picasso

Temat przenoszę do działu Windows 7. Nie ma żadnych oznak infekcji. 1. Po pierwsze, bardzo mało wolnego miejsca na partycji systemowej (na D zresztą też), a jeśli stopień fragmentacji wysoki, zamulenie gotowe. Wypada trochę poluzować. ==================== Drives ================================ Drive c: () (Fixed) (Total:105.28 GB) (Free:5.05 GB) NTFS Drive d: () (Fixed) (Total:465.76 GB) (Free:2.76 GB) NTFS Drive e: () (Fixed) (Total:465.75 GB) (Free:257.86 GB) NTFS 2. Po drugie, jest tu stary ESET Smart Security z komponentami datowanymi na 2010 i 2011 (stare sterowniki!). Pozbądź się go definitywnie. Odinstaluj poprzez Panel sterowania. Po deinstalacji w Trybie awaryjnym zastosuj ESET Uninstaller. Po akcji zrób nowe raporty FRST (główny + Addition) obrazujące nową sytuację, a podam drobne poprawki na wpisy puste + czyszczenie Tempów.

Poproszę o nowe raporty z FRST, zaznacz też pole Addition, by było widać ostatnio nagrane błędy w Dzienniku zdarzeń.

Jeśli chodzi o wtyczki Opera, to proponuję: - Na stałe zostawić wyłączone: Adobe Reader, Java, QuickTime. Ewentualnie, gdy jakaś strona będzie wymagać Java, to reaktywujesz. - Usunąć niektóre pozycje pobrane z kluczy Mozilla. Opera za jakiś czas i tak nie będzie akceptować wtyczek typu NPAPI. Z tym, że po usunięciu mogą zostać odtworzone niektóre klucze przez program nadal zainstalowany na komputerze. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@microsoft.com/SharePoint,version=14.0] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@microsoft.com/WPF,version=3.5] [-HKEY_USERS\S-1-5-21-790525478-861567501-682003330-1004\Software\MozillaPlugins\signiant.com/SigniantTransfer] Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Przedstaw wynikowy fixlog.txt. 2. Sprawdź we wtyczkach czy ilość pozycji uległa redukcji i usunięte obiekty nie uległy rekonstrukcji.

Temat przenoszę do działu Windows. Brak jakichkolwiek oznak infekcji. Z raportów nic nie wynika, ale podejrzanym jest ten starawy ESET Endpoint Antivirus. W ramach testu odinstaluj całkowicie (to jedyny sposób, by odciąć wszystkie czynności programu bez borykania się z problemem sterowników) i sprawdź czy nastąpi jakaś poprawa. Druga sprawa, dysk jest mały, partycja systemowa C skromna, tu może występować permanentny problem ze zbliżaniem się do akceptowalnej granicy dostępnego wolnego miejsca. Taki stan też może być przyczyną spowolnienia, zwłaszcza jeśli obszar jest sfragmentowany. ==================== Drives ================================ Drive c: () (Fixed) (Total:31.15 GB) (Free:6.93 GB) NTFS Drive d: () (Fixed) (Total:80.53 GB) (Free:72.79 GB) NTFS

Tak, wszystko wygląda na wykonane. Kolejna porcja działań: 1. Usuń używane narzędzia za pomocą DelFix. 2. Przeprowadź skanowanie za pomocą: Hitman Pro i dostarcz wynikowy raport.

Nie prosiłam o nowy log z FRST - usuwam. Usuń pobrany FRST. Zastosuj DelFix, wyczyść foldery Przywracania systemu i zaktualizuj systemowy Internet Explorer: KLIK.

Adux, nie, nie zapomniałam, gdyż forum oznacza tematy i wysyła powiadomienia. Widać na pierwszy rzut oka (każy oczywiście widzi co innego) po ikonie subforum i po oznaczeniach tematów, że są tematy których nawet nie przeczytałam, a Twój nie jestem jedynym z tej grupy. Nie można "zapomnieć" widząc cały czas ikonę twierdzącą, że są nieprzeczytane obiekty. Tak, czasem robię na szybko tematy z jawną infekcją z pierwszej strony, które nie wymagają ode mnie określonego nakładu pracy (a czasem i myślenia, bo jest sprawa oczywista), by uniknąć tak lubianego przez niektórych wytykania mi "braku szybkiej odpowiedzi". Nie, pierwsza strona to nie jedyna którą się zajmuję, są tematy z tego samego przedziału czasowego co Twój (leżące koło Twojego), które uzyskały odpowiedź po prawie tygodniu. Dlaczego nie ma odpowiedzi: Temat tematowi nierówny. Nie mam sił na analizę i udzielenie odpowiedzi w czasie przewidywanym przez użytkownika, albo nie znam odpowiedzi na pytanie. Są też tematy które otworzyłam, przejrzałam logi, nie mam nic do powiedzenia i temat odkładam. Gdy jestem gotowa, sama wyciągam stare tematy i robię bez przypominania. Musisz mi uwierzyć, że znam spis starych tematów i wiem gdzie są - włącznie z Twoim poprzednim w dziale Windows. Gdy nie jestem gotowa, nowy post nie przyśpieszy tego procesu. Może się zdarzyć, że w ogóle nie udzielę odpowiedzi - tak, to też jest jeden ze scenariuszy, bo jeśli nie mam nic do powiedzenia, nie będę pisać postów o takiej treści. Moja odpowiedź na teraz: w logach nie ma oznak infekcji, a pliku LegendaryClient.exe nie jestem w stanie sprawdzić w sposób który insynuujesz. W Dzienniku zdarzeń multum błędów LOL, w tym błędy insynuujące problem z .NET Framework. Gdy będę w stanie, ustosunkuję się do reszty wątków.

Temat był przetwarzany na innym forum. Proszę o świeży zestaw raportów, o ile mam kontynuuować. Nie odbyła się poprawna deinstalacja paska AVG Web TuneUp, a właściwie żadnej deinstalacji. Został tam stratowany na chama AdwCleaner i "Fixem" FRST. Tym sposobem tylko śmietnik powstaje w systemie, bo takie usuwanie brutalne wcale nie czyści porządnie z programu.

Temat przenoszę do diału Windows, na razie brak jakichkolwiek podstaw, by krążyć wokół infekcji. Log FRST Addition niepoprawny - ucięty na dole. Brak trzeciego obowiązkowego raportu FRST Shortcut, nadal brak też GMER. Nazwy logów FRST sugerują, że je wyciągasz z folderu C:\FRST\Logs - to archiwum logów i tam się nie grzebie, o ile nie ma potrzeby wyciągnięcia starszych logów,. Bieżące logi są zawsze nagrywane tam skąd uruchamiasz FRST - czyli tu C:\Pobrane. 1. Tu COMODO jest jak najbardziej podejrzany, na dodatek to stara wersja z 2012. To że nie sprawiał wcześniej problemów nie jest żadnym dowodem. Odinstaluj całkowicie i sprawdź czy polepszy się sytuacja. 2. Poza tym, zwracano uwagę na krytyczny status aktualizacji, a tu nadal bez zmian: Platform: Microsoft Windows XP Professional Dodatek Service Pack 2 (X86) OS Language: Polski Internet Explorer Version 8 (Default browser: FF) Do wykonania pełna aktualizacja (KLIK), póki to jeszcze można zrobić, bo XP to nie wspierana już platforma.

Nie wspominasz już nic o problemach w systemie. DelFix wykonał zadanie - usuń z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

Niestety mam bardzo niedobre wieści - tu jest CryptoWall 3.0 - infekcja szyfrująca dane. Opis infekcji: KLIK. Odszyfrowanie danych jest niemożliwe, ani nie da się ich nawet odzyskać za pomocą programów do odzyskiwania danych, gdyż CryptoWall w nowszych wersjach wykonuje tzw. "bezpieczne usuwanie danych" nadpisując miejsca na dysku. Moja ingerencja będzie ograniczona tylko do usuwania infekcji. Logi z przestarzałego OTL nie są już obowiązkowe (usuwam), przecież zasady działu są już od dawna zaktualizowane. Posługujesz się starym FRST: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 24-01-2015 01 (ATTENTION: ====> FRST version is 28 days old and could be outdated) Ten program jest tak często aktualizowany (czasami wręcz dzień po dniu, lub kilka wersji w ten sam dzień), że wymagane pobieranie za każdym razem od nowa. Proszę pobierz najnowszą wersję i zrób nowe raporty (wszystkie trzy): KLIK.

Problem z pornograficznymi pop-upami wynika z infekcji routera - pierwszy adres jest ukraiński: KLIK. Tcpip\Parameters: [DhcpNameServer] 195.238.181.164 8.8.8.8 Tu nie pomoże żaden skaner, ani żadne naprawy spod Windows, infekcja jest na poziomie innego urządzenia, nie w systemie per se. Poboczne sprawy: - Adware nie zostało dokładnie wyczyszczone - nadal są przekierowania istartsurf.com. - W systemie są ślady używania programu-naciągacza z czarnej listy SpyHunter, kolejny kwiatek to śmieć Dll-Files.com Fixer. Wykonaj następujące działania: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Przez Dodaj/Usuń programy odinstaluj: - Śmieciowe programy Dll-Files.com Fixer wersja 3.0.81.2643 i NetPanel (ankiety Gemiusa). - Stare dziurawe wersje Adobe Flash Player 13 Plugin, Adobe Flash Player 9 ActiveX, Adobe Shockwave Player 12.0, Java™ 6 Update 20, Java™ SE Development Kit 6 Update 25, OpenOffice.org 3.2 oraz przestarzały SpyBot (słaby program, przestarzała konstrukcja, zastępuje go nowoczesny Malwarebytes Anti-Malware). 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1424105409&from=ild&uid=ST3320613AS_9SZ5HG00XXXX9SZ5HG00 ShortcutWithArgument: C:\Documents and Settings\komputer\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1424105409&from=ild&uid=ST3320613AS_9SZ5HG00XXXX9SZ5HG00 ShortcutWithArgument: C:\Documents and Settings\komputer\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1424105409&from=ild&uid=ST3320613AS_9SZ5HG00XXXX9SZ5HG00 ShortcutWithArgument: C:\Documents and Settings\komputer\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1424105409&from=ild&uid=ST3320613AS_9SZ5HG00XXXX9SZ5HG00 StartMenuInternet: chrome.exe - Chrome.exe StartMenuInternet: IEXPLORE.EXE - iexplore.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1424105409&from=ild&uid=ST3320613AS_9SZ5HG00XXXX9SZ5HG00&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm HKU\S-1-5-21-796845957-329068152-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 HKU\S-1-5-21-796845957-329068152-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.msn.com/?pc=AV01 HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" SearchScopes: HKLM -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-796845957-329068152-1801674531-1003 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 Toolbar: HKLM - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File CustomCLSID: HKU\S-1-5-21-796845957-329068152-1801674531-1003_Classes\CLSID\{1FAF8C54-31AE-FA45-9103-120A098EDA98}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-796845957-329068152-1801674531-1003_Classes\CLSID\{3A3A3278-4E97-0008-4E1B-6DDDDD51BE9F}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-796845957-329068152-1801674531-1003_Classes\CLSID\{ADCC7130-C0AA-41F2-7268-D6F2DB5DEC02}\InprocServer32 -> No File Path CHR HKLM\...\Chrome\Extension: [nonnbhnjfhfcpmfdegkohnemghnglgpp] - C:\Documents and Settings\All Users\Dane aplikacji\ADDICT-THING\nonnbhnjfhfcpmfdegkohnemghnglgpp.crx [Not Found] CHR HKU\S-1-5-21-796845957-329068152-1801674531-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [jmlmanpnnbnpabnonijjmnmplnbfcgbf] - C:\Program Files\NetPanel\chromegem.crx [2011-12-25] FF HKU\S-1-5-21-796845957-329068152-1801674531-1003\...\Firefox\Extensions: [gemgecko@gemius.com] - C:\Program Files\NetPanel\gemgecko_ext FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k Startup: C:\Documents and Settings\komputer\Menu Start\Programy\Autostart\OPTISetup.lnk BootExecute: autocheck autochk * ROBoot \??\C:\WINDOWS\system32\ASOROSet.binDfSDKBt S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files\Razer\Razer Game Booster\Driver\WinRing0.sys [X] AV: STOPzilla AntiVirus (Disabled - Up to date) {271A6322-9DAA-4E02-932D-7EDF389FFCF0} C:\Documents and Settings\All Users\Dane aplikacji\STOPzilla! C:\Documents and Settings\All Users\Dane aplikacji\{41dd2fbb-aaaf-3438-41dd-d2fbbaaabeee} C:\Documents and Settings\All Users\Dane aplikacji\f692c51800004be1 C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\komputer\Dane aplikacji\Logs C:\Program Files\NetPanel C:\Program Files\STOPzilla C:\WINDOWS\46B04D534E344388B6EE80FAB66AEF9B.TMP C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\Drivers\etc\hosts.*.backup Hosts: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AlcoholAutomount" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GB_UPDATE" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GEST" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IMMON " /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KernelFaultCheck" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NetPanel" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotSD TeaTimer" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. W Google Chrome usuń całkowicie z dysku poprzedni profil zainfekowany adware - obecnie korzystasz z drugiego czystego profilu. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Poproszę o nowe raporty z FRST (wszystkie trzy).

ruter321, zacznij od zasad działu co należy dostarczyć: KLIK.

Zestaw obowiązkowych logów niekompletny - brak trzeciego obowiązkowego pliku FRST Shortcut. W systemie działają aktywnie sterowniki grupy Sambreel. Google Chrome jest zablokowane na bazie polityk, w przeglądarce widać adware DigiHelp a nie Dynamo Combo. Jeśli jest tam coś więcej, to Chrome było niepoprawnie czyszczone (tylko usuwanie katalogu rozszerzenia z dysku). Do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {8aefbcaf-640f-4dca-9a92-ed05ee387238}Gw64; C:\Windows\System32\drivers\{8aefbcaf-640f-4dca-9a92-ed05ee387238}Gw64.sys [48776 2014-12-21] (StdLib) R1 {993baf86-643c-42e9-95e5-094f337533f0}Gw64; C:\Windows\System32\drivers\{993baf86-643c-42e9-95e5-094f337533f0}Gw64.sys [48776 2014-12-17] (StdLib) R1 {c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw64; C:\Windows\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw64.sys [44688 2014-09-19] (StdLib) HKLM-x32\...\Run: [] => [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HomePage: Default -> www.wp.pl/?src01=dp220140912 CHR StartupUrls: Default -> "www.wp.pl/?src01=dp220140912" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141218 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://websearch.searchoholic.info/?pid=2921&r=2015/01/02&hid=8942610527210857067&lg=EN&cc=PL&unqvl=72 HKU\S-1-5-21-2227836221-3376171124-1003496566-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.searchoholic.info/?pid=2921&r=2015/01/02&hid=8942610527210857067&lg=EN&cc=PL&unqvl=72 SearchScopes: HKLM-x32 -> DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchoholic.info/?l=1&q={searchTerms}&pid=2921&r=2015/01/02&hid=8942610527210857067&lg=EN&cc=PL&unqvl=72 SearchScopes: HKLM-x32 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchoholic.info/?l=1&q={searchTerms}&pid=2921&r=2015/01/02&hid=8942610527210857067&lg=EN&cc=PL&unqvl=72 SearchScopes: HKU\S-1-5-21-2227836221-3376171124-1003496566-1000 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchoholic.info/?l=1&q={searchTerms}&pid=2921&r=2015/01/02&hid=8942610527210857067&lg=EN&cc=PL&unqvl=72 Task: {91EF3F1E-1213-4B51-BB79-C962FA6DD613} - System32\Tasks\{0C8A02C6-8045-4DC2-AD95-6633CC991E33} => pcalua.exe -a "D:\Age Of Empires 3 All in One\AGE OF EMPIRES 3\directx9\DXSETUP.exe" -d "D:\Age Of Empires 3 All in One\AGE OF EMPIRES 3\directx9" C:\Users\Fudala\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Windows\System32\drivers\{8aefbcaf-640f-4dca-9a92-ed05ee387238}Gw64.sys C:\Windows\System32\drivers\{993baf86-643c-42e9-95e5-094f337533f0}Gw64.sys C:\Windows\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw64.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj DigiHelp odinstaluj. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstał brakujący log. Dołącz też plik fixlog.txt.

Brak widocznych oznak infekcji, adresy DNS pobierane z routera wyglądają na poprawne (Google). Skoro nadal ujawnia się problem, wyczyść bufor DNS i cache przeglądarek: Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: ipconfig /flushdns Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f SearchScopes: HKU\S-1-5-21-1084307622-131046002-2435356648-1002 -> {73C68E13-826B-41AA-B913-A13797172EA8} URL = FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MyFree Codec EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go i wypowiedz się czy nadal są widoczne przekierowania.

Zostaw ten wątek na razie. Ze skryptu FRST wytnij linię CreateRestorePoint: i wykonaj pozostałe zalecenia.

Mam pytanie: czy przed próbą włączenia Przywracania systemu zaimportowałeś plik FIX.REG i zresetowałeś komputer? Przywracanie systemu nie działa przy uszkodzonym WMI. Sprawdź też stan usługi powiązanej. Klawisz z flagą Windows + X > Uruchom > services.msc > wyszukaj usługę Dostawca kopiowania w tle oprogramowania firmy Microsoft > dwuklik w tę pozycję i Typ uruchomienia ma być ustawiony na Ręcznie.

Hitman dopatrzył się jeszcze szczątków adware i ciastek - wg raportów usuwał (czy na pewno nic już nie wykrywa?). Na koniec wyczyść foldery Przywracania systemu: KLIK. To tyle.

Z klawiatury klawisz z flagą Windows + X > System > Zaawansowane ustawienia > Ochrona systemu > dla dysku C Konfiguruj > Włącz ochronę: Nie! Przywracanie systemu jako funkcja jest wyłączone i tu chodzi o włączenie monitoringu a nie użycie Przywracania systemu, by cofnąć system! W skrypcie FRST używam komendy bezpieczeństwa tworzącej punkt Przywracania, a to się nie uda, gdy Przywracanie jest wyłączone.

Poprzednie zadania wykonane, filtr Avast z klawiatury już zdjęłam w skrypcie i można bezpiecznie usunąć sterownik Avast. Poprawki: 1. Nie została odinstalowana pozycja Java 8 Update 25. To nie jest najnowsza wersja. Aktualizację będziemy robić na końcu. 2. Otwórz Notatnik i wklej w nim: R1 aswKbd; C:\Windows\System32\Drivers\aswKbd.sys [22600 2013-08-30] (AVAST Software) S3 SWDUMon; C:\Windows\System32\DRIVERS\SWDUMon.sys [16152 2015-02-20] () S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] HKU\S-1-5-21-746655809-3196509524-1674948232-1018\...\Run: [GenieFloater] => C:\Program Files (x86)\Genie Soft\Genie Cleaner\GenieFloater.exe C:\Program Files (x86)\Genie Soft C:\Program Files (x86)\Mobogenie3 C:\Users\Olik\AppData\Local\GscWare C:\Users\Olik\AppData\Local\Opera C:\Users\Olik\AppData\Roaming\appdataFr3.bin C:\Users\Olik\AppData\Roaming\Mobogenie C:\Users\Olik\AppData\Roaming\Opera C:\Users\Olik\Documents\Genie Soft C:\Users\Olik\Documents\Mobogenie C:\Users\Public\Documents\GenieSoft C:\Windows\System32\Drivers\aswKbd.sys C:\Windows\system32\Drivers\SWDUMon.sys Reg: reg delete "HKLM\SOFTWARE\Clients\StartMenuInternet\Opera" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Price Fountain" /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart, powstanie kolejny fixlog.txt. Pokaż go. 3. W kwestii: Wg FRST nie ma żadnych zainstalowanych rozszerzeń - czy odpowiada to temu co widzisz w Operze? Dodatkowo, uruchom w pasku adresów stronę opera://plugins i zrób zrzut ekranu co tam widać.

Wcześniej już mówiłam czego się spodziewać w CBS.LOG. Cały CBS.LOG jest wytapetowany od góry do dołu rekordami Failed to load the COMPONENTS hive from 'C:\Windows\System32\config\COMPONENTS': 2015-02-21 12:53:19, Info CBS Starting TrustedInstaller initialization. 2015-02-21 12:53:19, Info CBS Loaded Servicing Stack v6.1.7601.17592 with Core: C:\Windows\winsxs\x86_microsoft-windows-servicingstack_31bf3856ad364e35_6.1.7601.17592_none_0b0e4b4025cf4049\cbscore.dll 2015-02-21 12:53:19, Info CBS Failed to load the COMPONENTS hive from 'C:\Windows\System32\config\COMPONENTS' into registry key 'HKLM\COMPONENTS'. [hrESULT = 0x800703f9 - ERROR_NOT_REGISTRY_FILE] 2015-02-21 12:53:19, Info CBS Failed to load WCP DLL. [hrESULT = 0x800703f9 - ERROR_NOT_REGISTRY_FILE] 2015-02-21 12:53:19, Info CBS Failed to initialize the Core DLL: C:\Windows\winsxs\x86_microsoft-windows-servicingstack_31bf3856ad364e35_6.1.7601.17592_none_0b0e4b4025cf4049\cbscore.dll [hrESULT = 0x800703f9 - ERROR_NOT_REGISTRY_FILE] 2015-02-21 12:53:19, Info CBS Failed to initialize CBS Core. [hrESULT = 0x800703f9 - ERROR_NOT_REGISTRY_FILE] 2015-02-21 12:53:19, Info CBS Ending TrustedInstaller initialization. 2015-02-21 12:53:19, Info CBS Failed to initialize Trusted Installer. [hrESULT = 0x800703f9 - ERROR_NOT_REGISTRY_FILE] 2015-02-21 12:53:19, Info CBS Starting TrustedInstaller finalization. 2015-02-21 12:53:19, Info CBS Trusted Installer core was not initialized. 2015-02-21 12:53:19, Info CBS Ending TrustedInstaller finalization. 2015-02-21 12:53:36, Info CBS Starting TrustedInstaller initialization. 2015-02-21 12:53:36, Info CBS Loaded Servicing Stack v6.1.7601.17592 with Core: C:\Windows\winsxs\x86_microsoft-windows-servicingstack_31bf3856ad364e35_6.1.7601.17592_none_0b0e4b4025cf4049\cbscore.dll 2015-02-21 12:53:36, Info CBS Failed to load the COMPONENTS hive from 'C:\Windows\System32\config\COMPONENTS' into registry key 'HKLM\COMPONENTS'. [hrESULT = 0x800703f9 - ERROR_NOT_REGISTRY_FILE] 2015-02-21 12:53:36, Info CBS Failed to load WCP DLL. [hrESULT = 0x800703f9 - ERROR_NOT_REGISTRY_FILE] 2015-02-21 12:53:36, Info CBS Failed to initialize the Core DLL: C:\Windows\winsxs\x86_microsoft-windows-servicingstack_31bf3856ad364e35_6.1.7601.17592_none_0b0e4b4025cf4049\cbscore.dll [hrESULT = 0x800703f9 - ERROR_NOT_REGISTRY_FILE] 2015-02-21 12:53:36, Info CBS Failed to initialize CBS Core. [hrESULT = 0x800703f9 - ERROR_NOT_REGISTRY_FILE] 2015-02-21 12:53:36, Info CBS Ending TrustedInstaller initialization. 2015-02-21 12:53:36, Info CBS Failed to initialize Trusted Installer. [hrESULT = 0x800703f9 - ERROR_NOT_REGISTRY_FILE] 2015-02-21 12:53:36, Info CBS Starting TrustedInstaller finalization. 2015-02-21 12:53:36, Info CBS Trusted Installer core was not initialized. 2015-02-21 12:53:36, Info CBS Ending TrustedInstaller finalization. Wybrałeś najstarszy punkt Przywracania systemu, rezultatów brak = usterka jest od dawna i nie ma poprawnej kopii COMPONENTS. Kopia RegBack pochodzi z dnia przed założeniem tematu, ale też pewnie ma uszkodzenie, skoro jest ono nawet w najstarszym punkcie Przywracania: LastRegBack: 2015-02-17 16:36 Niestety zostaje reinstalacja systemu. Problem jest znacznie grubszy niż powierzchowne znaki, padł system komponentów.

Nowy log potwierdza wykonanie ostatnich zadań. Jeszcze do wykonania: 1. Otwórz Notatnik i wklej wnim: ProxyEnable: [.DEFAULT] => Internet Explorer proxy is enabled. ProxyServer: [.DEFAULT] => http=127.0.0.1:55570;https=127.0.0.1:55570 RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: Reg delete "HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections" /v SavedLegacySettings /f Reg: Reg delete "HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections" /v DefaultConnectionSettings /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt. Po jego pokazaniu: 2. Usuń pobrany FRST z C:\Users\Adrian\Desktop\Nowy folder (2). Następnie zastosuj DelFix. 3. Przeprowadź skanowanie za pomocą Hitman Pro i dostarcz wyniki.

Fixy wykonane pomyślnie. To nie wygląda na cały zrzut ekranu. Liczba wtyczek: "Wszystkie (11)", ale obrazek obejmuje 10 pozycji. Są też obcięte ścieżki drugiej pozycji Java oraz QuickTime.

Logi z przestarzałego OTL nie są tu już brane pod uwagę. Usuwam. Za to brak obowiązkowego trzeciego pliku FRST Shortcut. Google Chrome ma zainstalowane rozszerzenie Dynamo Combo, a także jest zablokowane przez adware na bazie polityk. Dodatkowo, jest tu jakiś problem z uszkodzeniem WMI systemowego: ==================== Restore Points ========================= ATTENTION: System Restore is disabled. Check "winmgmt" service or repair WMI. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Następnie włącz Przywracanie systemu. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: type C:\Windows\system32\GroupPolicy\Machine\Registry.pol GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HomePage: Default -> hxxp://start.qone8.com/?type=hp&ts=1396022262&from=smt&uid=SAMSUNGXHD502HI_S1VZJ90SA85249 CHR StartupUrls: Default -> "hxxp://www.onet.pl/", "hxxp://start.qone8.com/?type=hp&ts=1396179125&from=smt&uid=SAMSUNGXHD502HI_S1VZJ90SA85249", "hxxp://www.mystartsearch.com/?type=hp&ts=1417942904&from=bdo&uid=SAMSUNGXHD502HI_S1VZJ90SA85249", "hxxp://isearch.omiga-plus.com/?type=hp&ts=1420658717&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90SA85249" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1498516577-482672649-778088224-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com Task: {0D3F7858-50E0-4107-9903-3398628EADBC} - System32\Tasks\{AFCF45DD-727B-4664-8FCE-CCA661202C6B} => pcalua.exe -a C:\Users\Mateusz\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=bdo C:\ProgramData\APN C:\Program Files (x86)\GUMEB6B.tmp Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Dynamo Combo. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (nie uruchamiaj ponownie, chodzi o poprzednie wyniki).