picasso

Akcja pomyślnie wykonana. Na zakończenie: 1. Zastosuj DelFix oraz zaktualizuj Javę: KLIK. 2. Poczytaj czego unikać: KLIK.

Temat przenoszę do działu Windows. To nie jest także problem infekcji. Żadnych oznak tego typu. Ponadto, w logach nie ma żadnych konkretów umożliwiających zdiagnozowanie problemu. Czy po tych manipulacjach z pamięcią wirtualną nastąpiła ogólna poprawa w działaniu (a nie tylko ustąpienie wymienianego błędu)? Drugie pytanie: Twoja wypowiedź sugeruje, że Windows był tweakowany, to może przesadziłeś z "konfiguracjami" - co jeszcze było wykonywane? PS. Uruchom Autoruns i w karcie Logon usuń te puste wpisy: HKLM-x32\...\Run: [Andy] => C:\Program Files\Andy\HandyAndy.exe HKLM\...\Run: [HotKeysCmds] => "C:\Windows\system32\hkcmd.exe" HKLM\...\Run: [Persistence] => "C:\Windows\system32\igfxpers.exe" Winlogon\Notify\igfxcui: igfxdev.dll [X]

Tak jak już sugerowałam, wina leżała w tym dwóch sterownikach usuwanych przez AdwCleaner. W świeżych raportach nic czynnego, do wdrożenia tylko kosmetyka: Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {6C34154C-2ACC-4D1F-BF89-97C2B7DA3827} - System32\Tasks\{55C68180-4C9B-4DCC-80B6-D49FC34C3B02} => Iexplore.exe http://g.msn.com/1ewplpl70/SettingsPrivacy Task: {74E5A720-3161-43FE-8C13-46FED2A8BC92} - System32\Tasks\{DC690892-BCE5-4C1F-9F75-3AA30C0C2A34} => pcalua.exe -a C:\Users\Konrad\Downloads\INPA\Driver_D_CAN_USB\OBDSetup.exe -d C:\Users\Konrad\Downloads\INPA\Driver_D_CAN_USB Winlogon\Notify\igfxcui: igfxdev.dll [X] ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=AV01 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-2656408151-2057117993-761135209-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 HKU\S-1-5-21-2656408151-2057117993-761135209-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=AV01 HKU\S-1-5-21-2656408151-2057117993-761135209-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.msn.com/?pc=AV01 SearchScopes: HKLM -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-2656408151-2057117993-761135209-1001 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowy skan FRST nie jest mi już potrzebny.

Jaki powód podwójnego uruchomienia? Fix jest jednorazowy i nie wykona ponownie tego samego. W Fixlog od góry do dołu "not found", bo już to zostało usunięte za pierwszm razem. Pomijając to, ten śmierdziel Tibia usunięty. Ale: 1. W raporcie nie ma śladów tego czyszczenia i nadal są puste wpisy: Powtórz zadanie. 2. W międzyczasie nowe niekorzystne zmiany. Zainstalowałeś Alcohol 120%, który jest sponsorowany przez niepożądany progam Smart File Advisor. Nie wiem jak to jest w wersji Alcohol 120%, ale w Alcohol 52% ten "Advisor" jest trwale zintegrowany i ma zszarzone pole wyboru przy instalacji Alcohola (!), więc teoretycznie nie da się tego uniknąć. Jest to jednak możliwe: należy podczas instalacji Alcohola odciąć połączenie sieciowe, co uniemożliwi instalację tego "Advisora". Czyli: odinstaluj Smart File Advisor (jeśli to instalacja sprzężona, usunie to też Alcohol), a jeśli Alcohol niezbędny ponów jego instalację wg podanych kroków z brakiem sieci. 3. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition (ale nie Shortcut).

Tym razem akcja wykonana. Zapomniałeś zrobić nowy skan FRST. Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DoNotAskAgain /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\OldSearch" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

W skrypcie i tak pobierałam informacje o tym co leży w root dysków. Pliki autorun.inf są na obu partycjach, C i D, na dodatek na C jest powiązany folder "Recycled". Otwórz Notatnik i wklej w nim: HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k Toolbar: HKU\S-1-5-21-57989841-329068152-725345543-1004 -> No Name - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No File C:\Documents and Settings\All Users\Dane aplikacji\Adobe C:\Documents and Settings\All Users\Dane aplikacji\Google C:\Documents and Settings\All Users\Menu Start\Programy\OpenOffice.org 3.0 C:\Documents and Settings\Edytka\Dane aplikacji\OpenOffice.org3 C:\Documents and Settings\Edytka\Ustawienia lokalne\Dane aplikacji\Adobe C:\Documents and Settings\Edytka\Ustawienia lokalne\Dane aplikacji\Google C:\Program Files\Adobe C:\Program Files\Google C:\Program Files\Mozilla Firefox C:\Program Files\OpenOffice.org 3 RemoveDirectory: C:\found.000 RemoveDirectory: C:\Recycled CMD: attrib -r -s -h C:\autorun.inf CMD: attrib -r -s -h D:\autorun.inf CMD: del /q C:\autorun.inf CMD: del /q D:\autorun.inf Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt. I wypowiedź się jakie nadal są problemy w systemie.

Zasady działu i instrukcje tworzenia raportów nie do końca przeczytane. Brak plików FRST Shortcut oraz GMER. Brak pliku Shortcut = nie ma pełnych informacji o zainstalowanych programach, ani o hijackerach skrótów. W tej sytuacji prawdopodobnie będzie więcej etapów. Adware nabyłeś uruchamiając ten lewy plik, to "downloader" ze śmieciami a nie zasadniczy plik instalacyjny: 2015-05-05 10:47 - 2015-05-05 10:47 - 00912912 _____ () C:\Users\sylwester\Downloads\The Witcher 3 Wild Hunt Key Ge Downloader__3687_i1509675887_il225070.exe 1. Deinstalacje: ----> Przez Panel sterowania odinstaluj: - Adware/PUP: GamesDesktop 008.109, Support PL 1.1, 百度卫士4.0, 百度杀毒3.0. Te dwa chińskie krzaki to Baidu Antivirus i jego Guard. - Stare wersje: Java™ 6 Update 22, Java 8 Update 31, OpenOffice.org 3.3. ----> Ze względu na brak pliku Shortcut nie wiadomo czy jest deinstalator Tencent, a musi być on użyty w pierwszej kolejności, by w naturalny sposób odładować inwazyjne sterowniki. Wejdź do katalogu C:\Program Files (x86)\Tencent i sprawdź czy jest plik deinstalacyjny. Jeśli tak, z prawokliku "Uruchom jako Administrator". Nie próbuj usuwać folderu ręcznie, to nie jest poprawna deinstalacja i zostawi śmietnisko w rejestrze. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 BrsHelper; C:\Program Files (x86)\YTDownloader\BrowserHelperSrv.exe [112560 2015-05-04] () S3 SPBIUpdd; C:\Program Files\Common Files\ShopperPro\spbiw.sys [41624 2015-05-03] () R2 wimuhube; C:\Users\sylwester\AppData\Roaming\1F97B14F-1430815727-E411-B2A0-F0761C0D1586\jnsvE064.tmp [282624 2015-05-05] () [File not signed] S1 BDEnhanceBoost; system32\drivers\BDEnhanceBoost.sys [X] S1 BDFileDefend; system32\DRIVERS\BDFileDefend.sys [X] S1 BdSandBox; system32\DRIVERS\BdSandBox.sys [X] S2 be0fb33b; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\Supporter\Supporter.dll",serv S2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [X] S2 SPBIUpd; C:\Program Files\Common Files\ShopperPro\spbiu.exe /service [X] S2 Update Solution Real; "C:\Program Files (x86)\Solution Real\updateSolutionReal.exe" [X] S2 Util Solution Real; "C:\Program Files (x86)\Solution Real\bin\utilSolutionReal.exe" [X] S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] R2 zozubuly; C:\Users\sylwester\AppData\Roaming\1F97B14F-1430815727-E411-B2A0-F0761C0D1586\nsv96F0.tmpfs [X] Task: {2FCAFB02-9473-4DD3-8A06-04321DE29513} - System32\Tasks\ba6afebe-441e-49b1-b747-d99be83e7b16-7 => C:\Program Files (x86)\iWebar\ba6afebe-441e-49b1-b747-d99be83e7b16-7.exe Task: {30619AD9-B1B8-4ECF-A6FE-C3835FFF5822} - System32\Tasks\ba6afebe-441e-49b1-b747-d99be83e7b16-6 => C:\Program Files (x86)\iWebar\ba6afebe-441e-49b1-b747-d99be83e7b16-6.exe Task: {6AC99ECF-8C64-4DFF-BC7C-42DA8B59FAFA} - System32\Tasks\YTDownloaderUpd => C:\Program Files (x86)\YTDownloader\updater.exe Task: {75A384B9-BB10-4A37-9D4F-3F95281DF1DB} - System32\Tasks\89d90637-1f52-4aec-bef1-c9717c432fe7-11 => C:\Program Files (x86)\Object Browser\89d90637-1f52-4aec-bef1-c9717c432fe7-11.exe Task: {C2888F08-D8ED-4D63-852A-80FDCBFEF8A0} - System32\Tasks\ShopperProJSUpd => C:\Program Files (x86)\ShopperPro\updater.exe Task: {C7A1E98C-C370-414A-9409-F5D394DD6882} - System32\Tasks\ba6afebe-441e-49b1-b747-d99be83e7b16-11 => C:\Program Files (x86)\iWebar\ba6afebe-441e-49b1-b747-d99be83e7b16-11.exe Task: {CBEF023B-9039-48F9-BFAF-8A93C5C8030C} - System32\Tasks\{763A0328-264A-486E-8B59-A950A9949513} => pcalua.exe -a C:\Users\sylwester\Downloads\LeagueofLegends_EUW_Installer_9_15_2014.exe -d C:\Windows\SysWOW64 -c /groupsextract:100;101;102; /out:"C:\Users\sylwester\AppData\Roaming\Riot Games\League of Legends\prerequisites" /callbackid:2532 Task: C:\Windows\Tasks\temp_ba6afebe-441e-49b1-b747-d99be83e7b16-6.job => C:\Program Files (x86)\iWebar\ba6afebe-441e-49b1-b747-d99be83e7b16-6.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM-x32\...\Run: [mbot_pl_194] => [X] HKLM-x32\...\Run: [gmsd_pl_109] => "C:\Program Files (x86)\gmsd_pl_109\gmsd_pl_109.exe" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1421788717&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=91932766_hao_pg HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421788658&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421788658&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421788717&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421788717&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421788658&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421788658&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&q={searchTerms} HKU\S-1-5-21-2770005542-1391010283-3734432884-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421788717&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&q={searchTerms} HKU\S-1-5-21-2770005542-1391010283-3734432884-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=91932766_hao_pg HKU\S-1-5-21-2770005542-1391010283-3734432884-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421788717&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653 HKU\S-1-5-21-2770005542-1391010283-3734432884-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421788717&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&q={searchTerms} SearchScopes: HKU\S-1-5-21-2770005542-1391010283-3734432884-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421788717&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&q={searchTerms} SearchScopes: HKU\S-1-5-21-2770005542-1391010283-3734432884-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&ts=1421788733&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2770005542-1391010283-3734432884-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&ts=1421788733&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2770005542-1391010283-3734432884-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421788717&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&q={searchTerms} SearchScopes: HKU\S-1-5-21-2770005542-1391010283-3734432884-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&ts=1421788733&type=default&q={searchTerms} BHO-x32: Solution Real 1.0.0.7 -> {1bb456da-878f-44a5-b013-4bfe0ae02fce} -> C:\Program Files (x86)\Solution Real\SolutionRealBHO.dll No File BHO-x32: No Name -> {b608cc98-54de-4775-96c9-097de398500c} -> No File FF Plugin-x32: @baidu.com/BaidusdDetectNPPlugin -> C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\explugin\npBaiduSDDetectPlug.dll [2014-11-06] (百度在线网络技术（北京）有限公司) FF Plugin-x32: @qq.com/QQPCMgr -> C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\npQMExtensionsMozilla.dll [2015-05-05] (Tencent Technology (Shenzhen) Company Limited) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll No File FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll No File FF SearchPlugin: C:\Users\sylwester\AppData\Roaming\Mozilla\Firefox\Profiles\401j7pod.default\searchplugins\omiga-plus.xml [2015-01-31] FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\sylwester\AppData\Roaming\Mozilla\Firefox\Profiles\401j7pod.default\extensions\fftoolbar2014@etech.com C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\gmsd_pl_109 C:\Program Files (x86)\iWebar C:\Program Files (x86)\Object Browser C:\Program Files (x86)\predm C:\Program Files (x86)\ShopperPro C:\Program Files (x86)\Supporter C:\Program Files (x86)\YTDownloader C:\Program Files\Common Files\ShopperPro C:\ProgramData\{4c69cab7-2cf1-b47e-4c69-9cab72cf2adc} C:\ProgramData\15987269045763179288 C:\ProgramData\KingSoft C:\ProgramData\ShopperPro C:\Users\sylwester\AppData\Local\Temp-log.txt C:\Users\sylwester\AppData\Local\BrowserHelper C:\Users\sylwester\AppData\Local\globalUpdate C:\Users\sylwester\AppData\Local\gmsd_pl_109 C:\Users\sylwester\AppData\Roaming\1F97B14F-1430815727-E411-B2A0-F0761C0D1586 C:\Users\Public\Documents\ShopperPro C:\Users\sylwester\Downloads\The Witcher 3 Wild Hunt Key Ge Downloader__3687_i1509675887_il225070.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh advfirewall reset CMD: netsh winsock reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\sylwester\AppData\Local CMD: dir /a C:\Users\sylwester\AppData\LocalLow CMD: dir /a C:\Users\sylwester\AppData\Roaming Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 4. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Solution Real Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Wyczyść Operę: CTRL+SHIFT+E i z listy rozszerzeń usuń przy udziale iksa adware iWebar. 6. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy raporty. Dołącz też plik fixlog.txt.

Cóż, nie ma kopii zapasowej rejestru ERUNT, została usunięta. Czyli nie posiadasz żadnej kopii zapasowej sprzed uruchomienia ComboFix. Sprawdź czy sieć zacznie działać, jeśli ustawisz na sztywno serwery DNS Google 8.8.8.8 (Podstawowy) + 8.8.4.4 (Zapasowy) i zresetujesz komputer: KLIK.

To co powiedziałam post wyżej nadal aktualne. Fixlog wprawdzie powstał, ale on przedstawia opisywany defekt, czyli zawieszenie na CreateRestorePoint:. Nic nie wykonało się. Tak więc wytnij tę komendę i powtórz zadanie.

Nie ma folderu C:\WINDOWS1\ERDNT\Hiv-backup. Może jest tam podfolder sUBS, o ile oczywiście nie uziemiono tej kopii ComboFix. Podaj spis zawartości folderu: Do Notatnika wklej: Folder: C:\WINDOWS1\ERDNT Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt

To nie jest normalne. Zakończ pracę FRST, wytnij ze skryptu linię CreateRestorePoint: i ponów próbę.

- Tu jeszcze niezbyt czysty Firefox oraz na dysku szczątkowe Google Chrome w wersji "dev". W całości należało usuwać wszystko od Google, a nie przetwarzać pojedyncze rozszerzenia z martwego profilu. Nawiasem mówiąc, usuwanie rozszerzeń adware skryptem FRST nie usuwa ich z preferencji i pozostają widoczne na liście = jak wyłożone w tutorialu, zalecana metoda to deinstalacja w opcjach a nie skrypt FRST. To samo dotyczy Opery. - Po ukończeniu czyszczenia coś należy zrobić z archaizmen ESET z 2009 (!). A ten "MBAM Portable" (nie wiem skąd pobrany, ale to nie jest wersja producenta) to nie portable - na dysku porozrzucane różne elementy (usuwam skryptem). 1. Odinstaluj te niezdrowe truposze sprzed kilkunastu lat: Nimo Codecs Pack v5.0, SLD CODEC PACK 1.5. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Po akcji trzeba będzie przeinstalować Adblock Plus. menu Historia > Wyczyść historię przeglądania 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DisableService: PLAY ONLINE. RunOuc C:\Program Files\Google C:\ProgramData\Malwarebytes' Anti-Malware (portable) C:\ProgramData\Malwarebytes C:\Users\Monia\AppData\Local\Google C:\Users\Monia\AppData\Roaming\LiveSupport.exe_log.txt C:\Users\Monia\AppData\Roaming\regsvr32.exe_log.txt C:\Windows\system32\Drivers\MBAMSwissArmy.sys C:\Windows\system32\Drivers\mbamchameleon.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Po restarcie zaprezentuj fixlog.txt.

Na pendrive są ślady infekcji - ukryty folder F:\BUBAVII. Drobnostki do wykonania: 1. Pendrive ma być podpięty, zakładam, że nadal pod literą F: widziany, w przeciwnym wypadku w poniższym skrypcie wymień literę F: bieżącą. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 BlueletAudio; system32\DRIVERS\blueletaudio.sys [X] S3 BlueletSCOAudio; system32\DRIVERS\BlueletSCOAudio.sys [X] S3 BT; system32\DRIVERS\btnetdrv.sys [X] S3 Btcsrusb; System32\Drivers\btcusb.sys [X] S0 BTHidEnum; System32\Drivers\vbtenum.sys [X] S0 BTHidMgr; System32\Drivers\BTHidMgr.sys [X] S3 GPU-Z; \??\C:\DOCUME~1\Admin\USTAWI~1\Temp\GPU-Z.sys [X] S1 mailKmd; No ImagePath S3 massfilter; system32\drivers\massfilter.sys [X] S3 VComm; system32\DRIVERS\VComm.sys [X] S3 VcommMgr; System32\Drivers\VcommMgr.sys [X] S1 Wbutton; \SystemRoot\system32\drivers\Wbutton.sys [X] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] HKLM\...\RunOnce: [] => [X] BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\Admin\Pulpit\Continue DAEMON Tools Lite installation.lnk C:\Documents and Settings\Admin\Pulpit\Recovery-Info.lnk C:\Documents and Settings\Default User\Pulpit\Recovery-Info.lnk C:\Documents and Settings\użytkownik\Pulpit\Recovery-Info.lnk C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Common Files\*.DLL C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\pss\McAfee Security Scan Plus.lnkCommon Startup C:\WINDOWS\pss\Symantec Fax Starter Edition Port.lnkCommon Startup F:\AUTORUN.INF RemoveDirectory: F:\BUBAVII RemoveDirectory: F:\FOUND.000 Folder: C:\AddOn CMD: del /q C:\REMOVE_THIS_FILE.livecd.swap CMD: netsh firewall reset Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Symantec Fax Starter Edition Port.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CanonMyPrinter" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CanonSolutionMenu" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PKTray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Temat czyszczę ze śmieci i przenoszę do działu Windows. Użycie ComboFix nic nie wniosło do sprawy, program nic nie usuwał. I nic tu nie wskazuje na problem infekcji jako przyczyny spowolnienia systemu. Objaśnij też co oznacza tytułowy "ToolboxBitmap32" - co to właściwie znaczy i gdzie to się pokazuje. Na razie do wykonania: 1. W spoilerze szybkie doczyszczanie wpisów pustych i szczątków przeglądarek (Firefox i Opera). To w niczym nie pomoże i nie "odlaguje" systemu, to kosmetyka i nic poza tym. 2. Usunięcie odpadkowego lecz aktywnego sterownika Avast, który filtruje klawiaturę: R0 aswKbd; C:\Windows\System32\Drivers\aswKbd.sys [22600 2013-03-07] (AVAST Software) Celowo wyizolowane ze skryptu, bo jeśli skrypt napotka jakiś błąd, odetnie Cię od klawiatury, ręcznie większa kontrola. Poza tym czegoś się nauczysz. Start do Trybu awaryjnego. Start > w polu szukania wpisz regedit > i wykonaj: ---- W kluczu klasy klawiatur: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} Dwuklik w wartość UpperFilters i wytnij frazę aswKbd, ale nie usuwaj systemowego kbdclass. ----> Skasuj klucz: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aswKbd Następnie zresetuj system, wejdź do Trybu normalnego i skasuj z dysku plik: C:\Windows\System32\Drivers\aswKbd.sys 3. Kompleksowa aktualizacja systemu, bo fatalny stan, goły Windows 7, brak SP1 + IE11 + reszty. Aktualizacja może mieć znaczenie w kontekście sprawności systemu. Platform: Windows 7 Ultimate (X64) OS Language: Polski (Polska) Internet Explorer Version 8 (Default browser: IE) Z tym, że tu nie za dużo wolnego miejsca na dysku: ==================== Drives ================================ Drive c: () (Fixed) (Total:48.83 GB) (Free:12.11 GB) NTFS Drive d: () (Fixed) (Total:146.93 GB) (Free:50.95 GB) NTFS Drive e: () (Fixed) (Total:176.76 GB) (Free:84.18 GB) NTFS Proces pobierania łat oraz tworzenia kopii zapasowych szybko nabije. A im mniejszy próg wolnego, tym bardziej ślamazarny system może być. Ten dysk C to ogólnie trochę mały na system 64-bit. Minimalne wymagania owszem spełniasz, ale przestrzeni na instalacje brak. 4. Wygląda też na to, że są tu jakieś braki w sterownikach - może coś związane z chipsetem, a może coś innego. Brak tu jakichkolwiek danych (nawet klasy do której urządzenie jest wyasygnowane): ==================== Faulty Device Manager Devices ============= Name: Description: Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. Sprawdź jak to widać w Menedżerze urządzeń i czy da się pobrać Device ID (jest możliwe, że nawet tego brak).

Temat przenoszę do działu Windows. Brak objawów infekcji. Z logów nic też nie wynika pod kątem problemu zasadniczego. Sugeruję sprawdzić podstawowe kroki: 1. Czy pomaga "czysty rozruch": KLIK. 2. Czy pomaga deinstalacja MBAM i Avast (po jednym na raz a nie hurtem). 3. W Dzienniku zdarzeń jest też błąd związany ze sterownikami AMD, może w sterownikach należy szukać: Application errors: ================== Error: (05/03/2015 02:04:46 PM) (Source: ATIeRecord) (EventID: 16386) (User: ) Description: ATI EEU Client has failed to start

Zappa Literówka w drugiej linii oraz został usunięty poprawny wpis: Task: {C777653B-1170-4A35-B3F3-59049B783B5D} - System32\Tasks\OfficeSoftwareProtectionPlatform\SvcRestartTask => Sc.exe start osppsvc To część systemu licencjonowania pakietu Office - zadanie ma na celu restart usługi licencyjnej w predefiniowanytm czasie. Jeśli usługa nie działa, mogą się pojawić problemy typu "klucz niepoprawny" etc. jachu876 Wymagane kolejne poprawki. Po pierwsze: nadal komponenty adware w raporcie widoczne ("FIFA 14 Ultimate Edition Key Generator" w Autostarcie, szczątki przekonwertowanego przez adware Google Chrome, foldery adware na dysku). Po drugie: usunięcie szczątków po szyfratorze oraz zaszyfrowanych plików z wszystkich katalogów. 1. Te ważne zaszyfrowane pliki gdzieś skopiuj na zewnętrzny nośnik. Akcja tylko na wszelki wypadek, bo żadnych widoków na deszyfrację. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FIFA 14 Ultimate Edition Key Generator.lnk [2015-04-10] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com Task: {201CF5A9-209E-4AD5-8FC0-EB0F6D3FCADB} - System32\Tasks\{F5541B6B-5842-4A8C-B2F7-24912C72A43F} => pcalua.exe -a "J:\Program Files\FIFA 14\__Installer\vc\vc2010sp1\redist\vcredist_x86.exe" -d "J:\Program Files\FIFA 14\__Installer\vc\vc2010sp1\redist" Task: {34C85192-9A1D-4E75-BA30-870E1818A350} - System32\Tasks\{5F7730DA-A7F3-4F08-B95D-ECF817C58644} => pcalua.exe -a "J:\Program Files\FIFA 14\__Installer\dotnet\dotnet35sp1\redist\dotnetfx35.exe" -d "J:\Program Files\FIFA 14\__Installer\dotnet\dotnet35sp1\redist" Task: {367068CF-787A-4AFE-9269-62CC93FB2179} - System32\Tasks\{F7A8569C-2EC7-4B6F-BAEB-4F4ABF9FF8C6} => pcalua.exe -a "C:\Program Files (x86)\SalePlus\0c9QbvsY7GF31y.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" "" Task: {D38044B5-53BA-408A-9371-D0D73C490DB4} - System32\Tasks\{C57F00E5-E9C7-4388-B6C1-203692462626} => pcalua.exe -a "C:\Program Files (x86)\Bookolio\Bookolio.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" "" C:\Program Files (x86)\Bookolio C:\Program Files (x86)\appfast C:\ProgramData\kwhempk.html C:\ProgramData\{5967b0a1-0bde-d483-5967-7b0a10bdc284} C:\ProgramData\{10a91f5a-b65e-8b69-10a9-91f5ab657d6a} C:\Users\Tomek\AppData\Local\Temp-log.txt Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: attrib -r -h -s C:\*aoayoqa* /s CMD: del /q /s C:\*aoayoqa* CMD: type C:\ComboFix.txt EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Wyniki skryptu się nie zgadzają. FRST w ogóle nie wykrył komponentów SpyHunter i już ich nie ma. Czy Ty aby go jednak nie odinstalowałeś przed użyciem skryptu? Avast (i nie tylko on) nie lubi FRST i w przyklejonym jest nawet podane, by wyłączyć osłony na czas pobierania. To jest błąd skanerów. Ten problem był zgłaszany multum razy, ekipa Avast jakoby wykluczała program, tylko że robili to prawdopodobnie w oparciu o sumę kontrolną, a przecież FRST jest często aktualizowany i każda aktualizacja zmienia sumę. Czyli nowy upload i powrót do punktu wyjścia. Farbar tak się wkurzył, że chciał w ogóle zablokować uruchomienie FRST na systemach z Avast i Nortonem (tylko że problem nie tylko z nimi, np. F-Secure nie puszcza startu, o ile nie zrobi się wykluczenia ręcznie, AVG wykrywa "nieznanego wirusa"), dopóki owe nie zostaną odinstalowane. Na razie ten "pomysł" na szczęście nie został wdrożony, bo to by oznaczało kupę problemów z prowadzeniem pomocy.

Adware zostało nabyte podczas pobierania "Download [HorribleSubs] Aldnoah Zero - 23 [1080p] Torrent - KickassTorrents" - to nie był plik zasadniczy tylko downloader, którego celem nadrzędnym była instalacja adware. I nadal adware aktywne w Autostarcie. Dodatkowo, adware przekonwertowało całą przeglądarkę Google chrome z wersji stabilnej do developerskiej i konieczna reinstalacja od zera. Do przeprowadzenia: 1. Akcje związane z Google Chrome: Wyeksportuj tylko zakładki do pliku. Zresetuj synchronizację (o ile włączona): KLIK. Odinstaluj przeglądarkę, przy deinstalacji wybierając Usuń także dane przeglądarki. Na razie nie instaluj Google Chrome. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Lukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Download [HorribleSubs] Aldnoah Zero - 23 [1080p] Torrent - KickassTorrents.lnk [2015-03-24] HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-129751774-4153141180-4247946054-1000\...\Run: [GoogleChromeAutoLaunch_CB77F52AAA5F9DDBE9C53CBF150DA9F5] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [812872 2015-04-13] (Google Inc.) CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com StartMenuInternet: IEXPLORE.EXE - iexplore.exe Task: {24A62637-9209-4FA7-B9F9-F45A0418633E} - System32\Tasks\{9353E4C1-3A6C-42AA-90E6-0650B9631C42} => pcalua.exe -a C:\Users\Lukasz\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=smt Task: {4AC72FA1-D4AB-4080-9CA7-7DAA26E46AA6} - System32\Tasks\{8178D53A-3AA8-4F03-B5C8-4F3C35D65508} => pcalua.exe -a C:\Users\Lukasz\Desktop\2058_Gta_Sa_Spolszczenie.exe -d C:\Users\Lukasz\Desktop Task: {6BDAB787-9226-4A7A-AF67-6B46AE3622BE} - System32\Tasks\{7D747848-A8C5-4E43-8855-6572EB5C6F55} => pcalua.exe -a "C:\Program Files (x86)\ActiveDiscount\ActiveDiscount.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" "" Task: {C35FDBF2-BE58-49E8-993D-6AEF8ED68FE4} - System32\Tasks\{4FF3210B-EE40-40A5-9E4C-1EAC3EC20C31} => pcalua.exe -a "D:\Program Files (x86)\TeamSpeak 3 Client\package_inst.exe" -d C:\Users\Lukasz\Desktop -c "C:\Users\Lukasz\Desktop\soundboard-1.0b5-win64.ts3_plugin" C:\Program Files (x86)\Bookmark Checker C:\Program Files (x86)\Google C:\Program Files (x86)\Smmoothview C:\Program Files (x86)\SystemHelp C:\Program Files (x86)\WhiteOffErsApp C:\ProgramData\{95b43f23-305c-c7a7-95b4-43f23305fc8c} C:\ProgramData\9426411726986672524 C:\Users\Lukasz\AppData\Local\Google C:\Users\Lukasz\AppData\Local\netz C:\Users\Lukasz\AppData\Roaming\appdataFr3.bin Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Lukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy.

Punkt numer 3 w ogóle nie wykonany. FRST nic nie zrobił, a dlatego że zniszczyłeś formatowanie skryptu, przy przeklejaniu zostały usunięte wszystkie dwukropki i ukośniki. Przykładowy poprawny wpis w skrypcie: Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /s .... u Ciebie po "zapisaniu" w Notatniku to sieczka: Reg reg query HKLMSOFTWAREMicrosoftInternet ExplorerSearchScopes s => Error: No automatic fix found for this entry. Punkty 3 i 4 do powtórki. Rozwiewając wątpliwości: płeć żeńska. - Na początek do czytania o metodach implementacji adware, bo zatwierdziłeś to własną ręką: KLIK. Tytułowe obiekty nie wleciały samoistnie, tylko zostały zainstalowane z innym softem lub downloaderem. - A co do antywirusa, nie mam żadnych szczególnych zaleceń, nie hołubię żadnej marki i piastuję przekonanie, że dowolny wybór z popularnych marek darmowych bądź komercyjnych będzie OK. Biedny student = np. darmowy Avast. Nadal (i to przy wyborze innego antywirusa też) będzie występować podatność na infekcje adware/PUP.

Te logi FRST nie są świeże. Zostały zrobione przed uruchomieniem AdwCleaner, który zmanipulował to co widać. FRST nadal pokazuje dwa aktywne sterowniki adware (silny związek z kłopotami sieciowymi i z pracą kompa), podczas gdy log AdwCleaner opowiada, że je usunięto. Podaj adekwatne raporty FRST z chwili obecnej. I wypowiedz się wyraźnie, czy po akcji z AdwCleaner nadal są problemy w systemie.

jessika Drobny komentarz: skoro usuwasz wpisy z Shortcut, to musisz ścieżki przetworzyć w pełny sposób, usuwając również docelowe ścieżki z (No File). FRST w ogóle tych wpisów nie usunął i nie dlatego, że ich nie było na dysku, tylko ze względu na to że podano złe ścieżki. Pomarańczowy wtręt nie może być w Fixlist: C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_0001.lnk -> C:\Users\Juleczka\Pictures\MP Navigator EX\2014_04_05\IMG.pdf (No File) A wszystkie skróty historii nawigatora Canon załatwiłaby jedna prosta komenda bez żadnego nakładu pracy z przetwarzaniem ścieżek: C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_*.lnk kasownik Podstawowy powód samodtwarzania po resecie ustawień to: - Aktywne rozszerzenie i jego reinstalator na poziomie rejestru. Reset ustawień nie usuwa rozszerzeń wtórnych, tylko je deaktywuje. To mogłoby wystarczyć, gdyby nie to że reset w ogóle nie usuwa wpisów z rejestru i aktualizacja z Google Chrome Web Store może nadpisać zresetowane ustawienia. - Czynna sychronizacja z serwerem Google, z serwera są przywracane zapamiętane ustawienia, czyszczenie lokalnie na nic. W takim przypadku resetuje się synchronizację przed podjęciem kroków w lokalnym Chrome. Z tym, że jeżeli Fix jakoby pomógł, to nic się nie zgadza, gdyż FRST ani nie został poinstruowany w kwestii numer jeden, ani nie rusza baz synchronizacji (żaden program usuwający tego nie robi, również AdwCleaner nie wyczyści stamtąd adware). Fix nie zawierał żadnych dodatkowych obiektów związanych z Chrome, choć była komenda EmptyTemp:, która czyści Cookies, Historię i HTML5 Local Storage Chrome. Jeśli problem nagle ustąpił, to nie widzę innego wyjaśnienia że opróżnienie (lub ... uszkodzenie) któregoś z magazynów miało coś do rzeczy. Ale: Nie sądzę, że problem jest rozwiązany w 100%, gdyż log FRST pokazuje obiekt wyglądający na powiązany z Yahoo. W wynikach wyszukiwania FRST stoi, że kiedyś AdwCleaner usuwał skrypt Yahoo z konkretnego folderu Nortona: C:\AdwCleaner\Quarantine\C\Users\Juleczka\AppData\Local\Google\Chrome\User Data\Default\Extensions\mkfokfffehpeedafpekjeddnmnjhmcmk\2014.7.12.12_0\SafeWeb\Scripts\Yahoo.js.vir Rozszerzenie o ID mkfokfffehpeedafpekjeddnmnjhmcmk to jest pasek Norton Identity Protection z funkcją SafeWeb, która jest powiązana z konkretnym dostawcą wyszukiwania i wygląda na to, że obecnie sponsorem jest Yahoo. To już usunięty przez AdwCleaner nieaktywny folder, tylko że w Google Chrome jest w pełni zainstalowany pasek Nortona o ID iikflkcanblccfahdhdonehdalibjnif, na dodatek są na poziomie rejestru owe reinstalatory ładujące go w kółko z Google Chrome Web Store: Chrome: ======= CHR Extension: (Norton Identity Safe) - C:\Users\Juleczka\AppData\Local\Google\Chrome\User Data\Default\Extensions\iikflkcanblccfahdhdonehdalibjnif [2014-10-25] CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - https://clients2.google.com/service/update2/crx Działania pod kątem szczątków Nortona i innych: 1. Otwórz Notatnik i wklej w nim: CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - https://clients2.google.com/service/update2/crx HKU\S-1-5-21-3676795516-2390992231-3671279854-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=N360&pvid=21.1.0.18 FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\SysWOW64\Adobe\Director\np32dsw_1213153.dll No File FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2015-03-31] (Microsoft Corporation) Task: {0BC0B3DE-93C3-4EE5-AE90-63E3A3480FF1} - System32\Tasks\{CE89B7B2-909A-40F7-868B-7E8660E7B808} => pcalua.exe -a "C:\Users\Juleczka\Downloads\wlsetup-web (2).exe" -d C:\Users\Juleczka\Downloads Task: {2B49FFF3-5BC4-4C5A-B65C-E9830B25BFD3} - System32\Tasks\Norton 360\Norton Error Processor => C:\Program Files (x86)\Norton 360\Engine\21.7.0.11\SymErr.exe Task: {79F2029F-B7AF-4C67-8F17-8A38826CF3AC} - System32\Tasks\{9DC21278-363B-4CDD-84AB-32847C27BBFB} => pcalua.exe -a "C:\Users\Juleczka\Downloads\Shockwave_Installer_Slim (1).exe" -d C:\Users\Juleczka\Downloads Task: {7D9BEF53-3BA5-4168-82C8-FE7CFD3EF49E} - System32\Tasks\Norton WSC Integration => C:\Program Files (x86)\Norton 360\Engine\21.7.0.11\WSCStub.exe Task: {A7AB860B-5761-4F91-AEC4-4FA51A1CA145} - System32\Tasks\{16787399-11FF-4B00-A91F-D5FBB5CF4860} => Chrome.exe http://ui.skype.com/ui/0/6.16.0.105/pl/abandoninstall?source=lightinstaller&page=tsMain Task: {CA998441-84A7-430D-B8CC-C5ECFF00EA23} - System32\Tasks\Norton 360\Norton Error Analyzer => C:\Program Files (x86)\Norton 360\Engine\21.7.0.11\SymErr.exe Task: {E78C2322-B219-45B1-85C7-0DB367C32A0E} - System32\Tasks\{89A2373E-5DF0-44B8-B332-8D14454B55F4} => pcalua.exe -a C:\Users\Juleczka\Desktop\wlsetup-web.exe -d C:\Users\Juleczka\Desktop Task: {F23B3ED5-2BB5-489D-9D4C-D673502F26B1} - System32\Tasks\{6E1A3841-5FF4-45F7-BE68-3D7CA3A8D99A} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Nero\Nero ProductInstaller 4\SetupX.exe" -c REMOVESERIALNUMBER="XM02-508X-MHAT-19WU-9Z3Z-0CH0-3U6E-85W5-MMHH-6647-1Z5L-7M8C-0U45-758P-0000" DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton 360 C:\Program Files (x86)\Mozilla Firefox C:\Users\Juleczka\AppData\Local\Opera Software C:\Users\Juleczka\AppData\Roaming\Opera Software C:\Users\Juleczka\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\hstr_*.lnk C:\Users\Juleczka\AppData\Roaming\Microsoft\Word\552640c533343304409191063414177\552640c533343.doc.lnk C:\Windows\System32\Tasks\Norton 360 Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. przedstaw wynikowy fixlog.txt. 2. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Norton Identity Safe, o ile nadal będzie widoczny. 3. Ręcznie sprawdź co jest w poniższym folderze a jeśli nic ważnego, wywal: C:\Users\Juleczka\Documents\Symantec

Infekcja owszem jest, ale to nie pochodna pendrive lecz lewej paczki do Tibia (Tibia MULTI-IP Changer) - w starcie działa niejaki windate.exe (to jest logger). Przykład z forum jakie konsekwencje może mieć jego pobyt = włamanie na konto Tibia: KLIK. Akcje do wdrożenia: 1. Odinstaluj Ace Stream Media 3.0.1. To program z utajonym modułem adware: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: D:\Documents and Settings\Kuba i Michał\Menu Start\Programy\Autostart\windate.exe [2015-04-07] () HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k D:\Documents and Settings\All Users\Dane aplikacji\TEMP D:\Documents and Settings\Kuba i Michał\Pulpit\Programy i gry\Tibia MULTI-IP Changer.lnk D:\WINDOWS\*.lang D:\WINDOWS\memlist.dat D:\WINDOWS\Language.dat D:\WINDOWS\Language D:\WINDOWS\Last.dat D:\WINDOWS\libcurl.dll D:\WINDOWS\libeay32.dll D:\WINDOWS\os4.exe D:\WINDOWS\test.dat D:\WINDOWS\ipchanger.exe D:\WINDOWS\Ip Changer Updater.exe D:\WINDOWS\ssleay32.dll D:\WINDOWS\windate.exe D:\WINDOWS\zlib1.dll RemoveProxy: Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AceStream" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BitTorrent DNA" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bonus.SSR.FR11" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Temat przenoszę do działu Sieci. Problem nie leży w infekcji, a z podanych tu raportów nic nie wynika pod kątem problemu zasadniczego. Na wszelki wypadek upewnij się, że problemu nie tworzy AVG 2015 tymczasowo na próbę go deinstalując. W przypadku braku rezultatów dostarcz raporty wymagane w dziale Sieci: KLIK. PS. Do usunięcia będą mini szczątki McAfee (pusty wpis startowy i martwe autoryzacje w Zaporze) i inne puste wpisy, ale to nie ma znaczenia w kontekście problemu i drobnicą ewentualnie zajmiemy się potem.

Wszystko zostało wykonane pomyślnie i ostatni log FRST nie pokazuje już żadnych widocznych obiektów malware. Natomiast pytaniem jest czy usługi automatyczne aktualizacje, Centrum zabezpieczeń i Zapora systemu Windows zostały celowo wyłączone? Kolejna porcja działań: 1. Usuń używane narzędzia za pomocą DelFix oraz wyczyść punkty Przywracania systemu: KLIK. 2. Przeprowadź skanowanie za pomocą Hitman Pro. Jeśli coś znajdzie, nic nie usuwaj, tylko dostarcz raport z wynikami.

Plik Fixlog.txt to wyniki przetwarzania skryptu. Natomiast plik Addition powstaje tylko podczas skanu, gdy zaznaczono stosowne pole w oknie. Przecież wszystko jest wyjaśnione w opisie obrazkowym w przyklejonym temacie. Ten wątek już zostaw. Natomiast: Zacznijmy od podstaw, temat był przetwarzany bez wiadomości podstawowej: jaki był / jest problem i czy on nadal występuje. Po co był uruchamiany ComboFix, bo nie robi się tego przecież bez powodu. Póki co, to tu na razie były usuwane głównie szczątki adware i jedyny obiekt z usuniętych, który mógł mieć widoczny wpływ na system (spowolnienie sieci i startu systemu), to sterownik {db4225e9-90b8-4ca5-99da-da423e504d3d}Gw64.sys. Reszta to drobnica. Toteż objaśnij podstawowy powód załączania raportów do analizy.