picasso

Owszem, jest adware (przede wszystkim Webexp Enhanced) i nie wykluczone, że tworzy problemy. Alejest też stary Avast. Od razu będą usuwać szczątki Firefox i Google Chrome. Przeprowadź następujące akcje: 1. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - DefaultScope {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120118160449620&tb_oid=18-01-2012&tb_mrud=18-01-2012 SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120118160449620&tb_oid=18-01-2012&tb_mrud=18-01-2012 SearchScopes: HKCU - DefaultScope {171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U4&apn_dtid=OSJ000YYUK&apn_uid=F60D5DDC-B0C1-40FD-A883-0D914B66EFF6&apn_sauid=908A4698-7473-4E9B-B92D-BBA7C1403E9A SearchScopes: HKCU - {0D7562AE-8EF6-416d-A838-AB665251703A} URL = http://start.facemoods.com/?a=gppc&s={searchTerms}&f=4 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119828&tt=gc_&babsrc=SP_ss&mntrId=1E34008EF2751C5A SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U4&apn_dtid=OSJ000YYUK&apn_uid=F60D5DDC-B0C1-40FD-A883-0D914B66EFF6&apn_sauid=908A4698-7473-4E9B-B92D-BBA7C1403E9A SearchScopes: HKCU - {1F096B29-E9DA-4D64-8D63-936BE7762CC5} URL = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=1e3437550000000000009444527cbd0b&tlver=1.4.19.19&affID=17160 SearchScopes: HKCU - {8A244612-A1F7-11E0-95C0-E71F4824019B} URL = http://badoo.com/startpage/?source=bsb&q={searchTerms} SearchScopes: HKCU - {EA7DE890-7026-4544-8DAA-BE70D1009E57} URL = http://comprendo.info/search?query={searchTerms} SearchScopes: HKCU - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120118160449620&tb_oid=18-01-2012&tb_mrud=18-01-2012 BHO-x32: No Name - {5C255C8A-E604-49b4-9D64-90988571CECB} - No File BHO-x32: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll No File BHO-x32: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll No File BHO-x32: Webexp Enhanced - {f345b0ab-9b1a-4b78-b212-9f87ffd1d595} - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha952\ie\WebexpEnhancedV1alpha952.dll () BHO-x32: PricePeep - {FD6D90C0-E6EE-4BC6-B9F7-9ED319698007} - C:\Program Files (x86)\PricePeep\pricepeep.dll (PricePeep) Task: {20839C14-04F4-46E3-8A5B-D4916E7A8D96} - System32\Tasks\RealUpgradeScheduledTaskS-1-5-21-2018663396-3959975864-1223747117-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {43722F2C-A280-41FD-B08F-0323C7628BE6} - System32\Tasks\AmiUpdXp => C:\Users\mlody.mlody-HP\AppData\Local\SwvUpdater\Updater.exe [2013-07-21] (Amonetize ltd.) Task: {68556564-CE7C-4B3D-9927-D9B0CFC4D666} - System32\Tasks\RealUpgradeLogonTaskS-1-5-21-2018663396-3959975864-1223747117-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {6E6F6561-7AF3-4C57-A02D-1174EA853182} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {E2D3A848-943E-4AEA-9B9F-891D5AA134D1} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\AmiUpdXp.job => C:\Users\mlody.mlody-HP\AppData\Local\SwvUpdater\Updater.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe HKLM\...\Run: [FullScreen] - C:\BLOCK\CFG\flexbuild\FullScreen\launchFS.cmd HKLM-x32\...\Run: [Microsoft Default Manager] - "C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" -resume HKLM-x32\...\Run: [Easybits Recovery] - C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe HKLM-x32\...\Run: [Nokia FastStart] - "C:\Program Files (x86)\Nokia\Nokia Music\NokiaMusic.exe" /command:faststart HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKCU\...\Policies\system: [DisableLockWorkstation] 0 HKCU\...\Policies\system: [DisableChangePassword] 0 HKCU\...\Run: [badoo Desktop] - C:\ProgramData\Badoo\Badoo Desktop\1.6.30.1002\Badoo.Desktop.exe S3 GameConsoleService; "C:\Program Files (x86)\HP Games\HP Game Console\GameConsoleService.exe" [x] S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [x] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [x] S3 netr28ux; system32\DRIVERS\netr28ux.sys [x] S3 nmwcdcx64; system32\drivers\ccdcmbox64.sys [x] S3 nmwcdnsux64; system32\drivers\nmwcdnsux64.sys [x] S3 nmwcdx64; system32\drivers\ccdcmbx64.sys [x] S3 upperdev; system32\DRIVERS\usbser_lowerfltx64.sys [x] S3 UsbserFilt; system32\DRIVERS\usbser_lowerfltx64j.sys [x] C:\Firefox C:\Program Files (x86)\mozilla firefox C:\Users\mlody.mlody-HP\AppData\Local\Google C:\Users\mlody.mlody-HP\AppData\Roaming\_MDLogs C:\Users\mlody.mlody-HP\AppData\Roaming\Babylon C:\Users\mlody.mlody-HP\AppData\Roaming\mozilla C:\Users\Public\AlexaNSISPlugin.14656.dll Reg: reg delete HKCU\Software\Classes\.exe /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks /v {E54729E8-BB3D-4270-9D49-7389EA579090} /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoActiveDesktop /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoActiveDesktopChanges /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System /v HideFastUserSwitching /f Reg: reg delete "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKCU\Software\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj Magic Desktop (EasyBits), PricePeep for Internet Explorer, Software Version Updater, Webexp Enhanced, Yahoo! Detect oraz wszystkie stare Java™ 6 i przeterminowany Avast. OpenOffice.org 3.3 musi być po prostu zaktualizowany, by współpracować z najnowszą Java. Jeśli będzie problem z deinstalacją Java, skorzystaj z alternatywnych deinstalatorów: KLIK. 3. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście Google Update Helper > Dalej. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log AdwCleaner. Wypowiedz się czy są jakieś zmiany. .

Temat przenoszę do działu Windows. Ja tu nie widzę żadnych oznak infekcji, zaś adnotacje "suspicious modification" w GMER to mogą być generowane przez program zabezpieczający. Dla świętego spokoju sprawdź co powie Kaspersky TDSSKiller. Jest tu jeden zastanawiający punkt, co to za kopia pliku Microsoftu, co ją utworzyło: 2013-12-25 17:55 - 2009-07-14 01:00 - 00006656 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\beep.sys_old PS. Drobne akcje dodatkowe (nie związane z problemem) w spoilerze: Na razie najbardziej prawdopodobna jest koncepcja zbyt przedsiębiorczego CIS. Dodatkowo pytanie o mysz, jaki typ jest na chodzie, gdyż wg Addition.txt jest jakieś zdefektowane wystąpienie PS/2: ==================== Faulty Device Manager Devices ============= Name: Mysz Microsoft PS/2 Description: Mysz Microsoft PS/2 Class Guid: {4d36e96f-e325-11ce-bfc1-08002be10318} Manufacturer: Microsoft Service: i8042prt Problem: : This device cannot start. (Code10) Resolution: Device failed to start. Click "Update Driver" to update the drivers for this device. On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. .

Czy na pewno użyłeś Panda Cloud Uninstaller w Trybie awaryjnym Windows? Nie ma pożądanych zmian, serwisy wytapetowane szczątkowymi i uruchomionymi sterownikami Panda. .

Posty przypominające usuwam. Grzegorz, jeśli nie pytam o dodatkowe logi, to znaczy, że zbędne. I taka analiza to nie jest 5 minut roboty, nie jestem w stanie bardziej finezyjnych (zaawansowanych) tematów robić szybciej. Czego taki temat ode mnie wymaga: podmontowania Twojego rejestru, precyzyjnej edycji. Nie mogę robić tego byle jak i byle kiedy. Problem jest już oczywisty. Dokładnie to o czym mówiłam: utrata uprawnień kluczy istotnych usług DcomLaunch, RpcSs, TrkWks (kompletnie czyste uprawnienia, żadne konto nie ma dostępu). To produkuje czarny ekran. Te uprawnienia na pewno już były ruszone w momencie zakładania tematu (log z GMER to wykazał), tylko nie zrobiłeś jeszcze wtedy resetu, który ujawniłby usterkę. Tylko jedno jest zastanawiające: co do tego doprowadziło, że uprawnienia zostały zniszczone. Zrekonstruowałam wszystkie uprawnienia. Przesłałam na PW zmodyfikowany plik zapakowany do ZIP. Należy nim podmienić aktualny zdefektowany: 1. Z pendrive F:\ usuń obecny plik SYSTEM i umieść tam w zamian ten przesłany plik SYSTEM (w stanie rozpakowanym). Plik musi leżeć luzem, w żadnym podfolderze. 2. Zbootuj do WinRE. Uruchom "Wiersz polecenia". Ponownie upewnij się pod jaką literą jest dysk z Windows za pomocą triku z komendą notepad. W linii komend wklepujesz i ENTER: copy /y F:\SYSTEM X:\Windows\system32\config\SYSTEM Gdzie X = ta wytypowana litera. 3. Restartujesz do Windows. Jeśli wszystko pójdzie dobrze, wdróż podany wcześniej FIX.REG, zresetuj system i przedstaw czy są gdzieś jakieś problemy. .

Wszystko zrobione, ale są tu jeszcze rzeczy do wykonania: deinstalacja Soluto nie usunęła wszystkiego (może to przez to, że użyłeś Revo a nie natywny deinstalator aplikacji) + szczątki po innych deinstalacjach, oraz brakuje systemowego pliku beep.sys (a nie ImagePath jak pierwotnie wyglądało). Czyli wykonaj: 1. Uruchom FRST, w polu Search wpisz nazwę beep.sys i klik w Search files(s). Podaj wynikowy log. 2. Będą aż dwa skrypty do FRST, gdyż mam w zamiarze usunąć szczątkowe Dzienniki zdarzeń po odinstalowanych programach, a to wymaga tymczasowego wyłączenia usługi Dziennik zdarzeń. Otwórz Notatnik i wklej w nim: S2 SolutoService; "C:\Program Files\Soluto\SolutoService.exe" [x] S0 Soluto; C:\Windows\System32\DRIVERS\Soluto.sys [51144 2012-09-06] (Soluto LTD.) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SolutoService => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SolutoService => ""="Service" C:\Windows\System32\DRIVERS\Soluto.sys C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\f-secure C:\Documents and Settings\All Users\Dane aplikacji\F-Secure-UninstallationTool C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy C:\Documents and Settings\Bogdan\Dane aplikacji\AVAST Software C:\Program Files\Alwil Software C:\Program Files\Spybot - Search & Destroy 2 Reg: reg delete HKLM\SYSTEM\CurrentControlSet\services\Beep /v ImagePath /f CMD: sc config Eventlog start= disabled Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zachowaj wynikowy fixlog.txt. Zresetuj system, start może być dłuższy ze względu na wyłączony Dziennik. Następnie otwórz Notatnik i wklej w nim: C:\WINDOWS\system32\config\SpybotSD.evt C:\WINDOWS\system32\config\Doctor Web.evt CMD: sc config Eventlog start= auto Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. Zresetuj system, wszystko wróci do normy. Przedstaw oba pliki fixlog.txt. 3. Dla pewności jeszcze przejedź programem Soluto Uninstall Cleanup Tool. Tak, oczywiście Avast Uninstall wywalił wszystko. Ja go podałam z określonego powodu: instalacja Avast nie wyglądała na poprawną, na liście zainstalowanych nie było w ogóle wpisu Avast, a wpis powinien być. Teraz po oczyszczeniu gruntu z uszkodzonych instalacji możesz spróbować zainstalować najnowszą wersję Avast. Kilka rzeczy pod uwagę: 1. Zainstalowane rozszerzenia, może jakieś konflikty. I mam uwagę, posiadasz niejakie Ghostery, a to rozszerzenie można poddać w wątpliwość ze względu na extra "program" realizowany przy jego udziale: KLIK. Przeczytaj FAQ i obejrzyj stronę evidon.com (wcześniej domena betteradvertising.com). 2. Kolekcja przestarzałych Java. Wersje dziurawe i niebezpieczne. Wszystko odinstaluj, popraw dedykowanymi usuwaczami oraz poczytaj ogólnie o Java: KLIK. ==================== Installed Programs ====================== J2SE Runtime Environment 5.0 Update 10 (Version: 1.5.0.100 - Sun Microsystems, Inc.) Java 7 Update 21 (Version: 7.0.210 - Oracle) Java Auto Updater (Version: 2.1.9.5 - Sun Microsystems, Inc.) Hidden Java™ 6 Update 21 (Version: 6.0.210 - Sun Microsystems, Inc.) 3. Posługujesz się już stosunkowo starym Firefox 21.0. Najnowsza wersja to 26. Zaktualizuj. .

Przejdź w Tryb awaryjny Windows i ponów próbę. .

Adware nie może być usunięte, gdyż działa w tle "ochrona" WMP oraz są zmodyfikowane skróty przeglądarek. Przeprowadź następujące akcje: 1. Przez Panel sterowania odinstaluj WPM17.8.0.3159. Przy okazji pozbądź się zbędnego downloadera Akamai NetSession Interface. 2. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [] - [x] HKLM\...\Run: [mobilegeni daemon] - C:\Program Files\Mobogenie\DaemonProcess.exe HKCU\...\Run: [NextLive] - C:\Windows\system32\rundll32.exe "C:\Users\Admin\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l HKCU\...\Policies\Explorer: [] R2 Wpm; C:\ProgramData\WPM\wprotectmanager.exe [499856 2014-01-07] (Cherished Technololgy LIMITED) HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1389050743&from=cor&uid=HitachiXHTS723225L9A362_090214FC3D00NJG4K9HDX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1389050743&from=cor&uid=HitachiXHTS723225L9A362_090214FC3D00NJG4K9HDX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1389050743&from=cor&uid=HitachiXHTS723225L9A362_090214FC3D00NJG4K9HDX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1389050743&from=cor&uid=HitachiXHTS723225L9A362_090214FC3D00NJG4K9HDX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1389050743&from=cor&uid=HitachiXHTS723225L9A362_090214FC3D00NJG4K9HDX&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1389050743&from=cor&uid=HitachiXHTS723225L9A362_090214FC3D00NJG4K9HDX SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1389050743&from=cor&uid=HitachiXHTS723225L9A362_090214FC3D00NJG4K9HDX&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1389050743&from=cor&uid=HitachiXHTS723225L9A362_090214FC3D00NJG4K9HDX&q={searchTerms} SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1389050743&from=cor&uid=HitachiXHTS723225L9A362_090214FC3D00NJG4K9HDX&q={searchTerms} SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1389050743&from=cor&uid=HitachiXHTS723225L9A362_090214FC3D00NJG4K9HDX&q={searchTerms} C:\Program Files\Free YouTube Downloader C:\Program Files\Mobogenie C:\ProgramData\WPM C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free YouTube Downloader C:\Users\Admin\.android C:\Users\Admin\daemonprocess.txt C:\Users\Admin\AppData\Local\genienext C:\Users\Admin\AppData\Local\Mobogenie C:\Users\Admin\AppData\Roaming\newnext.me C:\Users\Admin\Documents\Mobogenie C:\Users\Admin\Downloads\FreeYouTubeDownloaderInstallerIC.exe CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Ale kiedy to Ci się pokazuje? Podałeś link do strony, na której trzeba kliknąć w przycisk uruchomienia, co spowoduje pobranie programu na dysk. Tu jeszcze nie koniec zadań, ale najpierw wyjaśnijmy nieścisłość z powyższym. .

Owszem, przeglądarki są upstrzone adware, stąd to otwieranie dziwnych stron reklamowych. Od razu usunę także szczątki Google Chrome (nie wygląda na zainstalowane). Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj JDownloader Download Manager Packages, PDF Creator Packages, Web Assistant 2.0.0.478. 2. Otwórz Notatnik i wklej w nim: CMD: md C:\Users\Karolina\Desktop\Upload CMD: xcopy /e "C:\Program Files (x86)\Mozilla Firefox\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}" C:\Users\Karolina\Desktop\Upload CMD: netsh advfirewall reset Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f C:\Users\Karolina\AppData\Local\Google C:\Users\Karolina\AppData\Roaming\Babylon C:\Users\Karolina\AppData\Roaming\DealPly C:\Users\Karolina\AppData\Roaming\ESET C:\Users\Karolina\AppData\Roaming\FLVPlayerPackages C:\Users\Karolina\AppData\Roaming\Funmoods C:\Users\Karolina\AppData\Roaming\JDownloaderDownloadManagerPackages C:\Users\Karolina\AppData\Roaming\OpenCandy C:\Users\Karolina\AppData\Roaming\PDFCreatorPackages C:\Users\Karolina\AppData\Roaming\PerformerSoft C:\Users\Karolina\AppData\Roaming\SendSpace C:\Program Files (x86)\mozilla firefox\plugins\npVividasPlayer.dll Task: {17BE7C4A-B972-41C4-802C-329F9BD11B83} - System32\Tasks\DealPlyUpdate => C:\Program Files (x86)\DealPly\DealPlyUpdate.exe Task: {A9576A59-670E-4EBA-BA96-9AC65B2FE3A5} - System32\Tasks\Funmoods => C:\Users\Karolina\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE Startup: C:\Users\Karolina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lollipop.lnk HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-search.com/?affID=119816&tt=gc_&babsrc=HP_ss&mntrId=30EB9CB70DCA4155 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - DefaultScope {A2C5D87D-ED0B-4A0F-9906-FEF4E2DA74E6} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0EzzyEtD0FtByCyE0A0Dzz0Dzz0E0C0DtN0D0Tzu0CtAtAtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=906098823 SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM - {A2C5D87D-ED0B-4A0F-9906-FEF4E2DA74E6} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0EzzyEtD0FtByCyE0A0Dzz0Dzz0E0C0DtN0D0Tzu0CtAtAtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=906098823 SearchScopes: HKLM-x32 - DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={FB7BDB74-CC5F-48A8-B8FB-0A5B8AAE0A82} SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {A2C5D87D-ED0B-4A0F-9906-FEF4E2DA74E6} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0EzzyEtD0FtByCyE0A0Dzz0Dzz0E0C0DtN0D0Tzu0CtAtAtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=906098823 SearchScopes: HKLM-x32 - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.pu-results.info/?l=1&q={searchTerms}&pid=34&r=2013/03/13&hid=1445970194&lg=EN&cc=PL SearchScopes: HKLM-x32 - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={FB7BDB74-CC5F-48A8-B8FB-0A5B8AAE0A82} SearchScopes: HKCU - DefaultScope {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/?a=6Oz1VNJZE9&loc=skw&search={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119816&tt=gc_&babsrc=SP_ss&mntrId=30EB9CB70DCA4155 SearchScopes: HKCU - {491F69CD-C53E-A22C-C3BD-1465C5745EE1} URL = http://search.babylon.com/?q={searchTerms}&affID=110824&tt=4812_6&babsrc=SP_ss&mntrId=30eb8ecd0000000000009cb70dca4155 SearchScopes: HKCU - {5637587E-E95B-56B5-CC87-55736A5CD201} URL = http://websearch.pu-results.info/?l=1&q={searchTerms}&pid=34&r=2013/03/13&hid=1445970194&lg=EN&cc=PL SearchScopes: HKCU - {B2845CC3-0849-4D52-842D-9D84205A78B7} URL = http://search.softonic.com/INF00046/tb_v1?q={searchTerms}&SearchSource=4&cc=&r=219 SearchScopes: HKCU - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=AgnUpd&cd=2XzuyEtN2Y1L1Qzu0EzzyEtD0FtByCyE0A0Dzz0Dzz0E0C0DtN0D0Tzu0CyDtDyEtN1L2XzutN1L1Czu&cr=633516648&ir= SearchScopes: HKCU - {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/?a=6Oz1VNJZE9&loc=skw&search={searchTerms} SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={FB7BDB74-CC5F-48A8-B8FB-0A5B8AAE0A82} BHO-x32: Web Assistant - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\Web Assistant\Extension32.dll No File BHO-x32: Incredibar.com Helper Object - {6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} - C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\bh\incredibar.dll No File BHO-x32: Funmoods Helper Object - {75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} - C:\Program Files (x86)\Funmoods\1.5.23.22\bh\escort.dll No File BHO-x32: DealPly - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files (x86)\DealPly\DealPlyIE.dll No File BHO-x32: Broowse2usavE - {A63141BA-9BA6-5E19-6BE1-8C3C8BAE882A} - C:\ProgramData\Broowse2usavE\5140f66fa734b.dll No File Toolbar: HKLM-x32 - Incredibar Toolbar - {F9639E4A-801B-4843-AEE3-03D9DA199E77} - C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\incredibarTlbr.dll No File Toolbar: HKLM-x32 - Funmoods Toolbar - {A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - C:\Program Files (x86)\Funmoods\1.5.23.22\escorTlbr.dll No File Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF Plugin-x32: @Nero.com/KM - C:\PROGRA~2\COMMON~1\Nero\BROWSE~1\NPBROW~1.DLL (Nero AG) FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml FF Extension: No Name - C:\Program Files (x86)\Mozilla Firefox\extensions\staged FF Extension: No Name - C:\Program Files (x86)\Mozilla Firefox\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF} FF HKLM\...\Firefox\Extensions: [{336D0C35-8A85-403a-B9D2-65C292C39087}] - C:\Program Files\Web Assistant\Firefox FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird FF HKLM-x32\...\Firefox\Extensions: [{336D0C35-8A85-403a-B9D2-65C292C39087}] - C:\Program Files\Web Assistant\Firefox FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird S2 Web Assistant Updater; C:\Program Files\Web Assistant\ExtensionUpdaterService.exe [x] S3 catchme; \??\C:\ComboFix\catchme.sys [x] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną usunięte tym procesem. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. Logi jako załączniki forum. Natomiast na Pulpicie powstał też folder Upload. Spakuj go do ZIP, shostuj gdzieś i podaj link do tego. .

Zakładasz temat w dziale diagnostyki infekcji, a brak obowiązkowych raportów specyfikowanych zasadami. Podaj: FRST, OTL. .

Tak, są tu śmieci adware. Akcja: 1. Otwórz Notatnik i wklej w nim: () C:\Users\biernak\AppData\Roaming\DSite\UpdateProc\UpdateTask.exe Task: {21D5F77A-8660-464D-9F4D-88BBC74B375B} - System32\Tasks\DSite => C:\Users\biernak\AppData\Roaming\DSite\UpdateProc\UpdateTask.exe [2013-06-04] () Task: C:\Windows\Tasks\DSite.job => C:\Users\biernak\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE HKLM\...\Run: [mobilegeni daemon] - C:\Program Files\Mobogenie\DaemonProcess.exe HKLM\...\Winlogon: [userinit] userinit.exe,EXPLORER.EXE HKCU\...\Run: [NextLive] - C:\Windows\system32\rundll32.exe "C:\Users\biernak\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l HKCU\...\Run: [LiveSupport] - "C:\Program Files\LiveSupport\LiveSupport.exe" /noshow /log AppInit_DLLs: C:\Program Files\GS-Enabler\Assistant.dll [3041792 2014-01-06] () HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.dvlottery.state.gov/ HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1389034400&from=wpc&uid=WDCXWD2500BEVS-60UST0_WD-WXC30855510055100 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1389034400&from=wpc&uid=WDCXWD2500BEVS-60UST0_WD-WXC30855510055100 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1389034400&from=wpc&uid=WDCXWD2500BEVS-60UST0_WD-WXC30855510055100&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1389034400&from=wpc&uid=WDCXWD2500BEVS-60UST0_WD-WXC30855510055100&q={searchTerms} SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1389034400&from=wpc&uid=WDCXWD2500BEVS-60UST0_WD-WXC30855510055100&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1389034400&from=wpc&uid=WDCXWD2500BEVS-60UST0_WD-WXC30855510055100&q={searchTerms} SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = Filter: text/html - {EE31AE88-AE7A-4C52-9330-A0A3B3468C02} - C:\Windows\system32\bimfapg.dll No File U1 eabfiltr; NETSVC: dfhbspz -> No Registry Path. C:\Program Files\Mobogenie C:\Program Files\Optimizer Pro C:\Users\biernak\.android C:\Users\biernak\daemonprocess.txt C:\Users\biernak\AppData\Local\cache C:\Users\biernak\AppData\Local\genienext C:\Users\biernak\AppData\Local\Mobogenie C:\Users\biernak\AppData\Roaming\Babylon C:\Users\biernak\AppData\Roaming\Common C:\Users\biernak\AppData\Roaming\DSite C:\Users\biernak\AppData\Roaming\newnext.me C:\Users\biernak\AppData\Roaming\Mozilla Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot /v AlternateShell /t REG_SZ /d cmd.exe /f CMD: sc config "Multimedia mobilNET. RunOuc" start= demand Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware GS-Supporter 1.80. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Jest tu infekcja, fałszywy "Adobe" w starcie (plik skryptu VBS). Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: () C:\ProgramData\Adobe\Run.exe () C:\ProgramData\Adobe\start.exe (Microsoft Corporation) C:\Windows\SysWOW64\cmd.exe HKLM-x32\...\Run: [Adobe] - C:\ProgramData\Adobe\Color.vbs [101 2013-12-11] () ProxyServer: 211.239.84.244:443 S2 TuneUp.UtilitiesSvc; "C:\Program Files (x86)\AVG\AVG PC TuneUp\TuneUpUtilitiesService64.exe" [x] S3 TuneUpUtilitiesDrv; \??\C:\Program Files (x86)\AVG\AVG PC TuneUp\TuneUpUtilitiesDriver64.sys [x] Task: {714214AB-56D8-4DF8-829A-FBBF179F00CE} - System32\Tasks\TuneUpUtilities_Task_BkGndMaintenance2013 => C:\Program Files (x86)\AVG\AVG PC TuneUp\OneClick.exe C:\ProgramData\Adobe\Color.vbs C:\ProgramData\Adobe\Run.exe C:\ProgramData\Adobe\start.exe Folder: C:\ProgramData\Adobe C:\Users\Leszek\AppData\Roaming\mozilla Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Wygląda na to, że odinstalowałeś AVG PC TuneUp 2014, ale są na liście zainstalowanych ukryte takie oto wpisy: ==================== Installed Programs ====================== AVG PC TuneUp 2014 (pl-PL) (x32 Version: 14.0.1001.229 - AVG) Hidden AVG PC TuneUp 2014 (x32 Version: 14.0.1001.229 - AVG) Hidden Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście oba wpisy > Dalej. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition) i Farbar Service Scanner. Dołącz plik fixlog.txt. .

Odpadki adware Mobogenie to nie jedyny problem, są tu różne inne złe obiekty. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe [761024 2013-12-13] () HKCU\...\Run: [badoo Desktop] - C:\ProgramData\Badoo\Badoo Desktop\1.6.58.1220\Badoo.Desktop.exe HKCU\...\Run: [sSync] - C:\Users\mojojo\AppData\Roaming\SSync\SSync.exe [36864 2013-04-09] () HKCU\...\Run: [OMESupervisor] - C:\Users\mojojo\AppData\Local\omesuperv.exe [2239256 2013-12-24] () HKCU\...\Run: [NextLive] - C:\Windows\SysWOW64\rundll32.exe "C:\Users\mojojo\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l HKCU\...\Run: [sCheck] - C:\Users\mojojo\AppData\Roaming\SCheck\SCheck.exe [37376 2013-12-09] () HKCU\...\Run: [snoozer] - C:\Users\mojojo\AppData\Roaming\Snz\Snz.exe [1209624 2013-12-24] () HKCU\...\Run: [intermediate] - C:\Users\mojojo\AppData\Roaming\Intermediate\Intermediate.exe [37376 2013-12-09] () Startup: C:\Users\mojojo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IMVU.lnk Task: {237830F4-2EE9-4F1B-A202-7B9267910DF3} - System32\Tasks\QtraxPlayer => C:\Program Files (x86)\Microsoft Silverlight\sllauncher.exe [2013-09-13] (Microsoft Corporation) Task: {6191ED3B-3AB0-49B7-85E9-A5E390E35655} - System32\Tasks\{0CD87B15-CF3F-4EEE-BC63-28679996E99D} => D:\Program Files (x86)\Mirillis\Action!\Action.exe Task: {648C2BCE-D24D-48FF-9DC7-5019D7A80801} - System32\Tasks\FoxTab => C:\Users\mojojo\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\FoxTab.job => C:\Users\mojojo\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.fbdownloader.com/?channel=msus200fbdgy6 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://en.v9.com/?utm_source=b&utm_medium=bnd&from=bnd&uid=SAMSUNGXHM321HI_S2HZJ9DB207916&ts=1372003647 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.v9.com/web/?utm_source=b&utm_medium=bnd&from=bnd&uid=SAMSUNGXHM321HI_S2HZJ9DB207916&ts=0 SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.v9.com/web/?utm_source=b&utm_medium=bnd&from=bnd&uid=SAMSUNGXHM321HI_S2HZJ9DB207916&ts=0 SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.v9.com/web/?utm_source=b&utm_medium=bnd&from=bnd&uid=SAMSUNGXHM321HI_S2HZJ9DB207916&ts=0 SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.v9.com/web/?utm_source=b&utm_medium=bnd&from=bnd&uid=SAMSUNGXHM321HI_S2HZJ9DB207916&ts=0 SearchScopes: HKCU - DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://search.fbdownloader.com/search.php?channel=msus200fbdgy6&q={searchTerms} SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.v9.com/web/?utm_source=b&utm_medium=bnd&from=bnd&uid=SAMSUNGXHM321HI_S2HZJ9DB207916&ts=0 SearchScopes: HKCU - {8A244612-A1F7-11E0-95C0-E71F4824019B} URL = http://badoo.com/startpage/?source=bsb&q={searchTerms} SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://search.fbdownloader.com/search.php?channel=msus200fbdgy6&q={searchTerms} BHO-x32: IEToolbar.BHO - {1d970ed5-3eda-438d-bffd-715931e2775b} - C:\Windows\\SysWOW64\mscoree.dll (Microsoft Corporation) BHO-x32: OfferMosquito - {82B16A3D-F03E-4565-A532-666B219C9A53} - C:\Users\mojojo\AppData\Local\ext_offermosquito\OfferMosquitoIEPlaceholder.dll (Bebo Media Ltd) Toolbar: HKLM-x32 - MoneyMillionaire Toolbar - {d28c7e56-2cc6-415c-8727-d71334085926} - C:\Windows\\SysWOW64\mscoree.dll (Microsoft Corporation) CHR HKLM-x32\...\Chrome\Extension: [cflheckfmhopnialghigdlggahiomebp] - C:\Users\mojojo\AppData\Local\CRE\cflheckfmhopnialghigdlggahiomebp.crx S2 DiscountfinderService; "C:\ProgramData\Odkrywca Rabatów\DFService.exe" [x] S3 WinRing0_1_2_0; \??\D:\Program Files (x86)\iVeeSoft\iGame Capture\Driver\WinRing0x64.sys [x] C:\dummy.wav C:\Program Files (x86)\Mobogenie C:\ProgramData\Odkrywca Rabatów C:\Users\mojojo\.android C:\Users\mojojo\daemonprocess.txt C:\Users\mojojo\AppData\Local\omesuperv.exe C:\Users\mojojo\AppData\Local\ext_offermosquito C:\Users\mojojo\AppData\Local\cache C:\Users\mojojo\AppData\Local\genienext C:\Users\mojojo\AppData\Local\Mobogenie C:\Users\mojojo\AppData\Roaming\newnext.me C:\Users\mojojo\AppData\Roaming\Intermediate C:\Users\mojojo\AppData\Roaming\SCheck C:\Users\mojojo\AppData\Roaming\Snz C:\Users\mojojo\AppData\Roaming\SSync C:\Users\mojojo\Documents\Mobogenie Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Zasady działu, tu jest zakaz dopisywania się do cudzych tematów: KLIK. Temat wydzielony w osobny. I przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: Task: C:\WINDOWS\Tasks\EPUpdater.job => C:\DOCUME~1\admin\DANEAP~1\BABSOL~1\Shared\BabMaint.exe Task: C:\WINDOWS\Tasks\GlaryInitialize.job => C:\Program Files\Glary Utilities\initialize.exe HKLM\...\Run: [mobilegeni daemon] - C:\Program Files\Mobogenie\DaemonProcess.exe [738496 2013-10-18] () HKCU\...\Run: [AVG-Secure-Search-Update_1213b] - C:\Documents and Settings\admin\Dane aplikacji\AVG 1213b Campaign\AVG-Secure-Search-Update-1213b.exe /PROMPT /mid=4273c6df12c998c3c67c13d1aac081b6-a4cca59a7271c076cd3019e85f2869b281084197 /CMPID=1213b HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=WDC_WD1600AAJS-75B4A0_WD-WMAT2144293042930&ts=1358430359 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=WDC_WD1600AAJS-75B4A0_WD-WMAT2144293042930&ts=1358430359 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=WDC_WD1600AAJS-75B4A0_WD-WMAT2144293042930&ts=1358430359 URLSearchHook: ATTENTION ==> Default URLSearchHook is missing. URLSearchHook: HKCU - (No Name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - No File SearchScopes: HKLM - {c1d89ae7-449d-4929-b24b-fded04adbe06} URL = http://isearch.glarysoft.com/?q={searchTerms}&src=iesearch SearchScopes: HKLM - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=121845&babsrc=SP_ss&mntrId=3896001D60965B6A SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=GLSV5&o=10168&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=GL&apn_dtid=YYYYYYYYPL&apn_uid=1775AE76-A95D-47D9-8DD0-9E6D06C01CBE&apn_sauid=227D1DE3-2226-4E8B-8296-47385535889E SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKCU - {B7B664DF-3AF9-4C8E-8148-F42BB7831D27} URL = http://www.ask.com/web?o=15710&l=dis&q={searchTerms} SearchScopes: HKCU - {c1d89ae7-449d-4929-b24b-fded04adbe06} URL = http://isearch.glarysoft.com/?q={searchTerms}&src=iesearch SearchScopes: HKCU - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 BHO: No Name - {2EECD738-5844-4a99-B4B6-146BF802613B} - No File BHO: No Name - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No File BHO: DealPly - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files\DealPly\DealPlyIE.dll (DealPly Technologies Ltd) BHO: TBSB05810 Class - {A7AF277D-1466-4A7B-93AF-B043984A5671} - C:\Program Files\Glarysoft Toolbar\tbcore3.dll () BHO: No Name - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - No File BHO: No Name - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No File Toolbar: HKLM - Glarysoft Toolbar - {32D47EA5-9473-4CAD-805D-9999F15D5AE2} - C:\Program Files\Glarysoft Toolbar\tbcore3.dll () Toolbar: HKLM - No Name - {98889811-442D-49dd-99D7-DC866BE87DBC} - No File Toolbar: HKLM - No Name - {82E1477C-B154-48D3-9891-33D83C26BCD3} - No File Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKCU - Glarysoft Toolbar - {32D47EA5-9473-4CAD-805D-9999F15D5AE2} - C:\Program Files\Glarysoft Toolbar\tbcore3.dll () Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File C:\Documents and Settings\All Users\Dane aplikacji\APN C:\Documents and Settings\All Users\Dane aplikacji\avg9 C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\f-secure C:\Documents and Settings\All Users\Dane aplikacji\fssg C:\Documents and Settings\All Users\Dane aplikacji\Tarma Installer C:\Documents and Settings\admin\daemonprocess.txt C:\Documents and Settings\admin\Dane aplikacji\AVG9 C:\Documents and Settings\admin\Dane aplikacji\GlarySoft C:\Documents and Settings\admin\Dane aplikacji\Toolbar4 C:\Documents and Settings\admin\Dane aplikacji\TuneUp Software C:\Documents and Settings\admin\Dane aplikacji\Uniblue C:\Documents and Settings\admin\Moje dokumenty\Mobogenie C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\cache C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Mobogenie C:\Documents and Settings\Default User\Dane aplikacji\TuneUp Software C:\Program Files\DealPly C:\Program Files\Glarysoft Toolbar C:\Program Files\Mobogenie C:\Program Files\mozilla firefox\searchplugins\glarysearch.xml C:\Program Files\mozilla firefox\searchplugins\v9.xml Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Przechodzimy do akcji usuwania adware HDvid Codec V6.0. 1. Otwórz Notatnik i wklej w nim: Task: {21965CBD-5DA8-4D40-9A93-09C55AA53F6F} - System32\Tasks\DLL-files.com Fixer_UPDATES => C:\Program Files\Dll Fixer\DLLFixer.exe [2011-12-27] (Dll-FIles.Com) Task: {34D4A337-02EC-44A5-845B-4A58FF98AAAF} - System32\Tasks\{BD622298-E909-4AE0-B3FE-760904567064} => Firefox.exe http://ui.skype.com/ui/0/6.3.59.105/pl/abandoninstall?page=tsPlugin Task: {CC4A931A-0D37-4258-814A-1780BDA9D440} - System32\Tasks\{2218A713-7FAE-4AB4-9BA6-F59AD4D57F46} => D:\Gry\Starship Troopers\Starship Troopers\STGame.exe Task: {D10A3AF4-06BB-4E44-82D4-72F08B390005} - System32\Tasks\HDvid Codec V6.0-firefoxinstaller => C:\Program Files\HDvid Codec V6.0\HDvid Codec V6.0-firefoxinstaller.exe [2013-11-23] (installdaddy) Task: {FFD0F422-6535-4D9F-BBB8-9388CB8997F2} - System32\Tasks\HDvid Codec V6.0-updater => C:\Program Files\HDvid Codec V6.0\HDvid Codec V6.0-updater.exe [2013-11-23] (installdaddy) Task: C:\Windows\Tasks\DLL-files.com Fixer_UPDATES.job => C:\Program Files\Dll Fixer\DLLFixer.exe Task: C:\Windows\Tasks\HDvid Codec V6.0-firefoxinstaller.job => C:\Program Files\HDvid Codec V6.0\HDvid Codec V6.0-firefoxinstaller.exe Task: C:\Windows\Tasks\HDvid Codec V6.0-updater.job => C:\Program Files\HDvid Codec V6.0\HDvid Codec V6.0-updater.exe S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [x] S2 EncDisk; \??\C:\Program Files\TrustPort\DiskProtection\bin\EncDsk.sys [x] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [x] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avasdmft => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avas_service => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avss_service => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\gozer => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdifw => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tpavdrw_service => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tpmgma_service => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tpsec => ""="Driver" C:\Users\Damian\AppData\Roaming\eCyber C:\Users\Damian\AppData\Roaming\iSafe C:\Users\Damian\Downloads\yet_another_cleaner.exe Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj HDvid Codec V6.0 oraz wątpliwy Dll-Files.com Fixer. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną usunięte tym procesem. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition) + OTL (bez Extras). Dołącz plik fixlog.txt. .

Podany zdekompletowany log OTL (brak pliku Extras). I proszę się dostosować do zasad działu: KLIK. Tu są obowiązkowe także raporty z FRST. .

Uwagi: - Zostały użyte również programy wątpliwej reputacji, takie jak SpyHunter czy YAC. - AdwCleaner zastosowany na opak. Najpierw się deinstaluje adware przez Panel sterowania i menedżery pzeglądarek, po tym poprawia AdwCleaner. AwdCleaner utworzył podczas usuwania logi. Logi są w folderze C:\AdwCleaner. Proszę je dostarczyć, bo musi być sprawdzone co robił. Po ocenie co i skąd było usuwane zabiorę się za wykończenie resztek. .

Temat w złym dziale (diagnostyka infekcji). Mówisz przecież wyraźnie: Czyli problem sieciowy niezależny od systemu operacyjnego. Temat przenoszę do stosownego działu Sieci. Zasady tego działu: KLIK. Objaśnij co robiłeś. PS. Pliki C:\Users\padi1_000\Downloads\otl-by-oldtimer_setup.exe + C:\Users\padi1_000\Desktop\Kontynuuj instalację OTL by OldTimer.lnk to nie jest OTL (program bezinstalacyjny) tylko jakiś portalowy śmieć prawdopodobnie ładujący adware: KLIK. I owszem, w tym konkretnym systemie jest śmietnik adware. Doczyść to. Instrukcje w spoilerze. Ale związku z problemem głównym brak. .

Wykonaj jeszcze kroki związane z "Microsoft Update". I ten temat zamknę. Natomiast czynności relatywne do finalizacji tematu w dziale diagnostyki malware podam potem w tamtym drugim temacie. Chwilowo nie mam czasu i patrzę jednym okiem na forum.

Obrazek 2.png = Podstawowy kanał IDE z adnotacją Bieżący tryb transferu: Tryb PIO to ten. Jak powiedziane: deinstalacja kanału > reset komputera > Windows przebuduje i oby PIO zmieniło się w DMA. Jeśli to nastąpi, system powinien wydatnie przyśpieszyć (start + operatywność długofalowa). .

aneciok12345, przecież te niebieskie napisy to są klikalne linki!

Ale przecież to w ogóle nie ma związku z problemem! To są instrukcje tylko i wyłącznie dla Wendora i tyczą czyszczenia adware. Widzisz jakie są skutki dopisywania się w cudzym temacie, bierzesz instrukcje nie przeznaczone dla siebie. Wydawało mi się oczywiste, że mówiąc Wendorowi "A co do szczątków adware i wpisów pustych, w spoilerze instrukcje. Powtarzam = brak jakiegokolwiek związku z problemami." + mówiąc Tobie "macie dokładnie ten sam problem ze sterownikiem Intel (...) Podane już co robić." kreślę konkretny kierunek co Ciebie dotyczy. Tylko i wyłącznie materiał tyczący Intel, reszta Cię nie obchodzi. .

Na razie nie ma tu oznak infekcji (choć nadal brak GMER) w rozumieniu trojanów. Jest tylko adware, ale to nie może mieć związku z problemami odczytu dysku. Czyszczenie podaję w spoilerze, ale podkreślam, że jest to akcja nie mająca związku z dyskiem D. To czyszczenie zrób na szarym końcu po diagnostyce sprzętowej, bo może się okazać, że wymiana dysku na widoku i podane instrukcje nie mają sensu (dysk do wymiany i stawianie systemu na nowo, notabene: obecnie tu widziany system daleki od porządku i czystości). Bo też i tu mamy problem sprzętowy i jest wysoce prawdopodobne, że zamuła jest tylko konsekwencją: Jeden fizyczny dysk twardy (pendrive się nie liczy) z dwiema partycjami (C+D). Partycja D nie jest nawet widziana przez FRST: ==================== Drives ================================ Drive c: () (Fixed) (Total:195.31 GB) (Free:91.99 GB) NTFS ==>[Drive with boot components (Windows XP)] Drive e: (Sims3EP10) (CDROM) (Total:4.37 GB) (Free:0 GB) UDF Drive h: () (Removable) (Total:1.83 GB) (Free:1.73 GB) FAT ==================== MBR & Partition Table ================== ======================================================== Disk: 0 (Size: 466 GB) (Disk ID: 05510550) Partition 1: (Active) - (Size=195 GB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=270 GB) - (Type=07 NTFS) ======================================================== Disk: 3 (Size: 2 GB) (Disk ID: 00000000) Partition 1: (Not Active) - (Size=2 GB) - (Type=06) Dziennik zdarzeń zgłasza złe bloki dysku: [ System Events ] Error - 2014-01-04 14:22:16 | Computer Name = PANI-4E013D6FD9 | Source = Disk | ID = 262151 Description = W urządzeniu \Device\Harddisk0\D wystąpił zły blok. Przenoszę temat do działu Hardware. Dodaj wymagane materiały: KLIK. Zrzut ekranu z diskmgmt.msc sobie daruj. Log FRST już całą strukturę rozpisał i obrazek nie dostarczy żadnych nowych danych. I widzę, że masz zainstalowany niejaki HDD Regenerator. Pozbądź się go. Powody: KLIK. Do solidnej diagnostyki używa się np. MHDD. O tym jest zresztą już w wytycznych działu Hardware. .

To dziwne zachowanie. Na początek sprawdź czy nie zaszły niepożądane zmiany z powodu skanu GMER, tzn. degradacja transferu dysku z DMA do PIO. Do wglądu Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Jeśli zostanie wykryte PIO, odinstaluj kanał i zresetuj system. Po tym ponów podejście z MBAM. Spokojnie można je usunąć. To są odpadki po pracy checkdisk (odcięte wadliwe dane). Wiem, że masz ich dużo, bo w FRST najnowszy z widocznych ma wysoki numer C:\FOUND.096. Już podejmowałam próbę usunięcia ich skryptem FRST, ale to nie wyszło, bo foldery mają atrybuty HS i musiałyby zostać zdjęte w pierwszej kolejności. Ominęłam więc babranie się z tym, skoro sam zasugerowałeś CCleaner, który ma w planie usuwanie tego. Tu co innego jest niepokojące: dlaczego ich jest aż tak dużo. Wielka ilość tych folderów wskazuje, że są tu powtarzające się w cyklach jakieś problemy ze strukturą systemu plików. I jeden z powodów jest jasny: ==================== Drives ================================ Drive c: () (Fixed) (Total:9.93 GB) (Free:1.72 GB) FAT32 ==>[Drive with boot components (Windows XP)] Archaiczny bardzo podatny na awarie system plików. Tu jest sugerowana konwersja (bez utraty danych) na bezpieczniejszy i mniej awaryjny NTFS. Konwersję robi się następująco: Start > Uruchom > cmd i w linii komend wpisz polecenie convert C: /fs:ntfs Na pytanie o dezinstalację woluminu odpowiedz twierdząco. Może tu być jedna przeszkoda: nędza z miejscem na dysku. Niecałe 2GB i nie wiem czy to wystarczy... Konwersja ma określone wymagania: KB314875. .