picasso

Sprecyzuj jakie problemy konkretnie w systemie są, że przymierzasz się do reinstalacji. Fix FRST usunął wprawdzie infekcję z systemu, ale nic nie wykonał na pendrive, bo nie znalazł w ogóle dysku "H:". Czy pendrive na pewno był podpięty podczas akcji? A folder "bez nazwy" utworzony przez infekcję cały czas na pendrive jest tylko go nie widzisz: [13/07/2015 - 14:05:22 | SHD] - H:\ Fix FRST miał go odkryć. To się nie wykonało. Włącz pokazywanie ukrytych systemowych plików: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odptaszkuj Ukryj chronione pliki systemu operacyjnego. Po tej akcji zaległy krok:

Tak, wiem że System Volume Information tam był (nie widziałeś go). To folder Przywracania systemu, tworzony na wszystkich dostępnych dyskach. Często Windows tworzy go także na urządzeniach USB typu pendrive, co nie ma dużego sensu ze względu na migracje urządzeń i naruszenia integralności tego folderu. Ten folder owszem możemy usunąć, tylko pewnie system go ponownie odtworzy przy kolejnym podpinaniu. Jeśli chcesz się go pozbyć tymczasowo, to: Otwórz Notatnik i wklej w nim: RemoveDirectory: K:\System Volume Information Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

A jaki powód wgrywania systemu od nowa? Poza tym, problem stanu pendrive, który notabene jest sprawny jako urządzenie, jest podrzędny w stosunku do tego co się dzieje w systemie - na pendrive nie ma nic szczególnego (skrót infekcji i ukryty folder "bez nazwy" w którym są dane). Opis tego zjawiska: KLIK. To czynna infekcja w systemie ma negatywny wpływ obecnie (a nie pendrive, tam są tylko skutki), m.in. zamulenie i blokada programów zabezpieczających, dodatkowo sterowniki adware są mocno inwazyjne, ich pobyt skutkuje problemami sieciowymi oraz konfliktami z innymi (np. na forum notowane błędy sterowników grafiki czy nawet BSOD). Akcje do wykonania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {255a824a-3cde-4dee-9785-284605606456}Gw; C:\Windows\System32\drivers\{255a824a-3cde-4dee-9785-284605606456}Gw.sys [43200 2014-10-28] (StdLib) R1 {71841b04-1cf8-4575-bb09-affe4c54c593}Gw; C:\Windows\System32\drivers\{71841b04-1cf8-4575-bb09-affe4c54c593}Gw.sys [43152 2015-03-16] (StdLib) R1 {b0c7827f-c845-429a-833b-c2a798fc4fc3}Gw; C:\Windows\System32\drivers\{b0c7827f-c845-429a-833b-c2a798fc4fc3}Gw.sys [43152 2014-10-25] (StdLib) R1 {f5d136d7-adc2-4c84-85b2-e564334ab0bc}Gw; C:\Windows\System32\drivers\{f5d136d7-adc2-4c84-85b2-e564334ab0bc}Gw.sys [43152 2014-10-24] (StdLib) R1 {fc7329ef-e953-454c-8e78-ed2cf0acb2ef}Gw; C:\Windows\System32\drivers\{fc7329ef-e953-454c-8e78-ed2cf0acb2ef}Gw.sys [43200 2014-10-31] (StdLib) R4 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X] R2 MaintainerSvc1.20.7247763; C:\ProgramData\d2446020-ddff-402b-b064-199d2ce66b2b\maintainer.exe [128232 2015-07-13] () R2 VSSS; C:\Users\Bartek\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [100135104 2015-06-23] (Microsoft Corporation) [File not signed] HKLM\...\RunOnce: [] => [X] HKU\S-1-5-21-3193886611-3762004184-2434545920-1000\...\CurrentVersion\Windows: [Load] C:\ProgramData\mscrzoj.exe Task: {84655EDB-A879-4D42-A5CD-7E38AA16DC35} - System32\Tasks\DLL-files.com Fixer_UPDATES => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe Task: {FAEABC3B-9CD4-4DF9-84B4-B0C9DB948128} - System32\Tasks\{057538BB-3AA7-4662-BE43-EBFDDB1FA145} => Firefox.exe http://ui.skype.com/ui/0/7.1.59.105/pl/abandoninstall?page=tsProgressBar Task: C:\Windows\Tasks\DLL-files.com Fixer_UPDATES.job => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Program Files\*.exe C:\ProgramData\mscrzoj.exe C:\ProgramData\d2446020-ddff-402b-b064-199d2ce66b2b C:\Users\Bartek\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe C:\Windows\System32\drivers\{255a824a-3cde-4dee-9785-284605606456}Gw.sys C:\Windows\System32\drivers\{71841b04-1cf8-4575-bb09-affe4c54c593}Gw.sys C:\Windows\System32\drivers\{b0c7827f-c845-429a-833b-c2a798fc4fc3}Gw.sys C:\Windows\System32\drivers\{f5d136d7-adc2-4c84-85b2-e564334ab0bc}Gw.sys C:\Windows\System32\drivers\{fc7329ef-e953-454c-8e78-ed2cf0acb2ef}Gw.sys H:\Removable Drive (16GB).lnk CMD: attrib /d /s -s -h H:\* CMD: netsh advfirewall reset Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows, Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Po akcji wejdź na pendrive. Powinien być widoczny folder "bez nazwy" - to do niego infekcja przesunęła wszystkie dane. Przenieś je poziom wyżej, a folder przez SHIFT+DEL (omija Kosz) skasuj. 3. Infekcja wyłączyła Przywracanie systemu: ==================== Restore Points ========================= ATTENTION: System Restore is disabled Wejdź do konfiguracji Przywracania: KLIK. Zaznacz Ochronę dla dysku C. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz USBFix z opcji Listing. Dołącz też plik fixlog.txt. Wypowiedz się jak działa system, gdyż po w/w usuwaniu powinien znacznie przyśpieszyć, powinna się też poprawić łączność sieciowa.

Na obu urządzeniach są nadal obiekty infekcji, tylko ich prawdopodobnie nie widzisz. Nawiasem mówiąc, tu jest opis jaka sztuczka socjotechniczna została zastosowana: KLIK. 1. Włącz pokazywanie ukrytych systemowych plików: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odptaszkuj Ukryj chronione pliki systemu operacyjnego. Po tej akcji na obu pendrive pojawią się foldery "bez nazwy" utworzone przez infekcję, do których infekcja przesuwa dane użytkownika. Wejdź do tych folderów, przenieś z nich poziom wyżej co ważne, a następnie oba foldery przez SHIFT+DEL skasuj. 2. Zrób nowy log USBFix z opcji Listing.

Zapomniałeś dodać ten log:

Poproszę o inny log z USBFix - z opcji Listing. Gdy go otrzymam, zajmę się usuwaniem omawianej infekcji oraz adware (kupa szkodliwych sterowników).

Skoro był na VirusTotal skanowany bardzo konkretny zainfekowany plik "Steam.exe_backup" (najwyraźniej pochodzący z dysku), to infekcja była jak najbardziej po stronie komputera (zainfekowany lokalny Steam). Logi przedstawione w pierwszym temacie są mocno zmanipulowane Przywracaniem systemu, więc nie wiadomo jaki obraz był pierwotnie. A nawet gdyby nie użyto Przywracania, FRST w ogóle nie skanuje katalogów Steam i jego plików, więc podmienione pliki aplikacji i tak nie byłyby odnotowane.

Log wskazuje na infekcję routera - widzę Cię na forum pod IP Netii, a z routera były po kolei pobierane adresy z Holandii i USA: KLIK / KLIK. Tcpip\Parameters: [DhcpNameServer] 185.56.30.189 8.8.8.8 Tcpip\Parameters: [DhcpNameServer] 207.182.150.116 8.8.8.8 Prócz tego w raporcie widać różne ślady po ingerencji adware. Akcje do przeprowadzenia: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Akcje "kosmetyczne". Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKLM-x32\...\Run: [Malwarebytes Anti-Exploit] => E:\Programy\Malwarebytes Anti-Exploit\mbae.exe Task: {0814FF4D-D090-46B4-AF2E-F968124E2658} - \Core Temp Autostart 8066_000 No Task File Task: {4B4019DD-AF9B-4FE3-8040-E33F537B791B} - \GoogleUpdateTaskMachineCore No Task File Task: {8482594D-2039-4EA2-9536-34C78FD567D7} - \GoogleUpdateTaskMachineUA No Task File Task: {CD28C0F4-735C-4476-A301-2BABAEAFA3D9} - \CCleanerSkipUAC No Task File Task: {FBD7E586-E959-4AA1-A94D-3E0959296D73} - System32\Tasks\BookKeep => c:\programdata\{58aefea8-2760-f298-58ae-efea8276faa0}\samsung_usb_driver_for_mobile_phones.exe-1435915449926.exe Task: C:\Windows\Tasks\BookKeep.job => c:\programdata\{58aefea8-2760-f298-58ae-efea8276faa0}\samsung_usb_driver_for_mobile_phones.exe-1435915449926.exe C:\Program Files (x86)\eyeCare Protect your vision C:\ProgramData\Malwarebytes Anti-Exploit C:\Users\8066_000\AppData\Local\Temp.dat C:\Users\8066_000\AppData\Local\Mozilla C:\Users\8066_000\AppData\Roaming\Mozilla Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W logu FRST nazwa jednego z rozszerzeń Google Chrome nie jest pobrana prawidłowo. Na wszelki wypadek wykonaj te akcje w Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują. Podaj też dokładny model posiadanego routera.

Od czasu Twojego tematu już dawno rozpracowałam o co chodzi z błędem 80096001 (TRUST_E_SYSTEM_ERROR) jako konsekwencją ingerencji tej starej wersji ZeroAccess. Generują go uszkodzone przez ZeroAccess uprawnienia w obrębie katalogu: C:\Windows\System32\config\systemprofile\AppData. Problem Windows Update jest notowany w Process Monitor w taki oto sposób: 19:38:55,9588240 svchost.exe 984 CreateFile C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\SystemCertificates\My\Certificates ACCESS DENIED Desired Access: Read Data/List Directory, Synchronize, Disposition: Open, Options: Directory, Synchronous IO Non-Alert, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a Żaden z podanych tu logów nie wykrywa tego rodzaju usterki. Dane należy pobrać ręcznie: Otwórz Notatnik i wklej w nim: ListPermissions: C:\Windows\System32\config\systemprofile\AppData ListPermissions: C:\Windows\System32\config\systemprofile\AppData\Local ListPermissions: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft ListPermissions: C:\Windows\System32\config\systemprofile\AppData\LocalLow ListPermissions: C:\Windows\System32\config\systemprofile\AppData\LocalLow\Microsoft ListPermissions: C:\Windows\System32\config\systemprofile\AppData\Roaming ListPermissions: C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft Folder: C:\Windows\System32\config\systemprofile\AppData Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. PS. A potem zajmę się innymi śmieciami widocznymi w raportach.

jessika Usunęłaś poprawne wpisy - zabezpieczenie wprowadzone przez CryptoPrevent: ==================== Installed Programs ====================== CryptoPrevent (HKLM\...\{5C5B24E7-4694-4049-A222-CCE7D3FAC63F}_is1) (Version: - Foolish IT LLC) HKLM Group Policy restriction on software: *.bmp*.pif HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*\*.jse HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*.js HKLM Group Policy restriction on software: *.ppt*.exe HKLM Group Policy restriction on software: *.jpeg*.com HKLM Group Policy restriction on software: %allusersprofile%\*.cmd HKLM Group Policy restriction on software: %userprofile%\AppData\*.bat HKLM Group Policy restriction on software: %userprofile%\AppData\Local\*.jse HKLM Group Policy restriction on software: *.pptx*.scr HKLM Group Policy restriction on software: *.jpg*.jse HKLM Group Policy restriction on software: *.wma*.cmd HKLM Group Policy restriction on software: %appdata%\*\*.pif HKLM Group Policy restriction on software: *.mp4*.jse HKLM Group Policy restriction on software: *.zip*.scr HKLM Group Policy restriction on software: *.pdf*.com HKLM Group Policy restriction on software: %programdata%\*.jse HKLM Group Policy restriction on software: vssadmin.exe HKLM Group Policy restriction on software: *.pptx*.cmd HKLM Group Policy restriction on software: *.wma*.bat HKLM Group Policy restriction on software: *.ppt*.cmd HKLM Group Policy restriction on software: *.bmp*.com HKLM Group Policy restriction on software: *.xls*.bat HKLM Group Policy restriction on software: *.xlsx*.bat HKLM Group Policy restriction on software: *.rtf*.js HKLM Group Policy restriction on software: *.7z*.scr HKLM Group Policy restriction on software: *.txt*.bat HKLM Group Policy restriction on software: *.wmv*.bat HKLM Group Policy restriction on software: *.divx*.pif HKLM Group Policy restriction on software: *.mp4*.com HKLM Group Policy restriction on software: %userprofile%\Appdata\Roaming\Microsoft\Windows\IEUpdate\*.exe HKLM Group Policy restriction on software: *.pub*.scr HKLM Group Policy restriction on software: *.docx*.scr HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*.pif HKLM Group Policy restriction on software: C:\Users\*.jse HKLM Group Policy restriction on software: *.avi*.bat HKLM Group Policy restriction on software: *.mp4*.pif HKLM Group Policy restriction on software: lsassw86s.exe HKLM Group Policy restriction on software: *.jpg*.cmd HKLM Group Policy restriction on software: *.pub*.js HKLM Group Policy restriction on software: *.xls*.jse HKLM Group Policy restriction on software: %appdata%\*.bat HKLM Group Policy restriction on software: *.jpeg*.js HKLM Group Policy restriction on software: %userprofile%\AppData\Local\*.com HKLM Group Policy restriction on software: *.docx*.exe HKLM Group Policy restriction on software: *.pptx*.pif HKLM Group Policy restriction on software: *.7z*.js HKLM Group Policy restriction on software: *.docx*.com HKLM Group Policy restriction on software: *.wav*.com HKLM Group Policy restriction on software: *.pptx*.bat HKLM Group Policy restriction on software: %userprofile%\*.bat HKLM Group Policy restriction on software: *.png*.pif HKLM Group Policy restriction on software: *.xls*.scr HKLM Group Policy restriction on software: *.pdf*.pif HKLM Group Policy restriction on software: *.wmv*.cmd HKLM Group Policy restriction on software: *.wma*.jse HKLM Group Policy restriction on software: *.wma*.com HKLM Group Policy restriction on software: *.ppt*.js HKLM Group Policy restriction on software: *.rtf*.com HKLM Group Policy restriction on software: *.divx*.exe HKLM Group Policy restriction on software: *.docx*.jse HKLM Group Policy restriction on software: %userprofile%\AppData\Local\*.js HKLM Group Policy restriction on software: *:\$Recycle.Bin HKLM Group Policy restriction on software: %allusersprofile%\*.js HKLM Group Policy restriction on software: *.wav*.pif HKLM Group Policy restriction on software: %appdata%\*.scr HKLM Group Policy restriction on software: %appdata%\*.pif HKLM Group Policy restriction on software: *.mp3*.js HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.scr HKLM Group Policy restriction on software: *.pdf*.js HKLM Group Policy restriction on software: *.xls*.com HKLM Group Policy restriction on software: *.ppt*.scr HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.js HKLM Group Policy restriction on software: %appdata%\*\*.js HKLM Group Policy restriction on software: *.wmv*.exe HKLM Group Policy restriction on software: *.wmv*.js HKLM Group Policy restriction on software: *.gif*.cmd HKLM Group Policy restriction on software: *.wav*.jse HKLM Group Policy restriction on software: %userprofile%\*.cmd HKLM Group Policy restriction on software: *.doc*.jse HKLM Group Policy restriction on software: *.wav*.scr HKLM Group Policy restriction on software: %userprofile%\AppData\Local\*.exe HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*\*.scr HKLM Group Policy restriction on software: %userprofile%\AppData\*.jse HKLM Group Policy restriction on software: *.gif*.scr HKLM Group Policy restriction on software: *.7z*.cmd HKLM Group Policy restriction on software: *.doc*.com HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.bat HKLM Group Policy restriction on software: %userprofile%\*.pif HKLM Group Policy restriction on software: *.rtf*.exe HKLM Group Policy restriction on software: %programdata%\*\svchost.exe HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*\*.exe HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*.js HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*.jse HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.exe HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*.cmd HKLM Group Policy restriction on software: *.doc*.exe HKLM Group Policy restriction on software: %userprofile%\AppData\Local\*.pif HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*.exe HKLM Group Policy restriction on software: *.rtf*.jse HKLM Group Policy restriction on software: *.xls*.cmd HKLM Group Policy restriction on software: %appdata%\*\*.bat HKLM Group Policy restriction on software: *.mp4*.bat HKLM Group Policy restriction on software: *.mp3*.bat HKLM Group Policy restriction on software: %userprofile%\AppData\*.js HKLM Group Policy restriction on software: *.txt*.com HKLM Group Policy restriction on software: *.ppt*.com HKLM Group Policy restriction on software: *.xlsx*.com HKLM Group Policy restriction on software: %appdata%\*.exe HKLM Group Policy restriction on software: %allusersprofile%\*.bat HKLM Group Policy restriction on software: *.doc*.js HKLM Group Policy restriction on software: *.pdf*.cmd HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*\*.cmd HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*\*.js HKLM Group Policy restriction on software: *.jpeg*.exe HKLM Group Policy restriction on software: *.mp3*.exe HKLM Group Policy restriction on software: *.zip*.cmd HKLM Group Policy restriction on software: *.7z*.jse HKLM Group Policy restriction on software: *.7z*.pif HKLM Group Policy restriction on software: *.doc*.pif HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*\*.com HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*.pif HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*\*.pif HKLM Group Policy restriction on software: %userprofile%\AppData\*.scr HKLM Group Policy restriction on software: *.pub*.com HKLM Group Policy restriction on software: %userprofile%\*.exe HKLM Group Policy restriction on software: %programdata%\*.cmd HKLM Group Policy restriction on software: *.xlsx*.jse HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*.exe HKLM Group Policy restriction on software: *.rar*.js HKLM Group Policy restriction on software: *.png*.exe HKLM Group Policy restriction on software: %programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.bat HKLM Group Policy restriction on software: *.rtf*.pif HKLM Group Policy restriction on software: %programdata%\*.com HKLM Group Policy restriction on software: *.xlsx*.exe HKLM Group Policy restriction on software: %userprofile%\*.com HKLM Group Policy restriction on software: %programdata%\*.bat HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*\*.scr HKLM Group Policy restriction on software: *.pdf*.exe HKLM Group Policy restriction on software: %appdata%\*.cmd HKLM Group Policy restriction on software: *.pub*.bat HKLM Group Policy restriction on software: *.rar*.scr HKLM Group Policy restriction on software: *.mp3*.cmd HKLM Group Policy restriction on software: ** HKLM Group Policy restriction on software: *.rtf*.bat HKLM Group Policy restriction on software: *.xlsx*.pif HKLM Group Policy restriction on software: *.rar*.exe HKLM Group Policy restriction on software: %userprofile%\*.scr HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*\*.exe HKLM Group Policy restriction on software: *.pptx*.com HKLM Group Policy restriction on software: *.jpeg*.bat HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*.scr HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*\*.cmd HKLM Group Policy restriction on software: *.bmp*.exe HKLM Group Policy restriction on software: *.bmp*.cmd HKLM Group Policy restriction on software: *.pptx*.exe HKLM Group Policy restriction on software: *.jpg*.scr HKLM Group Policy restriction on software: *.divx*.cmd HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.jse HKLM Group Policy restriction on software: *.pdf*.scr HKLM Group Policy restriction on software: cipher.exe HKLM Group Policy restriction on software: *.avi*.exe HKLM Group Policy restriction on software: *.jpg*.com HKLM Group Policy restriction on software: *.png*.bat HKLM Group Policy restriction on software: *.jpg*.pif HKLM Group Policy restriction on software: *.mp3*.scr HKLM Group Policy restriction on software: C:\Users\*.bat HKLM Group Policy restriction on software: *.zip*.pif HKLM Group Policy restriction on software: lsassvrtdbks.exe HKLM Group Policy restriction on software: *.rar*.com HKLM Group Policy restriction on software: %userprofile%\*.jse HKLM Group Policy restriction on software: *.mp3*.jse HKLM Group Policy restriction on software: %appdata%\*.js HKLM Group Policy restriction on software: %programdata%\*.exe HKLM Group Policy restriction on software: *.txt*.cmd HKLM Group Policy restriction on software: *.gif*.exe HKLM Group Policy restriction on software: %userprofile%\AppData\*.cmd HKLM Group Policy restriction on software: %allusersprofile%\*.exe HKLM Group Policy restriction on software: %appdata%\*.jse HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*.jse HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*\*.bat HKLM Group Policy restriction on software: *.ppt*.jse HKLM Group Policy restriction on software: %programdata%\*.scr HKLM Group Policy restriction on software: *.zip*.bat HKLM Group Policy restriction on software: *.xls*.pif HKLM Group Policy restriction on software: %appdata%\*\*.com HKLM Group Policy restriction on software: *.wmv*.pif HKLM Group Policy restriction on software: *.divx*.js HKLM Group Policy restriction on software: *.xlsx*.scr HKLM Group Policy restriction on software: *.xls*.js HKLM Group Policy restriction on software: %programfiles%\*\svchost.exe HKLM Group Policy restriction on software: *.wma*.scr HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*.com HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*\*.jse HKLM Group Policy restriction on software: *.7z*.com HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.com HKLM Group Policy restriction on software: *.txt*.exe HKLM Group Policy restriction on software: %allusersprofile%\*.com HKLM Group Policy restriction on software: *.png*.cmd HKLM Group Policy restriction on software: %userprofile%\AppData\*.com HKLM Group Policy restriction on software: %programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.exe HKLM Group Policy restriction on software: *.avi*.jse HKLM Group Policy restriction on software: *.bmp*.scr HKLM Group Policy restriction on software: scsvserv.exe HKLM Group Policy restriction on software: *.pub*.exe HKLM Group Policy restriction on software: *.docx*.pif HKLM Group Policy restriction on software: *.avi*.js HKLM Group Policy restriction on software: C:\Users\*.pif HKLM Group Policy restriction on software: %appdata%\*\*.scr HKLM Group Policy restriction on software: *.jpg*.js HKLM Group Policy restriction on software: *.bmp*.jse HKLM Group Policy restriction on software: *.7z*.bat HKLM Group Policy restriction on software: *.ppt*.bat HKLM Group Policy restriction on software: *.pdf*.bat HKLM Group Policy restriction on software: %programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.pif HKLM Group Policy restriction on software: %programdata%\*.pif HKLM Group Policy restriction on software: *.txt*.pif HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*.com HKLM Group Policy restriction on software: *.png*.com HKLM Group Policy restriction on software: *.mp4*.js HKLM Group Policy restriction on software: *.pdf*.jse HKLM Group Policy restriction on software: *.wmv*.jse HKLM Group Policy restriction on software: *.mp3*.pif HKLM Group Policy restriction on software: *.wma*.exe HKLM Group Policy restriction on software: *.bmp*.bat HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*.bat HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.cmd HKLM Group Policy restriction on software: *.doc*.cmd HKLM Group Policy restriction on software: *.jpeg*.jse HKLM Group Policy restriction on software: *.mp3*.com HKLM Group Policy restriction on software: %userprofile%\AppData\Local\*.scr HKLM Group Policy restriction on software: *.rar*.jse HKLM Group Policy restriction on software: %allusersprofile%\*.jse HKLM Group Policy restriction on software: *.jpg*.bat HKLM Group Policy restriction on software: *.gif*.pif HKLM Group Policy restriction on software: %programdata%\*.js HKLM Group Policy restriction on software: *.zip*.jse HKLM Group Policy restriction on software: %appdata%\*\*.exe HKLM Group Policy restriction on software: *.divx*.jse HKLM Group Policy restriction on software: *.jpeg*.scr HKLM Group Policy restriction on software: *.doc*.bat HKLM Group Policy restriction on software: *.rtf*.scr HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*\*.bat HKLM Group Policy restriction on software: *.wma*.js HKLM Group Policy restriction on software: *.wav*.js HKLM Group Policy restriction on software: *.wav*.exe HKLM Group Policy restriction on software: *.png*.js HKLM Group Policy restriction on software: %programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.cmd HKLM Group Policy restriction on software: *.gif*.jse HKLM Group Policy restriction on software: %userprofile%\AppData\*.exe HKLM Group Policy restriction on software: *.avi*.pif HKLM Group Policy restriction on software: *.wmv*.scr HKLM Group Policy restriction on software: C:\Users\*.js HKLM Group Policy restriction on software: *.mp4*.cmd HKLM Group Policy restriction on software: *.docx*.bat HKLM Group Policy restriction on software: *.png*.jse HKLM Group Policy restriction on software: *.wmv*.com HKLM Group Policy restriction on software: *.wav*.cmd HKLM Group Policy restriction on software: *.jpeg*.pif HKLM Group Policy restriction on software: *.avi*.com HKLM Group Policy restriction on software: *.docx*.js HKLM Group Policy restriction on software: *.pub*.cmd HKLM Group Policy restriction on software: *.avi*.scr HKLM Group Policy restriction on software: %allusersprofile%\*.scr HKLM Group Policy restriction on software: *.wav*.bat HKLM Group Policy restriction on software: *.txt*.jse HKLM Group Policy restriction on software: %userprofile%\*.js HKLM Group Policy restriction on software: %programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.scr HKLM Group Policy restriction on software: *.xls*.exe HKLM Group Policy restriction on software: *.pub*.pif HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*.bat HKLM Group Policy restriction on software: %programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.com HKLM Group Policy restriction on software: syskey.exe HKLM Group Policy restriction on software: *.doc*.scr HKLM Group Policy restriction on software: *.mp4*.scr HKLM Group Policy restriction on software: %programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.jse HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*\*.js HKLM Group Policy restriction on software: *.rar*.bat HKLM Group Policy restriction on software: *.avi*.cmd HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.pif HKLM Group Policy restriction on software: *.divx*.bat HKLM Group Policy restriction on software: *.gif*.js HKLM Group Policy restriction on software: *.mp4*.exe HKLM Group Policy restriction on software: %appdata%\*.com HKLM Group Policy restriction on software: *.xlsx*.cmd HKLM Group Policy restriction on software: *.rtf*.cmd HKLM Group Policy restriction on software: *.gif*.bat HKLM Group Policy restriction on software: *.divx*.com HKLM Group Policy restriction on software: %allusersprofile%\*.pif HKLM Group Policy restriction on software: *.png*.scr HKLM Group Policy restriction on software: *.txt*.scr HKLM Group Policy restriction on software: *.wma*.pif HKLM Group Policy restriction on software: *.rar*.cmd HKLM Group Policy restriction on software: C:\Users\*.cmd HKLM Group Policy restriction on software: %appdata%\*\*.jse HKLM Group Policy restriction on software: *.divx*.scr HKLM Group Policy restriction on software: *.txt*.js HKLM Group Policy restriction on software: *.pptx*.jse HKLM Group Policy restriction on software: %systemdrive%\*\svchost.exe HKLM Group Policy restriction on software: *.ppt*.pif HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*.cmd HKLM Group Policy restriction on software: *.pub*.jse HKLM Group Policy restriction on software: C:\Users\*.exe HKLM Group Policy restriction on software: *.jpg*.exe HKLM Group Policy restriction on software: *.gif*.com HKLM Group Policy restriction on software: %programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.js HKLM Group Policy restriction on software: %appdata%\*\*.cmd HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*.scr HKLM Group Policy restriction on software: *.7z*.exe HKLM Group Policy restriction on software: %userprofile%\AppData\Local\*.cmd HKLM Group Policy restriction on software: *.bmp*.js HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*\*.pif HKLM Group Policy restriction on software: *.jpeg*.cmd HKLM Group Policy restriction on software: *.xlsx*.js HKLM Group Policy restriction on software: *.docx*.cmd HKLM Group Policy restriction on software: *.rar*.pif HKLM Group Policy restriction on software: %userprofile%\AppData\Local\*.bat HKLM Group Policy restriction on software: C:\Users\*.scr HKLM Group Policy restriction on software: *.zip*.com HKLM Group Policy restriction on software: *.zip*.js HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*\*.com HKLM Group Policy restriction on software: *.zip*.exe HKLM Group Policy restriction on software: *.pptx*.js HKLM Group Policy restriction on software: %userprofile%\AppData\*.pif artus72 1. Uszkodzona konfiguracja CryptoPrevent: jeśli program tego nie odtworzy, przeładuj wszystko ręcznie. 2. Dalsze poprawki na szczątki adware (ClientConnect Ltd.) i inne. Pobierz ponownie FRST. Do Notatnika wklej: CustomCLSID: HKU\S-1-5-21-3698236117-931745765-820054799-1001_Classes\CLSID\{1BBF13E0-551E-42DD-91F4-1A547443FFDA}\InprocServer32 -> C:\Users\Artur\AppData\Local\Tbccint\Community Alerts\Alert.dll (ClientConnect Ltd.) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKU\S-1-5-21-3698236117-931745765-820054799-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3698236117-931745765-820054799-1001 -> {AFDBDDAA-5D3F-42EE-B79C-185A7020515B} URL = C:\Users\Artur\AppData\Local\Tbccint C:\Users\Artur\AppData\Roaming\21903 C:\Users\Artur\AppData\Roaming\Opera Software Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentyuj wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Zastosuj Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

To niepożądana strona, której celem jest promocja wątpliwego SpyHunter! Ten "usuwacz" tam linkowany to właśnie SpyHunter! Akcje do przeprowadzenia: 1. Przez Panel sterowania odinstaluj adware Filter Results. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = Task: {12190775-F808-4BCF-97E4-80FD0CCB6142} - System32\Tasks\{82755EDF-06E7-4E0B-BA3A-3C4747A74AB1} => pcalua.exe -a "D:\Program Files (x86)\Origin Games\Battlefield 4\pbsetup\pbsetup.exe" -d "d:\Program Files (x86)\Origin Games\Battlefield 4\pbsetup\" Task: {46E92FCE-3AD4-489E-AC9B-910EE04246AF} - System32\Tasks\{137ED739-9843-4330-91EB-E967832C2F5C} => pcalua.exe -a "D:\Program Files (x86)\Origin Games\Battlefield 3\pbsetup\pbsetup.exe" -d "d:\Program Files (x86)\Origin Games\Battlefield 3\pbsetup\" Task: {696A5BD8-981C-430C-AE54-0EE8099A00A3} - System32\Tasks\{DF5ADF64-D091-465B-AA36-D7B72AC621F8} => pcalua.exe -a "G:\Pobrane Opera\pbsetup\pbsetup\pbsetup.exe" -d "g:\Pobrane Opera\pbsetup\pbsetup\" S3 ALSysIO; \??\C:\Users\Piotr\AppData\Local\Temp\ALSysIO64.sys [X] C:\Program Files (x86)\Filter Results C:\Program Files (x86)\Common Files\f08cac26-e74f-49b4-9ff1-f081aa55e1b3 C:\ProgramData\f08cac26-e74f-49b4-9ff1-f081aa55e1b3 C:\Users\Piotr\AppData\Roaming\Opera Software C:\Users\Public\Documents\Baidu EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Filter Results Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. W systemie obecnie jest stara Opera 12.17 - FRST jej nie skanuje, więc sprawdź jej konfigurację ręcznie. A to co od Opery widać w FRST (adware też tam siedzi) to ścieżka nowszych wersji Opera 15+ i w całości ją usuwam. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też fixlog.txt. Wypowiedz się czy problemy ustąpiły we wszystkich przeglądarkach.

Nie jest wykluczone, że ESET nie jest tu optymalnym rozwiązaniem. Skoro tworzy problemy, nie instaluj go ponownie. Jeśli to są te same detekcje co poprzednio, to już mówiłam że przyczyną jest crack Office (nie jest to infekcja, ale wiadomo że nielegalne manipulacje). Możesz cracka wyłączyć lub usunąć na stałe posługując się Autoruns - w karcie Scheduled Tasks odznaczyć lub skasować zadanie o nazwie AutoKMS. Następnie reset komputera i ręczne usunięcie z dysku folderu C:\Windows\AutoKMS.

Logi OTL nie są tu obowiązkowe - usuwam Extras. Brak za to trzeciego pliku FRST Shortcut. Wg raportu FRST infekcja USB nie jest czynna po stronie systemu - są tylko puste odpadki, ale są za to różne aktywne obiekty adware (w tym aktywny sterownik). Urządzenia USB trzeba będzie sprawdzić z osobna. Akcje wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 wafd_1_10_0_19; C:\Windows\System32\drivers\wafd_1_10_0_19.sys [61312 2015-06-16] (WA) S2 wasvc_1.10.0.19; "C:\Program Files (x86)\WordAnchor_1.10.0.19\Service\wasvc.exe" [X] HKLM\...\Run: [] => [X] Startup: C:\Users\Gosia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\t.lnk [2015-06-07] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-06-13] Task: {85176E1D-EFA0-4099-ABA4-3038072167AC} - System32\Tasks\Opera N Sunday => C:\Program Files (x86)\Opera\launcher.exe Task: {FA4755F3-56EE-40D9-9F16-FCB829A23697} - System32\Tasks\Opera N Saturday => C:\Program Files (x86)\Opera\launcher.exe C:\Program Files (x86)\Opera C:\ProgramData\f08cac26-e74f-49b4-9ff1-f081aa55e1b3 C:\Users\Gosia\AppData\Local\Opera Software C:\Users\Gosia\AppData\Roaming\Opera Software C:\Users\Gosia\AppData\Roaming\GoldenGate C:\Users\Gosia\AppData\Roaming\Shortcut C:\Windows\System32\drivers\wafd_1_10_0_19.sys Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj sponsora Avast SafePrice. 4. Zrób nowy log FRST z opcji Scan (bez Addition, ale zaznacz pole Shortcut) oraz USBFix z opcji Listing przy podpiętych zainfekowanych urządzeniach USB. Dołącz też plik fixlog.txt.

Logi FRST (wykonane już po uruchomieniu AdwCleaner) pokazują jawną infekcję - poniższy wpis produkuje zgłoszenia URL:Mal. CustomCLSID: HKU\S-1-5-21-1325929751-658327043-1420750288-1001_Classes\CLSID\{2D349E57-23E4-4A67-9624-F1DC6B65AABF}\InprocServer32 -> C:\ProgramData\{F66CB4EE-546F-4D54-9332-216DE189AAB0}\kdcom.dll (Mpotsraoor oictifnrCo) 2015-06-30 17:21 - 2015-06-30 17:21 - 00000000 ____D C:\ProgramData\Windows Genuine Advantage 2015-06-30 17:20 - 2015-06-30 17:21 - 00000000 ___HD C:\ProgramData\{F66CB4EE-546F-4D54-9332-216DE189AAB0} Do przeprowadzenia następująca akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-1325929751-658327043-1420750288-1001_Classes\CLSID\{2D349E57-23E4-4A67-9624-F1DC6B65AABF}\InprocServer32 -> C:\ProgramData\{F66CB4EE-546F-4D54-9332-216DE189AAB0}\kdcom.dll (Mpotsraoor oictifnrCo) HKU\S-1-5-21-1325929751-658327043-1420750288-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-07-01] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" C:\ProgramData\{F66CB4EE-546F-4D54-9332-216DE189AAB0} C:\ProgramData\Windows Genuine Advantage C:\Windows\%LOCALAPPDATA% EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj sponsoringowe rozszerzenie Avast SafePrice. 3. Zrób nowy log FRST z opcji Scan - zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Task Manager Extension Strona domowa Platforma: Windows XP, Vista 32-bit i 64-bit Licencja: freeware Task Manager Extension - Wtyczka dla systemowego menedżera procesów XP i Vista dodająca m.in. pokazywanie modułów, mapę pamięci, uchwyty, otwarte pliki, właściwości plików. Jest to kontynuacja starego projektu Task Manager Extension nieaktualizowanego od roku 2007, która po kilku latach braku aktywności uzyskała kompatybilność z systemem Vista i edycjami 64-bit. Na chwilę obecną wtyczka nie działa jednak poprawnie na Windows 7, menedżer zamyka się z błędem. Do pobrania dwie osobne wersje, odpowiednio dla systemów 32-bit i 64-bit.

Adux, zdaję sobie sprawę, że moje niedyspozycje mają niekorzystny wpływ, a ostatnio mogłam pracować tylko "zrywami". Wybaczcie, że nie spowiadam się tu szczegółowo ze spraw osobistych / zdrowotnych. Jeśli rzecz o tytułowym wątku: Bardzo długo zwlekałam z przyznaniem dodatkowej oficjalnej pomocy, wielokrotnie motywując powód zasadniczy (kompetencje - widziane inaczej oczami przeciętnego widza niż oczami specjalisty tematyki). Niestety, gdy podjęłam decyzję zgodną z oczekiwaniami ogółu, myśląc że rozwiązuję część problemu, wtrącił się wypadek losowy, w obliczu którego nie mogę kwestionować nieobecności drugiej osoby. W chwili obecnej nie zdecyduję się na kolejnego pomocnika "z łapanki", po dwóch nieudanych próbach nie robię trzeciej. Nie zostaje mi nic innego niż osobiście się zająć sprawami, cierpliwie oczekując aż Naathim ureguluje sprawy prywatne.

Aktualizacja 3.4.8 (zawierająca jednak brakujące łatki niedostępne w singlu) okazała się być tak drobna, że została wykonana w ekspresowym tempie. Gdyby ktoś coś dziwnego zauważył, proszę tu zgłaszać błędy.

GiveMePower (GMP) Strona domowa Platforma: Windows XP do Windows 10 32-bit i 64-bit Licencja: freeware GiveMePower (GMP) - Jest to nakładka graficzna integrująca konsolowe narzędzie PAExec (niezależna replika narzędzia PsExec), zredukowana do określonej funkcjonalności. Aplikacja jest bardzo uproszczona, udostępnia tylko przycisk przeglądania umożliwiający wskazanie programu który ma zostać zastartowany w kontekście konta SYSTEM. Wymagania: .NET Framework 2.0 lub nowszy.

Brakuje pliku fixlog.txt z wynikami usuwania. Powinien być w folderze E:\downloads. PS. Nie ma po co zmieniać nazwy raportom, jest wiadome który jest który. Nie prosiłam też ponownie o Shortcut i GMER, te usuwam.

Brak oznak infekcji. Kategoria: Alert dotyczący wydajności Data i godzina,Zagrożenie,Operacje,Stan,Zalecane działanie 2015-07-02 11:30:49,Informacje,Wysokie użycie Odczyt dysku przez: Proces hosta dla usług systemu Windows ,Wykryte,Nie jest wymagane żadne działanie 2015-07-02 10:53:56,Informacje,Wysokie użycie Pamięć przez: Proces hosta dla usług systemu Windows ,Wykryte,Nie jest wymagane żadne działanie 2015-07-01 04:34:08,Informacje,"Wysokie użycie Odczyt dysku, Zapis dysku przez: Google Chrome ",Wykryte,Nie jest wymagane żadne działanie 2015-06-29 14:30:41,Informacje,Wysokie użycie Zapis dysku przez: Proces hosta dla usług systemu Windows ,Wykryte,Nie jest wymagane żadne działanie 2015-06-28 15:04:29,Informacje,Wysokie użycie Pamięć przez: Proces hosta dla usług systemu Windows ,Wykryte,Nie jest wymagane żadne działanie Nic z tego nie wynika. To jest ogólnikowa detekcja wskazująca tylko na svchost.exe bez szczegółów o którą instancję procesu chodzi (jest kilka w procesach uruchomionych) i jakie usługi są nań podmontowane (każda instancja procesu svchost.exe ma przypisaną inną pulę usług). 1. Do usunięcia tylko drobne puste (i nie związane z infekcjami) wpisy. Otwórz Notatnik i wklej: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File Task: {4143BCA8-C235-477D-8EA3-9A979EBBD909} - System32\Tasks\{B5024A63-5535-4CA9-86D5-5121842A3072} => pcalua.exe -a "C:\Program Files (x86)\Xilisoft\Video Converter Ultimate 6\Uninstall.exe" Task: {4E2A56E8-2FF6-47D9-8E56-8CAE7E62772D} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe Task: {B5ACB932-810A-4CD9-B9AF-BF244352F0BE} - System32\Tasks\{3EAF8A8D-B7DE-4FB1-AF80-FD1549F4CAE9} => pcalua.exe -a "C:\Program Files (x86)\Essential Data Tools\AnyReader\UninsHs.exe" -c /u0={AEB8F226-C238-4636-A289-E540B725B5BB} C:\ProgramData\wmzddnmb.cix C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Recovery Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Dziennik zdarzeń rysuje problem w całkiem innym miejscu, tzn. uszkodzenia systemu plików: System errors: ============= Error: (07/02/2015 00:12:30 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie C:. Error: (07/02/2015 00:12:30 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie \Device\HarddiskVolume2. Error: (07/02/2015 00:12:30 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie \Device\HarddiskVolume2. Error: (07/02/2015 11:57:45 AM) (Source: Ntfs) (EventID: 55) (User: ) Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie \Device\HarddiskVolume2. Error: (07/02/2015 11:35:24 AM) (Source: Application Popup) (EventID: 877) (User: ) Description: Wystąpił błąd [DATABASE OPEN FAILED] podczas przetwarzania bazy danych sterowników. Dostosuj się do komunikatu (uruchomienie checkdisk). Proponuję też udać się na wszelki wypadek na diagnostykę sprezętową dysku do działu Hardware, dostarczając wymagane materiały: KLIK.

Podane logi FRST są niepoprawne: FRST.txt prawie cały pusty, Addition.txt także obcięty. Zrób je od nowa.

W ostatnim raporcie FRST brak śladów adware w Firefox. Na wszelki wypadek podaj kolejne logi FRST (włącznie z Addition). Log powinien być zapisany na dysku, w przeciwnym wypadku nie otworzyłby się Notatnik. Nie wiem o co tu chodzi, że logów nie możesz znaleźć na dysku... Może COMODO blokuje zapis plików?

1. Skanery wykryły tylko drobnostki, tzn: Ciastka w Google Chrome (Hitman) oraz szczątki adware (MBAM). To czego jeszcze nie usunąłeś programami, dokasuj. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Były różne infekcje. Na wszelki wypadek zmień wszystkie hasła logowania w serwisach (np. bank, poczta). 4. Proponuję też od razu zabezpieczyć cenne dane z dysku C, na którym są wykryte złe bloki, na zewnętrznym nośniku. Następnie udaj się do działu Hardware, załóż tam temat z wymaganymi danymi: KLIK. Zlinkuj im tu do mojego posta wskazującego odczyt złych bloków, by była wiadoma geneza tematu: KLIK.

Operacja pomyślnie wykonana. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Infekcja pomyślnie usunięta. Na zakończenie: 1. Usuń używane narzędzia za pomocą DelFix. Pobrany GMER dokasuj ręcznie. 2. Wyczyść foldery Przywracania systemu: KLIK 3. Zaktualizuj systemowy Internet explorer z wersji 9 do 11 (nawet jeśli go nie używasz): KLIK.