picasso

Pobieranie jest na stronie opisowej modelu: Bezprzewodowy router/modem ADSL2+, TD-W8901G W sekcji "Do pobrania" > Firmware masz do wyboru trzy serie: V2, V3, V6. Porównujesz ze swoją naklejką i klikasz korespondujący link.

Podałam powyżej aktualizację firmware (powinna zawierać natywne zabezpieczenie). Czy robiłeś z tym podejście?

Wykonaj od razu aktualizację firmware. Instrukcje: Jak zaktualizować oprogramowanie routera ADSL (dla TD-W8840T, TD-W8901G, TD-W8951ND oraz TD-W8961ND)

To infekcja CTB-Locker. Opis infekcji: KLIK. Odszyfrowanie danych bez opłaty uiszczonej cyberprzestępcom jest niemożliwe technicznie. Dane te zostały utracone, soft do odzyskiwania danych prawdopodobnie też nic nie zaradzi (w systemie zresztą były liczne zapisy na dysku). Na forum dużo tematów tego rodzaji, dobry przykład to ten: KLIK. Jedyne więc co leży w mojej gestii, to doczyszczenie systemu, bo robiono to niedokładnie i trzeba nanieść korekty, w tym na adware. Nie jestem też pewna co tu się działo, ale przeprowadzone naprawy wyglądają "podejrzanie" i prawdopodobnie uszkodzono pewne sfery systemu nieumiejętnym czyszczeniem. Dwie rzeczy rzucają się w oczy: - Uszkodzenia w Harmonogramie zadań od obiektów które są zainstalowane, co wygląda jakby na oślep usuwano z dysku powiązane pliki zadań. - Wyprodukowano tu problem tego rodzaju: KLIK. Ktoś (ręcznie lub via tweaker z funkcją resetu uprawnień) rozwalił linki symboliczne, gdyż w Shortcut widać zapętlenie Danych aplikacji (w normalnych okolicznościach w systemie jest Odmowa dostępu i nie następuje zwrotne rozwinięcie): Shortcut: C:\ProgramData\Dane aplikacji\Dane aplikacji\Dane aplikacji\Dane aplikacji\Dane aplikacji\Dane aplikacji\Dane aplikacji\Menu Start\Programy\Accessories\Math Input Panel.lnk -> C:\Program Files\Common Files\Microsoft Shared\ink\mip.exe (Microsoft Corporation) Używany tu był "Tweaking.com - Windows Repair (All in One)", który owszem ma resety uprawnień i możliwe, że to on zepsuł te specjalne obiekty otwierając je. Na razie problem uszkodzonych linków zostawiam. W Dzienniku zdarzeń jest następujący zestaw błędów: Application errors: ================== Error: (02/21/2015 05:59:40 PM) (Source: Microsoft-Windows-CAPI2) (EventID: 257) (User: ) Description: Zainicjowanie bazy danych wykazu przez Usługi kryptograficzne nie powiodło się. Błąd ESENT: -550. Error: (02/21/2015 05:58:01 PM) (Source: ESENT) (EventID: 104) (User: ) Description: Catalog Database (1448) Catalog Database: Aparat bazy danych zatrzymał wystąpienie (0) z błędem (-1090). Error: (02/21/2015 05:34:32 PM) (Source: ESENT) (EventID: 471) (User: ) Description: Catalog Database (1448) Catalog Database: Nie można cofnąć operacji nr 11182 na bazie danych C:\Windows\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb. Błąd: -510. Wszystkie przyszłe aktualizacje bazy danych będą odrzucane. Error: (02/21/2015 05:34:31 PM) (Source: ESENT) (EventID: 492) (User: ) Description: Catalog Database (1448) Catalog Database: Sekwencja pliku dziennika w "C:\Windows\system32\CatRoot2\" została zatrzymana z powodu błędu krytycznego. Przyszłe aktualizacje nie są możliwe w wypadku baz danych używających tej sekwencji pliku dziennika. Usuń problem i ponownie uruchom bazę danych lub przywróć ją z kopii zapasowej. Error: (02/21/2015 05:34:31 PM) (Source: ESENT) (EventID: 418) (User: ) Description: Catalog Database (1448) Catalog Database: Wystąpił błąd -1811 (0xfffff8ed) podczas otwierania nowo utworzonego pliku dziennika C:\Windows\system32\CatRoot2\edb.log. I nawet się nie przymierzaj do uruchomienia tego archaizmu: C:\Users\asus\Downloads\avast! Home Edition 4.8 [1].exe Działania do przeprowadzenia: 1. Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny, który m.in. zawiera reset bazy catroot2 wskazywanej w błędach Dziennika. 2. Odinstaluj przez Panel sterowania: - Szczątki adware: PriceFountain (remove only), Softonic for Windows. - Stare programy: Adobe Flash Player 11 ActiveX, Adobe Reader 9.1 - Polish, Java 7 Update 67, Spybot - Search & Destroy. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HomePage: Default -> ?type=hppppp CHR StartupUrls: Default -> "?type=hppppp" CHR DefaultSearchURL: Default -> web/?type=dspp&q={searchTerms} HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2927441721-3693689410-853391107-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ?type=hppppp HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = ?type=hppppp HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = web/?type=dspp&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ?type=hppppp HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = ?type=hppppp HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = web/?type=dspp&q={searchTerms} HKU\S-1-5-21-2927441721-3693689410-853391107-1000\Software\Microsoft\Internet Explorer\Main,Start Page = ?type=hppppp HKU\S-1-5-21-2927441721-3693689410-853391107-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421662973&from=cor&uid=WDCXWD2500BEVS-22UST0_WD-WXE308A5612956129&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421662973&from=cor&uid=WDCXWD2500BEVS-22UST0_WD-WXE308A5612956129&q={searchTerms} SearchScopes: HKU\S-1-5-21-2927441721-3693689410-853391107-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD2500BEVS-22UST0_WD-WXE308A5612956129&ts=1421663052&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2927441721-3693689410-853391107-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD2500BEVS-22UST0_WD-WXE308A5612956129&ts=1421663052&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2927441721-3693689410-853391107-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD2500BEVS-22UST0_WD-WXE308A5612956129&ts=1421663052&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2927441721-3693689410-853391107-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD2500BEVS-22UST0_WD-WXE308A5612956129&ts=1421663052&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2927441721-3693689410-853391107-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD2500BEVS-22UST0_WD-WXE308A5612956129&ts=1421663052&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2927441721-3693689410-853391107-1000 -> {FC2865F2-365B-4B32-A000-8628FA9410DD} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD2500BEVS-22UST0_WD-WXE308A5612956129&ts=1421663052&type=default&q={searchTerms} Task: {2196903F-8F5E-4FC4-900A-CF9995A55B52} - \ATKOSD2 No Task File Task: {25EAFE83-F64F-46D7-87F7-4F2306BFB6F5} - \ACMON No Task File Task: {2BDE8D3D-C67C-4E3B-8332-EF8BCC470AF5} - \AdobeFlashPlayerUpdate 2 No Task File Task: {2E8A8835-D23A-4157-BF17-2E01B7740D19} - \ASUS SmartLogon Console Sensor No Task File Task: {B2EA972F-B21F-4465-8224-44989D1694D6} - \AdobeFlashPlayerUpdate No Task File Task: {B5FDBD48-0B7B-49AC-981F-024236F70937} - \CCleanerSkipUAC No Task File Task: {D91BABE5-67D3-4D82-B22D-50655951A8D8} - \SidebarExecute No Task File Task: {DCCD271D-6C1C-4F24-A95D-10463F45F86E} - \ASUS P4G No Task File Task: {DCF7B89E-F0DF-40FD-A98F-32E8B2C249AE} - \CPU Grid Computing No Task File Task: {E9BFCC4C-4506-414E-A557-D5EEF6AEDD5A} - \nxbdxtc No Task File Task: {F208B584-A854-48F2-BC93-EBF99561B964} - \windealistSWU No Task File CustomCLSID: HKU\S-1-5-21-2927441721-3693689410-853391107-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\asus\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2927441721-3693689410-853391107-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\asus\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2927441721-3693689410-853391107-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\asus\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll No File S3 ASUSProcObsrv; \??\E:\I386\AsPrOb64.sys [X] S3 massfilter; system32\DRIVERS\massfilter.sys [X] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnet; system32\DRIVERS\ZTEusbnet.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] C:\Program Files (x86)\PhraseFinder_1.10.0.9 C:\ProgramData\utlqdob.html C:\Users\asus\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\asus\AppData\Local\Mobogenie C:\Users\asus\AppData\Local\PriceFountain C:\Users\asus\Downloads\avast! Home Edition 4.8 [1].exe C:\Windows\system32\Drivers\pfnfd_1_10_0_9.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan, zazacz ponownie opcję Addition. Dołącz też plik fixlog.txt. Wszystkie logi proszę umieść w postaci załączników forum (oryginalne pliki a nie przeklejki).

Czy mam rozumieć, że reset ustawień routera nie pomaga i nadal wraca zainfekowane DNS? A może chodzi o niemożność konfiguracji połączenia po resecie? O jakim modelu routera konkretnie mowa? Na razie podsuwam ten wątek: Jak sprawdzić czy router ADSL firmy TP-LINK jest zabezpieczony przed dostępem niepowołanych osób od strony Internetu PS. Ad "poleciłeś" = jestem kobietą.

Cóż, nie. Nie szukaj infekcji tego rodzaju. Router jest ponownie zainfekowany: Tcpip\Parameters: [DhcpNameServer] 195.238.181.164 8.8.8.8 Powtarzaj całą procedurę czyszczenia i zabezpieczenia routera. Dodatkowo, problem powraca, czyli jest jakaś poważna luka w urządzeniu - wejdź na na stronę producenta routera i poszukaj aktualizacji firmware (o ile coś będzie). Po konfiguracji routera zrób nowy raport z FRST.

Jest niestety problem z pozbyciem się tego klucza. Spróbuj go usunąć z poziomu środowiska zewnętrznego WinRE: 1. Przygotuj w Notatniku plik fixlist.txt o zawartości: S2 CmdAgent; No ImagePath Plik fixlist.txt musi leżeć w tym samym katalogu co FRST. Podłącz jakiś pendrive i na nim umieść oba elementy. 2. Przy starcie systemu F8 > Napraw komputer > Wiersz polecenia > uruchom zgodnie ze wskazówkami FRST: KLIK. Klik w Fix, na pendrive powstanie plik fixlog.txt. 3. Zaloguj się z powrotem do Windows i podaj plik fixlog.txt.

Tak, dzięki. Plik pobrałam, link usuwam z posta.

DelFix wykonał zadanie. Możesz skasować z dysku plik C:\Delfix.txt. Zapomniałam napisać. Mam drobną prośbę związaną z ulepszaniem FRST. Proszę skopiuj ten plik na Pulpit: C:\WINDOWS\Tasks\Epson Printer Software Downloader.job. Spakuj do ZIP, shostuj gdzieś i podaj mi link do niego.

Niemożność uruchomienia GMER nie jest z tym związana. Tu mi bardziej chodzi o sam fakt problemu ze stronami. I ponów próbę z TDSSKiller. GMER i TDSSKiller działają w inny sposób, warto sprawdzić oba odczyty.

Tym razem infekcja usunięta i nic już nie widać, choć GMER / TDSSKiller nadal nie sprawdzone i to nadal musimy wykonać. Mam pytanie: czy na pewno komunikacji nie blokuje ten doinstalowany Tor? W starcie uruchamia się pakiet Vidalia, a na liście zainstalowanych jest filtrujące proxy Polipo.

Nie pisałam nic o restarcie, ponieważ nie miało go być = nie została zadana taka komenda w skrypcie. Zadanie wykonane, na koniec: Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zainstaluj IE8 (mimo że przeglądarka nieużywana): KLIK.

Kończymy: 1. Usuń z Pulpitu folder frst. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj systemowy Internet Explorer: KLIK. 2. Czego unikać, by ograniczyć nabycie niepożądanych dodatków: KLIK.

Tak, do usunięcia nadal ten martwy profil z adware. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Documents and Settings\komputer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Tu jeszcze nie koniec akcji. Mnie nie chodziło o usuwanie obecnego profilu, bo to nie rozwiązuje sprawy którą mam na widoku. Na dysku był wykryty stary profil z adware oraz bieżący. Usunięcie bieżącego tworzy tylko kolejne repliki i mnoży katalogi, nie likwiduje folderu pierwszego odrzuconego profilu. W związku z tym, że utworzyłeś kolejny profil proszę o nowy log FRST z opcji Scan (bez Addition i Shortcut).

Poproszę o raporty zrobione z poziomu środowiska zewnętrznego WinRE, tzn.: 1. Uruchom FRST zgodnie ze wskazówka i zrób skan: KLIK. 2. Dodatkowo, w FRST w polu Search wklep nazwę winload.exe, klik w Search files i dostarcz także i ten log.

Jeden wpis COMODO nie puścił. Poprawka. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\CmdAgent RemoveDirectory: C:\_OTL RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Hubert\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Hubert\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe CMD: del /q C:\Users\Hubert\Downloads\snc1zest.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Wszystko zrobione za wyjątkiem: Nie, nie o to chodzi. Podałam, by usunąć poprzedni profil, czyli w Google Chrome: menu Ustawienia > Ustawienia > Osoby > podświetl stary profil (nie pomyl go z bieżącym) i Usuń. Czy widzisz tam więcej niż jedną "Osobę"? Wszystko w porządku. Nie mam specjalnych zastrzeżeń, programy możesz sobie oczywiście zostawić. Ale dodam, że uważam: im mniej cudownych optymalizacji, tym zmniejsza się ryzyko przeinwestowania i skutków ubocznych. Tu było wielu użytkowników, którzy próbując optymalizacji zaszkodzili sobie (wyłączyli za dużo, wyczyścili za dużo z rejestru). Proste ograniczenie ilości uruchamianych procesów, czyszczenie Tempów / niepotrzebnych plików oraz defragmentacja dysku to podstawowe działania zdrowotne. Ale już zbyt przedsiębiorczym czyszczeniem rejestru można sobie zaszkodzić - takie moduły są automatyczne i nie są nieomylne.

Nie wykonałeś zadania w punkcie 2. Podałeś plik skryptu fixlist (usuwam) a nie plik fixlog (wyniki przetwarzania skryptu). Skrypt w ogóle nie został uruchomiony i nie ma żadnych zmian. Powtarzaj punkty 2+3.

Proponuję jednak na wszelki wypadek wykonać diagnostykę sprzętową. Proszę założ nowy temat w dziale Hardware i dostarcz dane wymagane działem: KLIK. Zlinkuj też do tego topiku, by było wiadome jaka była geneza, co już zrobione w systemie. Kto inny będzie się zajmował tematem w dziale sprzętowym, to nie jest moja specjalizacja.

Prawie wszystko zrobione. Jednak nadal na liście zainstalowanych są pozycje IObit Apps Toolbar v10.3 i Java 6 - nie widzisz tego? Usuwanie szczątków COMODO jeszcze nie skończone. W ramach bezpieczeństwa podzieliłam zadania i w skrypcie FRST tylko wyłączyłam sterowniki COMODO. Czas się ich pozbyć całkowicie. Kolejna porcja zadań: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis IObit Apps Toolbar v10.3 > Dalej. Powtórz zadanie dla Java™ 6 Update 31. Jeśli obu wpisów nie będzie widać w narzędziu, i tak zajmie się nimi punkt poniżej. 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> D:\Programy\IObit Uninstaller\UninstallExplorer64.dll No File S2 CmdAgent; No ImagePath S4 cmderd; C:\Windows\System32\DRIVERS\cmderd.sys [20184 2014-12-09] (COMODO) S4 cmdGuard; C:\Windows\System32\DRIVERS\cmdguard.sys [792648 2014-12-09] (COMODO) S4 cmdHlp; C:\Windows\System32\DRIVERS\cmdhlp.sys [45880 2014-12-09] (COMODO) S4 inspect; C:\Windows\System32\DRIVERS\inspect.sys [104608 2014-12-09] (COMODO) C:\Windows\System32\DRIVERS\cmderd.sys C:\Windows\System32\DRIVERS\cmdguard.sys C:\Windows\System32\DRIVERS\cmdhlp.sys C:\Windows\System32\DRIVERS\inspect.sys DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\VLC media player Packages DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{26A24AE4-039D-4CA4-87B4-2F83216031FF} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{9192EBE9-2C4E-4C69-8ED8-CC0CCBFDBB62} CreateRestorePoint: Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Podsumuj jak działa system i czy wszystko w porządku po usuwaniu komponentów COMODO.

MBAM znalazł drobne szczątki adware oraz "downloadery" / instalatory mające adware. Wszystko do usunięcia. Program możesz zostawić w systemie, przyda się do skanów na żądanie. Przypominam: SpyHunter won. Na koniec wyczyść foldery Przywracania systemu i uzupełnij najnowsze wersje Adobe, Java oraz Internet Explorer: KLIK.

Nie widać żadnych obiektów adware, tylko drobne szczątki po niepoprawnie odinstalowanym AVG. Był w obrotach AdwCleaner, a nie można sprawdzić co robił, bo uruchomiłeś DelFix usuwający permanentnie logi. Działania poprawkowe: 1. Komputer firmowy, więc nie wiem czy można przeprowadzić dalsze deinstalacje związane już z innym oprogramowaniem. Konkretnie chodzi o pozbycie się starych niebezpiecznych wersji: Adobe Flash Player 14 ActiveX, Adobe Flash Player 15 Plugin, Java 7 Update 25. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\WINDOWS\TEMP\{25D3E218-1AE8-49E1-A9BC-DF2284AE6F66}.exe Task: C:\WINDOWS\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\WINDOWS\TEMP\{9A7B8BFE-9DF7-4CFA-9125-5B9C0208E058}.exe Task: C:\WINDOWS\Tasks\ROC_JAN2013_TB_rmv.job => C:\Program Files\AVG Secure Search\PostInstall\ROC.exe R1 avgtp; C:\WINDOWS\system32\drivers\avgtpx86.sys [37664 2013-05-21] (AVG Technologies) S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 massfilter; system32\drivers\massfilter.sys [X] S3 RTL8192su; system32\DRIVERS\RTL8192su.sys [X] S1 trjjvtvo; \??\C:\WINDOWS\system32\drivers\trjjvtvo.sys [X] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] HKLM\...\Run: [] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = CustomCLSID: HKU\S-1-5-21-1547161642-484763869-1801674531-1004_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> No File Path FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Program Files\Mozilla Firefoxavg-secure-search.xml C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\pss\McAfee Security Scan Plus.lnkCommon Startup C:\WINDOWS\system32\drivers\avgtpx86.sys CMD: rd /s /q "USERPROFILE%\Dane aplikacji\Azureus" CMD: del /q "USERPROFILE%\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Vuze.lnk" CMD: del /q "USERPROFILE%\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK" CMD: del /q "USERPROFILE%\Pulpit\PROGRAMY\Odkurzacz.lnk" CMD: del /q "USERPROFILE%\Pulpit\PROGRAMY\Szybkie Czyszczenie Dysku.lnk" CMD: del /q "USERPROFILE%\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences" Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GEST" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Dopisałeś tę informację w którymś momencie, nie widziałam tego wcześniej w poście. Infekcja blokuje. Infekcja nie chce się w ogóle usunąć i cały czas powraca. Kolejne podejście: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe Task: {10B77EDF-C057-403D-A743-CAC4B85058EA} - System32\Tasks\wecutil => C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [wecutil] => "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe" HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\RunOnce: [K79gM] => C:\Users\Kuba\AppData\Roaming\K79gM.exe [801792 2015-02-22] (Cortado AG) HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Policies\Explorer: [Run] "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe" HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Command Processor: "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe" Startup: C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wecutil.lnk C:\Users\Kuba\AppData\Roaming\*.exe EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Nastąpi restart, opuść Tryb awaryjny, powstanie kolejny fixlog.txt. 2. Sprawdź czy możesz pobrać i uruchomić TDSKiller. Zrób też nowy log FRST z opcji Scan (z Addition) i dołącz fixlog.txt.

Brak oznak infekcji. Temat przenoszę, wstępnie do działu Hardware. W Dzienniku zdarzeń jest następujący zestaw błędów: System errors: ============= Error: (02/16/2015 10:51:10 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Garmin Core Update Service z powodu następującego błędu: %%1053 Error: (02/16/2015 10:51:10 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Garmin Core Update Service. Error: (02/16/2015 10:01:18 PM) (Source: iaStor) (EventID: 9) (User: ) Description: Urządzenie \Device\Ide\iaStor0 nie odpowiedziało w ramach ustalonego limitu czasu. Error: (02/16/2015 07:13:14 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Garmin Core Update Service z powodu następującego błędu: %%1053 Error: (02/16/2015 07:13:14 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Garmin Core Update Service. Error: (02/15/2015 05:35:24 PM) (Source: Service Control Manager) (EventID: 7011) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji z usługi DellDataVault. Error: (02/15/2015 05:08:11 PM) (Source: iaStor) (EventID: 9) (User: ) Description: Urządzenie \Device\Ide\iaStor0 nie odpowiedziało w ramach ustalonego limitu czasu. Error: (02/15/2015 04:00:01 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Garmin Core Update Service z powodu następującego błędu: %%1053 Error: (02/15/2015 04:00:01 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Garmin Core Update Service. Error: (02/15/2015 09:26:35 AM) (Source: DCOM) (EventID: 10010) (User: ) Description: {752073A1-23F2-4396-85F0-8FDB879ED0ED} 1. "Urządzenie \Device\Ide\iaStor0 nie odpowiedziało w ramach ustalonego limitu czasu" - ten błąd może być związany ze sterownikami Della lub jakimiś ustawienia kontrolera w BIOS, obniżonym transferem dysku z DMA do PIO, a nawet problemem stricte sprzętowym. Podaj model Della oraz specyfikację wymaganą w dziale: KLIK. 2. Wyłącz problematyczne usługi, a przy okazji i inne zbędne. Uruchom Autoruns, w karcie Services odznacz pozycje: DellDataVault, DellDataVaultWiz, Garmin Core Update Service, WinDefend (by widzieć tę ostatnią, należy mieć włączone poazywanie wpisów Microsoftu). Zresetuj system. Jeśli to nie problem z dyskiem, to jak zwykle w takich przypadkach podejrzane oprogramowanie zabezpieczające (tu: Avira).