picasso

Wydaje się, że problemem jest ten wpis polityki: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings ProxySettingsPerUser REG_DWORD 0x0 1. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxySettingsPerUser /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings" /v AutoConfigURL /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 2. Przedstaw fixlog.txt. Potwierdź, że w ustawieniach Opcji internetowych widzisz puste pola i brak odnośnika do proxy.pac.

Metody nabycia adware (tu prawdopodobnie był uruchamiany jakiś "downloader"): KLIK. System nadal nie jest czysty. Działa adware BringStar, są też związane z tym adware aż trzy aktywne sterowniki. Dodatkowo plączą się jeszcze inne śmieci. Sterownik SPTD jest tylko wtedy potrzebny, gdy w systemie jest Alcohol, bądź DAEMON Tools, w przeciwnym wypadku kompletnie zbędny i to bardzo dobrze, że go nie ma (jest mocno inwazyjny). Poza tym, czy Ty na pewno go odinstalowałeś a nie zainstalowałeś? Wg FRST sterownik SPTD jest aktywny, a brak w/w programów: R0 sptd; C:\Windows\System32\Drivers\sptd.sys [381608 2015-03-05] (Duplex Secure Ltd.) Działania do przeprowadzenia: 1. Odinstaluj starą wersję Adobe Reader X (10.1.8) MUI. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DisableService: sptd R1 {55685567-4840-4a91-962b-49a412e9485a}Gw64; C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gw64.sys [61112 2014-06-10] (StdLib) R1 {55685567-4840-4a91-962b-49a412e9485a}w64; C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys [61112 2014-06-12] (StdLib) R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys [61112 2014-05-22] (StdLib) R2 Update BringStar; C:\Program Files (x86)\BringStar\updateBringStar.exe [317728 2014-06-11] () R2 Util BringStar; C:\Program Files (x86)\BringStar\bin\utilBringStar.exe [317728 2014-06-11] () Task: {0FD8188F-4C07-4D93-B6C0-611FA2F37051} - System32\Tasks\SaveSenseLiveUpdateTaskMachineUA => C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe Task: {10AFC872-1F31-405D-A3E8-BDED2FAC54A4} - System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-2568246086-2447926606-4193830083-1002 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {332EABD6-129F-4CA2-B824-7743EFEA3F33} - System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-2568246086-2447926606-4193830083-1002 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {4024785F-BE99-46F1-99FD-33D91A9ECFA5} - \VuuPCUpdateLogin No Task File Task: {51750AA7-6CE1-4E14-BC3D-F9C41E4D9AE2} - System32\Tasks\{06AB844F-BB53-4346-A8FD-D2DF973ACBE1} => Iexplore.exe http://ui.skype.com/ui/0/6.3.0.107/pl/abandoninstall?source=lightinstaller&page=tsProgressBar Task: {526DFC45-1EFA-4CA1-88C0-795076A0996E} - System32\Tasks\SaveSenseLiveUpdateTaskMachineCore => C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe Task: {57E5969D-28F8-43DA-89DA-71F36C57CE8C} - \SaveSense No Task File Task: {608995CB-165D-4583-9ECB-E263B5A9BABE} - System32\Tasks\ReclaimerUpdateFiles_xx => C:\Users\xx\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\12.01\agent\rnupgagent.exe [2015-02-05] (RealNetworks, Inc.) Task: {7158FF08-DA9F-40FD-A020-F8AC52C645E7} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\BrowserChoice\browserchoice.exe Task: {9AA55A49-9A4E-44C6-9032-E55C35390364} - \VuuPCUpdate No Task File Task: {EB15BBA3-F5A1-40BA-940B-0B2EDD844896} - System32\Tasks\ReclaimerUpdateXML_xx => C:\Users\xx\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\12.01\agent\rnupgagent.exe [2015-02-05] (RealNetworks, Inc.) Task: C:\WINDOWS\Tasks\ReclaimerUpdateFiles_xx.job => C:\Users\xx\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\12.01\agent\rnupgagent.exe Task: C:\WINDOWS\Tasks\ReclaimerUpdateXML_xx.job => C:\Users\xx\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\12.01\agent\rnupgagent.exe Task: C:\WINDOWS\Tasks\SaveSenseLiveUpdateTaskMachineCore.job => C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe Task: C:\WINDOWS\Tasks\SaveSenseLiveUpdateTaskMachineUA.job => C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope value is missing. SearchScopes: HKU\S-1-5-21-2568246086-2447926606-4193830083-1002 -> {51BCC7B1-3642-4753-9589-1AB5C0C58671} URL = BHO-x32: BringStar -> {6f0d3dec-9246-4b6f-a5e3-c1c169493eef} -> C:\Program Files (x86)\BringStar\BringStarBHO.dll (BringStar) Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File C:\Program Files (x86)\BringStar C:\Program Files (x86)\Real C:\ProgramData\Real C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlvPlayer C:\Users\xx\AppData\Roaming\Real C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gw64.sys C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\SaveSense /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v fst_pl_79 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v fst_pl_99 /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Potwierdź ustąpienie reklam.

Spróbuj przeinstalować Google Chrome na czysto. Tzn. wyeksportuj tylko zakładki, odinstaluj przeglądarkę, przy deinstalacji zaznacz Usuń także dane przeglądarki, po tym zainstaluj najnowszą wersję. PS. Kończąc temat czyszczenia systemu: 1. Otwórz Notatnik i wklej w nim: BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File CMD: "C:\Documents and Settings\xXx\Pulpit\ComboFix.exe" /uninstall Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ostatnia komenda to deinstalacja ComboFix. 2. Zastosuj DelFix.

Od kiedy występująte przekierowania? Na razie wykonaj co zadane i zobaczymy.

Brak oznak infekcji. Temat przenoszę do działu Sieci. Zasady działu: KLIK. PS. W Dzienniku zdarzeń błędy uszkodzonej struktury plików: System errors: ============= Error: (03/04/2015 10:03:27 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie \Device\HarddiskVolume1.

Potrzebuję nakreślenie tła, a skoro chodzi o jakieś prywatne sprawy, to oczywiście PW zdaje się odpowiednią metodą. Poza tym, sprecyzuj czy obecnie występują jakieś konkretne problemy.

Proszę nie omijać zasad działu i dostarczyć pozostałe obowiązkowe raporty: KLIK.

Ujmij ścieżkę w cudzysłów: "C:\Users\Joanna\Start Menu\Programs\SpyHunter\Uninstall.lnk"

Cleaning (= czyszczenie, usuwanie). Uninstall to przecież deinstalacja.

Kończymy: Skasuj pobrane skanery z folderu C:\_Download. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Zadanie wykonane. Na wszelki wypadek zrób jeszcze skan za pomocą Malwarebytes Anti-Malware. O ile coś wykryje, dostarcz raport.

Nie wiem o co chodzi, skoro nie były wykonywane żadne ingerencje (usuwanie czegokolwiek). To wygląda na zbieg okoliczności. Podtrzymuję, byś dostarczył dane sprzętowe. Skoro był uruchamiany GMER, to na wszelki wypadek sprawdź transfer dysku. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

Co masz na myśli z niedziałającą stroną? Strona modelu ze skanerem oprogramowania się otwiera: KLIK. A ten sterownik który podałam nadal aktualny, dokładnie ten sam jest listowany dla Twojego modelu: KLIK

Ogólny aktualizator Intela nie nadaje się, jest tu dostosowany wariant HP. Nie podałeś konkretnie HP Pavilion dv6-?, ale wersja sterowników wyglądająca na pasującą do Twojego układu to: Sterownik karty graficznej AMD High-Definition Na stronie HP jest też dostępne ogólne narzędzie do automatycznego wyszukiwania aktualizacji.

1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. System do aktualizacji, obecny stan (brak SP1, IE11 i reszty): Platform: Windows 7 Ultimate (X64) OS Language: Polski (Polska) Internet Explorer Version 8 (Default browser: IE)

Jeśli nie mam koncepcji ani czasu na przemyślenie sprawy, to nie udzielam odpowiedzi. Z poprzednich skanów nic nie wynika. Sprawdź jeszcze integralność plików systemowych: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj.

Podany tu log CheckSur nie wygląda na cały - brak sekcji "Summary". I poproszę o skopiowanie na Pulpit całego folderu C:\Windows\Logs\CBS, spakowanie do ZIP i shostowanie gdzieś do wglądu.

Zadania czyszczące zostały wykonane, więc możesz zakończyć te wątki. Na pozostały problem z długim startem przeglądarki nie mam pomysłu.

Są tu następujące punkty Przywracania systemu: ==================== Restore Points ========================= 25-02-2015 17:22:53 Zaplanowany punkt kontrolny 03-03-2015 12:47:56 Instalator modułów systemu Windows Czy 25 lutego występowały wszystkie omawiane tu problemy? Jeśli nie, zbootuj do środowiska zewmętrznego RE i uruchom Przywracanie do tego punktu.

DelFix wykonał co należy. Usuń z dysku plik C:\DelFix.txt. Z raportów nic nie wynika. Sprawdź jeszcze czy problemy występują na czystym rozruchu: KLIK.

kerpal, proszę nie rób tych podbitek pytajnikami, to jest spam i grozi to zamknięciem tematu. Post poleciał do kosza. Są tu uszkodzenia różnego pochodzenia: 1. Grupa uszkodzeń fde.dll + fdeploy.dll + gptext.dll + gpedit.dll wyprodukowana ręcznie Twoją ręką. To skutek instalacji tego badziewia, które podmienia oryginalne pliki innymi kopiami: gpedt.msc 1.0 (HKLM-x32\...\{10B9C608-BF7C-4CCF-A658-C01D969DCA21}_is1) (Version: - Richard) Ta grupa nie jest powiązana z innymi defektami. Odinstaluj to, teoretycznie powinny zostać przywrócone oryginały (tylko tych które wiążą się z gpedit). I nie próbuj już nigdy instalować "gpedit dla Home". To w ogóle nie działa i nie zmusisz edycji Home do obsługi czegoś do czego nie ma predyspozycji. Do czytania dlaczego jest to instalacja pozorowana: KLIK. 2. Reszta uszkodzeń wygląda już na pochodną błędów struktury dysku lub podobnych. Uszkodzonych plików jest więcej niż zakreślone. W grupie uszkodzeń są też manifesty i to prędzej jest kluczowe dla określonych dysfunkcji. Pod tym kątem uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. Gdy narzędzie ukończy skan, zaprezentuj plik C:\Windows\Logs\CBS\CheckSur.log. 2015-02-28 17:38:32, Info CSI 0000036e [sR] Cannot verify component files for 193559080290a87ac7702755c391fa7e, Version = 11.2.9600.17358, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral, manifest is damaged (TRUE) 2015-02-28 17:38:32, Info CSI 00000371 [sR] Cannot verify component files for 60d484ac4a4ecfdf120c5caf3caf4891, Version = 11.2.9600.17358, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral, manifest is damaged (TRUE) 2015-02-28 17:38:32, Info CSI 00000374 [sR] Cannot verify component files for 757f8d19b0b09a305f93c68de2c67f47, Version = 11.2.9600.17358, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral, manifest is damaged (TRUE) 2015-02-28 17:38:32, Info CSI 00000377 [sR] Cannot verify component files for 86956e9db0675f5fbd46a82fa94ef556, Version = 11.2.9600.17358, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral, manifest is damaged (TRUE) 2015-02-28 17:38:32, Info CSI 0000037a [sR] Cannot verify component files for a3198de60bf30c4608c673c45b85c6e5, Version = 11.2.9600.17358, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral, manifest is damaged (TRUE) Na razie pomijam pozostałe uszkodzenia, bo to wymaga ręcznej podmiany plików przy udziale identycznych kopii z mojego systemu. 2015-02-28 17:38:32, Info CSI 0000037c [sR] Cannot repair member file [l:38{19}]"diagtrackrunner.exe" of Microsoft-Windows-Application-Experience-Inventory, Version = 6.1.7601.18742, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-02-28 17:38:32, Info CSI 0000037e [sR] Cannot repair member file [l:30{15}]"inetcpl.cpl.mui" of Microsoft-Windows-IE-InternetControlPanel.Resources, Version = 11.2.9600.17633, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture = [l:10{5}]"en-US", VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-02-28 17:38:32, Info CSI 00000380 [sR] Cannot repair member file [l:16{8}]"mfps.dll" of Microsoft-Windows-MediaFoundation, Version = 6.1.7601.18640, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch Problem główny nie został rozwiązany wtedy. W poprzednim temacie zakreśliłam konkretne błędy z Dziennika zdarzeń mówiące: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Założyłeś tu nowy temat i co widać w Dzienniku zdarzeń? Te same błędy, konsekwentnie generowane na nowo. I proszę odczep się od wirusów. Błędy w Dzienniku zdarzeń mówią o uszkodzeniach struktury plików. Te wszystkie problemy z poprzedniego i aktualnego tematu krążą wokół tego samego (= uszkadzania plików) i wyglądają na skutki uboczne wad struktury plików. Podłoże tej usterki jest dla mnie nieznane, ale koncepcja wirusów to nie tu. Podałam w poprzednim temacie, by dokonać identyfikacji:

MBAM znalazł szczątki adware. DelFix wykonał zadanie. Skasuj z dysku plik C:\DelFix.txt. 1. Tu było adware, więc na początek przeczytaj czego unikać, bo są pewne rzeczy przed którymi nie uchroni żaden program zabezpieczający: KLIK. 2. Jeśli chodzi o instalowane dodatkowego oprogramowania zabezpieczającego, to antywirusa (Avast) już posiadasz i nie mam tu zastrzeżeń. Dodatkowe rozwiązania: Malwarebytes Anti-Exploit (w wersji darmowej ochrona przeglądarek oraz Java przed eksploitami / atakami), Online Armor (firewall, w wersji darmowej limitowana funkcjonalność), SandBoxie (wirtualne środowisko).

1. Uruchom AdwCleaner, tym razem wybierz dwie opcje pod rząd: Szukaj + Usuń. Gdy program ukończy czyszczenie adware: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj fixlog.txt.

Brak oznak infekcji oraz jawnych tropów, system był formatowany, toteż przenoszę do działu Hadware na diagnostykę. Co dostarczyć: KLIK.

Tak, chodzi o HitmanPro 3.7. Pozostałe to inne programy. I pytam ponownie czy to nadal występuje: "co do kasperskiego to: "Strona internetowa jest niedostępna"".