picasso

System nie jest zainfekowany, tylko urządzenia są zaprawione. Należy na nich po prostu zdjąć atrybuty HS z folderów, a repliki *.exe skasować. Przeprowadź następujące działania: 1. Przy podpiętych urządzeniach (zakładam że mają nadal identyczne litery). Otwórz Notatnik i wklej w nim: SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKLM-x32 - {6690D530-C092-B39A-2873-75EF78EE0F01} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10005&barid={746BC366-EF90-11E1-8BC8-0027133B2CD4} SearchScopes: HKCU - {6690D530-C092-B39A-2873-75EF78EE0F01} URL = https://isearch.avg.com/search?cid={ADE11D00-A148-4797-BF83-081CE5D58486}&mid=742f8ff3f04747d0a1e0d16e55dfc527-5285be68680837480636019b7212dba186569e4b&lang=pl&ds=xn011&pr=sa&d=2012-10-16 23:06:04&v=13.0.0.7&sap=dsp&q={searchTerms} SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie Task: {11E4035F-128B-41CA-8671-FC25077C4B7E} - \Program aktualizacji online firmy Adobe. No Task File Task: {B8468BB7-C31C-48CE-B245-F48975FB7588} - \Program aktualizacji online produktu Real Player. No Task File S2 vToolbarUpdater13.2.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe [x] U3 Sffpvertgrw; No ImagePath C:\Users\Grześ\AppData\Local\Temp*.html G:\*.exe H:\*.exe J:\*.exe J:\Autorun.inf CMD: attrib /d /s -s -h G:\* CMD: attrib /d /s -s -h H:\* CMD: attrib /d /s -s -h J:\* CMD: sc config "PLAY ONLINE. RunOuc" start= demand Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Drobne działania w systemie spoza tematu: - Odinstaluj zbędny downloader Akamai NetSession Interface. - Zresetuj cache wtyczek Google Chrome, by pozbyć się pustych wpisów. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy skan USBFix z opcji Listing. Dołącz plik fixlog.txt. .

Czy te dodatki do Tibia są pewne? Żeby nie było takich historii: KLIK. W podanych logach nie ma żadnych oznak infekcji, za to widać defekt w postaci niepracującego poprawnie WMI (FRST nie mógł pobrać listy procesów). Te błędy z dostępem: sugeruję zainteresować się COMODO Internet Security, czy przypadkiem funkcje HIPS nie okazały się zbyt przedsiębiorcze. Z drugiej strony: czy blokady się pokazywały tylko przy próbie instalacji owych dodatków Tibia? Do wykonania drobne korekty nie związane z tematem zasadniczym, tzn. usunięcie wpisów odpadkowych. Odinstaluj adware FilesFrog Update Checker. Otwórz Notatnik i wklej w nim: Task: {1395AFE3-AA8D-41F4-95E3-09B8C7FF2431} - System32\Tasks\RunAsStdUser Task => C:\Program Files (x86)\Sanjeev18\Standalone 8 Clock\Standalone 8 Clock.exe Task: {868574EF-5E4C-4600-9CF3-48833F598B0A} - \DealPly No Task File Task: {DF5EDB52-4131-410A-AABB-646BBF3548EF} - \Desk 365 RunAsStdUser No Task File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe FF NetworkProxy: "type", 0 FF Plugin ProgramFiles/Appdata: C:\Program Files (x86)\mozilla firefox\plugins\nppluginrichmediaplayer.dll () S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [x] C:\Users\abc\AppData\Local\WMTools Downloaded Files C:\Users\abc\AppData\Roaming\abclog.dat C:\Users\abc\AppData\Roaming\chrtmp C:\Users\abc\AppData\Roaming\F4A03908 C:\Users\abc\AppData\Roaming\WinDir C:\Windows\3F5C371F8EA24F259D3DD0B4526E3AEA.TMP AlternateDataStreams: C:\ProgramData:NT AlternateDataStreams: C:\Users\All Users:NT AlternateDataStreams: C:\Users\abc\Dane aplikacji:NT AlternateDataStreams: C:\Users\abc\AppData\Roaming:NT AlternateDataStreams: C:\ProgramData\Application Data:NT AlternateDataStreams: C:\ProgramData\Dane aplikacji:NT AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT AlternateDataStreams: C:\ProgramData\TEMP:6BE50C2B Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Przechodzimy do usuwania szczątków wadliwej aplikacji Mobogenie (aplikacja zresztą ma charakterystykę adware) oraz innych śmieci, w tym szczątków Firefox (nie wygląda na zainstalowany): 1. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [mobilegeni daemon] - C:\Program Files\Mobogenie\DaemonProcess.exe [738496 2013-10-18] () HKLM\...\Run: [hpqSRMon] - [x] HKLM\...\Policies\Explorer: [NoCDBurning] 0 HKCU\...\Run: [ALLUpdate] - "C:\Program Files\ALLPlayer\ALLUpdate.exe" "sleep" HKCU\...\Run: [PCSpeedUp] - "C:\Program Files\Przyspiesz Komputer\PCSpeedUp.exe" HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb URLSearchHook: HKCU - (No Name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL No File SearchScopes: HKLM - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/webResults.html?src=ieb&q={searchTerms} SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2077543 SearchScopes: HKCU - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL Inc.) BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - No File BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - No File Toolbar: HKLM - Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL Inc.) Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKCU - Winamp Toolbar - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL Inc.) CHR HKLM\...\Chrome\Extension: [cpcidiiiodpbjdkbhldlebfbnidpgaih] - C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\CRE\cpcidiiiodpbjdkbhldlebfbnidpgaih.crx [2013-07-22] CHR HKCU\...\Chrome\Extension: [cpcidiiiodpbjdkbhldlebfbnidpgaih] - C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\CRE\cpcidiiiodpbjdkbhldlebfbnidpgaih.crx [2013-07-22] S3 PCAMPR5; \??\C:\WINDOWS\system32\PCAMPR5.SYS [x] C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\User\Dane aplikacji\Mozilla C:\Documents and Settings\User\Dane aplikacji\OpenCandy C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\CRE C:\Program Files\Mobogenie Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj: Ask Toolbar, Download Updater (AOL LLC), Winamp Toolbar (2 pozycje). 3. Zresetuj cache wtyczek Google Chrome. Otwórz Google Chrome, w pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Zamknij Google Chrome. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log utworzony przez AdwCleaner. .

Zasady działu na temat tytułowania tematów (zmieniam) + zestawu obowiązkowych logów: KLIK. Dołącz obowiązkowe tu raporty z FRST.

W związku z tym temat pod zmienionym tytułem przenoszę na diagnostykę do działu Hardware. Zasady tego działu: KLIK. .

Pliku OTL nie możesz dołączyć, bo to format *.LOG, załączniki dopuszczają tylko *.TXT. Mówi o tym Pomoc forum (na spodzie strony). Ale log tak krótki, że w poście spokojnie może być wklejony. A co do samego skryptu: ani nic relatywnego do infekcji, ani nawet się nie wykonał, bo wszystko sklejone w jednej linii. Tak więc nie wiadomo czym tak naprawdę usunąłeś ten wpis "Policies" infekcji. Antywirusy i tak mają planowaną deaktywację funkcji Windows Defender, by nie kolidował z nimi. Usługi samoczynnie się nie włączyły, rekonfigurowałam ich start za pomocą skyptu FRST: ========= sc config MpsSvc start= auto ========= [sC] ChangeServiceConfig SUKCES ========= End of CMD: ========= ========= sc config wscsvc start= delayed-auto ========= [sC] ChangeServiceConfig SUKCES ========= End of CMD: ========= ========= sc config wuauserv start= delayed-auto ========= [sC] ChangeServiceConfig SUKCES Wszystko wykonane, więc kończymy: 1. Przez SHIFT+DEL (moja Kosz) skasuj FRST i folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Java (wersję 32-bit i 64-bit), o ile w ogóle Ci potrzebna, oraz wtyczki Adobe: KLIK. Stan obecny: ==================== Installed Programs ====================== Adobe Flash Player 11 ActiveX (x32 Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 11 Plugin (x32 Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla Firefox Adobe Reader XI (11.0.05) (x32 Version: 11.0.05 - Adobe Systems Incorporated) Adobe Shockwave Player 12.0 (x32 Version: 12.0.6.147 - Adobe Systems, Inc.) Java 7 Update 11 (64-bit) (Version: 7.0.110 - Oracle) Java 7 Update 45 (x32 Version: 7.0.450 - Oracle) .

Widzę zmiany między raportami OTL i FRST, tzn. właśnie ten wpis startowy infekcji Gamarue (skierowanie na plik mscieiuu.exe) nie jest już widoczny. I widzę, że był uruchamiany jakiś skrypt do OTL, ale już po opublikowaniu pierwotnych logów. Przedstaw log z tego skryptu, jest w folderze C:\_OTL. I tak mamy tu jeszcze co robić. W systemie są nadal pliki infekcji na dysku, a dodatkowo i szczątki adware, w tym aktywne od bubla Mobogenie (prawdopodobnie nabyty z dobrychprogramów), wejścia brak na liście zainstalowanych, ergo zdefektowana instalacja. Poza tym, usługi Windows są nadal wyłączone: Centrum zabezpieczeń, Zapora systemu Windows oraz Windows Update. W zestawie pomijam zdeaktywowany Windows Defender, gdyż i tak działa tu ESET przejmujący jego rolę. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: () C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe [761024 2013-12-13] () HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 HKCU\...\Policies\Explorer: [TaskbarNoNotification] 0 HKCU\...\Policies\Explorer: [HideSCAHealth] 0 SearchScopes: HKLM-x32 - DefaultScope {7F4EFF06-7032-458e-AE16-1C1D8255C28A} URL = http://search.speedbit.com/search.aspx?s=CCVb105&q={searchTerms} SearchScopes: HKLM-x32 - {7F4EFF06-7032-458e-AE16-1C1D8255C28A} URL = http://search.speedbit.com/search.aspx?s=CCVb105&q={searchTerms} SearchScopes: HKCU - {1631341D-82DA-421E-A3D5-B425A02B2E25} URL = http://websearch.ask.com/redirect?client=ie&tb=CLM&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=&apn_uid=150121FB-A444-4E97-B64D-F553BBD78B86&apn_sauid=86012D41-73F7-4DFD-88EE-8C2D3C54AEF7& SearchScopes: HKCU - {7F4EFF06-7032-458e-AE16-1C1D8255C28A} URL = http://search.speedbit.com/search.aspx?s=CCVb105&q={searchTerms} Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Task: {04663755-BE83-4B37-ABB5-96C48BB93175} - System32\Tasks\{304C2C91-82CE-4C1E-B7AE-C790F0A71129} => Iexplore.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=5.8.0.154&LastError=12007 Task: {D81E16CB-A6E1-48E9-BEA1-5ADCDE1066AA} - System32\Tasks\{AB84BF47-2ECE-488E-9E61-361FF0CEAC88} => Iexplore.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=5.8.0.154&LastError=12007 S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [x] C:\Program Files (x86)\Mobogenie C:\ProgramData\mscieiuu.exe C:\ProgramData\msjgsji.exe C:\ProgramData\msjvoio.exe C:\ProgramData\Norton C:\Users\Łukasz\.android C:\Users\Łukasz\daemonprocess.txt C:\Users\Łukasz\AppData\Local\genienext C:\Users\Łukasz\AppData\Local\Mobogenie C:\Users\Łukasz\AppData\Roaming\*.exe CMD: sc config MpsSvc start= auto CMD: sc config wscsvc start= delayed-auto CMD: sc config wuauserv start= delayed-auto Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt, log AdwCleaner oraz ten log z wynikami skryptu OTL, o którym mówię. .

Wszystko wykonane jak należy. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj FRST oraz foldery: C:\FRST C:\FRST-OlderVersion W OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Usuń starą Java (jedna z przyczyn tej infekcji) i zaktualizuj wtyczkę Adobe Flash w wersji dla Internet Explorer: KLIK. Stan obecny: ==================== Installed Programs ====================== Adobe Flash Player 11 ActiveX (Version: 11.9.900.170 - Adobe Systems Incorporated) Java™ 6 Update 45 (Version: 6.0.450 - Oracle) .

Tylko drobne poprawki zostały, tzn. usunięcie adware oraz folderu C:\Users\Cris\AppData\Roaming\AutoIt3 (ten folder był ostatnio na forum składnikiem infekcji). Akcja: 1. Otwórz Notatnik i wklej w nim: StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll () Toolbar: HKCU - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll () 2014-01-25 16:10 - 2014-01-25 16:11 - 00000000 ____D C:\Users\Cris\AppData\Roaming\AutoIt3 Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Odinstaluj adware DAEMON Tools Toolbar. Przy okazji pozbądź się też zbędnego Spybot - Search & Destroy. Program jest przestarzały i słabszy niż MBAM. 3. Zresetuj cache wtyczek Google Chrome, by pozbyć się pustych wpisów. Otwórz Google Chrome, w pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Zamknij Google Chrome. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. Nie wiem dokładnie jakie foldery usuwałeś. Jeśli zaś chodzi o Kosz: na Pulpicie jest tylko wirtualny skrót, prawdziwym folderem Kosza jest ukryty $Recycle.Bin. Folder ten jest powielony na każdym dostępnym dysku, każdy dysk ma "osobisty" Kosz. Akurat w tym szczególnym przypadku usunięcie folderów Koszy z dysków nie ma znaczenia. Gdy zajdzie potrzeba, Windows i tak zregeneruje te foldery na poszczególnych dyskach. .

Związku z infekcjami kompletny brak. Na dodatek to świeża instalacja Windows. W Dzienniku zdarzeń błędy sugerujące problem z grafiką: System errors: ============= Error: (01/29/2014 00:06:53 PM) (Source: nvlddmkm) (User: ) Description: \Device\Video5!051d(2558) Temat migruję na diagnostykę Hardware. Zasady tego działu: KLIK. .

Ale nadal mi nie wyjaśniłeś skąd teoria z volsnap.sys. Takie coś w tytule tematu umieściłeś, a ja główkuję o co Ci chodzi, dlaczego ten sterownik jest wymieniany. Kwestię "RmcSvc" skomentowałam w drugim temacie: KLIK. .

Błąd GMER wynika z faktu obecności gdzieś w rejestrze martwego odnośnika do nieistniejącego urządzenia, prawdopodobnie chodzi o mapowanie martwych USB. Raczej nie będę tu dążyć do likwidacji tego błędu. Aczkolwiek możesz sprawdzić co się stanie po użyciu w USB-set: Cleaning traces > Traces of previous connected removable devices > zaznaczyć wszystkie sekcje > Cleaning selected sections. W systemie nie ma infekcji w rozumieniu trojanów, ale adware owszem jest. Nawiasem mówiąc, w tym systemie Windows 7 - podobnie jak w poprzednim XP KLIK - także jest RmcSvc. Tutaj po bliższym przyjrzeniu się ów przedrostek "Rmc" insynuuje po prostu "Remote control", i mnie się zaczyna wydawać, że to składnik UltraVNC, bo daty obu plików są tu bardziej zbliżone niż na tamtym systemie XP (i instalacja UltraVNC jest wspólna dla obu systemów): ========================== Services (Whitelisted) ================= S3 RmcSvc; C:\Windows\System32\rmc.exe [74328 2011-07-07] () R2 uvnc_service; C:\Program Files\RemoteControl\winvnc.exe [1738184 2011-07-27] (UltraVNC) Pod kątem adware przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [PrivitizeVPN] - C:\Program Files\PrivitizeVPN\PrivitizeVPN.exe [196784 2013-02-06] (OOO Industry) HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchab.com/?aff=7&uid=4b08393e-7050-11e2-859f-00219b807518 SearchScopes: HKLM - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = ${SEARCH_URL}{searchTerms} SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://searchab.com/?aff=7&uid=4b08393e-7050-11e2-859f-00219b807518&q={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://searchab.com/?aff=7&uid=4b08393e-7050-11e2-859f-00219b807518&q={searchTerms} SearchScopes: HKCU - {1238E4C4-C915-4AD1-8D2A-D1714BCA2F14} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=98FEC050-06BC-4392-9E81-A33A225719FB&apn_sauid=AC80A584-103A-400A-BF04-457A1ACC4266 SearchScopes: HKCU - {6D7E0EBF-5CFE-4AAE-89CB-9B8E2F01583B} URL = http://search.babylon.com/?q={searchTerms}&affID=110823&tt=120912_nocpc_3812_8&babsrc=SP_ss&mntrId=965b916400000000000000219b807518 FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Users\AnnaR\AppData\Roaming\Babylon Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware PrivitizeVPN. Tak, to jest lewy program. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

W raportach nie widać oznak infekcji, nie ma też za bardzo czym się zajmować. Dwie drobne akcje: - Zresetuj cache wtyczek Google Chrome wg wcześniej podanego przepisu via chrome://plugins, bo widać puste wpisy. - Przez SHIFT+DEL skasuj OTL, FRST oraz folder C:\FRST. Temat uznaję za zakończony. Zamykam. .

Trudno tu cokolwiek powiedzieć na podstawie opisowego przedstawienia sytuacji bez konkretów z tamtych systemów (raporty). Tu przedstawiony system nie wykazuje żadnych oznak infekcji. Wyniki MBAM także nie powiązane, to szczątki adware. Nawiasem mówiąc: niekompletny log OTL podany, brakuje głównego pliku, ale już to zostaw. 1. Do usunięcia tylko pozostałe drobne odpadki adware (nie związane w ogóle z sytuacją) i wpisy puste. Otwórz Notatnik i wklej w nim: StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM-x32 - DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={74CB9C1D-E709-49DA-8AE6-CA3DEC8B93C5} SearchScopes: HKLM-x32 - {EEE6C360-6118-11DC-9C72-001320C79847} URL = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={74CB9C1D-E709-49DA-8AE6-CA3DEC8B93C5} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www2.delta-search.com/?q={searchTerms}&affID=119370&babsrc=SP_ss&mntrId=D0FFBC7737E659CA SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={74CB9C1D-E709-49DA-8AE6-CA3DEC8B93C5} BHO: No Name - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No File FF NewTab: hxxp://www2.delta-search.com/?affID=119370&babsrc=NT_ss&mntrId=D0FFBC7737E659CA FF Plugin-x32: @adobe.com/ShockwavePlayer - C:\Windows\system32\Adobe\Director\np32dsw.dll No File FF SearchPlugin: C:\Users\Kasia TB\AppData\Roaming\Mozilla\Firefox\Profiles\quvdfzaf.default\searchplugins\sweetim.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird S3 EraserUtilDrv11120; \??\C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilDrv11120.sys [x] Task: {049F2115-BB16-4B1A-AB80-A454E9D483F0} - System32\Tasks\DSite => C:\Users\KASIAT~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE Task: {177E5FDA-FFBE-4B44-BF5A-927C73EEEE22} - System32\Tasks\{39101A1B-B6E5-4474-8994-05459AA960F4} => Firefox.exe hxxp://ui.skype.com/ui/0/5.1.0.104.161/pl/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;notincluded,google-chrome:notoffered;disabled Task: {228D0C82-9ECB-4632-9C7E-1FBD0DC59E0C} - System32\Tasks\{84EB98E5-A373-40A7-BD79-71F5DACF53D6} => Firefox.exe hxxp://ui.skype.com/ui/0/5.1.0.104.161/pl/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;notincluded,google-chrome:notoffered;disabled Task: {59A5CB01-AD21-4B1F-B1F6-3FDDA139C9A5} - System32\Tasks\{6C579F8D-630F-4C3C-BE5A-0753592B1624} => Firefox.exe hxxp://ui.skype.com/ui/0/5.1.0.104.161/pl/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;notincluded,google-chrome:notoffered;disabled Task: {84F1C13B-9F7A-4669-9ECD-C05372F2771E} - System32\Tasks\{D2A14C44-80E7-407F-998C-83FF3F2DBE48} => Firefox.exe hxxp://ui.skype.com/ui/0/5.1.0.104.161/pl/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;notincluded,google-chrome:notoffered;disabled Task: {F74C8AF3-1135-4BB5-A2EF-147A8B2FB20F} - System32\Tasks\{7C1815ED-E0A5-4B9D-B25B-90A00B4D0355} => Firefox.exe hxxp://ui.skype.com/ui/0/5.1.0.104.161/pl/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;notincluded,google-chrome:notoffered;disabled Task: C:\Windows\Tasks\DSite.job => C:\Users\KASIAT~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Zredukuj ilość antywirusów. Obecnie dwa czynne: Kaspersky Small Office Security, Microsoft Security Essentials.

Jakie inne programy wykazują błędy, czy są to tylko programy związane z nagrywaniem obrazu (czyli i bazujące na kodekach)? Tak poza tym, to są tu ślady, że program Action nie był pobierany ze strony domowej (KLIK) tylko z jakiegoś lewego portalu, który podstawił wrapper ze sponsorami. Wnioskuję to po obecności w systemie pozycji Action! 1.17.1 Packages kierującej na folder C:\Users\Łukasz\AppData\Roaming\1J1F1H1E2Y2Z1P1C1B2W1L1T2ZtF1E1I. To wrapper adware a nie komponenty programu zasadniczego... Temat założony 27 stycznia, czyli "wczoraj" w logu to 26. Z tego dnia pochodzą instalacje "kodekowe": Camtasia Studio, QuickTime, Windows Movie Maker 2.6. Czy aby któraś instalacja nie zbiegła się z rozmnożeniem błędów? Owszem, widzę tu różne instalacje adware, ale jakoś wątpię, by one były przyczyną tych błędów aplikacji. Pod kątem adware przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredibar.com/?a=6OzpsPZ4OY&loc=skw HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www2.delta-search.com/?affID=119535&tt=gc_&babsrc=HP_ss&mntrId=0CC9D43D7E9D0227 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1390649772&from=cor&uid=WDCXWD15EARS-00MVWB0_WD-WCAZA523159631596 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1390649772&from=cor&uid=WDCXWD15EARS-00MVWB0_WD-WCAZA523159631596&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1390649772&from=cor&uid=WDCXWD15EARS-00MVWB0_WD-WCAZA523159631596 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1390649772&from=cor&uid=WDCXWD15EARS-00MVWB0_WD-WCAZA523159631596 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1390649772&from=cor&uid=WDCXWD15EARS-00MVWB0_WD-WCAZA523159631596&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1390649772&from=cor&uid=WDCXWD15EARS-00MVWB0_WD-WCAZA523159631596 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1390649772&from=cor&uid=WDCXWD15EARS-00MVWB0_WD-WCAZA523159631596&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1390649772&from=cor&uid=WDCXWD15EARS-00MVWB0_WD-WCAZA523159631596 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1390649772&from=cor&uid=WDCXWD15EARS-00MVWB0_WD-WCAZA523159631596&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1390649772&from=cor&uid=WDCXWD15EARS-00MVWB0_WD-WCAZA523159631596 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1390649772&from=cor&uid=WDCXWD15EARS-00MVWB0_WD-WCAZA523159631596&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1390649772&from=cor&uid=WDCXWD15EARS-00MVWB0_WD-WCAZA523159631596&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1390649772&from=cor&uid=WDCXWD15EARS-00MVWB0_WD-WCAZA523159631596&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1390649772&from=cor&uid=WDCXWD15EARS-00MVWB0_WD-WCAZA523159631596&q={searchTerms} SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&affID=119535&tt=gc_&babsrc=SP_ss&mntrId=0CC9D43D7E9D0227 SearchScopes: HKCU - {215F393D-9483-42E9-B3D6-9095D08939AD} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=2A0EEE9F-F596-4663-99CE-02DCF5AB329F&apn_sauid=09986461-E315-4EFE-8AB4-E744A0D36088 SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1390649772&from=cor&uid=WDCXWD15EARS-00MVWB0_WD-WCAZA523159631596&q={searchTerms} SearchScopes: HKCU - {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/?a=6OzpsPZ4OY&loc=skw&search={searchTerms} BHO-x32: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files (x86)\SupTab\SupTab.dll (Thinknice Co. Limited) BHO-x32: Rich Media Downloader - {A7DF592F-6E2A-45C4-9A87-4BD217D714ED} - C:\Users\Łukasz\AppData\Local\Rich Media Player\BrowserExtensions\IE\RichMediaDownloader.dll (Radiocom CJSC) BHO-x32: Rich Media Player - {FEB703F7-E7B2-4AB0-9566-87658AC70095} - C:\Users\Łukasz\AppData\Local\Rich Media Player\BrowserExtensions\IE\PluginRichmediaplayer.dll () Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File FF Plugin ProgramFiles/Appdata: C:\Program Files (x86)\mozilla firefox\plugins\nppluginrichmediaplayer.dll () FF HKLM-x32\...\Firefox\Extensions: [{3DF4B26D-DB19-45DF-962A-6719D071245B}] - C:\Users\Łukasz\AppData\Local\Rich Media Player\BrowserExtensions\Firefox\{3DF4B26D-DB19-45DF-962A-6719D071245B} FF Extension: Rich Media Player extension - C:\Users\Łukasz\AppData\Local\Rich Media Player\BrowserExtensions\Firefox\{3DF4B26D-DB19-45DF-962A-6719D071245B} [2013-07-03] FF Extension: FTdownloader V3.0 - C:\Users\Łukasz\AppData\Roaming\Mozilla\Firefox\profiles\extensions\ftdownloader3@ftdownloader.com.xpi [2013-04-11] FF Extension: GoPhotoIt - C:\Users\Łukasz\AppData\Roaming\Mozilla\Firefox\profiles\extensions\gophoto@gophoto.it.xpi [2012-07-31] CHR HKCU\...\Chrome\Extension: [cflheckfmhopnialghigdlggahiomebp] - C:\Users\Łukasz\AppData\Local\CRE\cflheckfmhopnialghigdlggahiomebp.crx [2013-10-21] CHR HKLM-x32\...\Chrome\Extension: [bbffdhejhaoiflnpooogkckfdcmmjppn] - C:\Program Files (x86)\FTDownloader.com\FTDownloader10.crx [2013-10-21] CHR HKLM-x32\...\Chrome\Extension: [cflheckfmhopnialghigdlggahiomebp] - C:\Users\Łukasz\AppData\Local\CRE\cflheckfmhopnialghigdlggahiomebp.crx [2013-10-21] CHR HKLM-x32\...\Chrome\Extension: [doagiokpgboiomffjfhaiimafndmmpni] - C:\Users\Łukasz\AppData\Local\Rich Media Player\BrowserExtensions\Chrome\richmediadownloader.crx [2013-04-16] CHR HKLM-x32\...\Chrome\Extension: [fkcdbkhjcaljlfolhllfneigeepmjfim] - C:\Users\Łukasz\AppData\Local\Rich Media Player\BrowserExtensions\Chrome\playerextension.crx [2013-02-28] CHR HKLM-x32\...\Chrome\Extension: [nbmafkdmkkckhggblphicnnhlgljnoje] - C:\Program Files (x86)\TornTV.com\torn2_10.crx [2013-02-28] CHR HKLM-x32\...\Chrome\Extension: [pfmopbbadnfoelckkcmjjeaaegjpjjbk] - C:\Program Files (x86)\Gophoto.it\gophotoit14.crx [2012-07-31] CHR HKLM-x32\...\Chrome\Extension: [pkndmigholgfjlniaohblojbhgjbkakn] - C:\Users\Łukasz\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv2.crx [2014-01-25] CHR StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://www.sweet-page.com/?type=sc&ts=1390649772&from=cor&uid=WDCXWD15EARS-00MVWB0_WD-WCAZA523159631596 Task: {0F24D01B-6DAD-49CB-8885-F95D352EE282} - System32\Tasks\BitGuard => Sc.exe start BitGuard Task: {47782FAA-9813-4BEB-BEC2-D5F051BEE8F9} - System32\Tasks\bench-sys => C:\Program Files (x86)\Bench\Updater\Updater.exe [2013-10-30] () Task: {75E9513B-0903-4AD0-A16D-CCB77A2C2583} - System32\Tasks\bench-Updater removing Task: C:\Windows\Tasks\bench-sys.job => C:\Program Files (x86)\Bench\Updater\Updater.exe Task: C:\Windows\Tasks\bench-Updater removing.job => ? S2 Update RightSurf; "C:\Program Files (x86)\RightSurf\updateRightSurf.exe" [x] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [x] S3 MSICDSetup; \??\E:\CDriver64.sys [x] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [x] S3 xhunter1; \??\C:\Windows\xhunter1.sys [x] C:\ProgramData\WPM C:\ProgramData\IePluginService C:\Program Files (x86)\Bench C:\Program Files (x86)\FTDownloader.com C:\Program Files (x86)\Gophoto.it C:\Program Files (x86)\MyPC Backup C:\Program Files (x86)\TornTV.com C:\Users\Łukasz\AppData\Local\CRE C:\Users\Łukasz\AppData\Local\WMTools Downloaded Files C:\Users\Łukasz\AppData\Roaming\systweak C:\Windows\System32\Tasks\{B2D95881-8FDB-41FB-9A51-23B46A8C08BF} CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: Action! 1.17.1 Packages, Qtrax Player, Rich Media Player, SupTab, SweetIM Bundle by SweetPacks. 3. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj Extended Protection oraz inne nieznane pozycje (o ile będą widoczne). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomylne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Na przyszłość: proszę dostarczaj formy tekstowe raportów ESET, te obrazki się źle czyta, niektóre informacje też obcięte. Poza tym co dopiero tu byłeś z czym innym i mówiłam jakie są nowe zasady działu. Teraz logi FRST są obowiązkowe. Proszę dodaj. .

Przypominam zasady działu, iż obowiązkowe są tu także raporty FRST i GMER. To porzuć jednak w tej fazie rozważań, gdyż: Niewątpliwie grasuje tu wirus Sality. Niestety, infekcja w wykonywalnych (dotyka wszystkie pliki tej klasy na wszystkich dyskach) jest tego rodzaju, iż nawet po wyleczeniu, w rozumieniu ucięcia cyklu zarażania plików, i tak się szykuje format całego dysku (nie tylko partycji C:). Leczenie z Sality ma skutki uboczne, tzn. mogą pozostać na trwałe uszkodzone pliki Windows i programów, czego nie da się rozwiązać w inny sposób niż poprzez podmianę czystymi plikami systemu i reinstalację określonych programów. I tu występują problemy: - Zakres szkód jest niemożliwy do oceny po leczeniu. - Te szkody mogą nie wyjść na jaw od razu, odciągając uwagę od poważnych dysfunkcji na bliżej nieokreślony czas. - Wykryte szkody mogą być tak czasochłonne w naprawie, że podważa to zasadność roboty. Wstępnie podejmuję się tu próby leczenia, ale dalszym wskazaniem i tak będzie format: 1. Uruchom SalityKiller. Wykonaj nim skan do skutku. Jeden przebieg nie wystarczy, skan musi być ponawiany, aż do momentu, gdy narzędzie zwróci zero wykryć. 2. Z paczki Sality_RegKeys uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 3. Uruchom Panda USB Vaccine i zastosuj opcję Computer Vaccination. 4. Uruchom TFC - Temp Cleaner. 5. Zresetuj ustawienia Zapory systemu Windows. Start > Uruchom > cmd i wpisz komendę netsh firewall reset 6. Zrób nowy komplet logów: OTL (zaznacz opcję "Rejestr - skan dodatkowy", by powstał ponownie plik Extras), FRST, GMER oraz USBFix z opcji Listing. .

Bez "ponagleń" (kasuję). W zasadach działu jest napisane co się dzieje z tematem po założeniu i że należy cierpliwie czekać. Jestem jedyną osobą, która prowadzi pomoc w tym dziale. Nie mogę tu być cały czas 24/7. W kwestii zainfekowanych urządzeń: podepnij wszystkie i zrób log USBFix z opcji Listing. .

Zasady działu na temat poprawnego tytułowania tematów + zestawu obowiązkowych logów: KLIK. Brakuje raportów z FRST. Uzupełnij, bo jest tu do usuwania śmietnisko adware. Nie podejmuj akcji w MBAM, to nie jest poprawna akcja. Adware w pierwszej kolejności należy w naturalny sposób odinstalować. Te przekierowania "LinkBucks" to infekcja na poziomie routera a nie systemu. Do wglądu ten temat: KLIK. .

Efekt budzi skojarzenia z następującymi wydarzeniami, albo albo: - ComboFix coś nabroił w ustawieniach sieci. - Skutek uboczny mojego skryptu do FRST, który usuwał m.in. szczątki niepoprawnie odinstalowanego antywirusa Ad-aware. Byś może te odpadkowe sterowniki (z sygnaturą Sunbelt) były jako filtry na kartach sieciowych i przed ich usunięciem należało sprawdzić komponenty sieciowe. Skoro cofnąłeś system, to niestety wszystko co było dotychczas zrobione wróciło na miejsce. Proponuję: - Cofnąć to Przywracanie systemu, by wrócić do czasu po moich operacjach. - Następnie: Panel sterowania > Sieć i Internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > po kolei na każde widoczne tam połączenie z prawokliku pobierz Właściwości > w pierwszej karcie na liście komponentów sprawdź czy nie ma czegoś od Sunbelt lub innych programów wtórnych > znalezione podświetl, odinstaluj i zresetuj system. Tu nie wiem o co chodzi i o jakie potwierdzenie chodzi. Nie posiadam Della do porównania. Ale jak to się objawia? .

Skrypt wykonany pomyślnie. Końcowe czynności już zadałam. W podanym temacie na forum jest link do artykułu Microsoftu, który wyjaśnia różnicę między "Windows Update" a "Microsoft Update". Do aktualizacji systemu służy "Windows Update". To co zadałam do usunięcia to rozszerzona wersja "Microsoft Update", która adresuje aktualizację innych produktów poza systemowych (tu pakiet Office). Jak widać z podanego tematu, to rozszerzenie może obciążać system. Na początek edukacja podstawowa skąd to się bierze: KLIK. W Twoim systemie były instalacje, których mogłeś uniknąć, po prostu nie pobierając z określonych miejsc. .

Jest tu cała kolekcja adware oraz BitCoin Miner (proces GPUTemp.exe). Już używałeś AdwCleaner, a nie przedstawiłeś wyników jego pracy, które są "podejrzane" (tak jakby użyto starą wersję programu). Przeprowadź następujące działania: 1. Pobierz najnowszą wersję FRST. Otwórz Notatnik i wklej w nim: () C:\Users\Pawel\AppData\Local\fst_pl_30\upfst_pl_30.exe () C:\Users\Pawel\AppData\Local\Temp\GPUTemp.exe HKLM\...\Run: [setwallpaper] - c:\programdata\SetWallpaper.cmd HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKLM-x32\...\Run: [GPUTemp] - C:\Users\Pawel\AppData\Local\Temp\GPUTemp.exe [1305312 2014-01-08] () HKLM-x32\...\RunOnce: [upfst_pl_30.exe] - C:\Users\Pawel\AppData\Local\fst_pl_30\upfst_pl_30.exe -runonce [3153904 2014-01-02] () HKCU\...\Run: [NextLive] - C:\Users\Pawel\AppData\Roaming\newnext.me\nengine.dll [1283584 2013-11-14] (NewNextDotMe) AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => File Not Found AppInit_DLLs-x32: c:\progra~3\bitguard\271769~1.27\{c16c1~1\bitguard.dll => File Not Found HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://search.babylon.com/?affID=121845&babsrc=HP_ss_din2g&mntrId=FAF80002448701C7 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1389209883&from=cor&uid=WDCXWD3200BEVT-80A0RT0_WD-WXG1A80H2120H2120 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1389209883&from=cor&uid=WDCXWD3200BEVT-80A0RT0_WD-WXG1A80H2120H2120&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1389209883&from=cor&uid=WDCXWD3200BEVT-80A0RT0_WD-WXG1A80H2120H2120 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1389209883&from=cor&uid=WDCXWD3200BEVT-80A0RT0_WD-WXG1A80H2120H2120 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1389209883&from=cor&uid=WDCXWD3200BEVT-80A0RT0_WD-WXG1A80H2120H2120&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1389209883&from=cor&uid=WDCXWD3200BEVT-80A0RT0_WD-WXG1A80H2120H2120&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1389209883&from=cor&uid=WDCXWD3200BEVT-80A0RT0_WD-WXG1A80H2120H2120 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1389209883&from=cor&uid=WDCXWD3200BEVT-80A0RT0_WD-WXG1A80H2120H2120 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1389209883&from=cor&uid=WDCXWD3200BEVT-80A0RT0_WD-WXG1A80H2120H2120&q={searchTerms} URLSearchHook: HKLM-x32 - DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files (x86)\DVDVideoSoftTB\prxtbDVD0.dll (Conduit Ltd.) URLSearchHook: HKCU - DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files (x86)\DVDVideoSoftTB\prxtbDVD0.dll (Conduit Ltd.) StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1389209883&from=cor&uid=WDCXWD3200BEVT-80A0RT0_WD-WXG1A80H2120H2120 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1389209883&from=cor&uid=WDCXWD3200BEVT-80A0RT0_WD-WXG1A80H2120H2120&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1389209883&from=cor&uid=WDCXWD3200BEVT-80A0RT0_WD-WXG1A80H2120H2120&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1389209883&from=cor&uid=WDCXWD3200BEVT-80A0RT0_WD-WXG1A80H2120H2120&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1389209883&from=cor&uid=WDCXWD3200BEVT-80A0RT0_WD-WXG1A80H2120H2120&q={searchTerms} SearchScopes: HKLM-x32 - {AFDBDDAA-5D3F-42EE-B79C-185A7020515B} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050 SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=121845&babsrc=SP_ss&mntrId=FAF80002448701C7 SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1389209883&from=cor&uid=WDCXWD3200BEVT-80A0RT0_WD-WXG1A80H2120H2120&q={searchTerms} SearchScopes: HKCU - {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={EA620377-0AA7-4AC4-93D1-555BE13E53CF}&mid=5cb34c54606a47d6baf5d14112e67546-7c8a450b642d0b7e47342d2f48c4f7bc29c6593f&lang=pl&ds=AVG&pr=fr&d=2012-07-29 22:08:20&v=15.3.0.11&pid=avg&sg=0&sap=dsp&q={searchTerms} SearchScopes: HKCU - {AFDBDDAA-5D3F-42EE-B79C-185A7020515B} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050 BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG2012\avgssiea.dll No File BHO-x32: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - C:\Windows\SysWOW64\mscoree.dll (Microsoft Corporation) BHO-x32: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.) BHO-x32: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG2012\avgssie.dll No File BHO-x32: Search Assistant BHO - {5d79f641-c168-40df-a32f-bacea7509e75} - C:\Program Files (x86)\TelevisionFanatic\bar\1.bin\64SrcAs.dll No File BHO-x32: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files (x86)\DVDVideoSoftTB\prxtbDVD0.dll (Conduit Ltd.) BHO-x32: Toolbar BHO - {cb41fc95-f1b3-4797-8bb6-1012ff62abba} - C:\PROGRA~2\TELEVI~2\bar\1.bin\64bar.dll No File Toolbar: HKLM-x32 - QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - C:\Windows\SysWOW64\mscoree.dll (Microsoft Corporation) Toolbar: HKLM-x32 - DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files (x86)\DVDVideoSoftTB\prxtbDVD0.dll (Conduit Ltd.) Toolbar: HKLM-x32 - Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.) Toolbar: HKLM-x32 - TelevisionFanatic - {c98d5b61-b0ea-4d48-9839-1079d352d880} - C:\Program Files (x86)\TelevisionFanatic\bar\1.bin\64bar.dll No File Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Toolbar: HKCU - No Name - {872B5B88-9DB5-4310-BDD0-AC189557E5F5} - No File Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files (x86)\AVG\AVG2012\avgppa.dll No File Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - No File Handler-x32: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files (x86)\AVG\AVG2012\avgpp.dll No File FF Plugin-x32: @TelevisionFanatic.com/Plugin - C:\Program Files (x86)\TelevisionFanatic\bar\1.bin\NP64Stub.dll No File FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\sweet-page.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\avg-secure-search.xml FF Extension: QuickStores-Toolbar - C:\Program Files (x86)\Mozilla Firefox\extensions\quickstores@quickstores.de [2013-12-23] FF HKLM-x32\...\Firefox\Extensions: [64ffxtbr@TelevisionFanatic.com] - C:\Program Files (x86)\TelevisionFanatic\bar\1.bin FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.sweet-page.com/?type=sc&ts=1389209883&from=cor&uid=WDCXWD3200BEVT-80A0RT0_WD-WXG1A80H2120H2120 CHR HKLM-x32\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\Pawel\AppData\Roaming\BabSolution\CR\Delta.crx [2013-06-15] CHR HKLM-x32\...\Chrome\Extension: [ifohbjbgfchkkfhphahclmkpgejiplfo] - C:\Users\Pawel\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx [2014-01-08] Task: {1D5AF964-9A48-408F-9F81-FF29D03F215A} - System32\Tasks\EPUpdater => C:\Users\Pawel\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-06-06] () Task: {557D6F65-D09C-4FEF-9F1F-69A89B21692C} - System32\Tasks\QtraxPlayer => C:\Program Files (x86)\Microsoft Silverlight\sllauncher.exe [2013-09-13] (Microsoft Corporation) Task: {8949A0D6-CCEC-4311-AFFF-D83E69662C06} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{2BE1742F-66C4-4E04-8D6B-C132715408C2}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{2BE1742F-66C4-4E04-8D6B-C132715408C2}.exe S2 BitGuard; C:\ProgramData\BitGuard\2.7.1769.27\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe [x] S2 Update Jump Flip; "C:\Program Files (x86)\Jump Flip\updateJumpFlip.exe" [x] S3 catchme; \??\C:\ComboFix\catchme.sys [x] U3 tmlwf; U3 tmwfp; S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [x] C:\Program Files (x86)\Mozilla Firefoxavg-secure-search.xml C:\Program Files (x86)\Mobogenie C:\ProgramData\WPM C:\Users\Pawel\daemonprocess.txt C:\Users\Pawel\AppData\Local\cache C:\Users\Pawel\AppData\Local\genienext C:\Users\Pawel\AppData\Local\Mobogenie C:\Users\Pawel\AppData\Local\Temp\*.exe C:\Users\Pawel\AppData\Local\Temp\*.dll C:\Users\Pawel\AppData\Roaming\BabSolution C:\Users\Pawel\AppData\Roaming\Babylon C:\Users\Pawel\AppData\Roaming\File Scout C:\Users\Pawel\AppData\Roaming\newnext.me C:\Users\Pawel\Desktop\Continue AnyProtect Installation.lnk C:\Users\Pawel\Documents\Mobogenie Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: 7-Zip Packages, AVG Security Toolbar, BitGuard, Conduit Engine, Delta Chrome Toolbar, DownTango, DVDVideoSoftTB Toolbar, fst_pl_30, McAfee Security Scan Plus, Qtrax Player (2 pozycje), QuickStores-Toolbar 1.2.0. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł, ale używane rozszerzenia trzeba będzie potem przeinstalować. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj Extended Protection i wszystko czego nie rozpoznajesz (o ile coś tam będzie widoczne). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomylne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Uruchom AdwCleaner (najnowsza wersja pobrana ze strony domowej). Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Dzięki za plik REG. Czynności końcowe już podałam wcześniej. Jeśli sprzętowe niedomagania wymagają analizy, to załóż pod tym kątem temat w dziale Hardware stosując się do wymogów tego działu: KLIK. Tu temat rozwiązany. Zamykam. .

Log z OTL niekompletny, brak pliku Extras. I ogólnie rozpocznij od zasad działu i zestawu obowiązkowych logów: KLIK. Dodaj raporty z FRST. Po ich otrzymaniu przejdę do dzieła, bo rzecz jest banalna, wszystko opowiada log z FSS. Dodatkowe uwagi: - AdwCleaner użyty na opak. Widać, że przejechałeś nim system nie deinstalując poprawnie adware. Ten program nie może zastępować naturalnych deinstalacji, mogą być skutki uboczne oraz niedokładne usuwanie, któregonie wykażą niestety logi (logi są mocno ograniczone). Zawsze na początek robi się poprawne deinstalacje, dopiero po tym poprawia tym narzędziem. - Co do podanego skryptu OTL: jeśli Office jest zainstalowany (brak raportu Extras dla porównania) wszystkie wpisy typu "Extra context menu item" (menu kontekstowe z pozycjami Office) były poprawne, to jest fałszywe "not found" ze względu na formułę ścieżki (odwrotne ukośniki) i niemoc OTL, by to naprawdę "wyszukać". Nie wiadomo też czy przed użyciem skryptu poprawnie odinstalowano adware usuwane siłowo tymże skryptem, a brak raportu Extras uniemożliwia natychmiastową weryfikację. Ja isię i tak dowiem wielu dodatkowych rzeczy z FRST Addition. .

Jest tu większa ilość problemów, nie tylko odpadkowa instalacja bubla Mobogenie skutkująca tytułowym błędem, ale i masa innych adware oraz odpadki starej infekcji. Przy okazji będę też usuwać szczątki po odinstalowanym TuneUp, ale Dziennik zdarzeń TuneUp zostawię na potem. Wykonaj następujące działania: 1. Otwórz Notatnik i wklej w nim: () C:\Documents and Settings\All Users\Dane aplikacji\BetterSoft\OptimizerPro\OptimizerPro.exe () C:\Program Files\Browsers Protector\regmon32.exe HKLM\...\Run: [browsers Protector] - C:\Program Files\Browsers Protector\regmon32.exe [147784 2012-02-15] () HKLM\...\Run: [mobilegeni daemon] - C:\Program Files\Mobogenie\DaemonProcess.exe [747712 2013-11-22] () HKCU\...\Run: [NextLive] - C:\Documents and Settings\Tomek\Dane aplikacji\newnext.me\nengine.dll [1283584 2013-11-14] (NewNextDotMe) Task: C:\WINDOWS\Tasks\schedule!567381930.job => C:\Documents and Settings\All Users\Dane aplikacji\BetterSoft\OptimizerPro\OptimizerPro.exe AppInit_DLLs: c:\docume~1\alluse~1\daneap~1\smartweb\smartweb.dll => C:\Documents and Settings\All Users\Dane aplikacji\SmartWeb\SmartWeb.dll [4238336 2013-12-28] () R2 47ead2b2; C:\Documents and Settings\All Users\Dane aplikacji\SmartWeb\SmartWebSvc.dll [175440 2013-12-28] () S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [x] S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [x] HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=68E10025D308E3F7&affID=125032&tsp=5029 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=0b00a5b0-c91a-11e1-ad22-0025d308e3f7 SearchScopes: HKLM - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://startsear.ch/?aff=1&src=sp&cf=0b00a5b0-c91a-11e1-ad22-0025d308e3f7&q={searchTerms} SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = BHO: Fun2Savee - {9E435106-CC7D-23BB-5880-31DDEF313F1A} - C:\Documents and Settings\All Users\Dane aplikacji\Fun2Savee\umG.dll () BHO: SHoppDropp - {F45D0066-911A-ECAE-9417-2DDF69F92D01} - C:\Documents and Settings\All Users\Dane aplikacji\SHoppDropp\9EcyBkRQW.dll () Toolbar: HKCU - No Name - {37B85A29-692B-4205-9CAD-2626E4993404} - No File Toolbar: HKCU - No Name - {A057A204-BACC-4D26-9990-79A187E2698E} - No File Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File FF Plugin ProgramFiles/Appdata: C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll (StartSearch ) FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml FF Extension: QuickStores-Toolbar - C:\Program Files\Mozilla Firefox\extensions\quickstores@quickstores.de [2013-12-11] FF Extension: z - C:\Program Files\Mozilla Firefox\extensions\{b8665832-4e96-1eef-77d6-41bba3c0f95a} [2013-12-11] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction C:\Documents and Settings\All Users\Dane aplikacji\188F1432-103A-4ffb-80F1-36B633C5C9E1 C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\Browse22save C:\Documents and Settings\All Users\Dane aplikacji\cA13602MpFkD13602 C:\Documents and Settings\All Users\Dane aplikacji\dd0bcbaaf174bd54 C:\Documents and Settings\All Users\Dane aplikacji\olndoboejijnenklhgdfjlkoonohhngl C:\Documents and Settings\All Users\Dane aplikacji\SoftSafe C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Dane aplikacji\TuneUp Software C:\Documents and Settings\Tomek\.android C:\Documents and Settings\Tomek\daemonprocess.txt C:\Documents and Settings\Tomek\Dane aplikacji\AVG2012 C:\Documents and Settings\Tomek\Dane aplikacji\Hiyzuh C:\Documents and Settings\Tomek\Dane aplikacji\newnext.me C:\Documents and Settings\Tomek\Dane aplikacji\Sewymy C:\Documents and Settings\Tomek\Dane aplikacji\TuneUp Software C:\Documents and Settings\Tomek\Dane aplikacji\Xi C:\Documents and Settings\Tomek\Dane aplikacji\Yveso C:\Documents and Settings\Tomek\Menu Start\Programy\FoxTab PDF Creator C:\Documents and Settings\Tomek\Moje dokumenty\Mobogenie C:\Documents and Settings\Tomek\Ustawienia lokalne\Dane aplikacji\cache C:\Documents and Settings\Tomek\Ustawienia lokalne\Dane aplikacji\genienext C:\Documents and Settings\Tomek\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\Tomek\Ustawienia lokalne\Dane aplikacji\Mobogenie C:\Program Files\Enigma Software Group C:\Program Files\Mobogenie C:\Program Files\MyPC Backup C:\Program Files\TuneUp Utilities 2013 C:\WINDOWS\220FB0354744483A9A0B41DF77061583.TMP C:\WINDOWS\system32\Drivers\ocuprmeb.sys Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\URLSearchHooks" /v {A3BC75A2-1F87-4686-AA43-5347D756017C} /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj następujące pozycje adware: Browsers Protector, Contextual Tool Extrafind, Fun2Savee, OptimizerPro, QuickStores-Toolbar 1.1.0, SHoppDropp, SmartWeb, StartSearch Toolbar 1.3. Od razu także usuń wszystkie stare Java. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zastosuj specjalne usuwacze do Java linkowane w przyklejonym temacie: KLIK. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log utworzony przez AdwCleaner. .