picasso

Są tu dwa typy infekcji: 1. Infekcja DNS (ale nie na poziomie routera). Poniższe adresy są izraelskie: KLIK. Tcpip\..\Interfaces\{6DC2418E-6989-4151-A607-454B27A2A624}: [NameServer] 82.163.143.169,82.163.142.171 2. Również adware. Widać szkodliwą usługę "Annoyed History" i trzy zadania w Harmonogramie (Bidaily Synchronize Task[973b], FatBuster, SnackAttack) oraz polityki blokujące coś w Google Chrome. Akcje wstępne do przeprowadzenia: 1. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 2. Odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 11 ActiveX, Adobe Flash Player 11 Plugin, Adobe Reader X (10.1.6) MUI, Java 7 Update 51, Java™ 6 Update 37, Mozilla Firefox 34.0.5 (x86 en-US), Mozilla Maintenance Service. Doczyszczanie po Firefox będzie w poniższym punkcie. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Annoyed History; C:\Users\Sigon\AppData\Roaming\Annoyed History\Annoyed History.exe [66048 2015-06-26] () [brak podpisu cyfrowego] S3 Microsoft SharePoint Workspace Audit Service; "C:\Program Files (x86)\Microsoft Office\Office14\GROOVE.EXE" /auditservice [X] S3 BRDriver64_1_3_3_E02B25FC; \??\C:\ProgramData\BitRaider\support\1.3.3\E02B25FC\BRDriver64.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 XFDriver64; \??\C:\Program Files (x86)\Xfire2\XFDriver64.sys [X] Task: {07A0B982-3ECD-4A0C-A986-7611B82CDA36} - System32\Tasks\SnackAttack => c:\programdata\{f651b2f1-d89e-200e-f651-1b2f1d89cbc7}\3871845655588411977b.exe [2014-06-22] () Task: {0A7C6E9C-5DBF-448B-A9C9-31ECA1C021E2} - System32\Tasks\{F6A937A9-B4A5-4513-A613-88550E282F92} => pcalua.exe -a "C:\Microsoft.Office.2007.PL\Microsoft.Office.2007.PL\Microsoft.Office.2007.PL\Office 07\setup.exe" -d "C:\Microsoft.Office.2007.PL\Microsoft.Office.2007.PL\Microsoft.Office.2007.PL\Office 07" Task: {3275DA4A-7B55-4BC7-B4A8-25091CB689D1} - System32\Tasks\{1140DFB7-008E-4228-BA5E-A3F8AF2FFC58} => pcalua.exe -a C:\Users\Sigon\Documents\ventriloMIX05.exe -d C:\Users\Sigon\Documents Task: {6C9EAE2B-22F9-4E71-89BA-071F6C3654FF} - System32\Tasks\{D165490E-6D9D-4D53-A245-28D958131279} => C:\Program Files (x86)\Samsung\Kies\Kies.exe Task: {9AB12123-AA59-4A19-98EC-594B557C602A} - System32\Tasks\{A848CBCA-101D-428F-8084-001F75B0F553} => C:\Program Files (x86)\Samsung\Kies\Kies.exe Task: {B5861956-8560-409B-9013-09C2370695C4} - System32\Tasks\FatBuster => c:\programdata\{0ae3418f-435d-11d7-0ae3-3418f435063d}\3029916761563842797b.exe [2014-06-26] () Task: {C99EDA62-813A-467E-B75D-E9D41D3DF88F} - System32\Tasks\Bidaily Synchronize Task[973b] => c:\programdata\{2892869b-89d7-3c78-2892-2869b89d1a6e}\sowa i przyjaciele - podsluchy - akta sprawy nr1.pdf.exe [2014-06-10] () Task: C:\Windows\Tasks\Bidaily Synchronize Task[973b].job => c:\programdata\{2892869b-89d7-3c78-2892-2869b89d1a6e}\sowa i przyjaciele - podsluchy - akta sprawy nr1.pdf.exe Task: C:\Windows\Tasks\FatBuster.job => c:\programdata\{0ae3418f-435d-11d7-0ae3-3418f435063d}\3029916761563842797b.exe Task: C:\Windows\Tasks\SnackAttack.job => c:\programdata\{f651b2f1-d89e-200e-f651-1b2f1d89cbc7}\3871845655588411977b.exe HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKLM-x32\...\Run: [fst_pl_41] => [X] HKLM-x32\...\Run: [bCSSync] => "C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe" /DelayServices Winlogon\Notify\AutorunsDisabled: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1666849123-2050503175-1494362175-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1666849123-2050503175-1494362175-1001 -> {E3972092-C2EA-46AE-AC2E-C8D41F362280} URL = BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL => Brak pliku C:\Program Files (x86)\Asprate C:\Program Files (x86)\Mozilla Firefox C:\Programdata\{0ae3418f-435d-11d7-0ae3-3418f435063d} C:\Programdata\{f651b2f1-d89e-200e-f651-1b2f1d89cbc7} C:\ProgramData\Dell\Dell Stage\deleted_shortcuts\SyncUP.lnk C:\ProgramData\Dell\Dell Stage\deleted_shortcuts\Zinio Reader 4.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Asprate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Carom3D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\View License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mumble C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tibia\Tibia Website.lnk C:\Users\Sigon\AppData\Local\Google\Chrome\User Data\Profile 1\Preferences C:\Users\Sigon\AppData\Local\Google\Chrome\User Data\Profile 1\Web Data C:\Users\Sigon\AppData\Local\Mozilla C:\Users\Sigon\AppData\Roaming\Annoyed History C:\Users\Sigon\AppData\Roaming\Microsoft\Word\Tytuly302896461249450560\Tytuly.docx.lnk C:\Users\Sigon\AppData\Roaming\Mozilla Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AccuWeatherWidget" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10" /f CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Osoby > usuń poprzedni profil całkowicie. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Skanuj (Scan) na następującym ustawieniu: w sekcji Filtrowanie odznaczona opcja Internet + zaznaczone pole Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

Wszystko pomyślnie wykonane. Drobne poprawki. Otwórz Notatnik i wklej w nim: S3 WinDivert1.1; C:\Program Files\KMSpico\WinDivert.sys [35376 2015-04-16] (Basil Projects) CHR DefaultSearchKeyword: Default -> q C:\Program Files\KMSpico C:\ProgramData\ntuser.pol C:\WINDOWS\SysWOW64\GroupPolicy\gpt.ini Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. Przedstaw go. Nie polecam. Są tu dwa aspekty: - Firma IOBit jako taka. Odradzam instalacje jakichkolwiek produktów tej marki. Firma o niskim morale, znana z podejrzanych związków partnerskich, notorycznie umieszczająca adware w instalatorach wersji free, a w przeszłości złapana na kradzieży bazy MBAM (podróbna wstawiona do ich programu anty-malware). - Typ programu. Automaty aktualizujące sterowniki mogą wyrządzić szkody instalując wersje niepasujące do systemu. Tak, zdarza się to. Tu na forum było wiele takich przypadków, gdy po operacji automatu trzeba było cofać cały system wstecz. Sterowniki powinno się aktualizować precyzyjnie ręcznie.

Niezależnie od tego w jaki sposób były opisane wyniki, większość z tych "2700" to musiał być wirus Ramnit. Kaspersky oznacza go pod inną nazwą kodową "Nimnul". Raporty są prawdopodobnie w katalogu C:\Kaspersky Rescue Disk 10.0, tylko że Kaspersky domyślnie szyfruje pliki raportów, więc dostarczenie wersji zaszyfrowanej mija się z celem. Do czyszczenia jeszcze mamy pewne rzeczy, ale pojawił się tu nowy problem po czyszczeniu, tzn. utrata dostępu do konta. Obecnie Twój profil ma charakter tymczasowy, rozlinkowany z poprzednim katalogiem: Uruchomiony z C:\Users\TEMP\Downloads Admin (S-1-5-21-4127351139-3218798602-2645746064-1000 - Administrator - Enabled) => C:\Users\TEMP 2015-11-08 21:35 - 2015-11-08 21:41 - 00000000 ____D C:\Users\TEMP\AppData\Local\Mozilla 2015-11-08 21:35 - 2015-11-08 21:35 - 00001434 _____ C:\Users\TEMP\Desktop\firefox — skrót.lnk 2015-11-08 21:35 - 2015-11-08 21:35 - 00000000 ____D C:\Users\TEMP\AppData\Roaming\Mozilla 2015-11-08 21:34 - 2015-11-08 21:42 - 00000000 ____D C:\Users\TEMP 2015-11-08 21:34 - 2015-11-08 21:34 - 00000020 ___SH C:\Users\TEMP\ntuser.ini 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\Ustawienia lokalne 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\Szablony 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\Moje dokumenty 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\Menu Start 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\Documents\Moje wideo 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\Documents\Moje obrazy 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\Documents\Moja muzyka 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\Dane aplikacji 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\AppData\Roaming\Microsoft\Windows\Start Menu\Programy 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\AppData\Local\Historia 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\AppData\Local\Dane aplikacji 2015-11-08 21:34 - 2009-07-14 05:42 - 00000000 ___RD C:\Users\TEMP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories 2015-11-08 21:34 - 2009-07-14 05:37 - 00000000 ___RD C:\Users\TEMP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance Należy ponownie przekierować konto na właściwy folder: 1. Włącz tymczasowo wbudowane konto Administrator. Start > w polu szukania wpisz lusrmgr.msc > z prawokliku Uruchom jako Administrator. Dwuklik w Użytkownicy > dwuklik w Administratora i włącz konto. 2. Wyloguj się całkowicie z obecnego konta poprzez pełny restart komputera a nie opcje Wyloguj / Przełącz użytkownika. Zaloguj się na Administratora. Uruchom na nim Reprofiler. Rozłącz konto Admin z folderem C:\Users\TEMP (opcja Detach), następnie połącz konto z poprzednim folderem C:\Users\Admin. 3. Zresetuj komputer. Zaloguj się na swoje konto. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale Shortcut już zbędny.

W tle aktywnie działają usługi adware. Ponadto, są zainfekowane wszystkie przeglądarki. W Firefox są aż dwie infekcje. Podróbka rozszerzenia delicioustechragacom oraz hijack matrycy preferencji: FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\prefs.js [2015-11-03] FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\cfg [2015-11-03] W Google Chrome również są podróbki rozszerzeń. Prócz tego są różne odpadki, w tym po wykonaniu aktualizacji Windows 7 > Windows 10. Wszystkim się zajmę. Akcje do wdrożenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > Odinstaluj stare wersje Acrobat.com, Adobe AIR, Kaspersky Endpoint Security 10 for Windows, Podstawowe programy Windows Live, vShare.tv plugin 1.3 (adware), Win7x64 Components v1.2.4, Windows Live Sync, Windows Media Player Firefox Plugin. Sugeruję także pozbyć się firmowych programów MyWinLocker Suite (o ile nie robiono w nim szyfrowania danych) oraz wszystkie pozycje NTI (jeśli z nich nie korzystasz). - Przejdź w Tryb awaryjny i zastosuj Kaspersky Remover. Po jego użyciu opuść Tryb awaryjny. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 swsedrvr_vw_1_10_0_25; C:\Windows\System32\drivers\swsedrvr_vw_1_10_0_25.sys [57720 2015-09-22] (SS) R2 NetTcpHandler; C:\Users\user\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] () U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [mbot_pl_014010126] => [X] HKLM-x32\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot HKLM-x32\...\Run: [gmsd_pl_005010126] => [X] HKU\S-1-5-21-173458695-754960654-3623925198-1000\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot GroupPolicy: Ograniczenia - Chrome CHR HKLM-x32\...\Chrome\Extension: [kpionmjnkbpcdpcflammlgllecmejgjj] - C:\Program Files (x86)\vShare.tv plugin\vshareplg.crx [2011-08-31] FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files\T-Mobile\InternetManager_H\OCx64\addon => nie znaleziono SearchScopes: HKLM-x32 -> {98859D5F-9BC6-4047-98EB-D5A6F5A4D139} URL = hxxp://startsear.ch/?aff=1&src=sp&cf=7fb07d16-f63a-11e0-8ba7-206a8a25f6f8&q={searchTerms} Toolbar: HKU\S-1-5-21-173458695-754960654-3623925198-1000 -> Brak nazwy - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - Brak pliku Task: {1066539A-9455-44EA-9AC7-14D731AB1366} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {12B9E2DD-387A-4B2A-B8E3-81D4B6F8AA7D} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {187835C1-1EEC-4807-BA07-6D31DA71BB6F} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {1A400B94-20D6-444A-89B1-616FA6004155} - System32\Tasks\{9153F979-F196-4783-988A-4D82C4D2B495} => Iexplore.exe hxxp://ui.skype.com/ui/0/6.1.0.129.272/pl/abandoninstall?page=tsProgressBar Task: {1B0F704C-9EB4-464E-B417-9A3DC87E343A} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {32BA5F48-E203-4FA0-ADA8-0D89448E065F} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {3AFCADAE-326B-44FB-95B3-8E92A6EE60D6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {3DDAF2DB-6E24-498E-989C-C0F43A7E8B3F} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {3EC7EA53-94A3-4CA1-9EA1-52C8F4901579} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\user\AppData\Local\SmartWeb\SmartWebHelper.exe Task: {461A57BE-05A7-48F0-9898-68EC567C114E} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {4D59C131-64C6-459A-A033-FC162808F5F7} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {53662B75-1CBC-4D4C-90D7-3C47673CEB26} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {62BFD991-3309-4DD5-B24A-B9E4B8193DA4} - System32\Tasks\{E662730B-36F9-4981-92D6-E6F19F64E78C} => pcalua.exe -a "C:\Program Files (x86)\YTDownloader\YTDUninstall.exe" Task: {64D3BA78-CFA0-4CA8-A0B4-E64CF4866931} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {6569E1E0-E920-4470-84F2-B904A1B289AA} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {69A5800A-3F83-4D91-B5BC-535E6AD15B5C} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {71294760-8641-49DE-B9F4-760896B2BC00} - System32\Tasks\SPBIW_UpdateTask_Time_313034343633363334382d234a784132345b2a346c2d5a => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 Task: {7713ECAA-4965-43EE-BB40-75A7F7C8BB71} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {78679368-AB73-4CCD-ADA3-768E7E33FF33} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {7AD7772F-5ED7-4996-87A2-28D0101B9A5C} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {81249C5C-F403-445A-937C-69BAFEBA5ADA} - System32\Tasks\{E08CC4C0-D705-465A-8FE0-6AFE0BB4E297} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Nero\Nero ProductInstaller 4\SetupX.exe" -c REMOVESERIALNUMBER="XM02-508X-MHAT-19WU-9Z3Z-0CH0-3U6E-85W5-MMHH-6647-1Z5L-7M8C-0U45-758P-0000" Task: {89E47A8D-0935-4EE8-BAD9-F8D227890D9B} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {8E4C2FBE-4BCC-4FD0-90B1-DC3250FEE6F3} - System32\Tasks\ShopperProJSUpd => C:\Program Files (x86)\ShopperPro\updater.exe Task: {97B43E29-F0DE-4997-BB5E-520F36F66EAF} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {97E8958D-6E50-45A4-A6DB-70F2B1023E7B} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {9B8B7F0D-619F-4CAA-9806-21285EC6C0E7} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {9E712D4D-8132-42F7-9C17-3DAA1E5E653C} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {A3DE8C14-77AC-4709-A582-E4FD325AF28D} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {A5242098-0C99-4DD2-B54E-08F5DBB7B725} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {B39A73A5-0A18-4A30-98DE-EFFB67C6DDC1} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {B70D1669-6065-438A-B174-98DDD0324ACD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {C55623AE-E542-4599-807C-F8A2B1712B94} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {CFAA5632-3BD7-487F-B2C3-D2A6BC135756} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {D12AB06D-CCB8-4B53-8E53-600FF6C2B5CE} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {DE6A4A96-9CFB-4B2A-BD2B-3FAAB2319019} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {DF3AB43A-D42D-4AA9-B8B5-5D365945B8D7} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {F62839C1-0ADE-41FC-A997-3B2A7FFBC6A9} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {F795F17D-CF62-420D-B4E0-3B40C12F8070} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {FFF2D0CE-AC12-41BA-8C47-0445E0E148E4} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} C:\END C:\Program Files\Common Files\ShopperPro C:\Program Files (x86)\A0131610-1445882937-DF11-9ABD-F4FD025DC913 C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Mozilla Firefox\cfg C:\Program Files (x86)\Mozilla Firefox\browser\defaults C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Opera C:\ProgramData\ShopperPro C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Endpoint Security 10 for Windows C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Win7codecs C:\Users\user\AppData\Local\{A9711B20-C0C7-4534-847F-5A633520D6C8} C:\Users\user\AppData\Local\Bron.tok.A12.em.bin C:\Users\user\AppData\Local\Kosong.Bron.Tok.txt C:\Users\user\AppData\Local\A0131610-1445886623-DF11-9ABD-F4FD025DC913 C:\Users\user\AppData\Local\BrowserHelper C:\Users\user\AppData\Local\CrashRpt C:\Users\user\AppData\Local\Crsoft C:\Users\user\AppData\Local\globalUpdate C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{0D90C1DB-8BF4-4A41-AFDC-0F762AA78CB4} C:\Users\user\AppData\Local\Opera software C:\Users\user\AppData\Local\SmartWeb C:\Users\user\AppData\Roaming\NetService C:\Users\user\AppData\Roaming\Opera software C:\Users\user\AppData\Roaming\RunDir C:\Users\user\Desktop\Continue Live Installation.lnk C:\Users\user\Downloads\Ninite Inkscape Installer.exe C:\Users\Public\Documents\ShopperPro C:\Windows\ehome C:\Windows\System32\drivers\swsedrvr_vw_1_10_0_25.sys C:\WINDOWS\System32\Drivers\etc\hp.bak C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Folder: C:\WINDOWS\system32\GroupPolicy Folder: C:\WINDOWS\SysWOW64\GroupPolicy CMD: type C:\ProgramData\ntuser.pol CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie widoczne rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Ale widzę, że Firefox jest ustawiony jako domyślna. Jeśli to główna przeglądarka, to lepiej Google Chrome w całości odinstalować niż czyścić. Jeśli wybierzesz tę drogę, to przy deinstalacji zaznacz opcję usuwania profilu Usuń także dane przeglądarki. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

To jest program z czarnej listy, niepożądany w systemie! Jest namolnie reklamowany w wysoko pozycjonowanych na Google "opisach usuwania infekcji" jako ich "specjalizowany" usuwacz. Przy czym tu chodzi tylko o jego instalację, bo się okazuje że trzeba uiszczać opłaty. Zaszyfrowane pliki z przyrostkiem helpme@freespeechmail.org jest w stanie odkodować RakhniDecryptor od Kasperskiego. Wg logów infekcja nie jest już aktywna, więc zajmij się odkodowaniem plików i zgłoś z wynikami działań. PS. Potem zajmę się doczyszczaniem drobnych śmieci. A FRST został uruchomiony ze złego miejsca, czyli z Tymczasowych plików internetowych: Uruchomiony z C:\Documents and Settings\Betty\Ustawienia lokalne\Temporary Internet Files\Content.IE5\BST0L5CC Pobierz ponownie i zapisz na Pulpicie. FRST będzie tu jeszcze używany do usuwania.

Temat przenoszę do działu leczenia infekcji. Błąd generują zadania w Harmonogramie utworzone przez adware. Prócz tego jest widoczna cała masa infekcji adware. Akcje do przeprowadzenia: 1. Odinstaluj stare wersje: Acrobat.com, Adobe AIR, Adobe Flash Player 15 ActiveX, Adobe Shockwave Player, Avira, Java 8 Update 45, JavaFX 2.1.1. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0B969D67-9BAD-4F68-BFF3-0087B28D6215} - System32\Tasks\{3402A0BE-26EE-461D-A4DE-4A5D47B1B490} => pcalua.exe -a C:\Users\Pawel\Downloads\lbz3D.exe -d C:\Users\Pawel\Downloads Task: {0F54ED1F-2F8D-46B1-ACBB-4CEE6EEB1BF6} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 Task: {11F08DE6-C245-454B-B162-E88FFC3CC4FC} - System32\Tasks\00bbbb9b-e12c-4490-bb3b-61913c0919ab-4 => C:\Program Files (x86)\App Lid\00bbbb9b-e12c-4490-bb3b-61913c0919ab-4.exe Task: {158E686C-BA35-4EEC-AA6E-11EE764DF83A} - System32\Tasks\{AB7EE947-F6EA-4E44-906B-89F719911463} => pcalua.exe -a "C:\Program Files (x86)\ShopperPro\SPremove.exe" Task: {1F267B77-1017-4CD4-BDE2-7DD8428F68E7} - System32\Tasks\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-2 => C:\Program Files (x86)\Sense\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-2.exe Task: {2344E912-9AEE-4EE7-AFE6-E234C1E442C9} - System32\Tasks\74275bdc-96a9-440e-8569-aaf52624e348-5 => C:\Program Files (x86)\iWebar\74275bdc-96a9-440e-8569-aaf52624e348-5.exe Task: {2EA5EE15-8E36-405B-B96C-4702268B2F01} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {33744532-0993-41FE-938F-F83000473483} - System32\Tasks\{C4725CF3-4E09-4BAD-A764-3569B1AD62C5} => pcalua.exe -a C:\Users\Pawel\Downloads\Mody\inne\allinon1\wog358f.part01.exe -d C:\Users\Pawel\Downloads\Mody\inne\allinon1 Task: {33D6A8BE-BE21-4A5D-9B08-CD77456724F4} - System32\Tasks\ShopperProJSUpd => C:\Program Files (x86)\ShopperPro\updater.exe Task: {61D4D773-688F-424F-AD72-ABE812E44E0F} - System32\Tasks\SMupdate1 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update1 Task: {683085A4-4E00-4669-834C-291377A66694} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 Task: {6896E81E-A647-4F9B-98B4-0F3AACFEEF51} - System32\Tasks\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-5 => C:\Program Files (x86)\Sense\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-5.exe Task: {734E92DC-3E19-4590-9CEA-AD7F8A09E1CE} - System32\Tasks\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-1 => C:\Program Files (x86)\Sense\Sense-codedownloader.exe Task: {75C7BD0C-6695-49C6-9C7E-CD53F8707199} - System32\Tasks\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-3 => C:\Program Files (x86)\Sense\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-3.exe Task: {97F32FEE-BECC-4616-9FD9-2E76345C7BC9} - System32\Tasks\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-4 => C:\Program Files (x86)\Sense\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-4.exe Task: {9BA0E7AD-03A6-45E4-933A-1C4AFD91D741} - System32\Tasks\Go for FilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe Task: {A1C0F561-45AB-4131-9C55-6F07EDDDBA28} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {A44B629A-749D-470C-9324-3E7B370BAD0F} - System32\Tasks\{90AA5F43-D794-4FE1-AD8A-8D59BB7C9E05} => pcalua.exe -a C:\Users\Pawel\Downloads\MinecraftZyczu.exe -d C:\Users\Pawel\Downloads Task: {B547AC9F-D8CA-41DE-BBC8-5C8DD2C7DC97} - System32\Tasks\{32B629BD-76EC-416F-A01D-B91306CBEA88} => pcalua.exe -a "C:\Program Files (x86)\YTDownloader\YTDUninstall.exe" Task: {C3AE94A3-F5E3-4DE9-A158-921957B09C34} - System32\Tasks\{B4FB08DD-8BDE-4C2A-9F0C-93CB516995EC} => pcalua.exe -a "C:\Program Files (x86)\Sense\Uninstall.exe" -c /fcp=1 Task: {CDFA0850-AA41-426E-A20D-CFB4943A5581} - System32\Tasks\ShopperPro => C:\Program Files (x86)\ShopperPro\ShopperPro.exe Task: {D0DED8EB-8D1E-4871-A981-332CB1195209} - System32\Tasks\{1919DF66-ED62-4ADE-BFDB-0A0B16E298BC} => pcalua.exe -a D:\SPORESetup.exe -d D:\ Task: {D4A0E338-D5B5-40C4-8A4B-F3275C9FECFD} - System32\Tasks\FoxTab => C:\Users\Pawel\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE Task: {E18C444C-B61D-42D2-96DD-1ED8EE82E37F} - System32\Tasks\WiseCleaner\WDCSkipUAC => C:\Program Files (x86)\Wise\Wise Disk Cleaner\WiseDiskCleaner.exe Task: {F452E64A-96E1-42A2-A732-FCEC3F94E83F} - System32\Tasks\{8F1146F2-E2C8-4A11-A27B-DB6EA166C47F} => pcalua.exe -a C:\Users\Pawel\Downloads\pitdemo.exe -d C:\Users\Pawel\Downloads Task: {F88E0781-9943-4421-BE24-43A41C13BC36} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {FD155703-FE3C-45E1-B235-77BA3CAE84D7} - System32\Tasks\{9FBFBFBD-C478-471A-9399-971A669F6ADE} => pcalua.exe -a "C:\Program Files (x86)\iWebar\Uninstall.exe" -c /fcp=1 Task: C:\Windows\Tasks\00bbbb9b-e12c-4490-bb3b-61913c0919ab-4.job => C:\Program Files (x86)\App Lid\00bbbb9b-e12c-4490-bb3b-61913c0919ab-4.exe Task: C:\Windows\Tasks\74275bdc-96a9-440e-8569-aaf52624e348-5.job => C:\Program Files (x86)\iWebar\74275bdc-96a9-440e-8569-aaf52624e348-5.exeʸ/yochGqlS /dyqGeJy='iWebar' /hhBQjVc=35510 /JGSkT='000170' /YTHbNkmX='0' /ciHdRpSZ='eyJkYXRhIjp7ImRhdGUiOiJFNU16YWRrY0FnMCxlZThjM2MyMy1iYWNkLTQ5YzgtOTc0Ny0yZDYzOWM0YTUwMzEsIiwidW5xIjoiZWU4YzNjMjMtYmFjZC00OWM4LTk3NDctMmQ2MzljNGE1MDMxIn19' /rluRGxYUp=58DD3E803AB242C98271B81F931CF449IE /WJOPj=07a70ecbaba126777b94e9118529481c /WMSqXF=1_34_05_12 /CRFsAs=1400772934 /xqzkUn=hxxp:/stats.clientstatsservice.com /ZYlkDu=hxxp:/errors.clientstatsservice.com /MLIMI=hxxp:/ipgeoapi.com/ /jXJieqAhe=hxxp:/update.clientstatsservice.com /HiJzz=2 /OmnqxP=hxxp:/logs.clientstatsservice.com /LWpHklfn='hxxp:/update.clientstatsservice.com/updater_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-1.job => C:\Program Files (x86)\Sense\Sense-codedownloader.exeʗ/qaqULmSaW /vtZDfS=task /VAmcp='Sense' /TZTXDg=48292 /MAoyRZ='000803' /KGeGeeFa='0' /xltyY='eyJkYXRhIjp7ImRhdGUiOiJFNU16YWRrYyxkNzNkNDZlYi1iYTlhLTRmMmItOTcwMy1iMWM1OWNhZmY3NjYsIiwidW5xIjoiZDczZDQ2ZWItYmE5YS00ZjJiLTk3MDMtYjFjNTljYWZmNzY2In19' /ruaMcPLw=9D15744B216645399A936883497945C7IE /dPzFZgZeD=f8bb6b6f5c756f2a23ce4f84c083cbcf /EEAKbmzL=1_34_05_12 /ppRuMSrd=1.34.5.12 /fscaRs=1400776555 /XzgCCiKMW=hxxp:/stats.clientstatsservice.com /lKAdizU=hxxp:/errors.clientstatsservice.com /JPcNR=hxxp:/js.clientstatsservice.com /nKtzS=ff /UwvYXXUA /jemdS='hxxp:/update.clientstatsservice.com/ie_code_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-2.job => C:\Program Files (x86)\Sense\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-2.exeɽ/SlLVkpNhy /VAmcp='Sense' /TZTXDg=48292 /MAoyRZ='000803' /KGeGeeFa='0' /xltyY='eyJkYXRhIjp7ImRhdGUiOiJFNU16YWRrYyxkNzNkNDZlYi1iYTlhLTRmMmItOTcwMy1iMWM1OWNhZmY3NjYsIiwidW5xIjoiZDczZDQ2ZWItYmE5YS00ZjJiLTk3MDMtYjFjNTljYWZmNzY2In19' /ruaMcPLw=9D15744B216645399A936883497945C7IE /dPzFZgZeD=f8bb6b6f5c756f2a23ce4f84c083cbcf /EEAKbmzL=1_34_05_12 /fscaRs=1400776555 /XzgCCiKMW=hxxp:/stats.clientstatsservice.com /lKAdizU=hxxp:/errors.clientstatsservice.com /zVXWKd=11111111-1111-1111-1111-110411821192 /nKtzS=ff /UwvYXXUA /jemdS='hxxp:/update.clientstatsservice.com/ie_enable_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-3.job => C:\Program Files (x86)\Sense\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-3.exe Task: C:\Windows\Tasks\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-4.job => C:\Program Files (x86)\Sense\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-4.exeЃ/EOGjGw /VAmcp='Sense' /edrSKUxM C:\Program Files (x86)\Sense\48292.xpi' /TZTXDg=48292 /MAoyRZ='000803' /KGeGeeFa='0' /xltyY='eyJkYXRhIjp7ImRhdGUiOiJFNU16YWRrYyxkNzNkNDZlYi1iYTlhLTRmMmItOTcwMy1iMWM1OWNhZmY3NjYsIiwidW5xIjoiZDczZDQ2ZWItYmE5YS00ZjJiLTk3MDMtYjFjNTljYWZmNzY2In19' /ruaMcPLw=9D15744B216645399A936883497945C7IE /dPzFZgZeD=f8bb6b6f5c756f2a23ce4f84c083cbcf /EEAKbmzL=1_34_05_12 /ppRuMSrd=1.34.5.12 /fscaRs=1400776555 /XzgCCiKMW=hxxp:/stats.clientstatsservice.com /lKAdizU=hxxp:/errors.clientstatsservice.com /LiPtWCQH=300 /ySndYdYu=143f44cf-d99c-4e45-8cd9-ef929de77aa8@bdbf6038-0097-480c-8d8e-fc48e28131a8.com /FYbRp=0.94 /nfDRClgWe=a143f44cfd99c4e458cd9ef929de77aa8bdbf60380097480c8d8efc48e28131a8com48292 /zhGhJrI=hxxps:/w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/48292.rdf /LROYPL='Sense' /TTGOrFy='.' /nlDOZhxYh='Object Browser' /nKtzS=ff /iedAZBfB='{asw:[4, 12582980]}' /UwvYXXUA /cHUqJhhy /uwOAU /jemdS='hxxp:/update.clientstatsservice.com/ff_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-5.job => C:\Program Files (x86)\Sense\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-5.exeʴ/JcHMH /VAmcp='Sense' /TZTXDg=48292 /MAoyRZ='000803' /KGeGeeFa='0' /xltyY='eyJkYXRhIjp7ImRhdGUiOiJFNU16YWRrYyxkNzNkNDZlYi1iYTlhLTRmMmItOTcwMy1iMWM1OWNhZmY3NjYsIiwidW5xIjoiZDczZDQ2ZWItYmE5YS00ZjJiLTk3MDMtYjFjNTljYWZmNzY2In19' /ruaMcPLw=9D15744B216645399A936883497945C7IE /dPzFZgZeD=f8bb6b6f5c756f2a23ce4f84c083cbcf /EEAKbmzL=1_34_05_12 /fscaRs=1400776555 /XzgCCiKMW=hxxp:/stats.clientstatsservice.com /lKAdizU=hxxp:/errors.clientstatsservice.com /nZPWG=hxxp:/ipgeoapi.com/ /qAaImMm=hxxp:/update.clientstatsservice.com /TFCFs=2 /lMVPRu=hxxp:/logs.clientstatsservice.com /jemdS='hxxp:/update.clientstatsservice.com/updater_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\FoxTab.job => C:\Users\Pawel\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE S1 F06DEFF2-5B9C-490D-910F-35D3A91196222; \??\C:\Program Files (x86)\Settings Manager\systemk\x64\systemkmgrc1.cfg [X] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe /medsvc [X] S2 SmartViewService; C:\Program Files (x86)\DeviceVM\SmartView\SmartViewService.exe [X] S1 qknfd; system32\drivers\qknfd.sys [X] HKLM-x32\...\Run: [fst_pl_117] => [X] HKLM-x32\...\Run: [blueStacks Agent] => C:\Program Files (x86)\BlueStacks\HD-Agent.exe HKU\S-1-5-21-3559932244-3399408863-269001800-1000\...\Run: [ASRockXTU] => [X] HKU\S-1-5-21-3559932244-3399408863-269001800-1000\...\Run: [zASRockInstantBoot] => [X] HKU\S-1-5-21-3559932244-3399408863-269001800-1000\...\Run: [] => [X] GroupPolicy: Ograniczenia - Chrome HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank HKU\S-1-5-21-3559932244-3399408863-269001800-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.default-search.net?sid=492&aid=109&itype=a&ver=12692&tm=355&src=hmp SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = hxxp://www.default-search.net/search?sid=492&aid=109&itype=a&ver=12692&tm=355&src=ds&p={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = hxxp://www.default-search.net/search?sid=492&aid=109&itype=a&ver=12692&tm=355&src=ds&p={searchTerms} SearchScopes: HKU\S-1-5-21-3559932244-3399408863-269001800-1000 -> {27275D08-BAC0-48d8-AEBD-48413175404A} URL = hxxp://www.google.com/cse?cx=partner-pub-3794288947762788%3A6976579318&ie=UTF-8&q=&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A6976579318&q={searchTerms} SearchScopes: HKU\S-1-5-21-3559932244-3399408863-269001800-1000 -> {4CB9CEAB-CDC3-4158-9455-18FEFCB74B03} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=ASRK SearchScopes: HKU\S-1-5-21-3559932244-3399408863-269001800-1000 -> {54E6F98C-61B9-464F-9EC0-D4F07C9DF024} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=AVR-3&o=APN10401&src=kw&q={searchTerms}&locale=en_PL&apn_ptnrs=^ABZ&apn_dtid=^YYYYYY^YY^PL&apn_uid=6611b216-542f-4502-8412-e4a25d549a77&apn_sauid=2B6B725C-CF50-417C-B372-A5386AE50BED SearchScopes: HKU\S-1-5-21-3559932244-3399408863-269001800-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = hxxp://www.default-search.net/search?sid=492&aid=109&itype=a&ver=12692&tm=355&src=ds&p={searchTerms} BHO: SmileysWeLoveToolbar -> {E4EF8A64-0A30-48F5-B3FE-5FDA978DA775} -> C:\Program Files (x86)\Smileys We Love Toolbar for IE\adxloader64.dll => Brak pliku BHO-x32: SmileysWeLoveToolbar -> {E4EF8A64-0A30-48F5-B3FE-5FDA978DA775} -> C:\Program Files (x86)\Smileys We Love Toolbar for IE\adxloader.dll => Brak pliku Toolbar: HKLM - SmileysWeLove - {CF0F43AB-9C23-4D7B-8040-201B82844854} - C:\Program Files (x86)\Smileys We Love Toolbar for IE\adxloader64.dll Brak pliku Toolbar: HKLM-x32 - SmileysWeLove - {CF0F43AB-9C23-4D7B-8040-201B82844854} - C:\Program Files (x86)\Smileys We Love Toolbar for IE\adxloader.dll Brak pliku Toolbar: HKU\S-1-5-21-3559932244-3399408863-269001800-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku Toolbar: HKU\S-1-5-21-3559932244-3399408863-269001800-1000 -> Brak nazwy - {D4027C7F-154A-4066-A1AD-4243D8127440} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://start.qone8.com/?type=sc&ts=1383144437&from=cor&uid=WDCXWD5000AAKX-001CA0_WD-WMAYUW85787857878 FF Session Restore: -> [funkcja włączona] FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [brak pliku] FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [brak pliku] FF HKLM-x32\...\Firefox\Extensions: [quiknowledge@quiknowledge.com] - C:\Program Files (x86)\Mozilla Firefox\extensions\quiknowledge@quiknowledge.com => nie znaleziono CHR Session Restore: Default -> [funkcja włączona] CHR HKLM-x32\...\Chrome\Extension: [fdjkhamgopgokjmllcmpkiijndjeidcl] - C:\Users\Pawel\AppData\Local\Temp\twsfiles\trustedshopper.crx CHR HKLM-x32\...\Chrome\Extension: [fjbbjfdilbioabojmcplalojlmdngbjl] - C:\Users\Pawel\AppData\Local\Temp\swlfiles\smileyswelovetoolbar.crx C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Pitagoras 2000 Demo C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PokeBlock Launcher C:\Users\Pawel\AppData\Local\Microsoft\Windows\GameExplorer\{DAB05E6A-5755-41BE-B4D3-0D8DE82114DB} C:\Users\Pawel\AppData\Roaming\aps.uninstall.scan.results C:\Users\Pawel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Pawel\Desktop\gry\PokeBlock Launcher.lnk C:\Users\Pawel\Desktop\Nieużywane programy\Adobe Reader 9.lnk Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Avira.OE.ServiceHost" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdatem " /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Arpoamo" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\avgnt" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Avira Systray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Fontcore" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Firewall 2.9" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SmartViewAgent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Sookfyzife" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będie przeinstalować. Menu Historia > Wyczyść historię przeglądania Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Pawel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też plik fixlog.txt.

Tak jest, masa śmieci. I prawdopodobnie przeglądarka Google Chrome ma zmodyfikowane globalne pliki, gdyż są zainstalowane rozszerzenia spoza Chrome Wen Store, a domyślnie jest to awykonalne (ustawiona blokada na Chrome Web Store). Trzeba będzie Google przeinstalować. Przed wykonaniem jakichkolwiek działań skopiuj na Pulpit poniższy folder, spakuj do ZIP, shostuj gdzieś i wyślij na PW link do paczki. C:\Program Files (x86)\Google\Chrome Po przesłaniu danych przejdź do usuwania infekcji: 1. Przez Panel sterowania odinstaluj: - Adware: Internet Speed Checker, Java Runtime Environment Packages, Search Protect, Sonic Train, Total Download, WindowsMangerProtect20.0.0.1270. Jeśli coś będzie niewidoczne lub zwróci błąd przy usuwaniu, kontynuuj dalej. - Starsze wersje: Adobe Reader XI (11.0.13) - Polish, Java 8 Update 31. Specjalne wytyczne tyczące deinstalacji Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. I na razie nie instaluj prezeglądarki ponownie. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: type "C:\Program Files (x86)\mozilla firefox\defaults\pref\!346A40195BA29390EE609A43195DD840346A.js" R1 {078ad437-dc9f-4228-9edb-b3d1c0246ff8}Gw64; C:\Windows\System32\drivers\{078ad437-dc9f-4228-9edb-b3d1c0246ff8}Gw64.sys [48784 2014-12-09] (StdLib) R1 {2bf1e193-df72-4e3c-9f15-d1dc6e2f810f}Gw64; C:\Windows\System32\drivers\{2bf1e193-df72-4e3c-9f15-d1dc6e2f810f}Gw64.sys [48784 2014-12-06] (StdLib) R1 {2fc9157e-7b3c-4ebf-95d1-57a9fdf20894}Gw64; C:\Windows\System32\drivers\{2fc9157e-7b3c-4ebf-95d1-57a9fdf20894}Gw64.sys [48784 2015-02-17] (StdLib) R1 {a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64; C:\Windows\System32\drivers\{a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64.sys [48784 2014-12-12] (StdLib) S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [68608 2015-07-01] (globalUpdate) [brak podpisu cyfrowego] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [68608 2015-07-01] (globalUpdate) [brak podpisu cyfrowego] R2 Service Mgr SonicTrain; C:\ProgramData\1a0254e4-d458-47fa-82a0-6940ee729f6c\plugincontainer.exe [637152 2015-11-07] () R2 Update Mgr SonicTrain; C:\Program Files (x86)\Common Files\1a0254e4-d458-47fa-82a0-6940ee729f6c\updater.exe [546016 2015-11-07] () S3 SPPD; C:\Windows\system32\drivers\SPPD.sys [22512 2015-11-01] () S2 CltMngSvc; C:\Program Files (x86)\SearchProtect\Main\bin\CltMngSvc.exe [X] S1 ccnfd_1_10_0_2; system32\drivers\ccnfd_1_10_0_2.sys [X] S1 wfdrvr_vt_1_10_0_25; system32\drivers\wfdrvr_vt_1_10_0_25.sys [X] Task: {26C99AA4-E964-486E-8FBA-CBF20B41238E} - System32\Tasks\{A99B2AB9-C670-4420-ABA0-3E18EAABEB98} => pcalua.exe -a C:\Users\EWA\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {3CE23009-ACEC-4C6C-B961-840286B06549} - System32\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-4 => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-4.exe Task: {46F86B6F-FDB5-49E4-ACB4-426233F15CD5} - System32\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-5_user => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-5.exe Task: {4FA08929-BEFB-468C-9C85-9D7B37E10F13} - System32\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-5 => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-5.exe Task: {81A1D653-6C41-42C9-A564-621F9B2E1F38} - System32\Tasks\Total Download => Rundll32.exe "C:\Users\EWA\AppData\Local\Total Download\Bin\TotalDownload.dll",#3 Task: {845E332D-A93A-4B65-AF25-37C5BF2CD8BB} - System32\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-1-7 => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-1-7.exe Task: {8EDF2842-F9EB-46C2-9E66-86EE878B1228} - System32\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-1-6 => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-1-6.exe Task: {B3382288-A7C8-4FEF-A510-ABCF813F83B0} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [2015-07-01] (globalUpdate) Task: {C4704AE7-C86B-45A6-BFE6-8AC93F1419FC} - System32\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-6 => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-6.exe Task: {D5AA87CF-BCFA-47CB-AEB3-44A046727F53} - System32\Tasks\c8294fb5-131e-4f64-94e5-0b011c65b0f4 => C:\Program Files (x86)\Internet Speed Checker\c8294fb5-131e-4f64-94e5-0b011c65b0f4.exe [2015-07-01] () Task: {D5AD1400-5B8E-43C9-BE6B-5B2B41A55EC6} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [2015-07-01] (globalUpdate) Task: {DCBDADC5-2AB8-4640-BA33-47570B2AEFD9} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe Task: {ECF09BB0-45DB-4DBD-B0D8-9EAAC557AE1A} - System32\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-7 => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-7.exe Task: {F06331E3-08A5-4149-B348-77B131D30D9F} - System32\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-10_user => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-10.exe [2015-07-01] (Speedchecker) Task: C:\Windows\Tasks\c8294fb5-131e-4f64-94e5-0b011c65b0f4.job => C:\Program Files (x86)\Internet Speed Checker\c8294fb5-131e-4f64-94e5-0b011c65b0f4.exe Task: C:\Windows\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-1-6.job => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-1-6.exe Task: C:\Windows\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-1-7.job => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-1-7.exe Task: C:\Windows\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-10_user.job => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-10.exe Task: C:\Windows\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-4.job => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-4.exe Task: C:\Windows\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-5.job => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-5.exe Task: C:\Windows\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-5_user.job => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-5.exe Task: C:\Windows\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-6.job => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-6.exe Task: C:\Windows\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-7.job => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-7.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe HKU\S-1-5-21-3296446205-1995855480-105756977-1000\...\Policies\Explorer: [] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141123 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141123 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1416485098&from=cor&uid=ST320LM000XHM321HI_S26VJ9DC405788&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1416485098&from=cor&uid=ST320LM000XHM321HI_S26VJ9DC405788&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1416485098&from=cor&uid=ST320LM000XHM321HI_S26VJ9DC405788&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1416485098&from=cor&uid=ST320LM000XHM321HI_S26VJ9DC405788&q={searchTerms} HKU\S-1-5-21-3296446205-1995855480-105756977-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.trovi.com/?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&ISID=MDD4A5DD9-BB9D-4E59-9A4F-8A46E679C273&SearchSource=55&CUI=&UM=8&UP=SPD7E1A0B3-0D0A-4F40-BA10-BD229B57A67E&D=110115&SSPV=SP3080TB_sp_ie SearchScopes: HKU\S-1-5-21-3296446205-1995855480-105756977-1000 -> {015DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://www.trovi.com/Results.aspx?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&ISID=MDD4A5DD9-BB9D-4E59-9A4F-8A46E679C273&SearchSource=58&CUI=&UM=8&UP=SPD7E1A0B3-0D0A-4F40-BA10-BD229B57A67E&D=110115&q={searchTerms}&SSPV=SP3080TB_sp_ie SearchScopes: HKU\S-1-5-21-3296446205-1995855480-105756977-1000 -> {58F9ED86-C8E1-4E4D-B45B-4828EA49B87A} URL = hxxp://rts.dsrlte.com/?affID=na&q={searchTerms}&r=44 BHO-x32: Sonic Train -> {0c3ddfb7-4cdb-495b-b3e9-d59725b43dfc} -> C:\Program Files (x86)\Sonic Train\Extensions\0c3ddfb7-4cdb-495b-b3e9-d59725b43dfc.dll [2015-11-01] () StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1445793643&z=71241bfa70a2b2e82c76a29g4z1z6w5m8tdcbcctfg&from=cornl&uid=ST320LM000XHM321HI_S26VJ9DC405788 FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-07-01] (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-07-01] (globalUpdate) FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files (x86)\T-Mobile\InternetManager_Z\Bin\addon FF HKLM-x32\...\Firefox\Extensions: [{190bc294-c8e5-471c-9466-3eb945b09542}] - C:\Program Files (x86)\Mozilla Firefox\extensions\{190bc294-c8e5-471c-9466-3eb945b09542} => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\EWA\AppData\Roaming\Mozilla\Firefox\Profiles\py962dn4.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\EWA\AppData\Roaming\Mozilla\Firefox\Profiles\py962dn4.default\extensions\deskCutv2@gmail.com => nie znaleziono StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.istartsurf.com/?type=sc&ts=1445793643&z=71241bfa70a2b2e82c76a29g4z1z6w5m8tdcbcctfg&from=cornl&uid=ST320LM000XHM321HI_S26VJ9DC405788 FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\!346A40195BA29390EE609A43195DD840346A.js [2015-09-11] C:\END C:\Program Files (x86)\91DB45C0-1444506265-11B2-8000-EED33C9661DE C:\Program Files (x86)\CinemaPlus-3.2cV10.10 C:\Program Files (x86)\DailyPCClean C:\Program Files (x86)\DailyPcClean Support C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\gmsd_pl_005010109 C:\Program Files (x86)\Internet Speed Checker C:\Program Files (x86)\mozilla firefox\plugins C:\Program Files (x86)\MyBrowser C:\Program Files (x86)\ORBTR C:\Program Files (x86)\SearchProtect C:\Program Files (x86)\Sonic Train C:\Program Files (x86)\WordWizard_1.10.0.24 C:\Program Files (x86)\Common Files\1a0254e4-d458-47fa-82a0-6940ee729f6c C:\ProgramData\1a0254e4-d458-47fa-82a0-6940ee729f6c C:\ProgramData\DAEMON Tools Pro C:\ProgramData\TEMP C:\Users\EWA\AppData\Local\{D2620FFE-6DF4-4327-B074-7737EC4E2466} C:\Users\EWA\AppData\Local\BIT5446.tmp C:\Users\EWA\AppData\Local\bvxvgxvyy C:\Users\EWA\AppData\Local\cache C:\Users\EWA\AppData\Local\DailyPcClean Support C:\Users\EWA\AppData\Local\gmsd_pl_005010109 C:\Users\EWA\AppData\Local\globalUpdate C:\Users\EWA\AppData\Local\Google\Chrome C:\Users\EWA\AppData\Local\MyBrowser C:\Users\EWA\AppData\Local\SearchProtect C:\Users\EWA\AppData\Local\Total Download C:\Users\EWA\AppData\Roaming\vSZQqQzcPrmmRtUGAWSKsH C:\Users\EWA\AppData\Roaming\zpB2DlCPDhOU0FuvCBzE0S C:\Users\EWA\AppData\Roaming\DAEMON Tools Pro C:\Users\EWA\AppData\Roaming\DailyPCClean C:\Users\EWA\AppData\Roaming\dlg C:\Users\EWA\AppData\Roaming\istartsurf C:\Users\EWA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\EWA\AppData\Roaming\OpenCandy C:\Users\EWA\Documents\DailyPCClean C:\Users\EWA\Downloads\*-dp*.exe C:\Windows\System32\drivers\{078ad437-dc9f-4228-9edb-b3d1c0246ff8}Gw64.sys C:\Windows\System32\drivers\{2bf1e193-df72-4e3c-9f15-d1dc6e2f810f}Gw64.sys C:\Windows\System32\drivers\{2fc9157e-7b3c-4ebf-95d1-57a9fdf20894}Gw64.sys C:\Windows\System32\drivers\{a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64.sys C:\Windows\system32\Drivers\SPPD.sys C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 C:\Windows\Tasks\SCHEDLGU(*).TXT Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f CMD: netsh advfirewwall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też plik fixlog.txt.

Przepinanie do innego portu to przypadek. Dane się pojawiły, bo została wykonana automatyczna naprawa chkdsk (czyli to samo co zadałam do uruchomienia ręcznie) i tak jak mówiłam powstał ukryty folder FOUND ze ścinkami wadliwych danych: [06/11/2015 - 22:40:44 | SHD] - J:\found.000 Na dodatek, wszystkie wirusy zostały przywrócone. Czyli należy wyczyścić urządzenie. Otwórz Notatnik i wklej w nim: RemoveDirectory: J:\$RECYCLE.BIN RemoveDirectory: J:\found.000 RemoveDirectory: J:\msdownld.tmp RemoveDirectory: J:\Recycled RemoveDirectory: J:\RECYCLER RemoveDirectory: J:\System Volume Information CMD: attrib /d /s -s -h -r J:\* CMD: del /q J:\*.exe CMD: del /q J:\*.scr Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Zgłoszenia te produkują pozostawione przez niedokładne wyczyszczenie adware dwa szkodliwe zadania w Harmonogramie, kierujące na katalog "Installer". Przypuszczalnie nie jest to jednak powiązane z powyższym. Prędzej można obstawiać stary ESET (komponenty z 2013) i będzie usuwany. Akcje do wdrożenia: 1. Odinstaluj stare wersje: Adobe Reader X (10.1.16) - Polish, Adobe Shockwave Player 11.6, ESET NOD32 Antivirus, Java 7 Update 67. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKU\S-1-5-21-2247296619-1886198515-484620822-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=170 BHO: plushd8.1 -> {11111111-1111-1111-1111-110511111108} -> C:\Program Files\plushd8.1\plushd8.1-bho.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.21.135\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.21.99\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.25.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.27.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{29A96789-9595-4947-BEDB-0FCC776F7DB8}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.2.183.39\goopdate.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.23.9\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.28.1\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.21.145\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.21.123\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.21.153\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.28.13\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.24.15\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.22.3\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.21.165\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.26.9\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.21.115\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.25.11\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.22.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.21.111\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.24.7\psuser.dll => Brak pliku Task: {03890080-37D3-40E8-9638-59F19C7FAE30} - System32\Tasks\{3713C587-D7E6-4C68-931E-599CB1C6C1AB} => pcalua.exe -a "D:\Turbo C++ - instalka\Install.exe" -d "D:\Turbo C++ - instalka" Task: {7ED82D96-50C4-490C-8F87-175DC66BAE94} - System32\Tasks\Installer_iwebar => C:\Users\Compaq\AppData\Local\Installer\Installiwebar_1831\ytdieamodc_amodc_inst.exe [2015-11-01] () Task: {AAF7BB48-02FF-42FF-9B2C-69A9D63614F4} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe Task: {DAF718DF-FBED-473E-A0CF-5EDDA64E1459} - System32\Tasks\Installer_cr => C:\Users\Compaq\AppData\Local\Installer\Installcr_14183\ytdieamodc_amodc_inst.exe [2015-11-01] () C:\Program Files\GUT31C.tmp C:\Program Files\360 C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\JWMiniProJ C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\A-SWDE C:\Users\Compaq\AppData\Local\{C9C72F75-E1D5-4583-83EC-48D884231316} C:\Users\Compaq\AppData\Local\CrashRpt C:\Users\Compaq\AppData\Local\Installer C:\Users\Compaq\AppData\Local\Mozilla C:\Users\Compaq\AppData\Local\Sparta C:\Users\Compaq\AppData\Roaming\Mozilla C:\Users\Compaq\AppData\Roaming\Shortcut C:\Users\Compaq\AppData\Roaming\sparta111 C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MSC" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Compaq\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy nastąpiła poprawa. PS. Odpowiadasz już oczywiście w nowym poście.

EDIT: ślepota, FRST już je usunął w pierwszym podejściu. Wykreśliłam z Fixa duplikaty. Pendrive jak najbardziej wchodzi w grę. Potencjalne zagrożenie to zainfekowanie przez wirusa plików na pendrive.

Wszystko zrobione zgodnie z planem. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

1. Tak, te pliki BAT otwierają rosyjską stronę pagego.ru. Okazuje się, że także są zainfekowane skróty Thе Еldеr Sсrоlls V - Skyrim. Co więcej, wszystkie skróty kierujące do BAT okazują się być sztucznie dorobione przez infekcję, a nie jak pierwotnie sądziłam oryginały przekierowane na BAT. Otóż nazwy tych skrótów wyglądają "normalnie" tylko w pliku Shortcut.txt (zapisany w UTF-8) oraz w moim poście (forum również chodzi w UTF-8), ale już po wklejeniu do Fixlist (zapisany w ANSI) zostały przerobione na pytajniki. To oznacza, że nazwy zawierają falsyfikaty znaków dobrane z puli Unicode, graficznie odpowiadające określonym literom, ale nie będące nimi. C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\G??gl? ?hr?m?.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\??zill? Fir?f??.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\G??gl? ?hr?m?.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\L?un?h Int?rn?t ??pl?r?r ?r?ws?r.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\G??gl? ?hr?m?.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\??zill? Fir?f??.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Int?rn?t ??pl?r?r (N? ?dd-?ns).lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Int?rn?t ??pl?r?r.lnk C:\Users\Public\Desktop\G??gl? ?hr?m?.lnk Poprawki. Otwórz Notatnik i wklej w nim: Task: {0691E637-83ED-4867-B581-86184987CA74} - \Update Service for Torrent Search2 -> Brak pliku Task: {F9674D27-CED6-4653-9F83-69DE737658E8} - System32\Tasks\Update Service for Torrent Search => C:\Program Files\Torrent Search\aH8A6wF.exe Task: C:\Windows\Tasks\Update Service for Torrent Search.job => C:\Program Files\Torrent Search\aH8A6wF.exe C:\ProgramData\ntuser.pol C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda\The Elder Scrolls V - Skyrim\Тhе Еldеr Sсrоlls V - Skyrim.lnk C:\Users\Public\Desktop\Тhе Еldеr Sсrоlls V - Skyrim.lnk C:\Users\Admin\Downloads\Niepotwierdzony*.crdownload D:\Gry\The Elder Scrolls V - Skyrim\Launcher.bat CMD: dir /a "C:\Program Files\Google\Chrome\Application" CMD: dir /a "C:\Program Files\Internet Explorer" CMD: dir /a "C:\Program Files\Mozilla Firefox" CMD: dir /a "D:\Gry\The Elder Scrolls V - Skyrim" Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. Przedstaw go. 2. Niestety podejrzenie się sprawdziło. Wirus Ramnit jest aktywny. Wpis Userinit oraz plik ExplorerSrv.exe wróciły natychmiast po usunięciu. To oznacza, że sukcesywnie są niszczone pliki wykonywalne Windows i programów. Proszę zastartuj z płyty Kaspersky Rescue Disk i uruchom skaner antywirusowy. Jeśli skaner nie będzie w stanie czegoś wyleczyć, wyrzucaj pliki. Nie może zostać ani jeden zainfekowany. Domyślnie nie jest zapisywany raport w formie trwałej. Jeśli nie będziesz w stanie zapisać wyników w postacui TXT, porób zrzuty ekranu z karty Reports tak by było widać wszystko co zostało zaadresowane. 3. Po wszystkim zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition i Shortcut. Przedstaw także wyniki skanowania Kasperskym.

DelFix wykonał co należy. Skasuj z dysku plik C:\delfix.txt. Załóż nowy temat dla porządku.

Widać aktywne komponenty adware Torrent Search oraz odpadki po MyBrowser, a wszystkie skróty przeglądarek kierują na jakieś pliki BAT (to odpowiada opisowi z cmd i ruską stroną): Shortcut: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе Сhrоmе.lnk -> C:\Program Files\Google\Chrome\Application\chrome.bat () Shortcut: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk -> C:\Program Files\Internet Explorer\iexplore.bat () Shortcut: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk -> C:\Program Files\Google\Chrome\Application\chrome.bat () Shortcut: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Моzillа Firеfох.lnk -> C:\Program Files\Mozilla Firefox\firefox.bat () Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk -> C:\Program Files\Mozilla Firefox\firefox.bat () Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.lnk -> C:\Program Files\Google\Chrome\Application\chrome.bat () Shortcut: C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk -> C:\Program Files\Google\Chrome\Application\chrome.bat () Shortcut: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk -> C:\Program Files\Internet Explorer\iexplore.bat () ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk -> C:\Program Files\Internet Explorer\iexplore.bat () -> -extoff Ale mam znacznie gorsze wieści. Reklamy mogą być problemem podrzędnym. W systemie są ślady wirusa Ramnit, który atakuje wszystkie pliki wykonywalne na wszyskich dyskach. Wejście należne do wirusa to: HKLM\...\Winlogon: [userinit] c:\windows\system32\userinit.exe,,c:\program files\microsoft\desktoplayer.exe ... oraz ten plik: 2015-10-09 16:05 - 2015-11-08 00:49 - 00056320 _____ (SOFTWIN S.R.L.) C:\Windows\ExplorerSrv.exe Jeśli wirus jest aktywny, wejścia są nieusuwalne, tzn. cały czas wracają. Nie wiadomo na razie czy wirus jest rzeczywiście aktywny i spróbuję zaadresować wszystko co widzę, ale rekonstrukcja modyfikacji Userinit to będzie czerwony alarm. Infekcję Ramnit bardzo trudno ubić, to się zwykle kończy globalnym formatem. Wstępnie wykonaj następujące akcje: 1. Odinstaluj stare wersje i zbędniki: Adobe Flash Player 10 ActiveX, HP Customer Participation Program 14.0, Java 8 Update 20, Java 8 Update 60, Java SE Development Kit 8 Update 20. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: type "C:\Program Files\Google\Chrome\Application\chrome.bat" CMD: type "C:\Program Files\Internet Explorer\iexplore.bat" CMD: type "C:\Program Files\Mozilla Firefox\firefox.bat" CMD: type "D:\Gry\The Elder Scrolls V - Skyrim\Launcher.bat" CMD: type C:\ProgramData\ntuser.pol CMD: type C:\Windows\system32\GroupPolicy\Machine\registry.pol R1 swsedrvr_vt_1_10_0_25; system32\drivers\swsedrvr_vt_1_10_0_25.sys [X] HKLM\...\Run: [] => [X] HKLM\...\Winlogon: [userinit] c:\windows\system32\userinit.exe,,c:\program files\microsoft\desktoplayer.exe Task: {0FD70C32-99B2-42C4-AD94-7F292329F9BF} - System32\Tasks\Update Service for Torrent Search2 => C:\Program Files\Torrent Search\aH8A6wF.exe [2015-10-09] () Task: {C401C558-7A50-420D-9AA0-F41DADA9D9A1} - System32\Tasks\Rerun service for Torrent Search => C:\Users\Admin\AppData\Local\Temp\TorrentSearch_restartonfail_exe\ts_10051.exe [2015-11-07] (Company Inc.) Task: {D709D175-8215-4D7E-A87F-A1C6511FE329} - System32\Tasks\MyBrowser => C:\Program Files\MyBrowser\MyBrowser\Application\utility.exe Task: C:\Windows\Tasks\MyBrowser.job => C:\Program Files\MyBrowser\MyBrowser\Application\utility.exe Task: C:\Windows\Tasks\Rerun service for Torrent Search.job => C:\Users\Admin\AppData\Local\Temp\TorrentSearch_restartonfail_exe\ts_10051.exe Task: C:\Windows\Tasks\Update Service for Torrent Search2.job => C:\Program Files\Torrent Search\aH8A6wF.exe GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKU\S-1-5-21-4127351139-3218798602-2645746064-1000 -> {14EFDE6B-62CA-4401-AF62-15BE2616AE74} URL = hxxps://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=435371&p={searchTerms} BHO: TSearch -> {6E727987-C8EA-44DA-8749-310C0FBE3C3E} -> C:\Program Files\Torrent Search\IEEF\ojUkrz57aC.dll [2015-10-09] () FF Session Restore: -> [funkcja włączona] FF Extension: TSearch - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\90i9q7et.default\Extensions\{6E727987-C8EA-44DA-8749-310C0FBE3C3E} [2015-11-07] [brak podpisu cyfrowego] FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-4127351139-3218798602-2645746064-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 C:\Torrentex C:\Program Files\Google\Chrome\Application\chrome.bat C:\Program Files\Internet Explorer\iexplore.bat C:\Program Files\microsoft C:\Program Files\Mozilla Firefox\firefox.bat C:\Program Files\Torrent Search C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk C:\Users\Admin\AppData\Local\MyBrowser C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе Сhrоmе.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MyBrowser.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Моzillа Firеfох.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk C:\Users\Admin\Downloads\Torrentex C:\Windows\ExplorerSrv.exe Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\swsesrvc_1.10.0.25" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SMSetup" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Operacje tyczące przeglądarek: ----> Wszystkie skróty przeglądarek zostały usunięte, więc odtwórz sobie na Pulpicie, Pasku zadań i Menu Start skróty. ----> Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Torrent Search, o ile sam nie zniknie po użyciu skryptu FRST. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. ----> Obecnie brak ustawionej domyślnej przeglądarki. Wybraną ustaw jako domyślną. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonymi polami Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się które problemy nadal występują.

Malware nie ma co szukać, to nie jest przyczyna problemów. Do wyczyszczenia byłyby tylko drobniutkie szczątki adware i wpisy puste, co nie ma obecnie znaczenia i na razie akcji nie ma po co wykonać. Powód jest następujący: To jest usterka sprzętowa. W Dzienniku zdarzeń w kółko powtarza się błąd złych bloków dysku: Dziennik System: ============= Error: (11/07/2015 06:28:31 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Error: (11/07/2015 06:28:16 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Error: (11/07/2015 06:28:13 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Error: (11/07/2015 06:28:10 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Error: (11/07/2015 06:28:03 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Error: (11/07/2015 06:28:01 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Error: (11/07/2015 06:27:59 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Error: (11/07/2015 06:27:58 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Temat przenoszę do działu Hardware, kto inny będzie go prawdopodobnie prowadził, gdyż ja nie jestem specjalistą sprzętowym. Dostarcz dane wymagane działem: KLIK. I już na wszelki wypadek skopiuj cenne dane z tego dysku na jakiś zewnętrzny nośnik, bo trudno przewidzieć czy nie nastąpi niespodziewana utrata danych oraz co dalej będzie z dyskiem.

Jeśli chodzi o Fixy, to nie ma pożądanych zmian i dziennik Comodo nie został usunięty. I tu chyba jest jakiś ogólny problem grubszego kalibru, bo nie tylko Dziennik Comodo nie chce się usunąć, ale także i prosty folder starego rozszerzenia .NET Framework Assistant. Być może te dwa zjawiska łączą się z tym: Te katalogi na razie nie są istotne, bo one najprawdopodobniej zaczną się i tak tworzyć na nowo, usunę je na szarym końcu. Na razie trzeba zdefiniować o co tu chodzi. Pytaniem jest: czy zalecone narzędzie AVG coś zdziałało? Podaj mi spis uprawnień przykładowych obiektów. Otwórz Notatnik i wklej: ListPermissions: C:\ ListPermissions: C:\Dbz0A5CD ListPermissions: C:\MSIab77c.tmp ListPermissions: C:\Program Files ListPermissions: C:\Program Files\AVG ListPermissions: C:\WINDOWS ListPermissions: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension ListPermissions: C:\WINDOWS\system32 ListPermissions: C:\WINDOWS\system32\config\COMODO I.evt Zapisz jako fixlist.txt. W FRST opcja Napraw. Restartu nie będzie. Dostarcz wynikowy fixlog.txt.

Czynności do wykonania: 1. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Avast SafePrice. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > ustaw Google jako domyślną oraz skasuj z listy search.delta-homes.com (o ile będzie widoczny). 2. Uruchom AdwCleaner ponownie. Tym razem zastosuj kombinację opcji Skanuj + Usuń. Dostarcz wynikowy log.

Ostatnia porcja zadań: 1. Do Notatnika wklej: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{7D3C47ED-E0BE-4940-9DDA-A7A097AEBD88} Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID /v {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Dostarcz wynikowy fixlog.txt. Po potwierdzeniu jego zawartości: 2. Usuń F:\Farbar. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

W systemie działa szkodliwa usługa MustangService_2015_10_10. Tak, EasyCalendar jest również powodem reklam, a jego usuwanie jest zablokowane za pomocą polityk Google. Druga sprawa, jest tu zainstalowany crack KMSPico, który wygląda na uszkodzony, więc trzeba będzie go odinstalować. Akcje do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj zbędniki, starszą wersję i naruszony crack: Adobe Flash Player 19 NPAPI, Adobe Flash Player 19 PPAPI, Adobe Reader 9.5.0 - Polish, Driver Booster 3.0, GeekBuddy, KMSpico v9.1.3. Te instalacje Adobe Flash nie są potrzebne, posiadasz Google Chrome, które ma wbudowany własny i nie korzysta z wymienionych wcale. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: type C:\ProgramData\ntuser.pol CMD: type C:\WINDOWS\system32\GroupPolicy\Machine\registry.pol Folder: C:\WINDOWS\SysWOW64\GroupPolicy S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer22.exe [236816 2015-11-02] (MustangService) S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S3 WinRing0_1_2_0; \??\D:\Programy\Game Booster 3\Driver\WinRing0x64.sys [X] S2 X5XSEx_Pr143; \??\C:\Program Files (x86)\Free Ride Games\X5XSEx_Pr143.Sys [X] HKU\S-1-5-18\...\Run: [Exetender] => "C:\Program Files (x86)\Free Ride Games\GPlayer.exe" /runonstartup Task: {6DB627A7-88B1-42BD-BAAD-C0E978452BC3} - System32\Tasks\Game_Booster_AutoUpdate => D:\Programy\Game Booster 3\AutoUpdate.exe Task: {AB5E88A3-73B3-43FD-BE46-DCB36255D33A} - System32\Tasks\AutoPico Daily Restart => C:\Program Files\KMSpico\AutoPico.exe Task: {CE7621B1-39E6-4169-97EB-2F696E4E7D59} - System32\Tasks\{0702B832-8C50-4A4E-A39C-C1C132FBC554} => pcalua.exe -a "C:\Users\Admi\Downloads\ZOO TYCOON 2 - WYMARŁE GATUNKI.exe" -d C:\Users\Admi\Downloads GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1446069580&z=d3320df65dba55ead301d81g8zcz5q9eeq1t9wcb8e&from=amt&uid=hgstxhts545050a7e380_te85134n0tw4ur0tw4urx&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1446069580&z=d3320df65dba55ead301d81g8zcz5q9eeq1t9wcb8e&from=amt&uid=hgstxhts545050a7e380_te85134n0tw4ur0tw4urx&q={searchTerms} SearchScopes: HKU\S-1-5-21-3822102861-3475623652-1124612162-1001 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = hxxp://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo DPF: HKLM-x32 {6A060448-60F9-11D5-A6CD-0002B31F7455} ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku C:\Program Files (x86)\29e423e1-950b-4b90-8c8e-e184997f307f C:\Program Files (x86)\96a7bc03-abfe-4be7-8cf3-3818fdb269ec C:\Program Files (x86)\mbot_pl_014010129 C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\*.bdinstall.bin C:\ProgramData\TempMoudleSet C:\ProgramData\TEMP C:\Users\Admi\AppData\Local\Google\Chrome\User Data\Default\Extensions\oggihoncmelambjaefiboekididcaffe.crx C:\Users\Admi\AppData\Local\Mozilla C:\Users\Admi\AppData\Local\Opera Software C:\Users\Admi\AppData\Roaming\ClassicShell\Pinned\DAEMON Tools Lite.lnk C:\Users\Admi\AppData\Roaming\DAEMON Tools Lite C:\Users\Admi\AppData\Roaming\Mozilla C:\Users\Admi\AppData\Roaming\Opera Software C:\WINDOWS\Tasks\ImCleanDisabled C:\WINDOWS\system32\FxsTmp C:\WINDOWS\system32\log C:\WINDOWS\system32\Drivers\etc\hp.bak Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SFAUpdater /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Smart File Advisor" /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż przeszkodzi FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Zrób więc nowy log USBFix z opcji Listing przedstawiający co obecnie jest na urządzeniu.

Fix FRST pomyślnie wykonany. FRST nie znalazł plików *.tmp w dllcache, może samoistnie zniknęły w międzyczasie. Wyczyść punkty Przywracania systemu, by pozbyć się starych które są już niezdatne (zawierają uszkodzone kopie) i nagraj nowy z bieżącego stanu. Dalsze plany rozpisane. Nie twierdziłam, że nie da się naprawić, ale twierdzę nadal że wynikowy stan systemu po świeżej instalacji byłby lepszy. - Są pewne koszty tego "sztukowania". W XP mechanizmy auto-naprawcze są dość słabe. Były robione kilkukrotne operacje cofania, które nie przyniosły pełnych rezultatów, a mogły zdesynchronizować dane na linii rejestr pliki. Dodatkowo, wymiana plików była tu konieczna, a przy nieznanym zakresie naruszeń musiał zostać uruchomiony globalny system weryfikacji. SFC w XP jest bardzo ograniczony i żąda określonego materiału, tożsamy stan SP nie jest wystarczający (nie są uwzględnione łaty późniejsze, skonstruowanie materiału wiernie odpowiadającemu faktycznemu stanowi aktualizacji graniczy z cudem). Naprawa tu wykonana mogła zdegradować określone aktualizacje systemu. - Nie jest pewne czy nie ma więcej baboli podobnych do już rozwiązanego aspektu .NET Framework, tylko w przedziale aplikacji wtórnych. SFC interesuje się tylko limitowaną pulą plików w określonych katalogach. - Na horyzoncie grubsze porządki w aplikacjach. Nie wiem. Usterka główna jest bardzo podejrzana (masowe uszkodzenia plików), w rozumieniu że prędzej to pasuje do awarii w strukturze plików, aniżeli ingerencji programu zewnętrznego. Wykonałeś już na własną rękę diagnostykę chkdsk i MHDD, więc nic więcej tu raczej nie wymyślę. Natomiast Comodo (jak zaznaczałeś, na dodatek martwy) mógłby być powodem innych błędów oraz problemem podczas wdrażania napraw blokując wykonanie pewnych procesów.

Raport FRST wykazuje korzystne zmiany. Masowy odczyt "Brak podpisu cyfrowego" ustąpił (pozostały tylko te rekordy, które realnie nie mają certyfikatu), także uprzednio pozbawione sygnatury Microsoftu pliki nie są już widoczne. Zniknęły błędy Repozytorium. Prawdopodobnie pijesz do "CBS.LOG". XP posiada prymitywny pierwowzór SFC i nie generuje w ogóle takiego raportu tekstowego. Jedynie w Dzienniku zdarzeń można znaleźć określone selektywne operacje. Dzienniki zostały wyczyszczone w celu nagrania tylko aktualnych błędów, obecnie brak rekordów relatywnych do operacji SFC. To w nowoczesnych systemach (Vista i wyżej) występuje znacznie potężniejsze narzędzie SFC, działające w inny sposób i nagrywające wyniki do C:\Windows\Logs\CBS\CBS.LOG. Zapomniałam, że padnie pytanie o zależności, które trzeba potwierdzać. Powinien zostać dodany przełącznik "cichy": net stop winmgmt /t (w wersji anglojęzycznej /y). W związku z tym nie wykonało się zatrzymanie usługi i FRST przesuwał komponenty przy restarcie (nie doszłoby do tego), a sam folder Repository per se nie został usunięty. Ta sprawa jest już jednak zamknięta. Mówiłeś, że to "Windows od kolegi", nie wiadomo co było w nim zmodyfikowane, ale wygląda na to, że naprawa SFC uaktywniła komponent Indeksowania dysku: KLIK. Log FRST sugeruje także, że ten XP miał wycięty cały katalog dllcache, gdyż masowo powstały w nim pliki. Reinstalacja Microsoft .NET Framework 4 ze świeżego instalatora, by wstawić poprawne pliki. SFC tego nie adresuje, gdyż .NET nie jest natywnym komponentem systemu. Pozostałe błędy: Dziennik System: ============= Error: (11/06/2015 07:07:01 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi HP Support Solutions Framework Service z powodu następującego błędu: %%5 Error: (11/06/2015 07:07:01 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi cpuz135 z powodu następującego błędu: %%2001 Error: (11/06/2015 07:07:01 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Sterownik portu równoległego z powodu następującego błędu: %%1058 1. Błąd numer jeden to "Odmowa dostępu". Stan obecny usługi "Zatrzymana". Przeinstaluj aplikację HP Support Solutions Framework. S2 HPSupportSolutionsFrameworkService; C:\Program Files\Hp\Common\HPSupportSolutionsFrameworkService.exe [89840 2015-03-28] () [brak podpisu cyfrowego] 2. Błąd numer dwa tyczy starego sterownika, zresztą bez certyfikatu. Odinstaluj CPUID CPU-Z. S2 cpuz135; C:\WINDOWS\system32\drivers\cpuz135_x32.sys [21992 2011-09-21] () [brak podpisu cyfrowego] 3. Pozostałe poprawki - Fix do FRST: CMD: sc config Parport start= disabled HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = S3 PROCEXP151; \??\C:\WINDOWS\system32\Drivers\PROCEXP151.SYS [X] AlternateDataStreams: C:\WINDOWS:{DA6227CB-326B-4B4D-9A81-04B61F1538DD} C:\WINDOWS\system32\dllcache\*.tmp RemoveProxy: Zaprezentuj wynikowy Fixlog.txt. 4. Na dalszą metę: - Czas przewertować zainstalowane programy i pozbyć się starych wersji. Przede wszystkim usuń NVIDIA ForceWare Network Access Manager - to problematyczny firewall nVidia, paczka z 2006. Poza tym, widać stare wersje Adobe i Java (luki!). - W Firefox odinstaluj dodatek Flashget Downloader Extension - to stare rozszerzenie i nie jest podpisane cyfrowo. Wkrótce Firefox zablokuje uruchamianie niepodpisanych cyfrowo dodatków.

Przedstaw nowe raporty FRST (włącznie z Addition) obrazujące pomyślność deinstalacji.

Wykonałeś skrypt sprzed mojej edycji (usunęłam duplikaty HKU). Ale w sumie wyniki końcowe są prawie tożsame. 1. Poprawka. System 64-bit, ciągle zapominam, że AdwCleaner niepoprawnie przedstawia klucze 64-bitowe. Kolejny skrypt do FRST: DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro 2. Na zakończenie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Dostarczony obrazek klaruje problem poziomu sprzętowego. Temat przenoszę do działu Hardware. Dostarcz kompleksowe dane wymagane działem: KLIK.