picasso

Firefox nie wygląda na odinstalowany, lub deinstalacja była mierna. Potwierdź mi, że go odinstalowałeś i nie widać go już w Panelu sterowania na liście programów, a przejdę do wykończenia go z dysku i rejestru. .

Wszystko zrobione. Ten "Smart Guard Protection" jest jeszcze w Menu Start, usuń go ręcznie stamtąd. Natomiast tu jeszcze do usuwania jest adware i pod tym kątem: 1. Przez Panel sterowania odinstaluj adware Babylon toolbar on IE, V9 Homepage Uninstaller oraz wszystkie stare Java (to jedna z przyczyn infekcji blokujących system) i wtyczki Adobe (Flash, Reader). 2. Firefox zabrudzony, ale czyszczenie nieopłacalne, to archaiczna dziurawa wersja Firefox 3.6.13 i należy się jej pozbyć. O ile potrzebne, skopiuj zakładki + hasła (i nic więcej) za pomocą MozBackup. Następnie odinstaluj Firefox, przy pytaniu o usuwanie danych użytkownika wyraź zgodę. 3. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy skan FRST (bez Addition). Dołącz log z AdwCleaner. Będą po tym jeszcze poprawki. .

Akcja podstawowa wykonana, ale to nie koniec. W wynikach skryptu widać, że jeden z Koszy na D się nie usunął, bo blokuje go plik infekcji jwgkvsq.vmx. Poprawka. Otwórz Notatnik i wklej w nim: Unlock: D:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx CMD: rd /s /q D:\RECYCLER Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw ten log. .

Obowiązkowe w tym dziale są także logi FRST oraz GMER.

Obowiązkowe w tym dziale są także logi FRST oraz GMER.

Detekcje "rootkit" w GMER: to obiekty Avast, infekcja wątpliwa. Natomiast tu nadal multum instalacji adware. 1. Otwórz Notatnik i wklej w nim: () C:\Program Files (x86)\Przyspiesz Komputer\PCSUService.exe (Just Develop It) C:\Program Files (x86)\MyPC Backup\BackupStack.exe (ClickMeIn Limited) C:\Program Files (x86)\VuuPC\Connectivity.exe (ClickMeIn Limited) C:\Program Files (x86)\VuuPC\RemoteEngine.exe () C:\Users\FOD\AppData\Local\tuto4pc_pl_17\upt4pc_pl_17.exe (Yontoo LLC) C:\Users\FOD\AppData\Roaming\Yontoo\YontooDesktop.exe () C:\Users\FOD\Qtrax\Player\Notification.exe (MyPCBackup.com) C:\Program Files (x86)\MyPC Backup\MyPC Backup.exe (SweetIM Technologies Ltd.) C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.) C:\Program Files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe (ClickMeIn Limited) C:\Program Files (x86)\VuuPC\RemoteEngineHelper.exe (ClickMeIn Limited) C:\Program Files (x86)\VuuPC\RemoteEngineHelper.exe R2 BackupStack; C:\Program Files (x86)\MyPC Backup\BackupStack.exe [32808 2013-05-31] (Just Develop It) R2 PCSUService; C:\Program Files (x86)\Przyspiesz Komputer\PCSUService.exe [388912 2013-05-23] () R2 RemoteEngineService; C:\Program Files (x86)\VuuPC\remoteengine.exe [2967568 2013-12-14] (ClickMeIn Limited) R2 VuuPCConnectivity; C:\Program Files (x86)\VuuPC\Connectivity.exe [4747280 2013-12-14] (ClickMeIn Limited) HKLM-x32\...\RunOnce: [upt4pc_pl_17.exe] - C:\Users\FOD\AppData\Local\tuto4pc_pl_17\upt4pc_pl_17.exe -runonce [3154416 2013-08-26] () HKCU\...\Run: [Yontoo Desktop] - C:\Users\FOD\AppData\Roaming\Yontoo\YontooDesktop.exe [42784 2013-01-31] (Yontoo LLC) HKCU\...\Run: [PCSpeedUp] - C:\Program Files (x86)\Przyspiesz Komputer\PCSUNotifier.exe [259888 2013-05-23] () HKCU\...\Run: [QtraxNotification] - C:\Users\FOD\Qtrax\Player\Notification.exe [118568 2013-07-30] () HKLM-x32\...\Run: [sweetIM] - C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe [115032 2012-10-04] (SweetIM Technologies Ltd.) HKLM-x32\...\Run: [sweetpacks Communicator] - C:\Program Files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe [231768 2012-08-15] (SweetIM Technologies Ltd.) AppInit_DLLs-x32: c:\progra~3\bitguard\261694~1.246\{c16c1~1\bitguard.dll [ ] () Startup: C:\Users\FOD\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MyPC Backup.lnk HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?babsrc=HP_ss_din2g&mntrId=3ECE50E5493C72E6&affID=119357&tt=180613_ndtc&tsp=4919 HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://search.babylon.com/?babsrc=HP_ss_wls&mntrId=3ECE50E5493C72E6&affID=125034&tsp=5032 SearchScopes: HKLM-x32 - DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10005&barid={DA375A44-74BD-4BB4-8ED6-1AED8DA86794} SearchScopes: HKLM-x32 - {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=HJxdm007YYpl&ptnrS=HJxdm007YYpl&si=CKCOtoDu47ECFYaEDgodOmgA7A&ptb=ADF357F2-C7C7-4C75-8024-7752B892308A&ind=2012081703&n=77edee27&psa=&st=sb&searchfor={searchTerms} SearchScopes: HKLM-x32 - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10005&barid={DA375A44-74BD-4BB4-8ED6-1AED8DA86794} SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=3ECE50E5493C72E6&affID=120699&tsp=5032 SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=3ECE50E5493C72E6&affID=120699&tsp=5032 SearchScopes: HKCU - {B141C441-159A-4D64-BC8D-DE9CBB3E1A91} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=&apn_ptnrs=^U3&apn_dtid=^YYYYYY^YY^PL&apn_uid=B355F912-CFBF-4F9E-900E-55B40591A659&apn_sauid=129A21FC-8240-476B-B1F5-1356B16A8092 SearchScopes: HKCU - {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=HJxdm007YYpl&ptnrS=HJxdm007YYpl&si=CKCOtoDu47ECFYaEDgodOmgA7A&ptb=ADF357F2-C7C7-4C75-8024-7752B892308A&ind=2012081703&n=77edee27&psa=&st=sb&searchfor={searchTerms} SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={DA375A44-74BD-4BB4-8ED6-1AED8DA86794} BHO: GBHO.BHO - {45d30484-7ded-43d9-957a-d2fd1f046511} - C:\Windows\System32\mscoree.dll (Microsoft Corporation) BHO-x32: searchgol Helper Object - {8F547BDD-FCD4-48F8-A06F-573D6F404A3C} - C:\Program Files (x86)\searchgol\searchgol\1.8.16.19\bh\searchgol.dll (Montera Technologeis LTD) BHO-x32: delta Helper Object - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files (x86)\Delta\delta\1.8.21.5\bh\delta.dll (Delta-search.com) BHO-x32: SweetPacks Browser Helper - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) BHO-x32: Yontoo - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files (x86)\Yontoo\YontooIEClient.dll (Yontoo LLC) Toolbar: HKLM - Smart Recovery 2 - {1d09c093-f71e-43c3-b948-19316cbd695e} - C:\Windows\System32\mscoree.dll (Microsoft Corporation) Toolbar: HKLM-x32 - SweetPacks Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) Toolbar: HKLM-x32 - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files (x86)\Delta\delta\1.8.21.5\deltaTlbr.dll (Delta-search.com) Toolbar: HKLM-x32 - searchgol Toolbar - {00078E95-3A4A-4137-8DE7-2824908D1C17} - C:\Program Files (x86)\searchgol\searchgol\1.8.16.19\searchgolTlbr.dll (Montera Technologeis LTD) Toolbar: HKCU - No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File FF HKLM-x32\...\Firefox\Extensions: [{C7AE725D-FA5C-4027-BB4C-787EF9F8248A}] - C:\Program Files (x86)\RelevantKnowledge\firefox FF Extension: RelevantKnowledge - C:\Program Files (x86)\RelevantKnowledge\firefox FF HKCU\...\Firefox\Extensions: [{dde15e35-c9b3-4c30-b055-730c5f4a45d3}] - C:\Program Files (x86)\Lyrmix\133.xpi CHR HKLM-x32\...\Chrome\Extension: [aipfmkinhleccnodemkoofnnofpbbpac] - C:\Users\FOD\AppData\Roaming\BabSolution\CR\searchgol.crx CHR HKLM-x32\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\FOD\AppData\Roaming\BabSolution\CR\Delta.crx CHR HKLM-x32\...\Chrome\Extension: [jcdgjdiieiljkfkdcloehkohchhpekkn] - C:\Users\FOD\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetFB.crx CHR HKLM-x32\...\Chrome\Extension: [kidmhllhjmmmnpbiaihafgchacpmokof] - C:\Program Files (x86)\Lyrmix\133.crx CHR HKLM-x32\...\Chrome\Extension: [mkndcbhcgphcfkkddanakjiepeknbgle] - C:\Program Files (x86)\RelevantKnowledge\rlcm.crx CHR HKLM-x32\...\Chrome\Extension: [niapdbllcanepiiimjjndipklodoedlc] - C:\Program Files (x86)\Yontoo\YontooLayers.crx CHR HKLM-x32\...\Chrome\Extension: [ogccgbmabaphcakpiclgcnmcnimhokcj] - C:\Users\FOD\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetNT.crx CHR HKLM\SOFTWARE\Policies\Google: Policy restriction Task: {11A9A023-3135-470C-9440-C80C8286E749} - System32\Tasks\QtraxPlayer => C:\Program Files (x86)\Microsoft Silverlight\sllauncher.exe [2013-09-13] (Microsoft Corporation) Task: {1F89FFFC-A5E8-44A9-AF9F-52DEE575EB3F} - System32\Tasks\VuuPCUpdate => C:\Program Files (x86)\VuuPC\VuuPCUpdater.exe [2013-12-14] (VuuPC Limited) Task: {5CC3B2C2-B003-4CE5-9320-C2326D01ABB1} - System32\Tasks\VuuPCUpdateLogin => C:\Program Files (x86)\VuuPC\VuuPCUpdater.exe [2013-12-14] (VuuPC Limited) Task: {729985D6-8FD4-4BCC-B832-BB9C7995884C} - System32\Tasks\PC SpeedUp Service Deactivator => C:\Program Files (x86)\Przyspiesz Komputer\PCSUSD.exe [2013-05-23] () Task: {99CC96BC-2EFD-4BB3-AEB7-01BB72F67B15} - System32\Tasks\0 => Chrome.exe Task: {A9FF3C90-9ADE-4338-8782-3D0C281C363C} - System32\Tasks\DSite => C:\Users\FOD\AppData\Roaming\DSite\UpdateProc\UpdateTask.exe [2013-06-20] () Task: {B244BD93-63B6-4B6F-90C8-9D8E3B9B0B49} - System32\Tasks\EPUpdater => C:\Users\FOD\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-10-08] () Task: {F95ECDE9-5185-4C1E-AC38-F8FABA9C32D4} - \Lyrmix Update No Task File Task: {FA3456A7-750D-44B2-8475-F7D4D97E4B30} - System32\Tasks\BitGuard => Sc.exe start BitGuard Task: C:\Windows\Tasks\DSite.job => C:\Users\FOD\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\Lyrmix Update.job => C:\Program Files (x86)\Lyrmix\LymxUD.exe Task: C:\Windows\Tasks\PC SpeedUp Service Deactivator.job => C:\Program Files (x86)\Przyspiesz Komputer\PCSUSD.exe 2013-12-11 14:17 - 2013-10-11 08:26 - 00000000 ____D C:\Users\FOD\AppData\Local\eorezo Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware: BitGuard, ConvertAd, Delta Chrome Toolbar, Delta toolbar, Google Chrome Extension Updater, Internet Explorer Toolbar 4.6 by SweetPacks, MyPC Backup, Przyspiesz Komputer, Qtrax Connection Manager, Qtrax Player, RelevantKnowledge, Search-Gol Chrome Toolbar, searchgol toolbar, SweetIM for Messenger 3.7, SweetPacks bundle uninstaller, tuto4pc_pl_17, tuto4pc_pl_32, Update for Word Viewer, Update Manager for SweetPacks 1.1, VuuPC, You're Always a Click Away!, Word Viewer Packages, Yontoo 1.10.02. 3. Wyczyść Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Ustawienia > karta Rozszerzenia > odinstaluj Ask Toolbar, Delta Toolbar, Search-Gol Toolbar, SweetIM for Facebook, SweetPacks Chrome Extension. Nie wiem co to jest InfoBird Pro, jeśli nie instalowany celowo, to też usuń. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki Ustawienia > karta Historia > wyczyść 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Wszystko zrobione. Drobne poprawki. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\wolnelektury-pl.xml 2013-12-19 14:12 - 2012-12-05 17:45 - 00707728 _____ (MindSpark) C:\Program Files (x86)\4zUninstall VideoDownloadConverter.dll 2013-12-19 14:12 - 2012-12-05 17:45 - 00178136 _____ () C:\Program Files (x86)\4zres.dll 2013-11-23 00:59 - 2013-12-19 14:08 - 00000000 ____D C:\Program Files (x86)\Notificatoin Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {6DEFE52D-6B8E-4A76-9820-DF8C1C07467A} /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {6DEFE52D-6B8E-4A76-9820-DF8C1C07467A} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {6DEFE52D-6B8E-4A76-9820-DF8C1C07467A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. Nie radzę. Gruby plik HOSTS może prowadzić do zawieszeń systemu i sieci. Przykład z forum: KLIK. Ów Hosts_Anti_Adwares_PUPs to program instalowany właśnie przez AdwCleaner. .

OTL (w postaci jaka jest uruchamiana spod Windows) i GMER w ogóle się nie uruchomią w środowisku zewnętrznym. Przecież jest napisane w przyklejonym jakie skanery się aplikują: KLIK. A nawet gdyby była taka możliwość, to nie w przypadku tego systemu. System x64 i wszystko co się uruchamia w linii komend "Napraw komputer" musi być natywnie 64-bitowe. W kwestii infekcji: siedzi tu wariant modyfikujący usługę Instrumentacji Windows w kombinacji z rogue "Smart Guard Protection". Akcja: 1. Otwórz Notatnik i wklej w nim: S2 Winmgmt; C:\ProgramData\7tbnrabnw.zvv [61536 2013-12-17] (Microsoft Corporation) HKLM\...\Policies\Explorer\Run: [1914] - c:\progra~3\msmqic.exe No File HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKU\Mariusz\...\Run: [AdobeBridge] - [x] C:\Users\Mariusz\AppData\Local\Temp\*.exe C:\Users\Mariusz\AppData\Roaming\9PX9tbY2jLO.mkj C:\Users\Mariusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\7tbnrabnw.lnk C:\Users\Mariusz\Desktop\Smart Guard Protection.lnk C:\Users\Mariusz\Desktop\Smart Guard Protection support.url C:\ProgramData\3XDV9nRn C:\ProgramData\7tbnrabnw.zvv C:\ProgramData\7tbnrabnw.reg C:\ProgramData\7tbnrabnw.fee C:\ProgramData\7tbnrabnw.odd C:\ProgramData\wnbarnbt7.jss C:\ProgramData\ms56283FDA.dat C:\found.* Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zresetuj system i wejdź w Tryb normalny. Przez Panel sterowania odinstaluj zbędny McAfee Security Scan Plus (instalacja sponsoringowa). 3. Zrób nowy skan FRST (spod Windows), zaznacz pole Addition, by powstał też drugi log. Dołącz plik fixlog.txt. .

Skrypt w ogóle się nie wykonał, dlatego nie ma poprawy. Otwórz plik fixlog.txt i sprawdź dlaczego: robiłeś skrypt w innym programie niż Notatnik. Wszystkie linie zwalone, dodane podwójne slesze i inne obiekty których być nie powinno, co spowodowało, że ścieżki nie zostały znalezione. Skrypt musi być robiony w Notatniku, FRST nie wspiera żadnych innych formatów. Skrypt musi wyglądać identycznie jak w moim poście. Zaszło w systemie wiele zmian, więc poprzedni skrypt nie pasuje już. Nowe instrukcje: 1. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM - DefaultScope value is missing. C:\WINDOWS\*.tmp C:\Documents and Settings\333\daemonprocess.txt C:\Documents and Settings\333\Ustawienia lokalne\Dane aplikacji\cache C:\Documents and Settings\333\Ustawienia lokalne\Dane aplikacji\Mobogenie C:\Documents and Settings\333\Moje dokumenty\Mobogenie C:\Program Files\Mobogenie D:\*.lnk D:\bu8.exe CMD: rd /s /q C:\RECYCLER CMD: rd /s /q D:\$RECYCLE.BIN CMD: rd /s /q D:\RECYCLED CMD: rd /s /q D:\RECYCLER CMD: rd /s /q F:\RECYCLER CMD: attrib /d /s -s -h D:\* CMD: netsh firewall reset Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zrób nowy log USBFix z opcji Listing. Dołącz plik fixlog.txt. .

To był komercyjny Avast? I Ty już tu byłeś z czymś podobnym: KLIK. Ale tu nie tylko touchpad nawala, ale i mysz, a to pasuje do Kasperskiego, jest tu widzialna przez FRST (OTL tego nie widzi) resztka sterownika Kasperskiego odpowiedzialnego za filtrowanie myszy: S3 klmouflt; system32\DRIVERS\klmouflt.sys [x] Przebicie filtrów załączę zbiorczo w skrypcie usuwającym inne szczątki: 1. Otwórz Notatnik i wklej w nim: HKCU\...\Run: [Mobile Partner] - C:\Program Files (x86)\PLAY Web partner\PLAY Web partner HKU\UpdatusUser\...\Run: [swg] - C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [39408 2010-10-07] (Google Inc.) HKU\UpdatusUser\...\Run: [Mobile Partner] - C:\Program Files (x86)\PLAY Web partner\PLAY Web partner HKU\UpdatusUser\...\Run: [lollipop] - "c:\users\irmina\appdata\local\lollipop\lollipop.exe" lollipop StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKCU - {93B847BF-3ACB-4F53-B6BA-EF631260DCF2} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=937811&p={searchTerms} SearchScopes: HKCU - {FD8AF44B-B71D-4EB7-BA2D-2DEFFA0F57DB} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=937811&p={searchTerms} BHO-x32: Download and Sa Class - {E0EA797D-A65C-6CD3-21D8-DA728CECD21E} - C:\ProgramData\Download and Sa\50b24bc8cefe2.ocx No File Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File CHR HKLM-x32\...\Chrome\Extension: [deehdablhkakabhglkmbfhgdncjfdpod] - C:\ProgramData\Download and Sa\deehdablhkakabhglkmbfhgdncjfdpod.crx C:\Windows\SysWOW64\*.tmp C:\ProgramData\InstallMate C:\Program Files (x86)\mozilla firefox\plugins\nppluginrichmediaplayer.dll C:\Program Files (x86)\mozilla firefox\plugins\npwachk.dll C:\Program Files (x86)\1clickmoviedownloader.com C:\Users\Irmina\Desktop\FreeTVDownloader.lnk C:\Users\Irmina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\1clickmoviedownloader.com C:\Users\Irmina\Downloads\Advanced Registry Doctor Pro 9.4.8.10_isdmgr.exe C:\Users\Irmina\Downloads\Advanced Registry Doctor Pro 9.4.8.10_isdmgr (1).exe C:\Users\Irmina\Downloads\Registry-Life(18391).exe S3 ASUSProcObsrv; \??\E:\I386\AsPrOb64.sys [x] S3 catchme; \??\C:\ComboFix\catchme.sys [x] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [x] S0 KL1; system32\DRIVERS\kl1.sys [x] S1 kl2; system32\DRIVERS\kl2.sys [x] S1 KLIF; system32\DRIVERS\klif.sys [x] S1 KLIM6; system32\DRIVERS\klim6.sys [x] S3 klmouflt; system32\DRIVERS\klmouflt.sys [x] U3 tmlwf; S2 tmpreflt; system32\DRIVERS\tmpreflt.sys [x] S1 tmtdi; system32\DRIVERS\tmtdi.sys [x] U3 tmwfp; S2 tmxpflt; system32\DRIVERS\tmxpflt.sys [x] S3 TuneUpUtilitiesDrv; \??\C:\Program Files (x86)\TuneUp Utilities 2013\TuneUpUtilitiesDriver64.sys [x] S2 vsapint; system32\DRIVERS\vsapint.sys [x] Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\MenuExt\Dodaj do blokowanych banerów" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\MenuExt\Dodaj do blokowanych banerów" /f Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d kbdclass /f Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d mouclass /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Zresetuj ręcznie system i zweryfikuj co z urządzeniami. 2. Akcje w przeglądarkach: - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. - W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zresetuj też cache wtyczek: w pasku adresów wpisz chrome://plugins i ENTER, na liście wtyczek wybierz dowolną i kliknij Wyłącz, następnie wtyczkę ponownie Włącz. 3. Jeśli aplikacja Mobogenie nie była instalowana celowo, odinstalować. A wygląda to na jakąś wymuszoną instalację, bo obiekty tworzone w tym samym czasie co "1clickmoviedownloader.com". 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

OK. Możemy przejść do dalszych czynności: 1. Otwórz Notatnik i wklej w nim: SearchScopes: HKCU - ŰźĆîZ§’2ąŢpv¨IÍá*X(Ž2s(ŰÎŔJşÔÓµť± vË°!×—(äĽ48иpatm6ęo^Mp`Ëő÷_iŁwľ!„Áű†x˘8€ŮjŔ˙ţ ´Ń;áa´[¦†8 ş~ŹRŮxśňÜ8'Ł-)x­ä­ URL = S2 SpyHunter 4 Service; C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE [x] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [x] S1 ihtuadfk; \??\C:\Windows\system32\drivers\ihtuadfk.sys [x] 2013-12-12 21:57 - 2013-12-12 21:57 - 00000000 ____D C:\Program Files\Enigma Software Group 2013-12-12 21:56 - 2013-12-12 21:56 - 00728960 _____ (Enigma Software Group USA, LLC.) C:\Users\Marek\Downloads\SpyHunter-Installer.exe 2013-12-13 00:27 - 2012-11-01 18:30 - 00000380 _____ C:\Users\Marek\AppData\Roaming\sp_data.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

Jest tu nowe adware do usuwania, skutek instalacji HotSpotShield. Mam też pytanie: ten wątpliwy HotSpotShield został zaistalowany w celu rozwiązania problemu ładowania stron, czy może efekty pojawiły się po jego instalacji? Do przeprowadzenia następujące akcje: 1. Otwórz Notatnik i wklej w nim: Task: {1335F653-BD15-47A3-98A5-FE6BF5066AA3} - System32\Tasks\{38A6C9C9-0871-4D65-B87D-3709FA71121D} => C:\Easter Avenger\EasterAvenger1.1.exe Task: {6C84702C-D310-4B82-A9A4-495D3275E4C7} - System32\Tasks\{9B904FAA-0CCF-4B7F-93AE-BE8D492FAB5F} => C:\Easter Avenger\EasterAvenger1.1.exe Task: {D1FBA3D7-4D19-472F-8B1C-A51C5730818F} - System32\Tasks\{7EBDD3D2-A6AA-4FE4-A9FB-F2EBC9A273F2} => C:\Easter Avenger\EasterAvenger1.1.exe Task: {935067CD-4918-444A-9809-BC88E527CDDE} - System32\Tasks\BackgroundContainer Startup Task => Rundll32.exe "C:\Users\Adam\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll",DllRun HKCU\...\Run: [backgroundContainer] - "C:\Windows\SysWOW64\Rundll32.exe" "C:\Users\Adam\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll",DllRun HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&CUI=UN35630368772843622&UM=1&ctid=CT1561552 HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com URLSearchHook: HKLM-x32 - Hotspot Shield Toolbar - {c95a4e8e-816d-4655-8c79-d736da1adb6d} - C:\Program Files (x86)\Hotspot_Shield\prxtbHots.dll (Conduit Ltd.) URLSearchHook: HKCU - Hotspot Shield Toolbar - {c95a4e8e-816d-4655-8c79-d736da1adb6d} - C:\Program Files (x86)\Hotspot_Shield\prxtbHots.dll (Conduit Ltd.) SearchScopes: HKLM-x32 - DefaultScope {BE0BBBB4-35ED-481B-889E-EA570502907B} URL = SearchScopes: HKCU - DefaultScope {BE0BBBB4-35ED-481B-889E-EA570502907B} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1561552&CUI=UN35630368772843622&UM=1 SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {BE0BBBB4-35ED-481B-889E-EA570502907B} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1561552&CUI=UN35630368772843622&UM=1 BHO-x32: Hotspot Shield Toolbar - {c95a4e8e-816d-4655-8c79-d736da1adb6d} - C:\Program Files (x86)\Hotspot_Shield\prxtbHots.dll (Conduit Ltd.) Toolbar: HKLM-x32 - Hotspot Shield Toolbar - {c95a4e8e-816d-4655-8c79-d736da1adb6d} - C:\Program Files (x86)\Hotspot_Shield\prxtbHots.dll (Conduit Ltd.) Toolbar: HKCU - No Name - {C95A4E8E-816D-4655-8C79-D736DA1ADB6D} - No File FF Extension: Hotspot Shield Extension - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\afext@anchorfree.com S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [x] C:\Users\Adam\Downloads\HSS-3-19-install-hss-596-conduit.exe Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Odinstaluj Hotspot Shield 3.19, Hotspot Shield Toolbar for IE, Messenger Plus! Community Smartbar. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Przypominam, że obowiązkowe tu są też raporty FRST, jako że OTL to już odstaje w tyle pod kątem skanu, na dodatek jest tu system x64 (FRST to jedyny skaner natywnie 64-bitowy). W podanych raportach nie ma żadnych oznak infekcji ZeroAccess w wersji do której pijesz (infekcja sterowników). Ta wersja zresztą jest starym wariantem (już rzadko na forum spotykanym) i w przypadku tego systemu niemożliwym nawet do wdrożenia (ZeroAccess w wariancie infekującym sterowniki w ogóle nie występował w kompilacji x64). Brak tu także i innych oznak infekcji, do czyszczenia są tylko miniaturowe wpisy puste, ale to na razie nieistotne. Temat przenoszę do działu Windows. Na razie z raportów (czekam nadal na FRST) nic nie wynika. Aczkolwiek widzę subtelne ślady po usuniętym Kaspersky Internet Security 2011, co owszem się może kojarzyć z efektem (filtry na urządzeniach pozostawione po niepoprawnej deinstalacji pakietu). Pytaniem jest kiedy ten pakiet rezydował, kiedy go usunięto. Poza tym, opis problemu zasadniczego jest słaby, nic z tego nie wiem. Logi zrobione z poziomu awaryjnego, czy ten tryb zmienia objawy? .

Błąd stąd, że w starcie ciągle jest skrót infekcji "policyjnej". Są tu także ślady infekcji z przenośnych USB. Natomiast spowolniony system może być wynikiem działającego w tle szczątkowego Mobogenie (program może być zresztą instalowany metodami adware), które wygląda na niepoprawnie usnięte. 1. Otwórz Notatnik i wklej w nim: () E:\Program Files\Mobogenie\DaemonProcess.exe HKLM\...\Run: [mobilegeni daemon] - E:\Program Files\Mobogenie\DaemonProcess.exe [761024 2013-12-11] () HKCU\...\Run: [NextLive] - E:\WINDOWS\system32\rundll32.exe "E:\Documents and Settings\Administrator\Dane aplikacji\newnext.me\nengine.dll",EntryPoint -m l Startup: E:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\runctf.lnk SearchScopes: HKCU - {3DBBA21D-36F2-40EE-B174-EC14C4DC9F27} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=EF32945B-D726-43F5-B851-D3AF4F7878F4&apn_sauid=0A85D3B9-7336-4084-87F7-938D093DCF10 Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File E:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js E:\Documents and Settings\All Users\Dane aplikacji\Ask E:\Documents and Settings\Administrator\.android E:\Documents and Settings\Administrator\daemonprocess.txt E:\Documents and Settings\Administrator\Moje dokumenty\Mobogenie E:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\cache E:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\genienext E:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mobogenie E:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files E:\Program Files\Mobogenie C:\autorun.inf E:\autorun.inf Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj McAfee Security Scan Plus. To instalacja sponsoringowa: KLIK. 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. Wypowiedz się czy jest poprawa. .

Nie wiem co to za log OTL tu podany (zrobiony 7 grudnia), z kompletnie innego 64-bitowego systemu. Usuwam ten załącznik. Rozumiem, że owym konwerterem był FreemakeVideoConverter i jego szczątki też mam usuwać. Nie tylko Mobogenie było niechcianą instalacją. Tu siedzą niedokładnie usunięte odpadki hijackera aartemis. Akcja: 1. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [mobilegeni daemon] - C:\Program Files\Mobogenie\DaemonProcess.exe [738496 2013-10-18] () SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387294360&from=cor&uid=ST9500325AS_5VE9JK2SXXXX5VE9JK2S&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387294360&from=cor&uid=ST9500325AS_5VE9JK2SXXXX5VE9JK2S&q={searchTerms} C:\Users\Łukasz\daemonprocess.txt C:\Users\Łukasz\AppData\Local\cache C:\Users\Łukasz\AppData\Local\FreemakeVideoConverter C:\Users\Łukasz\AppData\Local\Mobogenie C:\Users\Łukasz\AppData\Roaming\aartemis C:\Users\Łukasz\AppData\Roaming\OpenCandy C:\Users\Łukasz\Documents\Freemake C:\Users\wangzhisong C:\Program Files\BrowseSmart C:\Program Files\Mobogenie C:\ProgramData\Freemake C:\ProgramData\WPM Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Na komunikacie "Błąd pobierania pliku" jest plik w Temp (z takiej lokalizacji w ogóle nie powinno się otwierać plików, tylko je zapisać po ludzku np. na Pulpicie). Mam pytanie: z poziomu czego Ty go próbujesz otwierać, przeglądarki? Czy jeśli zapiszesz plik np. na Pulpicie i go spróbujesz otworzyć to też jest błąd? .

Ten "wirus W32" - co i w czym (ścieżki dostępu) go pokazało? W podanych tu raportach nie widać oznak infekcji, do korekty tylko drobne śmieci adware i wpisy puste: 1. Firefox jest zanieczyszczony, ale czyszczenie nie ma sensu, bo to archaiczna i dziurawa wersja Firefox 6.0. O ile potrzebne, skopiuj zakładki i hasła (i nic więcej) za pomocą MozBackup. Następnie odinstaluj Firefox i powiązany Mozilla ActiveX Control, a przy pytaniu czy usuwać dane użytkownika odpowiedz twierdząco, pozbądź się też wszystkich starych wtyczek Firefox deinstalując produkty Adobe (Flash + Reader) oraz Java 7 Update 17. Resztę Firefox dokończy mój skrypt: 2. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [KernelFaultCheck] - %systemroot%\system32\dumprep 0 -k HKCU\...\Run: [LG LinkAir] - [x] HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.delta-search.com/?affID=119781&tt=gc_&babsrc=HP_ss&mntrId=0059001C23187424 SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&affID=119781&tt=gc_&babsrc=SP_ss&mntrId=0059001C23187424 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&affID=119781&tt=gc_&babsrc=SP_ss&mntrId=0059001C23187424 SearchScopes: HKCU - {B6C5ECE3-4724-4029-9BE6-AB065FDC5BA0} URL = http://www.google.pl/cse?q={searchTerms}&cx=partner-pub-2489206448026482%3A4041638047&tbm=&ie=UTF-8#gsc.tab=0&gsc.q={searchTerms} S2 DS1410D; SYSTEM32\drivers\DS1410D.SYS [x] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [x] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [x] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x] C:\Documents and Settings\All Users\Dane aplikacji\APN C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\oem\Dane aplikacji\Babylon C:\Documents and Settings\oem\Dane aplikacji\Mozilla C:\Program Files\mozilla firefox Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{B8C11763-2306-4CEC-A9FB-AD9FAF14CC18}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh firewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Uruchom TFC - Temp Cleaner. 4. Możesz zainstalować najnowszy Firefox i zaimportować w nim dane z MozBackup. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

Poproszę o nowy zestaw raportów FRST. Które procesy zabierają najwięcej pamięci (przy zaznaczonej opcji "Pokaż procesy wszystkich użytkowników")?

Zrób nowe raporty FRST, zaznacz pole Addition, by ponownie powstał również drugi plik. .

1. Zacznij od poprawnych deinstalacji adware przez Panel sterowania: aartemis Browser Protecter, BitTorrentControl_v12 Toolbar, Bonanza Deals, Incredibar Toolbar on IE, IObit Apps Toolbar v8.5, WebCake 3.00, WPM17.8.0.3159. Pozbądź się też Splashtop Connect for Firefox, Splashtop Connect IE oraz reszty produktów IOBit (Advanced SystemCare 6, IObit Malware Fighter), nie dość, że adware instalowane (IObit Apps Toolbar), to ogólnie marka nie jest godna zaufania: KLIK. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 3. Wyczyść Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Ustawienia > karta Rozszerzenia > odinstaluj Advanced SystemCare Surfing Protection, Amazon Shopping Assistant by Spigot, BitTorrentControl_v12, BonanzaDeals, Ebay Shopping Assistant by Spigot, Domain Error Assistant, Extended Protection, Slick Savings, WebCake i co tam jeszcze podejrzanego widać. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki Ustawienia > karta Historia > wyczyść 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy skan FRST, zaznacz pole Addition, by powstał także drugi log. Dołącz log z AdwCleaner. .

Przyczyna dysfunkcji sieci = rozwalony łańcuch Winsock, nieobecny na dysku 32-bitowy plik Adpeak (modyfikacja Winsock przeprowadzona przez adware ScorpionSaver): Winsock: Catalog9 01 C:\windows\system32\AdpeakProxy.dll File Not found () Winsock: Catalog9 02 C:\windows\system32\AdpeakProxy.dll File Not found () Winsock: Catalog9 03 C:\windows\system32\AdpeakProxy.dll File Not found () Winsock: Catalog9 04 C:\windows\system32\AdpeakProxy.dll File Not found () Winsock: Catalog9 16 C:\windows\system32\AdpeakProxy.dll File Not found () Winsock: Catalog9-x64 01 C:\windows\system32\AdpeakProxy64.dll [439296] (Adpeak, Inc.) Winsock: Catalog9-x64 02 C:\windows\system32\AdpeakProxy64.dll [439296] (Adpeak, Inc.) Winsock: Catalog9-x64 03 C:\windows\system32\AdpeakProxy64.dll [439296] (Adpeak, Inc.) Winsock: Catalog9-x64 04 C:\windows\system32\AdpeakProxy64.dll [439296] (Adpeak, Inc.) Winsock: Catalog9-x64 16 C:\windows\system32\AdpeakProxy64.dll [439296] (Adpeak, Inc.) To nie wszystko. Tu jest multum instalacji adware, co odpowiada detekcjom MBAM, ale nie usuwaj na razie nic via MBAM, gdyż tu inna poprawniejsza metoda zostanie dobrana (deinstalacje). Niewiarygodna ilość śmieci. Akcja adresująca wszystko co powiedziane: 1. Otwórz Notatnik i wklej w nim: () C:\Program Files\Level Quality Watcher\v1.01\levelqualitywatcher64.exe (COMPANYVERS_NAME) C:\Program Files (x86)\VideoDownloadConverter_4z\bar\1.bin\4zbarsvc.exe (VER_COMPANY_NAME) C:\Program Files (x86)\VideoDownloadConverter_4z\bar\1.bin\4zbrmon.exe (SweetIM Technologies Ltd.) C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.) C:\Program Files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe S2 bonanzadealslive; C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-12-01] (BonanzaDeals) S3 bonanzadealslivem; C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-12-01] (BonanzaDeals) R2 Level Quality Watcher; C:\Program Files\Level Quality Watcher\v1.01\levelqualitywatcher64.exe [512504 2013-12-03] () R2 VideoDownloadConverter_4zService; C:\Program Files (x86)\VideoDownloadConverter_4z\bar\1.bin\4zbarsvc.exe [42504 2012-12-05] (COMPANYVERS_NAME) S3 TDEIO; \??\C:\Windows\SysWOW64\sysprep\BOOTPRIO\tdeio64.sys [x] HKLM\...\Run: [] - [x] HKLM-x32\...\Run: [VideoDownloadConverter Search Scope Monitor] - C:\Program Files (x86)\VideoDownloadConverter_4z\bar\1.bin\4zSrchMn.exe [42536 2012-12-05] (MindSpark) HKLM-x32\...\Run: [VideoDownloadConverter_4z Browser Plugin Loader] - C:\Program Files (x86)\VideoDownloadConverter_4z\bar\1.bin\4zbrmon.exe [30096 2012-12-05] (VER_COMPANY_NAME) HKLM-x32\...\Run: [sweetIM] - C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe [115032 2012-10-04] (SweetIM Technologies Ltd.) HKLM-x32\...\Run: [sweetpacks Communicator] - C:\Program Files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe [231768 2012-08-15] (SweetIM Technologies Ltd.) HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dosearches.com/?utm_source=b&utm_medium=wpc&utm_campaign=rg&utm_content=hp&from=wpc&uid=TOSHIBAXMQ01ABD050_32MBFBSOSXX32MBFBSOS&ts=1383778978 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dosearches.com/?utm_source=b&utm_medium=wpc&utm_campaign=rg&utm_content=hp&from=wpc&uid=TOSHIBAXMQ01ABD050_32MBFBSOSXX32MBFBSOS&ts=1383778978 HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.holasearch.com/?affID=121962&tt=gc_&babsrc=HP_ss&mntrId=A874446D5722A0DA HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=66016 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=wpc&utm_campaign=rg&utm_content=ds&from=wpc&uid=TOSHIBAXMQ01ABD050_32MBFBSOSXX32MBFBSOS&ts=1383778978&type=default&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dosearches.com/?utm_source=b&utm_medium=wpc&utm_campaign=rg&utm_content=hp&from=wpc&uid=TOSHIBAXMQ01ABD050_32MBFBSOSXX32MBFBSOS&ts=1383778978 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dosearches.com/?utm_source=b&utm_medium=wpc&utm_campaign=rg&utm_content=hp&from=wpc&uid=TOSHIBAXMQ01ABD050_32MBFBSOSXX32MBFBSOS&ts=1383778978 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.dosearches.com/web/?utm_source=b&utm_medium=wpc&utm_campaign=rg&utm_content=ds&from=wpc&uid=TOSHIBAXMQ01ABD050_32MBFBSOSXX32MBFBSOS&ts=1383778978&type=default&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=wpc&utm_campaign=rg&utm_content=ds&from=wpc&uid=TOSHIBAXMQ01ABD050_32MBFBSOSXX32MBFBSOS&ts=1383778978&type=default&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dosearches.com/?utm_source=b&utm_medium=wpc&utm_campaign=rg&utm_content=hp&from=wpc&uid=TOSHIBAXMQ01ABD050_32MBFBSOSXX32MBFBSOS&ts=1383778978 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.dosearches.com/?utm_source=b&utm_medium=wpc&utm_campaign=rg&utm_content=hp&from=wpc&uid=TOSHIBAXMQ01ABD050_32MBFBSOSXX32MBFBSOS&ts=1383778978 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://search.dosearches.com/web/?utm_source=b&utm_medium=wpc&utm_campaign=rg&utm_content=ds&from=wpc&uid=TOSHIBAXMQ01ABD050_32MBFBSOSXX32MBFBSOS&ts=1383778978&type=default&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,CustomizeSearch = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch URLSearchHook: HKCU - (No Name) - {93a3111f-4f74-4ed8-895e-d9708497629e} - C:\Program Files (x86)\VideoDownloadConverter_4z\bar\1.bin\4zSrcAs.dll (MindSpark) StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.dosearches.com/?utm_source=b&utm_medium=wpc&utm_campaign=rg&utm_content=sc&from=wpc&uid=TOSHIBAXMQ01ABD050_32MBFBSOSXX32MBFBSOS&ts=1383778978 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=wpc&utm_campaign=rg&utm_content=ds&from=wpc&uid=TOSHIBAXMQ01ABD050_32MBFBSOSXX32MBFBSOS&ts=1383778978&type=default&q={searchTerms} SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=wpc&utm_campaign=rg&utm_content=ds&from=wpc&uid=TOSHIBAXMQ01ABD050_32MBFBSOSXX32MBFBSOS&ts=1383778978&type=default&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=wpc&utm_campaign=rg&utm_content=ds&from=wpc&uid=TOSHIBAXMQ01ABD050_32MBFBSOSXX32MBFBSOS&ts=1383778978&type=default&q={searchTerms} SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=wpc&utm_campaign=rg&utm_content=ds&from=wpc&uid=TOSHIBAXMQ01ABD050_32MBFBSOSXX32MBFBSOS&ts=1383778978&type=default&q={searchTerms} SearchScopes: HKLM-x32 - {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=HJxdm073YYpl&ptnrS=HJxdm073YYpl&si=pconverter&ptb=E3BD0802-79A1-43A0-ACA7-69D62A3E017C&ind=2013012517&n=77fc2225&psa=&st=sb&searchfor={searchTerms} SearchScopes: HKLM-x32 - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={607F7794-6149-11E2-914C-E840F29FFD2E} SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=wpc&utm_campaign=rg&utm_content=ds&from=wpc&uid=TOSHIBAXMQ01ABD050_32MBFBSOSXX32MBFBSOS&ts=1383778978&type=default&q={searchTerms} SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.holasearch.com/?q={searchTerms}&affID=121962&tt=gc_&babsrc=SP_ss&mntrId=A874446D5722A0DA SearchScopes: HKCU - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} URL = http://www.crawler.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=66016 SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=wpc&utm_campaign=rg&utm_content=ds&from=wpc&uid=TOSHIBAXMQ01ABD050_32MBFBSOSXX32MBFBSOS&ts=1383778978&type=default&q={searchTerms} SearchScopes: HKCU - {AD072F87-F1D8-43BB-BB12-F546AE696E92} URL = http://search.softonic.com/INF00046/tb_v1?q={searchTerms}&SearchSource=4&cc=&r=245 SearchScopes: HKCU - {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=HJxdm073YYpl&ptnrS=HJxdm073YYpl&si=pconverter&ptb=E3BD0802-79A1-43A0-ACA7-69D62A3E017C&ind=2013012517&n=77fc2225&psa=&st=sb&searchfor={searchTerms} SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={607F7794-6149-11E2-914C-E840F29FFD2E} BHO-x32: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.8.4.9\bh\BabylonToolbar.dll (Babylon BHO) BHO-x32: Toolbar BHO - {312f84fb-8970-4fd3-bddb-7012eac4afc9} - C:\Program Files (x86)\VideoDownloadConverter_4z\bar\1.bin\4zbar.dll (MindSpark) BHO-x32: delta Helper Object - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files (x86)\Delta\delta\1.8.10.0\bh\delta.dll (Delta-search.com) BHO-x32: Search Assistant BHO - {c547c6c2-561b-4169-a2a5-20ba771ca93b} - C:\Program Files (x86)\VideoDownloadConverter_4z\bar\1.bin\4zSrcAs.dll (MindSpark) BHO-x32: SweetPacks Browser Helper - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) BHO-x32: smartdownloader Class - {F1AF26F8-1828-4279-ABCE-074EF3235BD7} - C:\Program Files (x86)\PutLockerDownloader\smarterdownloader.dll (TODO: ) BHO-x32: Yontoo - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files (x86)\Yontoo\YontooIEClient.dll (Yontoo LLC) BHO-x32: BonanzaDeals - {fe063412-bea4-4d76-8ed3-183be6220d17} - C:\Program Files (x86)\BonanzaDeals\BonanzaDealsIE.dll (BonanzaDeals) Toolbar: HKLM-x32 - VideoDownloadConverter - {48586425-6bb7-4f51-8dc6-38c88e3ebb58} - C:\Program Files (x86)\VideoDownloadConverter_4z\bar\1.bin\4zbar.dll (MindSpark) Toolbar: HKLM-x32 - Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.8.4.9\BabylonToolbarTlbr.dll (Babylon Ltd.) Toolbar: HKLM-x32 - SweetPacks Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) Toolbar: HKLM-x32 - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files (x86)\Delta\delta\1.8.10.0\deltaTlbr.dll (Delta-search.com) Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKCU - No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File Toolbar: HKCU - No Name - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No File Toolbar: HKCU - No Name - {48586425-6BB7-4F51-8DC6-38C88E3EBB58} - No File Hosts: 46.23.70.78 pagead2.googlesyndication.com FF Plugin-x32: @Nero.com/KM - C:\PROGRA~2\COMMON~1\Nero\BROWSE~1\NPBROW~1.DLL (Nero AG) FF Plugin-x32: @tools.bdupdater.com/BonanzaDealsLive Update;version=3 - C:\Program Files (x86)\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll (BonanzaDeals) FF Plugin-x32: @tools.bdupdater.com/BonanzaDealsLive Update;version=9 - C:\Program Files (x86)\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll (BonanzaDeals) FF Plugin-x32: @VideoDownloadConverter_4z.com/Plugin - C:\Program Files (x86)\VideoDownloadConverter_4z\bar\1.bin\NP4zStub.dll (MindSpark) FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\crawlersrch.xml FF HKLM-x32\...\Firefox\Extensions: [{D19CA586-DD6C-4a0a-96F8-14644F340D60}] - C:\Program Files (x86)\Common Files\McAfee\SystemCore FF HKLM-x32\...\Firefox\Extensions: [wrc@avast.com] - C:\Program Files\AVAST Software\Avast\WebRep\FF FF HKLM-x32\...\Firefox\Extensions: [4zffxtbr@VideoDownloadConverter_4z.com] - C:\Program Files (x86)\VideoDownloadConverter_4z\bar\1.bin FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK Task: {1FC3684B-68D3-4D37-8AE1-7628A90FECBC} - System32\Tasks\{3F7509AB-29F1-4A67-BEE9-1EF362DCA595} => Iexplore.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=5.10.0.116.259&LastError=12002 Task: {41DBA834-653A-4F21-8F0F-98CF7CBE3AA4} - \Program aktualizacji online firmy Adobe. No Task File Task: {4F7F93B0-2965-42EF-9629-E64CFFBC596B} - System32\Tasks\DSite => C:\Users\Patrycja\AppData\Roaming\DSite\UpdateProc\UpdateTask.exe [2013-04-05] () Task: {66718B37-FE98-439F-844E-94BFFE95B1BE} - System32\Tasks\BonanzaDealsUpdate => C:\Program Task: {88F6018B-7350-4FB0-AFEC-BC9DBEAA67A0} - System32\Tasks\Sk-Enhancer-S-5499298658 => c:\programdata\wintersoft\sk-enhancer\Sk-Enhancer.exe Task: {9C9C7922-CA60-4722-ACE1-4DBDCCE8454F} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-12-01] (BonanzaDeals) Task: {BC6F5F17-5C19-4F4C-9600-2FBA6373E9EE} - System32\Tasks\AdobeFlashPlayerUpdate => C:\windows\SysWOW64\FlashPlayerUpdateService.exe Task: {BE2E6E94-65ED-4BDA-9DD4-E34A79D27DBD} - System32\Tasks\BrowserProtect => Sc.exe start BrowserProtect Task: {FF69E77D-E927-45B3-8AC9-2C6312064737} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-12-01] (BonanzaDeals) Task: C:\windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\windows\Tasks\Sk-Enhancer-S-5499298658.job => c:\programdata\wintersoft\sk-enhancer\Sk-Enhancer.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AdpeakProxy => ""="service" C:\Windows\system32\AdpeakProxy64.dll C:\Windows\Koston 360 Flip.dat C:\Program Files (x86)\Gophoto.it C:\Program Files (x86)\PutLockerDownloader C:\Program Files (x86)\Mobogenie C:\ProgramData\IBUpdaterService C:\ProgramData\Microsoft\Windows\DRM\Server C:\Users\wangzhisong C:\Users\Patrycja\daemonprocess.txt C:\Users\Patrycja\AppData\Local\cache C:\Users\Patrycja\AppData\Local\Google C:\Users\Patrycja\AppData\Local\Mobogenie C:\Users\Patrycja\AppData\Roaming\File Scout C:\Users\Patrycja\AppData\Roaming\PerformerSoft C:\Users\Patrycja\Documents\Mobogenie Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f CMD: netsh winsock reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Jeśli FRST nie wymusi resetu systemu, zrób to ręcznie, bo komenda resetu Winsock tego wymaga. Następnie: 2. Przez Panel sterowania odinstaluj adware: Babylon Chrome Toolbar, Babylon toolbar, Bonanza Deals, BrowserProtect, Delta toolbar, Level Quality Watcher, Notificatoin, ScorpionSaver, ScorpionSaver Services, surfa anD kkeep, SweetIM Bundle by SweetPacks, SweetIM for Messenger 3.7, Toolbar 4.7 by SweetPacks, Update for PDF Creator, Update Manager for SweetPacks 1.1, VideoDownloadConverter Toolbar, Yontoo 1.10.03, YoutubeAdblocker. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Na temat urządzenia: te pliki to są skróty infekcji a nie dane właściwe i nie wolno ich otwierać (!), a dane właściwe zostały ukryte przez atrybuty HS i nie widzisz ich, gdyż nie masz odznaczonej opcji Ukryj chronione pliki systemu operacyjnego w Opcjach folderów. Akcja czyszczenia będzie więc polegać na usunięciu skrótów infekcji i odkryciu danych zasadniczych. Ale to nie koniec złych rzeczy: system jest także zaprawiony reklamiarzami adware, dodatkowo jeszcze w Firefox chyba rozmyślnie zainstalowałeś rozszerzenie "Easy YouTube Video Downloader", a to szkodliwe rozszerzenie (KLIK), zresztą już nie istnieje. Adresując to wszystko: 1. Zakładam, że zdefektowany dysk jest nadal pod literą D:. Otwórz Notatnik i wklej w nim: (BonanzaDeals) C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe S2 bonanzadealslive; C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-10-28] (BonanzaDeals) S3 bonanzadealslivem; C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-10-28] (BonanzaDeals) S2 WebCake Desktop Updater; C:\Documents and Settings\333\Dane aplikacji\WebCake\WebCakeDesktop.exe [47896 2013-05-24] (WebCake LLC) S2 eSafeSvc; C:\Documents and Settings\All Users\Dane aplikacji\eSafe\eSafeSvc.exe [x] Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\333\DANEAP~1\FoxTab\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\WINDOWS\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\WINDOWS\Tasks\EPUpdater.job => C:\DOCUME~1\333\DANEAP~1\BABSOL~1\Shared\BabMaint.exe AppInit_DLLs: c:\docume~1\alluse~1\daneap~1\browse~1\261562~1.220\{c16c1~1\browse~1.dll [ ] () HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=10327A7919B168B9&affID=121565&tsp=4993 HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=10327A7919B168B9&affID=121565&tsp=4993 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=SAMSUNGXHM321HI_S2HZJ9FB307092&ts=1373014102 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=10327A7919B168B9&affID=119357&tsp=4986 BHO: WebCake - {2A5A2A90-3B30-4E6E-A955-2F232C6EF517} - C:\Program Files\WebCake\WebCakeIEClient.dll (WebCake LLC) BHO: No Name - {95B7759C-8C7F-4BF1-B163-73684A933233} - No File BHO: delta Helper Object - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files\Delta\delta\1.8.24.6\bh\delta.dll (Delta-search.com) BHO: BonanzaDeals - {fe063412-bea4-4d76-8ed3-183be6220d17} - C:\Program Files\BonanzaDeals\BonanzaDealsIE.dll (BonanzaDeals) Toolbar: HKLM - No Name - {95B7759C-8C7F-4BF1-B163-73684A933233} - No File Toolbar: HKLM - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files\Delta\delta\1.8.24.6\deltaTlbr.dll (Delta-search.com) FF Plugin: @google.com/npPicasa3,version=3.0.0 - C:\Documents and Settings\333\Pulpit\jj\Picasa3\npPicasa3.dll No File FF Plugin: @tools.bdupdater.com/BonanzaDealsLive Update;version=3 - C:\Program Files\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll (BonanzaDeals) FF Plugin: @tools.bdupdater.com/BonanzaDealsLive Update;version=9 - C:\Program Files\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll (BonanzaDeals) C:\Documents and Settings\333\Ustawienia lokalne\Temp\*.exe C:\Documents and Settings\333\Dane aplikacji\BabSolution C:\Documents and Settings\333\Dane aplikacji\Babylon C:\Documents and Settings\333\Dane aplikacji\Desk 365 C:\Documents and Settings\333\Dane aplikacji\OpenCandy C:\Documents and Settings\333\Dane aplikacji\SimilarSites C:\Documents and Settings\333\Dane aplikacji\Systweak C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\eSafe D:\*.lnk D:\bu8.exe CMD: rd /s /q C:\RECYCLER CMD: rd /s /q D:\$RECYCLE.BIN CMD: rd /s /q D:\RECYCLED CMD: rd /s /q D:\RECYCLER CMD: rd /s /q F:\RECYCLER CMD: attrib /d /s -s -h D:\* CMD: netsh firewall reset Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj: AVG Security Toolbar, Bonanza Deals, BrowserDefender, Delta Chrome Toolbar, Delta toolbar, Foxtab, FTDownloader, McAfee Security Scan Plus, WebCake 3.00. Jeśli Mobogenie nie był instalowany celowo (ten program może być instalowany też metodą adware), to też się go pozbądź. 3. Wyczyść Firefox z adware i złych rozszerzeń: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy skan FRST (bez Addition) i log USBFix z opcji Listing. Dołącz plik fixlog.txt i log z AdwCleaner. .

Skrypt wykonany. Nic na razie nie zadałam, bo oczekuję na potwierdzenie stanu systemu po deinstalacji Avast, czy nadal system "działa bardzo wolno". Niemożność utworzenia raportu to rzecz podrzędna. Jak powiedziałam wyżej, interesuje mnie performance systemu w stanie obecnym. Potem można rozważać czy Avast ma być znów instalowany czy coś innego. Ja napisałam: Czyli: pierwsza porcja usuwania szczątków adware była w spoilerze, a druga porcja to był reset Firefox. Teraz doinstaluj sobie Adblocka, tylko jak mówiłam należy ustawić opcję "Wyłącz blokowanie na film.wp.tv", by ominąć błędy na tej konkretnej stronie. Nie ma takiej potrzeby. .

Chodzi o oba produkty: - Usunięcie starej wtyczki Adobe Flash Player 10 ActiveX (to wersja dla IE, wersja dla innych przeglądarek jest już nowa). - Zakreśliłam też Adobe Reader X (10.1.8), gdyż jest znacznie nowsza wersja. Czyli odinstaluj obecną, zainstaluj najnowszą. .

Na razie nic nie instaluj, by nie zaciemnić sprawy i nie wpaść z deszczu pod rynnę. Musisz się upewnić, że komputer się nie zawiesza. Potem będziemy gadać o antywirusach. .