picasso

W systemie jest widoczny tylko odpadkowy sterownik po adware i ślady instalacji tego emulatora "Andy OS", ale brak oznak czynnych innych infekcji. Jaki błąd zwraca próba uruchomienia Avira i czy próbowałeś przeinstalować antywirusa? Na razie tylko usuwanie sterownika adware, widocznych komponentów "Andy" i wpisów pustych: 1. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator > sprawdź czy widać jakieś szczątkowe urządzenia po odinstalowanym VirtualBox. Znalezione podświetl i odinstaluj. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61112 2014-03-25] (StdLib) Task: {7591E436-D372-4C23-ADAF-31B443DF3062} - System32\Tasks\SuperEasyDriverUpdaterRunAtStartup => C:\Program Files (x86)\SuperEasy Software\Driver Updater\supereasydu.exe Task: {C1402CC3-A0A2-4C7B-8E12-2235290389FF} - System32\Tasks\SuperEasyDriverUpdater_UPDATES => C:\Program Files (x86)\SuperEasy Software\Driver Updater\supereasydu.exe C:\Program Files\AndyOfflineInstaller43 C:\ProgramData\AndyDrivers.zip C:\ProgramData\Apple C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Andy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerMenu C:\Users\Magic\.android C:\Users\Magic\Links\Adept - Another Year Of Disaster (2009).lnk C:\Windows\pss\PowerMenu.lnk.Startup C:\Windows\system32\Drivers\VBoxDrv.sys C:\Windows\system32\Drivers\VBoxUSBMon.sys C:\Windows\System32\drivers\wStLibG64.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Magic^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^PowerMenu.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Andy" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się co się dzieje po usunięciu w/w komponentów.

W porządku. Tak, oczywiście GMER i jego log możesz usunąć ręcznie.

Tak, wyłącz synchronizację i jej na razie nie włączaj. Następnie przeinstaluj Google Chrome wg podanych wytycznych. Po tym zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

Magistic, proszę wchodząc na dane forum czytać zasady jak się zakłada temat i co jest wymagane. Logi z przestarzałego OTL w ogóle nie są tu już brane pod uwagę. Proszę dostarczyć raporty wskazane zasadami działu: KLIK. Logi mają być umieszczone w postaci oryginalnych plików jako załączniki forum, a nie na serwisach hostingowych.

Zasady działu nie przeczytane: KLIK. Tu jest zakaz podpinania się pod cudze tematy - wydzielone w osobny. Zestaw obowiązkowych logów niekompletny - proszę dostarczyć obowiązkowe FRST Addition + Shortcut.

Zacznij od zasad działu i dostarcz obowiązkowe logi FRST + GMER: KLIK. Na temat używania ComboFix: KLIK. Jego użycie nie jest tu ani pożądane (nie sprawdzony system nieinwazyjnymi narzędziami), ani potrzebne (na razie).

To są te ustawienia "górne", które są DMA, nawet jeśli jest PIO. Czy na pewno sprawdziłaś linię "Bieżący tryb" zakolorowaną na różowo na obrazku w przyklejonym? Nie, Fix FRST już skasował wyniki AdwCleaner, a DelFix usunął AdwCleaner jako taki. AdwCleaner nie ma sensu trzymać na komputerze, bo jest często aktualizowany i należy go pobierać za każdym razem od nowa. Stara wersja się nawet nie uruchamia, dopóki nie pobierzesz najnowszej dostępnej. DelFix wykonał co należy. Skasuj z dysku plik C:\Delfix.txt.

AdwCleaner to awaryjny usuwacz adware już po fakcie, gdyż adware już się zainstalowało. Nie pełni żadnych funkcji ochronnych. Skrypty FRST są jednorazowego użytku. Fix wykonany aż 5 razy, ale zostaw już ten wątek w spokoju. Ran by dell at 2015-03-03 17:26:26 Run:5 Mam pytanie, czy to w ogóle było wykonane: Konsekwentnie nie widać zmian w przeglądarce Google Chrome. Tak Chrome nie wygląda po czystej reinstalacji z zastosowaniem opcji Usuń także dane przeglądarki. Wyjątkiem jest jedna sytuacja, gdy jest włączona synchronizacja z serwerem Google, wtedy z serwera są przeładowywane ustawienia (w tym szkodliwe). Tak więc odpowiedz na pytania: czy Chrome było reinstalowane, a jeśli tak, to czy jest czynna synchronizacja?

Wszystko wykonane. Kończymy: 1. Był uruchamiany GMER. Na wszelki wypadek sprawdź Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Nie podałeś raportu MBAM do oceny, nie wiem co znalazł. Fix wykonany. Na zakończenie: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Ostatnie poprawki. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\drivergenius RemoveDirectory: C:\Program Files\driver-soft RemoveDirectory: C:\FRST\Quarantine Reg: reg delete HKCU\Software\InstallCore /f Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3} /f Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52} /f Reg: reg delete HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} /f Reg: reg delete HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} /f Reg: reg delete HKLM\SOFTWARE\Classes\TypeLib\{A2D733A7-73B0-4C6B-B0C7-06A432950B66} /f Reg: reg delete HKLM\SOFTWARE\omiga-plusSoftware /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Ale dlaczego za pomocą tego programu, nie dało się normalnie? Skutki: AVG wcale nie został odinstalowany poprawnie - nadal działa jego sterownik i inne komponenty. Fix nie przeszedł nawet do połowy. Kolejne podejście: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Winsock: Missing Catalog5 entry, broken internet access. R1 avgtp; C:\WINDOWS\system32\drivers\avgtpx86.sys [42784 2014-08-30] (AVG Technologies) HKU\S-1-5-21-1177238915-1972579041-2147093213-500\...\Run: [AvgUpdater] => C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_0414b\0414b_AVG-Secure-Search-Update.exe [2707480 2014-04-09] () DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab C:\Documents and Settings\Administrator\Dane aplikacji\QuickScan C:\Documents and Settings\Administrator\Menu Start\Programy\WapSter C:\Documents and Settings\Administrator\Pulpit\Muzyka\Pasjonaci - Pasjonaci 2 (2012) [Maciek1981].lnk C:\Documents and Settings\Administrator\Pulpit\Programy - inne\AccurateBurn MP3 Audio CD Maker.lnk C:\Documents and Settings\Administrator\Pulpit\Programy - inne\dBpoweramp Music Converter.lnk C:\Documents and Settings\Administrator\Pulpit\Programy - inne\FastStone Image Viewer.lnk C:\Documents and Settings\Administrator\Pulpit\Programy - inne\LogMeIn Hamachi.lnk C:\Documents and Settings\Administrator\Pulpit\Programy - inne\Opera.lnk C:\Documents and Settings\Administrator\Pulpit\Programy - inne\Your Uninstaller!.lnk C:\Documents and Settings\Administrator\Pulpit\Zdjęcia\Zdjęcie0290.jpg.lnk C:\Documents and Settings\All Users\Dane aplikacji\1425386007.bdinstall.bin C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_0414b C:\Documents and Settings\All Users\Dane aplikacji\bdch C:\Documents and Settings\All Users\Dane aplikacji\BDLogging C:\Documents and Settings\All Users\Dane aplikacji\MFAData C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{899CF70A-A52B-4CB5-B4F1-EFCD5A325B1F} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{8C7E6248-C1D1-492D-83A0-DCB42039B276} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{B9B63F5C-AC06-4342-86F3-F684535F6703} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{C32DE581-07FB-420E-B09D-C6A8009F3B46} C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Menu Start\Programy\Empire Interactive C:\Documents and Settings\Default User\Menu Start\eBay.lnk C:\Documents and Settings\LocalService\Dane aplikacji\QuickScan C:\Documents and Settings\UpdatusUser\Dane aplikacji\QuickScan C:\Documents and Settings\UpdatusUser\Ustawienia lokalne\Dane aplikacji\bdch C:\Program Files\GUT5E.tmp C:\Program Files\Bitdefender C:\Program Files\Common Files\Bitdefender C:\Program Files\Google\Desktop C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Bonjour C:\WINDOWS\system32\bdsandboxuiskin.dll C:\WINDOWS\system32\bdsandboxuh.dll C:\WINDOWS\system32\drivers\avgtpx86.sys C:\WINDOWS\system32\drivers\ZeroAccess.sys C:\WINDOWS\system32\drivers\Msft_Kernel_avchv_01009.Wdf Hosts: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\APSDaemon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AQQ" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AVG_UI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ChomikBox" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Expressivo" /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent /f Reg: reg delete HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart i powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz GMER. Dołącz też plik fixlog.txt.

Kończymy: 1. Skasuj FRST z C:\Users\Rubo\Desktop\Nowy folder. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Cały system do aktualizacji, stan obecny to brak SP1, IE11 i reszty łat: Platform: Windows 7 Ultimate (X64) OS Language: Polski (Polska) Internet Explorer Version 8 (Default browser: FF)

Wszystko zrobione. Drobne poprawki: 1. Likwidacja reinstalatora Avast SafePrice. Otwórz Notatnik i wklej: Reg: reg delete HKLM\SOFTWARE\Google\Chrome\Extensions\eofcbnmajmjmplflapaojjnihcjkigck /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Brak sieci, gdyż nastąpiło uszkodzenie Winsock: Winsock: Missing Catalog5 entry, broken internet access. Są tu (nieczynne już) szczątki ZeroAccess. W GMER za to widać aktywny mocno podejrzany sterownik uruchamiany z Temp i urządzenie na systemie plików, towarzyszą mu też te moduły: ---- System - GMER 2.1 ---- SSDT \??\c:\documents and settings\administrator\ustawienia lokalne\temp\663423F0.sys ZwCreateSection [0xB182C7E8] SSDT \??\c:\documents and settings\administrator\ustawienia lokalne\temp\663423F0.sys ZwCreateThread [0xB182C96C] SSDT \??\c:\documents and settings\administrator\ustawienia lokalne\temp\663423F0.sys ZwMakeTemporaryObject [0xB182C75E] SSDT \??\c:\documents and settings\administrator\ustawienia lokalne\temp\663423F0.sys ZwOpenSection [0xB18294EC] SSDT \??\c:\documents and settings\administrator\ustawienia lokalne\temp\663423F0.sys ZwQueueApcThread [0xB182CA8A] SSDT \??\c:\documents and settings\administrator\ustawienia lokalne\temp\663423F0.sys ZwSetContextThread [0xB182CBAA] SSDT \??\c:\documents and settings\administrator\ustawienia lokalne\temp\663423F0.sys ZwSetSystemInformation [0xB18292A8] SSDT \??\c:\documents and settings\administrator\ustawienia lokalne\temp\663423F0.sys ZwSetSystemTime [0xB182945E] SSDT \??\c:\documents and settings\administrator\ustawienia lokalne\temp\663423F0.sys ZwSystemDebugControl [0xB1828F82] SSDT \??\c:\documents and settings\administrator\ustawienia lokalne\temp\663423F0.sys ZwUnmapViewOfSection [0xB182C6D0] SSDT \??\c:\documents and settings\administrator\ustawienia lokalne\temp\663423F0.sys ZwWriteVirtualMemory [0xB182A98A] ---- Kernel code sections - GMER 2.1 ---- ? c:\documents and settings\administrator\ustawienia lokalne\temp\663423F0.sys Nie można odnaleźć określonego pliku. ! ---- Devices - GMER 2.1 ---- Device \FileSystem\458705E4ADC68C94 \Device\458705E4ADC68C94 663423F0.sys AttachedDevice \Driver\Tcpip \Device\Udp 663423F0.sys AttachedDevice \Driver\Tcpip \Device\RawIp 663423F0.sys AttachedDevice \FileSystem\Fastfat \Fat 663423F0.sys ==================== Loaded Modules (whitelisted) ============== 2015-03-03 14:00 - 2015-03-03 14:00 - 07154944 _____ () c:\documents and settings\administrator\ustawienia lokalne\temp\8CC10E34-2B080249-791BD054-25A90A05\s7BVsz6o2MT1.exe 2015-03-03 14:13 - 2015-03-03 14:13 - 07154944 _____ () c:\documents and settings\administrator\ustawienia lokalne\temp\E65968AA-EEEFEDD3-E9D81B3F-BCCF49A0\aTf8L08LwgFUQW.exe Dodatkowo, dwa pliki systemowe nie są podpisane cyfrowo, ale tu trudno powiedzieć jaka przyczyna, bo jest tu nieoryginalny system zainstalowany z płyty wytworzonej za pomocą nLite: ==================== Bamital & volsnap Check ================= C:\WINDOWS\explorer.exe [2008-07-22 14:25] - [2008-07-22 14:25] - 1528832 ____A (Microsoft Corporation) b49a80a502fd86b2f05bc7bbd723ddab C:\WINDOWS\system32\User32.dll [2008-07-22 14:34] - [2008-07-22 14:34] - 0487424 ____A (Microsoft Corporation) 5f1ccdf37f28a88d0473b0c9ea1e0d58 Notuję tu też problemy z instalatorami aplikacji, np. Bonjour i Java 8 w ogóle nie figurują na liście Dodaj/Usuń, a są "zainstalowane". [hr] Wstępnie: 1. Odinstaluj AVG Web TuneUp. Sprawdź w katalogu C:\Program Files\Bonjour czy jest jakiś plik deinstalacyjny, znaleziony uruchom. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Winsock: Missing Catalog5 entry, broken internet access. Winsock: Catalog5 04 C:\Program Files\Bonjour\mdnsNSP.dll [94208] (Apple Computer, Inc.) S3 AntiZeroAccess; C:\WINDOWS\system32\drivers\ZeroAccess.sys [17800 2013-09-09] (PrevX Research) HKLM\...\RunOnce: [Del C:\Documents and Settings\Administrator\Moje dokumenty\Sports Interactive\Football Manager 2014\uploads\Sunderland 3 - 2 Peterborough - Skroty meczu.ogv OnNextReboot] => C:\Documents and Settings\Administrator\Moje dokumenty\Sports Interactive\Football Manager 2014\uploads\Sunderland 3 - 2 Peterborough - Skroty meczu.ogv [20792054 2014-11-24] () HKLM\...\RunOnce: [Del C:\Documents and Settings\Administrator\Moje dokumenty\Sports Interactive\Football Manager 2014\uploads\Burnley 1 - 3 Sunderland - Skroty meczu.ogv OnNextReboot] => C:\Documents and Settings\Administrator\Moje dokumenty\Sports Interactive\Football Manager 2014\uploads\Burnley 1 - 3 Sunderland - Skroty meczu.ogv [16842694 2015-02-09] () HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.google.com" DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab C:\Documents and Settings\Administrator\Dane aplikacji\QuickScan C:\Documents and Settings\Administrator\Menu Start\Programy\WapSter C:\Documents and Settings\Administrator\Pulpit\Muzyka\Pasjonaci - Pasjonaci 2 (2012) [Maciek1981].lnk C:\Documents and Settings\Administrator\Pulpit\Programy - inne\AccurateBurn MP3 Audio CD Maker.lnk C:\Documents and Settings\Administrator\Pulpit\Programy - inne\dBpoweramp Music Converter.lnk C:\Documents and Settings\Administrator\Pulpit\Programy - inne\FastStone Image Viewer.lnk C:\Documents and Settings\Administrator\Pulpit\Programy - inne\LogMeIn Hamachi.lnk C:\Documents and Settings\Administrator\Pulpit\Programy - inne\Opera.lnk C:\Documents and Settings\Administrator\Pulpit\Programy - inne\Your Uninstaller!.lnk C:\Documents and Settings\Administrator\Pulpit\Zdjęcia\Zdjęcie0290.jpg.lnk C:\Documents and Settings\All Users\Dane aplikacji\1425386007.bdinstall.bin C:\Documents and Settings\All Users\Dane aplikacji\bdch C:\Documents and Settings\All Users\Dane aplikacji\BDLogging C:\Documents and Settings\All Users\Dane aplikacji\MFAData C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{899CF70A-A52B-4CB5-B4F1-EFCD5A325B1F} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{8C7E6248-C1D1-492D-83A0-DCB42039B276} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{B9B63F5C-AC06-4342-86F3-F684535F6703} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{C32DE581-07FB-420E-B09D-C6A8009F3B46} C:\Documents and Settings\All Users\Menu Start\Programy\Empire Interactive C:\Documents and Settings\Default User\Menu Start\eBay.lnk C:\Documents and Settings\LocalService\Dane aplikacji\QuickScan C:\Documents and Settings\UpdatusUser\Dane aplikacji\QuickScan C:\Documents and Settings\UpdatusUser\Ustawienia lokalne\Dane aplikacji\bdch C:\Program Files\GUT5E.tmp C:\Program Files\Bitdefender C:\Program Files\Common Files\Bitdefender C:\Program Files\Google\Desktop C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\WINDOWS\system32\bdsandboxuiskin.dll C:\WINDOWS\system32\bdsandboxuh.dll C:\WINDOWS\system32\drivers\ZeroAccess.sys C:\WINDOWS\system32\drivers\Msft_Kernel_avchv_01009.Wdf Hosts: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\APSDaemon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AQQ" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AVG_UI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ChomikBox" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Expressivo" /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent /f Reg: reg delete HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Documents and Settings\Administrator\Menu Start\Programy\Akcesoria\Narzędzia systemowe Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pole Addition) oraz GMER. Dołącz też plik fixlog.txt.

Ten Fixlog usuwam - to kopia pliku przedstawionego już wcześniej. Wszystko zrobione. Na koncie Jarosław nie ma nic podejrzanego. Na koncie Fabian jeszcze: Uruchom AdwCleaner. Na razie wybierz tylko Szukaj (nie stosuj jeszcze Usuń) i dostarcz log wynikowy z folderu C:\AdwCleaner.

Kolejne poprawki: 1. Uruchom AdwCleaner ponownie, lecz tym razem wybierz sekwencję Szukaj + Usuń. Gdy program ukończy czyszczenie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Rubo\AppData\Roaming\Mozilla\Firefox\Profiles\u1tsku50.default Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: C:\Users\Rubo\Desktop\ComboFix.exe /uninstall Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ostatnia komenda to deinstalacja ComboFix. Pokaż wynikowy fixlog.txt.

Nie jest to więc problem adware / infekcji. Temat przenoszę do działu Windows. 1. Wstępnie sprawdź czy ma jakiś skutek start w czystym rozruchu: KLIK. 2. W Dzienniku zdarzeń jest poniższy błąd, może trzeba przeinstalować oprogramowanie sieciowe: System errors: ============= Error: (03/03/2015 02:15:51 PM) (Source: Microsoft-Windows-WLAN-AutoConfig) (EventID: 10000) (User: ZARZĄDZANIE NT) Description: Uruchomienie modułu rozszerzalności sieci WLAN nie powiodło się. Ścieżka modułu: C:\Windows\System32\IWMSSvc.dll Kod błędu: 126 Jak mówiłam, uszkodzone deinstalatory czyszczeniem. Te wpisy jednak nie wpływają na nic. Usuwanie wpisów i pozostałe drobne korekty: Do Notatnika wklej: BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File FF Plugin: @java.com/DTPlugin -> C:\Program Files\Java\jre6\bin\npDeployJava1.dll No File FF Plugin-x32: @java.com/DTPlugin -> C:\Program Files (x86)\Java\jre6\bin\npDeployJava1.dll No File RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Java RemoveDirectory: C:\Program Files (x86)\OpenOffice.org 3 RemoveDirectory: C:\Users\SigmaAZ\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\46B04D534E344388B6EE80FAB66AEF9B.TMP Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{0e44b370-5a9c-4a87-8514-c9e0df4c7579} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{7e2cf18a-f226-4a9b-bc0e-cc19d3f9d50e} /f CMD: del /q C:\Users\SigmaAZ\Downloads\b85q2k81.exe CMD: del /q C:\Users\SigmaAZ\Downloads\o4pdkxh9.exe CMD: del /q C:\Windows\SysWOW64\deployJava1.dll CMD: C:\Users\SigmaAZ\Downloads\ComboFix.exe /uninstall Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ostatnia komenda to deinstalacja ComboFix. Zaprezentuj wynikowy fixlog.txt. Pierwszy wariant, co przecież zaznaczyłam: PS. ComboFix usuwał coś z folderu "abgx" - odinstaluj abgx360 v1.0.6. Podałeś mi ostatni log AdwCleaner z serii (nie pokazujący co było wcześniej usuwane), a logów w folderze jest kupa. Ale zostaw już ten wątek.

Wg raportu ten gad jest w pełni zainstalowany (aktywna usługa). Jaki konkretnie błąd widzisz? Co się dzieje, jeśli uruchomisz zamiennie skrót deinstalacji w Menu Start? C:\Users\Joanna\Start Menu\Programs\SpyHunter\Uninstall.lnk

1. Odinstaluj ten strasznie stary Mozilla Firefox 13.0.1 (x86 pl) oraz Adobe Flash Player 16 NPAPI (wtyczka dla produktów Mozilla, Chrome ma własną zintegrowaną). Przy deinstalacji Firefox zaznacz usuwanie profilu / danych użytkownika z dysku. 2. Uruchom AdwCleaner ponownie, lecz tym razem zastosuj kombinację opcji Szukaj + Usuń. Gdy program ukończy czyszczenie: 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Programdata\Mozilla RemoveDirectory: C:\Users\Adam\AppData\Local\Mozilla RemoveDirectory: C:\Users\Adam\AppData\Roaming\Mozilla Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. Przedstaw go.

1. Ta część nie jest dobrze zrobiona: Wprawdzie widzę, że na dysku jest folder "Stare dane programu Firefox" poświadczający wdrożenie procedury, ale w samym Firefox brak zmian - nadal jest stary profil sprzed resetu. Wykonaj inną akcję: - Wyeksportuj zakładki z bieżącego profilu. Zamknij Firefox. - Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p - W menedżerze profilów załóż nowy profil, a poprzedni skasuj. 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1671621278-90422489-2177884435-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Rubo\AppData\Local\Akamai\netsession_win.exe" Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll No File Toolbar: HKU\S-1-5-21-1671621278-90422489-2177884435-1001 -> DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll No File RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\DAEMON Tools Toolbar RemoveDirectory: C:\Users\Rubo\Desktop\Stare dane programu Firefox CMD: netsh advfirewall reset Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 3. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń), powstanie log w folderze C:\AdwCleaner. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) na następującym ustawieniu: odznacz Whitelist dla pola Internet. Dołącz też plik fixlog.txt i log z AdwCleaner.

Zappa Komentarze w spoilerze: Pipi178 Temat założony w złym dziale, przenoszę. Zestaw logów FRST niekompletny - brak pliku FRST Shortcut. I poprawki: 1. Otwórz Notatnik i wklej w nim: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction FF HKLM\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Documents and Settings\M\Dane aplikacji\Mozilla\Firefox\Profiles\2o7c43x7.default\extensions\fftoolbar2014@etech.com C:\Documents and Settings\M\Dane aplikacji\omiga-plus C:\WINDOWS\System32\drivers\{7a11bc7a-fa65-4d5a-ade4-5a0d20eea01d}t.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie kolejny plik fixlog.txt. 2. W Firefox też jest adware (ace race 1.0.1 + FF Toolbar). Wyczyść przeglądarkę: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj te szczątki ace race, Adblock for Youtube™ oraz sponsoringowe rozszerzenie Avast SafePrice. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (aktywuj ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zainstaluj IE8. Link w przyklejonym: KLIK. 5. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstał brakujący log. Dołącz też plik fixlog.txt.

Brak trzeciego obowiązkowego raportu FRST Shortcut. Tak jest, SpyHunter to program-naciągacz z czarnej listy stosujący socjo-sztuczki, by przekonać do instalacji i podsunąć ofertę zakupów wersji pełnej. Pobierałeś wersję scrackowaną, by obejść ten "problem" - to i tak do niczego nie prowadzi. Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1419784372&from=cor&uid=HGSTXHTS721010A9E630_JR10006P0KAE6F0KAE6FX" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] C:\sh4_service.log C:\shldr.mbr C:\spyhunter.log C:\Program Files (x86)\Enigma Software Group C:\Users\Dominik\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Dominik\Desktop\spyhunter C:\Users\Dominik\Downloads\SpyHunter 4.12.13.4202 + Patch.rar C:\Users\Dominik\Downloads\adwcleaner*.exe C:\Windows\46B04D534E344388B6EE80FAB66AEF9B.TMP Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKLM\SOFTWARE\Google\Chrome\Extensions\dbhjdbfgekjfcfkkfjjmlmojhbllhbho /s Reg: reg query HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\dbhjdbfgekjfcfkkfjjmlmojhbllhbho /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj DigiHelp Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstał brakujący log. Dołącz też plik fixlog.txt.

Klawisz z flagą Windows + X > Uruchom > control userpasswords2 > zaznacz "Aby używać tego komputera, użytkownik musi wprowadzić nazwę użytkownika i hasło". Potem przywrócisz poprzednie ustawienie.

Zrób jeszcze defragmentację dysku, o ile nie jest to dysk SSD. Wrażenia to może być placebo. Konkretnie: ile system startował przed infekcją z BitDefenderem, a ile po czyszczeniu z BitDefenderem oraz po odinstalowaniu BitDefendera?