picasso

Brak tu oznak infekcji. Wyjaśnij o co Ci w ogóle chodzi. Żle odczytujesz skan. Nie, tu nie ma infekcji pliku rpcss.dll. Czy poniższa usługa także należy do zestawu? S3 RmcSvc; C:\Windows\System32\rmc.exe [74328 2011-07-07] () .

mate W ogóle nie przeczytane zasady działu: KLIK. Tu jest zakaz podpinania się. Temat wydzielony: KLIK. I proszę uzupełnić raporty, OTL niekompletny (brak pliku Extras). JusticePL Nie. Ale mnie zastanawia co to za dziwaczny plik i lepiej to usuń: 2014-01-12 17:04 - 2014-01-12 17:04 - 05092888 _____ (KL ) C:\Users\Wojciech\Desktop\Documents\Kodek rmvb.exe Infekcja usunięta, możesz zakończyć sprawy: 1. Przez SHIFT+DEL skasuj FRST i folder C:\FRST, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. .

Jest tu mnóstwo instalacji adware, szczątki Mobogenie to ledwie część. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: (Cherished Technololgy LIMITED) C:\Documents and Settings\All Users\Dane aplikacji\WPM\wprotectmanager.exe S2 savesenselive; C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe [146920 2014-01-08] (SaveSense) S3 savesenselivem; C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe [146920 2014-01-08] (SaveSense) R2 Wpm; C:\Documents and Settings\All Users\Dane aplikacji\WPM\wprotectmanager.exe [499856 2013-12-28] (Cherished Technololgy LIMITED) S3 cpuz134; \??\C:\DOCUME~1\BIW~1\USTAWI~1\Temp\cpuz134\cpuz134_x32.sys [x] S1 iSafeNetFilter; \??\C:\Program Files\iSafe\iSafeNetFilter.sys [x] HKLM\...\Run: [mobilegeni daemon] - C:\Program Files\Mobogenie\DaemonProcess.exe [761024 2013-12-13] () HKCU\...\Run: [NextLive] - C:\Documents and Settings\B i W\Dane aplikacji\newnext.me\nengine.dll [1283584 2013-11-14] (NewNextDotMe) HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aartemis.com/web/?type=ds&ts=1388255324&from=cor&uid=ST3320620AS_5QF1HJQYXXXX5QF1HJQY&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.aartemis.com/web/?type=ds&ts=1388255324&from=cor&uid=ST3320620AS_5QF1HJQYXXXX5QF1HJQY&q={searchTerms} SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1388255324&from=cor&uid=ST3320620AS_5QF1HJQYXXXX5QF1HJQY&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1388255324&from=cor&uid=ST3320620AS_5QF1HJQYXXXX5QF1HJQY&q={searchTerms} BHO: SaveSense - {0f21b1e5-5afc-43c9-9c66-515046e92ec2} - C:\Program Files\SaveSense\SaveSenseIE.dll (SaveSense) BHO: PassShow - {2d661e5b-7d7a-417c-b5b5-6479017bb314} - C:\Program Files\PassShow\150.dll () BHO: Jump Flip - {6db9fdfe-b718-4962-be0c-0a5fce7f7f7b} - C:\Program Files\Jump Flip\JumpFlipbho.dll (Jump Flip) BHO: YoutubeAdblocker - {74119357-A72D-1112-15AD-129F099A3ADB} - C:\Program Files\YoutubeAdblocker\j.dll () BHO: Grreuatsaverr - {9A165E81-6F01-6C71-E1B5-2ED510A47DFD} - C:\Program Files\Grreuatsaverr\fmp.dll () CHR HKLM\...\Chrome\Extension: [dhogjnnleghndloamdkljhnhdchpcijl] - C:\Program Files\PassShow\150.crx [2014-01-06] CHR HKLM\...\Chrome\Extension: [hphehadppenpmajgnkjdcopcfijjegaf] - C:\Program Files\Jump Flip\hphehadppenpmajgnkjdcopcfijjegaf.crx [2013-12-27] CHR HKLM\...\Chrome\Extension: [khcceooakamlehbimaepcldnnlnkcmfk] - C:\Program Files\SaveSense\SaveSense.crx [2014-01-08] Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\BIW~1\DANEAP~1\SAVESE~1\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\PassShow Update.job => C:\Program Files\PassShow\PsUP.exe Task: C:\WINDOWS\Tasks\SaveSenseLiveUpdateTaskMachineCore.job => C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe Task: C:\WINDOWS\Tasks\SaveSenseLiveUpdateTaskMachineUA.job => C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe C:\Documents and Settings\All Users\Dane aplikacji\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} C:\Documents and Settings\All Users\Dane aplikacji\25c5f3be9b940965 C:\Documents and Settings\All Users\Dane aplikacji\AVG C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\B i W\.android C:\Documents and Settings\B i W\daemonprocess.txt C:\Documents and Settings\B i W\Dane aplikacji\aartemis C:\Documents and Settings\B i W\Dane aplikacji\AVG C:\Documents and Settings\B i W\Dane aplikacji\eCyber C:\Documents and Settings\B i W\Dane aplikacji\iSafe C:\Documents and Settings\B i W\Dane aplikacji\newnext.me C:\Documents and Settings\B i W\Dane aplikacji\OpenCandy C:\Documents and Settings\B i W\Ustawienia lokalne\Dane aplikacji\cache C:\Documents and Settings\B i W\Ustawienia lokalne\Dane aplikacji\Comodo C:\Documents and Settings\B i W\Ustawienia lokalne\Dane aplikacji\genienext C:\Documents and Settings\B i W\Ustawienia lokalne\Dane aplikacji\Mobogenie C:\Documents and Settings\B i W\Ustawienia lokalne\Dane aplikacji\Torch C:\Documents and Settings\B i W\Ustawienia lokalne\Temp\*.exe C:\Documents and Settings\NetworkService\Ustawienia lokalne\Temp\*.exe C:\Documents and Settings\Administrator C:\Documents and Settings\Gość C:\Documents and Settings\Pomocnik C:\Documents and Settings\SUPPORT_388945a0 C:\Program Files\Mobogenie C:\Program Files\MyPC Backup Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Aff Packages" /s Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Media Player Codec Pack Packages" /s Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj: Aff Packages, Grreuatsaverr, Jump Flip, Media Player Codec Pack Packages, PassShow, SaveSense (dwie pozycje), WPM17.8.0.3159, YoutubeAdblocker. 3. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Jump Flip, gReaaTsaver, PassShow, SaveSense, YoutubeAdblocker Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy niedomylne śmieci (o ile będą). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

W systemie działa BitCoin Miner, a błąd stąd, iż zapewne antywirus nieco naruszył zestaw infekcji. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: () C:\Users\Wojciech\AppData\Roaming\pwo6\svchost.exe () C:\Users\Wojciech\AppData\Local\Temp\_MEI21042\bin\winlogon.exe HKCU\...\Run: [pwo6] - C:\Users\Wojciech\AppData\Roaming\pwo6\svchost.exe [7321417 2013-10-10] () C:\Users\Wojciech\AppData\Local\Temp\_MEI21042 C:\Users\Wojciech\AppData\Roaming\pwo6 CMD: sc config "PLAY ONLINE. RunOuc" start= demand Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

Zasady działu nie doczytane. Obowiązkowymi raportami jest także FRST. Dołącz.

Temat przenoszę do działu Windows. Tu nie ma kwestii infekcji. To nie wirusy tylko adware. Do analizy ten materiał: KLIK. Skoro użyłeś AdwCleaner, to zaprezentuj co o w ogóle robił, czyli przedstaw logi zlokalizowane w folderze C:\AdwCleaner. I niedokładnie adware zostało wyczyszczone. Poprawki w spoilerze (usunięcie szczątków adware i innych pustych lub zdefektowanych wpisów): Te poprawki nie powinny mieć żadnego związku z: Z dostarczonych raportów nic konkretnego nie wynika pod tym kątem. Wolna praca komputera: może Avast, może procesy Toshiba... Ale mam inne uwagi: 1. Niemniej, tu jest usterka, prezentuje ją OTL (FRST niestety celowo ukrywa te wyniki, by "nie straszyć" mało zaawansowanych analizujących): Ten odczyt oznacza, że jest naruszony klucz folderów powłoki. Zrobiłeś mi uprzejmość i już podałeś skan SystemLook pod tym kątem. Brakuje wartości Startup, stąd problem. To już koryguję w skrypcie FRST podanym w spoilerze. 2. W Dzienniku zdarzeń są następujące błędy: System errors: ============= Error: (01/20/2014 09:16:33 PM) (Source: Service Control Manager) (User: ) Description: Usługa HP Network Devices Support zawiesiła się podczas uruchamiania. Error: (01/20/2014 09:11:59 PM) (Source: Service Control Manager) (User: ) Description: Nie można uruchomić usługi MATLAB Server z powodu następującego błędu: %%2 Error: (01/20/2014 09:11:59 PM) (Source: Service Control Manager) (User: ) Description: Nie można uruchomić usługi Kmm4xNT z powodu następującego błędu: %%1275 Error: (01/20/2014 09:11:59 PM) (Source: Application Popup) (User: ) Description: Ładowanie sterownika \SystemRoot\SysWow64\Drivers\Kmm4xNT.SYS zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. Error: (01/20/2014 09:11:59 PM) (Source: Service Control Manager) (User: ) Description: Nie można uruchomić usługi IOPort z powodu następującego błędu: %%2 Error: (01/20/2014 09:11:57 PM) (Source: Service Control Manager) (User: ) Description: Nie można uruchomić usługi TVicPort z powodu następującego błędu: %%1275 Error: (01/20/2014 09:11:57 PM) (Source: Application Popup) (User: ) Description: Ładowanie sterownika \SystemRoot\SysWow64\Drivers\TVicPort.SYS zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. Błędy uruchomienia usług IOPort, Kmm4xNT, MATLAB Server i TVicPort już koryguję za pomocą skryptu FRST, usuwając po prostu te odpadkowe lub niezgodne z systemem obiekty. Natomiast zawieszanie HP Network Devices Support to inna sprawa: czy ten błąd w Dzienniku zdarzeń się powtarza? 3. System kompletnie nieaktualizowany, brak SP1 + IE11 + reszty łat. Tu należy się zabrać za uzupełnienie wszystkiego z Windows Update. Windows 7 Home Premium (X64) OS Language: Polish Internet Explorer Version 8 4. Używasz przestarzałej przeglądarki Safari dla Windows. Przeglądarka wymarła i nieaktualizowana: KLIK. .

Oczywiście. Popatrz co jest w moim poście, a co w pliku fixlog.txt! Wszystkie linie sklejone, nic nie wykonane. Powtarzaj zadanie: skrypt wklejony do Notatnika musi mieć identyczną formę i przejścia do nowej linii jak w moim poście. Powtarzaj zadanie, jeśli po wklejeniu do Notatnika źle to będzie wyglądać, ręcznie skoryguj przejścia do nowej linii za pomocą ENTER. .

IOBit Malware Fighter kiepsko się odinstalował (właściwie wcale), on nadal działa w procesach. AdwCleaner znalazł m.in. to co już miało być przetworzone skryptem do FRST, ale ze względu na bug FRST nie zeszło. Kolejna poprawka, która również zaadresuje te drobnostki wykryte przez AdwCleaner: 1. Pobierz najnowszą wersję FRST. Otwórz Notatnik i wklej w nim: (IObit) C:\Program Files\IObit\IObit Malware Fighter\IMFsrv.exe R2 IMFservice; C:\Program Files\IObit\IObit Malware Fighter\IMFsrv.exe [341824 2013-11-11] (IObit) S4 LiveUpdateSvc; C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe [2151200 2013-10-25] (IObit) S4 FileMonitor; C:\Program Files\IObit\IObit Malware Fighter\Drivers\wlh_x86\FileMonitor.sys [21480 2013-03-23] (IObit) S3 RegFilter; C:\Program Files\IObit\IObit Malware Fighter\drivers\wlh_x86\regfilter.sys [32288 2013-11-19] (IObit.com) C:\Program Files\IObit\IObit Malware Fighter C:\Program Files\IObit\LiveUpdate C:\Users\Tommy\AppData\Local\Google\Chrome\User Data\Default\Extensions\cekcjpgehmohobmdiikfnopibipmgnml Reg: reg delete HKCU\Software\Mozilla\Firefox\Extensions /v eliteproxyswitcher@my-proxy.com /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /v bProtectTabs /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Odinstaluj jeszcze Driver Booster od IOBit. 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowy log FRST, zaznacz ponownie, by powstał plik Addition. Dostarcz fixlog.txt. .

Rawek, proszę nie podbijaj tematu. Zasady działu wyraźnie mówią, że należy czekać cierpliwie na odpowiedź, która pojawia się gdy mam czas, by solidnie temat zanalizować i wiem co powiedzieć. Nie mogę robić tematów na odwal się, udzielać byle jakiej odpowiedzi byle coś powiedzieć i stworzyć fałszywe wrażenie "szybkiego rozwiązywania". Był uruchomiony GMER. Prawdopodobnie został zdegradowany transfer dysku z DMA do PIO. Wykonaj instrukcje z ustępu Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Obawiam się, że został zmodyfikowany przez infekcję któryś plik Windows. Na razie z tego co widzę, to: odinstalowują się poprawnie tylko programy, które mają na dysku deinstalator, a wiewióra pojawia się przy programach mających zdefektowany deinstalator. Wstępnie: 1. uTorrent Packages i VIS zostały naruszone przeze mnie, bo usunęłam dwa foldery nie wiedząc, że w nich są deinstalatory tych aplikacji. Toteż przywróć foldery z kwarantanny i spróbuj odinstalować oba programy w normalny sposób. Wygrzeb te dwa foldery: C:\FRST\Quarantine\0F1F1C2Y1H1P1C0I0T C:\FRST\Quarantine\Windows Net Data W eksploratorze Windows w pasku adresów wklej poniższą ścieżkę i ENTER: C:\Documents and Settings\Zurawski\Dane aplikacji Wstaw tam oba foldery z kwarantanny FRST. Po tym ponów próbę deinstalacji tych dwóch programów. 2. Następnie usuń wszystkie kwarantanny, by programy skanujące nie wykrywały rzeczy już usuniętych, tzn. przez SHIFT+DEL (omija Kosz) skasuj foldery: C:\AdwCleaner C:\FRST\Quarantine C:\Documents and Settings\Zurawski\Pulpit\Stare dane programu Firefox Odinstaluj też w poprawny sposób ComboFix, w Start > Uruchom > wklej komendę: "C:\Documents and Settings\Zurawski\Pulpit\ComboFix.exe" /uninstall 3. Po kolei zrób pełne skanowanie za pomocą programów: Malwarebytes Anti-Malware, Kaspersky Virus Removal Tool. Domyślnie Kaspersky prowadzi skan ekspresowy, więc w konfiguracji skanera zmień to na skan wszystkiego. Jeśli któryś program coś wykryje, przedstaw raporty. Wyniki Kasperskiego: interesują mnie tylko wykryte zagrożenia, a nie inne typy wyników (np. typu "OK"), byś mi przypadkiem nie chciał podawać ogromnego raportu z wszystkim jak leci. .

Wszystko pomyślnie wykonane. Możemy kończyć: 1. Przez SHIFT+DEL skasuj FRST oraz folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Adobe Flash Player i Adobe Reader: KLIK. Wersje widziane obecnie jako zainstalowane: ==================== Installed Programs ====================== Adobe Flash Player 11 ActiveX (x32 Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 11 Plugin (x32 Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla Firefox Adobe Reader X (10.1.6) MUI (x32 Version: 10.1.6 - Adobe Systems Incorporated) .

tamir, w związku z brakiem danych gdzie to zagrożenie zostało wykryte, nie jestem w stanie nic powiedzieć na jego temat, ani ocenić czy to było warte zachodu / nerwów (nie jest wykluczony przecież fałszywy alarm). Nazwa jest niewystarczająca do oceny. Aczkolwiek są tu podejrzenia co mogło być wykryte (patrz niżej). I jedna uwaga: używałeś SpyHunter Enigmy, program wątpliwej reputacji, stosuje typowe techniki naciągaczy (zainstaluj > pokażemy Ci wyniki > płać). W systemie jest zainstalowane adware. Ogólnie śmietnik w przeglądarkach (wszystkich), które na dodatek są w starych wersjach. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: Task: {113D8EA0-37EC-465A-9B76-8B8B33D977B4} - System32\Tasks\{413C6A7D-F657-4A15-9960-E420264401E9} => G:\Winamp Pro\RAR instaler\Winamp Pro v5.571 Multilingual Incl. Keymaker-CORE\keygen.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{0E665E24-A715-43A9-B571-9AD8A7BD0BF1}.exe Task: C:\Windows\Tasks\EPUpdater.job => C:\Users\Tadek\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe Task: C:\Windows\Tasks\ROC_JAN2013_TB_rmv.job => C:\Program Files (x86)\AVG Secure Search\PostInstall\ROC.exe HKCU\...\Policies\Explorer: [] HKU\UpdatusUser\...\Run: [ROC_JAN2013_TB] - C:\Program Files (x86)\AVG Secure Search\ROC_JAN2013_TB.exe [1177168 2013-01-30] () HKU\UpdatusUser\...\Run: [AVG-Secure-Search-Update_JUNE2013_TB] - C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_TB.exe [1266712 2013-05-31] (AVG Secure Search) HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-search.com/?affID=119816&tt=gc_&babsrc=HP_ss&mntrId=A05EBC5FF405A41C HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.meotinhoc.com/ HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.delta-search.com/?affID=119816&tt=gc_&babsrc=HP_ss&mntrId=A05EBC5FF405A41C URLSearchHook: HKLM-x32 - Winamp Toolbar Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM-x32 - DefaultScope {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120518155740569&tb_oid=18-05-2012&tb_mrud=18-05-2012 SearchScopes: HKLM-x32 - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120518155740569&tb_oid=18-05-2012&tb_mrud=18-05-2012 SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119816&tt=gc_&babsrc=SP_ss&mntrId=A05EBC5FF405A41C SearchScopes: HKCU - {73BB86FB-65C8-4AE1-955B-1EB4CFF1D74D} URL = http://www.portableall.com SearchScopes: HKCU - {90FDFFE2-6E23-4CC1-9F07-87C1B3A3BCA2} URL = http://www.meotinhoc.com SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={648E05E8-38CD-425D-BE58-1C64A73690CD}&mid=543fe47b4a1c47d09add6d16b2e14def-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=pl&ds=bm012&pr=sa&d=2013-01-01 12:26:32&v=15.2.0.5&pid=avg&sg=0&sap=dsp&q={searchTerms} SearchScopes: HKCU - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120518155740569&tb_oid=18-05-2012&tb_mrud=18-05-2012 BHO: Surf anD keeep - {14920DE8-13E4-3A83-3ECF-B6FF12618204} - C:\Program Files (x86)\Surf anD keeep\K0n9oD.x64.dll () BHO: YoutubeAdblocker - {445AA0E9-2A5A-6AAF-2085-B28A2DF9AC21} - C:\Program Files (x86)\YoutubeAdblocker\SyOHxLTuC.x64.dll () BHO-x32: Surf anD keeep - {14920DE8-13E4-3A83-3ECF-B6FF12618204} - C:\Program Files (x86)\Surf anD keeep\K0n9oD.dll () BHO-x32: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll No File BHO-x32: YoutubeAdblocker - {445AA0E9-2A5A-6AAF-2085-B28A2DF9AC21} - C:\Program Files (x86)\YoutubeAdblocker\SyOHxLTuC.dll () Toolbar: HKLM-x32 - Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=3 - C:\Program Files (x86)\Google\Update\1.3.21.115\npGoogleUpdate3.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=9 - C:\Program Files (x86)\Google\Update\1.3.21.115\npGoogleUpdate3.dll No File C:\Program Files\Enigma Software Group C:\Users\Tadek\AppData\Roaming\BabSolution C:\Users\Tadek\AppData\Roaming\Babylon C:\Users\Tadek\AppData\Roaming\Delta C:\Users\Tadek\AppData\Roaming\FileOpen C:\Users\Tadek\AppData\Roaming\NCdownloader C:\Users\Tadek\AppData\Roaming\OpenCandy C:\Users\Tadek\AppData\Roaming\Thinstall C:\Windows\72AAF4551E54475BB0AB5413C78D0E63.TMP Reg: reg delete HKCU\Software\Classes\.exe /f CMD: copy "C:\Users\Tadek\AppData\Local\Google\Chrome\User Data\Default\Preferences" C:\Users\Tadek\Desktop Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware: Download Updater (AOL LLC), SK.Enhancer, Surf anD keeep, YoutubeAdblocker. 3. Przeglądarki są stare, więc czyścić się nie opłaca. Należy je odinstalować (to hurtem usunie śmietnik adware w preferencjach), a następnie zamienić najnowszymi. Firefox: o ile potrzebne, za pomocą MozBackup skopiuj zakładki + hasła (i nic więcej, by nie zabrudzić nowej wersji). Następnie odinstaluj Firefox, przy pytaniu o usuwanie danych użytkownika potwierdź. Google Chrome: z poziomu opcji przeglądarki wyeksportuj zakładki. Następnie odinstaluj przeglądarkę, przy pytaniu o usuwanie danych osobistych potwierdź. Opera: najmniej istotna w zestawie, gdyż słabo się jej imają adware, ale też odinstaluj. Również należy odinstalować wszystkie sfatygowane produkty Adobe wtyczkujące przeglądarki: Adobe Flash Player 11 ActiveX, Adobe Flash Player 11 Plugin, Adobe Reader 6.0.1, Adobe Reader XI - Polish. Nie instaluj na razie nowych wersji, w pierwszej kolejności system musi być dokładnie wyczyszczony z szamba. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy skan FRST (bez Addition) + OTL (bez Extras). Dołącz plik fixlog.txt i log z AdwCleaner. Na Pulpicie powstał też plik Preferences, shostuj go gdzieś i podaj link do niego. .

Problem ze sweet-page powinien ustąpić. AdwCleaner leczył skróty LNK przeglądarek: ***** [ Skróty ] ***** Skrót Znaleziono : C:\Documents and Settings\Dell\Pulpit\RejentNET.lnk ( hxxp://www.sweet-page.com/?type=sc&ts=1389787695&from=cor&uid=WDCXWD2500JD-75HBB0_WD-WMAL72127766 ) Skrót Znaleziono : C:\Documents and Settings\Dell\Menu Start\Programy\Internet Explorer.lnk ( hxxp://www.sweet-page.com/?type=sc&ts=1389787695&from=cor&uid=WDCXWD2500JD-75HBB0_WD-WMAL72127766 ) Skrót Znaleziono : C:\Documents and Settings\Dell\Menu Start\Programy\Google Chrome\Google Chrome.lnk ( hxxp://www.sweet-page.com/?type=sc&ts=1389787695&from=cor&uid=WDCXWD2500JD-75HBB0_WD-WMAL72127766 ) Skrót Znaleziono : C:\Documents and Settings\Dell\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk ( hxxp://www.sweet-page.com/?type=sc&ts=1389787695&from=cor&uid=WDCXWD2500JD-75HBB0_WD-WMAL72127766 ) Skrót Znaleziono : C:\Documents and Settings\Dell\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk ( hxxp://www.sweet-page.com/?type=sc&ts=1389787695&from=cor&uid=WDCXWD2500JD-75HBB0_WD-WMAL72127766 ) Skrót Znaleziono : C:\Documents and Settings\Dell\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk ( hxxp://www.sweet-page.com/?type=sc&ts=1389787695&from=cor&uid=WDCXWD2500JD-75HBB0_WD-WMAL72127766 ) Brakuje pliku fixlog.txt, który powstał podczas przetwarzania skryptu. Na dodatek, ja widzę, że tu w ogóle nie ma śladów uruchomienia skryptu do FRST. Co Ty właściwie przeprowadziłaś w punkcie 1?! Plik Preferences miał kopiować skrypt do FRST. Plik nie powstał, bo nie wygląda na to, że skrypt był uruchomiony... I już się nie dowiem co było w nim wcześniej, bo zaszły zmiany w Google Chrome. Ale Google Chrome nadal nie wygląda dobrze. W związku z tym, że zaszły zmiany, poprzedni skrypt nie do końca aktualny. Kolejne podejście. Otwórz Notatnik i wklej w nim: HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gazeta.pl/0,0.html?sc=1 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://gazeta.pl/0,0.html?sc=1 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gazeta.pl/0,0.html?sc=1 HKLM\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKCU - {C8321615-F85B-4D79-9C16-5C8802853866} URL = http://szukaj.gazeta.pl/portalSearch.do?s.si(navigation).navigationEnabled=true&s.sm.query={searchTerms} S2 wfcs; C:\Program Files\Windows Firewall Control\wfcs.exe [x] C:\Documents and Settings\Dell\.android C:\Documents and Settings\Dell\daemonprocess.txt C:\Documents and Settings\Dell\Ustawienia lokalne\Dane aplikacji\cache Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{490A9E9B-DEEF-4A42-8A73-7AB5EAEABF77}" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{755668BE-AE1B-4159-8927-17FF4B1E8BD7}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: copy "C:\Documents and Settings\Dell\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences" "C:\Documents and Settings\Dell\Pulpit" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. Na Pulpicie ma powstać też Preferences. .

Czy problemy z powiadomieniami "URL Mal" ustały? Powinny, wszystko wykonane i nic więcej podejrzanego nie widzę. Finalizacja tematu: 1. Drobnostki. Otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SOFTWARE\MATS /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Po jego potwierdzeniu: 2. Przez SHIFT+DEL skasuj FRST oraz te foldery: C:\FRST C:\MATS C:\Users\Manikowscy\Desktop\Stare dane programu Firefox C:\Users\Manikowscy\Downloads\FRST-OlderVersion W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Odinstaluj starsze produkty Adobe i Java, zastąp najnowszymi wersjami (o ile potrzebne): KLIK. Chodzi o te programy na Twojej liście zainstalowanych: ==================== Installed Programs ====================== Adobe Flash Player 10 ActiveX (x32 Version: 10.3.183.10 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 11 Plugin (x32 Version: 11.9.900.117 - Adobe Systems Incorporated) ----> wtyczka dla Firefox Adobe Reader X MUI (x32 Version: 10.0.0 - Adobe Systems Incorporated) Java 7 Update 45 (64-bit) (Version: 7.0.450 - Oracle) Smart File Advisor 1.1.2 (x32 Version: 1.1.2 - Filefacts.net) Jeszcze mnie zastanowił zainstalowany Smart File Advisor 1.1.2. Czy to celowa instalacja? Jeśli nie, pozbądź się tego. .

W raportach brak oznak infekcji. Wyniki nasuwają raczej skojarzenia z fałszywym alarmem, a przynajmniej drukowanie pdf.bat, screensaver niejasny: Beginning disinfection: C:\Documents and Settings\All Users\Dokumenty\drukowanie pdf\drukowanie pdf.bat [DETECTION] Is the TR/Crypt.XPACK.Gen3 Trojan C:\Documents and Settings\All Users\Dokumenty\SharedDocs.scr [DETECTION] Is the TR/Crypt.XPACK.Gen3 Trojan Dziennik zdarzeń opowiada dokładnie co się działo na tym etapie, logowanie przy udziale profilu zastępczego, stąd inne środowisko pracy: Application errors: ================== Error: (01/20/2014 07:51:17 AM) (Source: Userenv) (User: ZARZĄDZANIE NT) Description: System Windows nie może znaleźć profilu lokalnego i loguje użytkownika przy użyciu profilu tymczasowego. Zmiany wprowadzone w tym profilu zostaną utracone po wylogowaniu. Error: (01/20/2014 07:50:44 AM) (Source: Userenv) (User: WESTO) Description: System Windows wykonał kopię zapasową profilu tego użytkownika. System Windows automatycznie spróbuje użyć profilu z kopii zapasowej przy następnym logowaniu tego użytkownika. Error: (01/20/2014 07:50:43 AM) (Source: Userenv) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować profilu przechowywanego lokalnie. Możliwym powodem tego błędu jest brak wystarczających praw zabezpieczeń lub uszkodzony profil lokalny. Jeśli ten problem będzie się powtarzać, skontaktuj się z administratorem sieci. SZCZEGÓŁY - Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces. Error: (01/20/2014 07:50:12 AM) (Source: Userenv) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować rejestru. Najczęstszą tego przyczyną jest za mało pamięci lub brak wystarczających praw zabezpieczeń. 1. System jest skatowany ilością aktywnych antywirusów. Działają w tle wspólnie: stary AVG 2011 oraz Avira. Przez Dodaj/Usuń programy odinstaluj AVG 2011, od razu też archaiczny Spybot - Search & Destroy. Następnie wejdź w Tryb awaryjny i popraw narzędziem firmowym AVG Remover. Na koniec poczęstuj się TFC - Temp Cleaner. 2. Również jest tu potężna modyfikacja pliku HOSTS zrobiona przez Spybota, która może mieć niekorzystny wpływ na pracę systemu (obciążenie usługi Klient DNS). Plik HOSTS przetwarza ponad 15 tysięcy rekordów! Zresetuj plik do postaci domyślnej narzędziem Fix-it: KB972034. 3. Na wszelki wypadek sprawdź też transfer dysku, gdyż był uruchamiany GMER. Do czytania Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. .

Wszystko pomyślnie wykonane. Jeszcze drobna naprawa brakującej ikony Centrum zabezpieczeń, o czym powiadamia log z FSS. Otwórz Notatnik i wklej w nim: Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A} /v AutoStart /t REG_SZ /d "" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Skrypt wykonany. Czynności końcowe już podałam. Temat rozwiązany. Zamykam. .

Zadania wykonane. Ale zanim podam kolejne czynności, jeszcze Cię poproszę o przesłanie mi kilku rzeczy z kwarantanny FRST do analizy. Skopiuj na Pulpit następujące obiekty: C:\FRST\Quarantine\Google\Chrome\User Data\Default\Preferences C:\FRST\Quarantine\pldlpfnpjijmiaechenliodplpgncdlc Spakuj do ZIP, shostuj gdzieś i podaj link do paczki. .

Skrypt został wykonany, zakładam, że resztę też już wdrożyłeś (zwłaszcza aktualizacje). 1. Przez SHIFT+DEL skasuj FRST i folder C:\FRST, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. .

Proszę nie pisz posta pod postem (skleiłam), gdy nikt jeszcze nie odpisał. Do uzupełniania wypowiedzi służy opcja Edytuj. A informacja jaki to system jest mi zbędna, to jest precyzyjnie podane w raporcie: Windows 8 (X64) OS Language: Polish Internet Explorer Version 10 A to może być nie powiązane wcale z adware. Przesadziłeś z antywirusami. Zgroza, tu są zainstalowane i wspólnie działają aż dwa potężne systemy: avast! Free Antivirus + McAfee Internet Security. Nigdy się nie łączy dwóch programów tego rodzaju wspólnie. Skutki uboczne: konflikty, spowolnienie pracy systemu, a nawet zablokowanie startu systemu. Nie podałeś w w czym (jaka ścieżka dostępu) Avast to widzi. Wg nazwy jest to element adware, ale nazwa jest ogólna i może oznaczać wiele rzeczy. Przed przejściem do dalszych działań proszę podać mi tę informację. Na razie w raportach widzę adware: YouTubeDownloaderConverter (GVU Technologies), który wg EULA na stronie domowej para się podmianą stron startowych, oraz drobne odpadki qvo6 / searchgol. Poza tym, od razu uwaga na temat Twojego postępowania, które przyciąga adware na komputer. Oto świeżo pobrany plik na dysku: C:\Users\ROX\Downloads\Trojan Remover 6.8.8.2623_isdmgr.exe. To nie jest poprawny prawdziwy instalator programu, tylko portalowy śmieć "Asystent pobierania", którego cel to zabrudzić system. Zanim przejdziesz dalej, proszę przeczytaj o portalach i "Asystentach": KLIK. Wstępnie do przeprowadzenia: 1. Przez Panel sterowania odinstaluj YouTubeDownloaderConverter oraz jeden z antywirusów. 2. Otwórz Notatnik i wklej w nim: HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=DE0E00A0C6000000&affID=125032&tsp=5034 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKCU - {CEEFDF2B-54F7-4843-88A5-AA3D2C9C70BD} URL = http://search.us.com/serp?guid={C843085E-147C-4EA7-BDB2-518884F2CA39}&action=default_search&serpv=5&k={searchTerms} BHO-x32: Rich Media Downloader - {A7DF592F-6E2A-45C4-9A87-4BD217D714ED} - C:\Users\ROX\AppData\Local\Rich Media Player\BrowserExtensions\IE\RichMediaDownloader.dll No File FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\qvo6.xml U3 massfilter; system32\drivers\massfilter.sys [x] U3 ZTEusbmdm6k; \SystemRoot\system32\DRIVERS\ZTEusbmdm6k.sys [x] U3 ZTEusbnet; \SystemRoot\system32\DRIVERS\ZTEusbnet.sys [x] U3 ZTEusbnmea; \SystemRoot\system32\DRIVERS\ZTEusbnmea.sys [x] U3 ZTEusbser6k; \SystemRoot\system32\DRIVERS\ZTEusbser6k.sys [x] C:\Users\ROX\AppData\Local\Temp\*.exe C:\Users\ROX\Downloads\Trojan Remover 6.8.8.2623_isdmgr.exe Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. W przeglądarkach: - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. - Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Hijacker sweet-page modyfikuje skróty LNK przeglądarek. Dodatkowo, widzę tu tak jakby uszkodzenie preferencji Google Chrome. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [] - [x] HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gazeta.pl/0,0.html?sc=1 HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://ie8.gazeta.pl/internet_explorer_8/0,0.html?ie=1 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://gazeta.pl/0,0.html?sc=1 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gazeta.pl/0,0.html?sc=1 HKLM\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKCU - {C8321615-F85B-4D79-9C16-5C8802853866} URL = http://szukaj.gazeta.pl/portalSearch.do?s.si(navigation).navigationEnabled=true&s.sm.query={searchTerms} S2 wfcs; C:\Program Files\Windows Firewall Control\wfcs.exe [x] C:\Documents and Settings\All Users\Dane aplikacji\WPM C:\Documents and Settings\Dell\.android C:\Documents and Settings\Dell\daemonprocess.txt C:\Documents and Settings\Dell\Ustawienia lokalne\Dane aplikacji\cache C:\Documents and Settings\Dell\Ustawienia lokalne\Dane aplikacji\genienext C:\Documents and Settings\Dell\Ustawienia lokalne\Dane aplikacji\Mobogenie C:\Documents and Settings\Dell\Moje dokumenty\Mobogenie C:\Documents and Settings\LocalService\Dane aplikacji\GeekBuddyRSP Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{490A9E9B-DEEF-4A42-8A73-7AB5EAEABF77}" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{755668BE-AE1B-4159-8927-17FF4B1E8BD7}" /f CMD: copy "C:\Documents and Settings\Dell\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences" "C:\Documents and Settings\Dell\Pulpit" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Extended Protection. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszelkie śmieci niedomyślne. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasłanie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log AdwCleaner. Dodatkowo, na Pulpicie powstał plik Preferences, shostuj go gdzieś i podaj link. .

Folder C:\FRST na pewno był (w logach dowód). FRST zawsze go tworzy podczas pierwszego uruchomienia. Jeśli nie znalazłaś go, to być może odwróciłaś kolejność poleceń stosując najpierw "Sprzątanie" w OTL (chyba niektóre narzędzia Farbara są tym procesem obejmowane). Na zakończenie zaktualizuj poniżej wymienione wtyczki Adobe i Java: KLIK. Obecnie w systemie są: ==================== Installed Programs ====================== Adobe Flash Player 11 ActiveX (x32 Version: 11.4.402.278 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 11 Plugin (x32 Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla Firefox Adobe Reader XI (11.0.05) (x32 Version: 11.0.05 - Adobe Systems Incorporated) Adobe Shockwave Player 12.0 (x32 Version: 12.0.5.146 - Adobe Systems, Inc.) Java 7 Update 45 (64-bit) (Version: 7.0.450 - Oracle) Java 7 Update 45 (x32 Version: 7.0.450 - Oracle) .

Skrypt wykonany. O jakim pliku mowa (typ rozszerzenia)? I to może być niestety jeden ze skutków pobytu Ramnit, czyli trwałe uszkodzenie któregoś pliku Windows. Wyleczenie z infekcji, w rozumieniu zaprzestania jej czynności i wyleczenia / usunięcia plików, to połowa sukcesu, w systemie mogą powstać szkody... Z tego też powodu opcja format i tak nie jest tu jeszcze wykluczona. .

Do zignorowania. Te znaleziska są bez znaczenia, to opcjonalna detekcja programu konfiguracji widoczności określonych ikon Pulpitu. Więcej: KLIK. .

Vasquito, założyłeś temat w dziale diagnostyki infekcji, a zasady działu nie wdrożone: KLIK. Obowiązkowe raporty nie zostały dostarczone.

W zasadach działu jest wyraźnie powiedziane, by log przedstawić, jeśli narzędzie uruchamiano. Wszystko zrobione. Możemy kończyć: 1. Odinstaluj ComboFix w poprawny sposób. Z klawiatury klawisz z flagą Windows + R i w polu Uruchom wklej: C:\Users\Duda\Downloads\ComboFix.exe /uninstall 2. Przez SHIFT+DEL skasuj FRST i foldery: C:\FRST C:\Users\Duda\Desktop\Stare dane programu Firefox C:\Windows\erdnt 3. W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 4. Zaktualizuj te 4 programy zakreślone poniżej: KLIK. ==================== Installed Programs ====================== Adobe Flash Player 11 Plugin (x32 Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla Firefox Adobe Reader 9.5.5 - Polish (x32 Version: 9.5.5 - Adobe Systems Incorporated) Adobe Shockwave Player 11.6 (x32 Version: 11.6.6.636 - Adobe Systems, Inc.) Java 7 Update 45 (x32 Version: 7.0.450 - Oracle) .