picasso

AvastSafe Price był poprzednio, obecnie go rzeczywiście brak. Widocznie usunięcie reinstalatora na poziomie rejestru (aswWebRepChromeSp.crx) zlikwidowało rozszerzenie. Wszystko wykonane. Teraz: Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.

Proszę trzymaj się zasad działu na temat formatowania szkodliwych linków - muszą być podane w formie nieaktywnej. Skorygowałam je. Nic w raportach oczywistego nie widać, poza jednym adresem startowym adware binkiland.com w Chrome. Aczkolwiek podejrzenia budzą poniższe niedawno instalowane rozszerzenia typu "download helper". Proszę porównaj z tym tematem: KLIK. W nim również był "Video download helper", tylko pod innym identyfikatorem, i to on produkował przekierowania. CHR Extension: (Video Download Helper) - C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfmncdagnglibjiglbmchedcmainibbh [2015-02-25] CHR Extension: (Download Helper) - C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Extensions\fkjlohfdjcjhmfcabomglnciodlnplhk [2015-02-25] CHR Extension: (Video download helper) - C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Extensions\mnkioblodjcgkdailhejgcocjkkoochj [2015-02-26] Na razie te działania do wykonania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR StartupUrls: Default -> "hxxp://binkiland.com/?f=7&a=bnk_ir_15_09&cd=2XzuyEtN2Y1L1QzuzytDyEzzzy0A0Bzyzy0A0D0DtByEzz0DtN0D0Tzu0StCtCyEzytN1L2XzutAtFyBtFyBtFtCtDtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StCtBtDyBzz0AzzyBtGzy0Bzy0EtG0AtA0ByCtG0B0FyCtBtGyDtDyC0C0FzytC0C0E0E0F0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2StByD0B0AyBtBtCyCtG0A0FyCyCtGyEtA0EzztGzyzztAtBtGzyyEyE0B0AzztB0D0EtDyD0C2Q&cr=200918247&ir=" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com StartMenuInternet: IEXPLORE.EXE - iexplore.exe StartMenuInternet: Google Chrome - chrome.exe Task: {24FF4938-41E6-4788-87C7-70A7B668BB2A} - System32\Tasks\{EF8CFFBE-8839-4E8E-832A-AC8273427129} => pcalua.exe -a C:\Users\Dorota\Downloads\flash-disinfector-.exe -d C:\Users\Dorota\Downloads C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\JvUiYLchmoo C:\ProgramData\Mozilla C:\Users\Dorota\AppData\Local\dsi1.dat C:\Users\Dorota\AppData\Local\dsi2.dat C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Dorota\AppData\Local\Mozilla C:\Users\Dorota\AppData\Roaming\Mozilla C:\Windows\system32\log RemoveDirectory: C:\Users\Dorota\Desktop\Stare dane programu Firefox Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > wyłącz wszystkie "Download Helpery". Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany.

Uruchomienie ComboFix naprawdę było zbędne - i jeszcze zdaje się, że ComboFix wyrzucił za dużo, cały folder C:\Windows\$msi31uninstall_kb893803v2$ poleciał z dysku. Ten folder wygląda na deinstalator Instalatora Windows. Temat zostaje przeniesiony do innego działu. Jawnej infekcji tu nie widzę, ale są jakieś polityki Google blokujące coś w przeglądarce. Dodatkowo: jest tu Asprate Tibia IP Changer - skąd on był pobierany? Są wersje tego changera będące keyloggerami. Na razie do wykonania te akcje: 1. Odistaluj stare dziurawe wersje Adobe Flash Player 10 Plugin, Adobe Flash Player 15 ActiveX, Java™ 6 Update 14. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1606980848-789336058-682003330-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1606980848-789336058-682003330-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKU\S-1-5-21-1606980848-789336058-682003330-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1606980848-789336058-682003330-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1404977115&from=tt4u&uid=SAMSUNGXSP6003H_0594J1FW206897&q={searchTerms} CustomCLSID: HKU\S-1-5-21-1606980848-789336058-682003330-1003_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-1606980848-789336058-682003330-1003_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-1606980848-789336058-682003330-1003_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll No File S2 NvNetworkService; "C:\Program Files\NVIDIA Corporation\NetService\NvNetworkService.exe" [X] S3 catchme; \??\C:\DOCUME~1\xXx\USTAWI~1\Temp\catchme.sys [X] S3 cpuz137; \??\C:\DOCUME~1\xXx\USTAWI~1\Temp\cpuz137\cpuz137_x32.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 XDva410; \??\C:\WINDOWS\system32\XDva410.sys [X] S3 XDva412; \??\C:\WINDOWS\system32\XDva412.sys [X] S3 XDva415; \??\C:\WINDOWS\system32\XDva415.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Menu Start\Programy\Lavalys C:\Documents and Settings\All Users\Menu Start\Programy\NVIDIA Corporation C:\Documents and Settings\xXx\Menu Start\Programs\Quake III Arena Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zastosuj narzędzie Google Software removal tool - wykonuje m.in. reset przeglądarki. 4. Posiadasz Google Chrome 40.0.2214.115. Jest nowsza wersja i ją zainstaluj: KLIK. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany.

Problem jest w tym, że jest to bardzo inwazyjny wirus, niszczy pliki wykonywalne na wszystkich partycjach. Leczenie z wirusa nawet po jego "zdeaktywowaniu" i tak się może równać formatowi (i jest to akcja ściśle zalecana), gdyż skutkiem czyszczenia plików z kodu wirusa są uszkodzenia plików o trudnym do przewidzenia zakresie. O ile uszkodzone programy można przeinstalować, to już z plikami Windows nie tak łatwo. Nie opłaca się czyścić systemu, który był formatowany ledwie w zeszłym miesiącu, i tak nie uzyska pierwotnej sprawności. Druga sprawa: robiłeś już kilka formatów, problem wraca = masz gdzieś zalążek wirusa i po formacie nie będąc świadomym uruchamiasz zawirusowany plik, który inicjuje infekcję od początku. Nadal rozglądaj się za płytą instalacyjną XP. W międzyczasie zadam instrukcje czyszczenia, ale od razu zastrzegam, że to nie daje gwarancji, a uszkodzeń w plikach Windows nie będę w stanie ani sprawdzić dokładnie (tysiące plików), ani ich naprawić bez udziału płyty instacyjnej XP. Działania wstępne: 1. Uruchom SalityKiller. Wykonaj nim skan do skutku - tyle razy uruchamiany, aż otrzymasz zwrot zero zaifekowanych. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S0 PxHelp20; System32\Drivers\PxHelp20.sys [X] HKU\S-1-5-21-1645522239-1958367476-839522115-1004\...\Run: [Free Hide IP] => C:\Program Files\FreeHideIP\FreeHideIP.exe HKU\S-1-5-21-1645522239-1958367476-839522115-1004\...\Run: [MyIPHide] => "C:\Program Files\Didsoft\My IP Hide\MIH.exe" Startup: C:\Documents and Settings\dzimek\Menu Start\Programy\Autostart\abp.lnk Startup: C:\Documents and Settings\dzimek\Menu Start\Programy\Autostart\OptimizerPro.lnk ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File BootExecute: autocheck autochk * aswBoot.exe /M:1109091d /dir:"C:\Program Files\AVAST Software\Avast" AlternateShell: ProxyServer: [s-1-5-21-1645522239-1958367476-839522115-1004] => 182.93.224.126:8080 HKU\S-1-5-21-1645522239-1958367476-839522115-1004\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220150223 C:\dmgp.pif C:\Documents and Settings\All Users\Dane aplikacji\{ea842ecf-8546-dfa8-ea84-42ecf854bb3e} C:\Documents and Settings\All Users\Dane aplikacji\edd61d10000031db C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\FreeHideIP C:\Documents and Settings\All Users\Dane aplikacji\Panda Security C:\Documents and Settings\All Users\Dane aplikacji\Skype C:\Documents and Settings\dzimek\Dane aplikacji\FreeHideIP C:\Documents and Settings\dzimek\Dane aplikacji\Innovative Solutions C:\Documents and Settings\dzimek\Dane aplikacji\My-Proxy C:\Documents and Settings\dzimek\Dane aplikacji\RHEng C:\Documents and Settings\dzimek\Dane aplikacji\Panda Security C:\Documents and Settings\dzimek\Dane aplikacji\uTorrent C:\Documents and Settings\dzimek\Pulpit\abp.lnk C:\Documents and Settings\dzimek\Ustawienia lokalne\Dane aplikacji\Innovative Solutions C:\WINDOWS\system32\CONFIG.TMP Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /ve /t REG_SZ /d @SYS:DoesNotExist /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} /v LowerFilters /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} /v UpperFilters /f CMD: netsh firewall reset CMD: dir /a C:\ CMD: dir /a D:\ CMD: dir /a E:\ EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Odinstaluj stary Adobe Flash Player 10 ActiveX. Następnie wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition + Shortcut, oraz GMER. Dołącz też plik fixlog.txt. Wszystkie pliki mają być w postaci załączników forum.

Zestaw raportów niekompletny - brak FRST Shortcut i GMER. Raporty umieszczone na serwisach zewnętrznych zamiast załączników forum. Ale to na razie sobie daruj. Temat przenoszę do działu diagnostyki infekcji. W systemie grasuje wirus Sality infekujący wszystkie wykonywalne na wszystkich dyskach. R3 amsint32; \??\C:\WINDOWS\system32\drivers\khrnq.sys [X] 2015-03-04 19:43 - 2015-03-04 19:44 - 00103140 ____C () C:\dmgp.pif Robiłeś już "3-4 formaty", do wykonania kolejny, tym razem porządnie i zgodnie z zasadami bezpieczeństwa przy wirusie Sality. Format może być nieskuteczny jeśli formatujesz tylko partycję C i robisz jakąś kopię zapasową instalek lub posiadasz zainfekowany pendrive, bądź inne urządzenie przenośne. Wirus Sality atakuje wszystkie dostępne dyski, tu są dwa z 3 partycjami: ==================== Drives ================================ Drive c: () (Fixed) (Total:9.77 GB) (Free:0.85 GB) NTFS ==>[Drive with boot components (Windows XP)] Drive d: (ENDRIU) (Fixed) (Total:7.45 GB) (Free:1.93 GB) FAT32 Drive e: () (Fixed) (Total:8.87 GB) (Free:8.69 GB) NTFS ==================== MBR & Partition Table ================== ======================================================== Disk: 0 (Size: 18.6 GB) (Disk ID: 8A5C8A5C) Partition 1: (Active) - (Size=9.8 GB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=8.9 GB) - (Type=OF Extended) ======================================================== Disk: 1 (Size: 7.5 GB) (Disk ID: 4E32EA25) Partition 1: (Not Active) - (Size=7.5 GB) - (Type=0B) ==================== End Of Log ============================

Podaj dodatkowe skany. Do Notatnika wklej: ListPermissions: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings ListPermissions: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Connections Reg: reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings" /s Reg: reg query "HKCU\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings" /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

1. Uruchom AdwCleaner ponownie, tym razem zastosuj kombinację Szukaj + Usuń. Gdy program ukończy czyszczenie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Computer\Desktop\Alte Firefox-Daten Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Źle zrozumiałam. Tak, NIS może źle reagować. Pobierz przy wyłączonym NIS, uruchom czyszczenie w programie i dostarcz log wynikowy.

Mnie się wydaje, że to jest jakiś problem po stronie Microsoftu. Dużo osób zgłasza podobną sprawę. Proponuję zastąpić ten gadżet innym o podobnej funkcji. Lista gażetów: Weather Gadgets.

Wszystko pomyślnie wykonane i podstawowy problem powinien być już rozwiązany. Ale jeszcze nie kończymy. Teraz: Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) - opcje prawdopodobnie będą po niemiecku zgodnie z Twoim systemowym locale. Dostarcz log z folderu C:\AdwCleaner.

Może to problem z .NET Framework. Sprawdź czy coś wniesie do sprawy zastosowanie Microsoft .NET Framework Repair Tool.

Zapomniałeś dołączyć plik C:\_Download\Fixlog.txt.

Akcja wykonana. Na koniec: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Nie jest to problem infekcji, a z podanych raportów nic nie wynika. Temat przenoszę do działu Sieci. Raporty obowiązujące w dziale: KLIK. Kto inne prawdopodobnie się tym zajmie, to nie jest moja specjalizacja.

Tak, zastosuj remover z poziomu Trybu awaryjnego.

Problemem są m.in. zmodyfikowane skróty LNK, ale jest więcej śmieci i nadal uruchamiają się szkodliwe procesy. Przechodzimy do akcji czyszczenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 pihofyby; C:\Users\Computer\AppData\Roaming\03000200-1425400332-0500-0006-000700080009\jnsfE9D6.tmp [102912 2015-03-03] () [File not signed] R2 gixifiry; C:\Users\Computer\AppData\Roaming\03000200-1425400332-0500-0006-000700080009\nsu9357.tmpfs [X] Task: {3F5FEDE0-5EAC-40C9-98D1-188B7A336EFD} - \Run_Bobby_Browser No Task File Task: {44A26F4B-8FCE-444C-8985-8E04390D40CB} - System32\Tasks\Abelssoft\Updater scan => C:\Program Files (x86)\CHIP Updater\CHIPUpdater.exe Task: {A8542528-27A8-45FE-99A3-86323D638835} - System32\Tasks\{99CAF6A5-4855-4B15-B4AA-887BBAA86CEF} => pcalua.exe -a C:\_Download\wmp11-windowsxp-x86-DE-DE.exe -d C:\_Download Task: {E8A4BF29-7F70-4B39-829E-D116F7EBF7C9} - \gtaUpt No Task File ShortcutWithArgument: C:\Users\Computer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1425396749&from=amt&uid=SamsungXSSDX840XEVOX250GB_S1DBNSAF674590P ShortcutWithArgument: C:\Users\Computer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1425396749&from=amt&uid=SamsungXSSDX840XEVOX250GB_S1DBNSAF674590P ShortcutWithArgument: C:\Users\Computer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1425396749&from=amt&uid=SamsungXSSDX840XEVOX250GB_S1DBNSAF674590P ShortcutWithArgument: C:\Users\Computer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1425396749&from=amt&uid=SamsungXSSDX840XEVOX250GB_S1DBNSAF674590P CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ?type=hppp HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?trackid=sp-006 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ?type=hppp HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3993077788-801993031-1647673089-1000\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-3993077788-801993031-1647673089-1000\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?trackid=sp-006 HKU\S-1-5-21-3993077788-801993031-1647673089-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.com/?trackid=sp-006 SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3993077788-801993031-1647673089-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3993077788-801993031-1647673089-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=SamsungXSSDX840XEVOX250GB_S1DBNSAF674590P&ts=1425396786&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3993077788-801993031-1647673089-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=SamsungXSSDX840XEVOX250GB_S1DBNSAF674590P&ts=1425396786&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3993077788-801993031-1647673089-1000 -> {5E90F9D5-9EAF-4635-AABE-BF5C76212CC9} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=SamsungXSSDX840XEVOX250GB_S1DBNSAF674590P&ts=1425396786&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3993077788-801993031-1647673089-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=SamsungXSSDX840XEVOX250GB_S1DBNSAF674590P&ts=1425396786&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3993077788-801993031-1647673089-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - iexplore.exe StartMenuInternet: FIREFOX.EXE - firefox.exe FF HKLM-x32\...\Firefox\Extensions: [istart_ffnt@gmail.com] - C:\Users\Computer\AppData\Roaming\Mozilla\Firefox\Profiles\w9rjsaln.default\extensions\istart_ffnt@gmail.com C:\Program Files\shopperz C:\Program Files (x86)\Opera C:\Program Files (x86)\Round World C:\ProgramData\{e698de88-2a3a-27c3-e698-8de882a37a20} C:\ProgramData\IHProtectUpDate C:\ProgramData\LolliScan C:\ProgramData\WindowsMangerProtect C:\Users\Computer\KMSnano.exe C:\Users\Computer\AppData\Local\nsi975D.tmp C:\Users\Computer\AppData\Local\nsg3691.tmp C:\Users\Computer\AppData\Local\nsrB43E.tmp C:\Users\Computer\AppData\Roaming\03000200-1425400332-0500-0006-000700080009 C:\Users\Computer\AppData\Roaming\AnyProtectEx C:\Users\Computer\AppData\Roaming\mystartsearch C:\Users\Computer\AppData\Roaming\Opera Software C:\Users\Computer\AppData\Roaming\VOPackage C:\Users\Computer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Jak już zasugerowałam, to nie jest problem infekcji. Błędy wskazują na problem w obszarze .NET Framework 4.x. W systemie prócz natywnie wbudowanych są doinstalowane następujące obiekty: ==================== Installed Programs ====================== Microsoft .NET Framework 4.5.1 (Polski) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1045) (Version: 4.5.50938 - Microsoft Corporation) Microsoft .NET Framework 4.5.2 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.51209 - Microsoft Corporation) Microsoft ASP.NET MVC 4 Runtime (HKLM\...\{3FE312D5-B862-40CE-8E4E-A6D8ABF62736}) (Version: 4.0.40804.0 - Microsoft Corporation) Microsoft Chart Controls for Microsoft .NET Framework 3.5 (KB2500170) (HKLM\...\{41785C66-90F2-40CE-8CB5-1C94BFC97280}) (Version: 3.5.30730.0 - Microsoft Corporation) Microsoft Visual Studio Tools for Applications 2.0 - ENU (HKLM\...\{AA4A4B2C-0465-3CF8-BA76-27A027D8ACAB}) (Version: 9.0.30729 - Microsoft Corporation) Microsoft Visual Studio Tools for Applications 2.0 Runtime (HKLM\...\{299C0434-4F4E-341F-A916-4E07AEB35E79}) (Version: 9.0.30729 - Microsoft Corporation) Microsoft WSE 3.0 Runtime (HKLM\...\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}) (Version: 3.0.5305.0 - Microsoft Corp.) 1. Na początek spróbuj zastosować Microsoft .NET Framework Repair Tool. Przy braku rezultatów: 2. Odinstaluj przez Panel sterowania wszystkie pozycje zakreślone powyżej. Następnie użyj .NET Framework Cleanup Tool. Po akcji uruchom Windows Update i uzupełnij brakującą instalację .NET Framework 4.x.

Temat przenoszę do działu Windows. To moim zdaniem nie jest problem infekcji. To nadal wskazuje na uszkodzone pliki i jeszcze wychodzi na to, że są uszkodzone pliki EVT Dziennika zdarzeń. Pod kątem Dziennika zdarzeń, operacja sprowadza się do usunięcia plików EVT i ich regeneracji. Akcja wymaga tymczasowego wyłączenia usługi Dziennik zdarzeń, więc są dwa etapy zadania: 1. Otwórz Notatnik i wklej w nim: CMD: sc config Eventlog start= disabled Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Zachowaj wynikowy fixlog.txt. 2. Otwórz Notatnik i wklej w nim: C:\WINDOWS\system32\config\*.evt CMD: sc config Eventlog start= auto Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Powstanie kolejny fixlog.txt. Przedstaw oba pliki fixlog.txt. To z kolei wskazuje na uszkodzone Zmienne środowiskowe. Panel sterowania > System > Zaawansowane > Zmienne środowiskowe > w sekcji Zmienne systemu sprawdź czy widnieje zmienna Path równa: %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem Jeśli w ogóle jej nie ma, opcją Nowa... utwórz. Jeśli jest, ale punktuje inny ciąg, zedytuj. Ale w której konsoli wklepałeś polecenie? Konsola Odzyskiwania uruchomiona z poziomu bootowalnej płyty nie udostępnia tej funkcji. sfc /scannow jest wykonalne tylko z poziomu działającego Windows. Jak rozumiem pożyczyłeś płytę Pro, a jest tu edycja Home. Proponuję inną akcję zamiennie: 1. Ściągnij pakiet SP3: KLIK. Pobrany plik o nazwie WindowsXP-KB936929-SP3-x86-PLK.exe zapisz bezpośrednio na dysku C. 2. Wyekstraktuj pakiet: Start > Uruchom > wklej komendę C:\WindowsXP-KB936929-SP3-x86-PLK.exe /x:C:\SP. Service Pack się rozpakuje do katalogu C:\SP. 3. Uruchom sprawdzanie plików: Start > Uruchom > sfc /scannow > gdy zostniesz poproszony o "płytę" / wskazanie ścieżki, nakieruj narzędzie na folder C:\SP\i386.

Fix wykonany. Kończąc czyszczenie systemu zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Zrób test z tymczasową deinstalacją Avira (tylko to odcina wszystkie czynności, w tym sterowniki programu), bo był jakiś problem z jej uruchomieniem i mogły nastąpić jakieś inne niekorzystne zmiany w składnikach. Podaj czy są zmiany w działaniu systemu.

Fix wykonany. Podejrzany: Kaspersky Internet Security 2012 (zresztą stara wersja). Na próbę go odinstaluj, następnie z poziomu Trybu awaryjnego zastosuj Kaspersky Remover.

Fix wykonany pomyślnie. Czy MBAM cokolwiek znalazł? Czy nadal są problemy z łączeniem stron? Teraz przeprowadź skanowanie za pomocą Hitman Pro i dostarcz wynikowy log.

Czy jest jakiś konkretny powód, bądź zachowanie w systemie wskazujące na pobyt infekcji? W dostarczonych tu raportach brak oznak infekcji, aczkolwiek nie został pokazany GMER.

Prawdopodobnie skasowany obiekt ZeroAccess stawia opór. Zbootuj płytę Kaspersky Rescue Disc. Z desktopu uruchom "File Manager" > Disks > przez SHIFT+DEL (omija "kosze") skasuj odpowiednik ścieżki C:\FRST.

Można sprawdzić ponownie jak się zachowa McAfee po reinstalacji, ale sugeruję porzucić ten trop. Trudno też doradzić zastępstwo, bo aż do momentu instalacji danego pakietu nie jest wiadome jak wpłynie na system. Konfiguracje są unikatowe. Widoczne elementy już korygował skrypt FRST. Będą jeszcze inne poprawki. 1. Otwórz Notatnik i wklej w nim: CHR HomePage: Default -> hxxp://websearch.webisawsome.info/?pid=1249&r=2014/02/22&hid=15417204159028078963&lg=EN&cc=PL&unqvl=49 CHR StartupUrls: Default -> "hxxp://websearch.webisawsome.info/?pid=1249&r=2014/02/22&hid=15417204159028078963&lg=EN&cc=PL&unqvl=49" HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] C:\Program Files (x86)\MyFree Codec C:\Program Files (x86)\WoebsaaVe C:\Program Files (x86)\YoutubeAdblocker C:\ProgramData\26513859ba0f54e0 C:\ProgramData\McAfee C:\ProgramData\WoebsaaVe C:\ProgramData\YoutubeAdblocker Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Prawie wszystko zrobione, z wyjątkiem usuwania kwarantanny FRST. Ponowne podejście: Otwórz Notatnik i wklej w nim: CloseProcesses: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Zaprezentuj wynikowy fixlog.txt.