picasso

Niestety z jakiś względów ostatni zestaw komend zwrócił błąd. Ponów ten sam skrypt z poziomu Trybu awaryjnego Windows. Wejście do Trybu awaryjnego na Windows 10: Menu Start > Ustawienia > Aktualizacje i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > nastąpi restart > w menu które się pojawi wybierz Rozwiąż problemy > Zaawansowane opcje rozruchu.

W tych raportach jest już zmiana i w jakiś sposób wpis startowy został usunięty, natomiast nadal jest katalog malware na dysku. Druga sprawa: przeglądarka Google Chrome jest zainfekowana adware (zmodyfikowane biblioteki DLL) i jest wymagana jej reinstalacja. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj zbędny Akamai NetSession Interface i starą wersję Java 8 Update 51. 2. Przeinstaluj Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki. Punkt 2: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą ponownie Google Chrome. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2015-03-31] (Microsoft Corporation) FF Plugin HKU\S-1-5-21-2329799690-3783243740-1929443932-1001: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] Task: {07745E99-96DA-4987-AA69-6D646D8E4FDB} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-01] (Lenovo) Task: {12037A20-8EB6-4EF8-B0AB-272E1D5775E1} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-10-16] (Lenovo) Task: {1E5B8B65-5B90-44A6-89AB-3959A7141E9D} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe Task: {2902E6BF-AACD-4732-886A-0CD4F1A9434D} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {29650D83-C657-4FCA-9310-51C6089859E0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {42EA1F98-5283-4E21-946F-3D814210F6D7} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {71FAF717-4994-4434-B729-744518BC24CA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {97153065-3F20-43E0-AB62-B88ABC274764} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {B13A52B8-12AE-49B8-866A-F7BC120E7C12} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {B46ACD14-52B1-49BB-88E4-71EEAB9D47B3} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {B4F1D7CB-DCC5-4DB4-9625-A80A5F54F89A} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\BrowserChoice\browserchoice.exe Task: {BA31081A-35C0-46DE-ABDD-3F31E8D67AA5} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {CA2420D6-E5FF-4FD8-97D8-909B61BE313C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {D6273826-9AC2-4DAC-8739-A13F4CF9CFCB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {E8EF89C3-D0EF-47EE-BD82-FAC80F8E762D} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {F1A28706-AC49-42DD-9767-9735E51270A1} - System32\Tasks\{E2CCE2F8-B9B8-4BAD-B7EA-2D7E458A3AB5} => pcalua.exe -a "C:\Drivers\Synaptics Touchpad Driver\Setup.exe" -d "C:\Drivers\Synaptics Touchpad Driver" Task: C:\WINDOWS\Tasks\foodpairings.job => c:\programdata\{8d5315de-b038-456d-8d53-315deb03577a}\gtav-unpacked.exe Task: C:\WINDOWS\Tasks\matchfinder.job => c:\programdata\{e537c070-aab8-b1d9-e537-7c070aab01c2}\3070779362994228069b.exe S3 CnxtHdAudService; \SystemRoot\system32\drivers\CHDRT64.sys [X] C:\ProgramData\ererwerr C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico C:\Program Files (x86)\Mozilla Firefox\plugins C:\Users\pomyk_000\AppData\Local\Microsoft\Windows\GameExplorer\{BD3BB9A4-FA2B-4DB4-B5CF-997B1BB360E5} C:\Users\pomyk_000\Documents\Euro Truck Simulator 2\readme.rtf.lnk CMD: netsh advfirewall reset Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Dolby Advanced Audio v2" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v Bluetooth.lnk /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Registry Finder Strona domowa Platforma: Windows XP do Windows 11 32-bit i 64-bit Licencja: freeware Registry Finder - Początkowo program był tylko ulepszoną wyszukiwarką rejestru, ale przekształcił się w dobry alternatywny edytor rejestru. Posiada podstawowe możliwości przeglądania i edycji znane z systemowego regedit, ale także pewne udogodnienia i ciekawostki niedostępne w regedit. Wśród udogodnień: pasek narzędziowy i pasek adresów, ulepszona wyszukiwarka oraz funkcja zamiany tekstu, historia operacji, dodatkowa kolumna informacyjna pokazująca rozmiar wartości w bajtach. Obsługuje uruchomienie wielokrotnych instancji okna, które po zamknięciu zostaną przywrócone na ostatnio otworzonych w nich ścieżkach. Potrafi zaimportować ulubione z systemowego regedit. Funkcja wyszukiwania jest szybka i efektywna. W warunkach jest definiowanie zakresu lokalizacji, wyszukiwanie wg daty modyfikacji oraz ukrytych kluczy *. Wyniki wyszukiwania są prezentowane w osobnej karcie w postaci listy, a wyszukiwany tekst jest wyróżniony na czerwono. Z poziomu wyników wyszukiwania można przeskoczyć do danej znalezionej ścieżki lub podjąć bezpośrednią operację modyfikacji czy usuwania. Wyniki wyszukiwania można zapisać do pliku w formacie CSV lub REG. Wszystkie operacje modyfikacji (usuwanie lub podmiana) są gromadzone w oknie historii. Ostatnia wykonana akcja jest oznaczona źółtą strzałką. Operacje modyfikacji rejestru mogą być odwrócone lub ponownie przywrócone. * W odróżnieniu od systemowego regedit, potrafi wykryć klucze ukryte techniką null. W wynikach wyszukiwania znaki null są oznaczane znakiem punktora •. W interfejsie jest dostępna tylko wyszukiwarka takich kluczy, ale w paczce zostało dołączone dodatkowe konsolowe narzędzie NReg, które umożliwia także ich usuwanie oraz tworzenie w celach "testowych". Dodatkowa mała fajna rzecz graficzna: klucze do których nie ma dostępu ze względu na uprawnienia są oznaczone małą czerwoną ikonką. Program jest dostępny w wersji instalacyjnej oraz portable, są dwie wersje odpowiednio dla systemów 32-bit i 64-bit. Aktywnie rozwijany i nie jest wykluczone, że w przyszłości będzie więcej ciekawych funkcji.

NReg Strona domowa Platforma: Windows XP do Windows 10 32-bit i 64-bit Licencja: freeware Registry Finder to alternatywny graficzny edytor rejestru. W paczce Registry Finder jest także dodatkowe konsolowe narzędzie NReg (Native API Registry utility), które umożliwia usuwanie oraz tworzenie kluczy ukrytych techniką null, niewidzialnych dla systemowego edytora regedit i jego konsolowego odpowiednika reg.exe. NReg jest nowoczesną alternatywą dla bardzo starego narzędzia RegDelNull. Co istotne, narzędzie posiada natywną wersję 64-bit. Spis obsługiwanych poleceń: D:\Download\RegistryFinder>NReg -h Adds or deletes hidden registry keys. Usage: NReg Commands: [add | delete] Key: ROOTKEY\Subkey ROOTKEY: [HKLM | HKCU | HKCR | HKU | HKCC] Subkey: The full name of a registry key under the selected ROOTKEY. Keys with the null character in the name are not accessible by regedit and most other registry editors, that use Window API. Though such keys are visible, their content is not. To create a key with the null character, use the add command and specify '%00' as part of the key name. Examples: NReg add HKCU\Unmodifiable%00\Invisible Creates the Unmodifiable key and Invisible subkey. Regedit is able to display the HKCU\Unmodifiable key, but fails to open it. The Invisible subkey is invisible for regedit. NReg delete HKCU\Unmodifiable%00 This command deletes the Unmodifiable key. D:\Download\RegistryFinder>

Windows 10 release information Windows 10 update history Dla Windows 10 są dwie oficjalne strony, które umożliwiają pośrednie lub bezpośrednie pobranie plików ISO z instalacją systemu. Są one aktualizowane korespondująco do głównych nowych wersji Windows, czyli np. ktoś kto pobierał kilka miesięcy temu z tych stron posiada starszą wersję systemu. Obecnie linki serwują Windows 10 Wersja 22H2 (build 19045.x). Informacja "Wersja 22H2" jest ogólna i nie definiuje najbardziej aktualnych składników, istotny jest szczegółowy build tej linii, podbijany kolejnymi aktualizacjami z Windows Update. Bieżący z listą aktualizacji zawsze można sprawdzić na podanych powyżej stronach i po pobraniu obrazu ISO zweryfikować właściwości i daty plików w obrazie, by ocenić różnicę pomiędzy dostępnym obrazem a łatami z Windows Update (można je pobrać i np. ręcznie dointegrować do ISO). Przy pobieraniu pada pytanie o wybór edycji. Dostępna standardowa "Windows 10" oraz kastraty: N / KN (orientowane na rynki europejski i koreański) mają wycięte określone składniki multimedialne, a "Single language" blokuje wybrany język wyświetlania uniemożliwiając doinstalowanie alternatywnych pakietów językowych. Obrazy ISO zawierają dwie wersje systemu, czyli Home i Pro. Pobrany z wymienionych źródeł materiał nie jest tożsamy, różni się zastosowanym formatem obrazu instalacyjnego Windows, co ma znaczenie dla potencjalnych operacji edycji czy używania źródła Windows do naprawy. Pobierz Windows 10 <dynamicznie podmieniane> Pobieranie obrazu dysku systemu Windows 10 (pliku ISO) Główna strona pobierania reklamowana przez Microsoft, która dynamicznie podmienia linki w zależności od tego z poziomu jakiego systemu lub urządzenia jest oglądana. Dla systemów Windows 7 i nowszych pokazuje się tylko pierwszy link z Narzędziem do tworzenia nośników (Media Creation Tool) i nie ma możliwości pobrania bezpośrednio ISO (ten drugi link automatycznie przekierowuje na pierwszy). Natomiast dla pozostałych platform nie obsługujących kreatora (np. XP, Vista, Linux, urządzenia mobilne) pokazuje się drugi link umożliwiający pobranie ISO. Pierwszy link: Narzędzie do tworzenia nośników nie zawiera żadnych instalacyjnych plików Windows, ale umożliwia ich pobranie zgodnie z wybranymi w kreatorze opcjami i opcjonalne utworzenie obrazu ISO. Proces odbywa się w tle i nie ma nad nim żadnej kontroli. Wynikowy obraz ISO zawiera archiwum instalacyjne Windows w skompresowanym formacie ESD. Plik ten nie może być wykorzystany jako bezpośrednie źródło naprawcze w narzędziu DISM. Stanowi również utrudnienie przy obrabianiu materiału pod kątem tworzenia dostosowanego nośnika (wymagana konwersja na WIM). Materiał ten w formie nieprzerobionej najbardziej nadaje się do utworzenia zwyczajnego nośnika instalacyjnego Windows 10. Windows10.iso ---- sources -------- install.esd Drugi link: Na stronie z menu należy wybrać odpowiednią edycję systemu i język. Linki pobierania są generowane za każdym razem od nowa, z danej sesji są trwałe tylko przez 24 godziny. Pobrany obraz ISO zawiera archiwum instalacyjne Windows w standardowym formacie WIM, co jest przydatne dla procesów, które wspominałam. M.in. rozpakowane ISO jest dobrym źródłem naprawczym dla DISM. Win10_1607_Polish_x64.iso ---- sources -------- install.wim Strona Tech Bench (umożliwiająca wygodne pobranie obrazów ISO Windows 10 w formacie WIM bez przekierowań) nie jest już dostępna. Natomiast nieoficjalne narzędzie "Windows 10 ISO Download Tool" linkowane w następnym poście nie działa już poprawnie. Windows 8.1/Windows 2012 R2 update rollups Oficjalna strona Microsoftu podana poniżej umożliwia pobranie systemu w wersji Windows 8.1 Update (build 6.3.9600.17415), czyli ze zintegrowaną aktualizacją November 2014 Update Rollup (nieoficjalnie nazywaną "Update 3"). Porównując stan z listą rollupów brakuje ostatniego wydania tego typu, czyli December 2014 Update Rollup. Obrazy ISO zawierają dwie wersje systemu, czyli Windows 8.1 i Windows 8.1 Pro. Pobieranie systemu Windows 8.1 <dynamicznie podmieniane> Pobieranie obrazu dysku systemu Windows 8.1 (pliku ISO) Microsoft zredukował ofertę do bezpośredniego obrazu ISO z WIM (tzn. zawsze jest ładowany link numer 2). Pierwotnie metoda pobierania była realizowana tak jak dla Windows 10, poprzez dynamiczne przekierowanie na różne adresy w zależności od tego z poziomu jakiego systemu oglądano stronę. Pierwszy link oferujący Narzędzie do tworzenia nośników (Media Creation Tool) był serwowany systemom Windows 7 i nowszym, drugi dla tych które nie były kompatybilne z kreatorem. Obecnie narzędzie już niedostępne. Microsoft zlikwidował możliwość pobierania plików ISO. Uprzedni link pobierania obecnie przekierowuje na stronę komunikującą brak wsparcia. Archiwalna postać strony - W odróżnieniu od pobierania Windows 10 oraz 8.1, było wymagane podanie klucza produktu i dopiero to działanie generowało link pobierania pasujący do danego klucza. Formatem wewnętrznym w ISO był WIM. ESD jest metodologią systemów Windows 8 i nowszych.

Legalne pobieranie obrazów Windows Windows 10, Windows 8.1, Windows 7 Poniżej publiczne oficjalne linki pobierania obrazów ISO, z wykluczeniem mechanizmów wymagający logowania i subskrypcji (np. MSDN) i wersji typu Enterprise / Education. Oryginalny niemodyfikowany obraz ISO z pełną instalacją systemu, prócz oczywistych zastosowań, może służyć także jako materiał wyjściowy do budowy własnej dostosowanej płyty, jako źródło naprawcze zainstalowanego Windows (np. operacje naprawy narzędziem DISM z przełącznikami kierujący na to źródło na dysku lub nakładkowa "aktualizacja" działająca jak naprawa z zachowaniem danych) oraz udostępnić środowisko WinRE w przypadku, gdy nie ma żadnej możliwości dostania się do tego interfejsu naprawy.

Pozytywna zmiana na Sourceforge: SourceForge Acquisition and Future Plans. Serwis został przejęty przez nowego właściciela, który próbuje odbudować reputację serwisu. Program sponsoringowy DevShare został usunięty, co oznacza likwidację "asystenta pobierania" na Sourceforge. Artykuł na forum został zaktualizowany w tej kwestii. Dodatkowa uwaga: uBlock ma zintegrowany filtr Badware risks‎, który nadal blokuje sourceforge, co jest już nieaktualne. Niestety, problemy w dziale Malware tu notowane na forum mają głównie inne źródła (np. dobreprogramy.pl).

Tak jest, ta sama historia. MPCKpt jest podmontowany na woluminach. Kolejne podejście: Otwórz Notatnik i wklej w nim: CMD: fltmc detach MPCKpt C: "NPminifilter Instance" CMD: fltmc detach MPCKpt D: "NPminifilter Instance" CMD: fltmc detach MPCKpt F: "NPminifilter Instance" CMD: fltmc detach MPCKpt \Device\HarddiskVolumeShadowCopy27 "NPminifilter Instance" CMD: fltmc detach MPCKpt \Device\HarddiskVolumeShadowCopy54 "NPminifilter Instance" CMD: fltmc detach MPCKpt \Device\Mup "NPminifilter Instance" CMD: fltmc instances R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-02-06] (DotC United Inc) C:\Windows\System32\drivers\MPCKpt.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Być może nastąpi restart. Przedstaw wynikowy fixlog.txt.

Tak, uruchom ponownie AdwCleaner, zastosuj kombinację opcji Skanuj + Usuń i przedstaw log z wynikami usuwania.

Skoro Autoruns nie widzi tego zadania, uruchom systemowe narzędzie: klawisz z flagą Windows + R > w polu Uruchom taskschd.msc > w menu Widok upewnij się, że jest zaznaczone Pokaż ukryte zadania > zadanie "ACC" powinno być w głównym widoku Biblioteki.

Jeśli chcesz usunąć tę aplikację, po prostu odinstaluj IMVU Avatar Chat Software. Po deinstalacji pousuwaj poniższe pliki i foldery (część już powinna zniknąć): 2016-01-26 11:18 - 2016-02-10 19:32 - 00000000 ____D C:\Users\Łukasz\AppData\Roaming\IMVU 2016-01-26 11:18 - 2016-01-26 11:18 - 00000000 ____D C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\IMVU 2016-01-26 11:18 - 2016-01-26 11:18 - 00000000 ____D C:\Users\Łukasz\AppData\Roaming\IMVUClient 2016-01-26 11:17 - 2016-01-26 11:17 - 00244304 _____ C:\Users\Łukasz\Downloads\InstallIMVU_523.0_st.exe 2016-01-26 11:17 - 2016-01-26 11:17 - 00244304 _____ C:\Users\Łukasz\Downloads\InstallIMVU_523.0_st (1).exe

bsdriver został usunięty pomyślnie, został tylko martwy wpis rejestru. Natomiast jest problem z usunięciem sterownika MPCKpt (odpadek po usunięciu MPC Cleaner). Prawdopodobnie jest tu podobna sprawa z filtrami i będę pobierać dodatkowe informacje. Otwórz Notatnik i wklej w nim: S1 bsdriver; \??\C:\Windows\system32\drivers\bsdriver.sys [X] CMD: fltmc instances Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Fix pomyślnie wykonany. Wejście "> Chrome Search" nie powinno być już widoczne na liście. Kończymy: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Brakuje trzeciego obowiązkowego raportu FRST Shortcut. Adware definitywnie nabyłeś podczas pobierania BESTPlayer z portalu dobreprogramy.pl. Załatwił Cię "Asystent pobierania" tego portalu: KLIK. PriceFountain działa poprzez Harmonogram zadań, więc tu nawet FRST nie byłby potrzebny ani żadne inne narzędzie zewnętrzne, by się tego pozbyć, wystarczyłoby otworzyć systemową przystawkę taskschd.msc. Oczywiście trzeba wiedzieć gdzie szukać, a to już bez raportu nie jest takie oczywiste. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {07C216B9-7F8F-4DD0-8C4B-6335588FDC4A} - System32\Tasks\ByteFence Scan => C:\Program Files\ByteFence\ByteFence.exe Task: {E0EEF62D-70DF-4B83-84AA-F864DEC1AF4F} - System32\Tasks\niestetytakPostfixesIsthmicV2 => Rundll32.exe MicropipetteConsorted.dll,main 7 1 <==== UWAGA HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2395041106-665369320-1206337860-1001\...\MountPoints2: {19c9b1e7-c859-11e5-8267-185e0f053425} - "D:\LaunchU3.exe" -a HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank SearchScopes: HKU\S-1-5-21-2395041106-665369320-1206337860-1001 -> DefaultScope {F7D5FD05-173B-48A7-8E35-50CC80FC8BED} URL = SearchScopes: HKU\S-1-5-21-2395041106-665369320-1206337860-1001 -> {F7D5FD05-173B-48A7-8E35-50CC80FC8BED} URL = DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\extensions RemoveDirectory: C:\Users\Public\Pokki RemoveDirectory: C:\Users\niestetytak\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 RemoveDirectory: C:\Users\niestetytak\AppData\Local\PostfixesIsthmic C:\Users\niestetytak\Downloads\*-dp*.exe C:\Users\niestetytak\Downloads\AdwCleaner*.* C:\Users\niestetytak\Downloads\SpyHunter-Installer.exe Folder: C:\Users\Public\Documents\dmp Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan) z zaznaczonymi polami Addition i Shortcut - i tylko te dwa logi dostarcz, główny FRST.txt nie jest już potrzebny. Dołącz też plik fixlog.txt.

Wszystko wykonane. Poprawki pod kątem tego nieusuwalnego wejścia. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{2AEF02C351594C81A6888D954F0DEE56}_NewSearch RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Skoro problem samoistnie ustąpił, to nie mam tu nic więcej do roboty. Jak mówiłam, nie notuję ani czynnej infekcji, ani jawnych uszkodzeń. Fix FRST pomyślnie wykonany. Na koniec drobne działania: 1. Odinstaluj stare wersje Adobe Flash Player 12 ActiveX, Java 8 Update 51 (64-bit), RealPlayer. 2. Skoryguj drobny błąd WMI: KLIK. 3. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Raporty z przestarzałego OTL nie są w ogóle tu już brane pod uwagę, usuwam. FRST jest obecnie o wiele bardziej zaawansowany i skanuje więcej rzeczy niż OTL, np. Harmonogram zadań. I to właśnie w Harmonogramie masz uruchamianie BAT programu Acer. Wygląda na to, że aplikację DriverSetupUtility zainstalował SlimDrivers, gdyż wskazuje na to sekwencja czasowa. DriverSetupUtility (HKLM\...\{2B51C83A-465D-4EA9-9CDC-1ED95ED09AC6}) (Version: 1.00.3011 - Acer Incorporated) Task: {CF5CB2DA-06BC-496F-9DF8-8F361C33749D} - System32\Tasks\ACC => C:\Program Files\DriverSetupUtility\FUB\FUB_Send.bat [2015-06-22] () 2016-02-09 15:31 - 2016-02-09 16:52 - 00002798 _____ C:\WINDOWS\System32\Tasks\ACC 2016-02-09 15:31 - 2016-02-09 15:31 - 00000000 ____D C:\ProgramData\SlimWare Utilities, Inc 2016-02-09 15:31 - 2016-02-09 15:31 - 00000000 ____D C:\ProgramData\DriverSetupUtility 2016-02-09 15:31 - 2016-02-09 15:31 - 00000000 ____D C:\Program Files\DriverSetupUtility 2016-02-09 15:30 - 2016-02-12 14:52 - 00000444 _____ C:\WINDOWS\Tasks\SlimDrivers Startup.job 2016-02-09 15:30 - 2016-02-09 16:53 - 00002926 _____ C:\WINDOWS\System32\Tasks\SlimDrivers Startup 2016-02-09 15:30 - 2016-02-09 16:51 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SlimDrivers 2016-02-09 15:30 - 2016-02-09 15:30 - 00002499 _____ C:\Users\Public\Desktop\SlimDrivers.lnk 2016-02-09 15:30 - 2016-02-09 15:30 - 00000000 ____D C:\Users\Public\Documents\Downloaded Installers 2016-02-09 15:30 - 2016-02-09 15:30 - 00000000 ____D C:\Users\Lukasz\AppData\Local\SlimWare Utilities Inc 2016-02-09 15:30 - 2016-02-09 15:30 - 00000000 ____D C:\Program Files (x86)\SlimDrivers Uruchom Autoruns, w karcie Scheduled Tasks wyłącz zadanie ACC. Dodatkowo, możesz tu zaprezentować co robi ten BAT otwierając plik FUB_Send.bat w Notatniku i przeklejając jego treść do posta. Albo odinstaluj całkowicie DriverSetupUtility. Po deinstalacji upewnij się w Autoruns, że zniknęło w/w zadanie.

GetSearch jest zablokowane na bazie polityk oprogramowania Google. Działania do przeprowadzenia: 1. Odinstaluj adware > Chrome Search, bardzo starą wersję Adobe Flash Player 10 ActiveX oraz świeżo doinstalowany SuperCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run CMD: type C:\Windows\system32\GroupPolicy\Machine\Registry.pol HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCTray.exe" /regrun HKU\S-1-5-21-3075007989-97069618-3936532545-1000\...\Run: [C] => C:\Windows\system32\GroupPolicy\Machine\Registry.pol [782 2016-02-11] () GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com URLSearchHook: [s-1-5-21-3075007989-97069618-3936532545-1000] UWAGA => Brak domyślnego URLSearchHook URLSearchHook: HKU\S-1-5-21-3075007989-97069618-3936532545-1000 - (Brak nazwy) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - Brak pliku ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => Brak pliku S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TsNetHlpX64.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\ProgramData\rxsmznjf.zcp C:\ProgramData\BANDISOFT C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bandicut C:\Users\Władca\AppData\Local\VirtualRouterPlus C:\Users\Władca\AppData\Roaming\GiftBag.db C:\Users\Władca\AppData\Roaming\BANDISOFT C:\Users\Władca\AppData\OICE_15_974FA576_32C1D314_363 C:\Users\Władca\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Bandicut.lnk C:\Users\Władca\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\强力卸载电脑上的软件 .lnk C:\Users\W砤dca C:\Windows\system32\--debugoff C:\Windows\system32\--traceoff C:\Windows\SysWOW64\L CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w tym samym folderze w którym jest FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Władca\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Usuwam zbędne logi. Chodziło tylko i wyłącznie o nowy plik Addition. Uruchamianie skryptu absolutnie nie, to jednorazowa naprawa i nie działa po raz drugi. Komentowałam tylko, że zapisałeś plik w złym kodowaniu. Adware pomyślnie usunięte. Mam dodatkowe pytanie: pojawiła się nowa aplikacja IMVU Avatar Chat Software - czy to celowa instalacja? Ten program może być instalowany w niechciany sposób.

Skrypt FRST pomyślnie wykonany. Narzędzie SFC nie wykryło problemów. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Adware nie jest wyczyszczone dobrze, nadal jest aktywny sterownik WordFly. Jeśli chodzi o brak dostępu do internetu, to przypuszczalną przyczyną może być uszkodzenie łańcucha Winsock, pomimo że log FRST nie pokazuje tej usterki, a typuję to po obecności kilku plików na dysku które są wpuszczane z adware modyfikującym Winsock. Dodatkowo, plik systemowy dnsapi.dll był odświeżany co dopiero, co wskazuje na to, że była też infekcja w tym pliku i jest niejasne w jaki sposób go naprawiano. Tym wszystkim się zajmę. Natomiast uszkodzenie Recovery to osobna sprawa, nie wiem czy da się coś w tej kwestii zrobić, nie jestem pewna co się stało, że przy anulowaniu rozwaliło system. Wstępnie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) R1 wfdrvr_vt_1_10_0_28; C:\Windows\System32\drivers\wfdrvr_vt_1_10_0_28.sys [61296 2015-10-30] (WF) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] Task: {5BF71ACE-D8AD-4BA8-9293-95E1CA325D89} - System32\Tasks\Cigif => C:\PROGRA~1\GROOVE~1\Lursic.bat Task: {85665E16-C27C-4287-9AC6-549AB492567D} - System32\Tasks\WordFly Auto Updater 1.10.0.28 Core => C:\Program Files (x86)\WordFly_1.10.0.28\Update\WordflyAutoUpdateClient.exe <==== UWAGA Task: {9D0FD961-9A58-4B71-8FC5-1AFF71C8DA7D} - System32\Tasks\WordFly Auto Updater 1.10.0.28 Pending Update => C:\Program Files (x86)\WordFly_1.10.0.28\Update\WordflyAutoUpdateClient.exe <==== UWAGA Task: {B11FC049-05CA-4A1D-A9A1-1E04707D25CF} - System32\Tasks\{92A49F2D-8053-4C77-9839-6D0287C6CC43} => pcalua.exe -a D:\drivers\VGA_nVidia_WIN7_32_z817125741\setup.exe -d D:\drivers\VGA_nVidia_WIN7_32_z817125741 GroupPolicy: Ograniczenia - Chrome <======= UWAGA GroupPolicyUsers\S-1-5-21-3343506224-3256486555-700229984-1003\User: Ograniczenia <======= UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-3343506224-3256486555-700229984-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-3343506224-3256486555-700229984-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=hp&ts=1434908967&z=6f306756d3dd5d16bf528edg6zcc3z0tce9b9t3q2w&from=cmi&uid=ST9500325AS_5VEC8KP1XXXX5VEC8KP1 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\apphide DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\baidu RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Users\ASUS\AppData\Local\10002 RemoveDirectory: C:\Users\ASUS\AppData\Local\Call Download RemoveDirectory: C:\Users\ASUS\AppData\Roaming\E0813030-1432553686-FA90-8A80-14DAE92F0F8F RemoveDirectory: C:\Users\ASUS\AppData\Roaming\E0813030-1434900597-FA90-8A80-14DAE92F0F8F RemoveDirectory: C:\Users\ASUS\AppData\Roaming\NetService RemoveDirectory: C:\Users\ASUS\AppData\Roaming\Soft-4-Free.com RemoveDirectory: C:\Users\ASUS\AppData\Roaming\WarThunder C:\Users\ASUS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\ASUS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Windows\system32\TinpuatbuOff.ini C:\Windows\System32\drivers\wfdrvr_vt_1_10_0_28.sys C:\Windows\SysWOW64\Tinpuatbu.ini C:\Windows\SysWOW64\TinpuatbuOff.ini CMD: netsh advfirewall reset CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom sprawdzanie sfc /scannow i wyprodukuj przefiltrowany log sfc.txt: KLIK. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\ASUS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt i sfc.txt. Wypowiedz się czy nastąpiła poprawa.

Adware nabyte podczas pobierania WinRAR przy udziale "Asystenta pobierania" dobreprogramy.pl: KLIK. Zaimplementowane via Harmonogram zadań, stąd żadne akcje na poziomie przeglądarki nie pomagają. Aktywność globalna widoczna w obojętnej przeglądarce. Działania do przeprowadzenia: 1. Deinstalacje: - Odinstaluj zbędne programy: Acer Games, eBay Worldwide, Norton Online Backup, Pokki Start Menu. Acer Games (z grupy Pokki) i tak jest naruszony, prawdopodobnie przez AdwCleaner. Przy okazji przejrzyj listę i pozbądź się nieużywanych aplikacji. - Jest tu aktywny niepoprawnie odinstalowany McAfee. Zastosuj McAfee Consumer Product Removal Tool. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {D4897DA7-A490-4F4B-90C3-AE11C46F53B7} - System32\Tasks\StoeckleOnboardOverattentivenessV2 => Rundll32.exe MossCrisping.dll,main 7 1 RemoveDirectory: C:\Users\Stoeckle\AppData\Local\OnboardOverattentiveness C:\Users\Stoeckle\Downloads\*-dp*.* GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres adware isearch.omiga-plus.com, przestaw na "Otwórz stronę nowej karty" 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Krytyczny stan aktualizacji systemu: brak SP3 + IE8 i reszty łat, niebezpieczne wersje Adobe i Java zainstalowane. W związku ze stanem systemem tu są ślady innych infekcji spoza adware. Widoczne następujące problemy: - To zachowanie dysków to jest konsekwencja infekcji z mediów przenośnych USB. Nabyłeś wirusa Sality, który infekuje wszystkie pliki wykonywalne na wszystkich dyskach. Sality uszkodził także Tryb awaryjny Windows. Wirus Sality nie wygląda na aktywny (brak sterownika i jego czynności w GMER), ale nie wiadomo ile zdewastował i czy są geny wirusa w jakiś programach. Może się okazać, że jest konieczny format całego dysku. - A tytułowy problem PriceFountain owszem pochodzi z "Asystenta pobierania" dobrychprogramów, ale przy wirusie Sality to pikuś. To prosta infekcja uruchamiana przez Harmonogram zadań. Wstępnie: 1. Zrób skan za pomocą SalityKiller. Jeśli wykryje zarażone pliki, powtarzasz skan, do momentu gdy zwrotem będzie zero zainfekowanych. 2. Pobierz Sality_RegKeys.zip. Rozpakuj i uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 3. Odinstaluj stare wersje: Adobe Flash Player 9 ActiveX, Adobe Reader 8 - Polish, Java™ 6 Update 24, OpenOffice.org 3.3, Orange Free (uszkodzony), Real Alternative 1.8.0. Również Mozilla Maintenance Service - to nie jest stara wersja, ale program jest naruszony przez wirusa Sality. Jeśli wystąpią problemy przy deinstalacji, kontynuuj dalej. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\User\DANEAP~1\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\UserFrothedAntilogsV2.job => C:\WINDOWS\system32\rundll32.exe#ReconsolidatingSachet.dll S3 filtertdidriver; system32\drivers\ewfiltertdidriver.sys [X] S4 IntelIde; Brak ImagePath S1 mailKmd; Brak ImagePath HKLM\...\Run: [CtrlVol] => C:\Program Files\Launch Manager\CtrlVol.exe HKLM\...\Run: [LaunchAp] => C:\Program Files\Launch Manager\LaunchAp.exe HKLM\...\Run: [Wbutton] => C:\Program Files\Launch Manager\WButton.exe HKLM\...\Run: [WinampAgent] => "C:\Program Files\Winamp\winampa.exe" HKLM\...\Run: [PPort11reminder] => "C:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Dane aplikacji\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini" HKU\S-1-5-21-436374069-261903793-725345543-1004\...\Run: [ares] => "C:\Documents and Settings\User\Pulpit\Ares\Ares.exe" -h HKU\S-1-5-21-436374069-261903793-725345543-1004\...\Run: [Komunikator] => C:\Program Files\Tlen.pl\tlen.exe HKU\S-1-5-21-436374069-261903793-725345543-1004\...\Run: [skype] => "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://wyborcza.pl/0,0.html?p=014 HKU\S-1-5-21-436374069-261903793-725345543-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki" FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Skype RemoveDirectory: C:\Documents and Settings\All Users\Menu Start\Programy\Orange RemoveDirectory: C:\Documents and Settings\All Users\Menu Start\Programy\LetsFun FLV Converter RemoveDirectory: C:\Documents and Settings\User\Dane aplikacji\Skype removeDirectory: C:\Documents and Settings\User\Menu Start\Programy\WorldUnlock Calculator RemoveDirectory: C:\Documents and Settings\User\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\FrothedAntilogs RemoveDirectory: C:\Program Files\Mozilla Firefox\plugins RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Menu Start\Programy\Brother\DCP-195C\Rejestracja On-Line.lnk C:\Documents and Settings\All Users\Menu Start\Programy\K-Lite Codec Pack\Tools\VobSubStrip.lnk C:\Documents and Settings\User\Dane aplikacji\avdrn.dat C:\Documents and Settings\User\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Orange.lnk C:\Documents and Settings\User\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\User\Pulpit\BurnAware-Free-13053-dp.exe C:\Documents and Settings\User\Pulpit\OpenFM.lnk C:\autorun.inf D:\autorun.inf CMD: dir /a C:\ CMD: dir /a D:\ EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowe logi: FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut, oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.

Posługujesz się potwornie starym FRST: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 02-05-2015 (ATTENTION: ====> FRST version is 284 days old and could be outdated) Proszę pobierz najnowszą wersję z przyklejonego i zrób nowe raporty (FRST.txt, Addition.txt, Shortcut.txt): KLIK.

Owszem, widzę tu obiekty adware, które mogą negatywnie wpływać na aktywność sieciową, a konkretnie to sterownik adware WordFly: R1 wafd_1_10_0_18; C:\Windows\System32\drivers\wafd_1_10_0_18.sys [58240 2015-06-04] (WA) Widzę także inne rzeczy: zainstalowany Avast Internet Security (komponent zapory i filtrowanie sieciowe może być problemem), wyłączona za pomocą msconfig usługa Pomoc IP (iphlpsvc), modyfikacja łańcucha sieciowego Winsock przez aplikację WTFast oraz poniższe błędy w Dzienniku zdarzeń: Error: (02/10/2016 10:57:18 PM) (Source: RemoteAccess) (EventID: 20106) (User: ) Description: Nie można dodać interfejsu {8CEEF680-9F03-4C17-8B1D-FC954519B2D2} za pomocą menedżera routerów dla protokołu IPV6. Wystąpił następujący błąd: Nie można ukończyć wykonywania tej funkcji. Error: (02/10/2016 10:57:21 PM) (Source: Microsoft-Windows-EapHost) (EventID: 2002) (User: dom-Komputer) Description: Pomijanie: nie można zweryfikować Eap method DLL path. Błąd: identyfikator typu=43, identyfikator autora=9, identyfikator dostawcy=0, typ dostawcy=0 Error: (02/10/2016 10:57:21 PM) (Source: Microsoft-Windows-EapHost) (EventID: 2002) (User: dom-Komputer) Description: Pomijanie: nie można zweryfikować Eap method DLL path. Błąd: identyfikator typu=25, identyfikator autora=9, identyfikator dostawcy=0, typ dostawcy=0 Error: (02/10/2016 10:57:21 PM) (Source: Microsoft-Windows-EapHost) (EventID: 2002) (User: dom-Komputer) Description: Pomijanie: nie można zweryfikować Eap method DLL path. Błąd: identyfikator typu=17, identyfikator autora=9, identyfikator dostawcy=0, typ dostawcy=0 Na razie usuwanie sterownika adware (i inne drobnostki) i podstawowe resety sieciowe. Wykonaj następujące czynności: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 wafd_1_10_0_18; C:\Windows\System32\drivers\wafd_1_10_0_18.sys [58240 2015-06-04] (WA) S2 wasvc_1.10.0.18; "C:\Program Files (x86)\WordAnchor_1.10.0.18\Service\wasvc.exe" [X] U2 CLKMSVC10_3A60B698; Brak ImagePath U2 CLKMSVC10_C3B3B687; Brak ImagePath U2 DriverService; Brak ImagePath U2 IAStorDataMgrSvc; Brak ImagePath U2 idealife Update Service; Brak ImagePath U3 IGRS; Brak ImagePath U2 IviRegMgr; Brak ImagePath U2 Oasis2Service; Brak ImagePath U2 PCCarerServic; Brak ImagePath U2 ReadyComm.DirectRouter; Brak ImagePath U2 RichVideo; Brak ImagePath U2 SoftwareService; Brak ImagePath S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] U2 Stereo Service; Brak ImagePath Task: {F81DD8F3-27C6-4491-86BD-A1B2CD06C9A5} - System32\Tasks\{F18C6F15-7873-47C8-B290-B385726A7CE4} => pcalua.exe -a C:\Users\dom\Downloads\RegCleaner(dobreprogramy.pl).exe -d C:\Users\dom\Downloads HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-304197070-3302841352-318972171-1001\...\Run: [CyberGhost] => "C:\Program Files\CyberGhost 5\CyberGhost.exe" /autostart /min HKU\S-1-5-21-304197070-3302841352-318972171-1001\...\MountPoints2: {5b9438f9-c1a1-11e5-b14c-f0def199c0f3} - E:\iLinker.exe HKU\S-1-5-21-304197070-3302841352-318972171-1001\...\MountPoints2: {b63de6cf-4376-11e5-b646-f0def199c0f3} - E:\SETUP.EXE HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKU\S-1-5-21-304197070-3302841352-318972171-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-08-01] C:\ProgramData\Microsoft\Windows\GameExplorer\{96C7E72A-7177-4C09-B03F-8F3DFB4AF7E3} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\GTA San Andreas C:\ProgramData\Microsoft\Windows\Start Menu\Programs\San Andreas Multiplayer C:\Users\dom\Desktop\Gry\Grand Theft Auto V.lnk C:\Users\dom\Desktop\Programy\DAEMON Tools Lite.lnk C:\Windows\System32\drivers\wafd_1_10_0_18.sys DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\iphlpsvc DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg query HKLM\System\CurrentControlSet\Services\Eaphost\Methods /s CMD: ipconfig /flushdns CMD: netsh advfirewall reset CMD: netsh int ipv4 reset all CMD: netsh int ipv6 reset all CMD: netsh int httpstunnel reset all CMD: netsh int portproxy reset all CMD: netsh int tcp reset all CMD: netsh winsock reset CMD: sc config iphlpsvc start= auto RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz zmiany.