picasso

Log z USBFix na ustawieniu Research, a miało być Listing. Log z GMER wykonany w złych warunkach, przy czynnym emulatorze SPTD (KLIK). GMER wykazuje ukryty obiekt rootkit, który odpowiada za infekcję urządzeń przenośnych. Poza tym, w starcie widać fałszywkę "AV Security Essentials". Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: C:\Documents and Settings\Zosia\Dane aplikacji\Xyqmqj.exe C:\Documents and Settings\Administrator\7f198769-8050.exe C:\Documents and Settings\Administrator\Dane aplikacji\AV Security Essentials C:\Documents and Settings\All Users\Dane aplikacji\Ask C:\Documents and Settings\All Users\Dane aplikacji\AVBHTCTSE C:\Documents and Settings\All Users\Dane aplikacji\e0be4b C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Babylon C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Common Files C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\MFAData C:\Documents and Settings\Zosia\Dane aplikacji\ArcaVirMicroScan C:\Documents and Settings\Zosia\Dane aplikacji\BabSolution C:\Documents and Settings\Zosia\Dane aplikacji\Babylon C:\Documents and Settings\Zosia\Dane aplikacji\Delta C:\Documents and Settings\Zosia\Ustawienia lokalne\Dane aplikacji\MFAData C:\Documents and Settings\Zosia\Ustawienia lokalne\Dane aplikacji\Avg2013 C:\WINDOWS\Tasks\EPUpdater.job C:\WINDOWS\005207_.tmp HKU\Administrator\...\Run: [AV Security Essentials] - C:\Documents and Settings\All Users\Dane aplikacji\e0be4b\AVe0b_8050.exe [ 2012-02-06] () HKU\Administrator\...\Run: [skype] - "F:\Nowy folder\Phone\Skype.exe" /nosplash /minimized HKU\Administrator\...\Run: [TransBar] - C:\WINDOWS\TransBar.exe /s HKLM\...\Runonce: [] - [x] HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.delta-search.com/?affID=121845&tt=220413_d9114&babsrc=HP_ss&mntrId=DC1000E07D980FCC HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/ins/ins_1329232202_146034 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&affID=121845&tt=220413_d9114&babsrc=SP_ss&mntrId=DC1000E07D980FCC BHO: delta Helper Object - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files\Delta\delta\1.8.16.16\bh\delta.dll (Delta-search.com) Toolbar: HKLM - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files\Delta\delta\1.8.16.16\deltaTlbr.dll (Delta-search.com) Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Xyqmqj /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Odinstaluj adware: - Przez Panel sterowania: Delta Chrome Toolbar, Delta toolbar. - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowe logi: skan FRST (bez Addition) + GMER (po usunięciu SPTD) + USBFix z opcji Listing. Dołącz plik fixlog.txt i log z AdwCleaner. .

Wymagane drobne poprawki. 1. Otwórz Notatnik i wklej w nim: SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://startsear.ch/?aff=1&q={searchTerms} SearchScopes: HKCU - {3DA92660-0E6B-46C0-B0C1-D80CA9932DC3} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=827316&p={searchTerms} Toolbar: HKCU - No Name - {D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0} - No File Task: {0BC94EAF-44AA-4965-BF9E-1ABC7667082E} - System32\Tasks\{F3DF40F8-2B34-4B4C-AE88-08A7CBFDB609} => D:\setup.exe Task: {12BBC79B-FEDD-47E1-83F5-7B4FD482D84F} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{C934C34D-FE37-4F6C-9204-1F764EB10ACA}.exe Task: {23280766-AF36-4BD1-B3AD-16364DC1F4E5} - System32\Tasks\{8C054A37-973E-499D-99E3-0E0DF6CAE5F0} => D:\setup.exe Task: {256FA3B7-C74F-4700-8E4D-1DB46734552C} - \DealPlyUpdate No Task File Task: {334A2CD7-BA08-4A9D-989A-0FA3F3019143} - \Dealply No Task File Task: {6202835D-029C-482A-9393-3017D7DF57C9} - \EPUpdater No Task File Task: {65A6F057-41E6-4103-8F87-45D98F5B23FF} - \BrowserDefendert No Task File Task: {95E66985-6AB6-4A36-99DE-82A205E5A24F} - \DealPlyLiveUpdateTaskMachineCore No Task File Task: {E3F35F79-8D03-4D9B-8196-E6009939AEA7} - \DealPlyLiveUpdateTaskMachineUA No Task File Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{C934C34D-FE37-4F6C-9204-1F764EB10ACA}.exe HKCU\...\Run: [Akamai NetSession Interface] - "C:\Users\Tommy\AppData\Local\Akamai\netsession_win.exe" HKCU\...\Run: [DAEMON Tools Lite] - "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun HKLM-x32\...\Run: [KiesHelper] - C:\Program Files (x86)\Samsung\Kies\KiesHelper.exe /s R1 avgtp; C:\Windows\system32\drivers\avgtpx64.sys [46368 2013-10-01] (AVG Technologies) S3 dgderdrv; System32\drivers\dgderdrv.sys [x] C:\Windows\system32\drivers\avgtpx64.sys C:\Windows\updcte.exe C:\Program Files (x86)\Mozilla Firefoxavg-secure-search.xml C:\Users\Tommy\*.IDX C:\Users\Tommy\CDBIDXL.DAT C:\Users\Tommy\NETRKDB.DAT C:\Users\Tommy\NECDB.DAT C:\Users\Tommy\TDBIDXL.DAT C:\Users\Tommy\AppData\Local\avgchrome C:\Users\Tommy\AppData\Local\BIT756D.tmp Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Ponownie zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. I wypowiedz się czy w systemie nadal są notowane jakieś problemy. .

Wszystko zrobione. Jeszcze drobne poprawki m.in. na szczątki po odinstalowanym Firefox. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM - DefaultScope value is missing. C:\ProgramData\Uniblue C:\Program Files\Mozilla Firefox C:\Users\Ola Koszyk\AppData\Local\Mozilla C:\Users\Ola Koszyk\AppData\Roaming\Mozilla Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Zrób mi jeszcze na wszelki wypadek nowy plik FRST Addition, gdyż nie widzę w wynikach usuwania AdwCleaner obiektów Harmonogramu zadań usuwanych na poziomie rejestru. .

Skoro zmieniłeś system z Windows XP na Windows 7, to raporty nie są potrzebne już, gdyż nastąpiła radykalna kompletna zmiana środowiska i poprzednie dane nieaktualne. Szczerze wątpię w jakąkolwiek infekcję. To prędzej brzmi jak problem sprzętowy, jeśli zmiana systemu nie zmienia sytuacji. .

Skrypt pomyślnie wykonany. Kończymy: 1. Przez SHIFT+DEL skasuj foldery: C:\FRST C:\Users\arekw77\Desktop\Stare dane programu Firefox W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Odinstaluj Java 7 Update 25 na korzyść najnowszej: KLIK. Nieaktualizowana Java to jedna zdróg infekcji "policyjnych". 3. Uruchom TFC - Temp Cleaner. 4. Wyczyść foldery Przywracania systemu: KLIK. .

Temat przenoszę do działu Windows 8. Oznak infekcji brak. A to działanie wyzerowało tak wiele, iż wizja infekcji galopem się jeszcze bardziej oddala: "Ustawienia początkowe" na systemie dostarczonym przez określonego producenta mają to do siebie, iż ładują system, który nie jest aż tak "czysty". Takie systemy mają zintegrowane określone aplikacje (np. antywirusy). Tu widzę u Ciebie kombajn McAfee Internet Security. Ten rodzaj oprogramowania to zawsze pierwszy trop przy problemach wydajności. Na próbę go odinstaluj, popraw narzędziem McAfee Consumer Product Removal Tool i podaj czy widzisz jakieś zmiany w funkcjonowaniu systemu. .

Ale się Ciebie pytam, gdzie Ty go widzisz / skąd wiesz że jest obecny. Na razie z logów wynika, że jest ukryta partycja startowa dzielona między oba systemy (tej nie wolno w ogóle ruszyć), C zajmuje Windows x64, czyli na D lub E powinny być komponenty Windows x86 do ręcznej kasacji takie jak: X:\Documents and setting (link symboliczny) X:\Program Files X:\ProgramData X:\Recovery X:\Windows X:\Users Na wszelki wypadek dodaj jeszcze log z ListParts. .

Oznak infekcji brak. Temat przenoszę do działu Hardware, gdyż to jest podstawowa sprawa: W obliczu takiej sytuacji rozważanie dlaczego system zwolnił nie jest potrzebne. Taki stan dysku może doprowadzić nawet do raptownej całkowitej utraty danych, a nie tylko "spowolnienia". Zrób kopię zapasową danych. Objaśnij skąd wiedza o uszkodzeniu dysku i jaka jest natura usterki. Dostarcz dane pod kątem analizy sprzętu (KLIK) oraz skan + SMART z MHDD (KLIK). .

Zadania wykonane. Zanim zadam czynności końcowe: I...? Pytanie do działu Hardware, wykaz dokładnej specyfikacji sprzętowej i raporty z konfiguracją sprzętu. Nie rozumiem o co Ci chodzi z wydajnością, ani podwójnym systemem. Tu analizowany system to Windows x64 i spod tego systemu jest widoczny następujący układ partycji: ==================== Drives ================================ Drive c: () (Fixed) (Total:97.56 GB) (Free:13.23 GB) NTFS Drive d: () (Fixed) (Total:416.02 GB) (Free:318.54 GB) NTFS Drive e: () (Fixed) (Total:417.84 GB) (Free:300.59 GB) NTFS ==================== MBR & Partition Table ================== ======================================================== Disk: 0 (MBR Code: Windows 7 or 8) (Size: 932 GB) (Disk ID: 2125B63E) Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=98 GB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=416 GB) - (Type=07 NTFS) Partition 4: (Not Active) - (Size=418 GB) - (Type=07 NTFS) Ukryta aktywna 100MB to partycja z plikami startowymi systemu ("Zastrzeżone przez system"), a widoczne C zajmuje Windows x64. Objaśnij dokładnie o co Ci chodzi z Windows x86 i gdzie go widzisz, że wiesz iż jest. .

Wszystko zrobione. Możemy kończyć: 1. Przez SHIFT+DEL skasuj: C:\FRST C:\Users\a184075\AppData\Roaming\Download Manager C:\Users\a184075\Downloads\DownloadManagerSetup.exe C:\Users\a184075\Desktop\Continue Mipony Download Manager Installation.lnk W AdwCleaner uruchom Odinstaluj. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Usuń starą Java (dramatyczna wersja!) i zaktualizuj wtyczki Adobe: KLIK. Wg raportu są tu wersje: ==================== Installed Programs ====================== Adobe Flash Player 11 ActiveX (x32 Version: 11.6.602.180) ----> wtyczka dla IE Adobe Reader X (10.1.3) MUI (x32 Version: 10.1.3) Java 2 Runtime Environment International 1.6.0_35 (x32 Version: 1.6.0.35) To m.in. stara Java jest przyczyną tej infekcji. .

Mało danych na temat BSOD. Skopiuj cały folder C:\Windows\Minidump na Pulpit, spakuj do ZIP, shostuj gdzieś i dostarcz paczkę. Ale od razu powiem, że tu może być problem konfliktu antywirusów, są zainstalowane dwa mocarne kombajny (!): avast! Internet Security + Kaspersky PURE 2.0. Drama. Jeden z nich z pewnością musi być odinstalowany. W kwestii adware, ogłuszająca ilość. Będą też usuwane szczątki Firefox. Akcje: 1. Otwórz Notatnik i wklej w nim: AppInit_DLLs: [0 ] () AppInit_DLLs-x32: c:\progra~3\browse~1\261519~1.190\{c16c1~1\browse~1.dll [ ] () HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://search.babylon.com/?affID=120519&babsrc=HP_ss_gin2g&mntrId=B84900264DBF5C79 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,SearchAssistant = http://inboxtoolbar.com/search/ie.aspx?tbid=80137 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,CustomizeSearch = http://inboxtoolbar.com/help/sa_customize.aspx?tbid=80137 URLSearchHook: (No Name) - {D3D233D5-9F6D-436C-B6C7-E63F77503B30} - No File URLSearchHook: (No Name) - {a24f3f59-1021-4e02-856c-99d9b4a03d83} - No File URLSearchHook: (No Name) - {796b75f6-6187-47e2-8f1f-c16e059e6e19} - No File URLSearchHook: (No Name) - {26842a09-ffa8-4e2c-ae12-0c80f01c3295} - No File SearchScopes: HKLM - DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=360&systemid=406&sr=0&q={searchTerms} SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=360&systemid=406&sr=0&q={searchTerms} SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {56256A51-B582-467e-B8D4-7786EDA79AE0} URL = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZVxdm006YYGB&ptb=IHE1Sh5GIsiM5nqdO0SpRA&psa=&ind=2010112411&ptnrS=ZVxdm006YYGB&si=36602&st=sb&n=77cfe19b&searchfor={searchTerms} SearchScopes: HKLM-x32 - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=360&systemid=406&sr=0&q={searchTerms} SearchScopes: HKLM-x32 - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2644243 SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&affID=120519&babsrc=SP_ss&mntrId=B84900264DBF5C79 SearchScopes: HKCU - {4A9E77AA-FF0F-4A0C-A864-C17C17C4AAB5} URL = http://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000 SearchScopes: HKCU - {56256A51-B582-467e-B8D4-7786EDA79AE0} URL = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZVxdm006YYGB&ptb=IHE1Sh5GIsiM5nqdO0SpRA&psa=&ind=2010112411&ptnrS=ZVxdm006YYGB&si=36602&st=sb&n=77cfe19b&searchfor={searchTerms} SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=360&systemid=406&sr=0&q={searchTerms} SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2644243 SearchScopes: HKCU - {B2596224-EA6A-4CA0-BF1E-CA3C5BAF86E1} URL = SearchScopes: HKCU - {C04B7D22-5AEC-4561-8F49-27F6269208F6} URL = http://inboxtoolbar.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=80137&lng=en SearchScopes: HKCU - {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/mb155/?search={searchTerms}&loc=IB_DS&a=6OyM1vXySZ&i=26 BHO: Web Assistant - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\Web Assistant\Extension64.dll () BHO-x32: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - No File BHO-x32: No Name - {11BF46C6-B3DE-48BD-BF70-3AD85CAB80B5} - C:\Program Files (x86)\SiteRanker\SiteRank.dll (Crawler, LLC) BHO-x32: Toolbar BHO - {1e91a655-bb4b-4693-a05e-2edebc4c9d89} - No File BHO-x32: Toolbar BHO - {285028f8-201e-4f8f-827b-7381fc181c3e} - No File BHO-x32: Toolbar BHO - {631acb68-57c3-48af-9cc5-fcec0837ffd3} - No File BHO-x32: Incredibar.com Helper Object - {6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} - No File BHO-x32: Search Assistant BHO - {71c1d63a-c944-428a-a5bd-ba513190e5d2} - No File BHO-x32: Search Assistant BHO - {73b8e1fd-331f-4c17-8613-8a3034d3b0ca} - No File Toolbar: HKLM - No Name - !{318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - !{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No File Toolbar: HKLM - No Name - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No File Toolbar: HKLM - No Name - !{F9639E4A-801B-4843-AEE3-03D9DA199E77} - No File Toolbar: HKLM-x32 - No Name - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - No File Toolbar: HKLM-x32 - No Name - !{318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM-x32 - No Name - !{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No File Toolbar: HKLM-x32 - No Name - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No File Toolbar: HKLM-x32 - No Name - !{F9639E4A-801B-4843-AEE3-03D9DA199E77} - No File Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKCU - No Name - {D2F11D8B-3EB5-4B42-9511-370DBEC707FB} - No File Toolbar: HKCU - No Name - {D7E97865-918F-41E4-9CD0-25AB1C574CE8} - No File Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File DPF: HKLM-x32 {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei-4/IWONBarInitialSetup1.0.1.1.cab Handler-x32: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - No File CHR HKLM\...\Chrome\Extension: [dlnembnfbcpjnepmfjmngjenhhajpdfd] - C:\Program Files\Web Assistant\source.crx CHR HKLM-x32\...\Chrome\Extension: [ahilkiibpgjnonbhdfkkgjddddmapala] - C:\Users\milenka21\AppData\Local\CRE\ahilkiibpgjnonbhdfkkgjddddmapala.crx CHR HKLM-x32\...\Chrome\Extension: [dlnembnfbcpjnepmfjmngjenhhajpdfd] - C:\Program Files\Web Assistant\source.crx CHR HKLM-x32\...\Chrome\Extension: [kpionmjnkbpcdpcflammlgllecmejgjj] - C:\Program Files (x86)\vShare.tv plugin\vshareplg.crx CHR HKLM-x32\...\Chrome\Extension: [ogccgbmabaphcakpiclgcnmcnimhokcj] - C:\Windows\SysWOW64\jmdp\SweetNT.crx CHR HKCU\SOFTWARE\Policies\Google: Policy restriction Task: {09DC21D5-1798-4F54-8CF9-E563F3DB47D8} - System32\Tasks\BrowserProtect => Sc.exe start BrowserProtect Task: {6381AF6D-6753-426A-BC63-924E33484B7F} - System32\Tasks\LaunchApp => C:\Program Files (x86)\MyPC Backup\MyPC Backup.exe Task: {A304C5E2-0E5F-43F7-ACE5-269C32146A88} - System32\Tasks\{B04D2CBF-7D80-47E8-9BE8-745DA8B88C17} => C:\Program Files (x86)\BearShare Applications\BearShare\BearShare.exe Task: {C3E42AA4-1E70-4935-A45C-1AE0B4C8B644} - System32\Tasks\{6AF42E20-343F-49CB-9248-B9A872500086} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe Task: {C5666A07-A585-4F5F-8F8B-D9E03ED75B14} - System32\Tasks\TuneUpUtilities_Task_BkGndMaintenance => C:\Program Files (x86)\TuneUp Utilities 2010\OneClick.exe Task: {EEE1C293-B0B8-45BD-B5AD-E87F97D29228} - System32\Tasks\{3C83C151-3FFC-4175-B737-24940C4A2ABD} => Chrome.exe Task: C:\Windows\Tasks\TuneUpUtilities_Task_BkGndMaintenance.job => C:\Program Files (x86)\TuneUp Utilities 2010\OneClick.exe R2 IBUpdaterService; C:\Windows\system32\dmwu.exe [1762608 2013-09-15] () R2 MyWebSearchService; C:\PROGRA~2\MYWEBS~1\bar\1.bin\mwssvc.exe [28762 2010-11-24] (MyWebSearch.com) S4 Web Assistant; C:\Program Files\Web Assistant\ExtensionUpdaterService.exe [188760 2013-01-29] () S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [x] S3 hwusbfake; system32\DRIVERS\ewusbfake.sys [x] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" C:\Users\milenka21\AppData\Local\Temp*.html C:\Users\milenka21\AppData\Roaming\avg C:\Users\milenka21\AppData\Roaming\Babylon C:\Users\milenka21\AppData\Roaming\File Scout C:\Users\milenka21\AppData\Roaming\Gadu-Gadu 10 C:\Users\milenka21\AppData\Roaming\ipla C:\Users\milenka21\AppData\Roaming\iWin C:\Users\milenka21\AppData\Roaming\Mozilla C:\Users\milenka21\AppData\Roaming\OpenCandy C:\Users\milenka21\AppData\Roaming\OpenFM C:\Users\milenka21\AppData\Roaming\PlayFirst C:\Users\milenka21\AppData\Roaming\TuneUp Software C:\ProgramData\39575304 C:\Program Files (x86)\MyWebSearch C:\Program Files (x86)\MapsGalaxy_39 C:\Program Files (x86)\FilmFanatic C:\Program Files (x86)\SoccerInferno C:\Program Files (x86)\Mozilla Firefox Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: attrib -h "C:\Users\milenka21\AppData\Roaming\Toshiba" CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: BrowserProtect, Disk Speedup, IB Updater Service, Inbox Toolbar, PjPlayer, SiteRanker, vShare.tv plugin, Web Assistant, Updater. 3. Wyczyść Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adres mystart.incredibar.com, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres mystart.incredibar.com Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy MyStart Ustawienia > karta Rozszerzenia > odinstaluj SweetPacks Chrome Extension, vshare plugin Ustawienia > karta Historia > wyczyść 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator > wyczyść wszystkie gałęzie Dzienników. Zresetuj system. Ponów skan FRST (zaznacz, by powstał nowy Addition). .

Z KB2852386: "The Windows Update Cleanup option is available only when the Disk Cleanup wizard detects Windows updates that you do not need on the computer." .

Temat przenoszę do działu diagnostyki infekcji, gdyż jest to definitywnie modyfikacja infekcji. 1. Zdjęcie atrybutów z tego urządzenia. Uruchom cmd jako Adminitrator i wklep komendę: attrib /d /s -s -h I:\* Plus usunięcie wszystkich Koszy: rd /s /q I:\$RECYCLE.BIN rd /s /q I:\Recycled rd /s /q I:\RECYCLER (zakładam, że urządzenie jest nadal zmapowane pod literą I:) 2. System mógł zostać zainfekowany. Poproszę o komplet logów wymaganych zasadami: KLIK. .

To inny wariant ransomware, CryptoLocker a nie Weelsof. Tu masz bardziej techniczny opis Emsisoft: KLIK. Infekcja CryptoLocker grasuje już od pewnego czasu i zbiera poważne żniwo za granicą. Na Bleeping już ponad miesiąc temu były dramatyczne tematy z utratą danych. Pliki zaszyfrowane przez infekcję są nie do zdekodowania. WP pisze o Polsce na celowniku, nie mam powodów, by w to wątpić. Takich infekcji ransomware szyfrujących dane jest mnóstwo. Na forum m.in. był nowy wariant ransomware x64 Win64/Vabushky.A (KLIK). Dekodera również brak. .

Brakuje raportów z OTL, one nadal są w składzie obowiązkowych. Prócz infekcji jest i adware nabyte przez portale (KLIK). 1. Otwórz Notatnik i wklej w nim: HKCU\...\Winlogon: [shell] explorer.exe,C:\Users\a184075\AppData\Roaming\data.dat [77312 2013-08-02] () HKCU\...\Run: [Polar Sync] - [x] HKLM\...\Winlogon: [userinit] C:\Windows\System32\Userinit.exe AppInit_DLLs-x32: c:\progra~3\bitguard\261694~1.246\{c16c1~1\bitguard.dll [2704352 2013-10-08] () S2 BitGuard; C:\ProgramData\BitGuard\2.6.1694.246\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe [3032032 2013-10-08] () Task: {F757758D-84B3-4375-8F98-2FAED5E32656} - System32\Tasks\EPUpdater => C:\Users\a184075\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-08-04] () CHR HKLM-x32\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\a184075\AppData\Roaming\BabSolution\CR\Delta.crx CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=1C9A0026C67A4AF4&affID=119357&tt=080913_ctrl&tsp=5000 SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.golsearch.com/?q={searchTerms}&babsrc=SP_ss_Btisdt6&mntrId=1C9A0026C67A4AF4&affID=119357&tt=080913_ctrl&tsp=5000 SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.golsearch.com/?q={searchTerms}&babsrc=SP_ss_Btisdt6&mntrId=1C9A0026C67A4AF4&affID=119357&tt=080913_ctrl&tsp=5000 BHO-x32: delta Helper Object - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files (x86)\Delta\delta\1.8.24.6\bh\delta.dll (Delta-search.com) Toolbar: HKLM-x32 - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files (x86)\Delta\delta\1.8.24.6\deltaTlbr.dll (Delta-search.com) C:\Users\a184075\AppData\Roaming\data.dat C:\Users\a184075\AppData\Roaming\settings.ini C:\Users\a184075\AppData\Roaming\BabSolution C:\Users\a184075\AppData\Roaming\File Scout Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. System zostanie odblokowany, loguj się normalnie do Windows w celu przeprowadzenia kolejnych działań: 2. Przez Panel sterowania odinstaluj adware: BitGuard, Delta Chrome Toolbar, Delta toolbar. 3. Wyczyść Google Chrome (ma też uszkodzone preferencje przez adware): Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adresy tam otwierane, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adresy tam otwierane Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy śmieci Ustawienia > karta Rozszerzenia > odinstaluj Delta Toolbar (może nie być obecne po ogólnej deinstalacji) Ustawienia > karta Historia > wyczyść 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Brak pliku fixlog.txt. Dodaj. Nie wypowiadasz się też nic czy jest jakaś poprawa w działaniu systemu. Nie wiem co masz na myśli z "trochę". Plik dzierżył ponad 16 tysięcy wpisów: O1 HOSTS File: ([2013-10-08 19:25:00 | 000,618,804 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: ::1 localhost #[iPv6] O1 - Hosts: 127.0.0.1 fr.a2dfp.net O1 - Hosts: 127.0.0.1 m.fr.a2dfp.net O1 - Hosts: 127.0.0.1 ad.a8.net O1 - Hosts: 127.0.0.1 asy.a8ww.net O1 - Hosts: 127.0.0.1 abcstats.com O1 - Hosts: 127.0.0.1 a.abv.bg O1 - Hosts: 127.0.0.1 adserver.abv.bg O1 - Hosts: 127.0.0.1 adv.abv.bg O1 - Hosts: 127.0.0.1 bimg.abv.bg O1 - Hosts: 127.0.0.1 ca.abv.bg O1 - Hosts: 127.0.0.1 www2.a-counter.kiev.ua O1 - Hosts: 127.0.0.1 track.acclaimnetwork.com O1 - Hosts: 127.0.0.1 accuserveadsystem.com O1 - Hosts: 127.0.0.1 www.accuserveadsystem.com O1 - Hosts: 127.0.0.1 achmedia.com O1 - Hosts: 127.0.0.1 aconti.net O1 - Hosts: 127.0.0.1 secure.aconti.net O1 - Hosts: 127.0.0.1 www.aconti.net #[Dialer.Aconti] O1 - Hosts: 127.0.0.1 am1.activemeter.com O1 - Hosts: 127.0.0.1 www.activemeter.com #[Tracking.Cookie] O1 - Hosts: 127.0.0.1 ads.activepower.net O1 - Hosts: 127.0.0.1 stat.active24stats.nl #[Tracking.Cookie] O1 - Hosts: 127.0.0.1 cms.ad2click.nl O1 - Hosts: 16379 more lines... .

W systemie działa adware. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj adware: AVG Security Toolbar, BitGuard, Dealply (2 wystąpienia), Delta Chrome Toolbar, Delta toolbar, pdfforge Toolbar v7.0, vShare.tv plugin 1.3, WebConnect 3.0.0. Pozbądź się też zbędnego downlodera Akamai NetSession Interface, Akamai NetSession Interface Service. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Wyczyść Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adresy tam otwierane, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adresy tam otwierane Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy śmieci. Ustawienia > karta Rozszerzenia > odinstaluj AVG Secure Search, DealPly Shopping, Delta Toolbar, DealPly, WebConnect (części może nie być po ogólnych deinstalacjach) Ustawienia > karta Historia > wyczyść 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy skan FRST (bez Addition). Dołącz log z AdwCleaner. .

Drobne poprawki. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\BonanzaDeals FF Plugin-x32: @tools.bdupdater.com/BonanzaDealsLive Update;version=3 - C:\Program Files (x86)\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll No File FF Plugin-x32: @tools.bdupdater.com/BonanzaDealsLive Update;version=9 - C:\Program Files (x86)\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll No File Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {360D2864-5DBA-4042-85BF-70750DAD2BCC} /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {360D2864-5DBA-4042-85BF-70750DAD2BCC} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {360D2864-5DBA-4042-85BF-70750DAD2BCC} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Ale dałeś mi tylko plik Addition, a miały być dwa: FRST.txt + Addition.txt.

Akcje pomyślnie wykonane. Zakończ sprawy z tym systemem: 1. Odinstaluj USBFix. Przez SHIFT+DEL skasuj foldery: C:\FRST C:\Users\KlaudiaM\Desktop\Stare dane programu Firefox 2. Zaktualizuj wyliczone poniżej proramy: KLIK. ==================== Installed Programs ====================== Adobe Flash Player 11 Plugin (x32 Version: 11.7.700.202) ----> wtyczka dla Firefox Adobe Reader X (10.1.7) - Polish (x32 Version: 10.1.7) FileZilla Client 3.6.0.2 (x32 Version: 3.6.0.2) Java™ 6 Update 22 (x32 Version: 6.0.220) Microsoft Office Professional Plus 2010 (x32 Version: 14.0.4734.1000) Mozilla Firefox 23.0.1 (x86 pl) (x32 Version: 23.0.1) I oczekuję na zestaw raportów z zainfekowanego XP. Póki co, nie podpinaj pod ten system żadnych urządzeń przenośnych. .

Blokowanie takich zjawisk via statyczne ARP jest w gestii administratorów sieciowych. To oni powinni skonfigurować router w odpowiedni sposób. Przedstaw log, widzę że na Pulpicie jest plik ComboFix.txt. Przedstaw raport. W raportach nie widać oznak infekcji w rozumieniu trojanów, jest za to adware nabyte z portali (KLIK) oraz szczątki McAfee. Pod tym kątem: 1. Otwórz Notatnik i wklej w nim: Task: {6F6ED734-4A64-4C83-8ADB-31B31D9A7520} - System32\Tasks\BitGuard => Sc.exe start BitGuard Task: {A522DA93-202B-4F74-A15A-F791DAD296B0} - System32\Tasks\DealPly => C:\Users\1\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE Task: {EC857676-B49A-44AA-B5FC-0F016C7F5507} - System32\Tasks\EPUpdater => C:\Users\1\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-08-04] () R2 BitGuard; C:\ProgramData\BitGuard\2.6.1694.246\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe [2845664 2013-09-23] () AppInit_DLLs-x32: c:\PROGRA~3\BitGuard\261694~1.246\{C16C1~1\BitGuard.dll [2704352 2013-09-23] () HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=0C05BEB70D59D348&affID=119357&tt=240913_246&tsp=5019 HKCU\Software\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=33953&st=home&tid=3546&ts=1361702554814&tguid=33953-3546-1361702551857-598191 HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=0C05BEB70D59D348&affID=119357&tt=240913_246&tsp=5019 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=33953&st=home&tid=3546&ts=1361702554814&tguid=33953-3546-1361702551857-598191 SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=0C05BEB70D59D348&affID=119357&tt=240913_246&tsp=5019 SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = SearchScopes: HKCU - ŰźĆîZ§’2ąŢpv¨IÍá*X(Ž2s(ŰÎŔJşÔÓµť± vË°!×—(äĽ48иpatm6ęo^Mp`Ëő÷_iŁwľ!„Áű†x˘8€ŮjŔ˙ţ ´Ń;áa´[¦†8 ş~ŹRŮxśňÜ8'Ł-)x­ä­ URL = BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20121020214230.dll No File BHO-x32: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20121020214230.dll No File BHO-x32: delta Helper Object - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files (x86)\Delta\delta\1.8.24.6\bh\delta.dll No File Toolbar: HKLM-x32 - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files (x86)\Delta\delta\1.8.24.6\deltaTlbr.dll No File Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File CHR HKLM-x32\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\1\AppData\Roaming\BabSolution\CR\Delta.crx FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\Web Search.xml FF HKLM-x32\...\Firefox\Extensions: [{D19CA586-DD6C-4a0a-96F8-14644F340D60}] - C:\Program Files (x86)\Common Files\McAfee\SystemCore FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" S4 MSK80Service; "C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe" /McCoreSvc [x] S3 HipShieldK; C:\Windows\System32\drivers\HipShieldK.sys [196440 2012-04-20] (McAfee, Inc.) S3 catchme; \??\C:\ComboFix-tamindir\catchme.sys [x] C:\Windows\System32\drivers\HipShieldK.sys C:\Windows\SysWOW64\searchplugins C:\Windows\SysWOW64\Extensions C:\Users\1\AppData\Local\avgchrome C:\Users\1\AppData\Roaming\BabSolution C:\Users\1\AppData\Roaming\Yandex Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware: BitGuard, Bundled software uninstaller, Delta Chrome Toolbar, Delta toolbar. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 4. Google Chrome ma uszkodzone preferencje i zapewne adware też tam jest. W przeglądarce wykonaj: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adresy tam otwierane, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adresy tam otwierane Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy dodane śmieci. Ustawienia > karta Historia > wyczyść 5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Zakończ sprawy: 1. Ponownie wyczyść foldery Przywracania systemu. 2. Prewencyjnie zmień hasła logowania w serwisach. 3. Porównaj co wymaga aktualizacji: KLIK. Ostatnie raporty są już relatywnie stare, ale m.in. widoczny był brak podstawowych aktualizacji Windows 7. .

Przetwarzanie skryptu ma stanowczo zbyt dużo odczytów "not found". Czy przypadkiem nie wystąpiło jedno z tych: podwójne uruhoienie skryptu lub zmiana kolejności zadań? I podaj log z właściwego usuwania AdwCleaner, czyli AdwCleaner[s0].txt. Tu podane to już kolejne uruchomienie. Zastrzeżenia: plik adwcleaner_www.INSTALKI.pl.exe = pobrany z innego serwisu niż strona domowa. .