picasso

Nie wiem, gdyż nie jest pewne co robiło dziecko - mogło przecież po prostu zdeaktywować tymczasowo program, zignorować jakiś komunikat. Nie jest też wykluczone, że BitDefender wcale nie zareagował i puścił plik instalacyjny, a gdy on się już uruchomił było za późno. Można też dorzucić program Unchecky linkowany w końcowej partii tego artykułu: KLIK. Jeszcze jedna usługa śmieciarska mi umknęła, tzn. fałszywy "Microsoft Care Suite". Zobaczymy co się stanie po likwidacji tego czegoś. Przy okazji jeszcze do usunięcia odpadki (sterowniki) po instalacjach Hamachi i Steganos. Poprzednie zadania wykonane. Poprawki: 1. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > po lewej klik w Zmień ustawienia karty sieciowej > z prawokliku na każde obecne tam połączenie sieciowe pobierz Właściwości > na liście używanych komponentów sprawdź czy nie ma czegoś w stylu TAP VPN lub Steganos lub Hamachi > jeśli cokolwiek w tym stylu znajdziesz, podświetl i odinstaluj. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: FF Plugin HKU\S-1-5-21-3916604919-2912353607-3506189148-1000: @tools.google.com/Google Update;version=3 -> C:\Users\dom\AppData\Local\Google\Update\1.3.26.9\npGoogleUpdate3.dll No File FF Plugin HKU\S-1-5-21-3916604919-2912353607-3506189148-1000: @tools.google.com/Google Update;version=9 -> C:\Users\dom\AppData\Local\Google\Update\1.3.26.9\npGoogleUpdate3.dll No File R2 ADUServiceNSRT; C:\Program Files\Common Files\Microsoft\Care Suite\ADUService\ADUService.exe [82568 2015-01-27] () [File not signed] S3 hamachi; C:\windows\System32\DRIVERS\hamachi.sys [26176 2015-01-14] (LogMeIn, Inc.) S3 tapavpn; C:\windows\System32\DRIVERS\tapavpn.sys [24320 2009-07-03] (Steganos GmbH) [File not signed] C:\Program Files\Common Files\Microsoft\Care Suite C:\Program Files\Microsoft Care Suite C:\windows\System32\DRIVERS\hamachi.sys C:\windows\System32\DRIVERS\tapavpn.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart, zaprezentuj wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.

Który krok konkretnie rozwiązał sprawę? I nie dostarczyłeś pliku fixlog.txt z wynikai przetwarzania skryptu,

System może zostać zabrudzony nawet w dzień instalacji Windows. Wystarczy, że użytkownik podejmie próbę skompletowania programów i odwiedzi jakiś portal. Więcej na ten temat, link dla "testera": KLIK. Tak jest, dzięki. Plik był potrzebny, by rozwinąć argumenty wywoływane przez maszynę Wscript.exe. Poprawka już jest w FRST.

Skomentuję ten wątek, mimo że już rozwiązany. Tak się działo, gdyż: 1. W rejestrze był klucz reinstalujący rozszerzenie z Chrome Web Store: CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - No Path "No Path" - to tylko FRST tak to przedstawiał i już kilka dni temu w FRST została załączona moja sugestia, by w przypadku braku Path (adres lokalny reinstalacji z dysku) drukować kolejny punkt reinstalacyjny rozszerzenia, a jest to wartość update_url (adres zdalny reinstalacji). Na 100% ten wpis miał wartość update_url kierującą na adres Chrome Web Store (hxxps://clients2.google.com/service/update2/crx). Sądzę, że drobna operacja usunięcia tego klucza rozwiązałaby sprawę od ręki. Gdyby jednak okazało się to niedostateczne: 2. Na dysku był też profil Chrome C:\Users\Joanna\AppData\Local\Google\Chrome\User Data\Default z plikiem Secure Preferences (chronione preferencje), w którym przypuszczalnie mogłaby być definicja tego rozszerzenia, czyli identyfikator flliilndjeohchalpbbcdekjklbdgfkk. Plik Secure Preferences jest charakterystyczny dla silników Chrome/Blink 37 i nowsze, a służy do ochrony preferencji przed modyfikacjami adware/PUP: KLIK. Ale czasem ten system zabezpieczeń powoduje niemożność trwałego pozbycia się czegoś. Podobny problem był tu z adware na forum. W takim przypadku niestety pozostaje pozbycie się profilu, bo samo usuwanie "Secure Preferences" budzi zastrzeżenia przeglądarki (zgłasza uszkodzenie, może nie być w stanie przebudować pliku). Nie pokazałaś tych wyników, więc nie jestem w stanie tego ocenić. Mam pytanie - czy dysk systemowy był rozmyślnie kompresowany? W raporcie dużo lokalizacji ma atrybut C = Compressed. Taka kompresja ścieżek, do których często uzyskuje się dostęp, może mieć wpływ na obniżenie wydajności (dłuższy dostęp do skompresowanych elementów). A w spoilerze korekty drobnostek (wpisy puste):

W GMER nic oczywistego. Jeszcze ten TDSSKiller trzeba sprawdzić. W kwestii ładowania stron: Czy na pewno odinstalowałeś przez Panel sterowania filtr stron Polipo? Czy w konfiguracji przeglądarki jest ustawione jakieś proxy?

Niestety z plikami nic nie da się zrobić. Na wszelki wypadek skopiuj te ważne na jakiś inny nośnik, bo i tak będzie tu rekursywne usuwanie wszystkich zaszyfrowanych plików z wszystkich katalogów. Czyli po skopiowaniu ważnych zaszyfrowanych kopii na inny nośnik: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Softonic for Windows DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking BootExecute: autocheck autochk * sdnclean64.exe Handler: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\system32\urlmon.dll (Microsoft Corporation) HKU\S-1-5-21-2927441721-3693689410-853391107-1000\...\MountPoints2: {75579b69-0bb2-11e2-993c-c0188519075a} - F:\AutoRun.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\OpenOffice.org 3 RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\Adobe RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\Users\asus\AppData\Local\Adobe RemoveDirectory: C:\Users\asus\AppData\Local\Opera Software RemoveDirectory: C:\Users\asus\AppData\Roaming\Opera Software RemoveDirectory: C:\Windows\System32\Tasks\Safer-Networking CMD: attrib -r -h -s C:\*mfjfdmn* /s CMD: del /q /s C:\*mfjfdmn* Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Przeprowadź skanowanie za pomocą Hitman Pro. Dostarcz wynikowy raport.

O jakim modelu routera to mowa? Czy skan oline zwraca pozytywny komunikat o braku dostępu z zewnątrz? Ponowienie czyszczenia cache DNA i Temp + inne drobnostki: Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2773007221-4202116597-1637250590-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-google-search.blogspot.com HKU\S-1-5-21-2773007221-4202116597-1637250590-1000\...\Run: [Rundll32] => "C:\Program Files\SimCity Installer\64bit\hstart64.exe" /NOCONSOLE /IDLE /D="C:\Program Files\SimCity Installer\64bit\" "C:\Program Files\SimCity Installer\64bit\runall64.bat" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\Program Files (x86)\Temp Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: ipconfig /flushdns EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO. Uruchom FRST i kliknij w Fix. Nastąpi restart, w folderze skąd uruchamiasz FRST powstanie kolejny fixlog.txt. Przedstaw go.

Przechodzimy do dalszej części czyszczenia. W międzyczasie nabawiłeś się kolejnego adware key-find i Internet program. Przypuszczalna droga nabycia to jakiś "downloader" portalowy": KLIK. Kolejna porcja zadań: 1. Przez Dodaj/Usuń programy odinstaluj: - Adware/PUP: key-find uninstall, Qtrax Player, SHOUTcast Radio Toolbar, Softonic-Polska Toolbar. - Stare wersje: Adobe Flash Player 10 ActiveX, Adobe Reader X (10.1.11) - Polish, Adobe Shockwave Player 12.0, EXPERTool 7.5. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hp&ts=1424203077&from=cor&uid=ST3500418AS_5VM1Q44VXXXX5VM1Q44V HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1424203077&from=cor&uid=ST3500418AS_5VM1Q44VXXXX5VM1Q44V&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hp&ts=1424203077&from=cor&uid=ST3500418AS_5VM1Q44VXXXX5VM1Q44V HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1424203077&from=cor&uid=ST3500418AS_5VM1Q44VXXXX5VM1Q44V&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-1409082233-651377827-1177238915-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hp&ts=1424203077&from=cor&uid=ST3500418AS_5VM1Q44VXXXX5VM1Q44V HKU\S-1-5-21-1409082233-651377827-1177238915-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hp&ts=1424203077&from=cor&uid=ST3500418AS_5VM1Q44VXXXX5VM1Q44V URLSearchHook: [s-1-5-21-1409082233-651377827-1177238915-1001] ATTENTION ==> Default URLSearchHook is missing. SearchScopes: HKU\S-1-5-21-1409082233-651377827-1177238915-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?type=ds&ts=1424203077&from=cor&uid=ST3500418AS_5VM1Q44VXXXX5VM1Q44V&q={searchTerms} BHO: Internet Program -> {ff0021ad-2cc3-4e0d-8e3c-b4153a64a495} -> C:\Program Files\Internet Program\Extensions\ff0021ad-2cc3-4e0d-8e3c-b4153a64a495.dll () Toolbar: HKLM - No Name - {37B85A29-692B-4205-9CAD-2626E4993404} - No File Toolbar: HKU\S-1-5-21-1409082233-651377827-1177238915-1001 -> No Name - {37B85A29-692B-4205-9CAD-2626E4993404} - No File ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [searchengine@gmail.com] - C:\Documents and Settings\SysOp\Dane aplikacji\Mozilla\Firefox\Profiles\nukl7zsu.default\extensions\searchengine@gmail.com FF HKLM\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Documents and Settings\SysOp\Dane aplikacji\Mozilla\Firefox\Profiles\nukl7zsu.default\extensions\faststartff@gmail.com Task: C:\WINDOWS\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\WINDOWS\TEMP\{A68C16E5-74BB-40C8-8CD6-8C54B826F14E}.exe HKLM\...\Policies\Explorer: [NoCDBurning] 0 HKLM\...\Policies\Explorer: [NoDriveTypeAutoRun ] 0 HKLM\...\Policies\Explorer: [NoViewContextMenu ] 0 HKU\S-1-5-21-1409082233-651377827-1177238915-1001\...\Run: [Clownfish] => [X] S4 WindowsMangerProtect; C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] S3 BT; system32\DRIVERS\btnetdrv.sys [X] S3 Btcsrusb; System32\Drivers\btcusb.sys [X] S1 ccnfd_1_10_0_5; system32\drivers\ccnfd_1_10_0_5.sys [X] S3 usbbus; system32\DRIVERS\lgusbbus.sys [X] S3 UsbDiag; system32\DRIVERS\lgusbdiag.sys [X] S3 USBModem; system32\DRIVERS\lgusbmodem.sys [X] S3 VComm; system32\DRIVERS\VComm.sys [X] S3 VcommMgr; System32\Drivers\VcommMgr.sys [X] S3 VHidMinidrv; system32\drivers\VHIDMini.sys [X] C:\Jumpshot C:\Documents and Settings\All Users\Dane aplikacji\6fb1f30a-cea7-4ccf-bff8-acbecbfe46f9 C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{F024ED5C-33A4-469D-9CEA-B29D14E7F29C} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{ED436EA8-4145-4703-AE5D-4D09DD24AF5A} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{CC41E216-BBA8-487F-8213-4AA2CFDF61A3} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{C28385C1-6D64-4F5A-AAAA-203C4EC383EA} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{C05D8CDB-417D-4335-A38C-A0659EDFD6B8} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{901A8C82-9A9E-4B8B-B88A-C6E8EC41BB3A} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{34D81777-850B-49BF-9A1E-84578F6FA5CD} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{32AA290A-D053-46F5-839A-CEF4479D9280} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{03A019EE-9BF6-4E7F-8460-A8FEBD03073B} C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect C:\Documents and Settings\All Users\Menu Start\Programy\cdp.pl C:\Documents and Settings\All Users\Menu Start\Programy\Windows Resource Kit Tools\Windows Resource Kit Tools Help.lnk C:\Documents and Settings\All Users\Pulpit\Farming Simulator 2013.lnk C:\Documents and Settings\SysOp\Dane aplikacji\DAEMON Tools Lite C:\Documents and Settings\SysOp\Dane aplikacji\key-find C:\Documents and Settings\SysOp\Moje dokumenty\Euro Truck Simulator 2\readme.rtf.lnk C:\Documents and Settings\SysOp\Ustawienia lokalne\Dane aplikacji\Google C:\Program Files\Common Files\6fb1f30a-cea7-4ccf-bff8-acbecbfe46f9 C:\Program Files\Internet Program C:\Program Files\Mozilla Firefoxavg-secure-search.xml C:\Program Files\Mozilla Firefox\extensions C:\Program Files\mozilla firefox\plugins C:\WINDOWS\jumpshot.com C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Hosts: CMD: ipconfig /flushdns CMD: netsh firewall reset Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Clownfish" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox ze śmieci: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Tak jak mówię, zostaw tak jak jest, zresetuj system, by zaktualizował dane o DNS z routera. I pojedziemy dalej.

Tak, po to była aktualizacja firmware. Router był resetowany, zostało zaktualizowane firmware. Pytaniem jest: co widzisz w polach Primary i Secondary DNS? Jeśli nie figuruje tam adres szkodnika 195.238.181.164, to zostaw ustawienia w formie obecnej. Zresetuj system, zrób nowe logi FRST, a przejdę do dalszego czyszczenia (bufor DNS, adware).

Pobieranie jest na stronie opisowej modelu: Bezprzewodowy router/modem ADSL2+, TD-W8901G W sekcji "Do pobrania" > Firmware masz do wyboru trzy serie: V2, V3, V6. Porównujesz ze swoją naklejką i klikasz korespondujący link.

Podałam powyżej aktualizację firmware (powinna zawierać natywne zabezpieczenie). Czy robiłeś z tym podejście?

Wykonaj od razu aktualizację firmware. Instrukcje: Jak zaktualizować oprogramowanie routera ADSL (dla TD-W8840T, TD-W8901G, TD-W8951ND oraz TD-W8961ND)

To infekcja CTB-Locker. Opis infekcji: KLIK. Odszyfrowanie danych bez opłaty uiszczonej cyberprzestępcom jest niemożliwe technicznie. Dane te zostały utracone, soft do odzyskiwania danych prawdopodobnie też nic nie zaradzi (w systemie zresztą były liczne zapisy na dysku). Na forum dużo tematów tego rodzaji, dobry przykład to ten: KLIK. Jedyne więc co leży w mojej gestii, to doczyszczenie systemu, bo robiono to niedokładnie i trzeba nanieść korekty, w tym na adware. Nie jestem też pewna co tu się działo, ale przeprowadzone naprawy wyglądają "podejrzanie" i prawdopodobnie uszkodzono pewne sfery systemu nieumiejętnym czyszczeniem. Dwie rzeczy rzucają się w oczy: - Uszkodzenia w Harmonogramie zadań od obiektów które są zainstalowane, co wygląda jakby na oślep usuwano z dysku powiązane pliki zadań. - Wyprodukowano tu problem tego rodzaju: KLIK. Ktoś (ręcznie lub via tweaker z funkcją resetu uprawnień) rozwalił linki symboliczne, gdyż w Shortcut widać zapętlenie Danych aplikacji (w normalnych okolicznościach w systemie jest Odmowa dostępu i nie następuje zwrotne rozwinięcie): Shortcut: C:\ProgramData\Dane aplikacji\Dane aplikacji\Dane aplikacji\Dane aplikacji\Dane aplikacji\Dane aplikacji\Dane aplikacji\Menu Start\Programy\Accessories\Math Input Panel.lnk -> C:\Program Files\Common Files\Microsoft Shared\ink\mip.exe (Microsoft Corporation) Używany tu był "Tweaking.com - Windows Repair (All in One)", który owszem ma resety uprawnień i możliwe, że to on zepsuł te specjalne obiekty otwierając je. Na razie problem uszkodzonych linków zostawiam. W Dzienniku zdarzeń jest następujący zestaw błędów: Application errors: ================== Error: (02/21/2015 05:59:40 PM) (Source: Microsoft-Windows-CAPI2) (EventID: 257) (User: ) Description: Zainicjowanie bazy danych wykazu przez Usługi kryptograficzne nie powiodło się. Błąd ESENT: -550. Error: (02/21/2015 05:58:01 PM) (Source: ESENT) (EventID: 104) (User: ) Description: Catalog Database (1448) Catalog Database: Aparat bazy danych zatrzymał wystąpienie (0) z błędem (-1090). Error: (02/21/2015 05:34:32 PM) (Source: ESENT) (EventID: 471) (User: ) Description: Catalog Database (1448) Catalog Database: Nie można cofnąć operacji nr 11182 na bazie danych C:\Windows\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb. Błąd: -510. Wszystkie przyszłe aktualizacje bazy danych będą odrzucane. Error: (02/21/2015 05:34:31 PM) (Source: ESENT) (EventID: 492) (User: ) Description: Catalog Database (1448) Catalog Database: Sekwencja pliku dziennika w "C:\Windows\system32\CatRoot2\" została zatrzymana z powodu błędu krytycznego. Przyszłe aktualizacje nie są możliwe w wypadku baz danych używających tej sekwencji pliku dziennika. Usuń problem i ponownie uruchom bazę danych lub przywróć ją z kopii zapasowej. Error: (02/21/2015 05:34:31 PM) (Source: ESENT) (EventID: 418) (User: ) Description: Catalog Database (1448) Catalog Database: Wystąpił błąd -1811 (0xfffff8ed) podczas otwierania nowo utworzonego pliku dziennika C:\Windows\system32\CatRoot2\edb.log. I nawet się nie przymierzaj do uruchomienia tego archaizmu: C:\Users\asus\Downloads\avast! Home Edition 4.8 [1].exe Działania do przeprowadzenia: 1. Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny, który m.in. zawiera reset bazy catroot2 wskazywanej w błędach Dziennika. 2. Odinstaluj przez Panel sterowania: - Szczątki adware: PriceFountain (remove only), Softonic for Windows. - Stare programy: Adobe Flash Player 11 ActiveX, Adobe Reader 9.1 - Polish, Java 7 Update 67, Spybot - Search & Destroy. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HomePage: Default -> ?type=hppppp CHR StartupUrls: Default -> "?type=hppppp" CHR DefaultSearchURL: Default -> web/?type=dspp&q={searchTerms} HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2927441721-3693689410-853391107-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ?type=hppppp HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = ?type=hppppp HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = web/?type=dspp&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ?type=hppppp HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = ?type=hppppp HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = web/?type=dspp&q={searchTerms} HKU\S-1-5-21-2927441721-3693689410-853391107-1000\Software\Microsoft\Internet Explorer\Main,Start Page = ?type=hppppp HKU\S-1-5-21-2927441721-3693689410-853391107-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421662973&from=cor&uid=WDCXWD2500BEVS-22UST0_WD-WXE308A5612956129&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421662973&from=cor&uid=WDCXWD2500BEVS-22UST0_WD-WXE308A5612956129&q={searchTerms} SearchScopes: HKU\S-1-5-21-2927441721-3693689410-853391107-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD2500BEVS-22UST0_WD-WXE308A5612956129&ts=1421663052&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2927441721-3693689410-853391107-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD2500BEVS-22UST0_WD-WXE308A5612956129&ts=1421663052&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2927441721-3693689410-853391107-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD2500BEVS-22UST0_WD-WXE308A5612956129&ts=1421663052&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2927441721-3693689410-853391107-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD2500BEVS-22UST0_WD-WXE308A5612956129&ts=1421663052&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2927441721-3693689410-853391107-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD2500BEVS-22UST0_WD-WXE308A5612956129&ts=1421663052&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2927441721-3693689410-853391107-1000 -> {FC2865F2-365B-4B32-A000-8628FA9410DD} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD2500BEVS-22UST0_WD-WXE308A5612956129&ts=1421663052&type=default&q={searchTerms} Task: {2196903F-8F5E-4FC4-900A-CF9995A55B52} - \ATKOSD2 No Task File Task: {25EAFE83-F64F-46D7-87F7-4F2306BFB6F5} - \ACMON No Task File Task: {2BDE8D3D-C67C-4E3B-8332-EF8BCC470AF5} - \AdobeFlashPlayerUpdate 2 No Task File Task: {2E8A8835-D23A-4157-BF17-2E01B7740D19} - \ASUS SmartLogon Console Sensor No Task File Task: {B2EA972F-B21F-4465-8224-44989D1694D6} - \AdobeFlashPlayerUpdate No Task File Task: {B5FDBD48-0B7B-49AC-981F-024236F70937} - \CCleanerSkipUAC No Task File Task: {D91BABE5-67D3-4D82-B22D-50655951A8D8} - \SidebarExecute No Task File Task: {DCCD271D-6C1C-4F24-A95D-10463F45F86E} - \ASUS P4G No Task File Task: {DCF7B89E-F0DF-40FD-A98F-32E8B2C249AE} - \CPU Grid Computing No Task File Task: {E9BFCC4C-4506-414E-A557-D5EEF6AEDD5A} - \nxbdxtc No Task File Task: {F208B584-A854-48F2-BC93-EBF99561B964} - \windealistSWU No Task File CustomCLSID: HKU\S-1-5-21-2927441721-3693689410-853391107-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\asus\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2927441721-3693689410-853391107-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\asus\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2927441721-3693689410-853391107-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\asus\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll No File S3 ASUSProcObsrv; \??\E:\I386\AsPrOb64.sys [X] S3 massfilter; system32\DRIVERS\massfilter.sys [X] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnet; system32\DRIVERS\ZTEusbnet.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] C:\Program Files (x86)\PhraseFinder_1.10.0.9 C:\ProgramData\utlqdob.html C:\Users\asus\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\asus\AppData\Local\Mobogenie C:\Users\asus\AppData\Local\PriceFountain C:\Users\asus\Downloads\avast! Home Edition 4.8 [1].exe C:\Windows\system32\Drivers\pfnfd_1_10_0_9.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan, zazacz ponownie opcję Addition. Dołącz też plik fixlog.txt. Wszystkie logi proszę umieść w postaci załączników forum (oryginalne pliki a nie przeklejki).

Czy mam rozumieć, że reset ustawień routera nie pomaga i nadal wraca zainfekowane DNS? A może chodzi o niemożność konfiguracji połączenia po resecie? O jakim modelu routera konkretnie mowa? Na razie podsuwam ten wątek: Jak sprawdzić czy router ADSL firmy TP-LINK jest zabezpieczony przed dostępem niepowołanych osób od strony Internetu PS. Ad "poleciłeś" = jestem kobietą.

Cóż, nie. Nie szukaj infekcji tego rodzaju. Router jest ponownie zainfekowany: Tcpip\Parameters: [DhcpNameServer] 195.238.181.164 8.8.8.8 Powtarzaj całą procedurę czyszczenia i zabezpieczenia routera. Dodatkowo, problem powraca, czyli jest jakaś poważna luka w urządzeniu - wejdź na na stronę producenta routera i poszukaj aktualizacji firmware (o ile coś będzie). Po konfiguracji routera zrób nowy raport z FRST.

Jest niestety problem z pozbyciem się tego klucza. Spróbuj go usunąć z poziomu środowiska zewnętrznego WinRE: 1. Przygotuj w Notatniku plik fixlist.txt o zawartości: S2 CmdAgent; No ImagePath Plik fixlist.txt musi leżeć w tym samym katalogu co FRST. Podłącz jakiś pendrive i na nim umieść oba elementy. 2. Przy starcie systemu F8 > Napraw komputer > Wiersz polecenia > uruchom zgodnie ze wskazówkami FRST: KLIK. Klik w Fix, na pendrive powstanie plik fixlog.txt. 3. Zaloguj się z powrotem do Windows i podaj plik fixlog.txt.

Tak, dzięki. Plik pobrałam, link usuwam z posta.

DelFix wykonał zadanie. Możesz skasować z dysku plik C:\Delfix.txt. Zapomniałam napisać. Mam drobną prośbę związaną z ulepszaniem FRST. Proszę skopiuj ten plik na Pulpit: C:\WINDOWS\Tasks\Epson Printer Software Downloader.job. Spakuj do ZIP, shostuj gdzieś i podaj mi link do niego.

Niemożność uruchomienia GMER nie jest z tym związana. Tu mi bardziej chodzi o sam fakt problemu ze stronami. I ponów próbę z TDSSKiller. GMER i TDSSKiller działają w inny sposób, warto sprawdzić oba odczyty.

Tym razem infekcja usunięta i nic już nie widać, choć GMER / TDSSKiller nadal nie sprawdzone i to nadal musimy wykonać. Mam pytanie: czy na pewno komunikacji nie blokuje ten doinstalowany Tor? W starcie uruchamia się pakiet Vidalia, a na liście zainstalowanych jest filtrujące proxy Polipo.

Nie pisałam nic o restarcie, ponieważ nie miało go być = nie została zadana taka komenda w skrypcie. Zadanie wykonane, na koniec: Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zainstaluj IE8 (mimo że przeglądarka nieużywana): KLIK.

Kończymy: 1. Usuń z Pulpitu folder frst. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj systemowy Internet Explorer: KLIK. 2. Czego unikać, by ograniczyć nabycie niepożądanych dodatków: KLIK.

Tak, do usunięcia nadal ten martwy profil z adware. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Documents and Settings\komputer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Tu jeszcze nie koniec akcji. Mnie nie chodziło o usuwanie obecnego profilu, bo to nie rozwiązuje sprawy którą mam na widoku. Na dysku był wykryty stary profil z adware oraz bieżący. Usunięcie bieżącego tworzy tylko kolejne repliki i mnoży katalogi, nie likwiduje folderu pierwszego odrzuconego profilu. W związku z tym, że utworzyłeś kolejny profil proszę o nowy log FRST z opcji Scan (bez Addition i Shortcut).