picasso

Poprzednie działania w 99% wykonane i w logach podstawowych widoczne tylko szczątki adware. Mówisz o procesie minerd.exe, czego w raportach nie widać i nie wiadomo skąd to się ładuje, jedyne konkretne znaki BitCoin minera są w katalogu Temp. A GMER jest bardzo podejrzany (User code sections) i sugeruje obecność czegoś ukrytego. Dodatkowo, w GMER są notowane ukryte biblioteki uruchamiane z dysku F + w FRST jest proces F:\Viewer.exe, tylko wg raportów nie ma tu podmontowanego dysku o takiej literze. Co to za "F", czy nie jest to aby jakiś wirtualny napęd? ==================== Drives ================================ Drive c: () (Fixed) (Total:9.77 GB) (Free:1.51 GB) NTFS ==>[Drive with boot components (Windows XP)] Drive d: () (Fixed) (Total:455.98 GB) (Free:432.58 GB) NTFS ==================== MBR & Partition Table ================== Disk: 0 (Size: 466 GB) (Disk ID: 00005C37) Partition 1: (Active) - (Size=10 GB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=456 GB) - (Type=OF Extended) Kolejne działania do przeprowadzenia: 1. Nie zostały odinstalowane te dwie pozycje adware: Allin1Convert Internet Explorer Toolbar, Google Update Helper. Powtórz deinstalację, o ile widzisz wpisy. Jeśli będzie jakiś problem z usunięciem Google Update Helper, zastosuj to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz go na liście > Dalej. 2. Coś tu poszło nie tak z naprawą specjalnego skrótu Internet Explorer, brak specjalnego atrybutu: Shortcut: C:\Documents and Settings\Vision\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Documents and Settings\Vision\Menu Start\Programy\Akcesoria\Narzędzia systemowe i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\IEXPLORE.EXE" dopisz dwie spacje i -extoff 3. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM - DefaultScope value is missing. C:\Documents and Settings\All Users\Dane aplikacji\79c55f939eee2dda C:\Documents and Settings\All Users\Dane aplikacji\DoWenSaVe C:\Documents and Settings\All Users\Dane aplikacji\SaiVeLots C:\Documents and Settings\All Users\Dane aplikacji\ShoppingChip C:\Documents and Settings\All Users\Dane aplikacji\WatcHItoAdBllocKE C:\Documents and Settings\Vision\Dane aplikacji\Bonanza C:\Documents and Settings\Vision\Ustawienia lokalne\Dane aplikacji\Plus-HD-4.9 C:\Program Files\DoWenSaVe C:\Program Files\PSupport C:\Program Files\SaiVeLots C:\Program Files\ShoppingChip C:\Program Files\WatcHItoAdBllocKE C:\Support Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\06F57D344DE54E47831FAC90E06AF976" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: rd /s /q C:\AdwCleaner CMD: rd /s /q "C:\Documents and Settings\Vision\Pulpit\Stare dane programu Firefox" CMD: "C:\Documents and Settings\Vision\Pulpit\ComboFix.exe" /uninstall Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ostatnia komenda to deinstalacja ComboFix, czekaj cierpliwie, aż się ukończy. Powstanie kolejny plik fixlog.txt. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition i Shortcut. Dołącz też plik fixlog.txt. .

Na początek uwaga, krytyczny poziom aktualizacji systemu: Microsoft Windows XP Home Edition Service Pack 2 (X86) OS Language: English(US) Internet Explorer Version 6 Nie daleko system zajedzie na tym, zwłaszcza że wsparcie dla XP już wygasło. Na koniec będziesz uzupełniał wszystkie zaległe aktualizacje. Co tu było wcześniej robione w ramach czyszczenia lokalnego Google Chrome? Stan obecny: wejście Goole Chrome jest na liście zainstalowanych, a żaden log nie wykrywa konfiguracji tej przeglądarki, co sugeruje że usunięto niepoprawnie profil i/lub plik Preferences jest uszkodzony. Jedną z przyczyn może być AdwCleaner, który definitywnie był tu użyty. Na teraz zadaję te działania: 1. W Google Chrome: Ustawienia > karta Rozszerzenia > sprawdź co tam widać i odinstaluj wszystkie nieznane obiekty, o ile coś w ogóle jest Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 2. Odinstaluj mierne skanery: SpyHunter (skaner wątpliwej reputacji) + Spybot - Search & Destroy (przestarzała konstrukcja, słaby w dzisiejszych warunkach). 3. Zresetuj plik HOSTS do postaci domyślnej za pomocą narzędzia Fix-it: KLIK. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też logi z folderu C:\AdwCleaner. .

Posty usuwam, logi doklejam tam gdzie powinny być. Zostało zadane usuwanie w MBAM, co uniemożliwi poprawną deinstalację adware. Usuwanie na chama przez skanery to zła metoda. Nie na darmo FRST w Attention znakuje wejścia deinstalacji, by programy w pierwszej kolejności deinstalować, a nie AdwCleaner, MBAM i podobne uruchomione na pełnych instalacjach. One są dobre do czyszczenia po deinstalacji, ale nie w zamian. PanTani Log z MBAM jest zapisany w nieodpowiednim formacie XML, powinien być podany w TXT. Był używany DelFix (C:\DelFix.txt) - dlaczego skoro jest powiedziane, by właśnie tego nie robić, dopóki nie zostanie zadane w temacie. I tym sposobem, jeśli coś robiono wcześniej w systemie przy udziale narzędzi usuwanych DelFixem, obecnie usunięto te dane. A było coś robione, bo są conajmniej znaki używania wcześniej AdwCleaner. Jeśli chodzi o system i wyniki MBAM: jest tu po prostu adware Searchgol i to należy poprawnie odinstalować. Dodatkowo: coś było robione wcześniej i wygląda na to, że pasek AVG został niepoprawnie potraktowany (czynne komponenty, w tym sterownik, brak wejścia deinstalacyjnego). Po znakach pośrednich wnioskuję, że to właśnie robota AdwCleaner użytego wcześniej w czasie nieokreślonym. Przy okazji będę usuwać z Firefox komponenty nieczynne (DigitalPersona nie działa w ogóle z najnowszymi wersjami Firefox). Do wdrożenia: 1. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [avast5] => "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui HKLM-x32\...\Run: [vProt] => "C:\Program Files (x86)\AVG Secure Search\vprot.exe" R2 vToolbarUpdater14.2.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\14.2.0\ToolbarUpdater.exe [968880 2013-02-18] () R1 avgtp; C:\Windows\system32\drivers\avgtpx64.sys [39768 2013-02-18] (AVG Technologies) Task: {0426A478-17DE-4BB5-8538-C68845C6D134} - System32\Tasks\EPUpdater => C:\Users\hp\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-09-01] () Task: {16361207-DA25-4500-B870-D93ED91A8C0C} - System32\Tasks\{F37CDAB3-95FA-47C8-B10E-20E484805711} => Firefox.exe http://ui.skype.com/ui/0/6.5.0.158/pl/abandoninstall?page=tsProgressBar Task: {496A8365-6DE9-4E3D-9702-E8A230B032BA} - System32\Tasks\{3A6E802E-FD94-4D04-9D97-8322F1F61E3E} => Firefox.exe http://ui.skype.com/ui/0/5.9.0.123/pl/abandoninstall?page=tsMain Task: {5D67A4E0-18B8-4034-AD8D-B5E0BCBAFE4C} - System32\Tasks\{A4ECFA3E-8D25-40FD-B237-E847857414D1} => C:\Program Files (x86)\Deluxe Ski Jump 3\DSJ3.exe Task: {801DCC1A-A509-4061-8A02-C0BBB692F1FF} - System32\Tasks\{920BA046-5989-4DCA-B56E-CD39FF2B2602} => C:\Program Files (x86)\Deluxe Ski Jump 3\DSJ3.exe Task: {81534CE9-F781-46EC-B35F-CCB07E1DEFE6} - System32\Tasks\{1A6D158E-8945-47AB-88C0-D87F8D37DB54} => Firefox.exe http://ui.skype.com/ui/0/5.9.0.123/pl/abandoninstall?page=tsMain Task: {ED95A825-798D-43FD-97BC-29B30821E09F} - System32\Tasks\{0B318207-54F9-4147-BB5B-306F93CC0215} => C:\Program Files (x86)\Deluxe Ski Jump 3\DSJ3.exe HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=EC6178E400D81602&affID=125032&tsp=5035 URLSearchHook: HKCU - (No Name) - {687578b9-7132-4a7a-80e4-30ee31099e03} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG2012\avgssiea.dll No File BHO-x32: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG2012\avgssie.dll No File BHO-x32: searchgol Helper Object - {8F547BDD-FCD4-48F8-A06F-573D6F404A3C} - C:\Program Files (x86)\searchgol\searchgol\1.8.16.19\bh\searchgol.dll (Montera Technologeis LTD) Toolbar: HKLM-x32 - searchgol Toolbar - {00078E95-3A4A-4137-8DE7-2824908D1C17} - C:\Program Files (x86)\searchgol\searchgol\1.8.16.19\searchgolTlbr.dll (Montera Technologeis LTD) Toolbar: HKCU - No Name - {687578B9-7132-4A7A-80E4-30EE31099E03} - No File Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files (x86)\AVG\AVG2012\avgppa.dll No File Handler-x32: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files (x86)\AVG\AVG2012\avgpp.dll No File CHR HKLM-x32\...\Chrome\Extension: [aipfmkinhleccnodemkoofnnofpbbpac] - C:\Users\hp\AppData\Roaming\BabSolution\CR\searchgol.crx [2013-10-14] CHR HKLM-x32\...\Chrome\Extension: [ndibdjnfmopecpmkdieinmbadjfpblof] - C:\ProgramData\AVG Secure Search\ChromeExt\14.2.0.1\avg.crx [2014-03-03] CHR HKLM-x32\...\Chrome\Extension: [pacgpkgadgmibnhpdidcnfafllnmeomc] - C:\Users\hp\AppData\Local\Temp\ccex.crx [2014-03-03] FF HKLM-x32\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt\ C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\mozilla firefox\plugins C:\Program Files (x86)\Common Files\AVG Secure Search C:\ProgramData\AVG Secure Search C:\Users\hp\AppData\Roaming\BabSolution C:\Windows\system32\drivers\avgtpx64.sys Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware BitGuard, Search-Gol Chrome Toolbar, searchgol toolbar oraz wszystkie stare Java 6. 3. Wyczyść Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj AVG Security Toolbar, Search-Gol Toolbar (może go nie być po w/w deinstalacji) Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Uruchom AdwCleaner (najnowsza wersja). Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Uruchom TFC - Temp Cleaner. 7. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

Miałeś odinstalować te stare Java 6 i OpenOffice.org, a reszta mogła być nadpisana przez zwykłą instalację nakładkową. Linki pobierania są w przyklejonym: KLIK. Mówiąc "Zrobione" rozumiem, że wszystko wykonane? .

Synchronizacja to przyczyna, ale lokalne wystąpienie Google Chrome także musi być wyczyszczone. Wyłączenie synchronizacji nie spowoduje wyczyszczenia wszystkich składników qone8 z dysku (m.in. zainfekowane skróty LNK). Tak więc logi nadal aktualne: KLIK. Podaj FRST (trzy raporty: główny, Addition i Shortcut) oraz OTL. .

Post nie na temat usuwam. Odczyt w GMER nie jest związany z infekcją (adnotacja "suspicious" nie jest w ogóle powiązana z tym co się dzieje w systemie), a punktowany tam plik jest od Hewlett-Packard. Jest wyraźnie napisane na temat użytkowników uprawnionych do pomocy i jak widać jest to nie bez przyczyny. Ma to uchronić przed podawaniem błędnych diagnoz. ==================== Services (Whitelisted) ================= R2 HPSLPSVC; C:\Users\Home\AppData\Local\Temp\7zS3610\hpslpsvc64.dll [1039360 2011-11-14] (Hewlett-Packard Co.) Simoners, infekcja jest zlokalizowana w innym obszarze. W systemie działa Bitcoin miner uruchamiany przez Harmonogram zadań (update.vbe), ów proces svchost to był pośredni znak działania. Ten podrobiony svchost.exe był zapewne uruchamiany z Temp: KLIK. Do czyszczenia będą też różne puste / odpadkowe wpisy. Do wykonania: 1. Otwórz Notatnik i wklej w nim: (Microsoft Corporation) C:\Windows\System32\schtasks.exe Task: {11DF423B-195C-422A-9093-DE396AED4C2B} - System32\Tasks\Origin => C:\Users\Home\AppData\Roaming\Origin\update.vbe [2014-04-19] () C:\Users\Home\AppData\Roaming\Origin\update.vbe Task: {22AD39C0-0EA7-4B85-88C7-656971798872} - System32\Tasks\{16D90E72-E3CC-4978-9177-528720F02286} => Firefox.exe Task: {301DC9C7-4E34-42D3-A173-2E6E94B143AE} - System32\Tasks\{1CC3E440-AB3D-4D1B-A010-31A362009A1E} => Firefox.exe Task: {34214B7F-7D9B-498C-88FC-FBCE1A937471} - System32\Tasks\{58684411-9F9C-415E-B564-EE9A2279A4DE} => C:\Program Files (x86)\Paradox Entertainment\Europa Universalis 2\eu2.exe Task: {4EB544A6-7491-4DFF-9898-4BFBDB9EE417} - System32\Tasks\{EFD71E7E-5988-4419-AF5C-CEC87BB2036B} => C:\Program Files (x86)\Paradox Entertainment\Europa Universalis 2\eu2.exe Task: {5F5A6A04-ED1F-4D57-A73C-6CD2565D8243} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{F5706F11-13D3-4AEC-836B-AC8DCD61B622}.exe Task: {60B5480E-DA1E-48A6-B411-08E10ED733E2} - \Lyrics-Pal Update ATTENTION ====> No Task File Task: {7FBFC6B9-5F1A-4F73-9D1B-0FD987054B04} - System32\Tasks\{8A8DA3FF-9663-49B3-98CB-C11336DD3024} => C:\Program Files (x86)\Paradox Interactive\Europa Universalis III\eu3game.exe Task: {A89BD689-3FFC-4EA8-A7D8-DD03ACABD454} - System32\Tasks\{4048D3C9-4152-41A6-B2C7-2771BC814329} => C:\Users\Home\Desktop\gry\eu3\europa-universalis-ii\europa_universalis_2_pl.exe Task: {AE56D21E-C6C8-40FA-80FA-8C09FD6A6B51} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\Windows\TEMP\{4938B1E5-F8D5-40DA-B7F7-B894BEC0D0CF}.exe Task: {AFB9F69A-50A5-4ED0-9ED4-0709AC62933C} - System32\Tasks\{1F0DDFB8-518F-4D6D-AE6A-37794063DD55} => C:\Users\Home\Desktop\gry\eu3\europa-universalis-ii\europa_universalis_2_pl.exe Task: {E2C9A604-1190-4A96-A210-64FC35829DD5} - System32\Tasks\{183FBC08-7001-419D-A9BF-7D4CEE01C641} => Firefox.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\Windows\TEMP\{4938B1E5-F8D5-40DA-B7F7-B894BEC0D0CF}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{F5706F11-13D3-4AEC-836B-AC8DCD61B622}.exe HKU\S-1-5-21-16812642-1322023513-2853015389-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-16812642-1322023513-2853015389-1003\...\Run: [AVG-Secure-Search-Update_JUNE2013_TB] => "C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_TB.exe" /PROMPT /CMPID=JUNE2013_TB HKU\S-1-5-21-16812642-1322023513-2853015389-1003\...\Run: [AVG-Secure-Search-Update_JUNE2013_HP] => "C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_HP.exe" /PROMPT /CMPID=JUNE2013_HP StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKCU - {F93BE1B7-B6FA-484F-B34A-8065CE5DD299} URL = http://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=FV&apn_dtid=YYYYYYYYPL&apn_uid=95074a72-a7ea-481c-aad4-620db54bea50&apn_sauid=026F7890-700C-4BB3-9702-E2E293A9C47D Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File Handler-x32: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File FF Plugin-x32: @pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF HKCU\...\Firefox\Extensions: [{8f5010e2-9577-4aed-ad42-f2098ea15def}] - C:\Program Files (x86)\LyricsPal\133.xpi S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt. .

Wszystkiego najlepszego z okazji świąt dla wszystkich użytkowników fixitpc.pl.

W ogóle nie pokazałeś co wykrył. A ten błąd jest opisany w bazie wiedzy ESET: KLIK. Jedna z przyczyn to może być kolizja z innym antywirusem, a tu są niepoprawnie usunięte i aktywne szczątki Avira (sterowniki + wpięcie w Winsock). Doczyszczanie Avira i adware. Punkty 1 + 2 wykonaj z poziomu Trybu awaryjnego Windows: 1. Otwórz Notatnik i wklej w nim: S2 AntiVirSchedulerService; "C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe" [X] S2 AntiVirService; "C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe" [X] S4 AntiVirWebService; "C:\Program Files (x86)\Avira\AntiVir Desktop\AVWEBGRD.EXE" [X] R2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [108440 2013-12-18] (Avira Operations GmbH & Co. KG) R1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [131576 2013-12-18] (Avira Operations GmbH & Co. KG) R1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [28600 2013-10-07] (Avira Operations GmbH & Co. KG) S3 AthBTPort; system32\DRIVERS\btath_flt.sys [X] S3 BTATH_A2DP; system32\drivers\btath_a2dp.sys [X] S3 BTATH_BUS; system32\DRIVERS\btath_bus.sys [X] S3 BTATH_HCRP; system32\DRIVERS\btath_hcrp.sys [X] S3 BTATH_LWFLT; system32\DRIVERS\btath_lwflt.sys [X] S3 BTATH_RCP; system32\DRIVERS\btath_rcp.sys [X] S3 BtFilter; system32\DRIVERS\btfilter.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] S3 XFDriver64; \??\C:\Program Files (x86)\Xfire2\XFDriver64.sys [X] AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~2.DLL => C:\Program Files (x86)\SupTab\SearchProtect64.dll [96768 2014-03-05] (Skytech Co., Ltd.) AppInit_DLLs-x32: C:\PROGRA~2\SupTab\SEARCH~1.DLL => C:\Program Files (x86)\SupTab\SearchProtect32.dll [85504 2014-03-05] (Skytech Co., Ltd.) ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://istart.webssearches.com/?type=sc&ts=1395868678&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX ShortcutWithArgument: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://istart.webssearches.com/?type=sc&ts=1395868678&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX ShortcutWithArgument: C:\Users\Piotrek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://istart.webssearches.com/?type=sc&ts=1395868678&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1395868678&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1395868678&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1395868678&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1395868678&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1395868678&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1395868678&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1395868678&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1395868678&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1395868678&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1395868678&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX&q={searchTerms} SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1395868678&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX&q={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&AF=108976&babsrc=SP_ss&mntrId=3eea6d32000000000000742f68b2699a SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1395868678&from=amt&uid=HitachiXHTS547550A9E384_J2160051CR7YUDCR7YUDX&q={searchTerms} SearchScopes: HKCU - {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo BHO: PrivDog Extension - {FB16E5C3-A9E2-47A2-8EFC-319E775E62CC} - C:\Program Files\AdTrustMedia\PrivDog\1.8.0.15\trustedads.dll (AdTrustMedia) CHR HKLM-x32\...\Chrome\Extension: [ijblflkdjdopkpdgllkmlbgcffjbnfda] - C:\Users\Piotrek\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx [2013-02-01] CHR HKLM-x32\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Users\Piotrek\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [2014-03-26] Task: {603EBF61-7E42-447E-A4CA-D3F3E5974CC4} - System32\Tasks\RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe Task: {ACDFA98B-32BC-41B2-BA57-902CFAA2A683} - System32\Tasks\{43DEDC67-20A5-4B12-B53C-3828956DBA72} => E:\Gry\POGSro\POG_SRO\Launcher.exe Task: {DE60D34B-C9B4-4B00-ADC2-EA2FE1E217B4} - System32\Tasks\{3FA2F6A8-3C62-408A-964B-EE1757D82D04} => E:\Gry\POGSro\POG_SRO\Launcher.exe C:\Program Files\AdTrustMedia C:\Program Files (x86)\AdTrustMedia C:\Program Files (x86)\Avira C:\Program Files (x86)\SupTab C:\ProgramData\Adtrustmedia C:\ProgramData\IePluginService C:\ProgramData\WPM C:\Users\Piotrek\AppData\Local\8a562295-241e-4f08-6e6b-b4bd11a3653d C:\Users\Piotrek\AppData\Roaming\ProgSense C:\Users\Piotrek\AppData\Roaming\SupTab C:\Users\Piotrek\AppData\Roaming\webssearches C:\Windows\System32\DRIVERS\avgntflt.sys C:\Windows\System32\DRIVERS\avipbb.sys C:\Windows\System32\DRIVERS\avkmgr.sys CMD: netsh winsock reset Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zastosuj Avira Registry Cleaner. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

Na przyszłość: trzymaj się konfiguracji FRST wskazanej w przyklejonym, sekcja Drivers MD5 nie miała być zaznaczona. Wszystko zostało wykonane i nic więcej szkodliwego tu nie widzę. Prowadziłeś wcześniej też różne skany, więc nie zadaję już powtórek. Widzę także, że wykonane zostały różne aktualizacje Windows i IE. Na zakończenie: 1. Odmontuj Dr. Web z Dziennika zdarzeń. Operacja wymaga tymczasowego wyłączenia usługi Dziennik zdarzeń, więc są dwa etapy zadania: - Otwórz Notatnik i wklej w nim: CMD: sc config Eventlog start= disabled Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Zachowaj wynikowy fixlog.txt. - Otwórz Notatnik i wklej w nim: C:\WINDOWS\system32\config\Doctor Web.evt CMD: sc config Eventlog start= auto Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Powstanie kolejny fixlog.txt. Przedstaw oba pliki fixlog.txt. Po ich potwierdzeniu: 2. Przez SHIFT+DEL (omija Kosz) usuń poniższe foldery: C:\Documents and Settings\www\Pulpit\FRST C:\Documents and Settings\www\Pulpit\Stare dane programu Firefox C:\found.000 C:\ProgramData C:\Users D:\Kaspersky Rescue Disk 10.0 Foldery ProgramData i Users są folderami nowszych systemów, nie wiadomo skąd one tu na XP. 3. Zastosuj dodatkowo DelFix. 4. Jeśli jakiś program będzie zwracał błędy uruchomienia (szczególnie "Visual..."), oznaczać to będzie jego uszkodzenie i konieczność reinstalacji. .

Ja się jednak skłaniam do tego, że coś jest nie w porządku ze skanem MBAM, bo wszystko wskazuje na to, że folderu nie ma (nie widzi go FRST, ani Ty w folderze). Obecnie posługujesz się Malwarebytes Anti-Malware 1.75.0.1300, a jest nowsza wersja. Opróżnij wszystkie logi programu, następnie odinstaluj program i zainstaluj najnowszą jego wersję: KLIK. Ponów skan. .

Pytanie: czy po reinstalacji "Norton Internet Security" pojawił się sprawny "Norton Online Backup ARA"? Ostatnie dane sprzed reinstalacji to ten wpis w formie szczątkowej. .

System jest potwornie zaśmiecony, multum instalacji adware oraz znaki jakiejś infekcji (masowe tworzenie plików EXE w folderze "Dane aplikacji"). Był też używany stosunko niedawno ComboFix, a brak wzmianek o tym. Do przeprowadzenia następujące działania: 1. Otwórz Notatnik i wklej w nim: (Cherished Technololgy LIMITED) C:\Documents and Settings\All Users\Dane aplikacji\WPM\wprotectmanager.exe () c:\support\couponsupport.exe () C:\Documents and Settings\Vision\Dane aplikacji\defaulttab\defaulttab\dtupdate.exe (cake bake) C:\Program Files\Web Cake\WebCakeDesktop.Updater.exe () C:\Program Files\Mobogenie\DaemonProcess.exe () C:\Program Files\Mobogenie\MgAssist.exe R2 d93cc0a5; C:\Documents and Settings\All Users\Dane aplikacji\Assistant\AssistantSvc.dll [177488 2014-03-26] () S2 dealplylive; C:\Program Files\DealPlyLive\Update\DealPlyLive.exe [148000 2013-12-12] (DealPly Technologies Ltd) S3 dealplylivem; C:\Program Files\DealPlyLive\Update\DealPlyLive.exe [148000 2013-12-12] (DealPly Technologies Ltd) R2 DefaultTabUpdate; C:\Documents and Settings\Vision\Dane aplikacji\defaulttab\defaulttab\dtupdate.exe [107520 2013-11-04] () R4 MgAssistService; C:\Program Files\Mobogenie\MgAssist.exe [70848 2014-04-18] () R2 WebCakeUpdater; C:\Program Files\Web Cake\WebCakeDesktop.Updater.exe [51992 2013-08-02] (cake bake) R2 Wpm; C:\Documents and Settings\All Users\Dane aplikacji\WPM\wprotectmanager.exe [499856 2014-01-02] (Cherished Technololgy LIMITED) S2 WsysSvc; C:\Documents and Settings\All Users\Dane aplikacji\eSafe\eGdpSvc.exe [X] S3 AndNetDiag; system32\DRIVERS\lgandnetdiag.sys [X] S3 ANDNetModem; system32\DRIVERS\lgandnetmodem.sys [X] S3 andnetndis; system32\DRIVERS\lgandnetndis.sys [X] S3 catchme; \??\C:\DOCUME~1\Vision\USTAWI~1\Temp\catchme.sys [X] S3 IRENUM; system32\DRIVERS\irenum.sys [X] S3 usbbus; system32\DRIVERS\lgusbbus.sys [X] S3 UsbDiag; system32\DRIVERS\lgusbdiag.sys [X] S3 USBModem; system32\DRIVERS\lgusbmodem.sys [X] HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe [748736 2014-04-18] () HKU\S-1-5-21-1757981266-2111687655-682003330-1003\...\Run: [NextLive] => C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\Vision\Dane aplikacji\newnext.me\nengine.dll",EntryPoint -m l HKU\.DEFAULT\...\RunOnce: [Del697718] - cmd.exe /Q /D /c del "C:\WINDOWS\TEMP\0.del" HKU\.DEFAULT\...\RunOnce: [Del1131015] - cmd.exe /Q /D /c del "C:\WINDOWS\TEMP\0.del" HKU\.DEFAULT\...\RunOnce: [Del1304015] - cmd.exe /Q /D /c del "C:\WINDOWS\TEMP\0.del" HKU\.DEFAULT\...\RunOnce: [Del38866406] - cmd.exe /Q /D /c del "C:\WINDOWS\TEMP\0.del" HKU\.DEFAULT\...\RunOnce: [Del46286937] - cmd.exe /Q /D /c del "C:\WINDOWS\TEMP\0.del" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" Task: C:\WINDOWS\Tasks\couponsupport-S-649636217.job => c:\support\couponsupport.exe Task: C:\WINDOWS\Tasks\DealPlyLiveUpdateTaskMachineCore.job => C:\Program Files\DealPlyLive\Update\DealPlyLive.exe Task: C:\WINDOWS\Tasks\DealPlyLiveUpdateTaskMachineUA.job => C:\Program Files\DealPlyLive\Update\DealPlyLive.exe Task: C:\WINDOWS\Tasks\DTReg.job => C:\Documents and Settings\Vision\Dane aplikacji\defaulttab\defaulttab\DTReg.exe Task: C:\WINDOWS\Tasks\Plus-HD-4.9-chromeinstaller.job => C:\Program Files\Plus-HD-4.9\Plus-HD-4.9-chromeinstaller.exe Task: C:\WINDOWS\Tasks\Plus-HD-4.9-codedownloader.job => C:\Program Files\Plus-HD-4.9\Plus-HD-4.9-codedownloader.exe Task: C:\WINDOWS\Tasks\Plus-HD-4.9-enabler.job => C:\Program Files\Plus-HD-4.9\Plus-HD-4.9-enabler.exe Task: C:\WINDOWS\Tasks\Plus-HD-4.9-firefoxinstaller.job => C:\Program Files\Plus-HD-4.9\Plus-HD-4.9-firefoxinstaller.exe Task: C:\WINDOWS\Tasks\Plus-HD-4.9-updater.job => C:\Program Files\Plus-HD-4.9\Plus-HD-4.9-updater.exe Task: C:\WINDOWS\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files\RegClean Pro\RegCleanPro.exe Task: C:\WINDOWS\Tasks\RegClean Pro_UPDATES.job => C:\Program Files\RegClean Pro\RegCleanPro.exe C:\WINDOWS\Tasks\At*.job ShortcutWithArgument: C:\Documents and Settings\All Users\Pulpit\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1388676594&from=wpm0102&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1388676594&from=wpm0102&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T ShortcutWithArgument: C:\Documents and Settings\Vision\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T&ts=1375811090 ShortcutWithArgument: C:\Documents and Settings\Vision\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T&ts=1375811090 ShortcutWithArgument: C:\Documents and Settings\Vision\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1388676594&from=wpm0102&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T ShortcutWithArgument: C:\Documents and Settings\Vision\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T&ts=1375811090 HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mysearchresults.com/?c=3524&t=01 HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=9C31D43D7E352E65&affID=119357&tsp=5018 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1388676594&from=wpm0102&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T HKCU\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://www.delta-homes.com/?type=hp&ts=1388676594&from=wpm0102&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1388676594&from=wpm0102&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1388676594&from=wpm0102&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1388676594&from=wpm0102&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1388676594&from=wpm0102&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T URLSearchHook: HKLM - Default Value = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} URLSearchHook: HKLM - SiteFinder - {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} - C:\Program Files\SiteFinder\SiteFinder.dll (Site Finder) SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1388676594&from=wpm0102&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1388676594&from=wpm0102&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T&q={searchTerms} SearchScopes: HKLM - {75b4241f-171e-44a3-bf44-23613b6e3e03} URL = http://search.tb.ask.com/search/GGmain.jhtml?p2=^AYY^xdm067^YYA^pl&si=flvrunner&ptb=0CEC2D9D-C253-4C17-86AF-838D314B492F&ind=2013082115&n=77fd3203&psa=&st=sb&searchfor={searchTerms} SearchScopes: HKLM - {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=ds&from=newgdp&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T&ts=1380233162&type=default&q={searchTerms} SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1388676594&from=wpm0102&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T&q={searchTerms} SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - 553827E3D394476AB53D690392740B28 URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=ds&from=newgdp&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T&ts=1380233162&type=default&q={searchTerms} SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=9C31D43D7E352E65&affID=119357&tsp=5018 SearchScopes: HKCU - {15A5E16B-DC86-4277-B694-EDD037508938} URL = http://www.idg.pl?q={searchTerms} SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1388676594&from=wpm0102&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T&q={searchTerms} SearchScopes: HKCU - {54A1E7BB-CA67-46C5-85E9-6ADA3B2C19AA} URL = http://www.idg.pl?q={searchTerms} SearchScopes: HKCU - {75b4241f-171e-44a3-bf44-23613b6e3e03} URL = http://search.tb.ask.com/search/GGmain.jhtml?p2=^AYY^xdm067^YYA^pl&si=flvrunner&ptb=0CEC2D9D-C253-4C17-86AF-838D314B492F&ind=2013082115&n=77fd3203&psa=&st=sb&searchfor={searchTerms} SearchScopes: HKCU - {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL = SearchScopes: HKCU - {89383D8F-0E54-4FD8-B1D8-12FAAC097801} URL = http://www.mysearchresults.com/search?c=3524&t=01&q={searchTerms} SearchScopes: HKCU - {D7BCFF01-E62C-4C4E-840F-E65A0EFB0DED} URL = http://www.idg.pl?q={searchTerms} SearchScopes: HKCU - {D91B2B18-4420-49A2-AF37-7E8B2F2DF8E4} URL = http://www.idg.pl?q={searchTerms} SearchScopes: HKCU - {F420DFA1-E687-4ACB-8F69-387137D18705} URL = http://www.idg.pl?q={searchTerms} BHO: DoWenSaVe - {4BC58949-7F92-E476-8A98-CAB427051D0A} - C:\Documents and Settings\All Users\Dane aplikacji\DoWenSaVe\7Lj0.dll () BHO: SaiVeLots - {58F86BAC-1199-0275-89F0-A22D70D3A36A} - C:\Documents and Settings\All Users\Dane aplikacji\SaiVeLots\J.dll () BHO: SaveSense - {71e129ff-6c2a-4984-818c-7e2c998b8d99} - C:\Documents and Settings\Vision\Ustawienia lokalne\Dane aplikacji\SaveSense\SaveSenseIE.dll (SaveSense) BHO: DefaultTab Browser Helper - {7F6AFBF1-E065-4627-A2FD-810366367D01} - C:\Documents and Settings\Vision\Dane aplikacji\defaulttab\defaulttab\DefaultTabBHO.dll (Search Results LLC.) BHO: WatcHItoAdBllocKE - {99B3E000-0379-FA9D-D350-BB8863F2C19F} - C:\Documents and Settings\All Users\Dane aplikacji\WatcHItoAdBllocKE\uA8ZEZIH.dll () BHO: 50CoUponus - {DD2FE438-BA9A-9B3D-41C8-1A887EA8CE4E} - C:\Documents and Settings\All Users\Dane aplikacji\50CoUponus\eDG8.dll () Toolbar: HKLM - SiteFinder - {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} - C:\Program Files\SiteFinder\SiteFinder.dll (Site Finder) FF Plugin: @divx.com/DivX Plus Web Player Plug-In,version=1.0.0 - C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll No File FF Plugin: @divx.com/DivX VOD Helper,version=1.0.0 - C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll No File FF Plugin: @tools.dpliveupdate.com/DealPlyLive Update;version=3 - C:\Program Files\DealPlyLive\Update\1.3.23.0\npGoogleUpdate3.dll (DealPly Technologies Ltd) FF Plugin: @tools.dpliveupdate.com/DealPlyLive Update;version=9 - C:\Program Files\DealPlyLive\Update\1.3.23.0\npGoogleUpdate3.dll (DealPly Technologies Ltd) FF HKLM\...\Firefox\Extensions: [{23fcfd51-4958-4f00-80a3-ae97e717ed8b}] - C:\Program Files\DivX\DivX Plus Web Player\firefox\DivXHTML5 FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ CHR HKLM\SOFTWARE\Policies\Google: Policy restriction GroupPolicy: Group Policy on Chrome detected Google Update Helper (Version: 1.3.23.0 - BonanzaDeals) Hidden C:\Documents and Settings\All Users\Dane aplikacji\79c55f939eee2dda C:\Documents and Settings\All Users\Dane aplikacji\Accelewin C:\Documents and Settings\All Users\Dane aplikacji\afaeiihhpkjloahpgbnfhidhdpkbhdef C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\BonanzaDealsLive C:\Documents and Settings\All Users\Dane aplikacji\DealPlyLive C:\Documents and Settings\All Users\Dane aplikacji\ehoodoihpgojeobepdmdkbkmkcodgana C:\Documents and Settings\All Users\Menu Start\Programy\RegClean Pro C:\Documents and Settings\NetworkService\Dane aplikacji\Allin1Convert_8h C:\Documents and Settings\NetworkService\Dane aplikacji\Delta C:\Documents and Settings\NetworkService\Dane aplikacji\DigitalSites C:\Documents and Settings\NetworkService\Dane aplikacji\MySearchDial C:\Documents and Settings\NetworkService\Dane aplikacji\SaveSense C:\Documents and Settings\NetworkService\Dane aplikacji\UpdateBonanza C:\Documents and Settings\Vision\.android C:\Documents and Settings\Vision\AppData C:\Documents and Settings\Vision\Dane aplikacji\*.exe C:\Documents and Settings\Vision\Dane aplikacji\Babylon C:\Documents and Settings\Vision\Dane aplikacji\download.am-data C:\Documents and Settings\Vision\Dane aplikacji\eDownload C:\Documents and Settings\Vision\Dane aplikacji\eIntaller C:\Documents and Settings\Vision\Dane aplikacji\File Scout C:\Documents and Settings\Vision\Dane aplikacji\newnext.me C:\Documents and Settings\Vision\Dane aplikacji\SimilarSites C:\Documents and Settings\Vision\Dane aplikacji\SwvUpdater C:\Documents and Settings\Vision\Dane aplikacji\Systweak C:\Documents and Settings\Vision\Dane aplikacji\WinZipper C:\Documents and Settings\Vision\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mobogenie.lnk C:\Documents and Settings\Vision\Menu Start\Programy\DealPly C:\Documents and Settings\Vision\Menu Start\Programy\SaveSense C:\Documents and Settings\Vision\Menu Start\Programy\Severe Weather Alerts C:\Documents and Settings\Vision\Moje dokumenty\Mobogenie C:\Documents and Settings\Vision\Ustawienia lokalne\Dane aplikacji\mysearchdial-speeddial.crx C:\Documents and Settings\Vision\Ustawienia lokalne\Dane aplikacji\cache C:\Documents and Settings\Vision\Ustawienia lokalne\Dane aplikacji\BonanzaDealsLive C:\Documents and Settings\Vision\Ustawienia lokalne\Dane aplikacji\genienext C:\Documents and Settings\Vision\Ustawienia lokalne\Dane aplikacji\Facebook C:\Documents and Settings\Vision\Ustawienia lokalne\Dane aplikacji\Google C:\Program Files\Download.am C:\Program Files\mozilla firefox\plugins C:\Users C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\System32\roboot.exe Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Extensions\{1B4D240E-8BDE-4C8D-8B93-C74D2F8A8284}" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Extensions\{CCC7B152-1D8C-11E3-B2AD-F3EF3D58318D}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{1B4D240E-8BDE-4C8D-8B93-C74D2F8A8284}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{CCC7B152-1D8C-11E3-B2AD-F3EF3D58318D}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść tam skąd uruchamiasz FRST (czyli na D:\). Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj adware: 1.0, 50CoUponus, Allin1Convert Internet Explorer Toolbar, Assistant, Bundled software uninstaller, Codec Package Packages, CouponSupport, CursorMania, Dealply, DealPly (remove only), DefaultTab, DoWenSaVe, Google Update Helper, Ikony Windows 7 Packages, Mobogenie, Mysearchdial, Pagealicious, Plus-HD-4.9, RegClean Pro, SaiVeLots, SaveSense, Severe Weather Alerts, ShoppingChip, SiteFinder, Update for Codec Package, Update_for_BonanzaDeals, WatcHItoAdBllocKE, Web Cake 3.00, WPM17.8.0.3297 3. Wyczyść Firefox: - menu Historia > Wyczyść historię przeglądania - menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowe logi: FRST (pola Addition i Shortcut mają być zaznaczone), OTL (bez Extras) oraz GMER. Dołącz też plik fixlog.txt i log z AdwCleaner. .

Posty sklejam. Temat przesuwam do działu XP. To nie wygląda na problem infekcji. W spoilerze drobna kosmetyka wpisów odpadkowych, bez związku z problemami zasadniczymi. FRST nie notuje braków klucza SafeBoot. Jaki jest problem z Trybem awaryjnym, tzn. co się pokazuje przy próbie wejścia do niego (BSOD / autoreset / brak reakcji)? Jeśli opcja "Restore my Active Desktop" nie przyniesie skutków, wykonaj edycję wartości DeskHtmlVersion jak tu podawałam: KLIK. Widzę tu też dodatkowy problem w systemie, czyli takie oto błędy "nie znalezienia modułu" w Dzienniku zdarzeń: System errors: ============= Error: (04/15/2014 03:32:45 PM) (Source: Service Control Manager) (User: ) Description: Usługa Remote Access Connection Manager zakończyła działanie; wystąpił następujący błąd: %%126 Odpowiada temu uszkodzenie powiązanej usługi Zawiadomienie o zdarzeniu systemowym (SENS) notowane w raporcie FRST: ==================== Drivers (Whitelisted) ==================== U2 SENS; Porównawczo ten temat: KLIK. Poproszę o dodatkowy skan. Uruchom SystemLook i do okna wklej: :reg HKLM\SYSTEM\CurrentControlSet\Services\SENS /s :filefind sens.dll Klik w Look. .

MSSE na XP to produkt ledwo wspierany przez MS, litosiernie aktualizacje baz będą dostarczane w ograniczonym zakresie (tylko do przyszłego roku), choć miało ich nie być wcale. A ostatnie aktualizacje powodują błędy na XP i są potrzebne kombinacje z wyłączaniem monitora behawioralnego: KLIK, KLIK. Ja nie widzę powodów dlaczego ma wymieniać bogatszy komercyjny Avast Pro na podstawowy MSSE mający mniej funkcji. Dodatkowo do czytania: KLIK. .

Temat przenoszę do działu Windows. Problem zasadniczy nie powinien mieć związku z infekcją. Ale infekcja owszem tu jest (fałszywy "aktualizator Realtek" jakoby od "Microsoftu"). W spoilerze czyszczenie. Zabrakło raportu GMER. Obecnie FRST w ogóle nie widzi tej partycji: ==================== Drives ================================ Drive c: () (Fixed) (Total:29.29 GB) (Free:8.86 GB) NTFS ==>[Drive with boot components (Windows XP)] Drive d: (Dysk lokalny) (Fixed) (Total:78.13 GB) (Free:18.78 GB) NTFS Drive e: (gry i programy) (Fixed) (Total:78.13 GB) (Free:14.8 GB) NTFS ==================== MBR & Partition Table ================== Disk: 0 (Size: 233 GB) (Disk ID: EF4CEF4C) Partition 1: (Active) - (Size=29 GB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=204 GB) - (Type=OF Extended) Jaki był błąd przy próbie otwierania partycji przed podjęciem operacji z uprawnieniami? Zrób zrzuty ekranu z: - Przystawki diskmgmt.msc - Zabezpieczenia > Zaawansowane > karty Uprawnienia i Właściciel. .

Na zakończenie: 1. Uruchom TFC - Temp Cleaner. 2. Zastosuj DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. O ile nic się nie zmieniło, do aktualizacji poniższe programy: ==================== Installed Programs ====================== Adobe Flash Player 12 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 12.0.0.77 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 12 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 12.0.0.77 - Adobe Systems Incorporated) ----> wtyczka dla FF Adobe Shockwave Player 12.0 (HKLM\...\Adobe Shockwave Player) (Version: 12.0.5.146 - Adobe Systems, Inc.) Java 7 Update 51 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217025FF}) (Version: 7.0.510 - Oracle) Java™ 6 Update 37 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216033FF}) (Version: 6.0.370 - Oracle) Java™ 6 Update 5 (HKLM\...\{3248F0A8-6813-11D6-A77B-00B0D0160050}) (Version: 1.6.0.50 - Sun Microsystems, Inc.) OpenOffice.org Installer 1.0 (HKLM\...\{0D499481-22C6-4B25-8AC2-6D3F6C885FB9}) (Version: 1.0.9221 - Sun Microsystems) Wszystkie stare Java 6 i OpenOffice.org Installer do deinstalacji. .

adacho, Avast i SpySheriff tu wcale nie było w postaci zainstalowanej. To są tylko martwe w ogóle nie ładowane przez system wpisy wyłączone kiedyś w msconfig, których deinstalacja nie usunęła. Brak wpływu na system. To już prędzej należy wypunktować szczątki odinstalowanego MKS (martwa usługa próbująca się ładować i odpadkowe sterowniki). To wszystko i tak jest załączone w spoilerze, jeśli dojdzie do tego etapu. A co do SUPERAntispyware: program nie jest aż tak inwazyjny jak ESET (brak osłony sieciowej). .

W systemie jest zainstalowane adware (Mega Browse, Mysearchdial). Z tym, że wygląda, iż Mysearchdial nabyłeś już w trakcie diagnostyki problemu przy pobieraniu Avast. Poniższy plik to nie jest instalator Avast tylko "Asystent pobierania" planujący instalacje adware: KLIK. 2014-03-31 18:40 - 2014-03-31 18:40 - 00002634 _____ () C:\Windows\System32\Tasks\MySearchDial 2014-03-31 18:40 - 2014-03-31 18:40 - 00000000 ____D () C:\Users\asus\AppData\Roaming\mysearchdial 2014-03-31 18:40 - 2014-03-31 18:40 - 00000000 ____D () C:\Program Files (x86)\Mysearchdial 2014-03-31 18:38 - 2014-03-31 18:38 - 00692376 _____ () C:\Users\asus\Downloads\avast-Free-Antivirus(13266)(1).exe Będę także usuwać Google, które nie wygląda na zainstalowane. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: () C:\Program Files (x86)\Mega Browse\updateMegaBrowse.exe () C:\Program Files (x86)\Mega Browse\bin\utilMegaBrowse.exe R2 Update Mega Browse; C:\Program Files (x86)\Mega Browse\updateMegaBrowse.exe [350496 2014-04-17] () R2 Util Mega Browse; C:\Program Files (x86)\Mega Browse\bin\utilMegaBrowse.exe [350496 2014-04-17] () R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61120 2014-03-25] (StdLib) S3 cpuz135; \??\C:\Users\asus\AppData\Local\Temp\cpuz135\cpuz135_x64.sys [X] Task: {468A200B-4897-4E55-BF1F-DD49321100C3} - System32\Tasks\MySearchDial => C:\Users\asus\AppData\Roaming\mysearchdial\UpdateProc\UpdateTask.exe [2013-04-12] () Task: C:\Windows\Tasks\MySearchDial.job => C:\Users\asus\AppData\Roaming\MYSEAR~1\UPDATE~1\UPDATE~1.EXE HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.mysearchdial.com/?f=1&a=ir_14_14_ff&cd=2XzuyEtN2Y1L1Qzu0D0CzzyD0D0Ezy0Fzz0B0AtDtC0AzyyDtN0D0Tzu0SzztBtCtN1L2XzutBtFtCzztFtBtFtDtN1L1CzutCyEtDtAtDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyCyC0A0DyC0CtBzytGyEyE0FzytGtDyDtA0DtGtDtB0AzztGtCzzyCtDyEzztCtD0CyBtC0B2QtN1M1F1B2Z1V1N2Y1L1Qzu2StDzytAtDyD0Fzy0FtGtAtDyBzztGzytCtAyBtGyC0CtA0AtGyC0DyDzz0Bzz0ByE0AyByEzy2Q&cr=1906506504&ir= HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.mysearchdial.com/?f=1&a=ir_14_14_ff&cd=2XzuyEtN2Y1L1Qzu0D0CzzyD0D0Ezy0Fzz0B0AtDtC0AzyyDtN0D0Tzu0SzztBtCtN1L2XzutBtFtCzztFtBtFtDtN1L1CzutCyEtDtAtDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyCyC0A0DyC0CtBzytGyEyE0FzytGtDyDtA0DtGtDtB0AzztGtCzzyCtDyEzztCtD0CyBtC0B2QtN1M1F1B2Z1V1N2Y1L1Qzu2StDzytAtDyD0Fzy0FtGtAtDyBzztGzytCtAyBtGyC0CtA0AtGyC0DyDzz0Bzz0ByE0AyByEzy2Q&cr=1906506504&ir= HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://start.mysearchdial.com/?f=1&a=ir_14_14_ff&cd=2XzuyEtN2Y1L1Qzu0D0CzzyD0D0Ezy0Fzz0B0AtDtC0AzyyDtN0D0Tzu0SzztBtCtN1L2XzutBtFtCzztFtBtFtDtN1L1CzutCyEtDtAtDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyCyC0A0DyC0CtBzytGyEyE0FzytGtDyDtA0DtGtDtB0AzztGtCzzyCtDyEzztCtD0CyBtC0B2QtN1M1F1B2Z1V1N2Y1L1Qzu2StDzytAtDyD0Fzy0FtGtAtDyBzztGzytCtAyBtGyC0CtA0AtGyC0DyDzz0Bzz0ByE0AyByEzy2Q&cr=1906506504&ir= SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=ir_14_14_ff&cd=2XzuyEtN2Y1L1Qzu0D0CzzyD0D0Ezy0Fzz0B0AtDtC0AzyyDtN0D0Tzu0SzztBtCtN1L2XzutBtFtCzztFtBtFtDtN1L1CzutCyEtDtAtDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyCyC0A0DyC0CtBzytGyEyE0FzytGtDyDtA0DtGtDtB0AzztGtCzzyCtDyEzztCtD0CyBtC0B2QtN1M1F1B2Z1V1N2Y1L1Qzu2StDzytAtDyD0Fzy0FtGtAtDyBzztGzytCtAyBtGyC0CtA0AtGyC0DyDzz0Bzz0ByE0AyByEzy2Q&cr=1906506504&ir= SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=ir_14_14_ff&cd=2XzuyEtN2Y1L1Qzu0D0CzzyD0D0Ezy0Fzz0B0AtDtC0AzyyDtN0D0Tzu0SzztBtCtN1L2XzutBtFtCzztFtBtFtDtN1L1CzutCyEtDtAtDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyCyC0A0DyC0CtBzytGyEyE0FzytGtDyDtA0DtGtDtB0AzztGtCzzyCtDyEzztCtD0CyBtC0B2QtN1M1F1B2Z1V1N2Y1L1Qzu2StDzytAtDyD0Fzy0FtGtAtDyBzztGzytCtAyBtGyC0CtA0AtGyC0DyDzz0Bzz0ByE0AyByEzy2Q&cr=1906506504&ir= SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=ir_14_14_ff&cd=2XzuyEtN2Y1L1Qzu0D0CzzyD0D0Ezy0Fzz0B0AtDtC0AzyyDtN0D0Tzu0SzztBtCtN1L2XzutBtFtCzztFtBtFtDtN1L1CzutCyEtDtAtDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyCyC0A0DyC0CtBzytGyEyE0FzytGtDyDtA0DtGtDtB0AzztGtCzzyCtDyEzztCtD0CyBtC0B2QtN1M1F1B2Z1V1N2Y1L1Qzu2StDzytAtDyD0Fzy0FtGtAtDyBzztGzytCtAyBtGyC0CtA0AtGyC0DyDzz0Bzz0ByE0AyByEzy2Q&cr=1906506504&ir= SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=ir_14_14_ff&cd=2XzuyEtN2Y1L1Qzu0D0CzzyD0D0Ezy0Fzz0B0AtDtC0AzyyDtN0D0Tzu0SzztBtCtN1L2XzutBtFtCzztFtBtFtDtN1L1CzutCyEtDtAtDyD1V1StN1L1G1B1V1N2Y1L1Qzu2SyCyC0A0DyC0CtBzytGyEyE0FzytGtDyDtA0DtGtDtB0AzztGtCzzyCtDyEzztCtD0CyBtC0B2QtN1M1F1B2Z1V1N2Y1L1Qzu2StDzytAtDyD0Fzy0FtGtAtDyBzztGzytCtAyBtGyC0CtA0AtGyC0DyDzz0Bzz0ByE0AyByEzy2Q&cr=1906506504&ir= SearchScopes: HKCU - {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL = BHO-x32: Mega Browse - {4e6cd411-ce62-4584-97ff-6afbcf6900af} - C:\Program Files (x86)\Mega Browse\MegaBrowsebho.dll (Mega Browse) BHO-x32: mysearchdial Helper Object - {EF5625A3-37AB-4BDB-9875-2A3D91CD0DFD} - C:\Program Files (x86)\Mysearchdial\1.8.29.0\bh\mysearchdial.dll (MySearchDial) Toolbar: HKLM-x32 - mysearchdial Toolbar - {3004627E-F8E9-4E8B-909D-316753CBA923} - C:\Program Files (x86)\Mysearchdial\1.8.29.0\mysearchdialTlbr.dll (MySearchDial) C:\Program Files (x86)\Google C:\Users\asus\AppData\Local\Google C:\Users\asus\AppData\Local\Temp\fp_pl_pfs_installer.exe C:\Users\asus\AppData\Roaming\sp_data.sys C:\Users\asus\AppData\Roaming\systweak C:\Users\asus\Downloads\avast-Free-Antivirus(13266)(1).exe C:\Windows\System32\drivers\wStLibG64.sys Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware Mega Browse, Mysearchdial. Następnie wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

corso Zestaw logów niekompletny: brak FRST Shortcut oraz GMER. Temat przenoszę do działu Hardware. Dostosuj się do zasad działu: KLIK. Obrazek z diskmgmt.msc możesz pominąć, gdyż układ dysków już jest podany w Addition, tylko jeden dysk fizyczny: ==================== Drives ================================ Drive c: () (Fixed) (Total:37.3 GB) (Free:19.87 GB) FAT32 ==>[Drive with boot components (Windows XP)] ==================== MBR & Partition Table ================== Disk: 0 (Size: 37 GB) (Disk ID: AE78AE78) Partition 1: (Active) - (Size=37 GB) - (Type=0C) PS. A system to ogólnie zaśmiecony i zaniedbany (są wpisy archaicznych odpadków infekcji i aplikacji). Do czyszczenia różne śmieci oraz stary ESET do wyrzucenia, ale nie jest to istotne teraz, a zalecenia w dziale Hardware mogą podważyć zasadność robienie czegokolwiek na tym dysku. Jeśli nie będzie nic drastycznego zaleconego, to wtedy możesz wykonać działania ze spoilera. To ostatnia rzecz do wykonania, a nie pierwsza w kolejności. A jeśli coś tu ma wpływać innego niż złe bloki dysku na wolne ładowanie stron to prędzej stary ESET (większe związki z siecią i filtrowaniem) niż SUPERAntispyware. .

Adware nabyłeś pobierając instalatory z portali w formie "downloaderów": KLIK. C:\Users\Adam\Downloads\FirefoxSetup-17326964-vffsb.exe C:\Users\Adam\Downloads\NASA World Wind 1.4_isdmgr.exe C:\Users\Adam\Downloads\MIO A201 driver provided through paweldrivers.com(1).exe Wprawdzie BrowseSmart usunnąłeś, ale on nadal jest w Google Chrome i są jeszcze do czyszczenia inne rzeczy (odpadki innych adware i programów oraz wpisy puste). I widzę że się przymierzałeś do uruchomienia jakiego skryptu do FRST (na Pulpicie jest plik fixlist.txt = usuń go). Akcja: 1. Przez Panel sterowania odinstaluj adware BurnAware Free Free Download Packages, File Type Assistant, QuickTime Free Download Packages, SiteFinder oraz szczątek Symantec LiveUpdate 3.2 (Symantec Corporation). Te pozycje "Packages" to nie są programy właściwe tylko kontenery adware. 2. Otwórz Notatnik i wklej w nim: BHO: DealPly Shopping - {9cf699ca-2174-4ed8-bec1-ba82095edce0} - C:\Program Files\DealPly\DealPlyIE.dll No File BHO: BrowseSmart - {ffbb88a9-c663-4b9b-9170-70fa0a5a2786} - C:\Program Files\BrowseSmart\BrowseSmartbho.dll No File HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie FF Plugin HKCU: @Skype Limited.com/Facebook Video Calling Plugin - C:\Users\Adam\AppData\Local\Facebook\Video\Skype\npFacebookVideoCalling.dll No File FF Extension: No Name - C:\Program Files\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi [2014-04-11] C:\Program Files\mozilla firefox\plugins HKLM\...\Run: [bonus.SSR.FR11] => "H:\FineReader\ABBYY FineReader 11\Bonus.ScreenshotReader.exe" /autorun HKU\S-1-5-21-3968398921-3086328574-2360549802-1000\...\Run: [DriverMax_RESTART] => [X] HKU\S-1-5-21-3968398921-3086328574-2360549802-1000\...\Run: [Facebook Update] => "C:\Users\Adam\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver HKU\S-1-5-21-3968398921-3086328574-2360549802-1000\...\Run: [] => [X] S2 dealplylive; C:\Program Files\DealPlyLive\Update\DealPlyLive.exe /svc [X] S3 dealplylivem; C:\Program Files\DealPlyLive\Update\DealPlyLive.exe /medsvc [X] S3 MSICDSetup; \??\D:\CDriver.sys [X] S3 RimUsb; System32\Drivers\RimUsb.sys [X] U2 V2iMount; S3 GenericMount; C:\Windows\System32\DRIVERS\GenericMount.sys [46192 2009-09-21] (Symantec Corporation) Task: {0098F240-E367-4FCA-A04D-6B0000C5F4E0} - System32\Tasks\{5350F6D4-FD25-4B21-8794-3FD325914C47} => C:\Users\Adam\Desktop\VIAwSetup\chrome3.exe Task: {1259491B-8C96-4636-B17F-319F7D0A7284} - System32\Tasks\{B38D1316-0778-4F86-8E67-B699180365AC} => C:\Users\Adam\Desktop\VIAwSetup\chrome3.exe Task: {1329DB7F-375A-452E-9E47-BF0E6144EB50} - System32\Tasks\ProgramUpdateCheck => C:\Program Files\File Type Assistant\TSAssist.exe [2012-10-06] (Trusted Software ApS) Task: {2633A0DC-644F-4C1B-93B0-CFA2E3F7E20C} - System32\Tasks\DealPlyLiveUpdateTaskMachineCore => C:\Program Files\DealPlyLive\Update\DealPlyLive.exe Task: {2E7AB8E3-9B2E-468F-96D1-E8CE2A874575} - System32\Tasks\{BD999017-E6F8-46B9-86BB-4A0F53211D47} => C:\Users\Adam\Desktop\VIAwSetup\chrome3.exe Task: {2F1EAF04-D9BF-43AD-89DB-8AD018E19F06} - System32\Tasks\{E3B72EB8-1EA9-45A5-B622-E420639341E6} => Firefox.exe http://ui.skype.com/ui/0/6.3.0.105/pl/abandoninstall?page=tsProgressBar Task: {3358DA14-FAA1-42F8-9C30-49B16A2570B4} - System32\Tasks\DealPlyLiveUpdateTaskMachineUA => C:\Program Files\DealPlyLive\Update\DealPlyLive.exe Task: {351CE44A-5D53-4EB3-8201-98AB7DBED644} - System32\Tasks\{E1D9971C-0102-47FA-8BE4-22205055C5DC} => Firefox.exe http://ui.skype.com/ui/0/6.0.0.126/pl/abandoninstall?page=tsMain Task: {3BFF6E60-C11C-491B-A7B9-3520840465CA} - System32\Tasks\{26A70251-7F45-4821-B206-59A202063FC9} => C:\Users\Adam\Desktop\VIAwSetup\chrome3.exe Task: {3EA20308-7AEA-4094-BA80-BE1555D1F4F1} - System32\Tasks\{EA0BED82-876C-4C44-B9A2-4D7C65050B60} => C:\Users\Adam\Desktop\VIAwSetup\chrome3.exe Task: {4AD3D4AA-EB87-4AD1-8749-F6FC37006E99} - System32\Tasks\DealPlyUpdate => C:\Program Task: {5210045D-EBE9-4BA3-A207-BA5AB52FCF2A} - System32\Tasks\{1A2BADD5-59E7-4974-9B3B-4C57CAAD9ECF} => Firefox.exe http://ui.skype.com/ui/0/5.9.0.115/en/abandoninstall?page=tsMain Task: {724A1624-8453-466D-9B78-42E609D69AE0} - System32\Tasks\{2690C56A-DCB0-41D1-AB89-B4868E092FF5} => C:\Users\Adam\Desktop\VIAwSetup\chrome3.exe Task: {EC644888-3B96-4B52-A4E3-F62D1BDBC634} - System32\Tasks\RegClean Pro => C:\Program Files\RegClean Pro\RegCleanPro.exe Task: {ED11C9E4-D504-4DCE-AA0B-3095ECDC5EB4} - System32\Tasks\{E31C989E-A3FD-4B69-A322-370434C2D8D6} => C:\Users\Adam\Desktop\VIAwSetup\chrome3.exe Task: C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineCore.job => C:\Program Files\DealPlyLive\Update\DealPlyLive.exe Task: C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineUA.job => C:\Program Files\DealPlyLive\Update\DealPlyLive.exe C:\Users\Adam\AppData\Roaming\1O1L1I1PtF1F1C1N C:\Users\Adam\AppData\Roaming\Oxy C:\Users\Adam\AppData\Roaming\SimilarSites C:\Users\Adam\AppData\Roaming\systweak C:\Users\Adam\Downloads\FirefoxSetup-17326964-vffsb.exe C:\Users\Adam\Downloads\NASA World Wind 1.4_isdmgr.exe C:\Users\Adam\Downloads\MIO A201 driver provided through paweldrivers.com(1).exe C:\Users\Adam\Desktop\Continue Firefox Free Download Installation.lnk C:\Windows\System32\DRIVERS\GenericMount.sys Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f CMD: netsh advfirewall reset CMD: rd /s /q "C:\Users\Adam\Desktop\Stare dane programu Firefox" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Ad-block trzeba będzie przeinstalować. Reset Firefox był już robiony wcześniej, ale nieskutecznie. 4. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj BrowseSmart Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

Czyszczenie Internet Explorer było prowadzone skryptem FRST, stąd reset przeglądarki nie był obligatoryjny. Wykonałeś go mimo to i OK. Na pewno nie. To są drobne rozszerzenia w Google Chrome, nie ten zasięg. avast! Online Security zresztą możesz odinstalować, to odpadek po usuniętym Avast. Folder C:\Program Files\Lenovo\Lenovo Solution Center także stoi w GMER jako zablokowany. Na razie jest wiadome, że blokada zachodzi tylko w Trybie normalnym, gdyż logi z GMER wykazują różnicę. 1. Przez SHIFT+DEL (omija Kosz) usuń kwarantanny C:\FRST\Quarantine i C:\AdwCleaner. 2. Wykonaj skanowanie za pomocą Malwarebytes Anti-Rootkit i przedstaw wynikowy raport. .

Skrypt wykonany. ==================== Installed Programs ====================== Norton Online Backup ARA (x32 Version: 4.3.0.14 - Symantec Corporation) Hidden "Program działa" - po czym to poznajesz, on się gdzieś pokazuje? Wpis programu (cytuję wyżej) był na liście zainstalowanych w Addition. Jest on ukryty, toteż podałam narzędzie MS do jego usuwania. Mówisz, że go nie ma na liście, ale pokazałeś obrazek z początkiem alfabetu. A ten kod, o który pyta narzędzie, to jest kod Instalatora Windows a nie kod aktywacji produktu. Kod nie jest tu na razie znany, bo żadne z podanych narzędzi tego nie przedstawia i informacja wymaga wyszukiwania w rejestrze. Na razie to zostawiam, gdyż: Wygląda na to, że infekcja zablokowała te foldery. W związku z tym uruchom GrantPerms i wklej obie ścieżki do odblokowania. Po odblokowaniu ogólnym powinieneś mieć dostęp, wejdź do tych folderów i sprawdź co w nich jest. Jeśli są jakieś podfoldery czy pliki, każdą ścieżkę z osobna przepuszczasz przez GrantPerms. Po tej operacji próbujesz oba foldery kasować przez SHIFT+DEL (omija Kosz). .

Jaki konkretnie widzisz błąd? Logi zrobisz, gdy nastąpią zmiany. Zostawiam tylko GMERy, bo jest między nimi zasadnicza różnica, w awaryjnym nie występuje blokada obszarów. Może przejdź do usuwania tego adware i potem będziemy drążyć resztę. Akcja: 1. Otwórz Notatnik i wklej w nim: URLSearchHook: HKLM-x32 - Default Value = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} URLSearchHook: HKLM-x32 - SiteFinder - {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} - C:\Program Files (x86)\SiteFinder\SiteFinder.dll (Site Finder) BHO-x32: TBLayoutBHO Class - {008f6853-9cb4-41c5-a950-39d55e5e06ba} - C:\Program Files (x86)\Amazon Browser Bar\AmazonBrowserBar.3.0.dll (Amazon.com) BHO-x32: FindRight - {2c774641-5504-46a8-b63f-6715ae3fe376} - C:\Program Files (x86)\FindRight\FindRightBHO.dll (FindRight) BHO-x32: AlxHelper Class - {F443A627-5009-4323-9C1D-7FD598D0D712} - C:\Program Files (x86)\Amazon Browser Bar\AmazonBrowserBar.3.0.dll (Amazon.com) Toolbar: HKLM-x32 - Amazon Browser Bar - {EA582743-9076-4178-9AA6-7393FDF4D5CE} - C:\Program Files (x86)\Amazon Browser Bar\AmazonBrowserBar.3.0.dll (Amazon.com) CHR HKLM-x32\...\Chrome\Extension: [pbjikboenpfhbbejgkoklgkhjpfogcam] - C:\Program Files (x86)\Amazon\ABB\AmazonChrome-lenovo-abb.crx [2012-02-18] HKU\S-1-5-21-3631931409-1417981497-3388749590-1000\...\Run: [Power2GoExpress] => NA Task: {A3F2A8CB-CFDB-4504-8EC3-C68CB347CCF8} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe S2 Update FindRight; C:\Program Files (x86)\FindRight\updateFindRight.exe [350496 2014-04-09] () S2 Util FindRight; C:\Program Files (x86)\FindRight\bin\utilFindRight.exe [350496 2014-04-09] () R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61112 2014-03-26] (StdLib) U3 BcmSqlStartupSvc; U2 CLKMSVC10_3A60B698; U2 CLKMSVC10_C3B3B687; U2 DriverService; U2 iATAgentService; U2 idealife Update Service; U3 IGRS; U2 IviRegMgr; U2 Oasis2Service; U2 PCCarerService; U2 ReadyComm.DirectRouter; U2 RichVideo; U2 RtLedService; U2 SeaPort; U2 SoftwareService; U3 SQLWriter; C:\Users\Public\AlexaNSISPlugin.3652.dll C:\Users\Ewa\AppData\Roaming\AVAST Software C:\Users\Ewa\AppData\Roaming\SimilarSites C:\Users\Ewa\Downloads\yet_another_cleaner_reh.exe C:\Users\Ewa\Downloads\yet_another_cleaner_mar.exe C:\Windows\system32\Drivers\WSTLIBG64.sys Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: rd /s /q C:\Users\Ewa\Downloads\FRST-OlderVersion CMD: rd /s /q C:\Users\Ewa\Downloads\FRSTold Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware Amazon Browser Bar, FindRight, SiteFinder. Następnie w Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Amazon 1Button App for Chrome (o ile nadal będzie po w/w deinstalacji) Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) i GMER. Dołącz też plik fixlog.txt i log z AdwCleaner. .

Od razu przeczytaj czego unikać: KLIK. No cóż, niestety reinfekcja. Ponadto widzę, że wpis "Google Update Helper" wcale nie został usunięty. Czyszczenie: 1. Otwórz Notatnik i wklej w nim: () C:\Users\Grzegorz\AppData\Local\fst_pl_96\upfst_pl_96.exe () C:\Program Files\fst_pl_96\fst_pl_96.exe () C:\Users\Grzegorz\AppData\Local\Lollipop\Lollipop.exe () C:\Program Files\ScanTack\updateScanTack.exe () C:\Program Files\ScanTack\bin\utilScanTack.exe R2 Update ScanTack; C:\Program Files\ScanTack\updateScanTack.exe [350496 2014-04-16] () R2 Util ScanTack; C:\Program Files\ScanTack\bin\utilScanTack.exe [350496 2014-04-16] () HKLM\...\Run: [fst_pl_96] => C:\Program Files\fst_pl_96\fst_pl_96.exe [3985408 2014-03-27] () HKLM\...\RunOnce: [upfst_pl_96.exe] - C:\Users\Grzegorz\AppData\Local\fst_pl_96\upfst_pl_96.exe -runonce [3264512 2014-03-27] () HKU\S-1-5-21-3187870866-3550116853-2859755729-1000\...\Run: [lollipop] => c:\users\grzegorz\appdata\local\lollipop\lollipop.exe [3889664 2014-04-15] () HKU\S-1-5-21-3187870866-3550116853-2859755729-1000\...\Run: [LiveSupport] => "C:\Program Files\LiveSupport\LiveSupport.exe" /noshow /log BHO: ScanTack - {d332cff8-358e-4c9e-8af3-a08872ef22c1} - C:\Program Files\ScanTack\ScanTackbho.dll (ScanTack) Google Update Helper (Version: 1.3.23.0 - BonanzaDeals) Hidden C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus C:\ProgramData\Microsoft\Windows\Start Menu\Programs\free_soft_to_day C:\Users\Grzegorz\Desktop\grzes\McAfee Security Scan Plus.lnk C:\Users\Public\Desktop\McAfee Security Scan Plus.lnk Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware fst_pl_96, Google Update Helper, Lollipop, ScanTack. Jeśli będzie problem z deinstalacją fałszywki Google Update Helper, ponownie kieruję do narzędzia: KLIK. 3. Ponownie wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Ponownie uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. 5. Ponownie uruchom TFC - Temp Cleaner. 6. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition (log Shortcut jednak zbędny). Dołącz też plik fixlog.txt i log z AdwCleaner (najnowszy, nie pomyl ze starymi). .

Czy te programy się obecnie uruchamiają? Jeśli któryś odmówi posłuszeństwa, to i tak jest nieunikniona reinstalacja programu, bo już innego sposobu naprawy szkód po Sality nie ma. I widzę, że w programach są głównie gry. Mogę doczyścić co widzę, ale nie gwarantuję co będzie dalej, a niektóre usterki mogą wyjść na jaw znacznie później. Akcja: 1. Otwórz Notatnik i wklej w nim: S3 amsint32; \??\C:\WINDOWS\system32\drivers\hvloj.sys [X] S3 cpuz136; \??\C:\DOCUME~1\www\USTAWI~1\Temp\cpuz136\cpuz136_x32.sys [X] S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X] S3 GMSIPCI; \??\F:\INSTALL\GMSIPCI.SYS [X] HKLM\...\Run: [fst_pl_96] => [X] Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\www\DANEAP~1\Dealply\UPDATE~1\UPDATE~1.EXE HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.delta-search.com/?affID=119535&babsrc=HP_ss&mntrId=40b8f9ac000000000000002421101264 URLSearchHook: HKCU - (No Name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ FF HKCU\...\Firefox\Extensions: [{58bd07eb-0ee0-4df0-8121-dc9b693373df}] - C:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect\2.6.1095.52\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\FirefoxExtension C:\Program Files\Ask.com C:\Program Files\Conduit C:\Program Files\DealPly C:\Program Files\DealPlyLive C:\Program Files\Mobogenie C:\Program Files\PC Speed Maximizer C:\Program Files\predm C:\Documents and Settings\All Users\Dane aplikacji\Ask C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\DealPlyLive C:\Documents and Settings\All Users\Dane aplikacji\SpeedyPC Software C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\www\Dane aplikacji\Babylon C:\Documents and Settings\www\Dane aplikacji\Dealply C:\Documents and Settings\www\Dane aplikacji\DriverCure C:\Documents and Settings\www\Dane aplikacji\SpeedyPC Software C:\Documents and Settings\www\Dane aplikacji\Systweak C:\Documents and Settings\www\Menu Start\Programy\Mobogenie C:\Documents and Settings\www\Menu Start\Programy\Start Lollipop C:\Documents and Settings\www\Pulpit\hs_err_*.log C:\Documents and Settings\www\Ustawienia lokalne\Dane aplikacji\APN C:\Documents and Settings\www\Ustawienia lokalne\Dane aplikacji\AskToolbar C:\Documents and Settings\www\Ustawienia lokalne\Dane aplikacji\Conduit C:\Documents and Settings\www\Ustawienia lokalne\Dane aplikacji\DealPlyLive C:\Documents and Settings\www\Ustawienia lokalne\Dane aplikacji\fst_pl_96 C:\Documents and Settings\www\Ustawienia lokalne\Dane aplikacji\Lollipop C:\Documents and Settings\www\Ustawienia lokalne\Dane aplikacji\Mobogenie C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Mobogenie /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KernelFaultCheck" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh firewall reset Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Przez Dodaj/Usuń programy odinstaluj zbędnik Akamai NetSession Interface. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz USBFix z opcji Listing. Dołącz też plik fixlog.txt. .