picasso

Nie widzę na razie sensu takich działań. A jeśli już krążysz wokół takich akcji, to pierwsza sprawa do weryfikacji to nie żadne przeładowanie całego Windowsa, tylko weryfikacja komponentów wtórnych - tzn. testowa deinstalacja ESET, by sprawdzić czy przypadkiem to nie on per se jest odpowiedzialny za zawieszenia.

Jeśli wykonasz reset do ustawień fabrycznych figurujący jako jeden z kroków w artykule, to na wszelki wypadek skopiuj aktualne ustawienia routera.

groovey, poproszę o ponowny log z FRST (włącznie z Addition).

Nie jestem w stanie stwierdzić dlaczego system się zacina podczas skanowania.

Czy ustawiłeś parę 8.8.8.8 + 8.8.4.4, tak by nie było replikacji 8.8.8.8 + 8.8.8.8? To jeden z zagrożonych modeli. Wykonaj aktualizację firmware: Jak zaktualizować oprogramowanie routera ADSL (dla TD-W8840T, TD-W8901G, TD-W8951ND oraz TD-W8961ND) Pobieranie firmware dla TD-W8961ND

Ta detekcja wygląda na fałszywy alarm (nie jest to rzeczywisty trojan): KLIK. NOD wykrywa w pamięci aktywność cracka Office: ==================== Scheduled Tasks (Whitelisted) ============= Task: {690810F5-6B80-4D15-B401-253C56989AF6} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-01-12] () Sprawdź czy są aktualizacje baz definicji ESET, a jeśli są to zaktualizuj program i podaj czy nadal jest ten "trojan" wykrywany. Nie zalecałam jeszcze żadnej akcji z Firefox. To co jest w spoilerze jest kierowane do jessiki, a "reset" tam wspominany to zamknięcie + ponowne uruchomienie Firefox (to aktualizuje dane w pliku extensions.ini). Zaś inny reset Firefox w rozumieniu utworzenia nowego profilu owszem miałam w planie po uzyskaniu danych co wykrywa ESET, wg tych kroków: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania

Skoro problem wrócił, to wskazuje na niezabezpieczenie routera. Test wykazujący dostęp od strony Internetu ponoć daje pozytywny rezultat. Ale czy na pewno zmieniłeś dane logowania do panelu? Druga sprawa: co to za model routera? Może się okazać konieczna aktualizacja firmware.

Nie zauważyłam, że masz archaiczną wersję Mozilla Firefox 12.0 (funkcja resetu jest od wersji 13). Firefox bardzo stary, więc w tej sytuacji zalecam całkowitą deinstalację (przy deinstalacji zaznacz usuwanie danych użytkownika), a po tym instalacja najnowszej wersji. Tak, logi muszą odbijać aktualną sytuację. To samo dotyczy się w/w akcji z Firefox.

Infekcja pomyślnie usunięta, teraz naprawa szkód z jej powodu: 1. Przywracanie systemu jest wyłączone: ==================== Restore Points ========================= ATTENTION: System Restore is disabled Wejdź w Panelu sterowania do opcji Przywracania systemu i zaznacz Ochronę dla dysku C. 2. Ponowna odbudowa skasowanej usługi Windows Defender. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system. Następnie zrób nowy log z Farbar Service Scanner.

Tylko Addition, Shortcut nie jest mi już potrzebny ponownie.

Zaznaczałam, że pliku nie ma, ale pozostał wpis startowy malware, więc nie szukaj tego na dysku. Adware zaś więcej niż jeden obiekt: FF Extension: Real Summer Sale - C:\Users\Ewa\AppData\Roaming\Mozilla\Firefox\Profiles\aa5nr8rp.default\Extensions\realsummersale1@realsummersale.com [2013-08-07] FF Extension: SmileysWeLove: Smileys for use with Facebook, GMail, and more - C:\Users\Ewa\AppData\Roaming\Mozilla\Firefox\Profiles\aa5nr8rp.default\Extensions\jid1-vW9nopuIAJiRHw@jetpack.xpi [2014-01-29] Czyli poprawki oraz korekta cześci błędów Usługi Protokół rozpoznawania nazw równorzędnych z Dziennika zdarzeń: 1. Odinstaluj przestarzałego i zbędnego Spybota. Sugeruję też pozbyć się starego preinstalowanego z systemem Norton Online Backup. 2. Konkretnie wyczyść Firefopx (proces likwiduje więcej niż może ujawnić to log z FRST): menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Otwórz Notatnik i wklej w nim: CreateRestorePoint: HKU\S-1-5-21-1842668911-658831082-982835230-1001\...\Run: [backUp4132664122] => C:\Users\Ewa\AppData\Roaming\BackUp4132664122.exe FF Plugin-x32: @java.com/JavaPlugin -> C:\Program Files (x86)\Java\jre1.8.0_40\bin\new_plugin\npjp2.dll No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh advfirewall reset C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking\idstore.* Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ma nastąpić restart systemu i powstanie kolejny plik fixlog.txt. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Zaznaczyłam, że chodzi mi tylko o dysk systemowy C (domyślne ustawienie systemu). Inne niesystemowe dyski wg uznania można lub i nie.

Instrukcja obrazkowa gdzie są opcje: KLIK. Tylko tu chodzi oczywioście o odwrotność, czyli włączenie funkcji a nie jej wyłączenie.

Działania do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 VSSS; C:\Users\Matti24a\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [98895424 2015-06-23] (Microsoft Corporation) [File not signed] S2 AntiVirMailService; C:\Program Files (x86)\Avira\AntiVir Desktop\avmailc7.exe [X] S2 AntiVirSchedulerService; "C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe" [X] S2 AntiVirService; "C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe" [X] S2 AntiVirWebService; C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe [X] HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKLM\...\Run: [installerLauncher] => "C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-4159-A75F-CFD0C7EA4FBF}\setuplauncher.exe" /run:"C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-41 (the data entry has 36 more characters). Task: {9A92D790-85D6-4EFF-A127-581114CE4915} - System32\Tasks\{520B5D5F-55BF-4452-B9CF-66CED3C82534} => pcalua.exe -a "D:\download\CH341SER Windows.EXE" -d D:\download Task: {A7B013D9-5B9A-4BFC-921C-135DB504EF5B} - System32\Tasks\{F826BDDD-2A1A-410E-BA01-78E673AF0A34} => pcalua.exe -a F:\download\plugins\ts3overlay\InstallHook.exe -d F:\download\plugins\ts3overlay HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\Program Files\*.exe C:\Program Files\kprocesshacker.sys C:\Program Files\Common Files\Bitdefender C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\1434299707.bdinstall.bin C:\ProgramData\bdch C:\ProgramData\BDLogging C:\Users\Matti24a\AppData\Local\Avg2015 C:\Users\Matti24a\AppData\Local\bdch C:\Users\Matti24a\AppData\Local\MFAData C:\Users\Matti24a\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe C:\Users\Matti24a\AppData\Roaming\QuickScan C:\Windows\SysWOW64\bdsandboxuiskin32.dll C:\Windows\system32\bdsandboxuiskin32.dll C:\Windows\system32\BDSandBoxUISkin.dll C:\Windows\system32\BDSandBoxUH.dll Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.

Skrypty są jednorazowe. Poprzednie są już nieaktualne. Nowe skrypty poprawkowe buduje się w oparciu o nowe raporty. Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S4 VSSS; C:\Users\Ola\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [105317504 2015-06-23] (Microsoft Corporation) [File not signed] C:\Users\Ola\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ma nastąpić restart. Powstanie kolejny fixlog.txt. 2. Infekcja skasowała usługę Windows Defender. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system. 3. Masz wyłączone Przywracanie systemu: ==================== Restore Points ========================= ATTENTION: System Restore is disabled Wejdź w Panelu sterowania do opcji Przywracania systemu i zaznacz Ochronę dla dysku C. 4. Przeinstaluj Avast: 5. Na koniec zrób nowy log FRST z opcji Scan (z Addition, ale bez Shortcut). Dołącz też plik fixlog.txt.

Oczywiście, to nadal aktualne. I po tym będą poprawki, bo w zmodyfikowanej wersji skryptu usługa malware została wyłączona, ale nie usunięta.

Spróbuj w Trybie awaryjnym wykonać zmodyfikowaną wersję skryptu: DisableService: VSSS HKLM-x32\...\Run: [TaskTray] => [X] Task: {3B1039D2-C7C9-4E40-B837-4EC757365118} - System32\Tasks\{6A8B768F-F083-40B1-836F-C0593A6F7036} => pcalua.exe -a C:\Windows\SysWOW64\Samsung_USB_Drivers\2\SSM_Uninstall.exe Task: {64D5FEE5-226B-4BB7-8F84-6534E66AE29E} - System32\Tasks\{E187F430-7B35-4A1A-AE6D-046292D2C464} => pcalua.exe -a C:\Windows\SysWOW64\Samsung_USB_Drivers\5\SSSDUninstall.exe Task: {6E8B6CAF-3F8C-4102-BFC2-C8D272673125} - System32\Tasks\{CBF18997-2AED-4BBC-A0A7-BDE79C1709B4} => C:\Program Files (x86)\Skype\\Phone\Skype.exe Task: {A8FD0B9A-7BD2-477D-9B7D-02CDDB7F7E8D} - System32\Tasks\{6BAB1883-5FF8-43B6-980F-F1E0700EC112} => pcalua.exe -a C:\Users\Ola\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor Task: {C2006566-8FF7-42F7-A069-E8E67E9E088C} - System32\Tasks\{F3BEEA16-6920-434F-ACB3-2A5D46C76928} => E:\Install.exe Task: {C78DD98D-4740-41A4-BC17-6E583F2E07AF} - System32\Tasks\{D8A5CD5D-4746-408A-88B5-E79D10FB5B11} => pcalua.exe -a E:\Setup.exe -d E:\ Task: {D0BB8E73-0E0C-41E3-A4EF-9949CC60F046} - System32\Tasks\{A562F978-FCA7-4A48-9546-50874C9FEB78} => Firefox.exe http://ui.skype.com/ui/0/5.3.0.120.259/pl/abandoninstall?source=lightinstaller&page=tsDownload&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:notoffered;systemlevelpresent Task: {F310FE67-9D68-401D-8F9A-3015F9025055} - System32\Tasks\{62B8DF6A-F8D0-4B3E-893E-CB533BFF500C} => C:\Program Files (x86)\Skype\\Phone\Skype.exe HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-1365672938-4047589735-543654078-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com BHO-x32: Winamp Toolbar Loader -> {4accc990-3dc7-4456-a734-5cb4b610a7f5} -> C:\Program Files (x86)\Winamp Toolbar\winamppltb.dll No File Toolbar: HKLM-x32 - Winamp Toolbar - {a0b1221c-a3ff-4f7c-a393-dc63af5301e9} - C:\Program Files (x86)\Winamp Toolbar\winamppltb.dll No File FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-1365672938-4047589735-543654078-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 C:\Program Files (x86)\mozilla firefox\plugins C:\Program Files\*.exe C:\Users\Ola\*.exe C:\Users\Ola\AppData\Roaming\obthqktxba.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reboot:

Na temat logów ogólnie: - Nazwy logów wskazują, że je wyciągasz z folderu C:\FRST\Logs. To jest archiwum starszych logów, bieżące powstają tam skąd uruchamiasz FRST i nie mają doczepionych suffiksów z datami. Tu niefortunnie FRST jest także uruchamiany z folderu C:\FRST. Przenieś go na Pulpit. - Posługujesz się starą wersją FRST "13-06-2015", najnowsza jest sprzed 3 dni. Pobierz ponownie FRST i zrób nowe raporty. Druga sprawa: logi nie udzielają żadnej odpowiedzi na temat przyczyn awarii ze startem. W Dzienniku zdarzeń widać owszem różne błędy, ale to nie powinno mieć związku z automatycznym resetem: System errors: ============= Error: (06/24/2015 09:17:36 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa Windows Update zawiesiła się podczas uruchamiania. Error: (06/24/2015 09:12:24 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (06/24/2015 09:12:24 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (06/24/2015 09:12:24 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (06/24/2015 09:12:24 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (06/24/2015 09:12:24 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (06/24/2015 09:12:24 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (06/24/2015 09:12:24 PM) (Source: PNRPSvc) (EventID: 102) (User: ) Description: 0x80630801 Error: (06/24/2015 09:12:24 PM) (Source: PNRPSvc) (EventID: 102) (User: ) Description: 0x80630801 Error: (06/24/2015 09:12:24 PM) (Source: PNRPSvc) (EventID: 102) (User: ) Description: 0x80630801 Do wyczyszczenia został jeszcze wpis startowy malware (ten plik BackUp4132664122.exe o który Cię pytano to był oczywisty szkodnik uruchamiany w starcie) oraz adware w Firefox.

Zrób standardowe raporty FRST (włącznie z Addition).

Pusty Fixlog oznacza, że Fixlist był także pusty (nie zapisałeś treści poprawnie w Notatniku)... Powtarzaj zadanie, tylko ze skryptu usuń pierwszą linię CloseProcesses:.

ganisz, przecież jest tylko jeden poradnik jak uruchomić FRST w WinRE. Jak wejść do WinRE już omawialiśmy, ale samo uruchomienie FRST w WinRE jest w pierwszym linku. I jak mówiłam: jeśli ta płyta którą posiadasz to DVD 32-bit, to musisz pobrać FRST 32-bit.

To jest przecież jawna infekcja: R2 VSSS; C:\Users\Matti24a\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [98895424 2015-06-23] (Microsoft Corporation) [File not signed] Wiadome już po samej nazwie systemowej usługi "VSSS" i lokalizacji pliku - taki twór nie istnieje w systemach Microsoftu. Ta usługa w oczywisty sposób próbuje wprowadzić w błąd nazwą, opisem procesu oraz "producentem" upodabniając się do usługi systemowej "VSS". matti24a, zanim przejdę do usuwania poproszę o świeży log z FRST.

W teorii wersja WinRE oraz zainstalowanego systemu powinny być zgodne. Ale jeśli nie są i tak da się zrobić log z FRST (tylko ważne, by bity FRST były zgodne z bitami WinRE), FRST zgłosi po prostu w logu, że jest niezgodność ze skanowanym systemem, ale ja umiem nanieść poprawki na taką rozbieżność.

Tak, już poprawiłam literówkę - źle zedytowałam wpis i zamiast mi zastąpić nazwy, skleiło je.

Kaja Zacznijmy od najważniejszej nie podanej tu informacji: dokładne przeklejenie wyniku ESET z jego raportu, wykazujące jak detekcja jest sformułowana (ścieżki dostępu), bo "wirus w pamięci operacyjnej" to tylko ogólnik i milion możliwości. jessika W spoilerze drobny komentarz: