picasso

Temat przenoszę do działu Windows. To nie problem infekcji. Ponadto, przeprowadzone działania w ogóle bez związku (chowam do spoilerów). Ale dokończ szczegóły: Jak podkreślam: to bez związku z problemem. W pierwszym raporcie FRST był widzialny czynny proces aktualizacyjny, który jest znany z tworzenia takich efektów (samoczynne minimalizacje / zmiana focusu okna): ==================== Processes (Whitelisted) ================= (Huawei Technologies Co., Ltd.) C:\Users\KK\AppData\Roaming\blueconnect\ouc.exe ==================== Registry (Whitelisted) ================== HKCU\...\Run: [HW_OPENEYE_OUC_blueconnect] - C:\Program Files (x86)\blueconnect\UpdateDog\ouc.exe [110592 2009-12-31] (Huawei Technologies Co., Ltd.) I to świeża instalacja, wg raportów instalowałeś Blueconnect 27 listopada (dwa dni przed założeniem tematu). Dla porównania temat: KLIK. Uruchom Autoruns i w karcie Logon odznacz wpis HW_OPENEYE_OUC_blueconnect. Zresetuj system. Podaj czy są pożądane zmiany. muzyk75 Drobne uwagi: - skrypt w poście #2: O20 to wpis Spybot, należało sprawdzić log po jego deinstalacji. - skrypt w poście #4 nie przetworzy wpisów "DefaultScope". OTL te wartości resetuje na puste (już takie są) a nie kasuje, więc skrypt to kręcenie się w kółko. Poza tym, .DEFAULT to tylko skrót / link symboliczny do S-1-5-18, czyli to jeden i ten sam wpis. Dwa razy załączone to samo, wystarczy raz, aktualizacja odbywa się w dwóch miejscach na raz. .

Proszę dostosuj się do zasad działu, tu są także obowiązkowe raporty z FRST. Dodaj. .

Na analizę problemu potrzebuję więcej czasu. Jeśli mówisz o skrypcie do FRST, to nie miał w ogóle związku z problemem. Wyraźnie zaznaczyłam, że jest to usuwanie szkód w Winsock po infekcji ZeroAccess oraz wpisów pustych. To wg pliku fixlog.txt wykonane. Ale: Jeśli zrzuciłeś kopię, to mogłeś odkręcić powyższe działanie. Nie wiem co zawiera kopia sprzed 12 miesięcy. Logi z widoku tamtej kopii o tyle tylko przydatne, by porównać czy usuwane wpisy były tam obecne. .

Wszystko wykonane. Przejdź do wykończeń: 1. Ponownie uruchom TFC - Temp Cleaner. 2. Przez SHIFT+DEL skasuj foldery: C:\FRST E:\Users\Konrad\Desktop\Stare dane programu Firefox E:\Users\Konrad\Downloads\FRST-OlderVersion W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. W związku z obecnością loggerów Tibia pozmieniaj prewencyjnie hasła w grach i innych serwisach. 5. Do aktualizacji cały Windows, pakiet Office, Silverlight i Adobe Reader: KLIK. Stan obecny: Microsoft Windows 7 Ultimate (X86) OS Language: Polish Internet Explorer Version 8 ==================== Installed Programs ====================== Adobe Reader XI (11.0.03) (Version: 11.0.03) Microsoft Office Enterprise 2007 (Version: 12.0.4518.1014) Microsoft Silverlight (Version: 5.1.20513.0) .

Temat jedzie do działu Vista. Oznak infekcji brak. Tylko kosmetyka (bez związku z problemami) szczątków adware i odinstalowanych aplikacji. W spoilerze: Nasuwa się, że to zdefektowany Avast przedłuża start. W Trybie awaryjnym zastosuj narzędzie Avast Uninstall Utility. Jeśli chodzi o aplikacje ASUS, to ewentualnie te można usunąć: ==================== Installed Programs ====================== ASUS CopyProtect (Version: 1.0.0006) ASUS LifeFrame3 (Version: 3.0.7) > zrzuter ekranu / edytor powiązany z kamerą ASUS Power4Gear eXtreme (Version: 1.0.17) > tweaker zasilania ASUS SmartLogon (Version: 1.0.0005) > logowanie do komputera za pomocą rozpoznawania twarzy ASUS Splendid Video Enhancement Technology (Version: 1.02.0021) > ASUSowe "poprawianie" jakości ekranu ASUS Virtual Camera (Version: 1.0.09) > jeśli nie korzystasz z kameery Asus_Camera_ScreenSaver (Version: 2.0.0007) Wersje MS Visual obecne w systemie: Microsoft Visual C++ 2005 Redistributable (Version: 8.0.61001) Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 (Version: 9.0.21022) Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022.218 (Version: 9.0.21022.218) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (Version: 9.0.30729) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (Version: 9.0.30729.4148) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (Version: 9.0.30729.6161) Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319 (Version: 10.0.30319) Jaki jest cel deinstalacji tego? Wersje 2005, 2008 i 2010 nie zastępują się. Konkretna aplikacja oparta o biblioteki danej wersji tejże wymaga. Wykryty stan: Microsoft® Windows Vista™ Home Premium Service Pack 2 (X86) OS Language: Polish Internet Explorer Version 9 To normalne. Dla Vista ostatnia dostępna wersja to IE9. Wersje IE10 i IE11 są tylko dla systemów Windows 7 i nowszych. O co Ci konkretnie chodzi? .

Skrypt do FRST niepoprawnie wykonany. Porównaj co jest w moim poście, a co w pliku wklejonym do Notatnika = wszystkie linie niepoprawnie sklejone, a mają być przerwy ENTER jak w moim poście. Powtarzaj zadanie. Skrypt musi mieć przejścia do nowej linii dokładnie jak podałam. + Skoro to jest jeszcze przed logo Windows, to podejrzane są urządzenia i sterowniki. Był uruchamiany GMER. Zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. .

Kończymy: 1. Przez SHIFT+DEL skasuj: C:\FRST C:\Users\Przemek\Desktop\Stare dane programu Firefox C:\Users\Przemek\Downloads\FRST-OlderVersion C:\Users\Przemek\Downloads\Java-SE(13186).exe W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Ominąłeś deinstalację Akamai NetSession Interface. Poza tym, do usunięcia starsze wersje Adobe (zastąp najnowszymi) i Java: ==================== Installed Programs ====================== Adobe Flash Player 11 ActiveX (x32 Version: 11.8.800.174) ----> wtyczka dla IE Adobe Flash Player 11 Plugin (x32 Version: 11.8.800.168) ----> wtyczka dla Firefox Adobe Reader XI - Polish (x32 Version: 11.0.00) Java™ 6 Update 20 (x32 Version: 6.0.200) 3. Wyczyść foldery Przywracania systemu: KLIK. .

Czy po wykonaniu działań jest jakaś zmiana w pracy systemu? I jeszcze poprawki na szczątki: 1. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. 2. Otwórz Notatnik i wklej w nim: Task: {2D0C9B8D-3B6E-4B66-8951-8C4F6887D7D9} - System32\Tasks\Norton Identity Safe\Norton Error Processor => E:\Program Files\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe Task: {FECAA87A-5E95-42B9-B6A3-E91D4D3F5E29} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => E:\Program Files\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe SearchScopes: HKLM - DefaultScope value is missing. Toolbar: HKCU - No Name - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - No File E:\ProgramData\Norton E:\ProgramData\Uniblue E:\Users\Konrad\AppData\Local\OtLand E:\Users\Konrad\Documents\Norton AntiVirus.lnk Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. .

Skrypt pomyślnie wykonany. Kończymy: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. .

Jeszcze drobne poprawki: 1. Otwórz Notatnik i wklej w nim: Task: {8A36D528-E38F-4268-BDAC-559789481759} - System32\Tasks\{BD9A3024-06DF-4005-94C9-9EBC0F0173E3} => D:\opera.exe [2013-11-04] (Opera Software) Task: {A7469511-BC42-4672-8701-4335EA301EEA} - System32\Tasks\{626E839E-DDCF-4593-BDBE-B9C10F94F0BC} => D:\opera.exe [2013-11-04] (Opera Software) Task: {C455AD20-73A3-4C48-93C0-194093593EF8} - System32\Tasks\{43E1D553-2A44-4D92-B2F3-BC1871AF82EF} => C:\Users\Daniel\Downloads\dotNetFx35setup.exe Task: {C5E67A95-8E6C-4B53-A242-C5A4A806A766} - System32\Tasks\{29ED08F5-5BF8-4CC5-A85E-A34999384CD1} => D:\opera.exe [2013-11-04] (Opera Software) Task: {F46D8905-BAA0-4AB5-848C-43B3A0A590A3} - System32\Tasks\{EAF9BE5D-77B1-4F72-884C-1A7EECF5628F} => D:\opera.exe [2013-11-04] (Opera Software) S2 SpyHunter 4 Service; C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE [x] S2 vToolbarUpdater13.0.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\13.0.0\ToolbarUpdater.exe [x] S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2012-06-22] () S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [x] 2013-12-05 01:33 - 2012-06-22 11:01 - 00022704 _____ C:\Windows\system32\Drivers\EsgScanner.sys 2013-12-05 01:09 - 2013-12-05 01:09 - 00000000 ____D C:\Program Files\Enigma Software Group 2013-12-05 01:04 - 2013-12-05 01:04 - 00728960 _____ (Enigma Software Group USA, LLC.) C:\Users\Gość\Desktop\SpyHunter-Installer.exe 2013-12-05 00:25 - 2013-12-10 21:40 - 00000000 ____D C:\Windows\72AAF4551E54475BB0AB5413C78D0E63.TMP Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

Widać tu jeszcze do usunięcia szczątki adware. 1. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [fst_pl_6] - [x] HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.aartemis.com/web/?type=ds&ts=1386336275&from=cor&uid=WDCXWD1600AVJS-63SWA0_WD-WMAP9C94827348273&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aartemis.com/web/?type=ds&ts=1386336275&from=cor&uid=WDCXWD1600AVJS-63SWA0_WD-WMAP9C94827348273&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aartemis.com/web/?type=ds&ts=1386336275&from=cor&uid=WDCXWD1600AVJS-63SWA0_WD-WMAP9C94827348273&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.aartemis.com/web/?type=ds&ts=1386336275&from=cor&uid=WDCXWD1600AVJS-63SWA0_WD-WMAP9C94827348273&q={searchTerms} URLSearchHook: HKCU - Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://aartemis.com/?type=sc&ts=1386336275&from=cor&uid=WDCXWD1600AVJS-63SWA0_WD-WMAP9C94827348273 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1386336275&from=cor&uid=WDCXWD1600AVJS-63SWA0_WD-WMAP9C94827348273&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1386336275&from=cor&uid=WDCXWD1600AVJS-63SWA0_WD-WMAP9C94827348273&q={searchTerms} SearchScopes: HKLM - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=17&barid={15C9A1D0-0703-455B-AAF2-CDE137FB471E} SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKCU - No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File DPF: {41564D57-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/0/A/9/0A9F8B32-9F8C-4D74-A130-E4CAB36EB01F/wmvadvd.cab DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab FF Extension: No Name - C:\Program Files\Mozilla Firefox\extensions\Extensions.rdf FF Extension: No Name - C:\Program Files\Mozilla Firefox\extensions\installed-extensions-processed.txt CHR HKCU\SOFTWARE\Policies\Google: Policy restriction S2 ADILOADER; System32\Drivers\adildr.sys [x] S3 adiusbaw; system32\DRIVERS\adiusbaw.sys [x] S1 soqwx32; \??\C:\WINDOWS\system32\drivers\soqwx32.sys [x] C:\WINDOWS\Tasks\Norton Security Scan for gd.job C:\WINDOWS\system32\roboot.exe C:\Program Files\MyPC Backup C:\Program Files\predm C:\Program Files\Mobogenie C:\Documents and Settings\All Users\Dane aplikacji\ESET C:\Documents and Settings\All Users\Dane aplikacji\SweetIM C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\GD\daemonprocess.txt C:\Documents and Settings\GD\Dane aplikacji\0F1F1C2Y1H1P1C0I0T C:\Documents and Settings\GD\Dane aplikacji\aartemis C:\Documents and Settings\GD\Dane aplikacji\ESET C:\Documents and Settings\GD\Dane aplikacji\MetaCrawler C:\Documents and Settings\GD\Dane aplikacji\OpenCandy C:\Documents and Settings\GD\Dane aplikacji\systweak CMD: netsh firewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Odinstaluj adware: - Przez Dodaj/Usuń programy: IB Updater Service, Norton Security Scan, Update Manager for SweetPacks 1.1. - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. - Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Extended Protection. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log utworzony przez AdwCleaner. .

Przepraszam, drobna pomyłka (już zedytowałam). Log utworzony przez AdwCleaner też ma być dołączony.

1. Otwórz Notatnik i wklej w nim: HKCU\...\Policies\Explorer\Run: [Google] - C:\Documents and Settings\shad\Dane aplikacji\396B58\396B58.exe No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1382896227&from=cor&uid=ST3500418AS_9VM76VH5XXXX9VM76VH5 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382896227&from=cor&uid=ST3500418AS_9VM76VH5XXXX9VM76VH5&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382896227&from=cor&uid=ST3500418AS_9VM76VH5XXXX9VM76VH5&q={searchTerms} SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\Windows\Tasks\At1.job C:\Program Files\Google\Desktop C:\Program Files\BonanzaDeals C:\Program Files\Mobogenie C:\Documents and Settings\shad\daemonprocess.txt C:\Documents and Settings\shad\Moje dokumenty\Mobogenie C:\Documents and Settings\shad\Ustawienia lokalne\Dane aplikacji\cache C:\Documents and Settings\shad\Ustawienia lokalne\Dane aplikacji\Mobogenie CMD: netsh winsock reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Wyczyść przeglądarki z adware: - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. - Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Extended Protection. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition) oraz Farbar Service Scanner. Dołącz plik fixlog.txt i log AdwCleaner. .

Tu jest niedoczyszczona infekcja rootkit ZeroAccess, w tym uszkodzony przez nią łańcuch sieciowy Winsock. Ale zanim za to się zabiorę: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 03-10-2013 (ATTENTION: ====> FRST version is 69 days old and could be outdated) Posłużyłeś się strasznie starym FRST, ten program musi być za każdym razem pobierany na nowo (liczne fiksy i aktualizacje). Pobierz najnowszą wersję z przyklejonego: KLIK. Zrób nowe logi (zaznacz pole Addition, by powstał ponownie też drugi raport). .

1. Odinstaluj te widoczne pozycje, o ile się da. 2. Następnie przejdź w Tryb awaryjny Windows i popraw narzędziem Norton Removal Tool. 3. Zrób nowe raporty FRST (ma powstać po raz kolejny plik Addition). .

Ostatnie zadanie wykonane. Czynności końcowe: 1. Ponownie uruchom TFC - Temp Cleaner. 2. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj systemowy Internet Explorer oraz Silverlight: KLIK. Wersje widziane jako aktualnie zainstalowane: Internet Explorer Version 9 ==================== Installed Programs ====================== Microsoft Silverlight (x32 Version: 5.1.10411.0) W systemie było dużo instalacji adware, więc do czytania ten materiał jak ograniczyć takie niepożądane elementy: KLIK. .

Zadania wykonane, będą jeszcze poprawki. Niemniej nadal widzę na liście zainstalowanych pozycje: ==================== Installed Programs ====================== Norton Identity Safe (Version: 2014.6.0.27) Norton Internet Security (Version: 18.1.0.37) Tibia MULTI-ip changer Czy Ty je widzisz na liście deinstalacji programów? .

Wszystko zrobione. Małe poprawki. Otwórz Notatnik i wklej w nim: C:\Users\ZaMlodyZebyUmierac\AppData\Roaming\Mozilla\Firefox\Profiles\v10cz46z.default\user.js C:\Users\ZaMlodyZebyUmierac\AppData\Local\Google CMD: sc config wscsvc start= delayed-auto Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy plik fixlog.txt. Tyle wystarczy, nowych logów nie rób już. .

W kwestii "Panie": jestem płci żeńskiej. Temat rozwiązany. Zamykam. .

Tu może mulić z dwóch powodów: - Przeinwestowane oprogramowanie zabezpieczające, czysta zgroza: zainstalowane i czynne równolegle AVG 2014 + Norton Internet Security. - Infekcja. Mamy co czyścić, w systemie są keyloggery Tibia (nabyte z lewych instalacji botów / changerów etc. do Tibia), jeden z keyloggerów czynny: ==================== Processes (Whitelisted) =================== (Oracle Corporation) E:\Windows\System32\javaw.exe ==================== Registry (Whitelisted) ================== HKCU\...\Run: [spoolsv32] - "E:\Windows\system32\javaw.exe" -jar "E:\Users\Konrad\AppData\Roaming\Win32\spoolsv32.jar" Jest też adware, załatwiłeś się portalowymi "Asystentami pobierania", widać pobrane pliki tych śmieci a nie poprawne instalatory: 2013-12-11 15:15 - 2013-12-11 15:15 - 00401720 _____ (Softonic ) E:\Users\Konrad\Downloads\SoftonicDownloader_dla_jetclean.exe 2013-11-30 17:51 - 2013-11-30 17:52 - 00685248 _____ E:\Users\Konrad\Downloads\3nity-CD-DVD-BURNER(39358).exe 2013-11-12 15:25 - 2013-11-12 15:25 - 00685248 _____ E:\Users\Konrad\Downloads\Norton-AntiVirus(12646)(2).exe 2013-11-12 15:18 - 2013-11-12 15:18 - 00684184 _____ E:\Users\Konrad\Downloads\Norton-AntiVirus(12646).exe.part 2013-11-12 15:18 - 2013-11-12 15:18 - 00683920 _____ E:\Users\Konrad\Downloads\Norton-AntiVirus(12646)(1).exe.part 2013-11-12 15:18 - 2013-11-12 15:18 - 00000000 _____ E:\Users\Konrad\Downloads\Norton-AntiVirus(12646).exe 2013-11-12 15:18 - 2013-11-12 15:18 - 00000000 _____ E:\Users\Konrad\Downloads\Norton-AntiVirus(12646)(1).exe Do czytania na potem o portalach i jak uniknąć tych syfów: KLIK. Akcja: 1. Otwórz Notatnik i wklej w nim: (Oracle Corporation) E:\Windows\System32\javaw.exe HKCU\...\Run: [spoolsv32] - "E:\Windows\system32\javaw.exe" -jar "E:\Users\Konrad\AppData\Roaming\Win32\spoolsv32.jar" Winlogon\Notify\LogonInit: logonInit.dll [X] Task: {39D73616-7CCF-4219-BD4F-87C919A30E88} - System32\Tasks\Go for FilesUpdate => E:\Program Files\GoforFiles\GFFUpdater.exe Task: {4A3F21DF-448B-441F-B902-2414FDF7A4EA} - System32\Tasks\{BE50B698-2E44-4BA5-8D69-56C1143058B4} => C:\Program Files\Magebot\magebotv55.exe Task: {82D56E82-CD75-489E-9816-DD37393CEFFD} - System32\Tasks\FoxTab => E:\Users\Konrad\AppData\Roaming\FoxTab\UpdateProc\UpdateTask.exe [2013-04-12] () Task: {CE14E623-520A-427B-B0D2-263388392142} - System32\Tasks\{E3AFC343-5EB2-479D-ACA2-D62F3B07AF6D} => E:\Users\Konrad\Desktop\ElfBot NG 8.6\loader.exe Task: {FCBAFE06-C22E-4918-AAD3-F29729521E4E} - System32\Tasks\{7336CF3B-19BA-4477-9D82-C272181EB54A} => E:\Users\Konrad\Desktop\ElfBot NG 8.6\loader.exe Task: E:\Windows\Tasks\FoxTab.job => E:\Users\Konrad\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.delta-search.com/?babsrc=hp_ss&mntrid=f0c0bc5ff40b78e3&affid=119357&tt=150913_ctrl&tsp=5008 HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/custom?domains=entretieneteds.to.md&q=&sitesearch=&client=pub-3439752189615153 SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.golsearch.com/?q={searchTerms}&babsrc=SP_ss_Btisdt6&mntrId=F0C0BC5FF40B78E3&affID=119357&tt=150913_ctrl&tsp=5008 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.golsearch.com/?q={searchTerms}&babsrc=SP_ss_Btisdt6&mntrId=F0C0BC5FF40B78E3&affID=119357&tt=150913_ctrl&tsp=5008 S3 GGSAFERDriver; \??\C:\Garena Plus\Room\safedrv.sys [x] S2 LMIInfo; \??\E:\Program Files\LogMeIn\x86\RaInfo.sys [x] S4 LMIRfsClientNP; No ImagePath E:\Users\Konrad\AppData\Roaming\AVG2013 E:\Users\Konrad\AppData\Roaming\Babylon E:\Users\Konrad\AppData\Roaming\GoforFiles E:\Users\Konrad\AppData\Roaming\H57srg30yihaJNCdfUfQTIddSQoDqO E:\Users\Konrad\AppData\Roaming\MSDrvCfg E:\Users\Konrad\AppData\Roaming\OpenCandy E:\Users\Konrad\AppData\Roaming\Ospux E:\Users\Konrad\AppData\Roaming\Ozin E:\Users\Konrad\AppData\Roaming\Splashtop E:\Users\Konrad\AppData\Roaming\Thinstall E:\Users\Konrad\AppData\Roaming\Win32 E:\Users\Konrad\Downloads\ipchanger(3).exe E:\Users\Konrad\Downloads\3nity-CD-DVD-BURNER(39358).exe E:\Users\Konrad\Downloads\Norton-AntiVirus(12646).exe E:\Users\Konrad\Downloads\Norton-AntiVirus(12646)(1).exe E:\Users\Konrad\Downloads\Norton-AntiVirus(12646)(2).exe E:\Users\Konrad\Downloads\Norton-AntiVirus(12646).exe.part E:\Users\Konrad\Downloads\Norton-AntiVirus(12646)(1).exe.part E:\Users\Konrad\Downloads\SoftonicDownloader_dla_jetclean.exe E:\Users\Konrad\Documents\Mobogenie E:\Users\Konrad\AppData\Local\Mobogenie E:\Users\Konrad\AppData\Local\cache E:\Users\Konrad\daemonprocess.txt E:\Program Files\Mobogenie E:\Program Files\mozilla firefox\searchplugins\babylon.xml E:\Program Files\mozilla firefox\plugins\npwachk.dll E:\ProgramData\McAfee Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: adware Foxtab, Qtrax Player oraz wszystkie boty / dodatki do Tibia i nadwyżkę antywirusów. 3. Wyczyść przeglądarki z adware: - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł, ale używane rozszerzenia trzeba będzie potem przeinstalować. - Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy skan FRST (zaznacz, by powstał ponownie plik Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Tak, skrypt potwierdza usunięcie szczątków Mobogenie. Zakończ temat: 1. Przez SHIFT+DEL skasuj folder C:\FRST, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj cały Windows, gdyż obecnie brak SP1 + IE11 i reszty: Windows 7 Ultimate (X64) OS Language: Polish Internet Explorer Version 9 .

Możesz też wyszukiwać tematy poprzez normalną wyszukiwarkę forum, wypełniając pole "Znajdź autora" swoim nickiem.

1. Przez Panel sterowania odinstaluj: AVG Security Toolbar, HDvid Codec V1, HDVidCodec, Qtrax Player, Ultimate Codec Packages, Update for Ultimate Codec. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik AdwCleaner. .

Wyniki szukania są ograniczone czasowo, by nie obciążać serwera. Ta funkcja IPB była tu obecna od zawsze, więc raczej uprzednio sprawdzałeś swoje wyniki łapiąc się na określony pułap.

Dzięki za folder Upload, te skopiowane doń zadania Opery to są śmieci po (de)instalacjach Skype i można to też usunąć. Reszta zadań wykonana. Jeszcze jedno było tu instalowane: Google Chrome. Mówiłam przecież, że będę usuwać szczątki przeglądarki, więc to czego nie należało właśnie robić to instalować Google Chrome.... Niestety (podobnie jak z Avast) doinstalowałeś Google Chrome w międzyczasie, a mój skrypt (mający usunąć szczątki Google) uszkodził świeżo zainstalowaną przeglądarkę. W obecnej sytuacji przeglądarka Google Chrome będzie do nowej instalacji, o ile w ogóle ma być. Ale to dopiero na samym końcu, bo teraz idzie kolejny skrypt czyszczący szkody (nowe szczątki Google). Ja nadal to widzę na liście zainstalowanych programów. Skoro tego nie widzisz, wpis może być ukryty. Usunę go ręcznie. Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\uTorrentControl_v2 Toolbar" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Google Chrome" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" /f Reg: reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\360Amigo System Speedup Free Packages" /f Task: {55B6E567-2638-477C-A962-9B963B79627C} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe Task: {5BDC5FCA-9288-4D14-9863-0C3B1D159495} - System32\Tasks\{34841E1D-07C4-4321-B3AF-2452D20AC864} => c:\program files (x86)\opera\opera.exe Task: {6A6728C6-9D4F-4648-8DC7-0C5499F7AB0D} - System32\Tasks\{64A06BFD-D2BC-4AA2-8EFD-78D7999168A4} => c:\program files (x86)\opera\opera.exe Task: {748E912E-013D-46C8-9AB9-1F736261170D} - System32\Tasks\{6EC2F1BD-8DB1-4E42-A1C7-C233E2F6BDD0} => c:\program files (x86)\opera\opera.exe Task: {C002B741-E955-4318-B1A9-B0D2584487CA} - System32\Tasks\{3E93A5F5-DBCA-4625-A574-BDCBD223825E} => c:\program files (x86)\opera\opera.exe Task: {EDEA9053-3105-4C82-BD72-F644BCCDBD4F} - System32\Tasks\PC Optimizer Pro startups => C:\Users\ZaMlodyZebyUmierac\Desktop\Crack\StartApps.exe Task: {61EBDE80-7813-499D-A9A7-EE231B2963AC} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {6939945E-1557-4547-BA2B-60D09CF2FE4E} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe FF Plugin-x32: @tools.google.com/Google Update;version=3 - C:\Program Files (x86)\Google\Update\1.3.22.3\npGoogleUpdate3.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=9 - C:\Program Files (x86)\Google\Update\1.3.22.3\npGoogleUpdate3.dll No File S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [x] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [x] S2 bdfsfltr; \??\C:\Windows\system32\Drivers\bdfsfltr.sys [x] C:\Windows\Tasks\ImCleanDisabled C:\IObit C:\ProgramData\IObit C:\Program Files (x86)\IObit C:\Users\ZaMlodyZebyUmierac\AppData\Roaming\IObit CMD: rd /s /q C:\Users\ZaMlodyZebyUmierac\Upload Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .