Zappa

Otwórz notatnik i wklej S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [485888 2014-12-10] (Fuyu LIMITED) S2 winzipersvc; C:\Program Files\WinZipper\winzipersvc.exe [424624 2015-01-12] (Taiwan Shui Mu Chih Ching Technology Limited.) <==== ATTENTION plik zapisujesz jako fixlist.txt i umieszczasz na pendraku, obok FRST. Dalsze czynności są znane. Po usuwaniu z poziomu środowiska zewnetrznego wykonujesz nowy skan FRST i dajesz log.

A spróbuj odpalić tryb awaryjny.

EmptyTemp: => Error: This directive works only outside recovery mode. Sory zapomniałem że ta komenda nie działa z poziomu środowiska zewnetrznego. Jaka jest sytuacja system dalej nie wstaje?

To nie jest sprawa infekcji. Mały skrypt korygujący Otwórz notatnik i wklej HKU\S-1-5-21-4206897810-84161052-180309913-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://msn.gazeta.pl/msn/0,0.html?pc=UP97&ocid=UP97DHP SearchScopes: HKU\S-1-5-21-4206897810-84161052-180309913-1000 -> {F2CE4271-2C76-4E48-8BDA-AABACA53B912} URL = http://websearch.ask.com/redirect?client=ie&tb=SGT&o=APN10374&src=kw&q={searchTerms}&locale=&apn_ptnrs=^AHO&apn_dtid=^YYYYYY^YY^PL&apn_uid=e502eb65-215b-4459-9060-88b3b651eca8&apn_sauid=EBC8C252-EB41-4841-944A-51F49E027AEC BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File FF SearchPlugin: D:\Users\Owner\AppData\Roaming\Mozilla\Firefox\Profiles\bv1zvn8k.default\searchplugins\askcom.xml FF SearchPlugin: D:\Users\Owner\AppData\Roaming\Mozilla\Firefox\Profiles\bv1zvn8k.default\searchplugins\bingp.xml EmptyTemp: Plik zapisz jako fixlist.txt i umieść w D:\Users\Owner\Desktop\deg. uruchom FRST i kliknij w Fix. Przedstaw raport z usuwania. 2. Masz następoujące punkty przywracania ==================== Restore Points ========================= 09-12-2014 17:36:57 avast! antivirus system restore point 20-01-2015 20:23:23 avast! antivirus system restore point 03-02-2015 19:59:11 Zaplanowany punkt kontrolny 15-02-2015 13:30:06 avast! antivirus system restore point Być może instalacja Avast coś namieszała, ale najpierw zrób weryfikację plików systemowych. Podaj jaki jest końcowy komunikat...mam nadzieję że wiesz o co chodzi?

Ustaw raz na dzień i sprawdź. Daj znać czy powstał punkt. Ogólnie chodzi o to że SystemVolumeInformation zajmuje dużo miejsca na dysku i często należy punkty przywracania usuwać.

spróbuj uruchomić system z konsoli odzyskiwania > wybierz opcję napraw komuter > uruchom tryb awaryjny z wierszem polecenia. Wcześnie skopiuj FRST na pendraka oraz plik fixlist.txt, który podaje niżej jak odpalisz awaryjny z wierszem polecenia wpisz notepad > enter otworzy sie notatnik > z menu plik > Otwórz > zobaczysz Explorer sprawdź pod jaką literą jest pendrak zamykasz explorer i wpisujesz X:\frst.exe - gdzie za X podstawiasz literkę pendraka uruchamia sie FRST i klikasz w Fix. Otwórz notatnik i wklej S1 iSafeKrnl; C:\Program Files\Elex-tech\YAC\iSafeKrnl.sys [215336 2015-01-15] (Elex do Brasil Participações Ltda) S3 iSafeKrnlBoot; C:\Windows\System32\DRIVERS\iSafeKrnlBoot.sys [40744 2015-01-15] (Elex do Brasil Participações Ltda) S1 iSafeKrnlKit; C:\Program Files\Elex-tech\YAC\iSafeKrnlKit.sys [83112 2015-01-15] (Elex do Brasil Participações Ltda) S1 iSafeKrnlMon; C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys [34856 2015-01-15] (Elex do Brasil Participações Ltda) S1 iSafeKrnlR3; C:\Program Files\Elex-tech\YAC\iSafeKrnlR3.sys [63400 2015-01-15] (Elex do Brasil Participações Ltda) S1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [44712 2015-01-03] (Elex do Brasil Participações Ltda HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe [747712 2013-11-27] () S1 {55dce8ba-9dec-4013-937e-adbf9317d990}w; C:\Windows\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}w.sys [52880 2014-08-04] (StdLib) S3 catchme; \??\C:\Users\Wojtek\AppData\Local\Temp\catchme.sys [X] EmptyTemp: plik zapisujesz jako fixlist.txt i umieszczasz na pendraku, obok FRST.

Powinno. Nie bardzo rozumiem ideę codziennego tworzenia dwóch punktów przywracania. Mozesz rozwinąć myśl co jest powodem?

ustaw maksymalne uzycie dysku na 4%, tym suwaczkiem fotka numer dwa

pokaż obrazek z Właściwości systemu > Ochrona systemu oraz drugi po kliknieciu opcji Konfiguruj Ile jest wolnego miejsca na partycji systemowej?

Sprawdź http://www.howtogeek.com/howto/windows-vista/change-how-often-system-restore-creates-restore-points-in-windows-vista/

gdzie zgubiłeś pozostałe logi = Aditions.txt i Shortcut.txt? za to, że system nie wstaje odpowiada najpewniej adware HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe [747712 2013-11-27] () sprawdź czy masz to w zainstalowanych programach? Jak jest odinstaluj. Dodatkowe logi jak najbardziej wskazane.

Zacznij od deinstalacji Kasperskiego, na razie to jedyny podejrzany w systemie, który ma wpływ na zmiany rejestru.

Tak na ślepo nie jestem w stanie powiedzieć co mogło wpłynąć na zmiany rejestru. Może wstaw proforma logi z FRST.

znajdź to i skasuj przez Shift+delete reszty nie usuwam bo nie jestem przekonany co do szkodliwości. Problemem głownym jest krzaczenie się explorera. I winny za to jest IE11. Ide o zakład.

To nie jest żaden rootkit. Zobacz co zdejmowałem w pierwszym skrypcie. To adware i jego usługi C:\Users\Adrian\AppData\Local\Google\Chrome\User Data\Default\Extensions\cgohmfhlbipbcmmpdonacmkpibfghppn R1 {3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w64; C:\Windows\System32\drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w64.sys [48784 2015-02-08] (StdLib) R1 {8d9208df-94f9-4c96-a224-97b37b0df94e}Gw64; C:\Windows\System32\drivers\{8d9208df-94f9-4c96-a224-97b37b0df94e}Gw64.sys [48792 2015-01-04] (StdLib) R1 {bf5001a3-ae7a-4910-925a-5060ef2c0508}Gw64; C:\Windows\System32\drivers\{bf5001a3-ae7a-4910-925a-5060ef2c0508}Gw64.sys [48792 2015-01-08] (StdLib)

skopiuj plik hosts na inną partycję. Edytuj i podmień. Jak bedą problemy daj znać. odinstaluj testowo IE 11. To nie jest aktualizacja obowiązkowa gdzie? jak coś widzisz to podawaj konkrety Żeby nie było, że śłepy jestem - wnbadrian pobierz KasperskyTDSSKiller i wykonaj skan. Jak coś wyszuka daj opcje Skip i przedstaw raport https://www.fixitpc.pl/topic/60-diagnostyka-infekcje-typu-rootkit/

1. W pliku hosts usuń tą linijkę 54.235.90.58 fhajokkdlhllmgenmniigcnlefjakobn następnie zapisz zmiany i zostaw plik tam gdzie ma być czyli c:\Windows\System32\drivers\etc\ 2. Przez Shift+Delete skasuj z dysku folder C:\FRST i sam program 3. uruchom AdwCleaner i kliknij Odinstaluj. 4. Monitoruj system czy pojawi się bład z explorerem. Czekaj też na ewentalne uwagi Picasso. Tak mnie teraz natchnęło. Masz na pokładzie Autocad i Internet Explorer 11. Są ścisłe powiązania miedzy tymi aplikacjami. Rozwiązywałem kiedyś taki problem na innym forum. Moja propozycja jest nastepująca - odinstaluj IE11. Krzaczył niemiłosiernie w połączeniu z autocadem.

Drobna korekta Otwórz notatnik i wklej C:\Windows\Tasks\LSGKZOLJ.job C:\Users\Adrian\AppData\Roaming\LSGKZOLJ C:\ProgramData\.bf45c81f8dc8abfeecf09.dat plik zapisz jako fixlist.txt i umieść w C:\Users\Adrian\Downloads. Uruchom FRST i kliknij w Fix. Przedstaw raport Fixlog.txt. 2. Przedstaw zawartość pliku Hosts > edytuj go w notatniku > scieżka do pliku c:\Windows\System32\drivers\etc\ musisz mieć właczone pokazywanie ukrytych plików systemowych

Nie wiem, coś musiało go wyłaczyć. Odpowiedź powinna paść z twojej strony. Co ostatnio instalowałeś lub zmieniałeś w systemie?

1. Zamknij przeglądarki. 2. Uruchom AdwCleaner i kliknij Szukaj a potem wybierz opcję Usuń. 3. Uruchom system ponownie i zrób skan FRST ale nie zaznaczaj opcji Additions i Shorcut.

Bład występuje bardzo często jednak ciężko stwierdzić jednoznacznie co go powoduje Error: (02/14/2015 09:50:28 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: explorer.exe, wersja: 6.1.7601.17567, sygnatura czasowa: 0x4d672ee4 Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.18247, sygnatura czasowa: 0x521eaf24 Kod wyjątku: 0xc0000374 Przesunięcie błędu: 0x00000000000c4102 Identyfikator procesu powodującego błąd: 0x10a8 Godzina uruchomienia aplikacji powodującej błąd: 0xexplorer.exe0 Ścieżka aplikacji powodującej błąd: explorer.exe1 Ścieżka modułu powodującego błąd: explorer.exe2 Identyfikator raportu: explorer.exe3 W systemie masz resztki adware i to należy usunąć. Otwórz notatnik i wklej CloseProcesses: HKLM-x32\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot HKLM-x32\...\Run: [gmsd_pl_11] => [X] HKU\S-1-5-21-3483416149-639397455-693731436-1000\...\Run: [Akamai NetSession Interface] => C:\Users\Adrian\AppData\Local\Akamai\netsession_win.exe [4672920 2014-04-17] (Akamai Technologies, Inc.) HKU\S-1-5-21-3483416149-639397455-693731436-1000\...\Run: [AdobeBridge] => [X] GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150209 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150209 HKU\S-1-5-21-3483416149-639397455-693731436-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150209 SearchScopes: HKU\S-1-5-21-3483416149-639397455-693731436-1000 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} C:\Users\Adrian\AppData\Local\Google\Chrome\User Data\Default\Extensions\cgohmfhlbipbcmmpdonacmkpibfghppn R1 {3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w64; C:\Windows\System32\drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w64.sys [48784 2015-02-08] (StdLib) R1 {8d9208df-94f9-4c96-a224-97b37b0df94e}Gw64; C:\Windows\System32\drivers\{8d9208df-94f9-4c96-a224-97b37b0df94e}Gw64.sys [48792 2015-01-04] (StdLib) R1 {bf5001a3-ae7a-4910-925a-5060ef2c0508}Gw64; C:\Windows\System32\drivers\{bf5001a3-ae7a-4910-925a-5060ef2c0508}Gw64.sys [48792 2015-01-08] (StdLib) S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] Task: {F35CDFF4-8123-491E-A817-E7697B8DEA4E} - System32\Tasks\LSGKZOLJ => C:\Users\Adrian\AppData\Roaming\LSGKZOLJ.exe <==== ATTENTION Task: {B8A7BC3F-D264-40E5-A11B-3438C8218F23} - System32\Tasks\{6C8F44F4-7038-4B1C-B7E2-D2407974B639} => pcalua.exe -a "C:\Program Files (x86)\ShopperPro\SPremove.exe" <==== ATTENTION Task: {5FF5D0E7-2DD9-4F47-BE57-7438D4CBB0D0} - System32\Tasks\{1D808979-1191-485E-9EF6-CB5C51EBD8C2} => pcalua.exe -a C:\Users\Adrian\AppData\Roaming\webssearches\UninstallManager.exe -c -ptid=brd <==== ATTENTION Task: {1D573DFF-FF70-411F-9543-E95158410EE6} - System32\Tasks\{AFB3E263-E29D-45CD-82F7-5639C369BE75} => pcalua.exe -a "C:\Program Files (x86)\TheFreeHD-Sport TV V10\Uninstall.exe" -c /fcp=1 EmptyTemp: plik zapisz jako fixlist.txt i umieść w C:\Users\Adrian\Downloads. Uruchom FRST i kliknij w Fix. Przedstaw raport Fixlog.txt. 2. Odinstaluj z panelu programów Akamai NetSession Interface 3. Pobierz AdwCleaner i wykonaj nim skan (opcja Szukaj) - przedstaw raport. http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner

wstaw lepiej logi z FRST - problem może mieć zupełnie inne podłoże https://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/#1

Według OTL masz system 64bit. Spróbuj odpalic FRST w trybie awaryjnym, zakładam że pobierałeś wersje 64bit?

Wstaw raporty z FRST https://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/

Co z problemem ma dział bezpieczeństwo? Cofnij system do punktu sprzed aktualizacji.