picasso

Tytuł tematu zmieniam, temat przenoszę do działu XP. Z raportów nic nie wynika konkretnego. Sugestie: 1. Sprawdź czy system się szybciej uruchamia na tzw. "czystym rozruchu": KLIK. 2. Powielają się błędy usług PDAgent + PDEngine aplikacji PerfectDisk 12.5 Professional, więc być może to jeden z programów do odrzutu. Dziennik System: ============= Error: (10/28/2015 07:49:21 PM) (Source: Service Control Manager) (EventID: 7026) (User: ) Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego: PCIIde Error: (10/28/2015 07:49:02 PM) (Source: 0) (EventID: 1) (User: ) Description: 0xC0000001HarddiskVolume3 Error: (10/28/2015 07:47:55 PM) (Source: Service Control Manager) (EventID: 7006) (User: ) Description: Wywołanie ScRegSetValueExW dla Start nie powiodło się i wystąpił następujący błąd: %%5. Error: (10/27/2015 07:23:21 PM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa PDEngine niespodziewanie zakończyła pracę. Wystąpiło to razy: 2. Error: (10/27/2015 07:23:20 PM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa PDAgent niespodziewanie zakończyła pracę. Wystąpiło to razy: 2. Error: (10/27/2015 06:05:28 PM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa PDEngine niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. Error: (10/27/2015 06:05:27 PM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa PDAgent niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. Error: (10/27/2015 05:34:17 PM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa PDEngine niespodziewanie zakończyła pracę. Wystąpiło to razy: 2. Error: (10/27/2015 05:34:16 PM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa PDAgent niespodziewanie zakończyła pracę. Wystąpiło to razy: 2. Error: (10/27/2015 05:34:16 PM) (Source: Service Control Manager) (EventID: 7011) (User: ) Description: Limit czasu (30000 milisekund) podczas oczekiwania na odpowiedź transakcji z usługi . 3. Instalacja Outpost Firewall Pro 9.0 też może być nie bez znaczenia.

Kolejna porcja czynności: 1. "Avast SafePrice" powinien być w opcjach wtyczki avast! Online Security. Tu poglądowy obrazek z wyszukiwania Google: 2. W przystawce certmgr.msc skasuj pozycję cloudguard.me. To element dodany przez infekcję "DNS Unlocker". 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Logi uzupełnione. Kolejną odpowiedź już oczywiście umieszczaj w nowym poście. Czy to na pewno jedyny system do którego były podpinane pendrivy? Ten system nie ma oznak infekcji która modyfikuje urządzenia zewnętrzne. Są tu tylko źle wyczyszczone infekcje adware, nie powiązane kompletnie z problemem. Czegoś tu brakuje w opisie lub jest jakieś niedopowiedzenie. Jest niemożliwym, że nie pomógł format pendrive, jeśli były podpinane tylko pod tu widziany system wyglądający na czysty (czyli brak reloadera infekcji) Na razie doczyść adware widoczne w podanych raportach: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {db4225e9-90b8-4ca5-99da-da423e504d3d}Gw; C:\Windows\System32\drivers\{db4225e9-90b8-4ca5-99da-da423e504d3d}Gw.sys [43160 2014-12-19] (StdLib) S2 Update Faster Light; "C:\Program Files\Faster Light\updateFasterLight.exe" [X] Task: {A52FE5C9-07EB-47BC-9AC4-F675B8D559E4} - System32\Tasks\{D426F572-6FDB-4A32-8CE0-C8E61DB3DA57} => pcalua.exe -a C:\Users\Tasman\AppData\Roaming\do-search\UninstallManager.exe -c -ptid=cor CustomCLSID: HKU\S-1-5-21-3801550805-1027873224-2403691916-1000_Classes\CLSID\{0B4AA204-AB61-47E3-B5B4-27DCF375EBAC}\localserver32 -> "CDStart.exe" => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=1429806945&from=cor&uid=WDCXWD800JD-22MSA1_WD-WMAM9HN5690256902&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1429806945&from=cor&uid=WDCXWD800JD-22MSA1_WD-WMAM9HN5690256902&q={searchTerms} FF HKLM\...\Firefox\Extensions: [quick_searchff@gmail.com] - C:\Users\Tasman\AppData\Roaming\Mozilla\Firefox\Profiles\814s1pz1.default\extensions\quick_searchff@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Users\Tasman\AppData\Roaming\Mozilla\Firefox\Profiles\814s1pz1.default\extensions\sweetsearch@gmail.com => nie znaleziono C:\Windows\System32\drivers\{db4225e9-90b8-4ca5-99da-da423e504d3d}Gw.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Poproszę też o tymczasowe wyłączenie antywirusa, podpięcie pendrive (nie wchodź na te urządzenia) i zrobienie raportu USBFix z opcji Listing.

Adware widać w obu przeglądarkach: - Firefox: m.in. rozszerzenie Treasure Track oraz przekierowania coldsearch. - Google Chrome: polityki blokujące coś (prawdopodobnie wymuszanie instalacji rozszerzenia) oraz rozszerzenie EasyCalendar kojarzone z przemocową niechcianą instalacją i adware. Wstępnie następujące działania do przeprowadzenia: 1. Odinstaluj starsze wersje: Adobe Flash Player 18 NPAPI, Java 8 Update 60. Najnowsze zainstalujemy na szarym końcu. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKLM\...\Chrome\Extension: [oggihoncmelambjaefiboekididcaffe] - C:\Users\Daniel\AppData\Local\Google\Chrome\User Data\Default\Extensions\oggihoncmelambjaefiboekididcaffe.crx HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKLM -> DefaultScope - brak wartości HKU\S-1-5-21-1806367350-3854054699-814416073-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Daniel\AppData\Local\Akamai\netsession_win.exe" S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] Task: {22E0D0DE-C7EC-4030-B842-1F124722117F} - \882E83C2-451B-4139-8222-6882EE60E9F0 -> Brak pliku Task: {42D8D011-09EC-49D1-9257-663897D620DC} - System32\Tasks\{DE584B58-FB92-4BE3-878F-E194F25A56DB} => Chrome.exe Task: {7134F2D2-3F55-4A2E-9F7C-0BDA5F2EEE50} - \SPDriver -> Brak pliku Task: {A73B2644-86D5-4B7E-82B7-113EA8959A96} - \ShopperPro -> Brak pliku Task: {B1079BD4-A7FB-4BE0-A39C-B76B2C8C67D8} - \SPBIW_UpdateTask_Time_313939333834343139382d374a55414134502a576c4a5a -> Brak pliku Task: {BF11E042-E640-4DC2-8997-7AB403973D7D} - \SmartWeb Upgrade Trigger Task -> Brak pliku DisableService: PLAY INTERNET. RunOuc C:\$360Section C:\Program Files\13449b60-c1b6-4d87-883d-e495bae6e576 C:\Program Files\360 C:\Program Files\Opera C:\ProgramData\360Quarant C:\ProgramData\adb C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mirillis C:\Users\Daniel\AppData\Local\882E83C2-451B-4139-8222-6882EE60E9F0 C:\Users\Daniel\AppData\Local\CrashRpt C:\Users\Daniel\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\Daniel\AppData\Local\Opera Software C:\Users\Daniel\AppData\Roaming\GoldenGate C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Windows Explorer (2).lnk C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Windows Media Player (2).lnk C:\Users\Daniel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\帮5淘 C:\Users\Daniel\AppData\Roaming\Opera Software C:\Users\Daniel\AppData\Roaming\Shortcut C:\Users\Daniel\AppData\Roaming\Tibia C:\Users\Public\QiYi C:\Windows\system32\Drivers\etc\hp.bak Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Wyłącz COMODO, gdyż przeszkodzi FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj EasyCalendar. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Daniel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się dokładnie czy problemy nadal występują, a jeśli to w której przeglądarce. PS. Odpowiadasz mi już oczywiście w nowym poście, nie edytuj poprzedniego.

1. Wg raportów nie zostało wykonane czyszczenie Firefox, nadal widać stary profil z adware. Opcja Odśwież program Firefox tworzy nowy czysty profil. To nadal do wykonania. 2. Po wykonaniu w/w operacji zrób nowy raport FRST na następującym ustawieniu: odznacz pole Filtrowanie dla sekcji Internet, nie zaznaczaj pól Addition i Shortcut.

Wszystko wykonane. Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2615079214-517858906-3610730154-1000\...\Run: [Flvto Youtube Downloader] => "C:\Users\Marek\AppData\Local\Flvto Youtube Downloader\FlvtoYoutubeDownloader.exe" /minimize BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => Brak pliku FF Plugin: @java.com/DTPlugin,version=10.5.0 -> C:\Windows\system32\npDeployJava1.dll [2012-06-24] (Oracle Corporation) FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Mozilla Firefox (3.6.16)" /f CMD: del /q C:\dvmexp.idx RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Marek\AppData\Local\Flvto Youtube Downloader RemoveDirectory: C:\Users\Marek\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. Przedstaw go. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj, a po tym Usuń. Powstanie folder i dostarcz log wynikowy z folderu C:\AdwCleaner

Element, ale podane wcześniej czyszczenie systemu nadal aktualne. Dostarcz końcowe nowe raporty z FRST.

Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\ArenaHD DeleteKey: HKCU\Software\Crossbrowse DeleteKey: HKCU\Software\GlobalUpdate DeleteKey: HKCU\Software\HighDefAction DeleteKey: HKCU\Software\Kozaka DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\YorkNewCin DeleteKey: HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-21-4212178081-510564998-173580646-1001\Software\BabylonToolbar DeleteKey: HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-21-4212178081-510564998-173580646-1001\Software\DataMngr DeleteKey: HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-21-4212178081-510564998-173580646-1001\Software\SweetIM DeleteKey: HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-21-4212178081-510564998-173580646-1001\Software\vShare DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKLM\SOFTWARE\ArenaHD DeleteKey: HKLM\SOFTWARE\HighDefAction DeleteKey: HKLM\SOFTWARE\YorkNewCin DeleteKey: HKLM\SOFTWARE\Classes\Interface\{EAC7DE5C-9520-435D-91AA-4A02E4773CEA} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\amiupdaterExd DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\amiupdaterExi DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WarThunder sun DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WarThunder sat DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WarThunder24 DeleteKey: HKLM\SOFTWARE\Wow6432Node\AppDataLow\SOFTWARE\Crossrider DeleteKey: HKLM\SOFTWARE\Wow6432Node\AppDataLow\SOFTWARE\_CrossriderRegNamePlaceHolder_ DeleteKey: HKLM\SOFTWARE\Wow6432Node\ArenaHD DeleteKey: HKLM\SOFTWARE\Wow6432Node\Crossbrowse DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\GlobalUpdate DeleteKey: HKLM\SOFTWARE\Wow6432Node\HighDefAction DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\Kozaka DeleteKey: HKLM\SOFTWARE\Wow6432Node\NetTcpHandler DeleteKey: HKLM\SOFTWARE\Wow6432Node\NtSvcHandler DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SOFTWARE\Wow6432Node\YorkNewCin DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\dream.capture.1 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\dream.capture DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{117270FA-48AC-45BB-9171-B63D1B42A910} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{EAC7DE5C-9520-435D-91AA-4A02E4773CEA} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{B0660298-91AA-421F-BF0D-BFF6BB8BF3AE} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GLOBALUPDATE.EXE DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\NetTcpHandler DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro DeleteKey: HKU\S-1-5-18\Software\vShare DeleteKey: HKU\S-1-5-18\Software\AppDataLow\Software\_CrossriderRegNamePlaceHolder_ DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{043C5167-00BB-4324-AF7E-62013FAEDACF} DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{043C5167-00BB-4324-AF7E-62013FAEDACF} CMD: del /q C:\Users\Diana\daemonprocess.txt Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. Przedstaw go. 2. Uruchom Hitman Pro. Zrób tylko skan i dostarcz wyniki.

lachu88 Format nie jest konieczny, ale decyzja należy do Ciebie. Obecnie nie ma śladów czynnej infekcji i można po prostu doczyścić drobne odpadki oraz zaszyfrowane pliki. Zaszyfrowane pliki są także w różnych katalogach zainstalowanych aplikacji i ich usunięcie spowoduje pewne mniejsze ubytki (niekonieczne przekładające się na jednak na uszczerbek w działaniu, brak obrazka bądź odnośnika tekstowego nie jest kluczowy). Jeśli zdecydujesz, że doczyszczamy, to podejmę się tego. Za wiele tu nie wymyślę. Chk-Back działa na raczej prostej zasadzie: na podstawie identyfikacji nagłówków plików odciętych przez chkdsk stara się po prostu zmienić nazwy plików w FOUND na pierwotne. To niekoniecznie przekłada się na odzysk danych. Jak zaznaczałam, im bardziej uszkodzony materiał wyjściowy, tym gorsze rezultaty, tzn. pliki mogą być niekompletne (nieotwieralne lub np. obrazy pokazujące tylko kawałek). Stosowałeś różne programy do odzysku danych. Mógłbyś na pendrive sprawdzić jeszcze PhotoRec. PayDay Nazwa "CryptoLocker" (to jest inna linia szyfrująca) pojawia się w kontekście infekcji TeslaCrypt, gdyż TeslaCrypt może udawać infekcję CryptoLocker, co jest przedstawione dobrze w jednym z linków (securelist.com) podanych przez lachu88. Zostały podane raporty z FRST, które precyzyjnie pokazują jaki jest stan obecny. Infekcja nie jest czynna i nie ma jej śladów (są ślady innych śmieci). A czy są jakieś odpadki w konkretnych miejscach które podajesz, to widać w sekcjach "Files in the root of some directories" (obejmuje root, ProgramData, AppData, LocalAppdata, CommonFiles, ProgramFiles) oraz "Some content in TEMP" (tej nie widać w raporcie, bo nie wykryto żadnych plików wykonywalnych bezpośrednio w TEMP).

Pierwszy post > Edytuj > Użyj pełnego edytora> poprawić pole tytułu na problem zasadniczy ... o ile tu jest jakiś problem, bo ten tekst sugeruje raczej niezrozumienie o co chodzi z "fixlist": Nie za bardzo rozumiem ten wątek. Podstawą analizy jest określenie problemu z jakim mam do czynienia i w zależności od tego dobiera się stosowne metody naprawcze. Analiza raportów wymaga potężnej wiedzy o Windows i programach oraz infekcjach, i nie polega ona na tworzeniu "fixlist". Plik "fixlist" to tylko konsekwencja ustalenia co naprawiam i w jaki sposób. Przy jego budowie nie ma żadnej ogólnej "matrycy". Plik "fixlist" może lecz nie musi być podany, wszystko zależy od tego co widać w raportach i z jakim problemem mam do czynienia. Dodam też, że doszło do choroby, głównie notowalnej na polskich portalach, gdzie są robione dziwne pliki Fixlist w ogóle z pominięciem adresowania problemów zasadniczych, często zawierające też niezrozumiałe decyzje. Mnie aż głowa boli od tego w jaki sposób posługują się FRST. Twoja sytuacja jest następująca: Pytam jaki masz problem, bo tu raporty wykazują, że nie mam się czym zajmować.

Próbowałam deinstalacji tylko na jednym zgłaszanym wejściu, by sprawdzić czy da radę. Ale problem będzie z prawie wszystkimi instancjami Creative, bo mają podobną komendę deinstalacji kierującą w to samo miejsce. Problem zdaje się być podwójny: błędne składnie bez poprawnych zamknięć (to da się skorygować) oraz brak powiązanego pliku Ctor.dll na dysku (a to już oznacza grubsze uszkodzenie). Wg FRST folder gdzie ma być plik używany w komendzie deinstalacyjnej nawet nie istnieje na dysku. Jeszcze na wszelki wypadek podaj szukanie na ten plik czy on nie siedzi w jakimś innym katalogu. Uruchom FRST, w polu Szukaj wklej ctor.dll, klik w Szukaj plików i dostarcz wynikowy log.

rasa, zasady działu: KLIK. Proszę popraw tytuł tematu oraz pierwszy post opisując jaki jest problem.

Jeśli i to zwraca błąd, to może rzeczywiście nie ma na dysku potrzebnego modułu. Podaj spis katalogu, w którym jest spodziewany potrzebny plik. Do Notatnika wklej: Folder: C:\PROGRA~2\COMMON~1\INSTAL~1 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

O której przeglądarce mowa? Wg raportów adware jest głównie w Firefox (rozszerzenie deskCut i przekierowania globasearch.com). Jeśli problem jest jednak w Google Chrome, to jest tu grubsza sprawa niewykrywalna w raportach. Na razie przeprowadź działania tyczące tego co widać (odpadki adware, puste skróty, stare wersje): 1. Odinstaluj stare wersje i zbędniki: Adobe AIR, Adobe Flash Player 11 ActiveX, Adobe Flash Player 16 NPAPI, Adobe Reader X (10.1.16), HP Deskjet 2050 J510 series Badanie ulepszeń produktu, Java 7 Update 51, Malwarebytes Anti-Malware wersja 1.70.0.1100. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.globasearch.com/?serie=219&b=3&installkey=R205ERhakGhveLWemg10 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-2801442270-617576118-1268728334-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.globasearch.com/?serie=219&b=3&installkey=R205ERhakGhveLWemg10 SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.globasearch.com/?serie=219&installkey=R205ERhakGhveLWemg10&b=3&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.globasearch.com/?serie=219&installkey=R205ERhakGhveLWemg10&b=3&q={searchTerms} SearchScopes: HKU\S-1-5-21-2801442270-617576118-1268728334-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.globasearch.com/?serie=219&installkey=R205ERhakGhveLWemg10&b=3&q={searchTerms} SearchScopes: HKU\S-1-5-21-2801442270-617576118-1268728334-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.globasearch.com/?serie=219&installkey=R205ERhakGhveLWemg10&b=3&q={searchTerms} FF Plugin-x32: @esn/npbattlelog,version=2.3.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.3.2\npbattlelog.dll [brak pliku] FF Plugin HKU\S-1-5-21-2801442270-617576118-1268728334-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\lms6c6ux.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\lms6c6ux.default\extensions\deskCutv2@gmail.com CustomCLSID: HKU\S-1-5-21-2801442270-617576118-1268728334-1000_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\user\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay => Brak pliku CustomCLSID: HKU\S-1-5-21-2801442270-617576118-1268728334-1000_Classes\CLSID\{4CEEAF57-0208-4CA4-A473-914C2D2FFC23}\InprocServer32 -> C:\Program Files (x86)\trademanager\AliIMX_64.dll (Alibaba software (Shanghai) Corporation.) CustomCLSID: HKU\S-1-5-21-2801442270-617576118-1268728334-1000_Classes\CLSID\{5D09DD40-CDC4-4C56-B615-0D1E3B357C2B}\InprocServer32 -> C:\Program Files (x86)\trademanager\AliIMX_64.dll (Alibaba software (Shanghai) Corporation.) CustomCLSID: HKU\S-1-5-21-2801442270-617576118-1268728334-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\user\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku Task: {0622AF78-ACE7-4A95-BE85-7869F9179CA3} - System32\Tasks\{1637B148-C28D-4152-A2EF-39A6958E2DBB} => pcalua.exe -a C:\Users\user\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {0FB7767F-E8A8-4272-A8C6-2DAAC291CD8F} - System32\Tasks\Bluetooth Driver Installer => C:\Users\user\AppData\Local\Temp\is-DICJV.tmp\prsetup.exe Task: {2F73A655-D0CD-4EFF-B94A-48C217BC0CFC} - System32\Tasks\{0F6FBBFD-CA66-4932-AA2A-C95445E8D65D} => pcalua.exe -a C:\PROGRA~2\NEOSTR~1\INSTAL~1.EXE -d C:\PROGRA~2\NEOSTR~1 -c ListeModeAcces=ADSLUSB,DriverADSLUSB=SAGEMFAST800USB Task: {4359FADE-6554-445C-B55D-ADBFF375FA38} - System32\Tasks\{3FD652C8-0550-4621-ADED-F1594D03438A} => pcalua.exe -a C:\Users\user\AppData\Local\Temp\Temp1_pbsetup.zip\pbsetup.exe Task: {96D22DB1-2AF3-44F9-9B95-9727D2508A34} - System32\Tasks\{20907C6A-E91E-44C5-8FA1-9866AB1E7512} => pcalua.exe -a C:\Users\user\AppData\Local\Temp\Temp1_pbsetup(1).zip\pbsetup.exe Task: {C8009093-7B10-4B29-8928-639C68C26043} - System32\Tasks\{7C88FE9E-D567-424D-87EF-900FFC98B4A4} => Chrome.exe hxxp://ui.skype.com/ui/0/7.2.0.103/pl/abandoninstall?source=lightinstaller&page=tsBing Task: {D12D064A-721D-4536-AAFE-4427A8DAA7D4} - System32\Tasks\elbyExecuteWithUAC => D:\Program Files (x86)\VirtualCloneDrive\ExecuteWithUAC.exe Task: {D3B9F7A2-57B0-49A9-9AEC-E921197A1B4B} - System32\Tasks\{6C801717-2CD4-4BB5-A327-5D364EB83B0B} => d:\Program Files (x86)\CorelDRAW Graphics Suite X4\Programs\CorelDRW.exe Task: {E98E411D-60D0-48B5-8429-CEA8F46C5E7C} - System32\Tasks\{215362C5-7A22-492D-BAC0-E0E51DABD6D7} => C:\gjetea\gta_sa.exe Task: {FC290702-7387-49A7-835A-B613BF6246BF} - System32\Tasks\{A867C7D9-6898-4670-83F5-2CCEA6B32EB4} => Chrome.exe hxxp://ui.skype.com/ui/0/6.11.59.102/pl/abandoninstall?page=tsBing S3 BRSptStub; "C:\ProgramData\BitRaider\BRSptStub.exe" [X] S3 BRDriver64_1_3_3_E02B25FC; \??\C:\ProgramData\BitRaider\support\1.3.3\E02B25FC\BRDriver64.sys [X] S1 wafd_vt_1_10_0_20; system32\drivers\wafd_vt_1_10_0_20.sys [X] S3 XFDriver64; \??\C:\Program Files (x86)\Xfire2\XFDriver64.sys [X] C:\Program Files (x86)\trademanager C:\ProgramData\vsloops.pad C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nero\Instrukcje C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LED Center C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LedshowTW 2013 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LedshowTW 2013 Simple C:\Users\user\Gadu-Gadu 10.lnk C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{A6720810-D74A-463A-BA2F-26AC61298A7F} C:\Users\user\AppData\Roaming\default.rss C:\Users\user\Downloads\Bluetooth*.exe C:\Users\user\Downloads\SkypeWebPlugin (*).msi Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też plik fixlog.txt. Wypowiedz się dokładnie czy nadal są problemy i w której przeglądarce.

Zrobiłeś listę zanim poprawiłam jedną z komend, ale akurat nie tego programu który zgłaszasz jako wadliwy, więc to nie ma już znaczenia. Ten program ma następującą składnię deinstalacyjną: UninstallString REG_SZ RunDll32 C:\Program Files (x86)\Common Files\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{AF229311-D6FD-4ED5-A446-9C44B96380A9}\setup.exe" -l0x15 /remove Wygląda na to, że problem stanowi zakreślony brak zamknięcia pierwszej części komendy, dlatego na błędzie figuruje urwanie do "C:\Program". Sprawdź czy da się uruchomić deinstalację po "poprawce" składni (zmiana na 8+3). Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej: RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{AF229311-D6FD-4ED5-A446-9C44B96380A9}\setup.exe" -l0x15 /remove ENTER

1. Na koncie żony nie ma nic widocznego. Tu tylko drobna operacja w Google Chrome: Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy śmieci qone8.com, odin.softonic.pl, qone8. Skasuj też FRST i jego logi z Pulpitu. 2. Przełącz się na konto Artek. Skasuj cały folder frst z Pobranych. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Na razie jeszcze czyścimy. O antywirusach na końcu. Podejrzewałam, że został zastosowany bardzo stary AdwCleaner (v3.017), w przeciwnym wypadku część z widocznych obiektów adware (ale z wyłączeniem tytułowego problemu) byłaby usunięta. Proszę przez SHIFT+DEL skasuj folder C:\AdwCleaner, następnie pobierz najnowszą wersję z przyklejonego: KLIK. Wybierz opcję Skanuj (nic nie usuwaj) i dostarcz wynikowy log.

Poprawki: 1. Nie zostały odinstalowane programy Adobe AIR, Safari. Adobe AIR jest dostępny w nowszej wersji 19. A Safari to stara niełatana przeglądarka, nie ma szans na aktualizacje zabezpieczeń. 2. Otwórz Notatnik i wklej w nim: S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => Brak pliku FF Plugin-x32: @java.com/DTPlugin,version=10.7.2 -> C:\Windows\SysWOW64\npDeployJava1.dll [2012-10-20] (Oracle Corporation) FF Plugin-x32: @java.com/JavaPlugin -> C:\Program Files (x86)\Java\jre6\bin\new_plugin\npjp2.dll [brak pliku] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\FoxTabPDFConverter RemoveDirectory: C:\ProgramData\Kaspersky Lab RemoveDirectory: C:\Users\Diana\Documents\Alcohol 120% CMD: del /q C:\Users\Diana\Documents\ax_files.xml CMD: netsh advfirewall reset Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\FIEXPLORE.EXE /f Reg: reg add HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command /ve /t REG_SZ /d "\"C:\Program Files\Internet Explorer\iexplore.exe"" /f Reg: reg add HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command /ve /t REG_SZ /d "\"C:\Program Files (x86)\Opera\Launcher.exe"" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. Przedstaw go. 3. Był tu też używany AdwCleaner, ale mam silne wątpliwości co to była za wersja. Dostarcz logi z folderu C:\AdwCleaner. "Odczyt" raportów wynika po prostu z wiedzy o Windows, budowie programów, etc. Sam log FRST to tylko pomoc przedstawiająca te dane w uproszczonym formatowaniu. Nie ma "instrukcji obsługi" do analizy. Jest instrukcja obsługi FRST, ale to tylko opis możliwości co potrafi program.

Komunikat świadczy o uszkodzeniu instalacji lub złej ścieżce deinstalacyjnej w rejestrze. O której pozycji mowa, tej ostatniej? ==================== Zainstalowane programy ====================== Automatyczna aktualizacja oprogramowania Creative (HKLM-x32\...\Creative Software AutoUpdate) (Version: 1.41 - Creative Technology Limited) Creative Live! Central 3 (HKLM-x32\...\Creative Live! Central 2) (Version: 3.01.28 - Creative Technology Ltd) Informacje o systemie Creative (HKLM-x32\...\SysInfo) (Version: 1.10 - Creative Technology Limited) Live! Cam Sync HD VF0770 Driver (1.00.02.00) (HKLM\...\Creative VF0770) (Version: - Creative Technology Ltd.) Podaj wyciąg powiązanych kluczy, by było wiadome jakie komendy deinstalacyjne są aktualnie przypisane. Do Notatnika wklej: Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Creative VF0770" /s Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Creative Live! Central 2" /s Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Creative Software AutoUpdate" /s Reg: reg query HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SysInfo /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). przedstaw wynikowy fixlog.txt. PS. Do deinstalacji crak aktywacyjny KMSpico. Powoduje problemy w postaci notorycznych błędów: Dziennik System: ============= Error: (11/02/2015 05:23:58 PM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa Service KMSELDI niespodziewanie zakończyła pracę. Wystąpiło to razy: 1.

AdwCleaner nie będzie używany do usuwania. Jeden z wyników to poważny fałszywy alarm, AdwCleaner chce usuwać cały folder C:\WINDOWS\Installer związany z Instalatorem Windows, co uszkodziłoby już istniejące poprawne instalacje. Wyniki kierujące na adresy mystart.lenovo.com nie stanowią zaś problemu, to firmowe przekierowania. Kolejna porcja czynności: 1. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj imgur Extension by Metronomik, OneTab. AdwCleaner czepia się obu rozszerzeń i nie jestem pewna dlaczego, bo są hostowane w Chrome Web Store. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone, więc wszystko aktywuj ponownie. 2. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\GlobalUpdate DeleteKey: HKCU\Software\InstalledBrowserExtensions DeleteKey: HKCU\Software\Tutorials DeleteKey: HKLM\SOFTWARE\InstalledBrowserExtensions DeleteKey: HKLM\SOFTWARE\ShopperPro DeleteKey: HKLM\SOFTWARE\Wow6432Node\GlobalUpdate DeleteKey: HKLM\SOFTWARE\Wow6432Node\InstalledBrowserExtensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\NtSvcHandler DeleteKey: HKLM\SOFTWARE\Wow6432Node\26b8caad-2da8-46ff-91d7-9ae42d65bb09 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{3278F5CF-48F3-4253-A6BB-004CE84AF492} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{577975B8-C40E-43E6-B0DE-4C6B44088B52} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3278F5CF-48F3-4253-A6BB-004CE84AF492} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3B5702BA-7F4C-4D1A-B026-1E9A01D43978} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{577975B8-C40E-43E6-B0DE-4C6B44088B52} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{5E89ACE9-E16B-499A-87B4-0DBF742404C1} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{69F256DF-BA98-45E9-86EA-FC3CFECF9D30} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{6E87FC94-9866-49B9-8E93-5736D6DE3DD7} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{7E49F793-B3CD-4BF7-8419-B34B8BD30E61} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{834469E3-CA2B-4F21-A5CA-4F6F4DBCDE87} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{8529FAA3-5BFD-43C1-AB35-B53C4B96C6E5} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{ADBC39BE-3D20-4333-8D99-E91EB1B62474} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E06CA7F5-BA34-4FF6-8D24-B1BDC594D91F} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F6421EE5-A5BE-4D31-81D5-C16B7BF48E4C} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FD8E81D0-F5FE-4CB1-9AEA-1E163D2BAB78} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{6EDBF8C0-C94C-4A13-956F-E393BCA5BA4B} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{61AB12E1-A5FF-11D1-B2E9-444553540000} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{82351441-9094-11D1-A24B-00A0C932C7DF} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A8F7D0A5-7074-40B8-9BDC-1174BDD0A132} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{D14D64BC-A0E4-42E3-BB72-FB41EA43C198} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{DD1F043F-ABC8-4643-8B95-D2C5B22BB019} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{E3F3E8F9-F747-4DD6-BA6B-82A6CE1E0860} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{ED0B64D4-BF27-4521-AD27-190F49BF5EA7} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{023E9EC8-B147-40EB-B0B3-DF90618FB371} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{0522D9A4-4D57-437D-978D-E5B3B6C9005D} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{07F41522-AF7D-4F26-B394-094F059FDB8A} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{0C40F472-7407-4467-8914-1DEA7C326972} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{212E6D43-6062-492A-B8CC-144669FF11ED} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{224FE662-1E6D-4BC0-AEBB-9E2FB4057BE9} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3A807417-B46D-4D37-8C9A-19AC6DE204F9} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3CC60715-D6C5-429D-830E-43FA3F86C61D} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4517D94C-19BA-46FA-BE66-2A30CEAC4A85} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{555D7146-94A8-4C94-AE76-C39CDC7F7705} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{59D188FA-757A-424E-8C93-F58FFD896BD7} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{8120D9D6-785C-4413-9C0C-DF2028C56FAD} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{823AE2EB-E62C-4847-B192-C99B91B92416} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9B4F7CFE-987D-410E-A8E4-20182E0B3C24} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9B9A45F4-18FC-484A-BACA-076D78273D8E} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A6D54287-7939-466A-8579-92546D946C8C} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A78EDAFB-926F-4D93-AB13-8232D7378EB1} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{82351433-9094-11D1-A24B-00A0C932C7DF} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5E89ACE9-E16B-499A-87B4-0DBF742404C1} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\App Paths\jg.exe DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\Stats\{5645E0E7-FC12-43BF-A6E4-F9751942B298} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\Stats\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A} DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\NetTcpHandler DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Class\{0014298C-A9BA-440D-AAA8-AD12C7010EE5} DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Class\{181A06EA-B82C-47DE-B851-E20FD0E1CC7D} RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Artek\AppData\Local\Installer RemoveDirectory: C:\zoek_backup CMD: del /q "C:\Users\Artek\AppData\Local\Google\Chrome\User Data\Default\databases\chrome-extension_lkadffjmnaiokkdncgdlecdegajoiemi_0" CMD: del /q "C:\Users\Artek\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\lkadffjmnaiokkdncgdlecdegajoiemi" CMD: del /q "C:\Users\Artek\Documents\gmer przed startem.txt" CMD: del /q C:\Users\Artek\Downloads\FRST64*.exe CMD: del /q C:\Users\Artek\Downloads\sprc9fd7.exe CMD: del /q C:\Users\Artek\Downloads\zoek.exe CMD: del /q C:\WINDOWS\Minidump\*.dmp CMD: del /q C:\zoek-results.txt Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 3. Zresetuj system i zaloguj się na limitowane konto agathq. Pobierz na nim FRST, uruchom przez dwuklik (a nie za pomocą "Uruchom jako Administrator", co zmieni kontekst konta) i dostarcz log FRST z Addition (Shortcut nie jest mi potrzebny).

Ale tu nie koniec działań! Wszystko musi być sprawdzone i pewnie jeszcze poprawki będą wymagane. Dostarcz dane:

Poleciłam użycie tylko narzędzia SPTDinst. Nie zajmuj się ręcznym usuwaniem klucza z rejestru. To akcja którą w pełni zautomatyzuję w kolejnym kroku.

Tu nie mamy do czynienia z infekcją CryptoLocker tylko z nową linią TeslaCrypt w wyższej wersji. Bardzo mi przykro, ale nie ma żadnej możliwości odszyfrowania plików metodami z trzeciej ręki. Jedyna (niepolecana) możliwość odkodowania plików to uiszczenie opłaty przestępcom i otrzymanie od nich dekodera. Ów plik "RSA-2048.txt" pokazuje Twoje osobiste instrukcje kontaktowe. Cisco TeslaDecrypt, którym próbowałeś się posłużyć, to stare narzędzie adresujące tylko i wyłącznie pierwotną serię wariantów (dane z przyrostkami *.ecc). Nowszym narzędziem jest TeslaDecoder, ale i on nie zdziała tu nic. Pliki z przyrostkiem *.ccc oznaczają infekcję jednym z najnowszym wariantów TeslaCrypt 2.1.0a. Ta grupa ma "poprawkę" uniemożliwiającą odkodowanie plików narzędziem TeslaDecoder i innymi. Nie ma już prywatnego klucza zapisywanego na dysku, dlatego nie możesz znaleźć "key.dat". Autor TeslaDecoder o tym wariancie: "Unfortunately there is no solution for .ccc variant of TeslaCrypt. This variant can be decrypted only by their private key except your randomly generated and never stored private key." Objawy nie wskazują na infekcję tylko na uszkodzenie danych. Na urządzeniu pasującym do opisu jest znak wykonania operacji sprawdzania struktury systemu plików narzędziem checkdisk i ukryty katalog I:\found.000, który gromadzi wadliwe dane "obcięte" przez procedury naprawcze checkdisk. Skoro miejsce jest zajęte, to pewnie ten katalog ścinków danych waży sporo. Katalog zobaczysz po odznaczeniu w Opcjach folderów Ukryj chronione pliki systemu operacyjnego. Są wprawdzie narzędzia typu Chk-Back służące konwersji odpadków po pracy checkdiska do poprzedniej postaci, ale dobre wyniki zależą od tego jak bardzo był uszkodzony materiał wyjściowy. I:\ - Fixed drive (NTFS) [01/11/2015 - 18:00:33 | RASHD] - I:\Autorun.inf [24/10/2015 - 11:32:53 | SHD] - I:\$RECYCLE.BIN [24/10/2015 - 01:15:18 | SHD] - I:\found.000 [17/03/2014 - 20:04:55 | N | 0 Ko] - I:\instalki z dysku [28/02/2015 - 17:09:52 | N | 0 Ko] - I:\Kornelcia [13/04/2015 - 18:16:38 | N | 0 Ko] - I:\Gra o tron [13/05/2015 - 07:02:23 | N | 0 Ko] - I:\zdjęcia [13/05/2015 - 07:16:54 | N | 0 Ko] - I:\Gry [25/05/2015 - 12:20:28 | N | 0 Ko] - I:\Programy muzyczne [03/08/2015 - 13:13:51 | N | 0 Ko] - I:\Telefunken W 258 [19/09/2015 - 11:11:43 | N | 0 Ko] - I:\Muzyka [19/09/2015 - 11:51:24 | N | 0 Ko] - I:\Programy [19/09/2015 - 15:14:18 | N | 0 Ko] - I:\DRIVERy [09/10/2015 - 22:20:17 | SH | 0 Ko] - I:\System Volume Information [24/10/2015 - 01:08:14 | N | 0 Ko] - I:\Filmy [01/11/2015 - 15:46:59 | D] - I:\[sESJE Z KOMPA] [01/11/2015 - 16:08:28 | D] - I:\Programy z KOMPA PS. Masz zainstalowany wątpliwy program z czarnej listy SpyHunter, używałeś też wątpliwych produktów ParetoLogic. Są do wykonania też działania stricte "kosmetyczne", tylko że na razie to nie ma znaczenia i odsuwam akcję na późniejszy termin.

Wszystkie wtyczki to i ja widzę w raportach, nie tu leży problem. Problemem jest strona kinoman.tv per se. Gdy przemieszam się po niej na przeglądarce bez Adblocka, otwierają mi się rozmaite karty z przekierowaniami reklamowymi. Zainstaluj bloker reklam w przeglądarkach. Propozycje: Adblock Plus, AdFender (Free), uBlock Origin.

Pomimo błędu Zoek wykonał zadanie. I poprawki: 1. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [DivXMediaServer] => C:\Program Files (x86)\DivX\DivX Media Server\DivXMediaServer.exe HKLM-x32\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot HKU\S-1-5-21-2917318248-312038480-3579672598-1001\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot Task: {618AB36A-6E9E-42EB-94E0-19921B6EA8AF} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2014-09-10] (Lenovo) Task: {77CC3713-F10F-481B-BBA2-955CDDF49451} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-09-02] (Lenovo) C:\Program Files (x86)\DivX C:\ProgramData\DivX C:\Users\Artek\AppData\Roaming\DivX Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz wynikowy log z folderu C:\AdwCleaner.