picasso

Dużo szczątków śmieci wykryte. Uruchom AdwCleaner ponownie. Tym razem wybierz jednak kombinację opcji Skanuj + Usuń. Dostarcz wynikowy log z operacji.

Wszystko wygląda już dobrze. Teraz będą dodatkowe skany. Jako pierwszy: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Zapomniałam odnieść się do tego pytania o reinstalację sterowników. Tak, oczywiście możesz spróbować tego, zwłaszcza że losowo objawiają się jakieś problemy po wznowieniu. W razie czego załóż nowy temat w dziale Hardware. Tu skończyliśmy.

Fix FRST niby usunął profil Firefox, ale on nadal figuruje w raporcie FRST. Kolejne podejście: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Admin\AppData\Local\Mozilla RemoveDirectory: C:\Users\Admin\AppData\Roaming\Mozilla Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Powstanie kolejny fixlog.txt. 2. Odinstaluj Firefox. Pobierz najnowszą wersję i zainstaluj ponownie. Uruchom przeglądarkę, co powinno utworzyć nowy profil. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Jeszcze jedno pytanie: czy w Operze jest czynna synchronizacja z serwerem? Sprawdź czy pomoże kompletna reinstalacja Opery: 1. Jeśli jest aktywna synchronizacja, to ją odłącz. Następnie odinstaluj Operę w tradycyjny sposób. Po deinstalacji przez SHIFT+DEL (omija Kosz) skasuj następujące foldery: C:\Program Files (x86)\Opera C:\Users\wojtuq\AppData\Local\Opera Software C:\Users\wojtuq\AppData\Roaming\Opera Software 2. Zainstaluj ponownie Operę, na razie nie instaluj żadnych rozszerzeń, i zrób nowy log FRST (wliczając Addition).

Temat przenoszę do działu Windows XP. To nie jest sprawa infekcji. Drobne korekty, teraz nieistotne, potem. Potwornie stara wersja IE6 zintegrowana z systemem XP: Internet Explorer Wersja 6 (Domyślna przeglądarka: Chrome) Wykonaj aktualizację do wersji IE8, link w przyklejonym: KLIK. To i tak bardzo stara wersja i na niej będą również różne problemy, choćby z poprawnym renderowaniem niektórych stron, ale dla XP wersje IE9 do IE11 nie są dostępne.

Brakuje pliku FRST Shortcut. W podanym raporcie nie widać jawnych oznak infekcji, więc prawdopodobnie jest zmodyfikowany któryś globalny plik Google Chrome (infekcja niewykrywalna w żadnych raportach) a nie coś w profilu, tym bardziej że widzę liczne próby z tworzeniem nowych profilów przeglądarki. Skopiuj na Pulpit poniższy folder, spakuj do ZIP, shostuj gdzieś i prześlij link do paczki na PW: C:\Program Files\Google\Chrome

Fix wykonany. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Już za późno, ale na pewno sprawdziłeś też podfolder C:\Program Files\ORGBUD-SERWIS\KOBRA_11_WEBER? Przykładowe darmowe programy udostępniające opcję zmiany rozmiaru partycji bez utraty danych: EASEUS Partition Master Free, Paragon Partition Manager Free Edition, GParted LiveCD. I taka operacja nigdy nie ma 100% gwarancji. Przed akcją należy zrobić kopię zapasową danych.

To na pewno log po deinstalacji Windows Live? Na liście zainstalowanych nadal widać Windows Live Essentials oraz masę ukrytych komponentów. Dla Ciebie jest widoczny tylko ten pogrubiony, reszta powinna zniknąć podczas jego deinstalacji. ==================== Zainstalowane programy ====================== „Windows Live Essentials“ (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden „Windows Live Mail“ (x32 Version: 15.4.3502.0922 - „Microsoft Corporation“) Hidden „Windows Live Messenger“ (x32 Version: 15.4.3502.0922 - „Microsoft Corporation“) Hidden „Windows Live“ fotogalerija (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Fotogalerija Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Galeria fotografii usługi Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Galerie foto Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Junk Mail filter update (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Mesh Runtime (x32 Version: 15.4.5722.2 - Microsoft Corporation) Hidden Poczta usługi Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Podstawowe programy Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Pošta Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Windows Live Essentials (HKLM-x32\...\WinLiveSuite) (Version: 15.4.3508.1109 - Microsoft Corporation) Jeśli chodzi o log AdwCleaner, to jest jeden fałszywy alarm na folderze Web Connection od Alcatel i ten rekord pomijam. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\simplitec RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper RemoveDirectory: C:\Windows\system32\log DeleteKey: HKCU\Software\GlobalUpdate DeleteKey: HKCU\Software\UpdateStar DeleteKey: HKCU\Software\Reg\Clean DeleteKey: HKCU\Software\Microsoft\Internet Explorer\DOMStorage\ask.com DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\mmotraffic.com DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\mystartsearch.com DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\superfish.com DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\DoNotAskAgain DeleteKey: HKLM\SOFTWARE\InstalledBrowserExtensions DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{4F622628-7632-4B28-B184-D7BA0CA3273B} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{62155D33-3CE2-401E-8967-5A270628A3D5} DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{e602033f-8a60-40cd-bc6d-4b31c62efc99} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoodGameEmpire W1 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoodGameEmpire W2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WOT N DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WOT T DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WarThunder sun DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WarThunder sat DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WarThunder24 DeleteKey: HKLM\SOFTWARE\Wow6432Node\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0} DeleteKey: HKLM\SOFTWARE\Wow6432Node\GlobalUpdate DeleteKey: HKLM\SOFTWARE\Wow6432Node\e111791f-5fc9-45f8-b373-3a71bc378e9f DeleteKey: HKLM\SOFTWARE\Wow6432Node\Elex-tech DeleteKey: HKLM\SOFTWARE\Wow6432Node\f0ebbb3e-82e4-46a3-b61f-3f847bcdac4e DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode DeleteKey: HKLM\SOFTWARE\Wow6432Node\ihpmserver DeleteKey: HKLM\SOFTWARE\Wow6432Node\RayDld DeleteKey: HKLM\SOFTWARE\Wow6432Node\Reg\Clean DeleteKey: HKLM\SOFTWARE\Wow6432Node\simplitec DeleteKey: HKLM\SOFTWARE\Wow6432Node\systweak DeleteKey: HKLM\SOFTWARE\Wow6432Node\winzipersvc DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\*\shellex\ContextMenuHandlers\WinZipper DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{3278F5CF-48F3-4253-A6BB-004CE84AF492} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{577975B8-C40E-43E6-B0DE-4C6B44088B52} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{85198F55-85AC-498A-BFE4-BBC33840F4AB} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{02A96331-0CA6-40E2-A87D-C224601985EB} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3278F5CF-48F3-4253-A6BB-004CE84AF492} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3B5702BA-7F4C-4D1A-B026-1E9A01D43978} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{5645E0E7-FC12-43BF-A6E4-F9751942B298} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{577975B8-C40E-43E6-B0DE-4C6B44088B52} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{5E89ACE9-E16B-499A-87B4-0DBF742404C1} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{69F256DF-BA98-45E9-86EA-FC3CFECF9D30} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{6E87FC94-9866-49B9-8E93-5736D6DE3DD7} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{7E49F793-B3CD-4BF7-8419-B34B8BD30E61} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{834469E3-CA2B-4F21-A5CA-4F6F4DBCDE87} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{8529FAA3-5BFD-43C1-AB35-B53C4B96C6E5} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{ADBC39BE-3D20-4333-8D99-E91EB1B62474} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{CFC47BB5-5FB5-4AD0-8427-6AA04334A3FC} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E06CA7F5-BA34-4FF6-8D24-B1BDC594D91F} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E0ADB535-D7B5-4D8B-B15D-578BDD20D76A} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F6421EE5-A5BE-4D31-81D5-C16B7BF48E4C} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FD8E81D0-F5FE-4CB1-9AEA-1E163D2BAB78} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{459DD0F7-0D55-D3DC-67BC-E6BE37E9D762} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{82351441-9094-11D1-A24B-00A0C932C7DF} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Directory\shellex\ContextMenuHandlers\WinZipper DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Folder\shellex\ContextMenuHandlers\WinZipper DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdate.Update3WebControl.4 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A8F7D0A5-7074-40B8-9BDC-1174BDD0A132} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{D14D64BC-A0E4-42E3-BB72-FB41EA43C198} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{DD1F043F-ABC8-4643-8B95-D2C5B22BB019} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{E3F3E8F9-F747-4DD6-BA6B-82A6CE1E0860} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{ED0B64D4-BF27-4521-AD27-190F49BF5EA7} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{023E9EC8-B147-40EB-B0B3-DF90618FB371} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{0522D9A4-4D57-437D-978D-E5B3B6C9005D} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{07F41522-AF7D-4F26-B394-094F059FDB8A} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{0C40F472-7407-4467-8914-1DEA7C326972} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{212E6D43-6062-492A-B8CC-144669FF11ED} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{224FE662-1E6D-4BC0-AEBB-9E2FB4057BE9} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3A807417-B46D-4D37-8C9A-19AC6DE204F9} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3CC60715-D6C5-429D-830E-43FA3F86C61D} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4517D94C-19BA-46FA-BE66-2A30CEAC4A85} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{555D7146-94A8-4C94-AE76-C39CDC7F7705} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{59D188FA-757A-424E-8C93-F58FFD896BD7} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{8120D9D6-785C-4413-9C0C-DF2028C56FAD} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{823AE2EB-E62C-4847-B192-C99B91B92416} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9B4F7CFE-987D-410E-A8E4-20182E0B3C24} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9B9A45F4-18FC-484A-BACA-076D78273D8E} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A6D54287-7939-466A-8579-92546D946C8C} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A78EDAFB-926F-4D93-AB13-8232D7378EB1} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Prod.cap DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.001 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.7z DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.arj DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.bz2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.bzip2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.cab DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.cpio DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.deb DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.dmg DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.fat DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.gz DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.gzip DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.hfs DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.iso DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.lha DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.lzh DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.lzma DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.ntfs DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.rar DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.rpm DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.squashfs DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.swm DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.tar DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.taz DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.tbz DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.tbz2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.tgz DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.tpz DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.txz DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.vhd DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.wim DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.xar DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.xz DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.z DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\WinZipper.zip DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\Stats\{5645E0E7-FC12-43BF-A6E4-F9751942B298} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\Stats\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{5645E0E7-FC12-43BF-A6E4-F9751942B298} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5645E0E7-FC12-43BF-A6E4-F9751942B298} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5E89ACE9-E16B-499A-87B4-0DBF742404C1} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{62155D33-3CE2-401E-8967-5A270628A3D5} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{e602033f-8a60-40cd-bc6d-4b31c62efc99} DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro DeleteKey: HKU\S-1-5-18\Software\Goobzo DeleteKey: HKU\S-1-5-18\Software\Elex-tech DeleteKey: HKU\S-1-5-18\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Software\iWebar DeleteKey: HKU\S-1-5-18\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Software\Radio Canyon DeleteKey: HKU\S-1-5-18\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Software\_CrossriderRegNamePlaceHolder_ Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID /v {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID /v {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Infekcja atakuje wszystkie możliwe dyski twarde, przenośne i sieciowe, które były dostępne podczas jej wystąpienia, więc problemem nie jest tylko dysk C, ale także pozostałe obecnie widoczne w systemie oraz każdy inny który był wówczas podpięty. Zakres szkód zależy od tego jak szybko ubito infekcję i przerwano wykonujący się w tle proces szyfrowania. Ten Fix FRST usuwa zaszyfrowanie pliki *.ccc tylko i wyłącznie z dysku C, w żaden sposób nie naprawia plików i nie zastępuje ich wersjami poprawnymi (w przeciwnym wypadku nie byłoby tu wcale problemu z zaszyfrowanymi wersjami), ani nie reperuje zdefektowanych programów. Usuwane pliki *.ccc nie działają wcale, więc operacja nie naruszy Twoich osobistych plików które są obecnie sprawne (nie mają rozszerzenia *.ccc). Reinstalacja programów to osobna sprawa. W programach zostały zaszyfrowane takie pliki jak szablony, dokumentacja, obrazki programów, dlatego była mowa o przeinstalowaniu danej aplikacji. Te uszkodzenia nie są zbyt widoczne i mogą nie zostać wyłapane na pierwszy rzut oka. Reinstalację programów można przeprowadzić w późniejszym czasie, nie musi być to od razu.

Fix FRST wykonany. Kończymy: Usuń pobrany FRST i jego logi z folderu C:\Users\Muverbo\Desktop\naprawa systemu. Następnie zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj systemowy IE. Wszystko tu: KLIK.

Skoro na pewno ten adres jest w porządku, a problemy ustąpiły, to nie mam się czym zajmować. Końcowe kroki już podałam wcześniej.

Te wejścia na liście deinstalacyjnej usunie poniższy skrypt do FRST: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{0A4EF0E6-A912-4CDE-A7F3-6E56E7C13A2F} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{64BF0187-F3D2-498B-99EA-163AF9AE6EC9} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{AF312B06-5C5C-468E-89B3-BE6DE2645722} Przedstaw wynikowy fixlog.txt. Nie wiem o co chodzi, nie były tu prowadzone żadne ingerencje związane z tą sferą. Czy ten efekt występuje także, gdy wykonasz taką oto sekwencję: wyłączyć całkowicie komputer w rozumieniu pełnego power down (nie wchodzić w stan hibernacji czy usypiania) > odczekać kilka minut > włączyć i spróbować uśpienia + wznowienia?

Nie za wiele jest tu do czyszczenia. Są odpadki infekcji adware, przede wszystkim dwa aktywne sterowniki StdLib, których czynności powinny negatywnie wpływać np. na funkcjonowanie sieci. Ale system może słabo chodzić, bo jest za mało wolnego miejsca na dysku systemowym i problem będzie występował stałe (regularne szamotanie się z tym aspektem). ==================== Dyski ================================ Drive c: () (Fixed) (Total:9.77 GB) (Free:1.35 GB) NTFS ==>[dysk z komponentami startowymi (Windows XP)] Drive d: (DANE) (Fixed) (Total:223.12 GB) (Free:37.13 GB) NTFS Tak swoją drogą ten XP to jakaś sztuczna przeróbka z powycinanymi komponentami i niedomyślnymi ustawieniami, robiona za pomocą nLite. M.in. poniższy błąd w Dzienniku zdarzeń (obecny "out-of-box") to skutek kastracji XP: Dziennik System: ============= Error: (11/23/2015 05:00:53 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Usługa bramy warstwy aplikacji z powodu następującego błędu: %%2 Wg raportu program nie ma wejścia na liście Dodaj/Usuń i wcale nie znaczy, że jest to uszkodzenie. Nie znam tej "KOBRY", ale jest wiele programów, które w ogóle nie tworzą wpisów w rejestrze, w zamian są tylko skróty w Menu Start (w tym deinstalacyjny). Tu widać tylko takie skróty, deinstalacyjnego jednak brak: Shortcut: C:\Documents and Settings\All Users\Pulpit\KOBRA 11 WEBER.lnk -> C:\Program Files\ORGBUD-SERWIS\KOBRA_11_WEBER\KOBRA.exe () Shortcut: C:\Documents and Settings\All Users\Menu Start\Programy\KOBRA 11 WEBER.lnk -> C:\Program Files\ORGBUD-SERWIS\KOBRA_11_WEBER\KOBRA.exe () Shortcut: C:\Documents and Settings\User\Pulpit\Kobra 11 WEBER.lnk -> C:\Program Files\ORGBUD-SERWIS\KOBRA_11_WEBER\KOBRA.exe () Wejdź do folderu C:\Program Files\ORGBUD-SERWIS i szukaj czy nie ma tam pliku o nazwie "uninstall.exe", "uninst.exe" lub coś brzmiącego ponownie. Pod kątem usuwania adware: 1. Był uruchamiany GMER, więc od razu sprawdź Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {55685567-4840-4a91-962b-49a412e9485a}Gt; C:\WINDOWS\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gt.sys [55224 2014-06-03] (StdLib) R1 {b99c8534-7800-48fa-bd71-519a46cdc7e1}t; C:\WINDOWS\System32\drivers\{b99c8534-7800-48fa-bd71-519a46cdc7e1}t.sys [55232 2014-05-22] (StdLib) S3 ALG; %SystemRoot%\System32\alg.exe [X] HKU\S-1-5-21-1229272821-2111687655-1801674531-1001\...\Run: [NextLive] => C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\User\Dane aplikacji\newnext.me\nengine.dll",EntryPoint -m l HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=1431724451&z=077e7de419d884f3e31ba35g4z2cfgcm1oczdz1z5m&from=cor&uid=ST3250620NS_9QE2MPAZXXXX9QE2MPAZ&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1431724451&z=077e7de419d884f3e31ba35g4z2cfgcm1oczdz1z5m&from=cor&uid=ST3250620NS_9QE2MPAZXXXX9QE2MPAZ&q={searchTerms} URLSearchHook: [s-1-5-21-1229272821-2111687655-1801674531-1001] UWAGA => Brak domyślnego URLSearchHook C:\WINDOWS\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gt.sys C:\WINDOWS\System32\drivers\{b99c8534-7800-48fa-bd71-519a46cdc7e1}t.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Po formacie możesz zainstalować jeden z programów specjalizowanych w ochronie przed szyfratorami: KLIK. I obowiązkowo wytworzyć kopię zapasową ważnych danych przetrzymywaną w izolowanej lokalizacji (dysk zapasowy nie podpięty do komputera). Na razie się upiekło, bo helpme@freespeechmail.org stosuje słabe hasła z generatora, dlatego można było je złamać. Ale już inne warianty tej rodziny są nie do odkodowania. I jest mnóstwo innych infekcji szyfrujących dla których nie ma żadnego ratunku.

SFC naprawił usterkę i zrekonstruował plik C:\Windows\SysWOW64\dnsapi.dll. Na wszelki wypadek sprawdź czy to nie zmieniło czegoś w uruchamianiu Firefox. Ale i tak będzie tu odtwarzany profil: 1. Skopiuj na Pulpit poniższe pliki, o ile w ogóle jest to potrzebne: C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\ldf1dq46.default\cert8.db (baza certyfikatów) C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\ldf1dq46.default\logins.json (plik trzymający zapamiętane hasła logowania) C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\ldf1dq46.default\places.sqlite (baza danych trzymająca zakładki i historię) 2. Otwórz Notatnik i wklej w nim: C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\ldf1dq46.default EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt. 3. Spróbuj uruchomić ponownie Firefox. Jeśli to się powiedzie, zrzuci na dysk nowy profil. Po tej akcji zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Nie wiem co masz na myśli. Skan FRST działa u mnie poprawnie, wykonuje się tylko gdy wybiorę "Skanuj". Notabene, jest już nowsza wersja FRST wydana wczoraj. 1. Drobne poprawki. Otwórz Notatnik i wklej w nim: C:\extensions.ini RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Zainstaluj najnowsze Google Chrome i zrób nowy log FRSt z opcji Skanuj (Scan) (bez Addition i Shortcut).

Na przyszłość: brak trzeciego obowiązkowego raportu FRST Shortcut. Temat przenoszę do działu Windows. To nie jest problem infekcji. Potem będą do usunięcia drobne rzeczy, na razie to nie jest istotne. To wygląda na problem z myszką (wielokrotny klik mimo pojedynczego). Co za mysz tu jest? A może tylko touchpad? Sugestie: 1. Jeśli tylko touchpad, sprawdzić reinstalację sterowników / oprogramowania z nim związanego. 2. Jeśli mysz: W przypadku optycznej sprawdzić inną podkładkę (np. test z białą kartką papieru). Wykonać procedury naprawcze opisane w tym artykule Microsoftu: KLIK. Sprawdzić czy Left Mouse Button Fix likwiduje objawy: KLIK. Sprawdzić inną myszkę. PS. Jak rozumiem program TouchFreeze został zainstalowany w celu likwidacji tego efektu?

Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

W logach CBS (bieżącym i zarchiwizowanych) nie ma żadnych oznak wykonania tego skanu. Powtórz zadanie, poczekaj aż skan się ukończy w oknie. Po tym otwórz Notatnik i wklej w nim: CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Skopiuj na Pulpit folder C:\Windows\Logs\CBS, spakuj do ZIP, shostuj gdzieś i podaj link do paczki.

Temat przenoszę do działu Software. Brak oznak infekcji. Do ewentualnej korekty będą tylko drobne szczątki innego typu, ale to potem. Z logów nic nie wynika. Z tego co rozumiem, problem występuje nie od razu po uruchomieniu tylko po dłuższym czasie użytkowania. Może aktywność innych procesów, może akcje wykonywane w Firefox (otwieranie konkretnych stron) mają coś do rzeczy. Ewentualnie sprawdź czy profil ma coś do rzeczy: reinstalacje nie usuwają profilu, a obie zainstalowane wersje 32-bit i 64-bit Firefoxa i tak korzystają z tego samego profilu. 1. Uruchom Firefox w trybie awaryjnym przeglądarki (nie ładowane dodatki i wtyczki). Zamknij Firefox i upewnij się że proces nie jest uruchomiony. Start > Uruchom > wklep: D:\FIREFOX\firefox.exe -safe-mode 2. Sprawdź także jak sprawy wyglądają na nowym profilu. Start > Uruchom > wklep: D:\FIREFOX\firefox.exe -p Załóż nowy profil i się na niego zaloguj. Podaj czy na nowym profilu występuje to samo zjawisko. PS. I odinstaluj świeżo doinstalowany IObit Malware Fighter 3. Program taki sobie i nie jest potrzebny przy Avast + MBAM, a żadnych produktów IOBit (cała kolekcja u Ciebie) tu nie polecam ze względu na reputację producenta: adware w instalatorach wersji darmowych, podejrzane związki partnerskie i afera z kradzieżą bazy MBAM w przeszłości którą wstawiono do innego skanera IOBit (po tym incydencie programy IObit zostały "zbanowane" w środowisku antymalware i nikt ich nie poleca).

Profil Firefoxa będziemy usuwać na siłę, ale zanim do tego dojdzie są inne wątpliwości. Czy wykonałeś punkt numer dwa, czyli komendę sfc /scannow? W Fixlog nie ma żadnych wyników z tej komendy i nadal brakuje pliku C:\Windows\SysWOW64\dnsapi.dll, który miał być uzupełniony via SFC.

Drobna poprawka końcowa. Otwórz Notatnik i wklej w nim: BHO-x32: MSS+ Identifier -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> C:\Program Files\Sony\MSS\3.8.141\McAfeeMSS_IE.dll => Brak pliku S3 McComponentHostServiceSony; "C:\Program Files\Sony\MSS\3.8.141\McCHSvc.exe" [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Krysia\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\pss CMD: del /q C:\Users\Krysia\Desktop\7ezzr3fg.exe Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Wg diskmgmt partycja HP_Recovery nie ma parametrów ukrytych, więc powinna być dostępna spod Windows. Czyli nie widzisz jej w Moim komputerze, a może widzisz tylko pokazuje się jakiś błąd przy próbie wejścia na nią? Poza tym, interesuje mnie co widzisz podczas F11, po kolei jakie ekrany i opcje.