picasso

Infekcję widzę, plik EPUHelp.exe w Autostarcie. Ale to nie wszystko. System jest potwornie zaśmiecony adware. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: () C:\Support\couponsupport.exe () C:\Program Files (x86)\Bizzybolt\updateBizzybolt.exe (Pandora.TV) C:\Program Files (x86)\PANDORA.TV\PanService\KMPService.exe (PandoraTV) C:\Program Files (x86)\PANDORA.TV\PanService\KMPProcess.exe Startup: C:\Users\Maciek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EPUHelp.exe () HKLM-x32\...\Run: [] - [x] AppInit_DLLs-x32: c:\progra~2\psupport\psupport.dll => C:\Program Files (x86)\PSupport\psupport.dll [857600 2013-10-06] () R2 Update Bizzybolt; C:\Program Files (x86)\Bizzybolt\updateBizzybolt.exe [66848 2013-11-20] () Task: {00BFFAD9-9170-45F5-9D8E-304B37AE4437} - System32\Tasks\EPUpdater => C:\Users\Maciek\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-09-01] () Task: {42C3C10C-5C33-43B7-9B28-56A3FEF57AF4} - System32\Tasks\{CE7B84B1-9D8D-4DB7-AABC-F6BDEF69A31F} => I:\wordpad.exe Task: {4B8B55EF-30C0-4F36-B3C2-AD63A157B040} - System32\Tasks\couponsupport-S-649636217 => c:\support\couponsupport.exe [2013-01-05] () Task: {59BA8DE9-D06E-46B5-9FF5-65D844F35798} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2013-03-06] (Google Inc.) Task: {61829D4B-3A45-44F8-A9F6-B94DAAEDF7D5} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2013-03-06] (Google Inc.) Task: C:\Windows\Tasks\couponsupport-S-649636217.job => c:\support\couponsupport.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=WDCXWD5000BEVT-60ZAT1_WD-WXD0C790647206472&ts=1383840361&type=default&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=WDCXWD5000BEVT-60ZAT1_WD-WXD0C790647206472&ts=1383840361&type=default&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=WDCXWD5000BEVT-60ZAT1_WD-WXD0C790647206472&ts=1383840361&type=default&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=WDCXWD5000BEVT-60ZAT1_WD-WXD0C790647206472&ts=1383840361&type=default&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.dosearches.com/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=sc&from=cor&uid=WDCXWD5000BEVT-60ZAT1_WD-WXD0C790647206472&ts=1383840361 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=WDCXWD5000BEVT-60ZAT1_WD-WXD0C790647206472&ts=1383840361&type=default&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=WDCXWD5000BEVT-60ZAT1_WD-WXD0C790647206472&ts=1383840361&type=default&q={searchTerms} SearchScopes: HKLM - {E2958F71-2B50-4864-811E-2F39556414E9} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=WDCXWD5000BEVT-60ZAT1_WD-WXD0C790647206472&ts=1383840361&type=default&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=WDCXWD5000BEVT-60ZAT1_WD-WXD0C790647206472&ts=1383840361&type=default&q={searchTerms} SearchScopes: HKLM-x32 - {E2958F71-2B50-4864-811E-2F39556414E9} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://de.search.yahoo.com/search?p={searchTerms}&fr=vc_trans_8140&type=horus SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://de.search.yahoo.com/search?p={searchTerms}&fr=vc_trans_8140&type=horus SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.dalesearch.com/?q={searchTerms}&babsrc=SP_ss&mntrId=1CDA0CEEE699CB7F&affID=124440&tsp=5008 SearchScopes: HKCU - {E2958F71-2B50-4864-811E-2F39556414E9} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl BHO: SaveClicker - {E3F3FD3E-0573-D121-9A5D-F6E1CE8A5AAF} - C:\Program Files (x86)\SaveClicker\Me.x64.dll () BHO-x32: Bizzybolt - {13070af0-bc6c-4185-8baa-40a4cf05b323} - C:\Program Files (x86)\Bizzybolt\Bizzyboltbho.dll (Bizzybolt) BHO-x32: No Name - {84FF7BD6-B47F-46F8-9130-01B2696B36CB} - No File BHO-x32: SaveClicker - {E3F3FD3E-0573-D121-9A5D-F6E1CE8A5AAF} - C:\Program Files (x86)\SaveClicker\Me.dll () Toolbar: HKLM - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File Toolbar: HKCU - No Name - {BA14329E-9550-4989-B3F2-9732E92D17CC} - No File Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKCU - No Name - {00000000-5736-4205-0008-F7ED0776FB27} - No File Toolbar: HKCU - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File FF Plugin ProgramFiles/Appdata: C:\Program Files (x86)\mozilla firefox\plugins\npBitCometAgent.dll (BitComet) FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird U4 eabfiltr; S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [x] C:\Program Files (x86)\IminentToolbar C:\ProgramData\a56c2342e434e434 C:\Users\Maciek\AppData\Local\Comodo C:\Users\Maciek\AppData\Local\Google C:\Users\Maciek\AppData\Local\Packages C:\Users\Maciek\AppData\Local\Torch C:\Users\Maciek\AppData\Roaming\BabSolution C:\Users\Maciek\Downloads\SoftonicDownloader_for_cain-abel.exe C:\Users\Administrator C:\Users\HomeGroupUser$ C:\Users\Gość C:\Windows\System32\Tasks\{1ACFCBDB-325E-4994-8827-2E5C3D2BDB06} AlternateDataStreams: C:\Windows:9DAA25326793C57A Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser" /v {BA14329E-9550-4989-B3F2-9732E92D17CC} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania (nie za pomocą Revo) odinstaluj adware: Bizzybolt, CouponSupport, DaleSearch Chrome Toolbar, DefaultTab, Optimizer Pro v3.1, Product Support 1.74.b1377, SaveClicker, VIS. Przy okazji pozbądź się też zbędnika instalowanego z KMPlayer, czyli KMP Service (to inna postać PANDORA.TV). 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł, ale używane rozszerzenia będą potem do reinstalacji. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper (Google Chrome nie jest tu zainstalowane) > Dalej. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Użycie ComboFix było zupełnieni epotrzebne, nie zrobił nic w zakresie tematu zasadniczego. Używałeś też skanery wątpliwej reputacji takie jak SpyHunter czy EMCO Malware Destroyer. Trzymaj się od nich z daleka. I tu nie koniec działań pod kątem adware. Skrót LNK to tylko jeden z fragmentów odpadków adware widocznych w systemie. Do wykonania: 1. Przez Dodaj/Usuń programy odinstaluj adware Skype Packages (to wrapper adware a nie część Skype) oraz ten wątpliwy EMCO Malware Destroyer. 2. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware BonanzaDeals) > Dalej. 3. Otwórz Notatnik i wklej w nim: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.awesomehp.com/?type=hp&ts=1390728523&from=amt&uid=SAMSUNGXSP0812N_S00MJ10L201489 SearchScopes: HKLM - DefaultScope value is missing. FF StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe http://www.awesomehp.com/?type=sc&ts=1390728523&from=amt&uid=SAMSUNGXSP0812N_S00MJ10L201489 FF HKLM\...\Firefox\Extensions: [lightningnewtab@gmail.com] - C:\Documents and Settings\Adam\Dane aplikacji\Mozilla\Firefox\Profiles\sctlj4v7.default\extensions\lightningnewtab@gmail.com.xpi S2 Update Surftastic; "C:\Program Files\Surftastic\updateSurftastic.exe" [x] S3 catchme; \??\C:\DOCUME~1\Adam\USTAWI~1\Temp\catchme.sys [x] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [x] C:\Documents and Settings\All Users\Dane aplikacji\IePluginService C:\Documents and Settings\Adam\.android C:\Documents and Settings\Adam\daemonprocess.txt C:\Documents and Settings\Adam\Dane aplikacji\0F1F1C2Y1H1P1C0I0T C:\Documents and Settings\Adam\Ustawienia lokalne\Dane aplikacji\cache C:\Documents and Settings\Adam\Ustawienia lokalne\Dane aplikacji\Google C:\Program Files\Enigma Software Group C:\WINDOWS\455F074C814E4520B69B5584BD90400C.TMP C:\WINDOWS\system32\Drivers\sp_rsdrv2.sys Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. Zaprezentuj także co robił wcześniej AdwCleaner, którego niewątpliwie używałeś, tzn. przedstaw logi nagrane w folderze C:\AdwCleaner. .

karoll17, nowe zasady działu jakie logi są tu obowiązkowe. Brakuje FRST. Na razie to zostaw, gdyż: Skoro przekierowania LinkBucks występują na dwóch różnych komputerach, problemem musi być zainfekowany router, tak jak w tym temacie: KLIK. Aczkolwiek nie widzę w podanym tu raporcie takich śladów, DhcpNameServer (pobierane z routera) ma typowo "routerowy" adres, a NameServer (DNS po stronie systemu) są równe COMODO Secure DNS: O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.20 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{4828E29E-D3F0-4AE4-B3AB-20EF03F7002F}: NameServer = 156.154.70.22,156.154.71.22 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{49507B27-3B94-443C-873F-52515731F45F}: DhcpNameServer = 192.168.1.20 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{49507B27-3B94-443C-873F-52515731F45F}: NameServer = 156.154.70.22,156.154.71.22 Rozpocznij od resetu ustawień routera. Szukaj ustawień podobnych do tych w linkowanym już temacie: KLIK. .

kbudka, zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze tematy (wydzielone w osobny) oraz brak obowiązkowych raportów. Proszę dostarczyć logi z FRST i OTL. .

Mimo wszystko poproszę o wytworzenie logów z tego drugiego komputera, dla pewności że wszystko usunięte jak należy, przynajmniej z części obejmowanej skanem. I dziękuję za dotację. .

ssseeerrr, proszę dostosuj się do zasad działu: KLIK. Logi z OTL to jedynie część zestawu, narzędzie nie posiada określonych skanów i jest coraz słabsze w kontekście nowoczesnych następców. Proszę o podanie logów z FRST + Farbar Service Scanner. Infekcja jest niewątpliwa, ale przejdę do jej usuwania po uzyskaniu kompletu materiałów. .

Wykonaj następujące operacje: 1. Otwórz Notatnik i wklej w nim: S2 winmgmt; C:\Documents and Settings\user\Ustawienia lokalne\Temp\x20d0jr.cpp [159744 2014-01-28] () Startup: C:\Documents and Settings\user\Menu Start\Programy\Autostart\rj0d02x.lnk ShortcutTarget: rj0d02x.lnk -> C:\Documents and Settings\user\Ustawienia lokalne\Temp\x20d0jr.cpp () HKLM\...\Run: [mobilegeni daemon] - C:\Program Files\Mobogenie\DaemonProcess.exe HKCU\...\Run: [NextLive] - C:\Documents and Settings\user\Dane aplikacji\newnext.me\nengine.dll [1283584 2013-11-14] (NewNextDotMe) C:\Documents and Settings\All Users\Dane aplikacji\rj0d02x.odd C:\Documents and Settings\user\Dane aplikacji\newnext.me C:\Documents and Settings\user\Ustawienia lokalne\Temp\*.exe C:\Documents and Settings\user\Ustawienia lokalne\Temp\*.dll Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. System powinnien zostać odblokowany. Przejdź w Tryb normalny Windows. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

Log z GMER zrobiony w złych warunkach, przy czynnych sterownikach Alcohola. Na początek rozróżnię, że są tu dwa zupełnie odrębne problemy: 1. Zgłoszenia URL:Mal są związane z adware. I na razie tym się nie zajmuję, gdyż jest to rzeczą podrzędną w ogóle nie związaną z poniższym obszarem, gdyż adware nie ingeruje w tak wczesną fazę rozruchu (detekcja urządzenia bootującego): 2. Komunikat "Reboot and Select proper Boot device or Insert Boot Media in selected Boot device and press a key" i inne kłopoty ze startem. Kłopoty ze startem objawione całkowitą niemożnością załadowania XP, ładowaniem tylko w Trybie awaryjnym i podobnymi wariacjami sugeruje problem z dyskiem twardym. Przyczyny mogą być różne np.: zabrudzenia, złe połączenie / niedopięcie, zdefektowany dysk per se. Na początek podsuwam filmik YouTube (z fatalnym angielskim) pokazujący podstawowe kierunki rozwiązywania tego typu defektu: KLIK. Są podane następujące metody: przepięcie połączeń dysku, załadowanie domyślnych ustawień BIOS, a trzecia "metoda" to już humorystyczny wątek, problemem może być bowiem wadliwy dysk twardy kwalifikujący się w ogóle do wymiany. Proponuję zacząć od dokładnego wyczyszczenia wnętrza skrzyni, sprawdzenia połączeń dysku i resetu BIOS. Jeśli to nic nie wskóra, przeniosę temat do działu Hardware na dalsze dywagacje. Czyszczeniem adware zajmę się na szarym końcu, gdy sytuacja dysku będzie klarowna. .

Skrypt pomyślnie wykonany. 1. Usuiń narzędzia: przez SHIFT+DEL skasuj FRST i folder C:\FRST, w OTL uruchom Sprzątanie. 2. Wykonaj także aktualizacje poniej wyliczonych programów: KLIK. ==================== Installed Programs ====================== Adobe Flash Player 11 ActiveX (Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 11 Plugin (Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla Opera Adobe Reader 9.5.5 - Polish (Version: 9.5.5 - Adobe Systems Incorporated) Adobe Shockwave Player 11.6 (Version: 11.6.5.635 - Adobe Systems, Inc.) Java 7 Update 9 (Version: 7.0.90 - Oracle) Java™ 6 Update 20 (Version: 6.0.200 - Sun Microsystems, Inc.) Microsoft Office 2007 Service Pack 2 (SP2) (Version: - Microsoft) Hidden Microsoft Silverlight (Version: 4.0.60129.0 - Microsoft Corporation) Z podlinkowanego wątku wynika, że mnogość wystąpień ping jest defektem jednego z modów. Wnioski: "odmodować" grę, by się przekonać jak chodzi czysty klient bez żadnych dodatkowych uzupełnień. .

W porządku, w domyśle jest instalacja nowej wersji, jeśli bezpośrednia aktualizacja o wiele niższej wersji nie jest możliwa. FRST już podawałam do kasacji ręcznej, resztę także możesz usunąć zwyczajną metodą. .

Nie ma tu śladów tej infekcji w stanie czynnym, możliwe że jest to komunikat tylko na poziomie przeglądarki internetowej. Czy to się powtarza zawsze przy wizytowaniu tej samej strony internetowej? Ale i tak mamy tu co czyścić, w systemie są różne obiekty adware. Jedna z przyczyn to pobieranie plików z portali (KLIK), to nie są poprawne instalatory tylko "Asystenci pobierania" mający w zamiarze zanieczyścić system: C:\Users\pc\Downloads\BitTorrent(13103).exe C:\Users\pc\Downloads\BitTorrent_Downloader.exe C:\Users\pc\Downloads\DAEMON-Tools-Lite(12708).exe C:\Users\pc\Downloads\DTLite4481-0347_Downloader.exe C:\Users\pc\Downloads\NET-Framework(12105).exe C:\Users\pc\Downloads\Train_Simulator_2014_Downloader.exe Nawiasem mówiąc, pobieranie .NET Framework 3.5 (widoczny na dysku plik dotNetFx35setup.exe) na systemie Windows 7 nie ma sensu. Ta wersja .NET jest już wbudowana w system i nie można jej "nadpisać" w taki sposób. Oto tabelka jakie wersje .NET są natywnie zintegrowane: KLIK. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: (Somoto) C:\Users\pc\AppData\Local\FilesFrog Update Checker\update_checker.exe HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKLM-x32\...\Run: [YTDownloader] - "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot AppInit_DLLs: C:\PROGRA~2\Amazon\AMAZON~1\AMAZON~2.DLL => File Not Found HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.mysearchdial.com/?f=1&a=irmsd0101&cd=2XzuyEtN2Y1L1Qzu0B0CyD0F0FyE0ByCzz0DyD0Czy0CtA0CtN0D0Tzu0SyByEyCtN1L2XzutBtFtBtFtCyDtFtCyDzytBtN1L1CzutDzytDtCtG1T&cr=1672835684&ir= HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.mysearchdial.com/?f=1&a=irmsd0101&cd=2XzuyEtN2Y1L1Qzu0B0CyD0F0FyE0ByCzz0DyD0Czy0CtA0CtN0D0Tzu0SyByEyCtN1L2XzutBtFtBtFtCyDtFtCyDzytBtN1L1CzutDzytDtCtG1T&cr=1672835684&ir= HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://start.mysearchdial.com/?f=1&a=irmsd0101&cd=2XzuyEtN2Y1L1Qzu0B0CyD0F0FyE0ByCzz0DyD0Czy0CtA0CtN0D0Tzu0SyByEyCtN1L2XzutBtFtBtFtCyDtFtCyDzytBtN1L1CzutDzytDtCtG1T&cr=1672835684&ir= StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM - {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL = SearchScopes: HKLM-x32 - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snapdo.com/?publisher=Somoto&dpid=Somoto&co=DE&userid=fb5153ab-d329-1e3a-6a82-d2469dfc5c5e&searchtype=ds&q={searchTerms}&installDate=18/10/2013 SearchScopes: HKLM-x32 - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snapdo.com/?publisher=Somoto&dpid=Somoto&co=DE&userid=fb5153ab-d329-1e3a-6a82-d2469dfc5c5e&searchtype=ds&q={searchTerms}&installDate=18/10/2013 SearchScopes: HKCU - DefaultScope {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd1103&cd=2XzuyEtN2Y1L1Qzu0B0CyD0F0FyE0ByCzz0DyD0Czy0CtA0CtN0D0Tzu0SyCzyyCtN1L2XzutBtFtBtFtCyEtFtCtAyBzytN1L1CzutCyD1B1P1R&cr=1941652583&ir= SearchScopes: HKCU - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snapdo.com/?publisher=Somoto&dpid=Somoto&co=DE&userid=fb5153ab-d329-1e3a-6a82-d2469dfc5c5e&searchtype=ds&q={searchTerms}&installDate=18/10/2013 SearchScopes: HKCU - {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd1103&cd=2XzuyEtN2Y1L1Qzu0B0CyD0F0FyE0ByCzz0DyD0Czy0CtA0CtN0D0Tzu0SyCzyyCtN1L2XzutBtFtBtFtCyEtFtCtAyBzytN1L1CzutCyD1B1P1R&cr=1941652583&ir= SearchScopes: HKCU - {A8E1E413-7EDA-4502-83C8-65689731BD70} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd0101&cd=2XzuyEtN2Y1L1Qzu0B0CyD0F0FyE0ByCzz0DyD0Czy0CtA0CtN0D0Tzu0SyByEyCtN1L2XzutBtFtBtFtCyDtFtCyDzytBtN1L1CzutDzytDtCtG1T&cr=1672835684&ir= BHO: The Amazon 1Button App for IE - {26B19FA4-E8A1-4A1B-A163-1A1E46F830DD} - C:\Program Files (x86)\Amazon\Amazon1ButtonApp\AmazonAppIE64.dll No File Toolbar: HKLM - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} - No File Toolbar: HKLM-x32 - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} - No File Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF Plugin HKCU: ubisoft.com/uplaypc - C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File Task: {568DD28D-3514-4BDA-BC4B-C74461E5E38B} - System32\Tasks\MySearchDial => C:\Users\pc\AppData\Roaming\MYSEAR~1\UPDATE~1\UPDATE~1.EXE Task: {94387FDB-5FCC-4297-8B3E-B4B4B40588AD} - System32\Tasks\SomotoUpdateCheckerAutoStart => C:\Users\pc\AppData\Local\FilesFrog Update Checker\update_checker.exe [2013-10-17] (Somoto) Task: {98E8D9AD-26BD-4672-9E79-C5A12B47E2A3} - System32\Tasks\iWebar-updater => C:\Program Files (x86)\iWebar\iWebar-updater.exe Task: {9A6D60A9-61B6-40AF-9CCF-900415C92016} - System32\Tasks\Plus-HD-2.2-updater => C:\Program Files (x86)\Plus-HD-2.2\Plus-HD-2.2-updater.exe Task: {ABE66CC7-1BCB-42E0-B22C-F16725571A55} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 Task: {DE5E7B5C-9FFD-4F2E-8A59-D30C957BAE15} - System32\Tasks\SMupdate1 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update1 Task: C:\Windows\Tasks\iWebar-updater.job => C:\Program Files (x86)\iWebar\iWebar-updater.exe Task: C:\Windows\Tasks\MySearchDial.job => C:\Users\pc\AppData\Roaming\MYSEAR~1\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\Plus-HD-2.2-updater.job => C:\Program Files (x86)\Plus-HD-2.2\Plus-HD-2.2-updater.exe S3 MSICDSetup; \??\E:\CDriver64.sys [x] C:\Users\pc\infinst.exe C:\Users\pc\AppData\Local\mysearchdial-speeddial.crx C:\Users\pc\AppData\Local\FilesFrog Update Checker C:\Users\pc\AppData\Local\Google C:\Users\pc\AppData\Roaming\IminentToolbar C:\Users\pc\AppData\Roaming\mysearchdial C:\Users\pc\AppData\Roaming\Oxy C:\Users\pc\Downloads\BitTorrent(13103).exe C:\Users\pc\Downloads\BitTorrent_Downloader.exe C:\Users\pc\Downloads\DAEMON-Tools-Lite(12708).exe C:\Users\pc\Downloads\DTLite4481-0347_Downloader.exe C:\Users\pc\Downloads\NET-Framework(12105).exe C:\Users\pc\Downloads\Train_Simulator_2014_Downloader.exe C:\Users\Public\AlexaNSISPlugin.1908.dll C:\Windows\3F5C371F8EA24F259D3DD0B4526E3AEA.TMP Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 3. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware BonanzaDeals) > Dalej. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

W raportach nie ma oznak tej infekcji. Wątpię. Infekcja musiałaby mieć wersję na Androida. .

Tak, system jest zainfekowany, w folderze Autostart jest ulokowana fałszywka "Nero". Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: Startup: C:\Users\Karolina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{770bfe18-96a1-a526-49e3-ff7c770bfe18}.exe (Nero StartSmart Essentials) C:\Users\Karolina\AppData\Roaming\{770bfe18-96a1-a526-49e3-ff7c770bfe18} Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

W wynikach Avast widnieje usunięty delikwent uruchamiany z folderu Startup, co odpowiada temu obiektowi z opisem "Jetico" w innym temacie: KLIK. Wnioskuję, że raporty zostały wytworzone już post factum, gdyż w podanych logach nie widać oznak czynnej infekcji. Do wykonania będą czynności dodatkowe związane z usuwaniem plików źródłowych infekcji Facebook oraz szczątków adware: 1. Otwórz Notatnik i wklej w nim: C:\Users\Paweł\AppData\Roaming\Babylon C:\Users\Paweł\AppData\Roaming\DSite C:\Users\Paweł\AppData\Roaming\Systweak C:\Users\Paweł\Downloads\Photo-023.JPEG-FACEBOOK.COM (2).exe C:\Users\Paweł\Downloads\Photo-023.JPEG-FACEBOOK.COM.exe SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119357&tt=gc_&babsrc=SP_ss&mntrId=2A934C0F6E66EE05 HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres search.babylon.com Ustawienia > karta Rozszerzenia > odinstaluj InfoBird Pro, jeśli nie wiesz co to jest Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Infekcja uruchamia się z folderu Autostart. Prócz tej Facebookowej infekcji w systemie jest take adware. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: (APN LLC.) C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe (APN) C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe () C:\Program Files (x86)\Mobogenie\DaemonProcess.exe () C:\Program Files (x86)\Jump Flip\updateJumpFlip.exe () C:\Program Files (x86)\Jump Flip\bin\utilJumpFlip.exe R2 APNMCP; C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe [166352 2014-01-11] (APN LLC.) R2 Update Jump Flip; C:\Program Files (x86)\Jump Flip\updateJumpFlip.exe [102176 2014-01-25] () R2 Util Jump Flip; C:\Program Files (x86)\Jump Flip\bin\utilJumpFlip.exe [102176 2014-01-25] () HKLM-x32\...\Run: [] - [x] HKLM-x32\...\Run: [ApnTBMon] - C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe [1778640 2014-01-11] (APN) HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe [766656 2014-01-10] () HKU\DELL\...\Run: [NextLive] - C:\windows\SysWOW64\rundll32.exe "C:\Users\DELL\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l HKU\DELL\...\Run: [softonic for Windows] - C:\Users\DELL\AppData\Local\Softonic\Softonic.exe [4124144 2013-12-04] (Softonic) Startup: C:\Users\MONIKA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{f3969ad8-ce71-0900-2386-8b9bf3969ad8}.exe (Jetico, Inc.) C:\Users\MONIKA\AppData\Roaming\{f3969ad8-ce71-0900-2386-8b9bf3969ad8} C:\windows\System32\Tasks\{29408508-6212-42A1-86F9-5F4E68E69ED8} C:\windows\System32\Tasks\{6F002BCC-5B17-4F44-8906-5C76523E2757} C:\windows\System32\Tasks\{C19ED661-4F4A-4CFD-99B5-128D3B90B206} C:\windows\System32\Tasks\{F9955781-F9B7-4D35-98F5-0BC3F42A49C5} C:\ProgramData\McAfee Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware: Ask Toolbar, Jump Flip, Mobogenie. W Menu Start wyszukaj Softonic i sprawdź czy jest pozycja deinstalatora. 3. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Ask Toolbar, Jump Flip (o ile nadal będą po w/w deinstalacjach) Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Uninstalling Conduit SearchProtect deletes NTLDR making Windows XP Unbootable Adware Conduit SearchProtect ma fatalny błąd w procedurze deinstalacji, więc widząc taką pozycję u siebie proszę nie próbować tego deinstalować tylko zgłosić się na forum po pomoc. Uruchomienie deinstalacji poprzez zwykłe Dodaj/Usuń powoduje wyczyszczenie wszystkich luźnych plików z dysku C:\. Na systemie XP w większości przypadków (nie zawsze) leżą w tym miejscu niezbędne pliki startowe: BOOT.INI, NTLDR, NTDETECT.COM. Ich usunięcie spowoduje, że po restarcie pojawi się błąd startowy "Brak pliku NTLDR. Naciśnij ctrl+alt+del aby zrestartować" uniemożliwiający wejście do Windows. W takim przypadku należy się posłużyć Konsolą odzyskiwania, by odbudować brakujące pliki: Konsola Odzyskiwania - Naprawianie Windows Oryginalny artykuł wspomina tylko o XP, dając niejako gwarant systemom Vista i nowszym, ale jak mówię tam w świeżym komentarzu, to nie jest niestety pewne. Skoro Conduit kasuje z root C:\ wszystkie luźne pliki jak leci, sprawa jak najbardziej może dotyczyć nowszych systemów. Wszystko rozbija się o układ partycji i metodę instalacji nowszego systemu. Jeśli instalacja systemu odbywała się na czystym niepodzielonym dysku, instalator Windows 7/8 tworzy odizolowaną partycję "Zastrzeżone przez system" i tam umieszcza pliki startowe. Jeśli jednak instalacja systemu odbywała się już na wstępnie przygotowanym dysku, na którym już jest obecna aktywna partycja, Windows nie tworzy "Zastrzeżone przez system" i lokuje pliki startowe na owej gotowej aktywnej. To oznacza że zainstalowany Windows i pliki startowe mogą wylądować razem. I wtedy występuje krytyczny plik startowy wprost na C:\, czyli BOOTMGR. Plik domyślnie jest zablokowany przez uprawnienia, toteż sprawa byłaby jasna, gdyby było pewne że Conduit nie umie obejść uprawnień. Ale w komentarzach artykułu wypowiedział się użytkownik, który zrobił deinstalację adware na systemie Windows 8, po restarcie niestety przywitał go błąd bootowania. To każe mniemać, iż Conduit jest zdolny usuwać ten szczególny plik startowy...

Log z FRST zrobiony na złym ustawieniu, opcje Drivers MD5 i List BCD nie miały być zaznaczone. GMER nie możesz dołączyć, gdyż próbujesz wstawiać pliki o rozszerzeniu *.log, a w załącznikach dopuszczam tylko *.txt. Logi tu na razie już zostawmy. Wprawdzie w systemie jest porządny śmietnik adware, ale są tu nadrzędne objawy usuwające to w cień: SalityKiller adresuje tylko i wyłącznie infekcję w wykonywalnych typu Sality. Obrazki z AVG wskazują na innego wirusa w wykonywalnych, czyli Parite. Wirus jest tego rodzaju co Sality, niszczy wszystkie pliki wykonywalne na wszystkich dyskach. Tu masz aż trzy partycje, na wszystkich może być już wirus: ==================== Drives ================================ Drive c: () (Fixed) (Total:244.04 GB) (Free:194.81 GB) NTFS Drive d: () (Fixed) (Total:221.62 GB) (Free:179.26 GB) NTFS Drive g: (Sejf gier) (Fixed) (Total:20 GB) (Free:7.28 GB) NTFS Nie wolno Ci też z tych partycji teraz skopiować / zgrać na jakieś inne nośniki żadnych plików wykonywalnych (instalatorów gier czy programów), gdyż to są nośniki wirusa. Te objawy z "usuwaniem się programów" i błędami to są pośrednie znaki katastrofy, to oznacza że pliki są zniszczone przez wirusa. Reinstalacja programów podczas gdy działa wirus nic nie da, gdyż następuje reinfekcja. Niestety to taki rodzaj infekcji, że kroi się format i to niezależnie od tego czy da się powstrzymać infekowanie. Nawet jeśli infekcja zostanie powstrzymana, szkody w plikach Windows i programów mogą być już trwałe, i tak trzeba będzie reinstalować / naprawiać, a czasokres zadania i trud z przeładowaniem komponentów może przekroczyć opłacalność operacji. Wiele rzeczy może też nie wyjść na jaw od razu... 1. Zacznij od zastosowania specjalizowanej szczepionki AVG rmparite.exe. Ale usuwanie spod Windows może być nieskuteczne, toteż podsuwam też płytę Kaspersky Rescue Disk (płytę musisz przygotować na innym niezainfekowanym komputerze). 2. Po wszystkich skanach zgłoś się tutaj ze statystykami. Jak mówię, w dalszej perspektywie jest format wszystkich partycji. .

OK, kończymy: 1. Przez SHIFT+DEL skasuj FRST i foldery: C:\FRST C:\Users\Aleksandra\Desktop\Stare dane programu Firefox W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Odinstaluj starą niebezpieczną wersję Java 6, zaktualizuj OpenOffice.org, by mógł korzystać z najnowszej wersji + doinstaluj najnowszą wersję Java 7. Zaktualizuj też wtyczki Adobe Flash. Stan obecnie widziany w systemie: ==================== Installed Programs ====================== Adobe Flash Player 11 ActiveX (x32 Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 11 Plugin (x32 Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla Firefox Java™ 6 Update 25 (x32 Version: 6.0.250 - Oracle) OpenOffice.org 2.4 (x32 Version: 2.4.9364 - OpenOffice.org) Szczegóły aktualizacyjne tych aplikacji: KLIK. .

Wejdź w Tryb awaryjny Windows i z jego poziomu spróbuj zrobić skany. I przypominam zasady działu (KLIK) jaki jest pełny skład obowiązkowych raportów. OTL to jedynie część zestawu. Obecnie w skład obowiązków wchodzi FRST. Dodatkowo, obowiązkowy jest także GMER. .

Czyli usługi już nie było. Końcowe czynności podałam. Temat rozwiązany. Zamykam.

Skrypt FRST pomyślnie wykonany. Poprawki zadam potem, bo teraz już wychodzę z domu. W kwestii: Zacznij od sprawdzenia ustawień w Windows: - Panel sterowania > Zegar, język i region > Data i godzina. W karcie karta Data i godzina > Zmień strefę czasową > czy jest wybrana pozycja (UTC +01:00) Sarajewo, Skopie, Warszawa, Zagrzeb oraz zaznaczona opcja "Automatycznie dostosuj zegar do zmiany czasu"? W karcie Czas z internetu > Zmień ustawienia > czy jest zaznaczona opcja "Synchronizuj z internetowym serwerem czasu" a ów serwer to time.windows.com? - Start > w polu szukania wpisz services.msc > jaki Typ uruchomienia ma Usługa Czas systemu Windows: Ręczny czy Wyłączony? A jeśli to nie kwestia ustawień Windows, to jest możliwość sprzętowa (bateryjka BIOS siada). .

Adware zostało pomyślnie usunięte i w tym zakresie kończymy: 1. Mini poprawki. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM - DefaultScope value is missing. C:\Documents and Settings\All Users\Dane aplikacji\25c5f3be9b940965 C:\Documents and Settings\B i W\Dane aplikacji\1H1Q C:\Documents and Settings\B i W\Dane aplikacji\0F1F1C2Y1H1P1C0I0T C:\Documents and Settings\B i W\UserData C:\Program Files\Jump Flip Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Po jego potwierdzeniu przejdź dalej: 2. Uruchom TFC - Temp Cleaner. 3. Przez SHIFT+DEL skasuj FRST i folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Zaktualizuj Adobe Reader 9.5.0: KLIK. Na obrazkach wszystko jest w porządku i nie ma się już czym zajmować pod tym kątem. Skoro system nie jest tak szybki jak wcześniej (o ile oczywiście nie ma efektu placebo), to przyczyna jest całkiem inna i w ogóle nie powiązana z prowadzonymi tu działaniami. W ramach podejrzanych występuje tu widoczny w raporcie proces "Windows Update" w połączeniu z faktem, iż są tu ślady zainstalowanego znacznie rozszerzonego wariantu "Microsoft Update": DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1388149885000 "Microsoft Update" może mieć negatywny wpływ na system. Wykonaj działania z tego posta: KLIK. Po tym zresetuj system. .

Czy po reinstalacji ESET problem zawieszania usługi ESET ustąpił?

Dwa wyniki związane z odpadakami SpyHunter się nie przetworzyły, jeden pewnie stąd, że tego już na dysku nie było, ale drugi niepewny. Dla świętego spokoju sprawdź czy jest to w systemie. Start > w polu szukania wklep regedit > czy widzisz klucz esgiguard: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\esgiguard Jeśli tak, skasuj z prawokliku. Jeśli nie, koniec sprawy. .

Przeczytaj: - Na temat używania ComboFix: KLIK. - Zasady działu i jakie raporty są tu obowiązkowe: KLIK. Proszę dostarczyć wymagane tu raporty FRST i OTL. To jest poprawny katalog systemu Windows trzymający elementy instalacji programów. Katalogu wcześniej nie widziałeś, bo domyślnie jest ukryty. Został odkryty którymś procesem, stąd nagle go widzisz. Tu nie jest nienormalna jego obecność (jest na każdym systemie Windows 7), nienormalny za to jest fakt, że zostały zdjęte z tego katalogu atrybuty go ukrywające (folder nie jest "blady", czyli nie ma atrybutów ukrywających). Podobny nienormalny stan wykazuje katalog C:\Recovery (też nie powinien być widoczny). Nawiasem mówiąc: bardzo wielu ukrytych rzeczy nie widzisz, bo domyślnie w Windows są ustawione opcje: odznaczone "Pokaż ukryte foldery i pliki" + zaznaczone "Ukryj chronione pliki systemu operacyjnego". Zwłaszcza po rekonfiguracji tej drugiej opcji ukaże się wiele nowych obiektów w miejscu, które prezentujesz na zrzucie ekranu. Ale opcje zostaw w spokoju, byś nie uszkodził czegoś od systemu, skoro obecność ProgramData była Ci kompletnie nie wiadoma. .