nich. A Spybot - Search & Destroy to przestarzały program. - Są ślady stosowania Windows Installer Cleanup Utility. To narzędzie przeterminowane i wycofane z użytku ze względu na błędy. Zostało zastąpione tym narzędziem: KLIK. Jeśli chodzi o problem podstawowy, ja tu widzę obecnie tylko szczątki adware. Czyszczenie: 1. Otwórz Notatnik i wklej w nim: AppInit_DLLs: C:\PROGRA~2\Linkey\IEEXTE~1\iedll64.dll => C:\PROGRA~2\Linkey\IEEXTE~1\iedll64.dll File Not Found IFEO\jumpflip: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe URLSearchHook: HKLM-x32 - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} StartMenuInternet: IEXPLORE.EXE - c:\program files (x86)\internet explorer\iexplore.exe SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=n&ver=12349&tm=331&src=ds&p={searchTerms} SearchScopes: HKLM-x32 - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=n&ver=12349&tm=331&src=ds&p={searchTerms} SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=n&ver=12349&tm=331&src=ds&p={searchTerms} SearchScopes: HKCU - {BB94644F-CDB5-4AB0-8C8B-C351002924E5} URL = http://www.gsrch.com/#q={searchTerms} BHO: No Name - {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47} - No File BHO: No Name - {9030D464-4C02-4ABF-8ECC-5164760863C6} - No File BHO-x32: No Name - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No File BHO-x32: No Name - {9030D464-4C02-4ABF-8ECC-5164760863C6} - No File Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\default-search.xml C:\Program Files (x86)\mozilla firefox\plugins Task: {6785F3A5-A6AE-4BB3-B3E5-4F85599B4B58} - System32\Tasks\Hoolapp Init => C:\Users\Wiesia\AppData\Roaming\HOOLAP~1\Hoolapp.exe Task: {8C005A53-78E4-4E8D-9C29-05D8FCE1136B} - System32\Tasks\Hoolapp For Android => C:\Users\Wiesia\AppData\Roaming\HOOLAP~1\UPDATE~1\UPDATE~1.EXE S2 UpdaterSvcWiseEnhance; "C:\Program Files (x86)\WiseEnhance\updater.exe" [X] S2 vosr; C:\Users\Wiesia\AppData\Roaming\VOPackage\VOsrv.exe [X] S3 CtClsFlt; system32\DRIVERS\CtClsFlt.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] C:\Program Files (x86)\MSECache C:\Program Files (x86)\SiteRecommend C:\Program Files (x86)\Spybot - Search & Destroy C:\ProgramData\F-Secure C:\ProgramData\Lavasoft C:\ProgramData\MAGIX C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\TEMP C:\Users\Wiesia\AppData\Local\Google\Chrome C:\Users\Wiesia\AppData\Local\nsb5B44.tmp C:\Users\Wiesia\AppData\Roaming\eCyber C:\Users\Wiesia\AppData\Roaming\HoolappForAndroid C:\Users\Wiesia\AppData\Roaming\iSafe C:\Users\Wiesia\AppData\Roaming\LavasoftStatistics C:\Users\Wiesia\AppData\Roaming\MAGIX C:\Users\Wiesia\AppData\Roaming\TestApp C:\Users\Wiesia\AppData\Roaming\tmp C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP C:\Windows\system32\Drivers\iSafeKrnlBoot.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Hoolapp Android" /f CMD: sc config "Mobile Partner. RunOuc" start= demand Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware WiseEnhance. 3. Wyczyść Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i logi AdwCleaner (również starsze, program był używany wcześniej w kwietniu). Ponadto, na wszelki wypadek sprawdź co powie Kaspersky TDSSKiller - jeśli coś wykryje, ustaw Skip i przedstaw log, w przeciwny wypadku jest on zbędny. .
  25. picasso
    Jak mówiłam: "kończymy", toteż temat zamykam.
×
×
  • Dodaj nową pozycję...