Skocz do zawartości
Nadchodzące zmiany w logowaniu

picasso

Administratorzy
 Pokaż profil  Zobacz aktywność

  • Postów

    36 516

  • Dołączył

  • Ostatnia wizyta

 Typ zawartości 

Treść opublikowana przez picasso

  1. picasso
    Kurde, coś mnie zaćmiło, przekleiłam tę literówkę. Powtórz taki skrypt - teraz powinno się wykonać: Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Babylon Client" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh winsock reset EmptyTemp:
  2. picasso
    Na przyszłość: przed użyciem AdwCleaner staraj się poprawnie deinstalować programy adware via Panel sterowania, a po tym w menedżerach przeglądarek. Tu nie odbyła się poprawna deinstalacja (było 9 programów możliwych do deinstalacji), AdwCleaner brutalnie usuwał komponenty. Nie wszystko zostało usunięte - nadal dwie usługi adware uruchomione w tle oraz modyfikacja Winsock (wpięcie BDL.dll). Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 qiduvoko; C:\Users\Bozena\AppData\Local\E3AFE132-1425247926-11E2-BC31-41E22C00003D\insx3AC2.tmp [99840 2015-03-01] () [File not signed] R2 wefohoti; C:\Users\Bozena\AppData\Local\E3AFE132-1425247334-11E2-BC31-41E22C00003D\snso3BCA.tmp [142336 2015-03-01] () [File not signed] S2 BasementDuster; C:\Program Files (x86)\IGS\BasementDuster.exe [X] U1 DS1410D; No ImagePath HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\72991508.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\72991508.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\BasementDuster => ""="service" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File C:\ProgramData\{8d5ece31-6029-aa1e-8d5e-ece3160238c5} C:\ProgramData\Microsoft\Windows\Start Menu\YourFileDownloader C:\Users\Bozena\AppData\Local\E3AFE132-1425247334-11E2-BC31-41E22C00003D C:\Users\Bozena\AppData\Local\E3AFE132-1425247926-11E2-BC31-41E22C00003D C:\Users\Bozena\AppData\Roaming\E3AFE132-1425247273-11E2-BC31-41E22C00003D C:\Windows\system32\BasementDusterOff.ini C:\Windows\SysWOW64\BasementDuster.ini C:\Windows\SysWOW64\BasementDusterOff.ini C:\Windows\SysWOW64\BDL.dll Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Update Service YourFileDownloader" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Dla pewności jeszcze w Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Bozena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.
  3. picasso
    Owszem, jest tu infekcja - wpisy backdoora C:\Windows\install\server.exe. Ponadto adware (SpeedBit i przekierowania sweet-page.com). Ale mam silne wątpliwości czy to ma związek z długim startem systemu i "zamrażaniem" = do tego prędzej pasuje Norton. Na razie doczyść wymieniane i zobaczymy co się stanie: 1. Odinstaluj SpeedBit Video Downloader - to jest program montujący adware "SearchPredict", które widać w Twoich raportach w IE i Firefox. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [HKLM] => C:\Windows\install\server.exe [20992 2009-07-14] (Microsoft Corporation) HKLM\...\Policies\Explorer\Run: [Policies] => C:\Windows\install\server.exe [20992 2009-07-14] ( (Microsoft Corporation)) HKU\S-1-5-21-3771866864-3196559225-104913496-1000\...\Run: [HKCU] => C:\Windows\install\server.exe [20992 2009-07-14] (Microsoft Corporation) HKU\S-1-5-21-3771866864-3196559225-104913496-1000\...\Policies\Explorer\Run: [Policies] => C:\Windows\install\server.exe [20992 2009-07-14] (Microsoft Corporation) HKU\S-1-5-21-3771866864-3196559225-104913496-1000\...\MountPoints2: {d79c911a-9c7e-11e1-8e34-bc5ff405a41c} - V:\setup.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1407940921&from=cor&uid=SAMSUNGXHD155UI_S2HEJ90B300307 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NIS&pvid=21.6.0.32 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1407940921&from=cor&uid=SAMSUNGXHD155UI_S2HEJ90B300307&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1407940921&from=cor&uid=SAMSUNGXHD155UI_S2HEJ90B300307&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1407940921&from=cor&uid=SAMSUNGXHD155UI_S2HEJ90B300307 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1407940921&from=cor&uid=SAMSUNGXHD155UI_S2HEJ90B300307 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1407940921&from=cor&uid=SAMSUNGXHD155UI_S2HEJ90B300307&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1407940921&from=cor&uid=SAMSUNGXHD155UI_S2HEJ90B300307&q={searchTerms} HKU\S-1-5-21-3771866864-3196559225-104913496-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3771866864-3196559225-104913496-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NIS&pvid=21.6.0.32 HKU\S-1-5-21-3771866864-3196559225-104913496-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1407940921&from=cor&uid=SAMSUNGXHD155UI_S2HEJ90B300307 HKU\S-1-5-21-3771866864-3196559225-104913496-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3771866864-3196559225-104913496-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.com/spbasic.htm SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1407940921&from=cor&uid=SAMSUNGXHD155UI_S2HEJ90B300307&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1407940921&from=cor&uid=SAMSUNGXHD155UI_S2HEJ90B300307&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1407940921&from=cor&uid=SAMSUNGXHD155UI_S2HEJ90B300307&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1407940921&from=cor&uid=SAMSUNGXHD155UI_S2HEJ90B300307&q={searchTerms} SearchScopes: HKU\S-1-5-21-3771866864-3196559225-104913496-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3771866864-3196559225-104913496-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1407940921&from=cor&uid=SAMSUNGXHD155UI_S2HEJ90B300307&q={searchTerms} BHO-x32: SearchPredictObj Class -> {389943B0-C3A2-4E69-82CB-8596A84CB3DC} -> C:\Program Files (x86)\SearchPredict\SearchPredict.dll [2012-10-02] (SpeedBit Ltd.) FF HKLM-x32\...\Firefox\Extensions: [searchpredict@speedbit.com] - C:\Program Files (x86)\SearchPredict\PRFireFox FF HKLM-x32\...\Firefox\Extensions: [{0329E7D6-6F54-462D-93F6-F5C3118BADF2}] - G:\Fraps\SPEEDbit Video Downloader\SPFireFox FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Tadek\AppData\Roaming\Mozilla\Firefox\Profiles\77hlhgr4.default\extensions\faststartff@gmail.com CustomCLSID: HKU\S-1-5-21-3771866864-3196559225-104913496-1000_Classes\CLSID\{6A221957-2D85-42A7-8E19-BE33950D1DEB}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2013\acad.exe No File CustomCLSID: HKU\S-1-5-21-3771866864-3196559225-104913496-1000_Classes\CLSID\{BD0DEB94-63DB-4392-9420-6EEE05094B1F}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2013\acad.exe /Automation No File CustomCLSID: HKU\S-1-5-21-3771866864-3196559225-104913496-1000_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD 2013\pl-PL\acadficn.dll No File Task: {26973AE5-A5C6-41D5-B928-79B5CFB7F657} - System32\Tasks\{EF704478-D3CD-43B3-8E1E-8B9D0706CBE6} => F:\2013 Deadfall Adventures\2013 Deadfall Adventures GRA\Deadfall Adventures\Deadfall_Launcher.exe Task: {31EFD9A3-EB6C-4C2C-AEE0-3BA6C1317F74} - System32\Tasks\{7D720902-8275-472F-A2F9-A68A7DF3F431} => pcalua.exe -a "G:\BIURO\Adobe Reader 9.0 PL\Setup Files\{AC76BA86-7AD7-1045-7B44-A90000000001}\Setup.exe" -d "G:\BIURO\Adobe Reader 9.0 PL\Setup Files\{AC76BA86-7AD7-1045-7B44-A90000000001}" Task: {360E1D25-EC16-463B-8986-6322CFB532E0} - System32\Tasks\{80FA4BB2-D0E4-4824-9503-9E1B7A6D2E29} => F:\2013 Deadfall Adventures\2013 Deadfall Adventures GRA\Deadfall Adventures\Deadfall_Launcher.exe Task: {5A87DC49-89B5-47F8-B9CC-27A38181485F} - System32\Tasks\{93F9C299-BBA5-48B5-BF7A-3340C0801A3D} => G:\1 OBRÓBKA FILMÓW\Xilisoft DVD Creator\Xilisoft.DVD.Creator.7.v7.1.3.20130417.Incl.Keygen-Lz0\DVD Creator\SplashScreen.exe Task: {784C6045-E624-49D7-AC01-E0652C5CA1C6} - System32\Tasks\{07A05E90-3A5D-431B-9063-C59B7A49ADD9} => pcalua.exe -a H:\DRIVERS\Installation\Setup.exe -d H:\DRIVERS\Installation Task: {8B1F9986-9580-4EDE-A777-80D7EED7006D} - System32\Tasks\{9024915A-EB49-4B68-B4E0-0FF8CB0E93A6} => pcalua.exe -a "C:\Program Files (x86)\Realtek\Audio\Drivers\HDADrv\Setup.exe" -d "C:\Program Files (x86)\Realtek\Audio\Drivers\HDADrv" Task: {91E08D52-51F2-47D2-8C32-F8688A2F2476} - System32\Tasks\{614DBDF6-9623-43D9-8141-E87E70DFD09B} => pcalua.exe -a "G:\1 OBRÓBKA FILMÓW\DVD2SVCD\DVD2SVCD\DVD2SVCD\D2SRoBa380.exe" -d "G:\1 OBRÓBKA FILMÓW\DVD2SVCD\DVD2SVCD\DVD2SVCD" Task: {9D961F2F-30B4-4918-B6AB-7504448AFD52} - System32\Tasks\{47473C93-A3F6-4A52-BA63-EA5BE8D2BBF9} => pcalua.exe -a "G:\1 OBRÓBKA FILMÓW\VirtualDub\VirtualDubMod v1.5.10.2\AuxSetup.exe" -d "G:\1 OBRÓBKA FILMÓW\VirtualDub\VirtualDubMod v1.5.10.2" Task: {AE001532-D573-4B6B-B475-5280536D7094} - System32\Tasks\{C76CD1A6-C42E-4D59-8469-E8520612F5B3} => F:\2013 Deadfall Adventures\2013 Deadfall Adventures GRA\Deadfall Adventures\Deadfall_Launcher.exe Task: {C42FE262-DB01-41E1-85D7-79F1CCB66A29} - System32\Tasks\{EA60F113-5F53-4063-AD26-D54BD7499F0F} => pcalua.exe -a "G:\Nero10\Nero Showtime\Nero ShowTime 5.2.12.0\NST9.exe" -d "G:\Nero10\Nero Showtime\Nero ShowTime 5.2.12.0" Task: {E2BA4C3E-FE48-4728-B228-53CDA5EC9675} - System32\Tasks\{6BF9BC31-B5A0-4F6B-B190-980FFBBFE50A} => pcalua.exe -a G:\CMI-Vista\PCI8738-Vista\Setup.exe -d G:\CMI-Vista\PCI8738-Vista C:\Program Files (x86)\SearchPredict C:\Program Files (x86)\Temp C:\ProgramData\TEMP C:\Windows\install Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\explorers" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\sweet-page uninstall" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WindowsMangerProtect /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dodatkowo, w FRSt w polu Search wklej co poniżej i klik w Search Registry - ten log też dostarcz. server.exe Dołącz też plik fixlog.txt. Wypowiedz się co się dzieje.
  4. picasso
    kondzior, w temacie powstał śmietnik, dane podane fatalnie i musiałam wszystko skorygować. Nie tworzy się posta pod postem na każdy log tylko jeden porządny post, a w przypadku pomyłki używa opcję Edytuj. Wszystko sklejone. Pliki przeniosłam do załączników, zbędne dane wycięte z logów. Mówiłam wyraźnie w jaki sposób mają być podane raporty: A Ty narobiłeś serię bezużytecznych postów - wklejanie logów wq postach lub umieszczanie na SpeedyShare. Nie. Oryginalne pliki masz wstawiać jako załączniki forum (tak jak powyżej już zrobiłam), czyli w polu szybkiej odpowiedzi > Więcej opcji > jest funkcja dołączania plików. Log z FRST zrobiony na innych ustawieniach niż zalecane - sekcje "Drivers MD5" i "List BCD" nie miały być zaznaczone. Co widzę w raportach: - Mocno kombinowałeś w międzyczasie, wiele różnych skanerów użyte (w tym wątpliwej reputacji), żadne wyniki nie podane. Na temat używania ComboFix: KLIK. Obecnie są tylko szczątki adware widoczne. - Stosowałeś programy z czarnej listy: 1-2-3 Spyware Free, SpyHunter i YAC. To są lewe programy, których należy unikać! Jak szalony szukałeś scrackowanej wersji SpyHunter, a to program którego nie należy w ogóle instalować. - Niepoprawnie odinstalowany AVG, który ma czynne uruchamiające się sterowniki. Skombinowanie tej wadliwej instalacji z KIS powinno mieć negatywny wpływ na system (zawieszenia, obniżenie wydajności). Działania do przeprowadzenia: 1. Deinstalacje: - Z poziomu Trybu awaryjnego Windows: zastosuj AVG Remover. - Z poziomu Trybu normalnego Windows: przez Panel sterowania odinstaluj Spybot - Search & Destroy, SpyHunter 4, SpyHunter4 wersja 4.18.9.4384, Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables (te dwie pozycje Visual to szczątki po AVG). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Hosts: Task: {177FCA84-6E7E-42BD-A355-918A7AACE439} - System32\Tasks\{5DACB18E-7859-419A-ACF7-1CC5D6D1BEFA} => pcalua.exe -a E:\Network\Atheros\setup.exe -d E:\Network\Atheros Task: {26F58CBC-4827-47AB-8BC2-6E609B9FA5A9} - System32\Tasks\Trojan Killer => C:\Program Files\GridinSoft Trojan Killer\trojankiller.exe Task: {29797E6B-13A2-4F4E-BD49-008B27AC9B90} - System32\Tasks\{8EBA598C-6551-4B4E-A58B-EDDBB8B8E33F} => pcalua.exe -a C:\Users\Krzysiek\Downloads\Atheros\setup.exe -d C:\Users\Krzysiek\Downloads\Atheros Task: {36DF7719-0733-4583-AB6C-3CE09161CF33} - \Microsoft\Windows\Multimedia\SMupdate3 No Task File Task: {395F3788-43FE-41FF-BB91-AAB891D992DE} - System32\Tasks\{8C6EB2C5-EEA5-4DDC-8163-BB80F9374527} => pcalua.exe -a C:\Users\Krzysiek\Downloads\ESETUninstaller.exe -d C:\Users\Krzysiek\Downloads Task: {3F6B554B-1A50-40FD-B06C-751C3ED1F002} - \764611c9-1b21-4b03-9a30-56eedfd6c6e6-5 No Task File Task: {52BFBC77-7024-43B1-A6DF-85610D4B545F} - \143393bc-7f5e-4507-add5-8597bdc84515-1-6 No Task File Task: {52CDAA29-A753-4053-8554-986D5FC58025} - \a972f7c5-cd22-40e6-bf2e-f10faa9624f1-5 No Task File Task: {548EC38A-0A8E-49AC-B26C-8D5EA9955AB1} - \a972f7c5-cd22-40e6-bf2e-f10faa9624f1-1-7 No Task File Task: {56AE6302-9AE9-46D4-ABFB-ECD5BAD131FB} - \{AF566643-A8F2-41BE-9B71-2D7FAA936F35} No Task File Task: {5700BE11-E2CE-4BF6-B12D-69B5276B2B4A} - \a972f7c5-cd22-40e6-bf2e-f10faa9624f1-5_user No Task File Task: {615353DC-F604-4FC5-B5F3-E4FE25BD13AF} - \143393bc-7f5e-4507-add5-8597bdc84515-5 No Task File Task: {681E7993-377A-4951-B6A8-73BA8CA7E335} - \a972f7c5-cd22-40e6-bf2e-f10faa9624f1-10_user No Task File Task: {699AF995-A106-4DFA-B49F-83E4AB819224} - \764611c9-1b21-4b03-9a30-56eedfd6c6e6-1-7 No Task File Task: {76FF0C5D-E54B-4F47-B13B-A153636C2A92} - \764611c9-1b21-4b03-9a30-56eedfd6c6e6-5_user No Task File Task: {7A223541-0310-4B06-ADC7-E7E00B61E08F} - \764611c9-1b21-4b03-9a30-56eedfd6c6e6-4 No Task File Task: {7C93458E-0BC5-474D-B839-3D32685AAC12} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Task: {7D986BD1-E6B5-4574-A893-342DB9157A0F} - \143393bc-7f5e-4507-add5-8597bdc84515-5_user No Task File Task: {7DCF7C9F-48D2-42AC-BFC8-92CE85FEA65E} - \SPBIW_UpdateTask_Time_3931393933343637392d7837235a576c4a3241345041 No Task File Task: {7EBBE296-ABBA-412E-9B8D-BE64F21FAA01} - System32\Tasks\{071D92A4-11B3-4626-9365-3E01A55FF7A5} => pcalua.exe -a C:\Users\Krzysiek\Downloads\agb4s.exe -d C:\Users\Krzysiek\Downloads Task: {90088F71-408B-4414-B622-F7EF73BFC42A} - System32\Tasks\LCHIEUU => C:\Users\Krzysiek\AppData\Roaming\LCHIEUU.exe Task: {92A1E301-EE96-4C22-920D-2DF2E663CCCF} - \a972f7c5-cd22-40e6-bf2e-f10faa9624f1-4 No Task File Task: {9B3995F8-636F-4BCB-8892-405C387841A0} - \Installer_iwebar No Task File Task: {AB120AF9-8BDF-4E8E-B2DB-6FCC0B5C6A22} - \Microsoft\Windows\Maintenance\SMupdate2 No Task File Task: {C71388A9-BFAA-436A-8845-B4A085E8B325} - \a972f7c5-cd22-40e6-bf2e-f10faa9624f1-1-6 No Task File Task: {D8454047-2266-4837-A67C-68B3FDA56065} - \143393bc-7f5e-4507-add5-8597bdc84515-4 No Task File Task: {D8587A16-08E7-47C3-8CD7-B5A2604854E4} - System32\Tasks\LLUXOFYD => C:\Users\Krzysiek\AppData\Roaming\LLUXOFYD.exe Task: {DB3114DE-0370-488C-8AD2-363E71403BCD} - \764611c9-1b21-4b03-9a30-56eedfd6c6e6-1-6 No Task File Task: {F845B0B2-0E7A-4282-916E-53FEACC02B8D} - \143393bc-7f5e-4507-add5-8597bdc84515-1-7 No Task File Task: C:\Windows\Tasks\LCHIEUU.job => C:\Users\Krzysiek\AppData\Roaming\LCHIEUU.exe Task: C:\Windows\Tasks\LLUXOFYD.job => C:\Users\Krzysiek\AppData\Roaming\LLUXOFYD.exe U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) U3 TrueSight; C:\Windows\System32\drivers\TrueSight.sys [35064 2015-01-21] () S2 a2AntiMalware; "C:\Program Files (x86)\Emsisoft Anti-Malware\a2service.exe" [X] S3 a2acc; \??\C:\PROGRAM FILES (X86)\EMSISOFT ANTI-MALWARE\a2accx64.sys [X] S1 A2DDA; \??\C:\Program Files (x86)\Emsisoft Anti-Malware\a2ddax64.sys [X] S1 a2injectiondriver; \??\C:\Program Files (x86)\Emsisoft Anti-Malware\a2dix64.sys [X] S1 a2util; \??\C:\Program Files (x86)\Emsisoft Anti-Malware\a2util64.sys [X] S3 cleanhlp; \??\C:\Program Files (x86)\Emsisoft Anti-Malware\cleanhlp64.sys [X] S3 cpuz134; \??\C:\Users\Krzysiek\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] BootExecute: autocheck autochk * sh4native Sh4Removal GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1836783247-2438984783-1640222506-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKLM -> DefaultScope {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\.xml [2015-01-17] C:\aaw7boot.cmd C:\NPE C:\Program Files (x86)\1-2-3 Spyware Free C:\Program Files (x86)\AVG C:\Program Files (x86)\Lavasoft C:\Program Files (x86)\Opera C:\Program Files (x86)\Share link via email C:\ProgramData\mntemp C:\ProgramData\SMRResults430.dat C:\ProgramData\{991eaa45-13ea-fa95-991e-eaa4513ea914} C:\ProgramData\Lavasoft C:\ProgramData\MFAData C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG C:\ProgramData\Norton C:\Users\Krzysiek\AppData\Local\nsf7F33.tmp C:\Users\Krzysiek\AppData\Local\GGEmpire C:\Users\Krzysiek\AppData\Local\NPE C:\Users\Krzysiek\AppData\Local\Opera Software C:\Users\Krzysiek\AppData\Local\WorldofTanks C:\Users\Krzysiek\AppData\Roaming\LCHIEUU C:\Users\Krzysiek\AppData\Roaming\LLUXOFYD C:\Users\Krzysiek\AppData\Roaming\qnapi.ini C:\Users\Krzysiek\AppData\Roaming\00000000-1424206206-0000-0000-50E5499D8219 C:\Users\Krzysiek\AppData\Roaming\Avg_Update_1014av C:\Users\Krzysiek\AppData\Roaming\Opera Software C:\Users\Krzysiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Pełne czyszczenie śmieci.lnk C:\Users\Krzysiek\Desktop\spyhunterS4.exe C:\Users\Krzysiek\Downloads\*.part C:\Users\Krzysiek\Downloads\Ad-Aware*.exe C:\Users\Krzysiek\Downloads\AdwCleaner*.exe C:\Users\Krzysiek\Downloads\ReimageRepair.exe C:\Users\Krzysiek\Downloads\Spybot*.exe C:\Users\Krzysiek\Downloads\SpyHunter*.rar C:\Users\Krzysiek\Downloads\SpyHunter-installer.exe C:\Users\Krzysiek\Downloads\SpyHunter 4.17.6.4336 C:\Users\Krzysiek\Downloads\SpyHunter 4.17.6.4336(1) C:\Users\Krzysiek\Downloads\SpyHunter 4.18.9.4384 C:\Users\Krzysiek\Downloads\SpyHunter.4.18.9.4384(2) C:\Users\Krzysiek\Downloads\Spy-Hunter-4.1.11.0-+-Crack chyba dpbry C:\Users\Krzysiek\Downloads\Spy-Hunter-4.1.11.0-+-Crack chyba dpbry(2) C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP C:\Windows\AF54923662584AC6A0435B5B89C6EB61.TMP C:\Windows\system32\log C:\Windows\system32\Drivers\SBREDrv.sys C:\Windows\System32\drivers\TrueSight.sys C:\Windows\SysWOW64\sh4native.exe Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SpyHunter 4 Service" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotSD TeaTimer" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Krzysiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Przypominam: plik mają być podane jako załączniki forum.
  5. picasso
    To nie jest pierwszy Fixlog - to już druga próba, skryptów nie należy powtarzać. Fix się zapętlił ze względu na literówkę. Poprawka - otwórz Notatnik i wklej: BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File FF Plugin-x32: @java.com/JavaPlugin -> C:\Program Files (x86)\Java\jre1.8.0_40\bin\new_plugin\npjp2.dll No File S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Malwarebytes RemoveDirectory: C:\ProgramData\RogueKiller CMD: del /q C:\Users\Jkrasnodebski\Desktop\oiv1d25w.exe CMD: del /q C:\Users\Jkrasnodebski\Downloads\AdwCleaner*.exe CMD: del /q C:\Users\Jkrasnodebski\Downloads\JRT*.exe CMD: del /q C:\Windows\SysWOW64\trz3785.tmp Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Babylon Client" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh winsock reset EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ma nastąpić restart. Przedstaw wynikowy fixlog.txt.
  6. picasso
    AVG Web TuneUp prawdopodobnie nie możesz odinstalować, bo uruchomiłeś na własną rękę w międzyczasie AdwCleaner. Ten program niepoprawnie usuwa pasek AVG i go po prostu dewastuje pozostawiając martwą pozycję. Druga sprawa: akcja deinstalacji była zadana na samym początku (moje operacje mają ścisłą kolejność i nie wolno jej przestawiać), a dopiero teraz o tym mówisz? Uruchom tę aplikację: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > sprawdź czy widać tę pozycję. Jeśli tak, to ją zaznacz i Dalej.
  7. picasso
    Wszystko zrobione, ale w międzyczasie ten Shopper-Pro zdążył się częściowo zrekonstruować w Firefox. Poprawki: 1. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. 2. Uruchom AdwCleaner. Na razie wybierz tylko Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.
  8. picasso
    Adware / PUP AD_Remover (od wieków niedostępny, pierwowzór AdwCleaner) Avast Browser Cleanup (2016, narzędzie nieaktualizowane) Bitdefender Adware Removal Tool for PC (usunięty na korzyść usługi Premium, obecnie i tak niedostępnej) Chrome Cleanup Tool (natywnie zintegrowany w Chrome 65+) ESET ELEX Cleaner (2016) G DATA CLEAN UP (usunięty) Junkware Removal Tool (JRT) (usunięty na korzyść AdwCleaner) RepairDNS (usunięty ze względu na niepoprawne działanie) ResetBrowser (2015, link pobierania nie działa) Shortcut Cleaner (2018) Superfish Removal Tool (2015, do usuwania adware Superfish Inc. VisualDiscovery preintegrowanego na laptopach Lenovo!) Toolbar (paski narzędziowe) / archaiczne infekcje Ask Toolbar Remover (niedostępny, obecnie tylko ogólne instrukcje usuwania rozszerzeń z Chrome) Multi-Toolbar Remover (2010) Navilog1 (2011) Toolbar S&D (2008)
  9. picasso
    Tak, nie widzę najmniejszego sensu formatować. Tylko przeglądałeś w eksploratorze zawartość obrazu, plik nie został uruchomiony.
  10. picasso
    Proszę nie umieszczaj logów na serwisach hostingowych, wszystko przeniesione do załączników forum. W Firefox widać zainstalowane rozszerzenie adware Hold Page 1.0.1. Akcje do przeprowadzenia: 1. Przez Panel sterowania odinstaluj sponsorowaną instalację McAfee Security Scan Plus. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-1451232706-3087797500-4214316507-1001 -> {09BAAC92-C095-40E8-8858-E88C2CEDD4D8} URL = FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird FF HKU\S-1-5-21-1451232706-3087797500-4214316507-1001\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - http://clients2.google.com/service/update2/crx HKU\S-1-5-21-1451232706-3087797500-4214316507-1001\...\RunOnce: [Adobe Speed Launcher] => 1425742071 Task: {C3118022-ECDB-4FAE-AB6D-C9EC7C6FA56E} - System32\Tasks\{85CC27A5-0D67-40F7-A7CE-D260A8AC376E} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\core\PDApp.exe" -c --appletID="DWA_UI" --appletVersion="2.0" --mode="Uninstall" --mediaSignature="{A4ED5E53-7AA0-11E1-BF04-B2D4D4A5360E}" CustomCLSID: HKU\S-1-5-21-1451232706-3087797500-4214316507-1001_Classes\CLSID\{F0D5B8DF-FA50-4AC1-B644-6DD3DABA2DC0}\InprocServer32 -> 42494E41525953545245414D0300000003000000560A0E0DE70073EF03CA4EB5B5C3BBEBE6D3854C53B851108CC6F832D5C4 (the data entry has 10 more characters). C:\Program Files (x86)\mozilla firefox\plugins Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v AdobeBridge /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v uTorrent /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "McAfee Security Scan Plus.lnk" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v AdobeAAMUpdater-1.0 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AdobeCS4ServiceManager /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AdobeCS6ServiceManager /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.
  11. picasso
    Proszę dostosuj się do zasad działu i podaj obowiązkowe logi z FRST: KLIK. Tytuł "pomocy" poprawiam na właściwy.
  12. picasso
    Jeśli nie uruchamiałeś tego keygena ręcznie (by scrackować SolidWorks) i tylko przeglądałeś podmontowany obraz w eksploratorze, nie widzę podstaw do szukania infekcji. Jak mówię, nic jej nie potwierdza, w żadnych raportach nie widać oznak infekcji.
  13. picasso
    Nie widzę żadnych oznak infekcji typowych dla infekcji szyfrujących - nie ma także widocznego procesu, który szyfrowałby pliki na bieżąco. Moim zdaniem to nie to. Opis (o ile nie ma tu przekłamań) wskazuje inny kierunek. Nie znam tych aplikacji, więc nic więcej nie jestem w stanie powiedzieć. PS. W GMER jest owszem poniższy odczyt, ale to wygląda na typowe ślady po usuwaniu starej infekcji Mebroot kiedyś w przeszłości. Jeśli Kaspersky TDSSKiller nic nie widzi, problemu nie ma. ---- Disk sectors - GMER 2.1 ---- Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 61 ! Disk \Device\Harddisk0\DR0 PE file @ sector 78140160 !
  14. picasso
    Ale po co format? Infekcja nie jest po stronie Twojego systemu. Keygen został wykryty w wirtualnie zamontowanym obrazie zlokalizowanym na pendrive. Sformatujesz system, podmontujesz ten obraz z pendrive i AVG znów to wykryje. Problemem jest crack nagrany w obrazie.
  15. picasso
    Temat przenoszę do działu Sieci - dane oczekiwane w dziale: KLIK. PS. W spoilerze poboczne doczyszczanie wpisów pustych i szczątków adware + keyloggera Tibia. Nie są to obiekty czynne, więc nie mogą być przyczyną problemów.
  16. picasso
    Temat przenoszę do działu Windows. Brak oznak infekcji. Z raportów też nic konkretnego nie wynika. To laptop Lenovo, więc z biegu nawet po "reinstalacji" już jest multum procesów od aplikacji Lenovo. Można początek sprawdź typową procedurę z "czystym rozruchem": KLIK.
  17. picasso
    Wszystko zrobione. Na koniec: Zastosuj DelFix, wyczyść foldery Przywracania systemu, zaktualizuj Adobe Reader + obie wersje Java: KLIK.
  18. picasso
    Zappa podawał programy do deinstalacji, które są definitywnie w formacie OTL i pochodzą z pliku OTL Extras - to nie jest formatowanie FRST. Skoro cytował te wpisy, to skąd je brał = albo raport z OTL był podany w pierwszym poście (zanim wstawiłeś wszystkie obowiązkowe logi, o które prosił Rucek), albo jakieś niepozozumienie i pomyłka z raportami. Ten OTL był tylko wspominany dlatego, że Zappa podawał coś do zrobienia, a tego nie widać w FRST. OTL mnie w ogóle nie interesuje teraz. Prosiłam o raporty z FRST zrobione na każdym koncie z osobna: Nie wstawiaj ich przypadkiem w pierwszym poście, nowe dane = nowe posty.
  19. picasso
    1. AdwCleaner dopatrzył się drobnych odpadków adware. Uruchom go ponownie, tym razem wybierz kombinację opcji Szukaj + Usuń. Gdy program ukończy sprzątanie śmieci: 2. Ostatni skrypt z poprawkami. Otwórz Notatnik i wklej w nim: BootExecute: autocheck autochk * sdnclean64.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.
  20. picasso
    Tak, bo AVG, podobnie jak kilka innych antywirusów, błędnie klasyfikuje FRST jako "zagrożenie". Jest to wina programów antywirusowych. Akcje zostały wykonane, ale w międzyczasie robiłeś inne rzeczy: uruchamianie AdwCleaner oraz pobieranie innych skanerów. RSIT (mimo "x64" w nazwie obsługa nienatywna) ze zintegrowanym HijackThis (przestarzały), Silent Runners, MBRCheck (bardzo przestarzały) - to wszystko zbędne, jeśli został zweryfikowany FRST i GMER. Został wykryty keygen SolidWorks w podmontowanym obrazie. Akcja odnotowana przez AVG wygląda na tylko uzyskiwanie dostępu do pliku z poziomu eksploratora, gdyż przeglądałeś zawartość. Czy keygen jest bezpieczny (tzn. jego celowe uruchomienie nie zrobi ziaziu), to już osobna sprawa. Nie jest dla mnie wiadome czy się nim poczęstowałeś. Antywirus pewnie nie mógł tego usunąć ze względu na to, iż to zawartość podmontowanego obrazu, czyli wymagana zdolność poprawnej edycji i zapisu obrazu. Pozbycie się keygena = ręczna edycja obrazu i usunięcie z niego tego pliku. Na koniec: 1. Otwórz Notatnik i wklej w nim: S4 WinDivert1.1; No ImagePath Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Skorzyustaj też z DelFix oraz wyczyść foldery Przywracania sytemu: KLIK.
  21. picasso
    W GMER nie widać nic podejrzanego. Wykonaj resztę zaleceń. Jak mówię, nic nie wskazuje na infekcję w Twoim systemie. Nadal brak konkretów (jaka ścieżka i plik docelowy), ale opis wskazuje na to, że detekcja była tylko na poziomie podmontowanej zawartości pendrive. Przy braku danych (ścieżka dostępu do pliku) nie można ocenić stopnia zagrożenia, ani potwierdzić czy nie był to fałszywy alarm. Wygrzeb tę detekcję z dzienników AVG i przeklej dokładnie o jaką ścieżkę chodziło.
  22. picasso
    Zadania wykonane, w raportach nie ma już oznak infekcji, więc problem Firefox jest pochodną innych czynników. Kolejne porcje zadań: 1. W Firefox jest dużo rozszerzeń i wtyczek. Przetestuj jak zachowuje się Firefox uruchomiony w tzw. "trybie awaryjnym". Zamknij Firefox i upewnij się, że jego proces nie jest uruchomiony. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -safe-mode Podaj czy w takim trybie widać różnicę. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.
  23. picasso

    System spowolnił

    picasso odpowiedział(a) na Nichten temat w Windows 7

    Temat przenoszę do działu Windows. Brak oznak infekcji. Brak konkretów w raportach. Jedna z ostatnich instalacji rozszerzających ilość uruchamianych procesów to AutoCAD. Sugestie wstępne: 1. Odinstaluj zbędny dowloader Akamai NetSession Interface, jeden proces w tle mniej. 2. W Autoruns w karcie Services odznacz Autodesk Content Service, hpqddsvc (problematyczna usługa HP CUE Device Discovery Service). Po akcjach zresetuj system. 3. Problemem może być też po prostu Norton 360 skombinowany z doinstalowanym MBAM. To najbardziej rozbudowany wtórny program, mocno ingerujący w system. Testowo odinstaluj.
  24. picasso
    Temat przenoszę do działu Windows. Nic tu nie wskazuje na problem infekcji. Kosmetyka, czyli usuwanie wpisów pustych, jest na razie zupełnie nieistotna. Grzanie = wątek do działu Hardware. Zacinanie, duże zużycie pamięci i BSODy mogą mieć inne tropy: 1. Problem hybrydy AMD-Intel. Bardzo zbliżony wątek z forum z nieco innym model HP Pavilon: KLIK. Podobne problemy z użyciem pamięci, identyczne wersje sterowników tu zainstalowane: ATI Catalyst Install Manager (HKLM\...\{DA0D8FDA-D538-1145-8BA2-6F22C4EB4F75}) (Version: 3.0.816.0 - ATI Technologies, Inc.) Intel® Display Audio Driver (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 6.14.00.3074 - Intel Corporation) Szukaj aktualizacji sterowników na stronie HP, tak jak podałam w konkurencyjnym temacie. 2. Przestarzały Norton Internet Security - sterowniki z roku 2011, co samo w sobie jest już problemem. Dodatkowo są zgłaszane zdefektowane urządzenia Nortona: ==================== Faulty Device Manager Devices ============= Name: BHDrvx64 Description: BHDrvx64 Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1} Manufacturer: Service: BHDrvx64 Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24) Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed. Devices stay in this state if they have been prepared for removal. After you remove the device, this error disappears.Remove the device, and this error should be resolved. Name: Symantec Iron Driver Description: Symantec Iron Driver Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1} Manufacturer: Service: SymIRON Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24) Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed. Devices stay in this state if they have been prepared for removal. After you remove the device, this error disappears.Remove the device, and this error should be resolved. System errors: ============= Error: (03/09/2015 01:17:28 PM) (Source: Service Control Manager) (EventID: 7026) (User: ) Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego: BHDrvx64 SymIRON Na początek spróbuj odinstalować via Panel sterowania. Następnie niezależnie od (nie)powodzenia tej akcji popraw narzędziem Norton Removal Tool. Usuwacz ten uruchom siedząc w Trybie awaryjnym Windows. I już na dobre się pozbądź tego NIS, tzn. nie próbuj instalować ponownie, bo to stara wersja.
  25. picasso
    Potwierdzam wykonanie zadania. Plik C:\Delfix.txt do usunięcia z dysku. Temat rozwiązany. Zamykam.
×
×
  • Dodaj nową pozycję...