picasso

Ten błąd sugeruje problem sprzętowo-sterownikowy, tzn. jakiś komponent z tego zakresu stawiający opór. Na razie dostarcz mi materiały do analizy, tzn. skopiuj na Pulpit folder C:\Windows\Logs\CBS, spakuj do ZIP, shostuj gdzieś i podaj link do paczki. Mam też pytania: jakie zewnętrzne urządzenia są podłączone (drukarki, skanery, karty, ...)? Widziałam w raporcie m.in. stare sterowniki Hewlett-Packard, a coś stanowczo za mało powiązanych wpisów instalacyjnych. Czy jakiekolwiek urządzenie Hewlett-Packard jest tu na pewno podłączone?

Problemem jest infekcja Djzdr w Harmonogramie zadań, pochodząca z jakiegoś cracka (prawdopodobnie właśnie do Office). Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {0E3828EA-152C-4ACD-A7FA-CA7CFD2A534F} - System32\Tasks\{0AAD3B8A-F5DF-41D4-A69E-F1427884EB25} => C:\Users\Tomek\Desktop\win64_153339.exe Task: {1703091F-62F2-4063-BF35-BA5D47ED11CF} - \SlimDrivers Startup -> Brak pliku Task: {1D49AD35-0602-45D2-B3B1-0196535D0D31} - \{927B2167-321E-43BE-9B64-E98370AF8FF3} -> Brak pliku Task: {3277D67F-F931-4668-B2A2-53BE02E6BC36} - \{764093C1-D8A2-452D-843E-51CF24360D0D} -> Brak pliku Task: {34575119-75A0-48C0-9536-CE7BF497EC43} - System32\Tasks\{1093E491-AA2E-404F-94B7-582827678324} => pcalua.exe -a C:\Users\Tomek\Desktop\win64_153339.exe -d C:\Users\Tomek\Desktop Task: {46884AEE-9144-4877-9C25-C06820729EDD} - System32\Tasks\Djzdr => Rundll32.exe "C:\Windows\SysWOW64\cliconfgm.dll",YJHBQB Task: {51BEB673-5737-4ED2-A52B-D9ACE9EB2864} - System32\Tasks\{1F937443-1DC4-41F1-BBEE-56F8F983DFA1} => pcalua.exe -a C:\Users\Tomek\Desktop\win64_152822.exe -d C:\Users\Tomek\Desktop Task: {6D720F2A-C02C-4199-A4D0-A847BC1858BA} - \{D355D9B5-7488-4DB9-8762-DA87C97E0893} -> Brak pliku Task: {6FA66645-4A10-4DEC-92F8-2663A2E77E57} - System32\Tasks\{C1478EB5-A665-4627-AA92-CEF7EF37CEE8} => pcalua.exe -a C:\Users\Tomek\Desktop\jre-8u25-windows-i586_[www.programosy.pl].exe -d C:\Users\Tomek\Desktop Task: {7D3F5F77-142F-4FE6-955E-F8735AC8CCFC} - System32\Tasks\{F1E50616-7D24-4C4A-B1A6-EC47193349A2} => pcalua.exe -a C:\Users\Tomek\Desktop\win64_153335.exe -d C:\Users\Tomek\Desktop Task: {88123DCB-CBCB-4F14-8862-05CDD2CCACA8} - \{8EF14A94-5A54-41B0-B7AF-018B0E6A7BF3} -> Brak pliku Task: {898CEFFC-FDDD-4BDF-B268-C751E063A59C} - \AutoKMS -> Brak pliku Task: {91402DF4-EDA3-454C-8D8C-D011EF0C09A8} - System32\Tasks\Microsoft\Windows\TabletPC\InputPersonalization => C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe Task: {9E22F70B-A68E-4767-ABCD-C622C4DD8360} - System32\Tasks\{07A03552-C09F-498F-BB73-F448DBD7B7E6} => pcalua.exe -a "C:\Program Files (x86)\Common Files\DVDVideoSoft\lib\Uninstall.exe" Task: {C13BE581-4132-410E-A688-FECDFCF22113} - System32\Tasks\{8FD27FB1-3681-4A9E-A730-D64DBF7FEC9F} => pcalua.exe -a "D:\Gry\Emperor Battle for Dune\SETUP.EXE" -d "D:\Gry\Emperor Battle for Dune" Task: {DAB5F0AC-F420-4C1E-92EA-E25F4F13BD9E} - \SlimCleaner Plus (Scheduled Scan - Tomek) -> Brak pliku Task: {F6352E20-BF7A-4D7C-BC59-85806CC34F3C} - \{1A0BDA5F-8067-48C1-99DC-976BBB41BFF3} -> Brak pliku Task: C:\Windows\Tasks\Djzdr.job => C:\Windows\system32\rundll32.exe C:\Windows\SysWOW64\cliconfgm.dll S3 SWDUMon; C:\Windows\System32\DRIVERS\SWDUMon.sys [16056 2015-11-29] (SlimWare Utilities, Inc.) S4 AthBTPort; system32\DRIVERS\btath_flt.sys [X] S4 BTATH_A2DP; system32\drivers\btath_a2dp.sys [X] S4 btath_avdt; system32\drivers\btath_avdt.sys [X] S4 BTATH_BUS; system32\DRIVERS\btath_bus.sys [X] S4 BTATH_HCRP; system32\DRIVERS\btath_hcrp.sys [X] S4 BTATH_LWFLT; system32\DRIVERS\btath_lwflt.sys [X] S4 BTATH_RCP; system32\DRIVERS\btath_rcp.sys [X] S4 BtFilter; system32\DRIVERS\btfilter.sys [X] BootExecute: autocheck autochk * sdnclean64.exe Winlogon\Notify\igfxcui: igfxdev.dll [X] HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-18\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-1721066390-4275270589-3150467131-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> ShellIconOverlayIdentifiers: [4SyncOverlay1] -> {2012DE06-50C0-48BD-ACDE-88F95D4CAD1F} => Brak pliku ShellIconOverlayIdentifiers: [4SyncOverlay2] -> {C72C6188-BEF2-46E5-A89A-52F0ED75219E} => Brak pliku ShellIconOverlayIdentifiers: [4SyncOverlay3] -> {C92F6BC2-AF61-4C0E-80E0-939B8282DDB7} => Brak pliku ShellIconOverlayIdentifiers: [4SyncOverlay4] -> {CB1EFEF8-D5E0-49D1-B768-41B48B1D7803} => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-1721066390-4275270589-3150467131-1001\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 AlternateDataStreams: C:\ProgramData:$SS_DESCRIPTOR_SBXNV9VVGV1BFXT9KXN0BXTYKJNW06JNHJDVJWXFSVF7VBCVP4GF AlternateDataStreams: C:\Users\All Users:$SS_DESCRIPTOR_SBXNV9VVGV1BFXT9KXN0BXTYKJNW06JNHJDVJWXFSVF7VBCVP4GF AlternateDataStreams: C:\ProgramData\Application Data:$SS_DESCRIPTOR_SBXNV9VVGV1BFXT9KXN0BXTYKJNW06JNHJDVJWXFSVF7VBCVP4GF C:\Program Files (x86)\Temp C:\Program Files (x86)\Windows Live C:\ProgramData\limttbkj.pkw C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\GameExplorer\{27C10E34-B7C3-4217-9EC0-29D4EC3492AD} C:\ProgramData\Microsoft\Windows\GameExplorer\{8872E108-3018-4C3C-B954-8ADB358A86A6} C:\Users\Tomek\AppData\Local\*.html C:\Users\Tomek\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦 C:\Users\Tomek\AppData\Roaming\1D959CA221C7573.sys C:\Users\Tomek\AppData\Roaming\regsvr32.exe_log.txt C:\Users\Tomek\AppData\Roaming\sp_data.sys C:\Windows\x÷Ż C:\Windows\System32\drivers\SWDUMon.sys C:\Windows\SysWOW64\cliconfgm.dll Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SDScannerService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SDUpdateService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\wlidsvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\wuauserv" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CLMLServer" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tsiVideo" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: sc config MpsSvc start= auto CMD: sc config WinDefend start= demand CMD: sc config wscsvc start= delayed-auto CMD: sc config wuauserv start= auto RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Konfiguracja usług Centrum, Zapory i Windows Defender została już uwzględniona w powyższym skrypcie. Natomiast ręcznie włącz Przywracanie systemu. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Sprawdź czy w tej sytuacji da się po prostu uruchomić instalator IE8. DelFix zrobił co należy. Skasuj z dysku plik C:\delfix.txt.

Fix FRST wykonany. W tym zakresie już kończymy. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Coś tu jest nie tak z detekcją IE8. Sugerują przeinstalować ponownie przeglądarkę. Czyli via Dodaj/Usuń odinstaluj pozycję "Windows Internet Explorer 8", a następnie ponownie zainstaluj z instalatora podanego w przyklejonym temacie.

DelFix wykonał co należy. Skasuj z dysku plik C:\delfix.txt. To wszystko. Temat rozwiązany. Zamykam. I wielkie dzięki za ewentualną dotację!

Brak oznak czynnej infekcji. Widać tylko stare Google Chrome w wersji "developerskiej" (prawdopodobnie przekonwertowane kiedyś przez adware). Do wykonania więc bardziej porządki kosmetyczne (puste wpisy, Tempy): 1. W Firefox jest ustawione jakieś indonezyjskie proxy. Jeśli to nie jest celowa konfiguracja, usuń to proxy. 2. Deinstalacje: - Odinstaluj poszkodowane Google Chrome, starą wersję Java 8 Update 31 (64-bit) oraz sponsorowany McAfee Security Scan Plus. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki, a resztę obiektów Google dokasuje skrypt FRST w punkcie 2. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowe wpisy po odnstalowanym pakiecie Nokia: MSVC80_x64_v2, MSVC80_x86_v2, MSVC90_x64, MSVC90_x86 > Dalej. Narzędzie nie umożliwia akcji hurtowej, należy je uruchomić tyle razy ile jest wpisów. 3. Otwórz Notatnik i wklej w nim: CreateRestorePoint: Task: {D6EAC24E-B095-42D1-ACF3-12024543385A} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku Task: {F0658738-807B-4DFF-9965-54FD68241BA1} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {FC2E687D-3646-40FE-91EE-416A0D55CA31} - System32\Tasks\iolo Process Governor => C:\Program Files (x86)\iolo\System Mechanic\iologovernor64.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe S2 SWUpdateService; C:\ProgramData\Samsung\SW Update Service\SWMAgent.exe /SERVICE [X] R0 mfehidk; C:\Windows\System32\drivers\mfehidk.sys [864072 2015-12-07] (McAfee, Inc.) S3 mferkdet; C:\Windows\System32\drivers\mferkdet.sys [106120 2015-12-07] (McAfee, Inc.) S3 efavdrv; \??\C:\Windows\system32\drivers\efavdrv.sys [X] S3 RimUsb; System32\Drivers\RimUsb_AMD64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp => ""="Service" HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-2473741681-2772739424-3275958420-1001\...\MountPoints2: {24901a9c-9060-11e5-9f0f-70f395f8fe6a} - F:\autorun.exe CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKU\S-1-5-21-2473741681-2772739424-3275958420-1001 -> {864E4547-55D1-4F75-93BD-12A8681024A5} URL = hxxp://www.idg.pl?q={searchTerms} SearchScopes: HKU\S-1-5-21-2473741681-2772739424-3275958420-1001 -> {FBEDAEB5-244F-48C3-8AD0-DA7DF098A0F3} URL = hxxp://www.idg.pl?q={searchTerms} C:\Program Files\McAfee C:\Program Files\stinger C:\Program Files (x86)\Google C:\Program Files (x86)\Nokia C:\ProgramData\InstallMate C:\ProgramData\McAfee C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo C:\Users\podst\AppData\Local\llftool.4.40.agreement C:\Users\podst\AppData\Local\Google C:\Users\podst\AppData\Local\Microsoft\Windows\GameExplorer\{E2C2D26E-16E5-4A84-820D-634B6933DD56} C:\Users\podst\AppData\Roaming\1D959CA221C7573.sys C:\Users\podst\AppData\Roaming\System5908ConfigCollection.dat C:\Users\podst\AppData\Roaming\E Dev C:\Users\podst\AppData\Roaming\Opera Software C:\Windows\system32\mfevtps.exe C:\Windows\system32\Drivers\mfehidk.sys C:\Windows\system32\Drivers\mferkdet.sys Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt oraz: Tak.

W zakresie czyszczenia systemu kończymy. Odinstaluj USBFix. Skasuj FRST i jego logi z folderu C:\Users\Pawel\Desktop\Nowy folder. Następnie jeszcze popraw za pomocą DelFix. Przykładowa propozycja: CCleaner Portable.

W porządku. Teraz możesz więc wykonać to: Koniec czyszczenia systemu.

Do katalogu C:\Windows\system32\Drivers.

1. AdwCleaner czepia się programu Media Player Codec Pack 4.3.7. Na wszelki wypadek odinstaluj ten program. 2. Następnie otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\XTab RemoveDirectory: C:\ProgramData\IHProtectUpDate RemoveDirectory: C:\ProgramData\MailUpdate RemoveDirectory: C:\ProgramData\WindowsMangerProtect RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Media Player - Codec Pack RemoveDirectory: C:\Users\Pawel\AppData\Local\FileViewPro RemoveDirectory: C:\Users\Pawel\AppData\Roaming\MailUpdate RemoveDirectory: C:\Windows\SysWOW64\Codecs DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKLM\SOFTWARE\Classes\Interface\{B81A3063-CE6C-4F9A-AEBD-5DDD0EA805A0} DeleteKey: HKLM\SOFTWARE\Wow6432Node\do-searchSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\IHProtect DeleteKey: HKLM\SOFTWARE\Wow6432Node\SupDp DeleteKey: HKLM\SOFTWARE\Wow6432Node\supWindowsMangerProtect DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{B81A3063-CE6C-4F9A-AEBD-5DDD0EA805A0} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{31D48CAD-F6D9-411A-A0C9-C1F051511A86} DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WindowsMangerProtect Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Uściślij pytanie, do czego konkretnie zmierzasz, o jakich programach mowa?

W zakresie czyszczenia systemu skończyliśmy. Kroki końcowe: 1. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 2. Na wszelki wypadek zmień hasła logowania w ważnych serwisach (bank, poczta, serwisy społecznościowe,...).

Pomyliłam się i za późno zedytowałam post. Przywróć usunięty plik. Uruchom Shadow Explorer, wyszukaj poprzednią kopię pliku C:\Windows\system32\Drivers\Msft_User_WpdMtpDr_01_11_00.Wdf i wstaw go na miejsce.

Tylko się upewniałam. Czyli sprawa z urządzeniem rozwiązana. Teraz pod kątem usuwanych wcześniej odpadków adware: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

EDIT: Pomyłka. Już kończymy. Zastosuj DelFix i wyczyść foldery Przyracania systemu: KLIK.

FRST pokazuje, że pendrive jest ... kompletnie pusty. Czy na pewno przed usunięciem tego folderu "bez nazwy" skopiowałeś z niego osobiste pliki (o ile tam były)?

DelFix wykonał co należy. Skasuj z dysku plik C:\delfix.txt. To tyle.

1. W kwestii aktualizacji: - Czy był jakiś problem z instalacją IE8? Obecnie dziwne wyniki w logu: w nagłówku nadal figuruje stary IE6, choć widzę, że IE8 był definitywnie instalowany, bo nie dość że jest na liście Dodaj/Usuń, to jeszcze zmianie uległa konfiguracja IE. - Sugeruję odinstalować te stare wersje Microsoft .NET Framework 1.1 + Microsoft .NET Framework 1.1 Polish Language Pack. Nie wygląda na to, by w systemie był program korzystający z tej archaicznej wersji. 2. I mini sprzątanie wpisów odpadkowych i Tempów. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku S3 PCANDIS5; \??\C:\WINDOWS\system32\PCANDIS5.SYS [X] S3 ZDCndis5; \??\C:\WINDOWS\system32\ZDCndis5.SYS [X] RemoveDirectory: C:\Program Files\AVAST Software RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software RemoveDirectory: C:\Documents and Settings\Administrator\Dane aplikacji\TuneUp Software RemoveDirectory: C:\Documents and Settings\uzytkownik\Dane aplikacji\AVAST Software CMD: del /q "C:\Documents and Settings\Administrator\Pulpit\Recovery-Info.lnk" CMD: del /q "C:\Documents and Settings\Default User\Pulpit\Recovery-Info.lnk" CMD: del /q "C:\Documents and Settings\uzytkownik\Pulpit\Recovery-Info.lnk" CMD: del /q "C:\Documents and Settings\uzytkownik\Moje dokumenty\dokumenty\Moje wideo\Samples.lnk" CMD: del /q "C:\Documents and Settings\uzytkownik\Moje dokumenty\dokumenty\Moje obrazy\Samples.lnk" CMD: del /q "C:\Documents and Settings\uzytkownik\Moje dokumenty\dokumenty\Moja muzyka\Samples.lnk" CMD: del /q "C:\Documents and Settings\uzytkownik\Moje dokumenty\dokumenty\Mirka\koszty_sadowe_wzor_oswiadczenia.rtf.lnk" CMD: del /q "C:\Documents and Settings\uzytkownik\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK" CMD: del /q C:\WINDOWS\avastSS.scr EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są mi potrzebne.

Fixlog wskazuje, że wszystkie akcje pomślnie się wykonały na pendrive. Skoro USBFix nie potrafi się teraz uruchomić, to skrypt FRST może pokazać jak wygląda stan obecny na urządzeniu. Otwórz Notatnik i wklej w nim: Folder: F:\ Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Infekcja i inne śmieci pomyślnie usunięte. A ten aktualizator Dropbox zniknął, więc było tu robione coś innego w międzyczasie. Drobna poprawka. Otwórz Notatnik i wklej w nim: SearchScopes: HKU\S-1-5-21-3357052344-2897467679-35886000-1000 -> DefaultScope {20FE0224-0B8D-4dda-831B-1D68AE34EDA5} URL = S3 ServiceLayer; "C:\Program Files\PC Connectivity Solution\ServiceLayer.exe" [X] DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są mi już potrzebne.

Fix wykonany. Usuń E:\frst, następnie zastosuj DelFix. I czekam na rezultaty skanu Avast.

FRST wyłożył się na trzeciej linii. Zrób nowy plik fixlist.txt o następującej zawartości: Task: {B64580E1-57F8-4026-ACA1-112BF407B04F} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe HKLM\...\Run: [HotKeysCmds] => "C:\Windows\system32\hkcmd.exe" HKLM\...\Run: [Persistence] => "C:\Windows\system32\igfxpers.exe" Winlogon\Notify\igfxcui: igfxdev.dll [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku HKU\S-1-5-21-4134787551-50801924-3381626645-1001\...\MountPoints2: {abb61e54-98f6-11e5-8256-fcf8ae81f465} - "F:\setup.exe" HKU\S-1-5-21-4134787551-50801924-3381626645-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://mysearch.avg.com/?cid={0DFA5C8B-B685-4263-BB29-A1F22364053A}&mid=43521402920247cca1e38b65c6f77b90-0e63e861cb6db927d55939c5eb453110af0d6a2b&lang=en&ds=AVG&coid=avgtbavg&cmpid=0615piz&pr=fr&d=2015-12-06 12:07:06&v=4.1.8.599&pid=wtu&sg=&sap=hp SearchScopes: HKU\S-1-5-21-4134787551-50801924-3381626645-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4134787551-50801924-3381626645-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={0DFA5C8B-B685-4263-BB29-A1F22364053A}&mid=43521402920247cca1e38b65c6f77b90-0e63e861cb6db927d55939c5eb453110af0d6a2b&lang=en&ds=AVG&coid=avgtbavg&cmpid=0615piz&pr=fr&d=2015-12-06 12:07:06&v=4.1.8.599&pid=wtu&sg=&sap=dsp&q={searchTerms} BHO: Brak nazwy -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> Brak pliku CHR HKU\S-1-5-21-4134787551-50801924-3381626645-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx FirewallRules: [{13F460CA-6EAB-40EF-93F3-918C3C46677E}] => (Allow) I:\Aktywator systemu Windows 8.1\AutoPico.exe FirewallRules: [{30E9F2FE-92CE-4BD4-B6D3-EF6E94DC879A}] => (Allow) I:\Aktywator systemu Windows 8.1\AutoPico.exe RemoveDirectory: C:\Program Files\AVAST Software RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\AVG Security Toolbar RemoveDirectory: C:\Users\Wojtas\AppData\Roaming\TuneUp Software CMD: del /q C:\Users\Wojtas\Downloads\dqqlzf3w.exe CMD: del /q C:\Windows\system32\Drivers\Msft_User_WpdMtpDr_01_11_00.Wdf EmptyTemp: Skrypt uruchom z poziomu Trybu awaryjnego Windows i dostarcz wynikowy fixlog.txt.

Na wszelki wypadek pokaż nowe raporty FRST zrobione po tych aktualizacjach. Hasło do poczty było już zmieniane, więc nie sądzę, by trzeba było to powtarzać po raz kolejny.

Sprawdź czy na dysku powstał plik fixlog.txt z częściowo nagranymi akcjami, by było wiadome gdzie się wyłożył FRST.

DelFix wykonał zadanie. Skasuj plik C:\delfix.txt z dysku. To tyle.

Chodzi o to, by ten plik był zapisany w tym samym folderze skąd uruchamiasz FRST, czyli w tym przypadku w C:\Users\Pawel\Downloads.