picasso

Może problem CD-ROM wynika z filtrów nałożonych na urządzenie przez instalacje programów trzecich. Pobierałam w skrypcie FRST dane o filtrach - jest wartość UpperFilters kierująca na GEARAspiWDM (sterownik Apple wstawiony przez iTunes), na dokładkę jeszcze edevmon (sterownik ESET): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} Class REG_SZ CDROM ClassDesc REG_SZ @%SystemRoot%\System32\StorProp.dll,-17001 EnumPropPages32 REG_SZ storprop.dll,DvdPropPageProvider NoInstallClass REG_SZ 1 SilentInstall REG_SZ 1 IconPath REG_MULTI_SZ %SystemRoot%\System32\imageres.dll,-30 LastDeleteDate REG_BINARY 50C3657AA254D001 UpperFilters REG_MULTI_SZ GEARAspiWDM\0edevmon vs. R0 edevmon; C:\Windows\System32\DRIVERS\edevmon.sys [239296 2013-09-17] (ESET) No to spróbujmy te filtry ściągnąć i zobaczymy co się stanie. Zawsze będzie można je przywrócić prostym importem rejestru. Otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} /v UpperFilters /f DeleteQuarantine: Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi reset i powstanie kolejny fixlog.txt. Przedstaw go i wypowiedz się czy są jakieś zmiany w funcjonowaniu CD-ROM.

TDSSKiller wykrywa ten sterownik. Przeprowadź kolejne działania: 1. Uruchom TDSKiller ponownie, tym razem dla wyniku UDS:DangerousObject.Multi.Generic dobierz akcję Delete i zresetuj system. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1085031214-2025429265-725345543-1003\...\Run: [A6C9AC6C] => C:\Documents and Settings\q\Dane aplikacji\A6C9AC6C\bin.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Pdm27.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Pdm27.sys => ""="Driver" S4 sptd; C:\WINDOWS\System32\Drivers\sptd.sys [320120 2014-05-28] (Duplex Secure Ltd.) C:\Documents and Settings\UpdatusUser\Dane aplikacji\Adobe C:\Documents and Settings\UpdatusUser\Dane aplikacji\AVG C:\Documents and Settings\UpdatusUser\Dane aplikacji\Macromedia C:\Documents and Settings\UpdatusUser\Ustawienia lokalne\Dane aplikacji\AVG C:\WINDOWS\System32\Drivers\sptd.sys EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz log TDSSKiller. Dołącz też fixlog.txt.

Rozumiem, że problem z Przywracaniem systemu został naprawiony, ale czy są jakieś zmiany w kwestii zgłoszonych problemów numer 2 i 3?

Zadania wykonane. A jednak infekcja miała kolejne ukryte komponenty. Przetwarzałam podejrzany folder "A6C9AC6C" i się okazało, że po jego usunięciu ujawnił się wpis startowy (obecnie pusty), z którego ładował się dziad. Dodatkowo, jest tu mocno podejrzany świeży sterownik Pdm27, który stawia opór (nie pozwolił się wyłączyć ani usunąć rozruchu w awaryjnym). Poproszę o odczyt z programu Kaspersky TDSSKiller. Jeśli program coś wykryje, przyznaj akcję Skip i tylko dostarcz log wynikowy. Możesz zostawić, choć aktualnie są aż dwa Adblocki i jeden z nich należy wyłączyć.

Wykonane. Teraz: 1. usuń narzędzia za pomocą DelFix. 2. Zrób skan za pomocą Hitman Pro, nic nie usuwaj i dostarcz wyniki.

Uruchom ponownie AdwCleaner, zastosu po kolei opcje Szukaj i Usuń, pokaż wynikowy log C:\Adwcleaner\AdwCleaner[s1].txt.

Skoro nic się nie da zrobić, to uruchom środowisko WinRE i zrób operację Odśwież komputer (zachowanie ustawień i aplikacji ModernUI, ale usunięcie aplikacji desktopowych) lub mocniejsze Resetuj komputer (przywrócenie postaci fabrycznej, tu pewnie ze zintegrowanym McAfee). Wejście do tego środowiska powinno być dostępne z poziomu nowych Ustawień lub Zaawansowanych opcji rozruchu (gdzie jest wyliczany awaryjny i inne tryby). Ogólne wytyczne: KLIK. PS. Mówisz o "braku antywirusa", podczas gdy jest pakiet McAfee go zawierający.

Kolejne poprawki. Do Notatnika wklej: DeleteKey: HKCU\Software\DataMngr DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\escort.escrtBtn.1 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Prod.cap DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Toolbar.CT1098640 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Toolbar.CT2724386 DeleteKey: HKLM\SOFTWARE\Wow6432Node\DataMngr RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Wykonaj więc od razu punkty 2 + 3. Zakładanie folderu ręcznie nic nie wskóra, gdyż nie odbudujesz tym sposobem jego zawartości (rejestr i cała struktura konta). W związku z tym po prostu w kolejnej partii zadań usunę to konto całkowicie.

Wyniki Hitman miały zostać usunięte via Hitman. I dopiero po tym zadaniu miały być wyczyszczone foldery Przywracania systemu. Kolejność istotna.

Udało się ubić infekcję i nie jest już czynna, ale jeszcze kupa roboty przed nami. Zastopowało usuwanie plików HELP_DECRYPT.* (w użyciu), są też inne problemy do rozwiązania (w tym usuwanie szczątków po odinstalowanych programach). Kolejna porcja zadań: 1. Był uruchamiany GMER. Sprawdź Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Przez Dodaj/Usuń programy odinstaluj: - Stare wersje: Adobe Acrobat 5.0, Adobe AIR, Adobe Flash Player 16 ActiveX, Adobe Flash Player 16 NPAPI, Java™ 6 Update 30. - Adware/PUP: Foxtab, FoxTab PDF Creator, FoxTab PDF Reader, Media Player Classic Packages, Update for Foxtab, Update for PriceFountain Jeśli coś zwróci błąd lub nie będzie widoczne, kontynuuj do dalszej części instrukcji. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DisableService: Mobile Partner. RunOuc DisableService: Pdm27 DisableService: sptd S3 NPF; C:\WINDOWS\System32\drivers\NPF.sys [50704 2015-04-11] (CACE Technologies, Inc.) S3 pwdrvio; C:\WINDOWS\system32\pwdrvio.sys [15576 2013-03-07] () S3 pwdspio; C:\WINDOWS\system32\pwdspio.sys [10200 2013-03-07] () S3 stdpms; C:\WINDOWS\System32\DRIVERS\stdpms.sys [23272 2015-03-04] (Splashtop Inc.) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Pdm27.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Pdm27.sys => ""="Driver" HKLM\...\Run: [jemaka] => "C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\jemaka\jemaka.exe" HKLM\...\Policies\Explorer\Run: [jemaka] => "C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\jemaka\jemaka.exe" No File AlternateDataStreams: C:\Documents and Settings\q\Local Settings:init CMD: attrib -r -h -s C:\HELP_DECRYPT.* /s CMD: del /q /s C:\HELP_DECRYPT.* C:\SSUUpdater.log C:\Documents and Settings\All Users\Dane aplikacji\Adobe C:\Documents and Settings\All Users\Dane aplikacji\Apple Computer C:\Documents and Settings\All Users\Dane aplikacji\AVG C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_0814tb C:\Documents and Settings\All Users\Dane aplikacji\AVS4YOU C:\Documents and Settings\All Users\Dane aplikacji\boost_interprocess C:\Documents and Settings\All Users\Dane aplikacji\DAEMON Tools Lite C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10 C:\Documents and Settings\All Users\Dane aplikacji\GG C:\Documents and Settings\All Users\Dane aplikacji\McAfee C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{0919D19D-6E14-4E74-9619-F4E0F239D82D} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{3558F1A9-8630-47F8-8ECC-D945F1D27ADB} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{59C415FA-C74E-46FA-871D-5695E4BB2291} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{679F6E9F-5241-437E-A1B8-550C2D652F09} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{88878162-08D5-4262-A0EC-6235762863E2} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{902292F5-FA7D-4C8D-81FA-C9C28E43DD1E} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{A1141E5C-71B2-4522-A04C-2884EB50B563} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{B7956033-6D53-45E6-BDAA-A95FEBC9C2E2} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{DE88B8F4-19BB-4180-9BBE-F4EB2E169774} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{E714F3B4-43C2-45BA-9FCD-F4AA59DB6444} C:\Documents and Settings\All Users\Dane aplikacji\Mozilla C:\Documents and Settings\All Users\Dane aplikacji\NortonInstaller C:\Documents and Settings\All Users\Dane aplikacji\OpenFM C:\Documents and Settings\All Users\Dane aplikacji\Origin C:\Documents and Settings\All Users\Dane aplikacji\Screentime C:\Documents and Settings\All Users\Dane aplikacji\Sun C:\Documents and Settings\All Users\Dokumenty\Baidu C:\Documents and Settings\All Users\Dokumenty\Norton C:\Documents and Settings\All Users\Menu Start\Programy\BFlix C:\Documents and Settings\q\E C:\Documents and Settings\q\.cache C:\Documents and Settings\q\.yawcam C:\Documents and Settings\q\Dane aplikacji\PnkBstrK.sys C:\Documents and Settings\q\Dane aplikacji\WB.CFG C:\Documents and Settings\q\Dane aplikacji\0D1F1S1C1P0P1C1F1N1C1T1H2UtF1E1I C:\Documents and Settings\q\Dane aplikacji\A6C9AC6C C:\Documents and Settings\q\Dane aplikacji\Adobe C:\Documents and Settings\q\Dane aplikacji\Audacity C:\Documents and Settings\q\Dane aplikacji\AVG C:\Documents and Settings\q\Dane aplikacji\AVS4YOU C:\Documents and Settings\q\Dane aplikacji\BANDISOFT C:\Documents and Settings\q\Dane aplikacji\DAEMON Tools Lite C:\Documents and Settings\q\Dane aplikacji\dlg C:\Documents and Settings\q\Dane aplikacji\Gadu-Gadu 10 C:\Documents and Settings\q\Dane aplikacji\GanymedeNet C:\Documents and Settings\q\Dane aplikacji\GG C:\Documents and Settings\q\Dane aplikacji\GrabIt C:\Documents and Settings\q\Dane aplikacji\gtk-2.0 C:\Documents and Settings\q\Dane aplikacji\Image Zone Express C:\Documents and Settings\q\Dane aplikacji\Macromedia C:\Documents and Settings\q\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Documents and Settings\q\Dane aplikacji\Need for Speed World C:\Documents and Settings\q\Dane aplikacji\OpenFM C:\Documents and Settings\q\Dane aplikacji\Origin C:\Documents and Settings\q\Dane aplikacji\SumatraPDF C:\Documents and Settings\q\Dane aplikacji\Sun C:\Documents and Settings\q\Dane aplikacji\Unity C:\Documents and Settings\q\Dane aplikacji\WinRAR C:\Documents and Settings\q\Dane aplikacji\WorldofTanks C:\Documents and Settings\q\Menu Start\FoxTab PDF Reader C:\Documents and Settings\q\Menu Start\Programy\Offroad C:\Documents and Settings\q\Menu Start\Programy\WorldofTanks C:\Documents and Settings\q\Pulpit\gry android\Skrót do bandicam 2014-12-22 14-18-02-937.lnk C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Adobe C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Ares C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\AVG C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Apple Computer C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\ChomikBox C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Downloaded Installations C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Electronic_Arts_Inc C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\GG C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\gegl-0.2 C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\gtk-2.0 C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Mozilla C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\NPE C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\PC C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Relmtech C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Screentime C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Unity C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Wheelman C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\WorldofTanks C:\Documents and Settings\UpdatusUser\Dane aplikacji\Mozilla C:\Documents and Settings\UpdatusUser\Ustawienia lokalne\Dane aplikacji\Mozilla C:\Program Files\Adobe C:\Program Files\Ares C:\Program Files\Common Files\Adobe C:\Program Files\Common Files\Adobe AIR C:\Program Files\Common Files\AVSMedia C:\Program Files\Common Files\EAInstaller C:\Program Files\Common Files\Java C:\Program Files\Common Files\Symantec Shared C:\Program Files\EA Sports C:\Program Files\Edgard Multimedia C:\Program Files\Extra Screen Capture Free C:\Program Files\FoxTabPDFConverter C:\Program Files\FoxTabPDFReader C:\Program Files\FreeTime C:\Program Files\Ganymede C:\Program Files\GUME6.tmp C:\Program Files\Java C:\Program Files\Midway Games C:\Program Files\mp3DirectCut C:\Program Files\Opera C:\Program Files\Photo Pos Pro C:\Program Files\Program4Pc C:\Program Files\Splashtop C:\Program Files\Windows Sidebar C:\Program Files\WinRAR C:\Program Files\Yawcam C:\WINDOWS\system32\Packet.dll C:\WINDOWS\system32\pwdrvio.sys C:\WINDOWS\system32\pwdspio.sys C:\WINDOWS\system32\wpcap.dll C:\WINDOWS\system32\drivers\NPF.sys C:\WINDOWS\system32\drivers\stdpms.sys Folder: C:\temp CMD: dir /a "C:\Documents and Settings\UpdatusUser\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\UpdatusUser\Ustawienia lokalne\Dane aplikacji" EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Ma nastąpić restart i powstać kolejny plik fixlog.txt. 4. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Bflix extension, MSN Homepage oraz co tam jeszcze podejrzanego zobaczysz. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by powstały dwa logi (bez Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się jak działa system.

1. DelFix wykonał zadanie i możesz usunąć plik C:\Delfix.txt. 2. Wyniki Hitman: Rekordy "Suspicious files" do zignorowania (kopia FRST w Tymczasowych plikach internetowych i pliki PunkBuster). Reszta do usunięcia: "downloader", szczątki adware i Cookies. 3. Na koniec wyczyść foldery Przywracania systemu: KLIK.

Tytuł koryguję, temat przenoszę do działu Windows. W raportach żadnych śladów "fałszywego svchost", ani czynnej infekcji. W spoilerze drobne czyszczenie wpisów szczątkowych (resztówki adware, wpisy puste), co nie ma znaczenia w kontekście zgłaszanego problemu. Z logów nic kompletnie nie wynika. W menedżerze zadań prawoklik na wystąpienie tego procesu > Przejdź do usług > wypisz te które zostaną podświetlone. A w Dzienniku błędy sugerujące, że zabijałeś poprawne wystąpienia svchost.exe generując błędy ważnych usług: System errors: ============= Error: (04/16/2015 00:25:23 PM) (Source: Service Control Manager) (EventID: 7032) (User: ) Description: Menedżer sterowania usługami próbował podjąć akcję korekcyjną (Uruchom usługę ponownie) po nieoczekiwanym zakończeniu usługi Instrumentacja zarządzania Windows, ale ta akcja nie powiodła się przy następującym błędzie: %%1056. Error: (04/16/2015 00:25:23 PM) (Source: Service Control Manager) (EventID: 7032) (User: ) Description: Menedżer sterowania usługami próbował podjąć akcję korekcyjną (Uruchom usługę ponownie) po nieoczekiwanym zakończeniu usługi Przeglądarka komputera, ale ta akcja nie powiodła się przy następującym błędzie: %%1056. Error: (04/16/2015 00:25:23 PM) (Source: Service Control Manager) (EventID: 7032) (User: ) Description: Menedżer sterowania usługami próbował podjąć akcję korekcyjną (Uruchom usługę ponownie) po nieoczekiwanym zakończeniu usługi Harmonogram klas multimediów, ale ta akcja nie powiodła się przy następującym błędzie: %%1056. Error: (04/16/2015 00:22:23 PM) (Source: Service Control Manager) (EventID: 7032) (User: ) Description: Menedżer sterowania usługami próbował podjąć akcję korekcyjną (Uruchom usługę ponownie) po nieoczekiwanym zakończeniu usługi Serwer, ale ta akcja nie powiodła się przy następującym błędzie: %%1056. Error: (04/16/2015 00:20:23 PM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa Windows Update niespodziewanie zakończyła pracę. Wystąpiło to razy: 2. Error: (04/16/2015 00:20:23 PM) (Source: Service Control Manager) (EventID: 7031) (User: ) Description: Usługa Instrumentacja zarządzania Windows niespodziewanie zakończyła pracę. Wystąpiło to razy: 2. W przeciągu 300000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie. Error: (04/16/2015 00:20:23 PM) (Source: Service Control Manager) (EventID: 7031) (User: ) Description: Usługa Kompozycje niespodziewanie zakończyła pracę. Wystąpiło to razy: 2. W przeciągu 60000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie. Error: (04/16/2015 00:20:23 PM) (Source: Service Control Manager) (EventID: 7031) (User: ) Description: Usługa Wykrywanie sprzętu powłoki niespodziewanie zakończyła pracę. Wystąpiło to razy: 2. W przeciągu 60000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie. Error: (04/16/2015 00:20:23 PM) (Source: Service Control Manager) (EventID: 7031) (User: ) Description: Usługa Usługa powiadamiania o zdarzeniach systemowych niespodziewanie zakończyła pracę. Wystąpiło to razy: 2. W przeciągu 300000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie. Error: (04/16/2015 00:20:23 PM) (Source: Service Control Manager) (EventID: 7031) (User: ) Description: Usługa Harmonogram zadań niespodziewanie zakończyła pracę. Wystąpiło to razy: 2. W przeciągu 60000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie.

To teraz zresetuj system i sprawdź czy są jakieś zmiany.

Szukaj = Search, Usuń = Clean. Szukaj + Usuń = użycie obu opcji po kolei. Dostarczyłeś kolejny log z opcji szukaj, który nie wykazuje żadnych zmian. Skoro nie ma raportu z usuwania, to się nie wykonało. Powtarzaj zadanie: Search + Clean, po tym ma powstać log z usuwania oznaczony skrótem S.

Ale tu nie wygląda, by narzędzie zaczęło jeszcze działać...

Skończyliśmy temat. Teraz możesz się zająć swoimi własnymi "konserwacjami".

Niestety Fix się nie wykonał w całości, stąd brak resetu, infekcja działa pełną parą. Ponowne podejście: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Run: [jemaka] => C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\jemaka\jemaka.exe [425516 2015-04-06] (MercantileLegitimiseNeutralised) HKLM\...\Policies\Explorer\Run: [jemaka] => C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\jemaka\jemaka.exe [425516 2015-04-06] ( (MercantileLegitimiseNeutralised)) HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k BootExecute: autocheck autochk * sdnclean.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKU\S-1-5-21-1085031214-2025429265-725345543-1003\SOFTWARE\Policies\Google: Policy restriction CHR Extension: (Bflix extension) - C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\jlfihafpijfdgmojeeigcldgchhojpfp [2012-01-14] CHR HKLM\...\Chrome\Extension: [jlfihafpijfdgmojeeigcldgchhojpfp] - C:\Program Files\BFlix\BFlix.crx [2011-12-19] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?trackid=sp-006 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1085031214-2025429265-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-1085031214-2025429265-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.com/?trackid=sp-006 HKU\S-1-5-21-1085031214-2025429265-725345543-1003\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = https://www.google.com/?trackid=sp-006 HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" HKU\S-1-5-21-1085031214-2025429265-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" SearchScopes: HKLM -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-1085031214-2025429265-725345543-1003 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = SearchScopes: HKU\S-1-5-21-1085031214-2025429265-725345543-1003 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-1085031214-2025429265-725345543-1003 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} BHO: AcroIEHlprObj Class -> {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -> C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx No File BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre6\bin\ssv.dll No File Toolbar: HKLM - No Name - {bd0c8f87-2da0-4449-a726-b978ae8db32c} - No File CustomCLSID: HKU\S-1-5-21-1085031214-2025429265-725345543-1003_Classes\CLSID\{D9F397C5-3053-4D1D-9DFD-4B3E08E570D8}\InprocServer32 -> C:\Documents and Settings\All Users\Dane aplikacji\{7D14E36A-889F-4FDA-8B78-2423FB17A4D3}\vfnws.dll (Microsoft Corporation) CustomCLSID: HKU\S-1-5-21-1085031214-2025429265-725345543-1003_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Documents and Settings\q\Dane aplikacji\GG\ggdrive\ggdrive-menu.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab R1 avgtp; C:\WINDOWS\system32\drivers\avgtpx86.sys [42784 2014-08-12] (AVG Technologies) S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S3 massfilter_lte; \??\C:\WINDOWS\system32\drivers\massfilter_lte.sys [X] S3 zgdcat; system32\DRIVERS\zgdcat.sys [X] S3 zgdcdiag; system32\DRIVERS\zgdcdiag.sys [X] S3 zgdcmdm; system32\DRIVERS\zgdcmdm.sys [X] S3 zgdcnet; system32\DRIVERS\zgdcnet.sys [X] S3 zgdcnmea; system32\DRIVERS\zgdcnmea.sys [X] C:\WINDOWS\system32\drivers\avgtpx86.sys C:\Documents and Settings\All Users\Dane aplikacji\{7D14E36A-889F-4FDA-8B78-2423FB17A4D3} C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\Norton C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\LocalService\Dane aplikacji\McAfee C:\Documents and Settings\NetworkService\Dane aplikacji\McAfee C:\Documents and Settings\q\Dane aplikacji\~uTorrentPartFile_4985C65.dat C:\Documents and Settings\q\Dane aplikacji\eXcEl3rator.txt C:\Documents and Settings\q\Dane aplikacji\Metric - Synthetica.log C:\Documents and Settings\q\Dane aplikacji\Mozilla C:\Documents and Settings\q\Dane aplikacji\njyhik9iaa C:\Documents and Settings\q\Dane aplikacji\nyjuikoitg C:\Documents and Settings\q\Dane aplikacji\AVAST Software C:\Documents and Settings\q\Dane aplikacji\Ieie C:\Documents and Settings\q\Dane aplikacji\MsDtc C:\Documents and Settings\q\Dane aplikacji\Opera Software C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\*.dll C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\setup.exe C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\jemaka C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Opera Software C:\Program Files\DDownTango5aToolbar C:\Program Files\BFlix C:\Program Files\Mozilla Firefox C:\Program Files\Spybot - Search & Destroy 2 C:\WINDOWS\zyjcxd.hcr C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\drivers\avgtpx86.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: attrib -r -h -s C:\HELP_DECRYPT.* /s CMD: del /q /s C:\HELP_DECRYPT.* CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files\Common Files" CMD: dir .a "C:\Documents and Settings\All Users\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\LocalService\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\NetworkService\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\q\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Ma nastąpić restart i powstać kolejny plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by powstały dwa logi (bez Shortcut). Dołącz też plik fixlog.txt.

Wszystko elegancko zrobione i nic podejrzanego już tu nie ma. Teraz: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wykonaj skanowanie za pomocą Hitman Pro (nic nie usuwaj jeszcze) i dostarcz wyniki.

1. Zastosuj DelFix do usunięcia narzędzi. 2. Zrób jeszcze skan Hitman Pro i dostarcz wyniki.

Fix zrobiony, Jeśli chodzi o pozostałe problemy, to sprawdź czy coś da wywołanie reperacji komponentów. Klawisz z flagą Windows + X > Wiersz polecenia (Administrator) > wklej komendę i ENTER: dism /Online /Cleanup-Image /RestoreHealth Przeklej zwrot z okna, gdy akcja się zakończy.

Resetowanie preferencji nie zawsze usuwa wszystko. AdwCleaner już zlikwidował te wpisy i nie ma po co powtarzać akcji. Ostatni skrypt do FRST: Do Notatnika wklej: Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: del /q C:\Users\samsung\Desktop\GMER.txt CMD: del /q C:\Users\samsung\Desktop\gmer1.log CMD: del /q C:\Users\samsung\Downloads\9jrsmv0f.exe CMD: del /q C:\Users\samsung\Downloads\gmer.txt CMD: del /q C:\Users\samsung\Downloads\Norton_Removal_Tool.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\samsung\Downloads\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

Na pewno zresetowałeś ustawienia Google Chrome? AdwCleaner ponownie wykrył te same preferencje szczątkowych rozszerzeń adware i grzebał w pliku "Secure Preferences". Ten plik jest szczególny i edycje "ręczne" mogą prowadzić do uszkodzeń. Sprawdź teraz po operacji AdwCleaner czy Google Chrome się poprawnie uruchamia i nie wyrzuca błędu uszkodzenia "Secure Preferences".

Pośpieszyłeś się, miałeś tylko przeddstawić wyniki do oceny, a Ty już wdrożyłeś usuwanie. Wyniki Hitman to już błahostki: szczątki adware, jakieś ciastka, a "Suspicious files" do zignorowania (to kopie FRST, Hitman nie lubi się z nim ). Kończymy: 1. Zaloguj się na drugie konto "Ania i Grześ" i pokasuj z Pulpitu wszystkie kopie FRST. Zaloguj się z powrotem na administratorskie i usuń foldery: C:\Documents and Settings\User\Local Settings\Temp{B5992E77-86AF-4208-B9A9-615EBC61D816} C:\Documents and Settings\User\Desktop\frst 2. Zastosuj DelFix, by dokończył resztę po narzędziach, oraz wyczyść foldery Przywracania systemu: KLIK.

1. Co to za folder na Pulpicie? AdwCleaner chce go usuwać, a mam podejrzenie, że to coś Twojego poprawnego: C:\Documents and Settings\operator\Pulpit\igs Jeśli tak, to zmień nazwę z "igs" na coś innego, lub przenieś tymczasowo folder na jakiś pendrive lub coś w tym stylu. 2. Dopiero po zabezpieczeniu tego uruchom AdwCleaner ponownie, wybierz sekwencję akcji Szukaj + Usuń i dostarcz wynikowy plik C:\AdwCleaner\AdwCleaner[s0].txt.