picasso

Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

Oceniam co mówią logi - Brontok nie jest aktywny. Część wpisów z raportu MBAM właśnie była już uwzględniona w skrypcie FRST, część nie, bo log FRST ich nie pokazywał (nie ma ich). Skoro jednak nic nie usuwałeś za pomocą MBAM, to dołożyłam na wszelki wypadek dodatkowe komendy na kilka plików które mogą być poza widocznością raportu FRST.

Tekst z synchronizacją był na wszelki wypadek, z raportu nie można rozpoznać czy ta funkcja jest włączona. Wszystko zgodnie z planem. FRST usunął sporo plików tymczasowych: 9.4 GB. Kolejna porcja zadań: 1. Otwórz Notatnik i wklej: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\TDSSKiller_Quarantine RemoveDirectory: C:\Users\Admin\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Piotr.Admin-Komputer.001 CMD: del /q C:\Users\Admin\Desktop\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe CMD: del /q C:\Users\Admin\Desktop\xgqjmcd9.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt. 2. Po wykonaniu powyższego uruchom Kaspersky Virus Removal Tool (KVRT). Wykonaj skan i dostarcz obrazki z wynikami, o ile coś zostanie wykryte.

Wszystko pomyślnie usunięte, pendrive zdowodowane jako czyste. Kolejna porcja zadań: 1. Odinstaluj USBFix. Do Notatnika wklej: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\UsbFix RemoveDirectory: C:\Users\Rafal\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Rafal\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe CMD: del /q C:\Users\Rafal\Downloads\ozm2xe5x.exe CMD: del /q C:\Users\Rafal\Downloads\SPTDinst-v187-x64.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt. 2. Dopiero po wykonaniu powyższego uruchom Kaspersky Virus Removal Tool (KVRT). W konfiguracji zaznacz pełny skan dysku C. Wykonaj skan i dostarcz obrazki z wynikami, o ile coś zostanie wykryte.

Wszystko naprawione. Na zakończenie: 1. Zastosuj DelFix (pokaż z niego log) oraz wyczyść foldery Przywracania systemu: KLIK. Pobrany GMER i jego log oraz narzędzia które nie zostaną usunięte skasuj ręcznie. 2. Na wszelki wypadek zmień hasła logowania w serwisach online (bank, poczta, serwisy społecznościowe...).

Zakładam, że pendrivy są podpięte i widoczne pod tymi samymi literami G:, I:. Otwórz Notatnik i wklej w nim: S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] AlternateDataStreams: C:\Users\Rafal\Cookies:gs5sys AlternateDataStreams: C:\Users\Rafal\Szablony:gs5sys AlternateDataStreams: C:\Users\Rafal\AppData\Local\Historia:gs5sys C:\AMD\Support\13-9-legacy_vista_win7_64_dd_ccc\Bin64\lucoms.exe C:\AMD\AMD-Catalyst-15.7.1-With-DOTNet45-Win7-64bit\Bin64\wisptis.exe C:\Program Files\DAEMON Tools Lite C:\Program Files (x86)\AMD APP\download.exe C:\Program Files (x86)\AMD APP\jucheck.exe C:\Program Files (x86)\AMD APP\bin\download.exe C:\Program Files (x86)\AMD APP\bin\mscorsvw.exe C:\Program Files (x86)\AMD APP\bin\x86_64\launch.exe C:\Program Files (x86)\AMD AVT\bin\jucheck.exe C:\Program Files (x86)\AMD AVT\lucoms.exe C:\Program Files (x86)\AMD AVT\mscorsvw.exe C:\Program Files (x86)\AMD AVT\bin\mscorsvw.exe C:\Program Files (x86)\AMD AVT\bin\wisptis.exe C:\Program Files (x86)\Alcohol Soft C:\Program Files (x86)\Application Verifier\download.exe C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\hkcr.exe C:\Program Files (x86)\ATI Technologies\ATI.ACE\Graphics-Previews-Common\winlogon.exe C:\Program Files (x86)\ATI Technologies\ATI.ACE\Graphics-Previews-Common\wisptis.exe C:\Program Files (x86)\ASUS\IO\lucoms.exe C:\Program Files (x86)\ASUS\AsSysCtrlService\1.00.02\avguard.exe C:\Program Files (x86)\ASUS\AsSysCtrlService\1.00.02\nvxdsync.exe C:\Program Files (x86)\ASUS\AsSysCtrlService\1.00.02\jucheck.exe C:\Program Files (x86)\Google\Update\1.3.28.15\winlogon.exe C:\Program Files (x86)\Java\jre1.8.0_60\bin\launch.exe C:\Program Files (x86)\Java\jre1.8.0_60\bin\client\jucheck.exe C:\Program Files (x86)\Java\jre1.8.0_60\bin\dtplugin\hkcr.exe C:\Program Files (x86)\Java\jre1.8.0_60\bin\plugin2\run.exe C:\Program Files (x86)\IObit\wisptis.exe C:\Program Files (x86)\IObit\Driver Booster\lucoms.exe C:\Program Files (x86)\IObit\Driver Booster\mscorsvw.exe C:\Program Files (x86)\IObit\Driver Booster\winlogon.exe C:\Program Files (x86)\IObit\Surfing Protection C:\Program Files (x86)\Smart File Advisor C:\ProgramData\DAEMON Tools Lite C:\Users\Rafal\AppData\Roaming\DAEMON Tools Lite C:\Users\Rafal\Documents\ax_files.xml C:\Users\Rafal\Downloads\q18lx0drb1b1900b.js C:\Users\Rafal\Downloads\100421458764.sdx C:\Users\Rafal\Downloads\SecureDownloadManager.log C:\Windows\agent.exe C:\Windows\jucheck.exe Folder: G:\ Folder: I:\ Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Dołącz wnikowy fixlog.txt.

Rootkit pomyślnie usunięty. Teraz możemy się zabrać za wyłączenie "Trybu testu" wprowadzonego przez Necurs oraz "kosmetykę" (stare programy, odpadki, wpisy puste). Akcja: 1. Deinstalacje: - Przez Panel sterowania odinstaluj stare wersje i zbędniki: Adobe Flash Player 18 ActiveX, Adobe Flash Player 18 PPAPI, Adobe Reader XI (11.0.12) - Polish, Akamai NetSession Interface, GeekBuddy, McAfee Security Scan Plus, Panda Security Toolbar. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek Google Update Helper > Dalej. Takie wpisy są dwa, czyli dwa razy narzędzie uruchamiasz. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: testsigning: ==> Ustawiony "Tryb testu". Sprawdź obecność niepodpisanego sterownika HKU\S-1-5-21-3933479072-2540534226-446759770-1000\...\Policies\Explorer: [] Task: {88BE9984-E976-4B91-895E-B198D85C98DF} - System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-3933479072-2540534226-446759770-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {8CD45570-DF1F-43D3-9B7F-2900D117FE91} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {B5E1CEC7-9748-42C7-8186-6A45A5194BD1} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {E72EF9C9-1C76-48E7-BB64-CEC82256C6EE} - System32\Tasks\CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805} => C:\ProgramData\cisE510.exe Task: {F941B106-96D6-45D6-BB6A-D8569A48C509} - System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-3933479072-2540534226-446759770-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe FF HKLM-x32\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext => nie znaleziono HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141031 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141031 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-3933479072-2540534226-446759770-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://pl.yahoo.com?fr=fp-comodo SearchScopes: HKU\S-1-5-21-3933479072-2540534226-446759770-1000 -> DefaultScope {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = hxxp://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo SearchScopes: HKU\S-1-5-21-3933479072-2540534226-446759770-1000 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = hxxp://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo CustomCLSID: HKU\S-1-5-21-3933479072-2540534226-446759770-1000_Classes\CLSID\{6D7AE628-FF41-4CD3-91DD-34825BB1A251}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2011\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-3933479072-2540534226-446759770-1000_Classes\CLSID\{C92FB640-AD4D-498A-9979-A51A2540C977}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2011\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-3933479072-2540534226-446759770-1000_Classes\CLSID\{D70E31AD-2614-49F2-B0FC-ACA781D81F3E}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2011\acad.exe => Brak pliku C:\Program Files (x86)\Google C:\ProgramData\AVAST Software C:\ProgramData\Microsoft\Windows\Start Menu\Programs\T-Mobile Ekstraklasa Update C:\Users\Admin\AppData\Local\Google C:\Windows\Installer\{0334BD8A-C205-F60B-F831-77B2D7FD5DB7} C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\system32\Drivers\ftuyzdin.sys C:\Windows\system32\Drivers\jkthibwk.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść historię przeglądania 4. W systemie są dwa konta: ==================== Konta użytkowników: ============================= Admin (S-1-5-21-3933479072-2540534226-446759770-1000 - Administrator - Enabled) => C:\Users\Admin Piotr (S-1-5-21-3933479072-2540534226-446759770-1004 - Administrator - Enabled) => C:\Users\Piotr.Admin-Komputer.001 - Na koncie Admin (które właśnie obrabiamy) zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. - Jeśli Piotr to jakieś bezużyteczne konto, całkowicie usuń. Jeśli nie, potrzebne też logi z tego konta. W takiej sytuacji zaloguj się na nie przez pełny restart kompa (a nie Wyloguj czy Przełącz użytkownika) i zrób nowy log FRST z opcji Skanuj (Scan), z Addition, bez Shortcut. Dołącz też plik fixlog.txt.

Wszystko wygląda dobrze. Na koniec jeszcze usunięcie odpadków po odinstalowanych Firefox. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Tomek\AppData\Local\Mozilla RemoveDirectory: C:\Users\Tomek\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\Tomek\Desktop\FRST-OlderVersion CMD: del /q C:\AdwCleaner[C2].txt CMD: del /q C:\Users\Tomek\Desktop\mrbe7bfl.exe CMD: del /q C:\Users\Tomek\Downloads\mrbe7bfl.exe Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt.

Ten skopiowany raport nie odpowiada operacji usuwania. Na dysku C:\ powinny być wszystkie raporty TDSSKiller.

Wszystko wykonane. Poprawki: 1. Nic nie szkodzi, ta linia tylko wyłączała sterownik SPTD. Przywrócenie aktywności sterownika SPTD jest łatwo odwracalne. Do Notatnika wklej: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd] "Start"=dword:00000000 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MBAMSwissArmy] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Uruchom plik przez dwuklik, potwierdź import do rejestru, zresetuj system. 2. Nie został odinstalowany program Ace Stream Media 2.3.0-next. Jest powód dla którego w logu FRST jest oznaczany za pomocą "UWAGA". Ta aplikacja posiada wbudowany do wewnętrznego playera moduł adware, aktywowany po pewnym czasie używania. 3. Na koniec usuń pobrany FRST. Następnie jeszcze zastosuj DelFix. To tyle z mojej strony.

Log z przestarzałego OTl usuwam. Biorę pod uwagę tylko raporty z nowoczesnego FRST - program nie został skonfigurowany wg wytycznych, sekcja MD5 sterowników + Lista BCD nie miały być zaznaczone. Brak też obowiązkowego raportu z GMER. Problem podstawowy prawdopodobnie nie pochodzi z infekcji, tu jest podejrzany przestarzały antywirus AVG 2013. Jest tu również niepoprawnie odinstalowany McAfee SiteAdvisor. Ale owszem, system jest także zaśmiecony adware, z tym że jedyny czynny obiekt to niejaki OptimizerPro1, którego rola sprowadza się do odwrotności nazwy. Przeprowadź następujące działania: 1. Deinstalacje: ----> Przez Panel sterowania odinstaluj: Stare wersje i zbędniki: Adobe AIR, Adobe Reader X, Adobe Shockwave Player 12.1, AVG 2013, AVG Security Toolbar, Bonjour, Google Toolbar for Internet Explorer, IMVU Avatar Chat Software, Java™ 6 Update 30, Pando Media Booster. Adware: a2zLyrics-1, AppsHat Mobile Apps, LiveVDO plugin 1.3, Movies Toolbar for Chrome (Dist. by Somoto Ltd.), Movies Toolbar for Firefox (Dist. by Somoto Ltd.), Movies Toolbar for Internet Explorer (Dist. by Somoto Ltd.), OptimizerPro1, RegClean-Pro, Search Assistant AppsAreFun 1.66, Search Assistant SoftQuick 1.66, Search-Gol Chrome Toolbar, searchgol toolbar, Softonic toolbar on IE and Chrome. Prawie wszystkie instalacje (z wyjątkiem OptimizerPro1) są uszkodzone i nieaktywne. Jeśli nie będziesz ich widzieć lub deinstalacja zwróci błąd, kontynuuj. Zajmę się odpadkami potem. ----> Zastosuj specjalizowane narzędzia producentów: AVG Remover + McAfee Consumer Product Removal Tool. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browsemngr.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browsermngr.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\bundlesweetimsetup.exe: [Debugger] tasklist.exe IFEO\cltmngsvc.exe: [Debugger] tasklist.exe IFEO\delta babylon.exe: [Debugger] tasklist.exe IFEO\delta tb.exe: [Debugger] tasklist.exe IFEO\delta2.exe: [Debugger] tasklist.exe IFEO\deltainstaller.exe: [Debugger] tasklist.exe IFEO\deltasetup.exe: [Debugger] tasklist.exe IFEO\deltatb.exe: [Debugger] tasklist.exe IFEO\deltatb_2501-c733154b.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\iminentsetup.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\rjatydimofu.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\sweetimsetup.exe: [Debugger] tasklist.exe IFEO\tbdelta.exetoolbar783881609.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe HKLM\...\Policies\Explorer: [NoControlPanel] 0 Tcpip\..\Interfaces\{E83FA0F0-181D-4855-AC58-26234521B755}: [NameServer] 0.0.0.0 CHR HomePage: Default -> www.wp.pl/?src01=dp1 CHR StartupUrls: Default -> "www.wp.pl/?src01=dp1" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp1 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp1 HKU\S-1-5-21-1794262908-2250097603-3940592659-1002\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp1 HKU\S-1-5-21-1794262908-2250097603-3940592659-1002\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://isearch.avg.com/?cid={D39FDBF2-1C85-4B74-B121-94E235DBF110}&mid=2e2beefc48d145a584db279e28d15b51-ba1a827a65c102a251ee57f49f304bb16d0dd3f0&lang=pl&ds=ax011&pr=&d=2012-09-09 21:31:59&v=13.2.0.5&sap=hp hxxp://www.lenovo.com HKU\S-1-5-21-1794262908-2250097603-3940592659-1002\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie HKU\S-1-5-21-1794262908-2250097603-3940592659-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie URLSearchHook: HKU\S-1-5-21-1794262908-2250097603-3940592659-1002 - UsProvider Class - {539F76FD-084E-4858-86D5-62F02F54AE86} - C:\Program Files (x86)\Minibar\Minibar.dll (KangoExtensions) SearchScopes: HKLM -> {52db1893-8a90-4192-aede-08e00b8f8473} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=105&systemid=473&v=a13277-129&apn_uid=7763933645434887&apn_dtid=BND101&o=APN10640&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKLM-x32 -> {52db1893-8a90-4192-aede-08e00b8f8473} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=105&systemid=473&v=a13277-129&apn_uid=7763933645434887&apn_dtid=BND101&o=APN10640&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKLM-x32 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = hxxp://websearch.soft-quick.info/?l=1&q={searchTerms} SearchScopes: HKLM-x32 -> {FBC91AC8-FF17-402D-AF38-802F4EC054EA} URL = hxxp://search.appsarefun.info/?l=1&q={searchTerms} SearchScopes: HKU\S-1-5-21-1794262908-2250097603-3940592659-1002 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss_Btisdt7&mntrId=4A2674E50B1E6D29&affID=125032&tsp=5029 SearchScopes: HKU\S-1-5-21-1794262908-2250097603-3940592659-1002 -> {52db1893-8a90-4192-aede-08e00b8f8473} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=105&systemid=473&v=a13277-129&apn_uid=7763933645434887&apn_dtid=BND101&o=APN10640&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKU\S-1-5-21-1794262908-2250097603-3940592659-1002 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxp://isearch.avg.com/search?cid={D39FDBF2-1C85-4B74-B121-94E235DBF110}&mid=2e2beefc48d145a584db279e28d15b51-ba1a827a65c102a251ee57f49f304bb16d0dd3f0&lang=pl&ds=ax011&pr=&d=2012-09-09 21:31:59&v=14.2.0.1&pid=avg&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-1794262908-2250097603-3940592659-1002 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = hxxp://websearch.soft-quick.info/?l=1&q={searchTerms} SearchScopes: HKU\S-1-5-21-1794262908-2250097603-3940592659-1002 -> {FBC91AC8-FF17-402D-AF38-802F4EC054EA} URL = hxxp://search.appsarefun.info/?l=1&q={searchTerms} Toolbar: HKLM-x32 - Brak nazwy - {3444c3c5-6c56-4a16-a453-832b05bf6ea4} - Brak pliku Toolbar: HKU\S-1-5-21-1794262908-2250097603-3940592659-1002 -> Brak nazwy - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - Brak pliku Task: {56A59F30-0A6E-4473-B638-000BE2D52B9A} - System32\Tasks\OptimizerPro1UpdaterTask{95071A49-9E56-423F-94FC-F59879293183} => C:\ProgramData\Premium\OptimizerPro1\OptimizerPro1.exe [2012-09-19] () Task: {AA042E12-54D9-4BBA-B6B8-41AB12FC473C} - System32\Tasks\OptimizerPro1UpdaterTask{09B49E0D-4E30-4CFA-899F-FC29427B44DB} => C:\ProgramData\Premium\OptimizerPro1\OptimizerPro1.exe [2012-09-19] () Task: {D8985B35-1925-4E93-A608-EA90474F7286} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RCP\RegCleanPro.exe Task: C:\windows\Tasks\OptimizerPro1UpdaterTask{09B49E0D-4E30-4CFA-899F-FC29427B44DB}.job => C:\ProgramData\Premium\OptimizerPro1\OptimizerPro1.exeJ/schedule /profilepath C:\ProgramData\Premium\OptimizerPro1\profile.ini Task: C:\windows\Tasks\OptimizerPro1UpdaterTask{95071A49-9E56-423F-94FC-F59879293183}.job => C:\ProgramData\Premium\OptimizerPro1\OptimizerPro1.exeJ/schedule /profilepath C:\ProgramData\Premium\OptimizerPro1\profile.ini U2 CLKMSVC10_3A60B698; Brak ImagePath U2 CLKMSVC10_C3B3B687; Brak ImagePath U2 DriverService; Brak ImagePath U2 IAStorDataMgrSvc; Brak ImagePath U2 idealife Update Service; Brak ImagePath U3 IGRS; Brak ImagePath U2 IviRegMgr; Brak ImagePath U2 Oasis2Service; Brak ImagePath U2 PCCarerServic; Brak ImagePath U2 ReadyComm.DirectRouter; Brak ImagePath U2 RichVideo; Brak ImagePath U2 SoftwareService; Brak ImagePath U2 Stereo Service; Brak ImagePath C:\Program Files (x86)\AVG Secure Search C:\Program Files (x86)\GUT1EDE.tmp C:\Program Files (x86)\a2zLyrics-1 C:\Program Files (x86)\Minibar C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\RCP C:\Program Files (x86)\StartSearch plugin C:\ProgramData\Click2Save C:\ProgramData\Mozilla C:\ProgramData\Nero C:\ProgramData\Premium C:\ProgramData\Wincert C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office 2010.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GTA San Andreas Patch v1.0 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SaveAs C:\Users\Emilka\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Emilka\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\Emilka\AppData\Local\Mozilla C:\Users\Emilka\AppData\Local\somotomoviestoolbar1 C:\Users\Emilka\AppData\Roaming\Minecraft 1.3.1 NonPremium.rar C:\Users\Emilka\AppData\Roaming\BabSolution C:\Users\Emilka\AppData\Roaming\Mozilla C:\Users\Emilka\AppData\Roaming\Nero C:\Users\Emilka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Viber.lnk C:\Users\Emilka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\Toxic Biohazard\Toxic Biohazard Online.lnk C:\Users\Emilka\Desktop\GRY\gta_sa (2) — skrót.lnk C:\Users\Emilka\Desktop\GRY\IMVU*.lnk C:\Users\Emilka\Desktop\PROGRAMY\AVG 2013.lnk C:\Users\Emilka\Desktop\PROGRAMY\McAfee AntiVirus Plus.lnk C:\Users\Emilka\Desktop\PROGRAMY\McAfee Security Scan Plus.lnk C:\Users\Emilka\Documents\GTA San Andreas User Files\User Tracks\*.lnk C:\Users\Public\Desktop\Your Software Deals.url C:\Users\UpdatusUser\Desktop\*.lnk C:\Windows\SysWOW64\*.tmp CMD: for /d %f in (C:\Users\Emilka\AppData\Local\TempTaskUpdateDetection*) do rd /s /q "%f" CMD: netsh advfirewall reset Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NTRedirect" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Internet Explorer: Opcje internetowe > Zaawansowane > Resetuj 4. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Podsumuj czy jest jakaś poprawa.

Zawartość pendrive sprawdzę więc skryptem FRST. Natomiast wyniki wyszukiwania pokazują, że są jeszcze pliki infekcji na dysku i należy je usunąć. Ale to nie są dwa różne logi tylko jeden i ten sam (logi się nadpisują), duplikat usunęłam. Powtórz proszę szukanie na brakującą część i doczep log wynikowy: launch.exe;lucoms.exe;mscorsvw.exe;nvxdsync.exe;pdvddxsrv.exe;run.exe;unpack.exe;winlogon.exe;wisptis.exe;zcfgsvc.exe

W systemie grasuje rootkit Necurs. Necurs zablokował GMER oraz poprawne sterowniki Windows - są fałszywie prezentowane z opisem [brak podpisu cyfrowego]. Akcja nadrzędna to usunięcie tej infekcji, potem można dopiero wdrożyć inne czynności. Wstępnie: 1. Uruchom Kaspersky TDSSKiller. Dla wyników 1301f4866d62cbe2 + syshost32 opisanych jako Rootkit.Win32.Necurs.gen wybierz akcję Delete. Natomiast wszystkie wyniki typu LockedFile.Multi.Generic mają mieć przyznane Skip, gdyż to prawidłowe sterowniki zablokowane przez rootkita. Zresetuj system. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz log utworzony przez TDSSKiller.

MBAM usunął robaka w części podstawowej, zostały jeszcze korekty (odpadkowe pliki / wpisy rejestru po Brontok oraz inne śmieciarskie / puste wpisy po odinstalowanych programach). Akcje do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania odinstaluj stare wersje: Acrobat.com, Adobe AIR, Adobe Reader 9.1 MUI. - Jest tu też stara nie do końca dobrze odinstalowana wersja avast! Free Antivirus. Zastosuj Avast Uninstall Utility. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek Google Update Helper > Dalej. Wpisy są dwa = dwa razy należy uruchomić narzędzie. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: SearchScopes: HKU\S-1-5-21-2975930692-3417031848-21304538-1000 -> DefaultScope {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = SearchScopes: HKU\S-1-5-21-2975930692-3417031848-21304538-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = SearchScopes: HKU\S-1-5-21-2975930692-3417031848-21304538-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = Toolbar: HKU\S-1-5-21-2975930692-3417031848-21304538-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku Toolbar: HKU\S-1-5-21-2975930692-3417031848-21304538-1000 -> Brak nazwy - {32099AAC-C132-4136-9E9A-4E364A424E17} - Brak pliku HKU\S-1-5-21-2975930692-3417031848-21304538-1000\...\Run: [bzvyvz] => C:\Users\MAREK\AppData\Roaming\Bzvyvz.exe HKU\S-1-5-21-2975930692-3417031848-21304538-1000\...\Run: [Tok-Cirrhatus] => "C:\Users\MAREK\AppData\Local\smss.exe" HKU\S-1-5-21-2975930692-3417031848-21304538-1000\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-2975930692-3417031848-21304538-1000\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-2975930692-3417031848-21304538-1000\...\Policies\Explorer: [NoFolderOptions] 1 Task: {0CC13680-6746-4074-9880-F7B1A0CC801B} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe [2015-10-16] (Google Inc.) Task: {13C75CA9-E880-4CF2-ADE1-5D742FE63E3D} - System32\Tasks\{981B9CC7-9FDC-42B1-8559-3C27C9530B64} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=0 Task: {165196C3-EED1-402C-A299-A93DA77D46EB} - System32\Tasks\{FE2C3B55-9F9F-4623-BF35-0B3004A77671} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=404 Task: {1F255ECB-36C2-43B6-8995-8CB669A262D8} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files\Google\Update\GoogleUpdate.exe [2015-10-16] (Google Inc.) Task: {2ADD2702-440E-4733-A557-876F8231747F} - System32\Tasks\{23695AF4-4DC2-4F06-A528-B38376AAAEAC} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=404 Task: {2F4510AF-FDD0-44A4-8787-1F2794AEAF1D} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2015-10-16] (Adobe Systems Incorporated) Task: {44E8E910-92E9-4C21-99D8-F5D58835B7A2} - System32\Tasks\{39138FB9-FEF0-4498-9FC6-29531A011124} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=404 Task: {477D5E13-A8F0-41AA-B5A8-828E3726A9C7} - System32\Tasks\{AF38C38B-3B01-4466-A497-B815E5ADBFD6} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=0 Task: {6050C7B9-63D3-47EA-BB74-EBCE79D1473E} - System32\Tasks\{F5881B7C-5ED6-4B7A-8700-A98912D623C6} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=404 Task: {6F2CF711-FB61-432B-9FA6-D4A20D5ABCBC} - System32\Tasks\{75FCEDC3-D45B-4B2D-9838-A38D79CE3187} => Iexplore.exe hxxp://ui.skype.com/ui/0/4.1.0.179.369/pl/abandoninstall?source=lightinstaller&page=tsInstall&installinfo=google-toolbar:notoffered;notincluded,google-chrome:notoffered;notincluded Task: {7035641C-36CF-4186-BBD2-9778214A70D3} - System32\Tasks\{EDE3896D-45C5-47B9-AC29-9B14DE8E16F5} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=404 Task: {757F0B79-27E0-47EE-9892-158CF2D4DB0B} - System32\Tasks\{FCC9BAA2-6D64-4349-9548-AA2AE5FB2A23} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=404 Task: {8D569016-AB7C-4CD5-A4BA-24897DD1B0F0} - System32\Tasks\{FEE95B8B-3906-4A04-BAE0-A019FFB2E3A2} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=404 Task: {8F2D27CB-9C41-435F-A8B8-B6C21E15537B} - System32\Tasks\{8C08FD64-797F-4DD8-AC78-7DF8D9BF3728} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=404 Task: {9186B772-F866-4322-A2D4-CAB3AF556184} - System32\Tasks\{27CADEAF-0480-420C-BABB-22101A1E06CC} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=0 Task: {92D88A11-C9BA-44BE-998C-26DEC4BAC360} - System32\Tasks\{843DFC5A-26CD-4BDE-A547-96FE7C8D781E} => Iexplore.exe hxxp://ui.skype.com/ui/0/4.1.0.179.369/pl/abandoninstall?source=lightinstaller&page=tsMain&installinfo=google-toolbar:notoffered;notincluded,google-chrome:notoffered;notincluded Task: {A01F8616-8DA3-45DD-A45A-8F5399397B11} - System32\Tasks\{D9C441F1-FCA7-47EB-BFC7-193E305BBBFD} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=404 Task: {AA8CD599-81DC-44AB-9ED8-3FBEFC9106C4} - System32\Tasks\{58192BE9-11AB-4FF3-B84E-F1F340FEA72D} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=404 Task: {B35FD445-B38A-460B-B2D1-232448AD73F0} - System32\Tasks\{DB7DBC60-AFC8-458E-A0DD-D3384EBE8FEF} => Iexplore.exe hxxp://ui.skype.com/ui/0/4.1.0.179.369/pl/abandoninstall?source=lightinstaller&page=tsInstall&installinfo=google-toolbar:notoffered;notincluded,google-chrome:notoffered;notincluded Task: {B8AC2B7D-E17A-46E3-9A08-9E06765EB110} - System32\Tasks\{86D0E323-457D-4511-9653-1411BB827EF2} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=12007 Task: {BA9C4C57-A666-4818-A0DB-3743C3DA41CE} - System32\Tasks\{7E59A5E5-13E5-4CF4-9D4F-77E596D17375} => pcalua.exe -a "F:\Męstwo i honor\Męstwo i honor.exe" -d "F:\Męstwo i honor" Task: {BE9EAD8E-2166-4F8A-BEAF-F62177AB8F8A} - System32\Tasks\{A8873E2C-E5DC-4844-9DB8-A8F9BFD97984} => Iexplore.exe hxxp://ui.skype.com/ui/0/4.1.0.179.369/pl/abandoninstall?source=lightinstaller&page=tsProblems&LastError=404&installinfo=google-toolbar:notoffered;notincluded,google-chrome:notoffered;notincluded Task: {C55AAC16-5B98-4C87-B8DF-2196A577819B} - System32\Tasks\{448D5A82-8B9B-4C7A-A8DE-0D56984A3FEF} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=404 Task: {C5DD08F8-638D-4EC9-B408-01A199FF8D68} - System32\Tasks\{E5095AB5-F80F-480E-B4B6-8B19DE7C0597} => Iexplore.exe hxxp://ui.skype.com/ui/0/4.1.0.179.369/pl/abandoninstall?source=lightinstaller&page=tsMain&installinfo=google-toolbar:notoffered;notincluded,google-chrome:notoffered;notincluded Task: {CB02C3F4-7C74-422A-9407-22A4D407DD71} - System32\Tasks\{C61678FA-699F-45E3-A23D-B7E12F65450D} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=404 Task: {CE0E4BAA-03EB-4D63-B52B-C4BAE1360B7A} - System32\Tasks\{167A6932-4B81-4C44-AE4B-9F4E390C07E0} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=12007 Task: {DE94246A-195C-47BC-BBD4-55E3EAEC5E68} - System32\Tasks\{9C233F42-0218-45CD-B031-56D7CE9FD064} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=2 Task: {E633118C-17E2-4825-AB18-89AF9D3CB8F2} - System32\Tasks\{AB8DD151-AFD1-445C-BB47-8F2F5B543CCF} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=0 Task: {E7141BB8-FC8F-4EE5-AEE1-D330E2843C57} - System32\Tasks\{ECC0620C-E1BA-44A0-A378-4E3BA0E828E7} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=404 Task: {EF7375BC-0378-4449-B091-801A5B64E7B0} - System32\Tasks\{62BBDF87-E89D-4FB0-A09A-8B359741E6AA} => pcalua.exe -a F:\IKONA\IKONA.exe -d F:\IKONA Task: {F1E5DF3F-8245-4332-A06C-31F27820DEB0} - System32\Tasks\{800B7D9D-DBCB-40E7-8B4A-82C9991D389A} => pcalua.exe -a C:\Users\MAREK\Documents\Documents.exe -d C:\Users\MAREK\Documents Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe C:\Program Files\DAEMON Tools Toolbar C:\Program Files\Google C:\ProgramData\Google C:\ProgramData\Skype C:\ProgramData\Microsoft\Windows\Start Menu\Programs\avast! Free Antivirus C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eMachines Documentation C:\Users\MAREK\jaihaep.exe C:\Users\MAREK\AppData\Local\*.exe C:\Users\MAREK\AppData\Local\*Bron* C:\Users\MAREK\AppData\Local\Google C:\Users\MAREK\AppData\Roaming\Skype C:\Users\MAREK\AppData\Roaming\Microsoft\Windows\Templates\bararontok.com C:\Users\MAREK\Documents\Documents.exe, C:\Windows\System32\MAREK's Setting.scr CMD: for /d %f in (C:\Users\MAREK\AppData\Local\*Bron*) do rd /s /q "%f" Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Pozostałe punkty nadal aktualne, tylko w punkcie 3 ze skryptu FRST wytnij tę linię: DisableService: sptd PS. Link do MBAM zastępuję w Twoim poście linkiem do strony producenta. Powód: KLIK

Żadnej usługi Windows strony programowej nie brakuje. Zrób jeszcze log pokazujący wszystkie sterowniki: uruchom FRST, odznacz filtrowanie dla Sterowników.

Wszystko wykonane pomyślnie, infekcja ubita. A plików .xtbl wprowadzonych przez infekcję szyfrującą dane było sporo. Jeszcze na wszelki wypadek podaj mi skan na pliki, które pendrivowa infekcja tworzyła masowo w wybranych folderach poprawnych aplikacji: Uruchom FRST, w polu Szukaj wklej co poniżej, klik w Szukaj plików i dostarcz wynikowy raport. agent.exe;avguard.exe;convert.exe;download.exe;file.exe;hkcr.exe;htpatch.exe;iexplore.exe;jucheck.exe;jusched.exe;klwtblfs.exe;launch.exe;lucoms.exe;mscorsvw.exe;nvxdsync.exe;pdvddxsrv.exe;run.exe;unpack.exe;winlogon.exe;wisptis.exe;zcfgsvc.exe Prawdopodobnie ten ciąg jest za długi do użycia za jednym zamachem. W razie czego podziel na dwie lub więcej części (pliki muszą być oddzielone średnikami) i zrób po prostu kilka skanów. Wszystkie pliki wynikowe oczywiście dołącz. Odinstaluj program + usuń ręcznie folder C:\USBFix. Pobierz ponownie i zainstaluj, ponów próbę.

Przede wszystkim, widzę w raporcie masowe odczyty [brak podpisu cyfrowego] dla wszystkich usług/sterowników Microsoftu, co oznacza poważne uszkodzenie bazy danych Usług kryptograficznych. Dziennik zdarzeń mieli w kółko: Dziennik Aplikacja: ================== Error: (10/16/2015 11:01:08 AM) (Source: Microsoft-Windows-CAPI2) (EventID: 257) (User: ) Description: Zainicjowanie bazy danych wykazu przez Usługi kryptograficzne nie powiodło się. Błąd ESENT: -583. To jest główna usterka, która może owocować licznymi skutkami ubocznymi i niedziałaniem funkcji Windows. Przyczyn usterki może być wiele: przestarzałe sterowniki Intel, zainstalowana felerna łata KB3004394 (prowadziła do tej usterki), lub inne czynniki. U Ciebie widać przestarzały soft Intel - porównaj proszę z tym tematem: KLIK. Intel® Matrix Storage Manager (HKLM\...\{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}) (Version: - Intel Corporation) Powyższa usterka Usług kryptograficznych może być powiązana. Ale jest tu też aspekt dodatkowy. Aktywność antywirusa nadal nie jest wykluczona. To "wyłączanie", o którym opowiadasz, to procedura deaktywująca tylko część programu, tę widoczną dla Ciebie. Natomiast sterowniki programu są jak najbardziej na chodzie. ESET jest stary, to wersja z komponentami datowanymi na rok 2012. Tak więc będzie tu i tak usuwany, potem zastąpisz jakimś innym nowoczesnym antywirusem. Zobaczymy co da naprawa bazy Usług kryptograficznych. Możliwa przyczyna: aktywność ESET. Działania do przeprowadzenia: 1. Korekta bazy Usług kryptograficznych: Odinstaluj przestarzały Intel Matrix Storage Manager i zastąp nowszą wersją Intel Rapid Storage Technology dostępną dla Twojego modelu komputera na stronie producenta sprzętu. Jeśli nie wiesz co ładować, ostatecznie wypróbuj te sterowniki: KLIK. Tak, to sterowniki HP, ale one mogą być instalowane na komputerze nie-HP. Panel sterowania > Programy i funkcje > Wyświetl zainstalowane aktualizacje > upewnij się że nie ma KB3004394. Jeśli występuje, odinstaluj. Uruchom narzędzie Fix It 50202, zaznacz tryb agresywny (resetuje bazę Usług kryptograficznych): KLIK. 2. Deinstalacja innych programów: Odinstaluj stare wersje i zbędniki: Adobe AIR, Adobe Reader XI (11.0.13), Akamai NetSession Interface, ESET NOD32 Antivirus, Java 7 Update 17, McAfee Security Scan Plus, Qtrax Player. Następnie wejdź w tryb awaryjny i zastosuj jeszcze dla pewności ESET Uninstaller. Opuść tryb awaryjny. Po etapie 1+2 nie używaj przypadkiem opcji Przywracania systemu do poprzedniego stanu, gdyż to przywróci usterkę oraz wszystkie deinstalowane programy (i to w stanie uszkodzonym). Test czy Przywracanie systemu poprawnie tworzy punkt będzie i tak prowadzony w poniższym skrypcie FRST. 3. Czyszczenie szczątków / wpisów pustych. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1683496192-1558496612-2049436320-1000\...\Policies\Explorer: [] CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1683496192-1558496612-2049436320-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-1683496192-1558496612-2049436320-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1683496192-1558496612-2049436320-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie URLSearchHook: HKLM -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKU\S-1-5-21-1683496192-1558496612-2049436320-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKLM - @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\Program Files\No1 Video Converter\msdxm.ocx [2000-04-20] (Microsoft Corporation) Handler: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\Program Files\No1 Video Converter\msdxm.ocx [2000-04-20] (Microsoft Corporation) CustomCLSID: HKU\S-1-5-21-1683496192-1558496612-2049436320-1000_Classes\CLSID\{6D7AE628-FF41-4CD3-91DD-34825BB1A251}\localserver32 -> C:\Program Files\AutoCAD 2010\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-1683496192-1558496612-2049436320-1000_Classes\CLSID\{D70E31AD-2614-49F2-B0FC-ACA781D81F3E}\localserver32 -> C:\Program Files\AutoCAD 2010\acad.exe => Brak pliku Task: {3024F24C-2F63-4869-9E97-3A4DB12DEE66} - System32\Tasks\{7A80EA25-F443-4C12-86CC-C81FD6188362} => pcalua.exe -a C:\Users\Anna\Downloads\dotnetfx35.exe -d C:\Users\Anna\Downloads Task: {53D43E7B-014A-42C4-B8E0-79332B5954A9} - System32\Tasks\{099D642E-8946-46F1-9AD3-59CE2ACD8ADA} => pcalua.exe -a C:\Users\Anna\Downloads\SecureW2_EAP_Suite_200_CE.exe -d C:\Users\Anna\Downloads Task: {745D1956-D029-41AD-A452-B78B49438BFE} - System32\Tasks\{745761CE-D142-44B5-BC3E-ACAE84D276FE} => Chrome.exe hxxp://ui.skype.com/ui/0/7.6.0.105.259/pl/abandoninstall?page=tsProgressBar S3 catchme; \??\C:\Users\Anna\AppData\Local\Temp\catchme.sys [X] CHR HKLM\...\Chrome\Extension: [gbdabnfmdemcjjadpkpjibhhacggangd] - C:\Users\Anna\AppData\Local\Google\Chrome\User Data\Default\Extensions\novo_price_comparison.crx [2013-01-21] FF SearchEngineOrder.3: Bing FF Keyword.URL: hxxp://www.bing.com/search?FORM=UP97DF&PC=UP97&q= C:\Program Files\Mozilla Firefox\plugins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office\Microsoft Office Outlook 2007.lnk C:\Users\Anna\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\Anna\Desktop\pulpit\Kontynuuj instalację Microsoft Word 2013.lnk C:\Users\Anna\Desktop\pulpit\Opera.lnk C:\Users\Anna\Desktop\sprzataj\McAfee Security Scan Plus.lnk C:\Users\Anna\Downloads\Niepotwierdzony*.crdownload C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bing Bar" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Chew7Hale" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Desk 365" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eRclient" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Anna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Wyczyść Dzienniki zdarzeń, by nagrały się tylko bieżące błędy: Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. Rozwiń Dzienniki systemu Windows > z prawokliku na Aplikacja oraz System wyczyść. 6. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition (Shortcut nie jest mi już potrzebny), by powstały dwa logi. Dołącz też plik fixlog.txt.

Ta partia raportu była już sprawdzana i została przeze mnie zignorowana jako niepowiązana z zasadniczym problemem. Błędy widoczne w FRST Addition: Dziennik Aplikacja: ================== Error: (10/13/2015 04:17:33 PM) (Source: Userenv) (EventID: 1041) (User: ZARZĄDZANIE NT) Description: System Windows nie może wykonać kwerendy wpisu rejestru DllName dla aplikacji {CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}, która nie zostanie załadowana. Prawdopodobną przyczyną jest błąd rejestracji. Error: (10/13/2015 04:17:33 PM) (Source: Userenv) (EventID: 1041) (User: ZARZĄDZANIE NT) Description: System Windows nie może wykonać kwerendy wpisu rejestru DllName dla aplikacji {7B849a69-220F-451E-B3FE-2CB811AF94AE}, która nie zostanie załadowana. Prawdopodobną przyczyną jest błąd rejestracji. Nie mają znaczenia dla kondycji systemu. To są błędy związane z IE8 (referencje do klas IE8), sugerujące że on był już wcześniej instalowany i go odmontowano. Obecnie w systemie jest zintegrowany z XP stary IE6. Punktowałam aktualizację przeglądarki (sprawa kluczowa pod kątem zabezpieczeń). Dziennik System: ============= Error: (10/13/2015 04:19:07 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Lokalizator usługi zdalnego wywołania procedury (RPC) zależy od usługi Stacja robocza, której nie można uruchomić z powodu następującego błędu: %%1058 Error: (10/13/2015 04:19:07 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Dostęp do urządzeń interfejsu HID zakończyła działanie; wystąpił następujący błąd: %%2 Error: (10/13/2015 04:19:07 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Menedżer połączeń usługi Dostęp zdalny zależy od usługi Telefonia, której nie można uruchomić z powodu następującego błędu: %%1058 Error: (10/13/2015 04:19:07 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Menedżer autopołączenia dostępu zdalnego zależy od usługi Telefonia, której nie można uruchomić z powodu następującego błędu: %%1058 Error: (10/13/2015 04:19:07 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Przeglądarka komputera zależy od usługi Serwer, której nie można uruchomić z powodu następującego błędu: %%1058 Error: (10/13/2015 04:19:07 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Logowanie do sieci zależy od usługi Stacja robocza, której nie można uruchomić z powodu następującego błędu: %%1058 Error: (10/13/2015 04:19:07 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Automatyczna konfiguracja sieci przewodowej zależy od usługi Usługa protokołu uwierzytelniania rozszerzonego (EAP), której nie można uruchomić z powodu następującego błędu: %%1058 Error: (10/13/2015 04:10:34 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Lokalizator usługi zdalnego wywołania procedury (RPC) zależy od usługi Stacja robocza, której nie można uruchomić z powodu następującego błędu: %%1058 Error: (10/13/2015 04:10:34 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Dostęp do urządzeń interfejsu HID zakończyła działanie; wystąpił następujący błąd: %%2 Error: (10/13/2015 04:10:34 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Menedżer połączeń usługi Dostęp zdalny zależy od usługi Telefonia, której nie można uruchomić z powodu następującego błędu: %%1058 Wyłączyłeś określony zestaw usług (w moim rozumieniu: "by przyśpieszyć system"), to konsekwencje widać powyżej. To również nie powinno mieć znaczenia w kontekście zgłaszanych problemów.

Temat założony w dziale diagnostyki infekcji, infekcji brak, toteż temat przenoszę. Na razie do działu Windows, ale być może skończy się na Hardware. Pomyślny rozruch w trybie awaryjnym może, choć nie musi, oznaczać problem z jakim elementem w starcie. Ale równie dobrze to może być problem sprzętowy, który nie wychodzi na jaw w trybie awaryjnym, gdyż wtedy jest ładowany redukowany inny zestaw sterowników. Karta graficzna nadal nie jest wykluczona w kontekście sterowników - stare sterowniki ATI/AMD (nie ładują się w awaryjnym), dodatkowo są pewne ślady w systemie sugerujące, że częściowo ATI/AMD usuwano... Lub problem leży w innej partii sprzętu. Druga sprawa: w systemie są ślady wskazujące, że nie jest to oryginalny system Windows XP, lecz modyfikowany na poziomie płyty instalacyjnej (wycięte określone elementy). Na takich przeróbkach diagnostyka jest mocno utrudniona, a problemem może być też przerobiony system per se. Kto to wie co jeszcze w nim jest "niedomyślnego" czy "zintegrowanego". Na razie pozbądź się pewnych elementów startowych, głównie mam na myśli sterownik SPTD od DAEMOM Tools (jego deaktywacja spowoduje niemożność uruchomienia DAEMON) oraz MBAM, który zgłasza błędy w Dzienniku zdarzeń: Dziennik System: ============= Error: (10/15/2015 12:54:46 PM) (Source: Service Control Manager) (EventID: 7011) (User: ) Description: Limit czasu (30000 milisekund) podczas oczekiwania na odpowiedź transakcji z usługi MBAMService. 1. Sprawdź czy jesteś w stanie odinstalować z poziomu trybu awaryjnego dwie pozycje Malwarebytes' Anti-Malware, Malwarebytes Anti-Malware wersja 2.1.8.1057 oraz Ace Stream Media 2.3.0-next. Jeśli chodzi o MBAM, powinno być to możliwe, jeśli program nie jest oparty na Instalatorze Windows. Jeśli pojawi się błąd typu "Nie można uzyskać dostępu do Instalatora Windows", jest to program który nie może być deinstalowany w awaryjnym i należy porzucić próby. 2. Uruchom Autoruns i w karcie Logon odznacz następujące elementy startowe: AceStream (jeśli nie będzie się dało odinstalować w/w), AdobeAAMUpdater-1.0, ATIModeChange, HDAudDeck, LVCOMSX, MSMSGS, Octoshape Streaming Services, QuickTime Task. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: DisableService: sptd DisableService: helpsvc S3 SPLITCAM; system32\DRIVERS\splitcam.sys [X] HKLM\...\Run: [Onet.pl AutoUpdate] => "C:\Program Files\Common Files\Onet.pl\NewAutoUpdate.exe" /updateexe HKLM\...\Run: [startCCC] => "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun HKLM\...\Run: [userFaultCheck] => %systemroot%\system32\dumprep 0 -u GroupPolicyScripts\User: Ograniczenia CHR HomePage: Default -> hxxp://startsear.ch/?aff=1&cf=11bd6188-dbd9-11e0-9df7-0025221be0f1 CHR StartupUrls: Default -> "hxxp://startsear.ch/?aff=1&cf=11bd6188-dbd9-11e0-9df7-0025221be0f1","hxxp://google.pl/" FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{E29C3C25-6548-48BF-8388-2DBC7AF9C0F8} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{B1848A43-EC76-4772-B561-C72A776DA09E} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{9559E670-D87F-4B90-AD8E-6B0DAE4C26C1} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{7EFD3A1E-32A3-4BCC-99CF-1AC583976146} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{114BAE43-F25B-4143-8BAC-3C7E6972D81A} C:\Documents and Settings\All Users\Menu Start\Programy\Catalyst Control Center C:\Documents and Settings\krzysiekk\server.exe C:\Documents and Settings\krzysiekk\Pulpit\oli\Audacity.lnk C:\Documents and Settings\krzysiekk\Pulpit\Nowy folder (2)\z pulpitu\Konfiguracja.lnk C:\Documents and Settings\krzysiekk\Pulpit\Nowy folder (2)\z pulpitu\wszystko\Licznik Allegro.lnk C:\Documents and Settings\krzysiekk\Pulpit\Nowy folder (2)\z pulpitu\wszystko\Logitech QuickCam.lnk C:\Documents and Settings\krzysiekk\Pulpit\Nowy folder (2)\z pulpitu\wszystko\OpenFM.lnk C:\Documents and Settings\krzysiekk\Pulpit\Nowy folder (2)\z pulpitu\wszystko\Play The Lord of the Rings Online™ - FREE for 10 Days!.lnk C:\Documents and Settings\krzysiekk\Pulpit\Nowy folder (2)\z pulpitu\wszystko\Sony Ericsson PC Suite.lnk C:\Documents and Settings\krzysiekk\Pulpit\Nowy folder (2)\z pulpitu\wszystko\Spotify.lnk C:\Documents and Settings\krzysiekk\Pulpit\Nowy folder (2)\z pulpitu\wszystko\WinSCP.lnk C:\Documents and Settings\krzysiekk\Pulpit\Nowy folder (2)\z pulpitu\wszystko\Jonego\FIFA 13.lnk C:\Documents and Settings\krzysiekk\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Dzienniki zdarzeń, by nagrały się tylko bieżące błędy: Start > Uruchom > eventvwr.msc, z prawokliku na gałęzie Aplikacja i System wyczyść je. 5. Sprawdź czy da się uruchomić system w normalnym trybie. Niezależnie od tego zrób nowy log FRST z opcji Skanuj (Scan) - zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Temat przenoszę na diagnostykę sprzętową do działu Hardware. Dostarcz dane wymagane działem: KLIK. Kto inny prawdopodobnie się zajmie tematem, nie prowadzę tematów sprzętowych (nie jest to moja specjalizacja). Rozumiem, że masz na myśli "nie wykrywa drugiego dysku". Problem wygląda na sprzętowy, stąd dobór działu Hardware. Raporty FRST nie nadają się do diagnostyki sprzętowej. Jedyne co tu widać powiązanego, to te błędy kontrolera IDE w Dzienniku zdarzeń: System errors: ============= Error: (10/16/2015 09:41:45 PM) (Source: atapi) (EventID: 11) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Ide\IdePort3. Error: (10/16/2015 09:20:31 PM) (Source: atapi) (EventID: 11) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Ide\IdePort2.

Temat przenoszę do działu Windows. Nie ma oznak infekcji. vs. ==================== Punkty Przywracania systemu ========================= 25-09-2015 23:56:39 Zainstalowany program DirectX 28-09-2015 17:14:51 Zainstalowane Call of Duty® - World at War™ 02-10-2015 20:25:17 Usunięte Call of Duty® 2 06-10-2015 18:05:27 Windows Update 14-10-2015 18:45:47 Installed XSplit Gamecaster 15-10-2015 20:33:06 Zainstalowany program DirectX Użyj Przywracania systemu, wykorzystując jeden z punktów widocznych powyżej, do czasu sprzed instalacji nVidia. Po wykonaniu Przywracania systemu, o ile problem Kosza nadal będzie występował, usuń go za pomocą FRST. Przy okazji też odpadki po odinstalowanym pakiecie AV od McAfee. Otwórz Notatnik i wklej w nim: S4 0151381435399861mcinstcleanup; C:\WINDOWS\TEMP\015138~1.EXE [883024 2015-05-04] (McAfee, Inc.) S3 EagleX64; \??\C:\WINDOWS\system32\drivers\EagleX64.sys [X] HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey HKLM-x32\...\Run: [uSB Gamepad] => C:\WINDOWS\USB Vibration\dr100&110\USB Gamepad.exe -boot Winlogon\Notify\igfxcui: igfxdev.dll [X] FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" RemoveDirectory: C:\$RECYCLE.BIN EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Pokaż wynikowy fixlog.txt.

- Być może to była wyszukiwarka ustawiona jako domyślna. Domyślnej przeglądarki nie da się usunąć, o ile nie zostanie dobrana jako domyślna inna wyszukiwarka. - Zanik RealDownloader prawdopodobnie wynikał z usunięcia skryptem FRST powiązanego wejścia rejestru. Logi Shortcut nie były potrzebne ponownie, więc je usuwam. Wszystko pomyślnie przetworzone. Drobne poprawki zostały do wdrożenia: Na koncie Anka: 1. Obecnie brak zdefiniowanej domyślnej przeglądarki. Ustaw dowolną jako domyślną. 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. 3. Otwórz Notatnik i wklej w nim: BHO-x32: RealPlayer Download and Record Plugin for Internet Explorer -> {3049C3E9-B461-4BC5-8870-4C09146192CA} -> C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll => No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => No File Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {26E8287C-2B2C-4C5B-8A9C-976E087C1B63} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\KVRT_Data RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\Users\Anka\AppData\Local\Google RemoveDirectory: C:\Users\Anka\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Na koncie skaner: Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1293323331-2248878722-2786800865-1003\...\Run: [swg] => "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" Toolbar: HKU\S-1-5-21-1293323331-2248878722-2786800865-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Nie podałeś pliku fixlog.txt z wynikami przetwarzania skryptu. Ale to już w sumie możemy sobie darować, bo widzę pożądane zmiany w głównym logu FRST odpowiadające przeprowadzonym działaniom. Akcje pomyślnie przeprowadzone. Obecnie bieżące serwery DNS są od Google, ale nie zaktualizowały się dwa wejścia należące do innych interfejsów sieciowych: DNS Servers: 8.8.8.8 - 8.8.4.4 Tcpip\..\Interfaces\{21daf7b0-d9dc-46d5-8e9a-ba87fd2d7821}: [DhcpNameServer] 40.40.1.201 40.40.1.203 Tcpip\..\Interfaces\{6878ada7-258c-4883-9604-0435e87e029e}: [DhcpNameServer] 37.233.102.96 8.8.8.8 Tcpip\..\Interfaces\{c9119056-e5ea-4eac-a723-3c1660eff7cb}: [DhcpNameServer] 8.8.8.8 8.8.4.4 W związku z tym zostanie wymuszone ich usunięcie (aktualizacja). Otwórz Notatnik i wklej w nim: Tcpip\..\Interfaces\{21daf7b0-d9dc-46d5-8e9a-ba87fd2d7821}: [DhcpNameServer] 40.40.1.201 40.40.1.203 Tcpip\..\Interfaces\{6878ada7-258c-4883-9604-0435e87e029e}: [DhcpNameServer] 37.233.102.96 8.8.8.8 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Dostarcz rozszerzony raport FRST. Uruchom ponownie FRST, zaznacz opcję Lista BCD i zrób skan.