picasso

O tym właśnie mówię. Źle to interpretujesz. Przeczytaj co jest napisane na temat objawów (wyskakujące audio reklamy) i unikalnej sumy kontrolnej. Tu nie ma ani objawów, ani unikalnego MD5. FRST nie klasyfikuje tych sum jako "poprawne" tylko dlatego, że baza jest ograniczona i nie wlicza polonizowanego Windows XP. Teoretycznie powinnam zbierać te sumy MD5 i podsyłać autorowi, ale uznałam że nie ma sensu zapychać bazę FRST sumami kontrolnymi wymierającego archaicznego systemu i to w wersji lokalizowanej, gdyż każda wersja językowa XP może mieć inne sumy (czyli autor musiałby załączać wszystkie możliwe kombinacje), nie tak jak na systemach nowej generacji gdzie pliki są identyczne (to pliki MUI czynią różnicę). Ja sobie spokojnie radzę bez żadnych podpowiedzi FRST (pomoc dla mniej zaawansowanych analizujących). Googlując tę wypowiedź wynika że opierasz się na prehistorycznym temacie z roku 2006, który ma się nijak do bieżących warunków infekcji. I pytam, kto wymyślił infekcję volsnap.sys (nie powiązana z objawami) i na jakiej podstawie, gdyż tam w temacie nie ma o tym ani słowa. Plik ma bardzo stary znacznik czasu. Nie wiem do czego go podpasować. .

Wszystko wykonane. Przejdź do finalizacji: 1. Przez SHIFT+DEL skasuj FRST i folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. O ile jest co czyścić. Stan pierwotny wykazywał brak punktów Przywracania systemu. Nie wiem czy od momentu rozpoczęcia tematu coś uległo zmianie. 3. Możesz zainstalować najnowsze wersje przeglądarek i korespondujące wtyczki Adobe Flash oraz zaktualizować Internet Explorer i Thunderbird: KLIK. .

1. Akcje w Google Chrome nie wyglądają na wykonane, nadal widzę ustawioną jako domyślną wyszukiwarkę adware Web Search oraz martwe wtyczki. Powtórz: 2. W Internet Explorer są powielone wyszukiwarki Google. Opcje internetowe > Programy > Zarządzaj dodatkami > Dostawcy wyszukiwania > skasuj z listy wszystkie wystąpienia Google poza tym ustawionym jako wyszukiwarka domyślna. 3. Zrób nowy log FRST (bez Addition). Widzę ten instalator: 2014-01-14 11:07 - 2014-01-14 11:07 - 01128916 _____ (www.hellopdf.com ) C:\Users\Aleksandra\Downloads\pdf2wordsetup.exe Jednak nie sądzę, by on był powiązany (chyba, że ten instalator był wyekstraktowany z jakiegoś innego wrappera). I nie potrafię żadnej instalacji skojarzyć z elementami infekcji, gdyż folder pwo5 należny do infekcji był poza zakresem czasowym raportu, miał datę ustawioną na sierpień 2013: HKCU\...\Run: [pwo5] - C:\Users\Aleksandra\pwo5\svchost.exe [7691285 2013-08-24] () Jednak timestamp nie jest jednoznacznym dowodem, że infekcja została wprowadzona kilka miesięcy temu. Znaczniki czasu mogą być oszukane i "cofnięte wstecz". Jest tu równie prawdopodobne, że infekcja działała już wiele mięsięcy, tylko dopiero instalacja ESET ją namierzyła, jak i że jest to świeży nabytek. .

Potwierdzam pomyślne wykonanie akcji. Kończymy: 1. Przez SHIFT+DEL skasuj FRST i folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. .

Wszystko wykonane i możemy kończyć: 1. Przez SHIFT+DEL skasuj z dysku FRST i foldery C:\AdwCleaner, C:\FRST. W OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj IE9 do wersji IE11. .

Nie ma tu oznak infekcji, tylko drobne odpadki adware (Babylon oraz Media Finder) i nie ma to żadnego znaczenia pod kątem opisywanych problemów. Nie warto się na razie zajmować tym w kontekście: Ten ekran, na którym jest przestój, to faza, gdy ładują się urządzenia / sterowniki. W Dzienniku zdarzeń widać takie oto błędy: System errors: ============= Error: (01/23/2014 04:29:48 PM) (Source: iaStor) (User: ) Description: Urządzenie \Device\Ide\iaStor0 nie odpowiedziało w ramach ustalonego limitu czasu. Application errors: ================== Error: (01/23/2014 05:06:08 PM) (Source: ATIeRecord) (User: ) Description: ATI EEU failed to post message to CCC Wyłącza w taki sposób jak przyciskiem power, czy automatycznie resetuje? I opis pachnie sprawą sprzętową. Przenoszę więc temat na diagnostykę do działu Hardware. Podaj wymagane materiały: KLIK. .

Brakuje raportu utworzonego podczas usuwania AdwCleaner w folderze C:\AdwCleaner. Dodaj. Był tu uruchamiany GMER, mógł więc obniżyć się przypadkowo transfer dysku z DMA do PIO. Wykonaj działania z sekcji Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. .

+ Sekunduję tu Griszy. Są uwarunkowania, przy których warto to posiadać, ale skutkiem ubocznym może być zwiększona indolencja. Dodam narzędzie do mojego tematu o asystentach. Niestety nie jestem w stanie w ogóle go sprawdzić pod kątem polskich warunków (ani nawet zaktualizować tematu o asystentach). Moje holenderskie IP - i nie ma żadnej siły, by to oszukać, wypróbowałam wszystko co przyszło mi do głowy - powoduje, że główne polskie "asystenty" obecnie nie podstawiają mi żadnej propozycji. Jedyne "niezawodne" downloadery to te które mają tak jakby "międzynarodową" orientację (download.net.pl, programs.pl, softonic.pl), ale widziane w nich propozycje nie odpowiadają temu co widzi polski użytkownik. .

Brakuje raportów GMER oraz FRST Addition (albo to pole w konfiguracji nie było zaznaczone, albo powstały log nie został dostarczony). Poza tym, niech znajomy dostarczy więcej informacji skąd podejrzenie infekcji oraz log ComboFix C:\ComboFix.txt (uruchamiał narzędzie), bo na razie tu nie ma żadnych oznak infekcji. Widać tylko mikro odpadki adware, ale to nie ma specjalnego znaczenia. .

Dostosuj się do zasad działu. Przecież teraz są obowiązkowe także raporty z FRST.

Przywracanie systemu to bardzo mocny proces, co oznacza, że wszystko co było usuwane mogło powrócić na miejsce. Nie wiem do jakiego czasu cofnąłeś system. W związku z tym poproszę o nowy komplet wszystkich obowiązkowych logów.

A to dlatego, że to nie był poprawny instalator Adobe Reader, tylko portalowy śmieć "Asystent pobierania", co widać po tym pliku na dysku: C:\Users\asus\Downloads\Adobe-Reader-XI(21590).exe Proszę przeczytaj o portalowych "Asystentach pobierania" i jak unikać takich nieprzyjemności: KLIK. Z daleka od pobierania z portali. W kwestii błędu: ten bubel Mobogenie, który zresztą już klasyfikuje się jako adware (przemycanie w "asystentach" + aplikacja sama częstuje reklamami), nie deinstaluje się poprawnie, stąd błąd. Poza tym, w systemie jest większa ilość adware (RelevantKnowledge + dosearches.com). Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: (TMRG, Inc.) C:\Program Files (x86)\RelevantKnowledge\rlservice.exe (TMRG, Inc.) C:\Program Files (x86)\RelevantKnowledge\rlvknlg.exe (TMRG, Inc.) C:\Program Files (x86)\RelevantKnowledge\rlvknlg64.exe (TMRG, Inc.) C:\Program Files (x86)\RelevantKnowledge\rlvknlg32.exe HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe [761024 2013-12-13] () HKCU\...\Run: [NextLive] - C:\Users\asus\AppData\Roaming\newnext.me\nengine.dll [1283584 2013-11-14] (NewNextDotMe) U2 RelevantKnowledge; C:\Program Files (x86)\RelevantKnowledge\rlservice.exe [198424 2013-11-13] (TMRG, Inc.) U3 ALSysIO; \??\C:\Users\asus\AppData\Local\Temp\ALSysIO64.sys [x] HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=HitachiXHTS543232A7A384_E2P3121L1UDY3P1UDY3PX&ts=1383850100&type=default&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=HitachiXHTS543232A7A384_E2P3121L1UDY3P1UDY3PX&ts=1383850100&type=default&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=HitachiXHTS543232A7A384_E2P3121L1UDY3P1UDY3PX&ts=1383850100&type=default&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=HitachiXHTS543232A7A384_E2P3121L1UDY3P1UDY3PX&ts=1383850100&type=default&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.dosearches.com/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=sc&from=cor&uid=HitachiXHTS543232A7A384_E2P3121L1UDY3P1UDY3PX&ts=1383850100 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=HitachiXHTS543232A7A384_E2P3121L1UDY3P1UDY3PX&ts=1383850100&type=default&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=HitachiXHTS543232A7A384_E2P3121L1UDY3P1UDY3PX&ts=1383850100&type=default&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=HitachiXHTS543232A7A384_E2P3121L1UDY3P1UDY3PX&ts=1383850100&type=default&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=HitachiXHTS543232A7A384_E2P3121L1UDY3P1UDY3PX&ts=1383850100&type=default&q={searchTerms} CHR HKLM-x32\...\Chrome\Extension: [bcjagnifjocnddgeknajocbkkhlgibem] - C:\Program Files (x86)\Surf Canyon\surfcanyon.crx [2013-11-05] CHR HKLM-x32\...\Chrome\Extension: [mkndcbhcgphcfkkddanakjiepeknbgle] - C:\Program Files (x86)\RelevantKnowledge\rlcm.crx [2013-10-22] C:\Program Files (x86)\Mobogenie C:\Users\asus\.android C:\Users\asus\daemonprocess.txt C:\Users\asus\AppData\Local\cache C:\Users\asus\AppData\Local\genienext C:\Users\asus\AppData\Local\Mobogenie C:\Users\asus\AppData\Roaming\newnext.me C:\Users\asus\Documents\Mobogenie C:\Users\asus\Downloads\Adobe-Reader-XI(21590).exe Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware RelevantKnowledge. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj RelevantKnowledge. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Majlo88, zasady działu, nie podane żadne wymagane tu dane: KLIK. Proszę dołączyć logi z FRST i OTL. A SpyHunter to program wątpliwej reputacji! Pozbyć się z systemu. .

Czy został zastosowany TFC Temp - Cleaner i system zresetował się? Objaw jest związany z cache przeglądarki. Zastosuj CTRL+F5 na stronie (odświeżenie wprost z serwera z ominięciem cache). Jeśli widok się naprawi, dołącz pozostałe brakujące logi. .

Proszę nie wyciągaj logów z katalogu C:\FRST (to archiwum), bo dodałaś mi ponownie tej ze starej wersji (usuwam). Bieżący log powstaje zawsze tam skąd uruchomiony jest FRST. Marzena, logów nie możesz znaleźć, bo program został zapisany w złym miejscu, uruchamia się z Temp: Running from C:\Users\Myszka\AppData\Local\Temp Proszę go przenieś / zapisać na Pulpicie, bo ta lokalizacja będzie czyszczona i FRST zniknie. Gdy go przeniesiesz, przeprowadź następujące działania (śmietnik w systemie jest ogromny): 1. Otwórz Notatnik i wklej w nim: (Cherished Technololgy LIMITED) C:\ProgramData\WPM\wprotectmanager.exe () C:\Program Files\Web Assistant\ExtensionUpdaterService.exe () C:\Users\Myszka\AppData\Roaming\pwo6\svchost.exe () C:\Users\Myszka\AppData\Local\Temp\_MEI24882\bin\winlogon.exe () C:\Program Files\RightSurf\updateRightSurf.exe R2 Update RightSurf; C:\Program Files\RightSurf\updateRightSurf.exe [97056 2014-01-10] () R2 Web Assistant; C:\Program Files\Web Assistant\ExtensionUpdaterService.exe [188760 2013-01-29] () R2 Wpm; C:\ProgramData\WPM\wprotectmanager.exe [499856 2014-01-02] (Cherished Technololgy LIMITED) HKLM\...\Run: [mobilegeni daemon] - C:\Program Files\Mobogenie\DaemonProcess.exe HKCU\...\Run: [] - [x] HKCU\...\Run: [pwo6] - C:\Users\Myszka\AppData\Roaming\pwo6\svchost.exe [7321417 2013-10-09] () HKCU\...\Run: [NextLive] - C:\Users\Myszka\AppData\Roaming\newnext.me\nengine.dll [1283584 2013-11-14] (NewNextDotMe) Task: {4402CEE0-B23E-49DC-B57F-343F473870A9} - System32\Tasks\a2zLyrics-1-firefoxinstaller => C:\Program Files\a2zLyrics-1\a2zLyrics-1-firefoxinstaller.exe Task: {7A777AA2-8CBB-4848-B81C-2CCF02406E8B} - System32\Tasks\EPUpdater => C:\Users\Myszka\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-08-04] () Task: {90BF8550-365B-4792-9348-EE6E37E65AB6} - \AdobeFlashPlayerUpdate No Task File Task: {AA8158DA-D600-46C1-B046-015432F0E3F4} - System32\Tasks\e-pity2012_styczen => C:\Program Files\e-file\e-pity2012\signxml.exe Task: {B30E3A21-0A82-46BF-B976-02D5ED8043F2} - \AdobeFlashPlayerUpdate 2 No Task File Task: {ED9044CC-8193-47E6-85E5-DBEA391C8AF4} - System32\Tasks\temp_a2zLyrics-1-enabler => C:\Users\Myszka\AppData\Local\Temp\nsrF733.tmp\a2zLyrics-1-enabler.exe Task: {F391A995-EEBC-4E67-AE30-3EC0B9424D32} - System32\Tasks\e-pity2012_kwiecien => C:\Program Files\e-file\e-pity2012\signxml.exe Task: {F64824B4-ADC6-4B2A-99F3-9BB073D85BBB} - System32\Tasks\a2zLyrics-1-codedownloader => C:\Program Files\a2zLyrics-1\a2zLyrics-1-codedownloader.exe HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=41460&tid=3192&st=bs&q= HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dosearches.com/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=hp&from=cor&uid=HitachiXHTS541612J9SA00_SB2504H6JGDMDUJGDMDUX&ts=1384108367 HKCU\Software\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=41460&st=home&tid=3192 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=41460&tid=3192&st=bs&q= HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=41460&tid=3192&st=bs&q= HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dosearches.com/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=hp&from=cor&uid=HitachiXHTS541612J9SA00_SB2504H6JGDMDUJGDMDUX&ts=1384108367 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1388687266&from=wpm0102&uid=HitachiXHTS541612J9SA00_SB2504H6JGDMDUJGDMDUX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dosearches.com/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=hp&from=cor&uid=HitachiXHTS541612J9SA00_SB2504H6JGDMDUJGDMDUX&ts=1384108367 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dosearches.com/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=hp&from=cor&uid=HitachiXHTS541612J9SA00_SB2504H6JGDMDUJGDMDUX&ts=1384108367 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1388687266&from=wpm0102&uid=HitachiXHTS541612J9SA00_SB2504H6JGDMDUJGDMDUX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=41460&st=home&tid=3192 HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=41460&tid=3192&st=bs&q= URLSearchHook: HKCU - (No Name) - {687578b9-7132-4a7a-80e4-30ee31099e03} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.dosearches.com/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=sc&from=cor&uid=HitachiXHTS541612J9SA00_SB2504H6JGDMDUJGDMDUX&ts=1384108367 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1388687266&from=wpm0102&uid=HitachiXHTS541612J9SA00_SB2504H6JGDMDUJGDMDUX&q={searchTerms} SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.certified-toolbar.com?si=41460&st=bs&tid=3192&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1388687266&from=wpm0102&uid=HitachiXHTS541612J9SA00_SB2504H6JGDMDUJGDMDUX&q={searchTerms} SearchScopes: HKLM - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=0A09001B77DD8F5B&affID=119357&tsp=5021 SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://startsear.ch/?aff=1&src=sp&cf=9fbf9679-256b-11e1-b99c-0016d3ea2c06&q={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=0A09001B77DD8F5B&affID=119357&tsp=5021 SearchScopes: HKCU - {29C52667-3732-4BDB-BC79-6B76F74B94BD} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=YYYYYYYYPL&apn_uid=E3183166-1365-4633-BEB6-66B2DF75D33B&apn_sauid=E10C82B8-E20E-48DC-952A-56D44A06857F SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1388687266&from=wpm0102&uid=HitachiXHTS541612J9SA00_SB2504H6JGDMDUJGDMDUX&q={searchTerms} SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://www.claro-search.com/?q={searchTerms}&affID=117423&tt=5112_7&babsrc=SP_ss&mntrId=0a0919f1000000000000001b77dd8f5b SearchScopes: HKCU - {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/mb203?a=6R8vmOCu38&search={searchTerms}&i=26 BHO: No Name - {000F18F2-09EB-4A59-82B2-5AE4184C39C3} - No File BHO: Web Assistant - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\Web Assistant\Extension32.dll () BHO: Incredibar.com Helper Object - {6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} - C:\Program Files\Incredibar.com\incredibar\1.5.11.14\bh\incredibar.dll (Montera Technologeis LTD) BHO: IE5BarLauncherBHO Class - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files\vShare.tv plugin\BarLcher.dll (VShare Inc.) BHO: RightSurf - {88be1aa9-6740-461c-9e3e-f35eb8fa741c} - C:\Program Files\RightSurf\RightSurfbho.dll (RightSurf) Toolbar: HKLM - VShareToolBar - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\vShare.tv plugin\BarLcher.dll (VShare Inc.) Toolbar: HKLM - Incredibar Toolbar - {F9639E4A-801B-4843-AEE3-03D9DA199E77} - C:\Program Files\Incredibar.com\incredibar\1.5.11.14\incredibarTlbr.dll (Montera Technologeis LTD) Toolbar: HKLM - No Name - {9E131A93-EED7-4BEB-B015-A0ADB30B5646} - No File Toolbar: HKCU - No Name - {687578B9-7132-4A7A-80E4-30EE31099E03} - No File FF Plugin ProgramFiles/Appdata: C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll (vShare.tv ) FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\babylon.xml FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\delta-homes.xml FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\dosearches.xml FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\Web Search.xml FF HKLM\...\Firefox\Extensions: [{336D0C35-8A85-403a-B9D2-65C292C39087}] - C:\Program Files\Web Assistant\Firefox FF HKLM\...\Firefox\Extensions: [{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}] - C:\Program Files\Web Assistant\Firefox FF StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe http://www.delta-homes.com/?type=sc&ts=1388687266&from=wpm0102&uid=HitachiXHTS541612J9SA00_SB2504H6JGDMDUJGDMDUX S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [x] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [x] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [x] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [x] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x] C:\ProgramData\eSafe C:\Users\Myszka\.android C:\Users\Myszka\daemonprocess.txt C:\Users\Myszka\AppData\Local\cache C:\Users\Myszka\AppData\Local\genienext C:\Users\Myszka\AppData\Local\Google\Chrome C:\Users\Myszka\AppData\Local\Mobogenie C:\Users\Myszka\AppData\Local\Temp\_MEI24882 C:\Users\Myszka\AppData\Roaming\BabSolution C:\Users\Myszka\AppData\Roaming\Babylon C:\Users\Myszka\AppData\Roaming\dosearches C:\Users\Myszka\AppData\Roaming\File Scout C:\Users\Myszka\AppData\Roaming\newnext.me C:\Users\Myszka\AppData\Roaming\OpenCandy C:\Users\Myszka\AppData\Roaming\pwo6 C:\Users\Myszka\AppData\Roaming\systweak C:\Users\Myszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\Myszka\Documents\Mobogenie C:\Users\Myszka\Downloads\Farbar Recovery Scan Tool.exe C:\Users\Myszka\Downloads\FRST.* C:\Windows\system32\log Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST na Pulpicie. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania (nie przez Your Uninstaller i podobne) odinstaluj adware: Delta Chrome Toolbar, dosearches Browser Protecter, Incredibar Toolbar on IE and Chrome, McAfee Security Scan Plus, RightSurf, Qtrax Player (dwie pozycje), vShare.tv plugin 1.3, VshareComplete, Web Assistant 2.0.0.573. Pozbądź się też tego zarabiacza eRclient. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 4. Uruchom AdwCleaner. Chodzi o najnowszą wersję pobraną z oficjalnego linka. Już program używałaś, ale wątpię czy najnowszą wersję. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy skan FRST, zaznacz ponownie pole Addition, by powstały ponownie dwa logi. Dołącz plik fixlog.txt i log z AdwCleaner. .

- Skoro pobrany na innym kompoterze to np. poprzez pendrive go przenieś na ten komputer. - Ponadto, nie wiem z poziomu jakiej przeglądarki była próba, ale są w systemie dwie (Internet Explorer i Firefox), więc można spróbować tej która nie była wcześniej używana. Ja muszę otrzymać logi z najnowszej wersji FRST. I nie szukaj innych źródeł pobierania. Jedyny oficjalny download to strona, którą podałam. Wszystkie inne źródła nie mają akceptacji autora i są tam przeważnie stare wersje. .

Ale opisz dokładnie o co chodzi, jaki powód że go nie możesz pobrać, co widzisz?

Co było pobierane / instalowane tuż przed wystąpieniem objawów? Jest to zadziwiające, że dziś jest plaga i zastanawiam się mocno gdzie jest źródło. Oprócz tej infekcji, w systemie jest też zainstalowane adware. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: () C:\Users\Aleksandra\pwo5\svchost.exe () C:\Users\Aleksandra\AppData\Local\Temp\_MEI33322\bin\winlogon.exe (Simplygen) C:\Program Files (x86)\Protected Search\ProtectedSearch.exe C:\Users\Aleksandra\pwo5 C:\Users\Aleksandra\AppData\Local\Temp\_MEI33322 C:\Program Files (x86)\AVG-AntiVirus-Free-Edition(13206).exe HKLM\...\Run: [] - [x] HKCU\...\Run: [pwo5] - C:\Users\Aleksandra\pwo5\svchost.exe [7691285 2013-08-24] () HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q= HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.certified-toolbar.com?si=41460&home=true&tid=2937 HKCU\Software\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=41460&home=true&tid=2937 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q= HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q= HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q= HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q= HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=41460&home=true&tid=2937 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q= SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - DefaultScope {DADA8261-F308-45D0-B44D-A7C56054184E} URL = http://search.certified-toolbar.com?si=41460&bs=true&tid=2937&q={searchTerms} SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.certified-toolbar.com?si=41460&bs=true&tid=2937&q={searchTerms} SearchScopes: HKLM-x32 - {DADA8261-F308-45D0-B44D-A7C56054184E} URL = http://search.certified-toolbar.com?si=41460&bs=true&tid=2937&q={searchTerms} SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.certified-toolbar.com?si=41460&bs=true&tid=2937&q={searchTerms} Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\Web Search.xml Task: {AC0B81C6-70DB-4C2A-93AD-2530DBDF1EFF} - System32\Tasks\ProtectedSearch\Protected Search => C:\Program Files (x86)\Protected Search\ProtectedSearch.exe [2012-10-11] (Simplygen) S3 Lanillat; Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f CMD: netsh advfirewall reset CMD: for /d %f in (C:\Users\Aleksandra\AppData\Local\{*}) do rd /s /q "%f" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware DownTango, Protected Search 1.1. 3. Wyczyść Google Chrome z adware: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy Web Search. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Marzena30, ale przecież to potwornie stary FRST nie mający wielu detekcji i poprawek: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 08-09-2013 (ATTENTION: ====> FRST version is 137 days old and could be outdated) Ja podałam link do przyklejonego, gdzie jest dostępna najnowsza wersja: KLIK. Proszę pobrać ponownie, uruchomić program, zaznaczyć pole Addition, by powstały logi i podać oba logi. I mój Boże, dlaczego (podałam link do strony domowej i jedynego oficjalnego linka pobierania) pobrałaś z jakiegoś portalu ten plik: C:\Users\Myszka\Desktop\Farbar Recovery Scan Tool_isdmgr.exe To nie jest FRST! To portalowy "Asystent pobierania" ładujący adware! Proszę przeczytaj o co chodzi z portalami i "Asystentami": KLIK. I skutki takich działań w systemie są. Prócz tego, że jest ta tytułowa infekcja, jest kupa adware. Będę to wszystko usuwać, ale potrzebuję logi z najnowszej wersji. .

Dzięki, już zgłaszam. Te wpisy należy zignorować. AdwCleaner próbuje usuwać rzeczy poprawne, to są klucze ATI, stąd ich usunięcie przez AdwCleaner skutkuje błędami ATI. Co do AdwCleaner: - Mnie chodziło o co innego. Ja punktuję że zajmowanie się teraz antywirusami, skanerami czyszczącymi jest rzeczą podrzędną i nie rozwiąże tu bieżących problemów. Obecnie problemem nadrzędnym jest dysk. - W kwestii AdwCleaner: to nie jest taki skaner jak CCleaner. Podstawowa zasada jest taka, by najpierw odinstalować program adware przez Dodaj/Usuń i z przeglądarek, dopiero po tym poprawia się AdwCleaner, nie należy go używać jako zastępstwo dla naturalnych deinstalacji. Ponadto, trzeba uważać co on usuwa, bo jak widać może się niestety mylić. .

Zgłoszę to autorowi AdwCleaner, ale potrzebuję precyzyjny wyciąg co jest w tych kluczach, by mieć mocne dowody. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /s Reg: reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536 /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynkowy fixlog.txt. PS. zdzicha, ale dlaczego Ty w kółko stosujesz ten AdwCleaner, gdy już było zaznaczone, że rzecz przerasta temat takich drobnych akcji? .

Cóż to za plaga dzisiaj, skąd Wy to łapiecie. I co ciekawe, wszyscy macie ESET, czy przypadkiem jakiś crack do ESET nie był ładowany? U Ciebie, prócz tej infekcji, jest także adware. Wykonaj następujące instrukcje: 1. Otwórz Notatnik i wklej w nim: () C:\Users\Jessi\AppData\Roaming\pwo6\svchost.exe () C:\Users\Jessi\AppData\Local\Temp\_MEI28082\bin\winlogon.exe HKLM-x32\...\Run: [] - [x] HKCU\...\Run: [pwo6] - C:\Users\Jessi\AppData\Roaming\pwo6\svchost.exe [7321472 2014-01-08] () BHO-x32: PassShow - {2d661e5b-7d7a-417c-b5b5-6479017bb314} - C:\Program Files (x86)\PassShow\150.dll () Task: {DC53E1C2-23EA-4FF6-90AA-6A88B552226D} - System32\Tasks\PassShow Update => C:\Program Files (x86)\PassShow\PsUP.exe [2014-01-06] () Task: C:\Windows\Tasks\PassShow Update.job => C:\Program Files (x86)\PassShow\PsUP.exe C:\Windows\System32\Tasks\{9D689C75-3D9F-448E-B2C1-B61E429F0D3B} C:\Users\Jessi\.android C:\Users\Jessi\daemonprocess.txt C:\Users\Jessi\AppData\Local\cache C:\Users\Jessi\AppData\Local\Temp\_MEI28082 C:\Users\Jessi\AppData\Roaming\pwo6 C:\Users\Jessi\AppData\Roaming\Smart PC Solutions Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware PassShow. 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. Ponadto, tu już był używany AdwCleaner, więc proszę o dostarczenie raportów utworzonych w katalogu C:\AdwCleaner. .

Avast wykrył zagrożenia w lokalizacjach tymczasowych (Temp i Temporary Internet Files). 1. Drobne poprawki na szczątki Avast. W Google Chrome > karta Rozszerzenia > odinstaluj szczątek avast! Online Security. Otwórz Notatnik i wklej w nim: BHO: avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll No File Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll No File C:\Users\ROX\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki C:\ProgramData\AVAST Software Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. W Opcjach internetowych przeprowadź czyszczenie plików tymczasowych. Zastosuj także TFC - Temp Cleaner. .

Poprawki na odpadki. Otwórz Notatnik i wklej w nim: BHO-x32: No Name - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - No File C:\ProgramData\dc07068979db453a C:\Users\Tadek\AppData\Local\Google Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Operę i tak należy zaktualizować. .

Nie przeczytałeś zasad działu: KLIK. Tu jest zakaz podpinania się. Temat wydzielony. Raport OTL niekompletny, brak pliku Extras (opcja "Rejestr - skan dodatkowy" nie została zaznaczona). Ale już to zostaw. Przechodząc do usuwania infekcji: 1. Otwórz Notatnik i wklej w nim: () C:\Users\Kasia\AppData\Roaming\pwo6\svchost.exe () C:\Users\Kasia\AppData\Local\Temp\_MEI29562\bin\winlogon.exe () C:\Users\Kasia\AppData\Local\Temp\_MEI29562\bin\explorer.exe HKCU\...\Run: [pwo6] - C:\Users\Kasia\AppData\Roaming\pwo6\svchost.exe [7321472 2014-01-08] () StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe C:\Users\Kasia\AppData\Roaming\pwo6 C:\Users\Kasia\AppData\Local\Temp\_MEI29562 C:\Program Files (x86)\McAfee Security Scan C:\ProgramData\McAfee Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .