picasso

Większość zadań wykonana, adware nie jest już aktywne, ale jeszcze mamy co usuwać, w tym likwidacja dwóch zgłoszonych problemów: Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > jeśli widać ten wpis na liście, to go zaznacz i przejdź Dalej. Jeśli jednak wpis nie będzie widoczny, siłowo ręcznie go usunę, ale to zadam potem, gdyż na razie pobieram dane: Oprócz tego delikwenta jest jeszcze jeden dziwny wpis w Preferences, bez nazwy (log FRST błędnie asygnuje nazwę "AdBlock"). Zanim zajmę się brutalnym usuwaniem owych rozszerzeń, podaj mi jeszcze dodatkowe dane: 1. Uruchom SystemLook x64, w oknie wklej: :regfind kfmbpbaailakonbmgchpniebcgeeofem nlcnobjgnhecnhblhnfidfhfpdogjknj :folderfind kfmbpbaailakonbmgchpniebcgeeofem nlcnobjgnhecnhblhnfidfhfpdogjknj Klik w Look. Doczep jako załącznik wynikowy log. 2. Przekopiuj na Pulpit cały folder tego dziwnego rozszerzenia bez nazwy C:\Users\Edyta\AppData\Local\Google\Chrome\User Data\Default\Extensions\kfmbpbaailakonbmgchpniebcgeeofem, zapakuj, shostuj gdzieś i na PW prześlij link. Po uzyskaniu tych danych wykończę wszystko z dysku za jednym zamachem. .

+ Tu jest Windows 8, w którym usunięto tę funkcjonalność. Karta "Poprzednie wersje" to cecha Vista i Windows 7. By na Windows 8 się dostać do magazynu kopiii cieniowych wg formuły znanej z poprzednich systemów, trzeba robić rozmaite obejścia. Poza tym, podawałam tę instrukcję w innym temacie w odmiennym kontekście: przywrócenie całego poprawnego profilu Google Chrome (został uszkodzony przez użytkownika przy nieudolnych próbach usunięcia "Dragona"), a nie usuwanie Discount Dragon. To że równocześnie oznaczało to usunięcie Discount Dragon to przypadek. nasir99 proszę mi pokazać nowe raporty z FRST. .

Poprzednie infekcje pomyślnie usunięte. Teraz adresuję usuwanie nowego adware. Wygląda na to, że załatwiłeś się tym oto plikiem (będę go oczywiście usuwać, bo to wrapper adware a nie prawidłowa instalka): 2014-02-06 13:04 - 2014-02-06 13:04 - 00340776 _____ (SetApp) C:\Users\Edyta\Downloads\TandemMod_TrailerPack1.8.1.rar.exe 1. Otwórz Notatnik i wklej w nim: AppInit_DLLs: C:\PROGRA~2\WS_X64~1.ENA => C:\Program Files (x86)\WS_x64.Enabler [4241408 2014-02-06] () S2 1a34a8e0; C:\Program Files (x86)\WSSvc.dll [175952 2014-02-06] () BHO: SNT - {2F6CA9D3-23CA-C4E7-FCB1-53230630309C} - C:\Program Files (x86)\SNT\CrzTcWh.x64.dll () BHO: YoutubeAdblocker - {53478B71-B85D-296D-D956-CCB3B79B3C25} - C:\Program Files (x86)\YoutubeAdblocker\nNnjGM7Xb.x64.dll () BHO: greeatsavaerr - {68D6A6AC-6CBB-DAA4-23B5-33413534A2FF} - C:\Program Files (x86)\greeatsavaerr\_kLK.x64.dll () HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.webisgreat.info/?pid=2356&r=2014/02/06&hid=12004318192655379658&lg=EN&cc=PL&unqvl=48 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://websearch.webisgreat.info/?pid=2356&r=2014/02/06&hid=12004318192655379658&lg=EN&cc=PL&unqvl=48 SearchScopes: HKLM-x32 - DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.webisgreat.info/?l=1&q={searchTerms}&pid=2356&r=2014/02/06&hid=12004318192655379658&lg=EN&cc=PL&unqvl=48 SearchScopes: HKLM-x32 - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.webisgreat.info/?l=1&q={searchTerms}&pid=2356&r=2014/02/06&hid=12004318192655379658&lg=EN&cc=PL&unqvl=48 SearchScopes: HKCU - DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.webisgreat.info/?l=1&q={searchTerms}&pid=2356&r=2014/02/06&hid=12004318192655379658&lg=EN&cc=PL&unqvl=48 SearchScopes: HKCU - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.webisgreat.info/?l=1&q={searchTerms}&pid=2356&r=2014/02/06&hid=12004318192655379658&lg=EN&cc=PL&unqvl=48 C:\Users\Edyta\AppData\Local\Comodo C:\Users\Edyta\AppData\Local\Packages C:\Users\Edyta\AppData\Local\Torch C:\Users\Edyta\Downloads\TandemMod_TrailerPack1.8.1.rar.exe C:\Users\Administrator C:\Users\Gość C:\Users\HomeGroupUser$ CMD: copy "C:\Users\Edyta\AppData\Local\Google\Chrome\User Data\Default\Preferences" C:\Users\Edyta\Desktop Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware: greeatsavaerr, SNT, WS.Enabler, WS.Supporter 1.80, YoutubeAdblocker (2 pozycje). 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj YoutubeAdblocker i co tam jeszcze podejrzanego widać (prawdopodobnie jest greeatsavaerr lub SNT, ale Preferences Google jest pomieszany i trudno odczytać). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log utworzony przez AdwCleaner. Ponadto, na Pulpicie utworzyłam plik Preferences, shostuj go gdzieś i wyślij link do niego na PW. .

cinnek W podsumowaniu: brak tu oznak czynnej infekcji. Wyniki skanerów mało istotne. MBAM wykrył po prostu instalator PhotoScape jako zawierający adware. Avira wykrywa obiekt w folderze Przywracania systemu. Nie wiadomo nawet co to jest, gdyż obiekty w tym folderze są jedynie kopiami pod zmienionymi nazwami alfanumerycznymi (oryginalny plik miał całkiem inną nazwę). Wynik nie ma znaczenia dla bieżącego działania systemu, to izolowany folder. Folderów "System Volume Information" nie czyści się antywirusami tylko w specjalny sposób (KLIK). To jest krok zawsze zadawany na końcu. Czyli nie wykonuj go jeszcze, bo tu mamy inne działania poprawkowe (m.in. usuwanie szczątków paska AVG i Google): 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-842925246-1417001333-1606980848-1004\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-21-842925246-1417001333-1606980848-1004\...\Policies\Explorer: [HideSCAHealth] 0 S2 vToolbarUpdater15.3.0; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\15.3.0\ToolbarUpdater.exe [X] C:\Program Files\Mozilla Firefoxavg-secure-search.xml C:\Program Files\mozilla firefox\browser\searchplugins\avg-secure-search.xml C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\Dorota\Ustawienia lokalne\Dane aplikacji\Google C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-842925246-1417001333-1606980848-500Core.job C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-842925246-1417001333-1606980848-500UA.job Folder: C:\Documents and Settings\Dorota\Dane aplikacji\Irp Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh firewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. muzyk75 Drobna uwaga. Tu jest Internet Explorer 6, więc "SearchScopes: HKLM - DefaultScope value is missing" jest normalnym prawidłowym odczytem, gdyż ta archaiczna przeglądarka w ogóle nie posiada techniki SearchScopes (tak rozwiązani dostawcy wyszukiwania są dopiero od IE7 w górę). To uwaga poboczna, bo i tak odwracam to powyżej + jest tu planowana instalacja IE8, która zapisze prawidłowo SearchScopes. .

Nie prosiłam Cię o logi z OTL, prosiłam o raport z FRST po wykonaniu zadań. I zaznacz ponownie pole Addition, by powstały dwa logi, bo: W istocie to jeden i ten sam błąd. Komunikat mówi, że jest ładowany metodą AppInit_DLLs wadliwy plik C:\PROGRA~2\WS_X64~1.ENA (= C:\Program Files (x86)\WS_x64.Enabler). To szkodliwy moduł, bo się załatwiłeś ponownie jakimś trefnym instalatorem. Ja Ci tu usuwam infekcję, a Ty w międzyczasie załadowałeś adware. Zajmę się tym, ale czekam na nowe logi FRST. Wiem co to za program, a przetwarzam ten wpis Harmonogramu zadań, bo jest pusty (brak pliku na dysku). Na dodatek TunnelBear nie widnieje w ogóle na liście zainstalowanych. .

By zbudować skrypt, musisz wiedzieć co przetwarzasz i jakie tego będą skutki. To wymaga naprawdę dużej wiedzy z zakresu Windows i budowy przeglądarek / programów, a także odwróżnienia wpisów złych od poprawnych. Bezmyślne wklejanie linii do Notatnika może się bardzo źle skończyć (uszkodzenie czegoś, a nawet niemożność wejścia już do Windows). .

jera Temat założony w nieodpowiednim dziale. Problemy Windows w dziale Windows i tam przenoszę temat. Ten efekt martwych przycisków sugeruje wyrejestrowane biblioteki relatywne do Kopii zapasowej lub wadliwe rozszerzenie powłoki. Dla porównania te wątki: KLIK / KLIK. Wstępnie zrób test na integracje powłoki. Uruchom ShellExView, z wciśniętym CTRL zaznacz wszystkie rozszerzenia niedomyślne (wyróżnione na różowym tle) i masowo wyłącz, zresetuj system. Podaj czy są zmiany. Oczywiście, przeprowadzone czyszczenie z adware nie ma nic wspólnego z tematem Kopii zapasowej. I pro forma dostarcz logi z folderu C:\AdwCleaner, bo musi być sprawdzone co on robił. muzyk75 Drobne uwagi: - Skrypt FRST w ogóle nie usunie wpisów "CHR Plugin" (FRST nie jest zdolny przetwarzać pliku Preferences). I przecież dałeś instrukcję resetu wtyczek Google Chrome, co automatycznie zeruje takie wpisy. - Już mówiłam w innym temacie co robi reset Firefox, więc 99% wpisów FF w skrypcie było niepotrzebnie, bo je likwiduje właśnie reset (przebija cały prefs.js, usuwa user.js i wszystkie wyszukiwarki oraz rozszerzenia strony użytkownika). Jedyny wpis nie obejmowany resetem to był ów globalny C:\Program Files\mozilla firefox\searchplugins\babylon.xml. .

W kwestii konfiguracji FRST: opcje "Drivers MD5" + "List BCD" nie miały być zaznaczone. Są tu dwie infekcje: podrobiony wpis "sidebar" oraz sfałszowane "Google". Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: HKLM\...\Policies\Explorer\Run: [2139] - C:\ProgramData\Local Settings\Temp\msyiaov.com [866632 2009-07-14] ( (Google Inc.)) HKU\S-1-5-21-1330102789-1859539255-693781278-1000\...\RunOnce: [sidebar] - C:\Users\Edyta\AppData\Roaming\Sample.lnk [927 2014-02-06] Task: {381B69BA-1329-416A-B54B-2294DF35AB67} - System32\Tasks\TunnelBear => C:\Program Files (x86)\TunnelBear\TBear.Client.exe S3 X6va015; \??\C:\Windows\SysWOW64\Drivers\X6va015 [X] S3 X6va016; \??\C:\Windows\SysWOW64\Drivers\X6va016 [X] C:\ProgramData\Local Settings C:\Users\Edyta\AppData\Roaming\Sample.lnk C:\Users\Edyta\AppData\Roaming\DataWork C:\ProgramData\Spybot - Search & Destroy C:\Program Files (x86)\Spybot - Search & Destroy CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. Oczywiście odpowiadasz mi w nowym poście, nie edytuj wstecznie pierwszego. .

nasar Proszę nie umieszczaj logów na tym denerwującym sendspace, który na dodatek blokuje okresowo sloty. Od prezentacji logów są załączniki forum, względnie serwisy wklejkowe. Przeniosłam wszystko na wklej.org. Wg dostarczonego wcześniej raportu USBFix: na urządzeniu E były skróty LNK infekcji, skrypt FRST nie dedykował ich wcale. Poproszę o zrobienie nowego świeżego raportu USBFix z opcji Listing. Do usunięcia jeszcze będą martwe zadania adware z Harmonogramu zadań, ale to podam potem po ocenie raportu USBFix. muzyk75 Drobna uwaga: Skoro resetujesz Firefox (to nie jest "reset wtyczek" lecz prawie wszystkich obiektów strony użytkownika), to nie ma sensu przetwarzać skryptami linii typu FF SearchEngineOrder.user_pref. Reset Firefox tworzy przecież nowy plik prefs.js i wszystkie tego rodzaju wpisy stają się nieaktualne. .

muzyk75 Drobne uwagi: - Nie przetwarzaj dwukrotnie tych samych obiektów Harmonogramu zadań. Przetworzenie wpisów "Task:" automatycznie usuwa relatywny folder ze ścieżki C:\Windows. - Obiekt C:\Users\Martuś\DivXLand_MediaSub_211.exe nie był szkodliwy. "Files to move or delete" nie ma żadnej innej weryfikacji niż lokalizacja, stąd też nierzadkie fałszywe alarmy. Te wpisy należy ocenić czy się nadają do usuwania. maryace Po pierwsze: w ogóle nie podane wyniki skryptu FRST, czyli log fixlog.txt, dołącz go. Podanmy skrypt do FRST miał załączoną linię usuwającą rozszerzenie Discount Dragon. Rozszerzenie jest nadal na miejscu = Fix nie przetworzył się w ogóle w tej części. Toteż proszę o log z wynikami, by sprawdzić co tam się działo. Proszę go przypadkiem nie powtarzać, jest już nieaktualny. Chodzi o dołączenie wyników skryptu już obecnych. Nie podałeś jaki błąd widzisz. Swoją drogą to ja nie bez powodu podaję całkiem inną kolejność zadań niż tu została przedstawiona. Takie rzeczy jak aktualizacje robi się na samym końcu po wyczyszczeniu systemu. .

Jak mówię, infekcja Facebook w pełnej krasie. Teraz jeszcze doszedł proces Bitcoin Minera (minerd.exe) w Temp. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: C:\Users\Kuba\AppData\Roaming\*.exe C:\Users\Kuba\AppData\Roaming\{259e6fb3-5215-f270-de70-4605259e6fb3} C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{259e6fb3-5215-f270-de70-4605259e6fb3}.exe C:\Users\Administrator\AppData\Roaming\Bitdefender C:\ProgramData\*.bin C:\Windows\SysWow64\unrar.dll C:\Windows\system32\Drivers\48402127.sys URLSearchHook: HKCU - (No Name) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - No File SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = S2 vToolbarUpdater17.3.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\17.3.0\ToolbarUpdater.exe [X] Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Przejdź w Tryb normalny Windows. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

Jeśli zmierzasz do ponownego użycia podanego tu skryptu do FRST na tym samym komputerze przy ponownym wystąpieniu problemu lub na innym komputerze, to całkowicie odpada. Skrypt jest robiony na podstawie konkretnego widoku systemu z konkretnego czasokresu, jest niepowtarzalny. Nawet jeśli taki sam problem ponownie wystąpi, trzeba robić od zera skany i na ich podstawie budować dopasowane skrypty. Gotowców tu brak. Podejrzewałam, że może być błąd. Obiekt wyglądał na mocno zdekompletowany. Zajmuję się nim w punktach 1 + 2 poniżej. Wszystko zrobione. Finiszujemy: 1. Drobne poprawki. Otwórz Notatnik i wklej w nim: C:\Documents and Settings\user\Dane aplikacji\newnext.me HKU\S-1-5-21-1659004503-1417001333-1801674531-1004\...\Run: [Akamai NetSession Interface] - "C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe" SearchScopes: HKLM - DefaultScope value is missing. Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D0F1CFB6-090B-45B6-86B9-20C72CD9B261} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > sprawdź czy widać na liście pdfforge Toolbar v7.3 > jeśli tak, to klik w Dalej. 3. Porządki po narzędziach. Przez SHIFT+DEL skasuj FRST i foldery C:\FRST, C:\MATS. W AdwCleaner uruchom Odinstaluj. W OTL uruchom Sprzątanie. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Do aktualizacji poniższe pozycje Adobe, Java i OpenOffice.org (by mógł korzystać z najnowszej Java): KLIK. Stan widziany obecnie: ==================== Installed Programs ====================== Adobe Reader XI (11.0.01) (Version: 11.0.01 - Adobe Systems Incorporated) Adobe Shockwave Player 11.5 (Version: 11.5.9.620 - Adobe Systems, Inc.) Java™ 6 Update 25 (Version: 6.0.250 - Oracle) OpenOffice.org 3.3 (Version: 3.3.9567 - OpenOffice.org) .

Problem przekierowań awesomehp.com powinien być przeszłością. Wszystko poprawnie wykonane. Możemy przejść do finalizacji: 1. Jeszcze mini poprawki, jakoś nie zauważyłam dwóch folderów. Otwórz Notatnik i wklej w nim: C:\ProgramData\McAfee C:\Program Files (x86)\Mobogenie C:\Users\AAA\AppData\Local\Mobogenie C:\Users\AAA\AppData\Roaming\newnext.me Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Porządki po narzędziach. Przez SHIFT+DEL (omija Kosz) skasuj FRST oraz: C:\sc-cleaner.txt C:\FRST C:\Users\AAA\Desktop\FRST-OlderVersion C:\Users\AAA\Desktop\sc-cleaner.txt C:\Users\AAA\Downloads\sc-cleaner.exe W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Uruchom TFC - Temp Cleaner. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Na koniec odinstaluj stare wersje Adobe Flash Player 10 ActiveX + Adobe Reader 9.5.5 MUI. W razie potrzeby doinstaluj najnowsze wersje: KLIK. .

artigt, tu są nowe zasady działu, obowiązkiem jest dostarczanie raportów FRST. Temat przenoszę do działu Windows, gdyż główna sprawa kręci się wokół usterek Windows, aczkolwiek tu są niedoczyszczone resztki infekcji i adware. Zajmę się tym w stosownym czasie. Tu była wcześniej w systemie infekcja ZeroAccess, która jest niedoczyszczona (na dysku nadal obecny katalog tej infekcji). Infekcja ta kasuje usługi Zapory. Z Twoich raportów OTL wynika, że określone usługi Zapory były obecne, ale w Dzienniku zdarzeń wyrzucały błędy "Odmowa dostępu". Zastana sytuacja sugeruje, że owe usługi zostały czymś niepoprawnie / niecałkowicie odtworzone tzn. z pominięciem specjalnych uprawnień, które opisuję w swoim temacie (link podawał już Belfegor). ServicesRepair m.in. resetuje uprawnienia usług, dlatego też Zapora zaczęła działać. [ System Events ] Error - 2014-02-03 13:41:52 | Computer Name = Art-Komputer | Source = Service Control Manager | ID = 7023 Description = Usługa Podstawowy aparat filtrowania zakończyła działanie; wystąpił następujący błąd: %%5 Error - 2014-02-03 13:41:52 | Computer Name = Art-Komputer | Source = Service Control Manager | ID = 7001 Description = Usługa Zapora systemu Windows zależy od usługi Podstawowy aparat filtrowania, której nie można uruchomić z powodu następującego błędu: %%5 Ale tu i tak nie koniec zadań. O szczątkach infekcji i adware już wspominałam, ale są tu jeszcze mocarne szczątki Avast: Niepoprawnie odczytujesz "file not found", owszem to brak pliku na dysku, tylko że usługa nadal jest w systemie i próbuje się uruchamiać, co skutkuje błędem w Dzienniku zdarzeń: [ System Events ] Error - 2014-02-03 13:41:52 | Computer Name = Art-Komputer | Source = Service Control Manager | ID = 7000 Description = Nie można uruchomić usługi avast! Firewall z powodu następującego błędu: %%2 Należy usunąć tę wadliwą usługę. A poza tym jest tu grubsza sprawa z Avast, wg posta numer #6 (czyli jakoby po owych deinstalacjach Avast) cała kolekcja uruchomionych sterowników Avast w systemie wskazująca, że deinstalacja odbyła się na pół gwizdka: ========== Services (SafeList) ========== SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\AVAST Software\Avast\afwServ.exe -- (avast! Firewall) ========== Driver Services (SafeList) ========== DRV:64bit: - [2013-10-31 07:46:13 | 000,270,824 | ---- | M] (AVAST Software) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\aswNdis2.sys -- (aswNdis2) DRV:64bit: - [2013-10-31 07:46:12 | 000,131,232 | ---- | M] (AVAST Software) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\aswFW.sys -- (aswFW) DRV:64bit: - [2013-10-31 07:46:12 | 000,022,600 | ---- | M] (AVAST Software) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\aswKbd.sys -- (aswKbd) DRV:64bit: - [2013-09-25 13:15:31 | 000,012,368 | ---- | M] (ALWIL Software) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\aswNdis.sys -- (aswNdis) I to całkiem możliwe, że te sterowniki pozostały nawet po użyciu czyściciela dedykowanego Avast Uninstall Utility, o ile został na pewno użyty z poziomu Trybu awaryjnego Windows. Te obiekty pochodzą od komercyjnej wersji Avast i są specyficzne (filtrują urządzenia). Z tego co zauważyłam na forum Avast Uninstall Utility w ogóle nie rusza tych obiektów. Ostały się sterowniki sieciowe oraz sterownik filtrujący klawiaturę. Tych sterowników nie wolno usunąć "od ręki" (a już z pewnością nie metodą "skasowania pliku" z dysku), bo padną klawiatura i karty sieciowe. W pierwszej kolejności należy rozwiązać filtry na urządzeniach. Przeprowadź następujące działania: 1. Odmontuj sterownik filtrujący klawiaturę. 2. Odmontuj urządzenia sieciowe Avast. Na początek sprawdź te miejsca: - Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > po lewej stronie wybierz opcję Zmień ustawienia karty sieciowej > dla wszystkich widzialnych połączeń z prawokliku wybierasz Właściwości > w pierwszej karcie patrzysz jakie komponenty są używane przez połączenie > szukaj wejść należnych do Avast. Jeśli będą takie pozycje, podświetl je i odinstaluj przyciskiem, a po tym zresetuj komputer. - Start > w polu szukania wklep devmgmt.msc > z prawokliku Uruchom jako Administrator > z menu Widok włącz pokazywanie ukrytych urządzeń. Pojawi się lista Sterowników niezgodnych z Plug and Play. Tu cytuję z innego tematu co powinno być widoczne od Avast: Znalezione podświetl i odinstaluj. Dodatkowo rozwiń gałąź Karty sieciowe i popatrz czy są jakieś urządzenia od Avast. 3. Po wszystkim proszę o nowy raport z OTL oraz zaległe raporty z FRST. I przejdę do czyszczenia szczątków infekcji / adware. .

Oczekuję więc na wyraźne sformułowanie co się dzieje na dalszą metę, co wytyczy kierunek czy będziemy się nadal głowić (bo widoczne usterki już zostały naprawione). Jasne. .

Posty zostały sklejone do oczekiwanej na starcie formy. Adware zostało zainstalowane przez pobranie i uruchomienie lewych instalatorów, to nie jest Adobe Flash Player tylko downloader z jakiegoś portalu mający na celu zabrudzić system: 2014-02-05 09:27 - 2014-02-05 09:28 - 00337960 _____ (Amônétízé Ltd) C:\Users\AAA\Downloads\FlashPlayer__4369_i331675308_il1.exe 2014-01-20 20:10 - 2014-01-20 20:11 - 00338984 _____ (Amônétízé Ltd) C:\Users\AAA\Downloads\FlashPlayer__4369_i277643525_il1.exe 2014-01-20 20:10 - 2014-01-20 20:11 - 00338984 _____ (Amônétízé Ltd) C:\Users\AAA\Downloads\FlashPlayer__4369_i277643327_il1.exe Do czytania będzie jak unikać takich rzeczy: KLIK. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.awesomehp.com/?type=hp&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.awesomehp.com/?type=hp&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.awesomehp.com/?type=hp&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.awesomehp.com/?type=hp&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.awesomehp.com/?type=hp&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.awesomehp.com/?type=hp&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.awesomehp.com/?type=sc&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX&q={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=2C75C417FE0142AD&affID=125034&tsp=5029 SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX&q={searchTerms} CHR HKLM-x32\...\Chrome\Extension: [pkndmigholgfjlniaohblojbhgjbkakn] - C:\Users\AAA\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv2.crx [2014-02-05] CHR StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://www.awesomehp.com/?type=sc&ts=1391589916&from=amt&uid=HitachiXHTS545025B9A300_091211PBG2001SDK6NJVX HKLM\...\Run: [mwlDaemon] - C:\Program Files (x86)\EgisTec\MyWinLocker 3\x86\mwlDaemon.exe HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKU\S-1-5-21-3549266809-1713994114-3174162351-1001\...\Run: [Tok-Cirrhatus] - [X] HKU\S-1-5-21-3549266809-1713994114-3174162351-1001\...\Run: [NextLive] - C:\Windows\SysWOW64\rundll32.exe "C:\Users\AAA\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l Task: {8BAC1400-37F3-4164-9BEB-94B7731D69B7} - System32\Tasks\McQcModifier-5c47-a7b0 => C:\ProgramData\McQcModifier-5c47-a7b0\McQcModifier-5c47-a7b0.cmd [2009-08-29] () HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" C:\extensions.ini C:\extensions.sqlite C:\Program Files (x86)\AmiExt C:\Program Files (x86)\SupTab C:\ProgramData\IePluginService C:\ProgramData\McQcModifier-5c47-a7b0 C:\ProgramData\WPM C:\Users\AAA\.android C:\Users\AAA\AppData\Local\genienext C:\Users\AAA\AppData\Local\Lollipop C:\Users\AAA\AppData\Local\Temp\*.exe C:\Users\AAA\AppData\Roaming\newnext.me C:\Users\AAA\Downloads\FlashPlayer__4369_i331675308_il1.exe C:\Users\AAA\Downloads\FlashPlayer__4369_i277643525_il1.exe C:\Users\AAA\Downloads\FlashPlayer__4369_i277643327_il1.exe Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj zbędny McAfee Security Scan (to była instalacja sponsorowana). 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Awesomehp modyfikuje skróty LNK przeglądarek. Z ostatnich tematów na forum wynika, że AdwCleaner nie wykrywa jeszcze tego. Zastosuj Shortcut Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt oraz logi utworzone przez narzędzia AdwCleaner i Shortcut Cleaner. .

Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: () C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\fst_pl_41\upfst_pl_41.exe HKLM\...\Run: [Regedit32] - C:\WINDOWS\system32\regedit.exe HKLM\...\Run: [] - [X] HKLM\...\Run: [fst_pl_41] - [X] HKLM\...\Run: [upfst_pl_41.exe] - C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\fst_pl_41\upfst_pl_41.exe [3154416 2014-01-27] () HKLM\...\Run: [mobilegeni daemon] - C:\Program Files\Mobogenie\DaemonProcess.exe HKLM\...\RunOnce: [Discount Dragon-repairJob] - wscript.exe "C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Discount Dragon\repair.js" "Discount Dragon-repairJob" [1846 2013-12-18] () HKU\S-1-5-21-1659004503-1417001333-1801674531-1004\...\Run: [Tiny download manager] - "C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\DM\TinyDM.exe" /M HKU\S-1-5-21-1659004503-1417001333-1801674531-1004\...\Run: [NextLive] - C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\user\Dane aplikacji\newnext.me\nengine.dll",EntryPoint -m l Task: C:\WINDOWS\Tasks\bench-S-1-5-21-1659004503-1417001333-1801674531-1004.job => C:\Program Files\Bench\Updater\updater.exe Task: C:\WINDOWS\Tasks\bench-sys.job => C:\Program Files\Bench\Updater\updater.exe HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nationzoom.com/web/?type=ds&ts=1391433867&from=slbnew&uid=HitachiXHDS721616PLA380_PVG904Z23NZS0V3NZS0VX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.nationzoom.com/web/?type=ds&ts=1391433867&from=slbnew&uid=HitachiXHDS721616PLA380_PVG904Z23NZS0V3NZS0VX&q={searchTerms} SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.nationzoom.com/web/?type=ds&ts=1391433867&from=slbnew&uid=HitachiXHDS721616PLA380_PVG904Z23NZS0V3NZS0VX&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.nationzoom.com/web/?type=ds&ts=1391433867&from=slbnew&uid=HitachiXHDS721616PLA380_PVG904Z23NZS0V3NZS0VX&q={searchTerms} SearchScopes: HKCU - {28E271C9-9EE6-463F-8204-872054D9D679} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=827316&p={searchTerms} BHO: Discount Dragon BHO - {EA34C851-D481-49F5-A356-3A8B0A8F3B7E} - C:\Program Files\Discount Dragon\FrameworkBHO.dll () Hosts: 54.204.28.26 nikdaiaidiiiogaidkkekcmokcgcdeac S0 b9b0c9bf14119a19; \SystemRoot\System32\Drivers\b9b0c9bf14119a19.sys [X] S3 catchme; \??\C:\DOCUME~1\user\USTAWI~1\Temp\catchme.sys [X] S1 iSafeNetFilter; \??\C:\Program Files\iSafe\iSafeNetFilter.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\IePluginService C:\Documents and Settings\All Users\Dane aplikacji\WPM C:\Documents and Settings\user\.android C:\Documents and Settings\user\daemonprocess.txt C:\Documents and Settings\user\Dane aplikacji\iSafe C:\Documents and Settings\user\Dane aplikacji\nationzoom C:\Documents and Settings\user\Dane aplikacji\newnext.me C:\Documents and Settings\user\Dane aplikacji\SwvUpdater C:\Documents and Settings\user\Moje dokumenty\Mobogenie C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\BenchUpdater C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\cache C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\genienext C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\freeSOFTtoday C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\fst_pl_41 C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Lollipop C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Mobogenie C:\Documents and Settings\user\Dane aplikacji\systweak C:\Program Files\Bench C:\Program Files\MyPC Backup C:\Program Files\predm C:\Program Files\SupTab C:\WINDOWS\System32\dmwu.exe C:\WINDOWS\system32\epe2000.dll C:\WINDOWS\System32\ImHttpComm.dll C:\WINDOWS\system32\roboot.exe Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\Search the Web" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\MenuExt\Search the Web" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj adware: Discount Dragon, pdfforge Toolbar v7.3. Od razu pozbądź się też zbędnego downloadera Akamai NetSession Interface + Akamai NetSession Interface Service. 3. W Google Chrome: - Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres delta-search.com. - Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log utworzony przez AdwCleaner. .

muzyk75, kolejny temat w którym pomijasz wpisy jawnej infekcji. Przecież tu jest infekcja Facebook, w ogóle nie tknięta żadnym dotychczasowym działaniem: ==================== Registry (Whitelisted) ================== Startup: C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{259e6fb3-5215-f270-de70-4605259e6fb3}.exe (Synei ) ==================== One Month Created Files and Folders ======== 2014-02-03 22:02 - 2014-02-03 22:02 - 00000000 ____D () C:\Users\Kuba\AppData\Roaming\{259e6fb3-5215-f270-de70-4605259e6fb3} ) KbS92, poproszę o nowy komplet logów FRST. Proszę trzymaj się konfiguracji w przyklejonym temacie, w którym mówię wyraźnie, że sekcje Drivers MD5 oraz List BCD nie mają być zaznaczone. .

Na początek uwaga: był używany wątpliwy skaner SpyHunter, trzymaj się od niego z daleka (stosuje technikę przymuszania do zakupów poprzez agresywne reklamowanie swoich możliwości). W kwestii szczątków adware: - Wygląda na to, że Mobogenie pochodzi raczej z "Asystenta pobierania" dobrychprogramów a nie Softonic Downloader, gdyż na dysku jest plik tegoż Free-Download-Manager(12555).exe i zaraz po tym utworzone obiekty Mobogenie. - Jest więcej odpadków adware, w tym obiekty "Spigot" wprowadzane przez instalatory IObit. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: Task: {0E44F11A-42EB-48C2-91AD-6D861DB4FA9E} - System32\Tasks\Plus-HD-4.9-enabler => C:\Program Files (x86)\Plus-HD-4.9\Plus-HD-4.9-enabler.exe Task: {685A6F05-5696-4D09-ADA3-B029014989DB} - System32\Tasks\Plus-HD-4.9-codedownloader => C:\Program Files (x86)\Plus-HD-4.9\Plus-HD-4.9-codedownloader.exe Task: {69631BE8-58F2-4695-BA5B-F19DC83EF5F1} - System32\Tasks\Plus-HD-4.9-firefoxinstaller => C:\Program Files (x86)\Plus-HD-4.9\Plus-HD-4.9-firefoxinstaller.exe Task: {6AF3DDC3-8717-4347-9466-10704565CF42} - System32\Tasks\Plus-HD-4.9-chromeinstaller => C:\Program Files (x86)\Plus-HD-4.9\Plus-HD-4.9-chromeinstaller.exe Task: {F9CF12FF-058E-454D-92F8-9A8EBE6A0B04} - System32\Tasks\Plus-HD-4.9-updater => C:\Program Files (x86)\Plus-HD-4.9\Plus-HD-4.9-updater.exe HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=26D412689DF49D7A&affID=122254&tt=110913_238&tsp=5002 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKCU - DefaultScope {77A97EAB-0681-4382-B911-18D71D98419B} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=198484&p={searchTerms} SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear SearchScopes: HKCU - {77A97EAB-0681-4382-B911-18D71D98419B} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=198484&p={searchTerms} BHO: No Name - {11111111-1111-1111-1111-110411591118} - No File CHR HKLM-x32\...\Chrome\Extension: [hbcennhacfaagdopikcegfcobcadeocj] - C:\Program Files (x86)\Common Files\Spigot\GC\saebay_1.1.crx [2014-01-08] CHR HKLM-x32\...\Chrome\Extension: [icdlfehblmklkikfigmjhbmmpmkmpooj] - C:\Program Files (x86)\Common Files\Spigot\GC\ErrorAssistant_1.2.crx [2014-01-08] CHR HKLM-x32\...\Chrome\Extension: [mhkaekfpcppmmioggniknbnbdbcigpkk] - C:\Program Files (x86)\Common Files\Spigot\GC\coupons_2.4.crx [2014-01-08] CHR HKLM-x32\...\Chrome\Extension: [pfndaklgolladniicklehhancnlgocpp] - C:\Program Files (x86)\Common Files\Spigot\GC\saamazon_1.0.crx [2013-11-19] HKU\S-1-5-21-836309973-1067384988-4267493152-1002\...\Run: [Power2GoExpress] - NA HKU\S-1-5-21-836309973-1067384988-4267493152-1002\...\Run: [NextLive] - C:\WINDOWS\SysWOW64\rundll32.exe "C:\Users\Gonaa\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l HKU\S-1-5-21-836309973-1067384988-4267493152-1002\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 0 HKLM\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 S2 McAPExe; "C:\Program Files\McAfee\MSC\McAPExe.exe" [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\ProgramData\1e7f623d16a71941 C:\ProgramData\House Of Soft C:\Program Files\Enigma Software Group C:\Users\Gonaa\.android C:\Users\Gonaa\daemonprocess.txt C:\Users\Gonaa\AppData\Local\cache C:\Users\Gonaa\AppData\Local\Comodo C:\Users\Gonaa\AppData\Local\genienext C:\Users\Gonaa\AppData\Local\Mobogenie C:\Users\Gonaa\AppData\Roaming\newnext.me C:\Users\Gonaa\Documents\Mobogenie C:\Users\Gonaa\Downloads\Free-Download-Manager(12555).exe C:\Users\Gonaa\Downloads\SpyHunter-Installer.exe C:\Users\Administrator C:\Users\Gość C:\Users\UpdatusUser C:\WINDOWS\ACF5FE1B377240688B872D2A6EFD0A05.TMP Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDrives /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {E74A8A2C-718B-46F9-B2AE-1020BA3EFDAD} /f Reg: reg delete "HKCU\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: sc config "Mobile Partner. RunOuc" start= demand Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj Surfing Protection (zbędnik od IObit, w systemie są korespondujące rozszerzenia Avast). Proponuję od razu pozbyć się również Advanced SystemCare 7, również od IObit (nie polecam niczego co wychodzi spod tych skrzydeł). 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

- W kwestii poprzedniego podejścia: Infekcja nie została zauważona od razu. Przecież już w pierwszym logu widać wpis trojana w starcie (oraz powiązane procesy). Dopiero w poście #4 zaadresowano to w skrypcie OTL. Ale brak raportu z wynikami przetwarzania skryptu OTL, nie wiadomo jak to zostało przetworzone. Temat nie został także poprawnie ukończony. - W kwestii nawrotu infekcji: zakładając, że ów skrypt do OTL to ruszył, to wygląda na to, że ponownie uruchomiono coś co ładuje infekcję. Czy uruchamiano jakiś szczególny crack? Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: () C:\Users\Sony\AppData\Roaming\pwo6\svchost.exe () C:\Users\Sony\AppData\Local\Temp\_MEI20762\bin\winlogon.exe () C:\Users\Sony\AppData\Local\Temp\_MEI20762\bin\explorer.exe HKLM-x32\...\Run: [Application Layer Gateway] - C:\Program Files (x86)\Common Files\alg.exe HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKU\S-1-5-21-2432516722-503974337-737974545-1000\...\Run: [pwo6] - C:\Users\Sony\AppData\Roaming\pwo6\svchost.exe [7321472 2014-01-28] () HKU\S-1-5-21-2432516722-503974337-737974545-1000\...\Run: [ChicaPasswordManager] - "C:\Program Files (x86)\ChicaLogic\Chica Password Manager\stpass.exe" /autorunned S2 Update Jump Flip; No ImagePath C:\Program Files (x86)\Mobogenie C:\Users\Sony\AppData\Local\genienext C:\Users\Sony\AppData\Local\Mobogenie C:\Users\Sony\AppData\Roaming\newnext.me C:\Users\Sony\AppData\Roaming\pwo6 C:\Users\Sony\Documents\Chica Passwords Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Usuń szczątki adware: - Przez Panel sterowania odinstaluj Jump Flip, o ile się da. Wpis wygląda na uszkodzony. - Zresetuj Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 3. Uruchom AdwCleaner (najnowsza wersja). Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt oraz log utworzony przez AdwCleaner. .

Temat przenoszę do działu Windows 8. Nie widzę tu żadnego związku z infekcją. Przez SHIFT+DEL skasuj FRST, folder C:\FRST oraz folder kwarantanny RogueKiller. Komentarze: Ten czarny ekran YouTube na przeglądarce IE, który "sam się naprawia" i losowo znów "psuje", to pachnie raczej plikami Cookie: KLIK. Nawiasem mówiąc, posiadasz zainstalowany CCleaner, jak ten użytkownik. Widzę to w spisie punktów Przywracania systemu: ==================== Restore Points ========================= 04-02-2014 05:44:06 删除了 微软拼音简捷 2012 流行词汇更新 (KB2723161) Ten "chiński" wpis był poprawny. Opis poprawki KB2723161: KLIK. Nie podałaś w ogóle o jaki ciąg Ci chodziło, ale w raportach nic dziwnego nie było. Zaś ów pasek "Research" prawdopodobnie pochodzi od instalacji Office. Nie widzę związku z problemami. RogueKiller robi reset pliku HOSTS "na jedno kopyto" (nie bacząc na postaci domyślne dla danej platformy). Owszem, reset pliku teraz zrobiony, ale nie odpowiada domyślnej wersji pliku na Windows 8 (wpisy protokołów IPv4 i IPv6 nieczynne, skomentowane znakiem #). Poprawny reset pliku robi Fix-it Microsoftu: KLIK. Fałszywy alarm. Norton wykrył instalator Kaspersky Security Scan. .

muzyk75 Zrobiłeś powierzchowne czyszczenie. Ominąłeś zasadniczą część, czyli infekcję blokującą system (wpisy Winmgmt, Userinit i Startup, liczne pliki w "Dane aplikacji"). I pomyliłeś wpisy: Wpis Userinit to nie jest crack aktywacji tylko część blokady "policyjnej". Crackiem aktywacji jest wpis Winlogon: Winlogon\Notify\Antiwpa: C:\WINDOWS\system32\antiwpa.dll () Spekulujesz. To jest tylko historyczne mapowanie, nie wiadomo kiedy powstało i od jakiego urządzenia. Jedyne co jest pewne, to że na partycji D leży nieszkodliwy kreator sieci bezprzewodowej, gdyż OTL wykrył pliki jako istniejące: O32 - AutoRun File - [2012-12-25 13:55:49 | 000,000,089 | ---- | M] () - D:\AUTORUN.INF -- [ NTFS ] O33 - MountPoints2\D\Shell\AutoRun\command - "" = D:\setupSNK.exe -- [2004-08-04 00:44:30 | 000,028,672 | ---- | M] (Microsoft Corporation) Zastanawia mnie też użycie "netsh winsock reset", bo jeśli chciałeś usunąć wpis Bonjour, to komenda nic w tym zakresie nie zrobi (obszar NameSpace w ogóle nie jest resetowany tym poleceniem). aier27 Na temat ostatniego posta muzyk75: opuść wszystkie te instrukcje. Zawartość pendrive bez trudu można pobrać innymi metodami (załączę to w skrypcie FRST), skan MBAM będzie wykonywany potem, nie próbuj też teraz instalować aktualizacji Windows, to się robi na szarym końcu po kompletnym wyczyszczeniu systemu, które jest gdzieś w połowie dopiero. Tu definitywnie nie jest koniec działań: czynna infekcja blokująca system, uszkodzone WMI (związane z infekcją), źle wyczyszczone szczątki starej infekcji z USB w systemie (nie tylko mapowanie MountPoints), nadal adware w systemie. W kwestii WMI, to w pierwszym zestawie logów była jawna modyfikacja infekcji: S4 winmgmt; C:\Documents and Settings\All Users\Dane aplikacji\lwigto.dat [131072 2013-04-02] () Ten wpis nie jest już widoczny w najnowszych raportach FRST, a nadal są widzialne skutki uszkodzenia tej usługi. Na pewno wpis infekcji nie był korygowany skryptem do FRST (pominięty), więc prawdopodobnie RogueKiller mógł to naprawiać, tylko z braku jego logów nie wiadomo jak daleko posunęła się naprawa. Poza tym: usługa Winmgmt była w stanie "Wyłączono", a to może oznaczać, że ją "naprawiano" pozostawiając ten Typ uruchomienia. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\xtqqeeyo.exe (Avira GmbH) Startup: C:\Documents and Settings\xxx\Menu Start\Programy\Autostart\xtqqeeyo.exe () HKLM\...\Winlogon: [userinit] C:\WINDOWS\system32\userinit.exe,C:\Program Files\NbrCLiBd\xtqqeeyo.exe Winlogon\Notify\WgaLogon: WgaLogon.dll [X] U1 eabfiltr; BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (My Global Search) Toolbar: HKLM - My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (My Global Search) Toolbar: HKCU - My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (My Global Search) FF Plugin: @macromedia.com/FlashPlayer10 - C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll No File FF Plugin ProgramFiles/Appdata: C:\Program Files\mozilla firefox\plugins\NPMyGlSh.dll (My Global Search) C:\Documents and Settings\All Users\Dane aplikacji\rundll32.exe C:\Documents and Settings\All Users\Dane aplikacji\otgiwl.js C:\Documents and Settings\All Users\Dane aplikacji\otgiwl.pad C:\Documents and Settings\All Users\Dane aplikacji\lwigto.dat C:\Documents and Settings\xxx\*.lnk C:\Documents and Settings\xxx\autorun.inf C:\Documents and Settings\xxx\zoazu.scr Reg: reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Folder: F:\ Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Kolene czyszczenie z adware: - Przez Dodaj/Usuń programy odinstaluj My Global Search Bar. - Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasłanie zostaną naruszone. 3. Zrób nowy skan FRST (bez Addition) oraz Farbar Service Scanner. Dołącz plik fixlog.txt oraz zaległe logi innych narzędzi, to zawsze musi być sprawdzone (są możliwe fałszywe alarmy, błędne naprawy etc.): - AdwCleaner: dostarcz logi z katalogu C:\AdwCleaner. - RogueKiller: dostarcz logi z katalogu RK_Quarantine, który leży na Pulpicie. .

muzyk75 "Przed" i "po" nie ma znaczenia. Wykonanie defragmentacji nie ma odbicia w raportach FRST i OTL. Jedyny log mający cokolwiek zazębiającego się jawnie, to SecurityCheck z linią "Total Fragmentation on Drive C:", ale temu ufać nie można, na wielu systemach narzędzie nie jest w ogóle w stanie wykryć realnego progu defragmentacji. Fiszer Na początek podsumuję: tu nie było w raportach oznak czynnej infekcji w rozumieniu trojanów, tylko adware (w szczątkach). Ma się to nijak do wielu zgłoszonych problemów, które sugerują całkiem inny poziom usterek (Windows i sprzęt). Przeprowadzone tu czyszczenie możesz uznać za "kosmetyczne". Ono i tak nie jest skończone, ale tego na razie nie adresuję, gdyż w dalszej części neguję zasadność podejmowania jakichkolwiek drobnych akcji sprzątających w konfrontacji z resztą usterek. Widzę, że robiłeś już przymiarkę z C:\te94decrypt.exe od Doctor Web. To nie wygląda na poprawne narzędzie, mogło zaszkodzić (zmieniając tylko nazwy plików, niestety ich nie deszyfrując). Są wpisy w logu odpowiadające szyfrowaniu, czyli taki oto plik TXT w starcie oraz inny wpis z przyrostkiem "EnCiPhErEd": Startup: C:\Documents and Settings\Default User\Menu Start\Programy\Autostart\ĘŔĘ ĐŔŃŘČÔĐÎÂŔŇÜ ÔŔÉËŰ.txt () Startup: C:\Documents and Settings\Default User\Menu Start\Programy\Autostart\Styler.lnk.EnCiPhErEd Ów przyrostek "EnCiPhErEd" wskazuje, że należy użyć narzędzie F-Secure Ransomcrypt Decryption Script linkowane w przyklejonym: KLIK. Jednakże może się okazać (zwłaszcza po uprzednim majstrowaniu narzędziem Dr. Web), że tu się nie da już nic odszyfrować i nastąpi realna utrata danych.... Ogólnie rzecz biorąc to ta infekcja "EnCiPhErEd" jest stara i jest tu podejrzenie jej pobytu przez bardzo długi okres czasu, a w tym czasie mogły się dziać inne rzeczy, które jeszcze bardziej pogrążyły sprawę. MBAM po prostu wykrył i "naprawił" błahą rzecz, czyli konfigurację wyłączonych alertów Centrum zabezpieczeń: HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Złe: (1) Dobre: (0) -> Nie wykonano akcji. HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Złe: (1) Dobre: (0) -> Nie wykonano akcji. HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Złe: (1) Dobre: (0) -> Nie wykonano akcji. Z tym, że wątpliwe, by to pochodziło od infekcji. Jest tu "XP black edition v8.2", nienormalny XP z licznymi modyfikacjami. Takie przeróbki zwykle próbują mieszać w ustawieniach Centrum, albo wyłączając je tylko, albo kompletnie wycinając tęże usługę z systemu. Wygląda na kolejny skutek "XP black edition v8.2". Przypuszczalnie: ów msconfig.exe miał na przeróbce atypową lokalizację (czyli C:\Windows\system32), a że użyto ComboFix, który w ogóle nie uznaje żadnych przerobionych XP, to ComboFix usunął ten plik, gdyż nie spełnia warunków domyślnych. Tak to już jest na przeróbkach, powycinane / zmanipulowane za dużo, a domyślić się co jest standardem danej przeróbki to już zupełnie inna historia. I na takowym dziwie jest trudno diagnozować określone defekty. Zresztą muzyk75 już Ci zaczął tego Windowsa jeszcze bardziej molestować, bo usunął skryptem FRST usługi Windows CiSvc + ERSvc. One były poszkodowane nie dlatego, że coś tu się stało, tylko dlatego że ten "Black" miał te modyfikacje przeprowadzone w taki niedokładny sposób ... Ten system i tak będzie do wymiany, prędzej i czy później, gdyż jak już wspominane kończy się wsparcie XP (KLIK). Ja tu zdecydowanie przychylam się do zdania muzyk75, że nie opłaca się czyścić i naprawiać tego lewego systemu. To nie jest spławianie Ciebie, tylko ocena zasadności działań, ich efektywności oraz czasu wykonania, który przekroczy stawianie nowego Windows. Podsumujmy: - piracki zmodyfikowany system o trudnym zakresie oceny modyfikacji "Black" - przestarzałe sterowniki i określone ingerencyjne programy (G Data InternetSecurity sprzed ponad 3 lat) - śmietnik adware (częściowo usunięty, nadal jednak są odpadki w Google Chrome i Firefox), zaszyfrowane dane (dekrypcja na bardzo dalekim horyzoncie) - defekty systemowe, brak msconfig.exe i nie wiadomo czego jeszcze oraz widoczne uszkodzenie WMI (nie zostało to w ogóle naprawione, nadal widać w raportach to uszkodzenie) Na dodatek są problemy wskazujące na sprzęt i to jest obecnie problem nadrzędny. C:\FOUND.00X powstaje, gdy zostały wykryte błędy struktury plików i wadliwe fragmenty zostały odcięte. Powtarzające się sprawdzanie dysku z wynikami w postaci odpadkowych danych może sugerować także ogólny problem z dyskiem. Dodatkowa uwaga, w Dzienniku zdarzeń były błędy tego pokroju: System errors: ============= Error: (02/04/2014 00:17:07 PM) (Source: 0) (User: ) Description: \Device\Ide\IdePort0 Prawdopodobnie jest to skutek uruchomienia GMER. Do wglądu Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Problemy sprzętowe (przede wszystkim "przegrzewanie się"), możliwe że i sterownikowe (jednakże BSOD punktujący sterownik graficzny ATI może być także odbiciem problemów sprzętowych a nie kłopotów z wersją sterownika per se). Toteż temat przenoszę do działu Hardware. Dostosuj się do zasad działu: KLIK. Gdy zostanie zdiagnozowany sprzęt i owe "grzanie się" w sposób jednoznaczny, moja kolejna rada to: reinstalacja XP z czystej niemodyfikowanej płyty (to załatwi wszystkie problemy stricte systemowe za jednym zamachem), a na dalszą metę rozważenie kompletnej wymiany systemu np. Windows 7 (Vista nie polecam, to także stary już system z ograniczonym wsparciem). Niestety dalsze rozważania są już poza zakresem tego forum. Obecnie jest zainstalowana "z powietrza" piracka wersja XP. Użytkownik pokazujący tu taki typ systemu i mówiący, że nie ma płyty, nie może liczyć na to, że otrzyma wskazówki skąd zdobyć płytę metodami innymi niż legalne. .

Czy próbowałeś zresetować BIOS poprzez wyciągnięcie baterii? Nie. Ten trojan by inicjowany już z poziomu uruchomionego Windows, kompletnie inny obszar ingerencji. .

Czy błąd uszkodzonego Kosza po jego opróżnieniu nadal występuje? Skan sfc /scannow nie był tu zadany przeze mnie z powodu wyraźnego opisu problemu. Problem nie ma związku z plikami systemowymi. Podałam konkretną sugestię, która nawet nie została sprawdzona i zaczynacie błądzić w dziwnych kierunkach. + Nie szukaj w systemowych plikach, wadach rejestru etc.... Zacznij od podstawowego programu, który steruje dostępem i może go blokować, a jest to COMODO. Skoro "nie umiesz znaleźć opcji", to po prostu na próbę odinstaluj program i sprawdź jak to wygląda bez niego. Z tym, że ja nie podłożę głowy pod te dodatki do Tibia: To że znajomi używają nie jest dla mnie żadnym argumentem. Proszę podaj linki do owych "oficjalnych stron". Wyniki w 99% bez znaczenia. - Wszystko z C:\AdwCleaner\Quarantine + C:\FRST\Quarantine zupełnie się nie liczy. To są nieaktywne kwarantanny narzędzi. Skan MBAM został zadany przed poprawnym usunięciem kwarantann, stąd te wyniki. - Trojan.Dropper w instalatorze Ventrillo to fałszywy alarm. Prawdopodobnie drugi "Trojan.Dropper", tylko w cache Google Chrome, to jest replika tego instalatora. Czyli zostają dwa wyniki, w tym pierwszy jest niejasny (to jest właśnie jedna z owych paczek Tibia), a drugi w ogóle nie związany z tematem (nikły odpadek adware): C:\Users\abc\Downloads\ElfBot.rar (Spyware.PWS) -> Nie wykonano akcji. C:\User Data\Default\Extensions\newtab.crx (PUP.Optional.Elex.A) -> Nie wykonano akcji. .