picasso

Rzeczywiście. Niemniej: GMER źle zrobiony i brak trzeciego pliku FRST Shortcut. A logów z tamtego forum nie mogę porównać, załączniki są zablokowane dla Gości. Konndzzio "nie piszcie o logach, są czyste" = nie są czyste. Ta modyfikacja pliku HOSTS jest szkodliwa (jawne przekierowanie określonych adresów na niezgodne IP), notabene wykrywał ją MBAM. Kombinowałeś wcześniej z plikiem HOSTS, tylko niepoprawnie i utworzyłeś kompletnie niedziałający plik o rozszerzeniu *.TXT (oryginalny plik nie ma rozszerzenia): 2014-04-23 20:12 - 2014-04-25 20:22 - 00000977 _____ () C:\Windows\system32\Drivers\etc\hosts.txt Ale tu jest więcej śladów, które wskazują, że nie tylko HOSTS może być problemem: mnogość procesów iexplore.exe i podejrzany wyciąg z GMER (sugeruje infekcję rootkit). 1. Upewnij się, że zegar systemowy jest odpowiednio ustawiony. 2. Uruchom narzędzie Fix-it resetujące plik HOSTS: KLIK. 3. Zresetuj system i zrób nowe raporty FRST (pola Addition i Shortcut także ma być zaznaczone). GMER do powtórki, jest źle zrobiony, przy czynnym emulatorze napędów SPTD i zaciemnia sprawę: R0 sptd; C:\Windows\System32\Drivers\sptd.sys [386680 2014-04-25] (Duplex Secure Ltd.) U3 a14x7pgn; C:\Windows\System32\Drivers\a14x7pgn.sys [0 ] (Advanced Micro Devices) Instrukcje poprawnego uruchomienia: KLIK. Odinstaluj sterownik SPTD > restart systemu > zrób log z GMER. Dodatkowo, zrób log porównawczy z Kaspersky TDSSKiller - jeśli cokolwiek wykryje ustaw Skip i tylko log wynikowy zaprezentuj. Dołącz także raporty z katalogu C:\AdwCleaner (był używany). .

Temat przenoszę do działu Windows. Nie ma tu widocznych oznak infekcji w stanie czynnym (wpis infekcji jest owszem, ale wyłączony w msconfig), aczkolwiek nie dostarczyłeś obowiązkowego raportu z GMER. Ponadto, wczoraj zostały użyte i przemilczany fakt + brak wyników pracy tych narzędzi: - ComboFix: dostarcz plik C:\ComboFix.txt. Już jest na dysku, nie uruchamiaj przypadkiem narzędzia ponownie. Na temat jego używania: KLIK. - AdwCleaner: zaprezentuj raporty z folderu C:\AdwCleaner. Z raportów nic konkretnego nie wynika, w starcie zaś dość łyso. Aczkolwiek podejrzenia budzi usługa aktualizatora IObit ustawiona na Automatyczny. To szczątek, gdyż na liście zainstalowanych brak jakichkolwiek produktów IObit. Od IObit zostało także rozszerzenie w IE. S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2151200 2013-10-25] (IObit) Dodatkowo notuję tu archaiczny sterownik "PCI Latency Tool Driver" niewiadomego pochodzenia, ale to na razie zostawiam, on jest na Ręcznym: S3 LtcyCfgWDM; C:\Windows\System32\DRIVERS\LtcyCfgWDM.sys [7936 2005-12-26] () Spróbuj usunąć aktualizator IObit i zobaczymy co się stanie. Od razu kombinuję inne kosmetyzujące działania na wpisy odpadkowe / puste. 1. Otwórz Notatnik i wklej w nim: S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2151200 2013-10-25] (IObit) BHO: ExplorerWnd Helper - {10921475-03CE-4E04-90CE-E2E7EF20C814} - C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll (IObit) Task: {2FE776CA-3672-4B3E-BDBC-439CE626E2A4} - System32\Tasks\EVGAPrecision => C:\Program Files (x86)\EVGA Precision X\EVGAPrecision.exe Task: {63DFE667-88B8-4BFB-982A-0C367233D185} - System32\Tasks\Razer_Game_Booster_AutoUpdate => C:\Program Files (x86)\Razer\Razer Game Booster\AutoUpdate.exe S3 ALSysIO; \??\C:\Users\Klaku\AppData\Local\Temp\ALSysIO64.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 FireStorm; \??\C:\Users\Klaku\AppData\Local\Temp\FireStorm.sys [X] S3 hid7906; system32\drivers\hid7906.sys [X] S3 hid8101; system32\drivers\hid8101.sys [X] S3 hid8103; system32\drivers\hid8103.sys [X] S4 NVHDA; system32\drivers\nvhda64v.sys [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] S3 SbieDrv; \??\C:\Program Files\Sandboxie\SbieDrv.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] HKU\.DEFAULT\...\Policies\Explorer: [NoSaveSettings] 0 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKCU - {3C9D86CF-68A6-410B-9F2A-FD51792B7A65} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=198484&p={searchTerms} AlternateDataStreams: C:\ProgramData\TEMP:6BE50C2B AlternateDataStreams: C:\ProgramData\TEMP:B755D674 AlternateDataStreams: C:\ProgramData\TEMP:D78D6FF7 AlternateDataStreams: C:\ProgramData\TEMP:E6E3D650 C:\ProgramData\taskmgr.exe C:\Program Files (x86)\mozilla firefox\plugins C:\Program Files (x86)\IObit C:\Users\Klaku\AppData\Roaming\IObit C:\Windows\pss\3caeb26764675258d8d8c075e5b9b6a9.exe.Startup C:\Windows\pss\minibin.lnk.CommonStartup C:\Windows\pss\Run.lnk.CommonStartup C:\Windows\SysWow64\mswunmokem.dll C:\Windows\SysWow64\mstucmokdm.dll C:\Windows\SysWOW64\sqlite3.dll C:\Windows\SysWOW64\.tmp CMD: del /q C:\Users\Klaku\AppData\Local\{*} Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^minibin.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Run.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Klaku^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^3caeb26764675258d8d8c075e5b9b6a9.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\3caeb26764675258d8d8c075e5b9b6a9" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\APSDaemon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EADM" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\HDD Regenerator" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\screenSHU.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Dostarcz plik fixlog.txt. Wypowiedz się czy są widoczne zmiany. 2. Dodatkowo: - Wyczyść sobie Firefox z drobnych śmieci: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. - Odinstaluj HiJackThis. Program jest 32-bitowy i niezgodny z systemem 64-bit. Prezentuje głupoty i fałszywe braki (nie umie odczytać natywnie 64-bitowej części systemu). - Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. .

Temat przenoszę do działu Windows. Nie notuję oznak infekcji. 1. Opis sugeruje, że prędzej problem mogły wytworzyć sterowniki instalowane automatami, o ile doszło to do skutku. Jako iż jest zupełną niewiadomą co było instalowane, proponuję przywrócić system do stanu sprzed kombinacji. Są dostępne następujące punkty Przywracania systemu: ==================== Restore Points ========================= 20-04-2014 22:55:27 avast! antivirus system restore point 20-04-2014 22:59:16 avast! antivirus system restore point 20-04-2014 23:00:55 avast! antivirus system restore point 20-04-2014 23:02:03 avast! antivirus system restore point 20-04-2014 23:05:30 avast! antivirus system restore point 20-04-2014 23:07:19 avast! antivirus system restore point 20-04-2014 23:14:14 avast! antivirus system restore point 20-04-2014 23:15:00 avast! antivirus system restore point 20-04-2014 23:16:15 avast! antivirus system restore point 21-04-2014 08:43:41 avast! antivirus system restore point 21-04-2014 08:45:35 avast! antivirus system restore point 21-04-2014 09:14:46 avast! antivirus system restore point 23-04-2014 21:05:32 Zainstalowany program DirectX 26-04-2014 12:08:25 Removed Chariots of War Czy któryś z nich jest dostatecznie "stary"? Pośrednie znaki w logach sugerują, że może nie być dobrego punktu, datowanie folderów relatywnych do kombinatoryki sterowników to 20, a dzień wcześniej była instalacja nVidia: 2. Zastanowił mnie też Avast zainstalowany (bądź radykalnie aktualizowany) 21 kwietnia. Czy problemy już wtedy występowały, czy pojawiły się dopiero po jego instalacji? .

Log z GMER został zrobiony w złych warunkach, przy czynnych emulatorach napędów wirtualnych (KLIK): DRV:64bit: - [2014-02-15 21:50:57 | 000,283,064 | ---- | M] (Disc Soft Ltd) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\dtsoftbus01.sys -- (dtsoftbus01) DRV:64bit: - [2014-02-15 20:48:13 | 000,381,440 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\sptd.sys -- (sptd) W podanych tu raportach nie widać oznak infekcji, choć FRST nie został sprawdzony, a GMEr jest zaciemniony emulatorami. Do usunięcia będą tylko drobne odpadki adware i wpisy puste, co jest zupełnie nie związane z objawami, ale czekam na: Czy na pewno pobrany plik jest kompletny i nieuszkodzony? Pobierz świeżą kopię i ponów próbę. Na razie to tu zwraca uwagę klient torrent w starcie. Klient torrent może tworzyć ogromną liczbę połączeń (nie mylić z ilością pobieranych), w szczególnych przypadkach może zatykać to komunikację sieciową. O4 - HKCU..\Run: [uTorrent] C:\Users\Xivisi\AppData\Roaming\uTorrent\uTorrent.exe (BitTorrent Inc.) Wyłącz uTorrent z autostartu, zresetuj system, podaj co się dzieje. .

HIPSTERMERKEL, proszę nie tworzyć tematów duplikatów. Drugi temat "Teredo Tunneling Pseudo-interface" usuwam. Dlatego temat został wcześniej przeniesiony do działu Sieci. Dział ma określone zasady i podaje się dane: https://www.fixitpc.pl/forum-44/announcement-11-ważne-zasady-obowiązujące-w-dziale-sieci/ Tu całkowity brak danych. Nie wiadomo jaki dostawca, jakie parametry łącza, jakie urządzenia sieciowe i sterowniki doń zamontowane, ani jak wygląda system i co jest w nim zainstalowane (antywirus / zapora / inny program ingerujący w sieć). Nie został wyjaśniony też wątek "Nie idzie zaktualizować sterownika." = czyli co się pokazuje. To nie powinno mieć związku. Do wglądu ten temat: https://www.fixitpc.pl/topic/22631-jak-usunąć-te-urządzenia-z-mu/ .

Zakończenie uruchomionego procesu linii komend.

1. To co było usuwane na tamtym forum to infekcja MSIL/Injector.CPM. Należy doczyścić szczątki po niej, a także naprawić szkody przez nią wyrządzone. Infekcja wyłącza Harmonogram zadań i padają wszystkie taski uruchamiane tą metodą. Ponadto, infekcja resetuje uprawnienia obiektów do których uzyskuje się dostęp, a dzieje się to w dość losowy sposób, zakres szkód tu jest nieznany. Mogą być zablokowane w C:\Program files i C:\ProgramData różne ścieżki. Osobna sprawa to źródło infekcji: ta infekcja na forum tutaj pojawiła się w kontekście cracków (przykłady z crackami do gier i CCleaner), coś takiego ostatnio musiałeś uruchomić, pozbądź się wszystkich podejrzanych paczek. 2. Infekcja MSIL/Injector.CPM nie jest już czynna, więc spadki FPS mają inną przyczynę. Ale jest tu druga infekcja, fałszywe "ATI/AMD" pod przykrywką wpisu AtiDriverStart: HKU\S-1-5-21-3098141968-229038557-363801865-1000\...\Run: [AtiDriverStart] => C:\Users\User\AppData\Local\ATI Technologies\atidxx.exe [55296 2014-04-19] () 2014-04-19 22:45 - 2014-04-20 20:25 - 00000000 ____D () C:\Users\User\AppData\Local\ATI Technologies 2014-04-19 22:45 - 2014-04-19 22:45 - 00000000 ____D () C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PlagueInc 1.0 ---- Processes - GMER 2.1 ---- Process C:\Users\User\AppData\Local\ATI Technologies\atiedxx.exe (*** suspicious ***) @ C:\Users\User\AppData\Local\ATI Technologies\atiedxx.exe [2516] (AMD External Events Driver Modul/ATI Technologie)(2014-04-19 20:45:46) 0000000000400000 Folder został wygenerowany świeżo i w tym samym czasie co "PlagueInc 1.0" (ten folder ma zresztą same puste wpisy). Materiały dodatkowe: - Skan z herdprotect.com wykazujący, że plik w tym dokładnie położeniu jest złośliwy: KLIK. - Przypadki z innych forów, że wpis powoduje potworne obciążenie zasobów: KLIK / KLIK. Poprawne procesy AMD to: ==================== Processes (Whitelisted) ================= (AMD) C:\Windows\system32\atiesrxx.exe (AMD) C:\Windows\system32\atieclxx.exe SRV:64bit: - [2012-07-28 04:09:44 | 000,239,616 | ---- | M] (AMD) [Auto | Running] -- C:\Windows\SysNative\atiesrxx.exe -- (AMD External Events Utility) 3. Dodatkowa uwaga. Na poprzednim forum zostało usunięte przy udziale OTL prawidłowe rozszerzenie Google Chrome i to na chama (ta metoda usuwania jest niepoprawna, to nie czyści pliku Preferences i zostawia rozszerzenie na liście "zainstalowanych"): CHR - Extension: Ti\u00EBsto = C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\mnmeobddjkkgkglnogihcaejaleikhdh\2_0\ All processes killed ========== OTL ========== C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\mnmeobddjkkgkglnogihcaejaleikhdh\2_0 folder moved successfully. Podejrzewam, że się błędnie zasugerowano nazwą. Ti\u00EBsto = Tiësto. Plik Preferences Google Chrome zapisuje znaki Unicode w postaci kodów im odpowiadających. Tutaj jest kod \u00EB odpowiadający znakowi ë. OTL przedstawia to na żywca jak w pliku Preferences, natomiast FRST powinien pokazać nazwę wyświetlaną jaką widać w menedżerze rozszerzeń, bowiem FRST prowadzi konwersję kodów (co zresztą sama zgłosiłam). Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: (ATI Technologies) C:\Users\User\AppData\Local\ATI Technologies\atiedxx.exe HKU\S-1-5-21-3098141968-229038557-363801865-1000\...\Run: [AtiDriverStart] => C:\Users\User\AppData\Local\ATI Technologies\atidxx.exe [55296 2014-04-19] () HKU\S-1-5-21-3098141968-229038557-363801865-1000\...\CurrentVersion\Windows: [Load] C:\ProgramData\392817338.exe Task: {11E4BA1E-59F0-4A27-8223-0AE98A321B8E} - \{E7337222-747A-44CD-BA7E-BAF9F25E7E1D} No Task File Task: {18032311-6995-483F-8B85-E42550C5C93C} - \{0C64A4FC-0D46-4937-81B4-B71CBEDEB4FB} No Task File Task: {4CB7ED37-3D1C-42F2-93DC-00492ECFB055} - \{54EDE931-AB67-4F46-96AF-AC0B14CCD3B5} No Task File Task: {5B96CC2D-860C-409B-8168-63A7135398F8} - \{C45D4A54-9CA4-4FDE-A4BA-91382D5F0E37} No Task File Task: {869899EC-72B0-44A7-AF60-494016505014} - \{D81C0DEA-A951-4347-BEE1-AD6D7C2468C8} No Task File Task: {A6185F89-0E3D-43AA-A45D-3DEE116F8C21} - \{D8AF5BB8-CD94-4879-A10A-3E0AAE08E3A6} No Task File Task: {A8882957-A3F3-4746-9015-33DC352C7319} - \{080BCE72-370C-4326-8D70-A2BE76F0892E} No Task File Task: {B14D15C8-EACB-4ED1-9DDC-A026135E6CCE} - \{EF44F163-E82D-4809-AD16-FBF62EA82CA1} No Task File Task: {BFB8ABE8-351E-470E-8A9C-8415A0FBDEA6} - \{BCC3C208-398B-4B30-B999-DE781116554A} No Task File Task: {C74F3CB9-F7E7-4019-BA5A-935287EE3F17} - \{3AC2773F-78C0-497C-9B7C-7E3547A21A64} No Task File Task: {D49D3981-BB94-4E34-A3CB-39842AE21409} - \{C9082508-2C83-420D-B103-56E549FE6046} No Task File Task: {DA26440A-8572-4919-9B1E-88C69D5BE96A} - \{D34ABC04-B7FD-4309-ACA9-B325B7C6F4AC} No Task File S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 MSICDSetup; \??\E:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] S3 XFDriver64; \??\D:\Program\Xfire2\XFDriver64.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - DefaultScope value is missing. FF user.js: detected! => C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\18svema1.default\user.js FF HKLM-x32\...\Firefox\Extensions: [wrc@avast.com] - C:\Program Files\AVAST Software\Avast\WebRep\FF Folder: C:\Users\User\AppData\Local\ATI Technologies C:\Users\User\AppData\Local\ATI Technologies C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PlagueInc 1.0 Reg: reg delete "HKCU\Software\Microsoft\Windows Script" /f Reg: reg delete "HKCU\Software\Microsoft\Windows Script Host" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\BitGuard" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Configuration" /f Reg: reg add HKLM\SYSTEM\CurrentControlSet\Services\Schedule /v Start /t REG_DWORD /d 0x2 /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: rd /s /q C:\_OTL Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Specjalny skrót Internet Explorer został błędnie naprawiony (utrata specjalnego atrybutu), prawdopodobnie mieszał kiedyś używany AdwCleaner: Shortcut: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. W Google Chrome: - Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. - Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. - Zainstaluj ponownie rozszerzenie Tiësto. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy notujesz jakąś poprawę. .

Poszo gładko. Kończymy: 1. Drobna korekta. Otwórz Notatnik i wklej w nim: C:\Program Files\PCDApp C:\ProgramData\Spybot - Search & Destroy C:\Program Files (x86)\Spybot - Search & Destroy Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Usuń używane narzędzia za pomocą DelFix. Jeśli coś nie zostanie skasowane / jakiś log, dokończ ręcznie. 3. Wyczyść foldery Przywrcania systemu: KLIK. .

O ile infekcja DNS jest rozwiązana, to jest tu nadal adware do czyszczenia, przy okazji i różne odpadki programowe. 1. Otwórz Notatnik i wklej w nim: (Cherished Technololgy LIMITED) C:\Documents and Settings\All Users\Dane aplikacji\IePluginService\PluginService.exe (Cherished Technololgy LIMITED) C:\Documents and Settings\All Users\Dane aplikacji\WPM\wprotectmanager.exe (Microsoft Corporation) C:\WINDOWS\system32\cmd.exe R2 IePluginService; C:\Documents and Settings\All Users\Dane aplikacji\IePluginService\PluginService.exe [705136 2014-04-11] (Cherished Technololgy LIMITED) R2 Wpm; C:\Documents and Settings\All Users\Dane aplikacji\WPM\wprotectmanager.exe [566272 2014-04-25] (Cherished Technololgy LIMITED) S1 ElbyCDIO; System32\Drivers\ElbyCDIO.sys [X] S3 Revoflt; system32\DRIVERS\revoflt.sys [X] HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1398429479&from=cor&uid=_XXXxXXXx HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1398429479&from=cor&uid=_XXXxXXXx&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1398429479&from=cor&uid=_XXXxXXXx HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1398429479&from=cor&uid=_XXXxXXXx&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1398429479&from=cor&uid=_XXXxXXXx&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1398429479&from=cor&uid=_XXXxXXXx HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1398429479&from=cor&uid=_XXXxXXXx HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1398429479&from=cor&uid=_XXXxXXXx&q={searchTerms} SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1398429479&from=cor&uid=_XXXxXXXx&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1398429479&from=cor&uid=_XXXxXXXx&q={searchTerms} SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=9481D85D4CF4B18F&affID=119357&tt=080913_nch&tsp=4999 SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=9481D85D4CF4B18F&affID=119357&tt=080913_nch&tsp=4999 BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files\SupTab\SupTab.dll (Thinknice Co. Limited) BHO: TheSea.TheSeaPlugin - {C585D593-E7F3-4852-A200-561686EE02E4} - C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File CHR HKLM\...\Chrome\Extension: [jifflliplgeajjdhmkcfnngfpgbjonjg] - C:\Program Files\Perion\NewTab\newTab.crx [2012-08-27] FF HKLM\...\Firefox\Extensions: [quick_start@gmail.com] - C:\Documents and Settings\Agata\Dane aplikacji\Mozilla\Firefox\Profiles\4ios87jl.default\extensions\quick_start@gmail.com FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ FF HKLM\...\Firefox\Extensions: [FFToolbar@bitdefender.com] - C:\Program Files\BitDefender\BitDefender 2010\bdaphffext\ DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab DPF: {CAFEEFAC-0017-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab HKLM\...\Run: [] => [X] AlternateDataStreams: C:\WINDOWS:F9978C7463C494F8 AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:0CFF5F08 C:\Documents and Settings\Agata\Dane aplikacjiuser_gensett.xml C:\Documents and Settings\Agata\Dane aplikacjiProductTweaks.xml C:\Documents and Settings\Agata\Dane aplikacjiprivacy.xml C:\Documents and Settings\Agata\Dane aplikacji\Any Video Converter C:\Documents and Settings\Agata\Dane aplikacji\Babylon C:\Documents and Settings\Agata\Dane aplikacji\BitComet C:\Documents and Settings\Agata\Dane aplikacji\BitDefender(2) C:\Documents and Settings\Agata\Dane aplikacji\Bradsoft.com C:\Documents and Settings\Agata\Dane aplikacji\CAD-KAS C:\Documents and Settings\Agata\Dane aplikacji\Canon C:\Documents and Settings\Agata\Dane aplikacji\Cool Record Edit Pro C:\Documents and Settings\Agata\Dane aplikacji\DriverCure C:\Documents and Settings\Agata\Dane aplikacji\Elaborate Bytes C:\Documents and Settings\Agata\Dane aplikacji\Elluminate C:\Documents and Settings\Agata\Dane aplikacji\Genieo C:\Documents and Settings\Agata\Dane aplikacji\KeePass C:\Documents and Settings\Agata\Dane aplikacji\KompoZer C:\Documents and Settings\Agata\Dane aplikacji\Opera C:\Documents and Settings\Agata\Dane aplikacji\ParetoLogic C:\Documents and Settings\Agata\Dane aplikacji\QuickScan C:\Documents and Settings\Agata\Dane aplikacji\SolidDocuments C:\Documents and Settings\Agata\Dane aplikacji\sweet-page C:\Documents and Settings\Agata\Dane aplikacji\systweak C:\Documents and Settings\Agata\SendTo\Znajomy Xfire.lnk C:\Documents and Settings\All Users\Dane aplikacji\bdinstall.bin C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\BitDefender C:\Documents and Settings\All Users\Dane aplikacji\G DATA C:\Documents and Settings\All Users\Dane aplikacji\ParetoLogic C:\Documents and Settings\All Users\Dane aplikacji\SolidDocuments C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Dane aplikacji\TP-LINK C:\Documents and Settings\All Users\Dane aplikacji\Vextractor C:\Documents and Settings\All Users\Menu Start\Programy\McAfee Security Scan Plus C:\Program Files\uninst-Particular.exe C:\Program Files\mozilla firefox\browser\searchplugins\sweet-page.xml C:\Program Files\Mozilla Firefox\extensions C:\Program Files\mozilla firefox\plugins C:\Program Files\Perion C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cacaoweb" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CloneCDTray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PWRISOVM.EXE" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg" /f Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f CMD: netsh firewall reset Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj instalacje sponsorowane / adware McAfee Security Scan Plus, pdfforge Toolbar v4.6, The Sea App (Internet Explorer), WPM18.8.0.212 oraz stare aplikacje Adobe Flash Player 11 ActiveX, Skaner on-line mks_vir, Java 7 Update 15. 3. Wyczyść Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 4. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone i należy je na powrót aktywować. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy sweet-page i inne niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

Poprzednie były jednorazowe pod konkretną sytuację i nie do powtarzania. Na stacjonarnym systemie były dwa zupełnie odrębne problemy: adware oraz infekcja DNS. Adware zostało usunięte, infekcja DNS nie. Stacjonarny per se nie ma nic do rzeczy, to nie jest infekcja po stronie systemu tylko po stronie routera. Miałeś resetować router, bo to jedyna droga rozwiązania tego, DNS się nie oczyści samodzielnie. Dopóki on nie jest zresetowany, wszystkie komputery przechodzące przezeń otrzymują zainfekowany DNS. Obecnie wszystkie Twoje komputery dziedziczą z routera poniższe DNS i 173.234.241.50 jest wadliwym (zastąpiło poprzednie infekcyjne 68.168.98.196), wg Whois to: KLIK: Tcpip\Parameters: [DhcpNameServer] 173.234.241.50 8.8.8.8 Jeśli chodzi o laptopy, to na nich występuje też drugi osobny problem, czyli śmietnisko adware. Ale jak mówię, to inny problem. ROUTER Pierwszy krok to wyczyszczenie infekcji DNS. Router należy zresetować (zmienić DNS i ustawić nowe hasła). Gdy router zostanie wyczyszczony, wszystkie komputery odziedziczą poprawne czyste DNS. Dopiero po tej akcji bierz się za czyszczenie dodatkowych problemów: PIERWSZY LAPTOP (SAMSUNG) Adware oraz obciążenie zbyt dużą ilością antywirusów (działa wspólnie Avast z Norton Internet Security!). Akcja: 1. Otwórz Notatnik i wklej w nim: (Cherished Technololgy LIMITED) C:\ProgramData\IePluginService\PluginService.exe (Taiwan Shui Mu Chih Ching Technology Limited.) C:\Program Files (x86)\WinZipper\winzipersvc.exe (Cherished Technololgy LIMITED) C:\ProgramData\WPM\wprotectmanager.exe (TODO: ) C:\Users\Samsung\AppData\Local\ConvertAd\ConvertAd.exe (Microsoft Corporation) C:\windows\SysWOW64\cmd.exe (ClientConnect Ltd.) C:\Users\Samsung\AppData\Local\NativeMessaging\CT3289075\1_0_1_6\TBMessagingHost.exe R2 IePluginService; C:\ProgramData\IePluginService\PluginService.exe [705136 2014-04-11] (Cherished Technololgy LIMITED) R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [425104 2014-02-26] (Taiwan Shui Mu Chih Ching Technology Limited.) R2 Wpm; C:\ProgramData\WPM\wprotectmanager.exe [501904 2014-02-26] (Cherished Technololgy LIMITED) HKLM-x32\...\Run: [ConvertAd] => C:\Users\Samsung\AppData\Local\ConvertAd\ConvertAd.exe [1784832 2013-08-10] (TODO: ) HKLM-x32\...\Run: [tuto4pc_pl_17] => [X] HKLM-x32\...\Run: [AnyProtect Tray] => C:\Program Files (x86)\AnyProtectEx\AnyProtectTray.exe /scanner HKLM-x32\...\Run: [AnyProtect] => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe HKU\S-1-5-21-392818877-1939927122-1532879338-1001\...\Run: [TBHostSupport] => "C:\windows\SysWOW64\Rundll32.exe" "C:\Users\Samsung\AppData\Local\TBHostSupport\TBHostSupport_0.dll",DLLRunTBHostSupportPlugin HKU\S-1-5-21-392818877-1939927122-1532879338-1001\...\RunOnce: [Application Restart #2] - C:\Users\Samsung\AppData\Local\Google\Chrome\Application\chrome.exe [841032 2014-04-02] (Google Inc.) AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll File Not Found Task: {2EC66455-34D3-4026-BED0-8FEAB2F09106} - System32\Tasks\Object Browser-codedownloader => C:\Program Files (x86)\Object Browser\Object Browser-codedownloader.exe [2013-10-26] (Object Browser) Task: {70163464-E8A0-4377-A5AE-8F18643E008D} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe [2012-01-20] (Systweak Inc) Task: {7875CFEB-B36C-4BCB-A008-5BF237D74CEA} - System32\Tasks\BitGuard => Sc.exe start BitGuard Task: {A9EF0ED1-CCA9-43CE-8E6B-7D5C0A384068} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe [2012-01-20] (Systweak Inc) Task: {BB61C0C2-B5F8-4171-8597-EB4931831CA6} - System32\Tasks\RegClean Pro_DEFAULT => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe [2012-01-20] (Systweak Inc) Task: {F08157F2-9DAF-4585-8687-6ACF13F9BF0F} - System32\Tasks\Object Browser-enabler => C:\Program Files (x86)\Object Browser\Object Browser-enabler.exe [2013-10-26] (Object Browser) Task: {F1BDA446-8524-406A-B4E5-4CEAAB182C67} - System32\Tasks\Object Browser-chromeinstaller => C:\Program Files (x86)\Object Browser\Object Browser-chromeinstaller.exe [2013-10-26] (Object Browser) Task: {FEB23E62-F2EB-4B79-BA3A-943B2B9BAED4} - System32\Tasks\Object Browser-updater => C:\Program Files (x86)\Object Browser\Object Browser-updater.exe [2013-10-26] (Object Browser) Task: C:\windows\Tasks\Object Browser-chromeinstaller.job => C:\Program Files (x86)\Object Browser\Object Browser-chromeinstaller.exe Task: C:\windows\Tasks\Object Browser-codedownloader.job => C:\Program Files (x86)\Object Browser\Object Browser-codedownloader.exe Task: C:\windows\Tasks\Object Browser-enabler.job => C:\Program Files (x86)\Object Browser\Object Browser-enabler.exe Task: C:\windows\Tasks\Object Browser-updater.job => C:\Program Files (x86)\Object Browser\Object Browser-updater.exe Task: C:\windows\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe Task: C:\windows\Tasks\RegClean Pro_UPDATES.job => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe ShortcutWithArgument: C:\Users\Samsung\Desktop\Google Chrome.lnk -> C:\Users\Samsung\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=ST9500325AS_S2WFH410XXXXS2WFH410&ts=1380092485 ShortcutWithArgument: C:\Users\Samsung\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=ST9500325AS_S2WFH410XXXXS2WFH410&ts=1380092485 ShortcutWithArgument: C:\Users\Samsung\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Users\Samsung\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=ST9500325AS_S2WFH410XXXXS2WFH410&ts=1380092485 ShortcutWithArgument: C:\Users\Samsung\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=ST9500325AS_S2WFH410XXXXS2WFH410&ts=1380092485 ShortcutWithArgument: C:\Users\Samsung\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Users\Samsung\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=ST9500325AS_S2WFH410XXXXS2WFH410&ts=1380092485 ShortcutWithArgument: C:\Users\Samsung\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=ST9500325AS_S2WFH410XXXXS2WFH410&ts=1380092485 ShortcutWithArgument: C:\Users\Samsung\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Users\Samsung\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=ST9500325AS_S2WFH410XXXXS2WFH410&ts=1380092485 HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=ST9500325AS_S2WFH410XXXXS2WFH410&ts=1393451106&type=default&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1388689551&from=wpm0102&uid=ST9500325AS_S2WFH410XXXXS2WFH410 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1388689551&from=wpm0102&uid=ST9500325AS_S2WFH410XXXXS2WFH410 HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=04C1B803058059E5&affID=120699&tsp=5016 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=ST9500325AS_S2WFH410XXXXS2WFH410&ts=1393451106&type=default&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1388689551&from=wpm0102&uid=ST9500325AS_S2WFH410XXXXS2WFH410&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1388689551&from=wpm0102&uid=ST9500325AS_S2WFH410XXXXS2WFH410 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1388689551&from=wpm0102&uid=ST9500325AS_S2WFH410XXXXS2WFH410 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1388689551&from=wpm0102&uid=ST9500325AS_S2WFH410XXXXS2WFH410&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1388689551&from=wpm0102&uid=ST9500325AS_S2WFH410XXXXS2WFH410&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1388689551&from=wpm0102&uid=ST9500325AS_S2WFH410XXXXS2WFH410 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1388689551&from=wpm0102&uid=ST9500325AS_S2WFH410XXXXS2WFH410 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1388689551&from=wpm0102&uid=ST9500325AS_S2WFH410XXXXS2WFH410&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=ST9500325AS_S2WFH410XXXXS2WFH410&ts=1380092485 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1388689551&from=wpm0102&uid=ST9500325AS_S2WFH410XXXXS2WFH410&q={searchTerms} SearchScopes: HKLM - {02B2B8AA-A41A-5793-940F-24F8F5C81BC0} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST9500325AS_S2WFH410XXXXS2WFH410&ts=1380092485&type=default&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1388689551&from=wpm0102&uid=ST9500325AS_S2WFH410XXXXS2WFH410&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1388689551&from=wpm0102&uid=ST9500325AS_S2WFH410XXXXS2WFH410&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1388689551&from=wpm0102&uid=ST9500325AS_S2WFH410XXXXS2WFH410&q={searchTerms} SearchScopes: HKLM-x32 - {7308AAA3-588F-7A74-F51F-2F6006B16BC7} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST9500325AS_S2WFH410XXXXS2WFH410&ts=1380092485&type=default&q={searchTerms} SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=ST9500325AS_S2WFH410XXXXS2WFH410&ts=1393451106&type=default&q={searchTerms} SearchScopes: HKCU - bProtectorDefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} SearchScopes: HKCU - {02B2B8AA-A41A-5793-940F-24F8F5C81BC0} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST9500325AS_S2WFH410XXXXS2WFH410&ts=1380092485&type=default&q={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=04C1B803058059E5&affID=120699&tsp=5016 SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=ST9500325AS_S2WFH410XXXXS2WFH410&ts=1393451106&type=default&q={searchTerms} BHO: Object Browser - {11111111-1111-1111-1111-110311281150} - C:\Program Files (x86)\Object Browser\Object Browser-bho64.dll (Object Browser) BHO-x32: Object Browser - {11111111-1111-1111-1111-110311281150} - C:\Program Files (x86)\Object Browser\Object Browser-bho.dll (Object Browser) BHO-x32: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files (x86)\SupTab\SupTab.dll (Thinknice Co. Limited) BHO-x32: mysearchdial Helper Object - {EF5625A3-37AB-4BDB-9875-2A3D91CD0DFD} - C:\Program Files (x86)\Mysearchdial\1.8.21.0\bh\mysearchdial.dll (Ironsource Israel (2011) LTD) Toolbar: HKLM-x32 - mysearchdial Toolbar - {3004627E-F8E9-4E8B-909D-316753CBA923} - C:\Program Files (x86)\Mysearchdial\1.8.21.0\mysearchdialTlbr.dll (Ironsource Israel (2011) LTD) Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File CHR HKLM\...\Chrome\Extension: [pflphaooapbgpeakohlggbpidpppgdff] - C:\Users\Samsung\AppData\Local\mysearchdial-speeddial.crx [2013-10-26] CHR HKCU\...\Chrome\Extension: [cflheckfmhopnialghigdlggahiomebp] - C:\Users\Samsung\AppData\Local\CRE\cflheckfmhopnialghigdlggahiomebp.crx [2013-10-21] CHR HKCU\...\Chrome\Extension: [pflphaooapbgpeakohlggbpidpppgdff] - C:\Users\Samsung\AppData\Local\mysearchdial-speeddial.crx [2013-10-26] CHR HKLM-x32\...\Chrome\Extension: [cflheckfmhopnialghigdlggahiomebp] - C:\Users\Samsung\AppData\Local\CRE\cflheckfmhopnialghigdlggahiomebp.crx [2013-10-21] CHR HKLM-x32\...\Chrome\Extension: [ifohbjbgfchkkfhphahclmkpgejiplfo] - C:\Users\Samsung\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx [2013-09-25] CHR HKLM-x32\...\Chrome\Extension: [ogfjmhfnldnajmfaofeiaepghjenbgjo] - C:\Users\Samsung\AppData\Local\Google\Chrome\User Data\Default\Extensions\ep.crx [2014-02-26] CHR HKLM-x32\...\Chrome\Extension: [pflphaooapbgpeakohlggbpidpppgdff] - C:\Users\Samsung\AppData\Local\mysearchdial-speeddial.crx [2013-10-26] AlternateDataStreams: C:\ProgramData\Temp:56E2E879 C:\Program Files (x86)\mozilla firefox C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro C:\Users\Public\Desktop\RegClean Pro.lnk C:\Users\Samsung\AppData\Local\AnyProtectScannerSetup.exe C:\Users\Samsung\AppData\Local\CRE C:\Users\Samsung\AppData\Local\NativeMessaging C:\Users\Samsung\AppData\Local\TBHostSupport C:\Users\Samsung\AppData\Roaming\Babylon C:\Users\Samsung\AppData\Roaming\eUpdate C:\Users\Samsung\AppData\Roaming\mozilla C:\Users\Samsung\Desktop\MySearchDial.url C:\Users\Samsung\Desktop\Wyczyść rejestr za darmo!.lnk CMD: for /d %f in (C:\Users\Samsung\AppData\Local\{*}) do rd /s /q "%f" CMD: netsh advfirewall reset CMD: ipconfig /flushdns Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware ConvertAd, IePluginService12.27.0.3326, Mysearchdial, Object Browser, RegClean Pro, SupTab, VuuPC Packages, WinZipper oraz wszystkie produkty Norton (są stare z 2011). 3. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Extended Protection, Lightning Newtab, Object Browser, MySearchDial, uTorrentControl_v6 (o ile nadal będą widoczne) Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adres delta-homes.com, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres delta-homes.com Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy delta-homes i niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pole Addition, ale Shortcut zbędny). Dołącz też plik fixlog.txt i log z AdwCleaner. DRUGI LAPTOP (ASUS) Również adware. Akcja: 1. Otwórz Notatnik i wklej w nim: (Systweak Inc) C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe S2 WajamUpdater; C:\Program Files (x86)\Wajam\Updater\WajamUpdater.exe [109064 2012-04-24] (Wajam) AppInit_DLLs: C:\PROGRA~2\SEARCH~1\Datamngr\x64\datamngr.dll => C:\Program Files (x86)\Searchcore Toolbar\Datamngr\x64\datamngr.dll [2032568 2012-06-06] (Discordia, LTD) AppInit_DLLs: C:\PROGRA~2\SEARCH~1\Datamngr\x64\IEBHO.dll => C:\Program Files (x86)\Searchcore Toolbar\Datamngr\x64\IEBHO.dll [1528760 2012-06-06] (Discordia, LTD) Task: {B7BA6433-ECAD-478A-A865-5A91EA698624} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe [2012-12-10] (Systweak Inc) Task: {BAC5428A-A79B-4330-B6F5-FC09F0D1B8BB} - System32\Tasks\{872F07B0-E760-4342-9DAF-C9CD4F0CCC84} => Chrome.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsMain Task: {CDABEFDF-F810-49DB-92C8-A7C0D924E954} - System32\Tasks\{3A01C73D-C39A-444E-9F93-D0703929E411} => Iexplore.exe http://ui.skype.com/ui/0/5.6.0.105/pl/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;userdeclined,google-chrome:notoffered;userlevelpresent Task: {E706D911-49D5-4886-8A53-8E5168952146} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe [2012-12-10] (Systweak Inc) Task: {ED5213A4-DD2C-4D11-BDA1-73218F01BAEB} - System32\Tasks\RegClean Pro_DEFAULT => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe [2012-12-10] (Systweak Inc) Task: C:\Windows\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe Task: C:\Windows\Tasks\RegClean Pro_UPDATES.job => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = HKCU\Software\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = http://search.babylon.com/?babsrc=HP_Prot SearchScopes: HKLM - DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2426} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzuyByEtB0FyCzzyB0AzyyDtByD0CzyyC0AtN0D0TzutBtDtCtBtDyBtDtA&cr=700064849 SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2426} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzuyByEtB0FyCzzyB0AzyyDtByD0CzyyC0AtN0D0TzutBtDtCtBtDyBtDtA&cr=700064849 SearchScopes: HKLM-x32 - DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2426} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzuyByEtB0FyCzzyB0AzyyDtByD0CzyyC0AtN0D0TzutBtDtCtBtDyBtDtA&cr=700064849 SearchScopes: HKLM-x32 - Backup.Old.DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2426} SearchScopes: HKLM-x32 - {7C0E241A-5F78-E361-63F4-7FE542381ECF} URL = http://dts.search-results.com/sr?src=ieb&appid=331121&systemid=426&sr=0&q={searchTerms} SearchScopes: HKLM-x32 - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2426} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzuyByEtB0FyCzzyB0AzyyDtByD0CzyyC0AtN0D0TzutBtDtCtBtDyBtDtA&cr=700064849 SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzuyByEtB0FyCzzyB0AzyyDtByD0CzyyC0AtN0D0TzutBtDtCtBtDyBtDtA&cr=700064849 SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9} SearchScopes: HKCU - Backup.Old.DefaultScope {0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzuyByEtB0FyCzzyB0AzyyDtByD0CzyyC0AtN0D0TzutBtDtCtBtDyBtDtA&cr=700064849 SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKCU - {7C0E241A-5F78-E361-63F4-7FE542381ECF} URL = http://search.babylon.com/?q={searchTerms}&AF=111916&babsrc=SP_ss&mntrId=72b4c96a000000000000742f687a9525 SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2426} URL = http://dts.search-results.com/sr?src=ieb&appid=331121&systemid=426&sr=0&q={searchTerms} SearchScopes: HKCU - {E918643A-4457-4B33-81F3-1AC6470B5F72} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=1D6D3D76-64C5-414A-ABE4-34C79A00E6EF&apn_sauid=90D7B4E0-BAD0-4846-ACA8-1447B781380E SearchScopes: HKCU - ŰźĆîZ§’2ąŢpv¨IÍá*X(Ž2s(ŰÎŔJşÔÓµť± vË°!×—(äĽ48иpatm6ęo^Mp`Ëő÷_iŁwľ!„Áű†x˘8€ŮjŔ˙ţ ´Ń;áa´[¦†8 ş~ŹRŮxśňÜ8'Ł-)x­ä­ URL = BHO: DataMngr - {7DA17D5A-5718-4130-A605-FC316C827836} - C:\Program Files (x86)\Searchcore Toolbar\Datamngr\x64\BrowserConnection.dll (Discordia , LTD) BHO-x32: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - No File BHO-x32: Winamp Toolbar Loader - {4accc990-3dc7-4456-a734-5cb4b610a7f5} - C:\Program Files (x86)\Winamp Toolbar\winamppltb.dll (AOL Inc.) BHO-x32: DataMngr - {7DA17D5A-5718-4130-A605-FC316C827836} - C:\Program Files (x86)\Searchcore Toolbar\Datamngr\BrowserConnection.dll (Discordia , LTD) BHO-x32: Wajam - {A7A6995D-6EE1-4FD1-A258-49395D5BF99C} - C:\Program Files (x86)\Wajam\IE\priam_bho.dll (Wajam) BHO-x32: Searchcore Toolbar - {af6ac4f2-9825-4fb6-a600-92bc5361f209} - C:\Program Files (x86)\Searchcore Toolbar\Datamngr\ToolBar\searchcoredtx.dll () Toolbar: HKLM-x32 - Searchcore Toolbar - {af6ac4f2-9825-4fb6-a600-92bc5361f209} - C:\Program Files (x86)\Searchcore Toolbar\Datamngr\ToolBar\searchcoredtx.dll () Toolbar: HKLM-x32 - Winamp Toolbar - {a0b1221c-a3ff-4f7c-a393-dc63af5301e9} - C:\Program Files (x86)\Winamp Toolbar\winamppltb.dll (AOL Inc.) Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKCU - No Name - {A0B1221C-A3FF-4F7C-A393-DC63AF5301E9} - No File Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - No File CHR HKLM\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\ASUS\AppData\Local\funmoods-speeddial.crx [2012-07-03] CHR HKLM\...\Chrome\Extension: [fdloijijlkoblmigdofommgnheckmaki] - C:\Users\ASUS\AppData\Local\funmoods.crx [2012-07-03] CHR HKCU\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\ASUS\AppData\Local\funmoods-speeddial.crx [2012-07-03] CHR HKCU\...\Chrome\Extension: [fdloijijlkoblmigdofommgnheckmaki] - C:\Users\ASUS\AppData\Local\funmoods.crx [2012-07-03] CHR HKLM-x32\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\ASUS\AppData\Local\funmoods-speeddial.crx [2012-07-03] CHR HKLM-x32\...\Chrome\Extension: [jpmbfleldcgkldadpdinhjjopdfpjfjp] - C:\Users\ASUS\AppData\Local\Wajam\Chrome\wajam.crx [2012-05-15] CHR HKLM-x32\...\Chrome\Extension: [pgmfkblbflahhponhjmkcnpjinenhlnc] - C:\Users\ASUS\AppData\Local\Vid-Saver\Chrome\Vid-Saver.crx [2012-05-09] C:\end C:\Program Files (x86)\AskPartnerNetwork C:\ProgramData\AskPartnerNetwork C:\ProgramData\APN C:\Users\ASUS\AppData\Roaming\AutoUpdate C:\Users\ASUS\AppData\Roaming\Babylon C:\Users\ASUS\Desktop\Wyczyść rejestr za darmo!.lnk CMD: netsh advfirewall reset CMD: ipconfig /flushdns Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware Download Updater, RegClean Pro, Searchcore Toolbar, VideoPerformer, Vid-Saver, Wajam, Winamp Toolbar (2 pozycje) oraz zbędnik Pandora Service (instalowany z KMPlayer). 3. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Funmoods, Vid-Saver, Wajam (o ile nadal będę widoczne po w/w deinstalacjach) Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pole Addition, ale Shortcut zbędny). Dołącz też plik fixlog.txt i log z AdwCleaner. STACJONARNY: Nie ma co czyścić. Adware było już wcześniej usuwane. Infekcja DNS jest w routerze. .

Tu na forum podanie linka do innego forum, gdzie prowadzono pomoc, jest obowiązkowe. Cytuję z zasad działu(KLIK): I jeszcze w kwestii logów: filutka dobrze prawi, ja zawsze wymagam świeżych logów obowiązujących tutaj. Logi na innym forum są tylko porównawczo co robiono wcześniej i jak zmieniała się sytuacja. Nie używam też już OTL jako głównego programu (choć nadal go sprawdzam), bo jest już nieco stary, nierozwijany, a FRST ma lepsze skany. Podałeś mi stare logi z 24 i 25 kwietnia, które nie mogą być brane pod uwagę (wystarczy godzina, by wyniki się diametralnie zmieniły): FRST: Ran by user at 2014-04-24 20:25:31 OTL: OTL logfile created on: 2014-04-25 21:58:15 - Run 3 GMER: Rootkit scan 2014-04-25 22:21:38 Proszę zrobić nowe logi z teraz z wszystkich programów, a FRST ma utworzyć trzy (pola Addition i Shortcut mają być zaznaczone). .

Wystąpił taki problem na forum: KLIK. "W końcu udało mi się zmienić PIO na DMA. Zaktualizowałem sterownik od Podstawowego kanału IDE tylko musiałem to zrobić z opcji "nie wyszukuj, wybiorę sterownik do zainstalowania". Teraz jest ustawione na DMA. Wydaje się, że transfer wrócił do normy." To PIO musi być skorygowane. To jest przyczyna strasznego zamulenia. .

Przechodzimy do usuwania reklam: 1. Otwórz Notatnik i wklej w nim: () C:\Users\Patryk\AppData\Local\fst_pl_96\upfst_pl_96.exe () C:\Program Files (x86)\fst_pl_96\fst_pl_96.exe HKLM-x32\...\Run: [fst_pl_96] => C:\Program Files (x86)\fst_pl_96\fst_pl_96.exe [3985408 2014-03-27] () HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKLM-x32\...\RunOnce: [upfst_pl_96.exe] - C:\Users\Patryk\AppData\Local\fst_pl_96\upfst_pl_96.exe -runonce [3264512 2014-03-27] () HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-1109735758-1390704349-2981523167-1002\...\Run: [speedUpMyComputer] => C:\Program Files (x86)\SmartTweak\SpeedUpMyComputer\SpeedUpMyComputer.exe /ot /as HKU\S-1-5-21-1109735758-1390704349-2981523167-1002\...\Run: [lollipop_04111812] => "c:\users\patryk\appdata\local\lollipop\lollipop_04111812.exe" lollipop_04111812 Task: {062420C6-9630-4953-8740-F0A16762D2DE} - System32\Tasks\pricemeterwatcher => C:\Users\Patryk\AppData\Local\PriceMeter\pricemeterw.exe Task: {06CCE544-E2A9-4840-B773-FAE45CF4BBA7} - System32\Tasks\pricemeterdownloader => C:\Users\Patryk\AppData\Local\PriceMeter\pricemeterd.exe Task: {70831304-4754-46D2-BEA0-A7E58B25C778} - System32\Tasks\PriceMeterLiveUpdateUpdateTaskMachineCore => C:\Program Files (x86)\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe Task: {A57C7ED6-69D1-40C7-85C4-3BBF0A426036} - System32\Tasks\pricemetertask => C:\Users\Patryk\AppData\Local\PriceMeter\pricemeter.exe Task: {FC0AFBBE-8CA3-4E98-954F-F7B1D63866CB} - System32\Tasks\PriceMeterLiveUpdateUpdateTaskMachineUA => C:\Program Files (x86)\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe Task: C:\Windows\Tasks\PriceMeterLiveUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe Task: C:\Windows\Tasks\PriceMeterLiveUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe FF Plugin-x32: @tools.updatepm.com/PriceMeterLiveUpdate Update;version=3 - C:\Program Files (x86)\PriceMeterLiveUpdate\Update\1.3.23.0\npGoogleUpdate3.dll No File FF Plugin-x32: @tools.updatepm.com/PriceMeterLiveUpdate Update;version=9 - C:\Program Files (x86)\PriceMeterLiveUpdate\Update\1.3.23.0\npGoogleUpdate3.dll No File ShortcutWithArgument: C:\Users\Patryk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://start.qone8.com/?type=sc&ts=1396863566&from=tt4u&uid=HitachiXHTS545032A7E380_TE8B113RHA89KNHA89KNX ShortcutWithArgument: C:\Users\Patryk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1396863566&from=tt4u&uid=HitachiXHTS545032A7E380_TE8B113RHA89KNHA89KNX HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.qone8.com/?type=hp&ts=1396863566&from=tt4u&uid=HitachiXHTS545032A7E380_TE8B113RHA89KNHA89KNX HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.qone8.com/?type=hp&ts=1396863566&from=tt4u&uid=HitachiXHTS545032A7E380_TE8B113RHA89KNHA89KNX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qone8.com/web/?type=ds&ts=1396863566&from=tt4u&uid=HitachiXHTS545032A7E380_TE8B113RHA89KNHA89KNX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.qone8.com/?type=hp&ts=1396863566&from=tt4u&uid=HitachiXHTS545032A7E380_TE8B113RHA89KNHA89KNX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.qone8.com/?type=hp&ts=1396863566&from=tt4u&uid=HitachiXHTS545032A7E380_TE8B113RHA89KNHA89KNX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qone8.com/web/?type=ds&ts=1396863566&from=tt4u&uid=HitachiXHTS545032A7E380_TE8B113RHA89KNHA89KNX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qone8.com/web/?type=ds&ts=1396863566&from=tt4u&uid=HitachiXHTS545032A7E380_TE8B113RHA89KNHA89KNX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.qone8.com/?type=hp&ts=1396863566&from=tt4u&uid=HitachiXHTS545032A7E380_TE8B113RHA89KNHA89KNX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://start.qone8.com/?type=hp&ts=1396863566&from=tt4u&uid=HitachiXHTS545032A7E380_TE8B113RHA89KNHA89KNX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.qone8.com/web/?type=ds&ts=1396863566&from=tt4u&uid=HitachiXHTS545032A7E380_TE8B113RHA89KNHA89KNX&q={searchTerms} SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1396863566&from=tt4u&uid=HitachiXHTS545032A7E380_TE8B113RHA89KNHA89KNX&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1396863566&from=tt4u&uid=HitachiXHTS545032A7E380_TE8B113RHA89KNHA89KNX&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1396863566&from=tt4u&uid=HitachiXHTS545032A7E380_TE8B113RHA89KNHA89KNX&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1396863566&from=tt4u&uid=HitachiXHTS545032A7E380_TE8B113RHA89KNHA89KNX&q={searchTerms} SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1396863566&from=tt4u&uid=HitachiXHTS545032A7E380_TE8B113RHA89KNHA89KNX&q={searchTerms} SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1396863566&from=tt4u&uid=HitachiXHTS545032A7E380_TE8B113RHA89KNHA89KNX&q={searchTerms} C:\Program Files (x86)\Freemake C:\Program Files (x86)\iWebar C:\Program Files (x86)\Kaspersky Lab C:\Program Files (x86)\PriceMeterLiveUpdate C:\Program Files (x86)\SmartTweak C:\ProgramData\Freemake C:\ProgramData\Kaspersky Lab C:\ProgramData\PriceMeterLiveUpdate C:\Users\Patryk\.android C:\Users\Patryk\AppData\Local\cache C:\Users\Patryk\AppData\Local\PriceMeter C:\Users\Patryk\AppData\Roaming\sp_data.sys C:\Users\Patryk\AppData\Roaming\Mozilla C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PriceMeter C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Lollipop C:\Users\Patryk\Documents\Freemake Folder: C:\Windows\system32\GroupPolicy Folder: C:\Windows\SysWOW64\GroupPolicy CMD: for /d %f in (C:\Users\Patryk\AppData\Local\{*}) do rd /s /q "%f" Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware fst_pl_96 oraz starą przeglądarkę Google Chrome (wersja 15.0.874.12). 3. AdwCleaner był używany wcześniej. Pobierz go i uruchom ponownie: KLIK. Zastosuj Szukaj, a po tym Usuń. W folderze C:\AdwCleaner, który już jest na dysku na skutek wcześniejszego użycia, powstaną nowe raporty z usuwania. 4. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pole Addition, by powstał drugi log). Dołącz też plik fixlog.txt oraz logi AdwCleanerSnumer.txt z katalogu C:\AdwCleaner. Powinny być w katalogu: C:\Users\Patryk\Doctor Web. .

Log DelFix pusty, nie wykazuje usunięcie niczego. Czy przypadkiem nie użyłeś go dwa razy, a może usuwałeś ręcznie narzędzia przed jego uruchomieniem? Czy na dysku są aktualnie foldery C:\AdwCleaner + C:\FRST oraz czy w katalogu Pobieranie są narzędzia? .

antyddos, ale po co Ci tu BIOS? Obniżony transfer dysku do PIO koryguje się poprzez deinstalację kanałów Podstawowy + Pomocniczy w Menedżerze urządzeń + restart systemu. Czy jest jakiś problem z tym?

Spyhunter jest wątpliwym i nie polecany tu skanerem, stosującym brudne taktyki naciskowe. "PcData App" to Bitcoin miner i wg raportów jest czynny. Ponadto, są tu też czynne składniki niepoprawnie usuniętego adware Mega Browse. Akcja: 1. Otwórz Notatnik i wklej w nim: () C:\Program Files\PCDApp\dgen.exe () C:\Program Files (x86)\Mega Browse\updateMegaBrowse.exe () C:\Program Files (x86)\Mega Browse\bin\utilMegaBrowse.exe S2 ProtectMonitor; C:\Program Files\PCDApp\StartHelp.exe [97007 2014-04-10] () R2 Update Mega Browse; C:\Program Files (x86)\Mega Browse\updateMegaBrowse.exe [350496 2014-04-24] () R2 Util Mega Browse; C:\Program Files (x86)\Mega Browse\bin\utilMegaBrowse.exe [350496 2014-04-24] () R1 {29b136c9-938d-4d3d-8df8-d649d9b74d02}Gw64; C:\Windows\System32\drivers\{29b136c9-938d-4d3d-8df8-d649d9b74d02}Gw64.sys [61120 2014-04-24] (StdLib) R3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 MSICDSetup; \??\G:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\G:\NTIOLib_X64.sys [X] FF user.js: detected! => C:\Users\Ann\AppData\Roaming\Mozilla\Firefox\Profiles\erwqno3t.default\user.js BHO: No Name - {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - No File BHO-x32: Mega Browse - {4e6cd411-ce62-4584-97ff-6afbcf6900af} - C:\Program Files (x86)\Mega Browse\MegaBrowsebho.dll (Mega Browse) BHO-x32: No Name - {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - No File Task: {2C82A972-D712-4301-98CA-2F82266B9244} - System32\Tasks\e-pity2013_kwiecien => C:\Program Files (x86)\e-file\e-pity2013\Assets\signxml.exe Task: {DECAC653-4B26-453F-9DC8-FABC2A3A0709} - System32\Tasks\e-pity2013_styczen => C:\Program Files (x86)\e-file\e-pity2013\Assets\signxml.exe C:\Program Files\Enigma Software Group C:\Program Files (x86)\Mega Browse C:\Users\Ann\Downloads\CodecPerformerSetup.exe C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP C:\Windows\System32\drivers\{29b136c9-938d-4d3d-8df8-d649d9b74d02}Gw64.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DApp" /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj minera PC Data App, przy okazji pozbądź się przestarzałego Spybot - Search & Destroy. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

Wyniki NOD: tak jak podejrzewałam, wykryte głównie adware (Movies Toolbar i inne śmieci), w tym Temp. Bez związku ze zgłaszanymi problemami. Skutki uboczne tego czyszczenia: zostały rozwalone komponenty folderu C:\Program Files (x86)\Movies Toolbar, co uniemożliwia jego poprawną deinstalację. Będzie więc siłowe doczyszczanie. Filtry sprzętowe potwierdzone. O filtrowaniu klawiatury przez odpadkowy Avast aswKbd już mówiłam: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} UpperFilters REG_MULTI_SZ aswKbd\0kbdclass Z kolei dyski USB / pendrive mogą nie działać, bo na klasie woluminów są sterowniki Nero BackItUp NBVol + NBVolUp: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F} LowerFilters REG_MULTI_SZ fvevol\0rdyboost\0NBVol UpperFilters REG_MULTI_SZ NBVolUp Filtr Nero prawdopodobnie siedzi też na klasie dysków twardych. Czy w ogóle korzystasz z Nero? Przechodzimy do dzieła, od razu skombinowane usuwanie filtrów sprzętowych z usuwaniem szczątków Avast oraz śmieci adware: AKCJE Z POZIOMU TRYBU AWARYJNEGO: Plik w punkcie 1 możesz przygotować w Trybie normalnym, ale jego uruchomienie oraz zastosowanie czyścicieli ma być z poziomu Trybu awaryjnego. 1. Otwórz Notatnik i wklej w nim: IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe HKLM\...\AppCertDlls: [x86] -> C:\Program Files (x86)\Movies Toolbar\Datamngr\apcrtldr.dll HKLM\...\AppCertDlls: [x64] -> C:\Program Files (x86)\Movies Toolbar\Datamngr\x64\apcrtldr.dll HKU\S-1-5-21-1751857310-1762546769-714495607-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-1751857310-1762546769-714495607-1000\...\RunOnce: [Application Restart #2] - C:\Users\Zbyszek\AppData\Local\Pokki\Engine\pokki.exe --disable-internal-flash --noerrdialogs --no-message-box --disable-extensions --disable-web-security --disable-web-resources --disable-client-side-phishing-detection --enable-file-cookies --disable-sync --disable-breakpad --disable-bundled-ppapi-flash --disable-sync-tabs --disable-speech-input --disable-custom-jumplist --process-per-tab --debug-devtools-frontend="C:\Users\Zbyszek\AppData\Local\Pokki\Engine\inspector" --no-first-run --lang=en-US --disable-component-update --disable-prompt-on-repost --no-startup-window --disable-translate --disable-logging --disable-desktop-notifications --disable-gpu-process-prelaunch --flag-switches-begin --flag-switches-end --restore-last-session Task: {0717AFE2-86C7-4DD1-863F-64A01085F8B0} - System32\Tasks\{FF4A44F3-7C42-4DED-B0CB-905F65E700F9} => C:\Program Files (x86)\SubEdit-Player\subedit.exe Task: {48A861F8-9B42-4599-A3C0-9C2A9109DE76} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline No Task File Task: {68813FAD-EC33-46F0-BE58-5FE67DED34B4} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask No Task File Task: {F90EC15B-F0FF-484F-964B-BD193F3CB5AC} - System32\Tasks\{47612CA9-601F-4AF5-B3C1-862DDB771E93} => C:\Program Files (x86)\SubEdit-Player\subedit.exe CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKCU\SOFTWARE\Policies\Google: Policy restriction HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com URLSearchHook: HKLM-x32 - Default Value = {FE69C007-C452-4d3e-86D2-1730DF8BC871} URLSearchHook: HKCU - Default Value = {FE69C007-C452-4d3e-86D2-1730DF8BC871} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://mixidj.delta-search.com/?q={searchTerms}&affID=121136&tt=gc_&babsrc=SP_ss&mntrId=A6CFB482FE1A1D6F SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKCU - {B9197AF3-9B1C-475F-AED1-42A15F875551} URL = http://www.mysearchresults.com/search?c=2402&t=01&q={searchTerms} BHO-x32: No Name - {7825CFB6-490A-436B-9F26-4A7B5CFC01A9} - No File Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File C:\avast! sandbox C:\end C:\Program Files (x86)\LPT C:\Program Files (x86)\Kingsoft C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\mozilla firefox\browser\searchplugins\Ask.xml C:\Program Files (x86)\Movies Toolbar C:\ProgramData\AVAST Software C:\ProgramData\Datamngr C:\ProgramData\Kingsoft C:\Users\UpdatusUser\AppData\LocalGoogle C:\Users\Zbyszek\AppData\Local\Google\Chrome\User Data\Default\Extensions\hidjnkeodmholilgafgdlgmgggbhnigl C:\Users\Zbyszek\AppData\Local\WebPlayer C:\Users\Zbyszek\AppData\Roaming\Babylon C:\Users\Zbyszek\AppData\Roaming\Kingsoft C:\Users\Zbyszek\AppData\Roaming\OpenCandy C:\Users\Zbyszek\AppData\Roaming\Optimizer Pro C:\Users\Zbyszek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AppsHat S2 avast! Antivirus; "C:\Program Files\AVAST Software\Avast\AvastSvc.exe" [X] S2 avast! Firewall; "C:\Program Files\AVAST Software\Avast\afwServ.exe" [X] S2 DatamngrCoordinator; C:\Program Files (x86)\Movies Toolbar\Datamngr\DatamngrCoordinator.exe [X] S0 aswRvrt; No ImagePath S0 aswVmm; No ImagePath R1 F06DEFF2-5B9C-490D-910F-35D3A9119622; C:\Program Files (x86)\Movies Toolbar\Datamngr\x64\setmgrc1.cfg [36216 2014-04-06] (Bandoo Media Inc) S1 aswKbd; \SystemRoot\system32\drivers\aswKbd.sys [X] S2 aswMonFlt; \SystemRoot\system32\drivers\aswMonFlt.sys [X] S0 aswNdisFlt; system32\DRIVERS\aswNdisFlt.sys [X] S1 aswRdr; \SystemRoot\system32\drivers\aswRdr2.sys [X] S1 aswSnx; \SystemRoot\system32\drivers\aswSnx.sys [X] S1 aswSP; \SystemRoot\system32\drivers\aswSP.sys [X] S3 aswStm; \SystemRoot\system32\drivers\aswStm.sys [X] R4 KProcessHacker2; \??\C:\Users\Zbyszek\Desktop\processhacker-2.33-bin\x64\kprocesshacker.sys [X] Unlock: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASWFSBLK Unlock: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASWFW Unlock: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASWMONFLT Unlock: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASWNDIS2 Unlock: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASWNDISFLT Unlock: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASWRDR Unlock: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASWRVRT Unlock: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASWSNX Unlock: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASWSP Unlock: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASWSTM Unlock: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASWTDI Unlock: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASWVMM Unlock: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_F06DEFF2-5B9C-490D-910F-35D3A9119622 Unlock: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KPROCESSHACKER2 Unlock: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PWDIIFOC Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\ilividmoviestoolbar181FF /f Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d SynTP\0kbdclass /f Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F} /v LowerFilters /t REG_MULTI_SZ /d fvevol\0rdyboost /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F} /v UpperFilters /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Network /v Config /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASWFSBLK /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASWFW /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASWMONFLT /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASWNDIS2 /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASWNDISFLT /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASWRDR /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASWRVRT /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASWSNX /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASWSP /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASWSTM /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASWTDI /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASWVMM /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_F06DEFF2-5B9C-490D-910F-35D3A9119622 /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KPROCESSHACKER2 /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PWDIIFOC /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318} /s Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zastosuj narzędzia: oficjalny avast! Uninstall Utility + nieoficjalny avast! Cleanup Tool. AKCJE Z POZIOMU TRYBU NORMALNEGO: Klawiatura i touchpad powinny już działać, co do sieci nie jestem pewna (w skrypcie zadany reset wartości Config), jak również i pendrive niejasne. Wejdź w Tryb normalny Windows, by dokończyć czyszczenie: 1. Wyczyść Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 2. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj avast! Online Security Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adres feed.snapdo.com Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pole Addition, Shortcut jednak zbędny). Dołącz też plik fixlog.txt i log z AdwCleaner. .

CYgan125, proszę dostosuj się do tutejszych zasad działu: KLIK. OTL to narzędzie nierozwijane, pozbawione określonych skanów i tu podrzędne. Obowiązkowo podaje się tu nie tylko OTL, ale i FRST oraz GMER. Proszę dodać brakujące raporty. I uściślij jakie masz problemy. Konkrety proszę: co widzisz, co się dzieje etc. .

Przecież poradniki zostały podane w moim poście... Temat przenoszę do działu Windows. Infekcji tu nie widać, za wyjątkiem jednej usługi wyglądającej na pokłosie instalacji adware. Za to widać właśnie tę jazdę bez trzymanki: System jest skatowany antywirusami. Nic dziwnego, że ledwo zipie i nawet nie uruchamia się poprawnie, skoro jest tu kombinacja mocarnych instalacji Avast i McAfee Internet Security! A ta dodatkowa instalacja MBAM też może mieć coś do rzeczy. Przeprowadź następujące działania: 1. Doczyść śmieci. Otwórz Notatnik i wklej w nim: S2 iwsr; C:\Users\Damian\AppData\Roaming\InstallW\IWsrv.exe [355328 2014-04-23] () C:\Users\Damian\AppData\Roaming\InstallW C:\Users\Damian\Desktop\Continue VuuPC Installation.lnk C:\Users\Damian\Downloads\Setup.exe Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Spróbuj odinstalować przez Panel sterowania McAfee Internet Security Suite. Nie pamiętam czy McAfee jest oparty na Instalatorze Windows, w takim przypadku deinstalacja w Trybie awaryjnym nie jest możliwa (usługa Instalatora nie jest ładowana). Niezależnie od tego czy program będzie można odinstalować zastosuj narzędzie McAfee Consumer Products Removal tool. 3. Google Chrome ma uszkodzone preferencje. W przeglądarce: - Ustawienia > karta Rozszerzenia > sprawdź czy są jakieś odpadki po McAfee i ewentualne odinstaluj - Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. 4. Sprawdź czy jesteś w stanie wejść w Tryb normalny. Zrób nowe raporty z FRST (zaznacz ponownie pole Addition, by powstały dwa logi). Dołącz też plik fixlog.txt. .

"Secondary IDE Channel" poza zainteresowaniem (brak podczepionych urządzeń). Wyraźnie mówiłam, że chodzi o "Primary IDE Channel", na którym jest dysk twardy. I niewątpliwie widać, że dysk pracuje w mozolnym trybie PIO. Instrukcja naprawy tego została wyraźnie sformułowana w opisie GMER: "By naprawić usterkę, wystarczy z prawokliku odinstalować kanał na którym wykryto PIO i zresetować system." Czyli prawoklik na "Primary IDE Channel" i odinstaluj. Zresetuj system. Windows przebuduje urządzenia i system powinien dostać kopa. .

Skrypt poprawnie wykonany, w nowym raporcie widać jeszcze szczątki (ale martwe) szkodników w Harmonogramie zadań. Odpowiadam po ogromnej przerwie, więc zalecenia końcowe mogą się nie zgadzać i dostosuj akcje do stanu bieżącego: 1. Poprawka na w/w szkodniki. Otwórz Notatnik i wklej w nim: Task: {2CA8855B-3C8B-4A9A-AD12-2F938A41F211} - System32\Tasks\bench-sys => C:\Program Files\Bench\Updater\updater.exe <==== ATTENTION Task: {D152ABCD-77D5-4F33-B08B-A50F71D334F1} - System32\Tasks\bench-S-1-5-21-153922561-2302829751-298388780-1000 => C:\Program Files\Bench\Updater\updater.exe <==== ATTENTION Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Dopiero po jego potwierdzeniu lecisz dalej: 2. Usunięcie narzędzi za pomocą DelFix. 3. Czyszczenie folderów Przywracania systemu: KLIK. 4. Aktualizacje systemu i programów: KLIK. Ostatni oglądany stan to: Microsoft® Windows Vista™ Home Premium Service Pack 1 (X86) OS Language: Polish Internet Explorer Version 7 ==================== Installed Programs ====================== Adobe Flash Player 10 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 10.0.12.36 - Adobe Systems Incorporated) Adobe Reader 9 - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-A90000000001}) (Version: 9.0.0 - Adobe Systems Incorporated) Adobe Shockwave Player (HKLM\...\{AD72CFB4-C2BF-424E-9DF0-C7BAD1F30A11}) (Version: 11.0 - Adobe Systems, Inc.) Java 7 Update 45 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217045FF}) (Version: 7.0.450 - Oracle) Norton Internet Security (HKLM\...\NIS) (Version: 16.8.3.6 - Symantec Corporation) Czyli: do usunięcia Adobe i Java na korzyść najnowszych, wymiana starego Nortona (z 2010) czymś nowoczesnym i pełna aktualizacja Windows.

Wszystko wykonane, możemy kończyć: 1. AdwCleaner grzebał w preferencjach Google Chrome, na wszelki wypadek wdróż te działania: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 2. Odinstaluj starą wtyczkę Adobe Flash Player 12 Plugin (dla Firefox/Opera). Uruchom TFC - Temp Cleaner. 3. Usuń używane narzędzia. Przez SHIFT+DEL (omija Kosz) skasuj poniżej wyliczone: C:\Users\lipen\Downloads\FRST-OlderVersion C:\Users\lipen\Downloads\grvrnuuo.exe C:\Windows\SysWOW64\sqlite3.dll Popraw narzędziem DelFix. 4. Wyczyść foldery Przywracania systemu: KLIK. .

Wreszcie jesteśmy tam gdzie trzeba. Pierwszy zestaw obrazków został pewnie dostarczony z pierwszej pozycji "Standard Dual Channel PCI IDE Controller". Dysk twardy (ST3120827AS) jest jednak na drugiej tak samo nazwanej. Teraz masz wykonać pobór danych i sprawdzenie transferu dysku dla "Primary IDE Channel", pod którym "wisi" ST3120827AS. .

Post poprzednika kasuję. Niepoprawne instrukcje w kwestii rootkita Necurs, którego tu nie ma, za to ominięte wszystkie komponenty innych czynnych infekcji. Zamiennie podaję szersze instrukcje. Tu już nie ma problemu DaemonProcess.exe, tu są skomasowane całkiem inne defekty wpływające negatywnie na pracę systemu. System jest zainfekowany (procesy msdcsc.exe + wostock416.ex + PTUN.exe), ponadto jest zamontowana spora ilość archaizmów, w tym okropieństwo Norton Internet Security 2006! Infekcja i ta "ochrona" równa się zamulanie. Był używany AdwCleaner wcześniej, jako skutek uboczny powstały zdefektowane wpisy, martwe programy nie do odinstalowania, to też będę likwidować. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: HKLM\...\Winlogon: [userinit] C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Mikolaj\My Documents\MSDCSC\msdcsc.exe HKU\S-1-5-21-1844237615-1715567821-725345543-1002\...\Run: [MicroUpdate] - C:\Documents and Settings\Mikolaj\My Documents\MSDCSC\msdcsc.exe [699904 2013-11-29] (Microsoft Corp.) HKLM\...\Run: [PTUN Agent] - C:\WINDOWS\system32\28463\PTUN.exe [484864 2013-11-19] () HKLM\...\Run: [] - [X] HKLM\...\Run: [4StoryPrePatch] - C:\Program Files\Gameforge4D\4Story_PL\PrePatch.exe Startup: C:\Documents and Settings\Mikolaj\Start Menu\Programs\Startup\wostock416.exe () S2 MgAssistService; C:\Program Files\Mobogenie\MgAssist.exe [X] S1 cdljulcd; \??\C:\WINDOWS\system32\drivers\cdljulcd.sys [X] S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X] S3 tuzibfgc; No ImagePath S3 vtany; \??\C:\WINDOWS\vtany.sys [X] S3 xhunter1; \??\C:\WINDOWS\xhunter1.sys [X] Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\Mikolaj\APPLIC~1\Dealply\UPDATE~1\UPDATE~1.EXE AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:373E1720 SearchScopes: HKLM - DefaultScope value is missing. CHR HKLM\...\Chrome\Extension: [aaaajpkhjdkhhnkmgfjodbkfpbmibkkk] - C:\Documents and Settings\All Users\Application Data\AskPartnerNetwork\Toolbar\ORJ-V7\CRX\ToolbarCR.crx [] C:\Documents and Settings\All Users\Application Data\AVAST Software C:\Documents and Settings\All Users\Application Data\TEMP C:\Documents and Settings\Mikolaj\wc C:\Documents and Settings\Mikolaj\Application Data\1J1F1H1E2Y2Z1P1C1B2W1L1T2ZtF1E1I C:\Documents and Settings\Mikolaj\Application Data\dclogs C:\Documents and Settings\Mikolaj\Application Data\DesktopIconGoodgame C:\Documents and Settings\Mikolaj\Application Data\DownLite C:\Documents and Settings\Mikolaj\Application Data\Mozilla C:\Documents and Settings\Mikolaj\Local Settings\Application Data\funmoods_2.3.1.crx C:\Documents and Settings\Mikolaj\Local Settings\Application Data\funmoods_speedial_v9.0.10.crx C:\Documents and Settings\Mikolaj\My Documents\MSDCSC C:\Program Files\mozilla firefox C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\28463 Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{4F524A2D-5637-006A-76A7-A758B70C0A03} /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DaleSearch Chrome Toolbar" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DownLite /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\DirectX 9.0c Packages" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh firewall reset Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj okropnie stare przeterminowane aplikacje: ==================== Installed Programs ====================== Adobe Flash Player 10 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 10.3.181.14 - Adobe Systems Incorporated) Adobe Flash Player ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 9.0.47.0 - Adobe Systems Incorporated) Adobe Reader 7.0 - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-A70000000000}) (Version: 007.000.000 - Adobe Systems Incorporated) Adobe Shockwave Player (HKLM\...\Adobe Shockwave Player) (Version: 10.2.0.22 - Adobe Systems, Inc.) J2SE Runtime Environment 5.0 Update 6 (HKLM\...\{3248F0A8-6813-11D6-A77B-00B0D0150060}) (Version: 1.5.0.60 - Sun Microsystems, Inc.) Java 7 Update 25 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217025FF}) (Version: 7.0.250 - Oracle) LiveUpdate 2.7 (Symantec Corporation) (HKLM\...\LiveUpdate) (Version: 2.7.39.0 - Symantec Corporation) Macromedia Flash Player 8 (HKLM\...\{6815FCDD-401D-481E-BA88-31B4754C2B46}) (Version: 8.0.22.0 - Macromedia) Macromedia Shockwave Player (HKLM\...\{7D1D6A24-65D4-454C-8815-4F08A5FFF12C}) (Version: 10.1.0.011 - Macromedia, Inc.) Norton Internet Security 2006 (Symantec Corporation) (HKLM\...\SymSetup.{A93C9E60-29B6-49da-BA21-F70AC6AADE20}) (Version: 9.0.3.4 - Symantec Corporation) SLOW-PCfighter (HKLM\...\SLOW-PCfighter) (Version: 1.7.59 - SPAMfighter ApS.) Następnie uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware DealPly) > Dalej. Również na liście sprawdź czy nie pozostały jakieś szczątki Norton / Symantec i ewentualne usuń. 3. Przejdź w Tryb awaryjny i zastosuj narzędzie Norton Removal Tool. 4. Google Chrome jest zainstalowane, ale wygląda na kompletnie stratowane i uszkodzone. O ile przeglądarka się uruchamia, wykonaj w niej: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (zaznacz ponownie Addition oraz uprzednio ominięte Shortcut, by powstały trzy logi) i zaległy GMER. Dołącz też plik fixlog.txt oraz logi wcześniej używanych narzędzi (C:\sc-cleaner.txt + z folderu C:\AdwCleaner). .

Skrypt wykonany. Jeśli chodzi o obrazek, to i tu nie ma dysku twardego, jest tylko nagrywarka. Szukaj dalej, są jeszcze dwie pozycje Standard Dual Channel PCI IDE Controller - rozwiń obie.