picasso

Który punkt wybrałeś? Tu jest możliwe, że usterka powstała poza zakresem czasowym punktów i nie ma już po prostu poprawnych kopii wcale. W takim przypadku nie ma rozwiązania, bo nie ma skąd brać kopii rejestru. Zapomniałam jeszcze napisać poprzednio: Skopiuj na Pulpit cały folder C:\Windows\Logs\CBS, spakuj do ZIP, shostuj gdzieś i podaj link.

Dzięki za plik, podrzuciłam już autorowi FRST. Natomiast teraz po akcjach zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). I podsumuj na czym stoimy, czy są jeszcze jakieś problemy?

Ten Fix został wykonany dwa razy, Fix jest jednorazowy i nie przetworzy ponownie tego samego. Poproszę o pierwszy log z serii - dostarcz najstarszy plik z archiwum logów: C:\FRST\Logs\Fixlog_data_czas.txt (chodzi o kopię Fixlog a nie głónego FRST).

Tu może być na widoku reinstalacja Windows... 1. Sprawdź czy Przywracanie systemu jest awykonalne także z poziomu WinRE: KLIK. Jeśli również z zewnątrz nie jest to możliwe: 2. Spróbuj wygrzebać ręcznie kopię plików rejestru z magazynu cieniowego. Kopie zostałyby podstawione potem z poziomu RE. Z tym, że takie cofanie tylko rejestru może spowodować niezgodności w zainstalowanych komponentach na dysku. Na razie do zrobienia tylko: - Na Pulpicie utwórz folder o nazwie config, a w nim podfoldery odpowiadające datom punktów Przywracania systemu, by się nie pomyliły pliki. - Uruchom Shadow Explorer (portable). Z menu rozwijanego wybierz konkretną datę punktu Przywracania. Następnie z boku w eksploratorze wyszukaj folder C:\Windows\System32\config. Z prawokliku na ten folder opcja Export i wskaż jako miejsce docelowe na Pulpicie korespondujący podfolder ...\config\data. Zrób tę akcję po kolei dla wszystkich dat odpowiadających datom Przywracania systemu - Następnie podaj listę spisu plików, by porównać ich parametry. Do Notatnika wklej: Folder: D:\Users\Owner\Desktop\config Tak jak poprzednio zapisz pod nazwą fixlist.txt, uruchom Fix w FRST i dostarcz wynikowy log. Jak mówię, problem nie w tej sferze tylko w uszkodzonym pliku rejestru.

Hmmm, o których "zmianach do rejestru" mówisz? FIX.REG? To dziwne, że to miało spowodować nie uruchomienie SpyHuntera, bo ten import nie ma nic wspólnego ze SpyHunter, naprawia uszkodzone WMI systemowe. Coś innego się wydarzyć musiało... Czy to na pewno log Addition po deinstalacjach? W tym logu na liście są wszystkie aplikacje zalecone do deinstalacji. Jeśli na pewno odinstalowałeś te programy, to zrób nowy raport Addition. W oryginale są dwie spacje, ale skoro przy edycji można wprowadzić tylko jedną, to też OK. Ważne by była przerwa między ścieżką a argumentem.

Fix wykonany. Kolejna porcja czynności: 1. Usuń używane narzędzia za pomocą DelFix. 2. Zrób pełny skan Malwarebytes Anti-Malware (przy instalacji odznacz trial). Jeśli coś zostanie wykryte, dostarcz raport.

Nie odpowiedziałeś mi na pytanie:

Tak, wykonane. Skasuj plik C:\DelFix.txt z dysku. Temat rozwiązany. Zamykam.

Kolejność zadań owszem jest istotna. Ta pozycja mogła zniknąć przy deinstalacji Google Chrome. Wprawdzie element został stworzony przez adware, ale użyty ten sam klucz instalacyjny, więc przeglądarka mogła to potraktować jako część własną. Kontynuuj dalej.

To przegrzewanie i BSOD to wygląda raczej na problem sprzętowy a nie żadnej infekcji. Co widzę w raportach: - Owszem, są tu aplikacje znane z obciążenia zasobów (Bitcoin miner GPUTemp uruchamiany z Tempów i aktywny niepożądany program Mobogenie oraz inne "Genie" z tej stajni), ale jakoś wątpię, by to było przyczyną. Mam pytanie: skąd były pobierane te programy Genie Cleaner i Genie Wifi? - Prócz wymienionych widać różne obiekty adware, w tym przeglądarka Google Chrome została przekonwertowana przez adware z wersji stabilnej do developerskiej i wymagana kompletna reinstalacja od zera. Na dodatek to jakaś stara wersja. - Szczątki po komercyjnej wersji Avast IS - sterownik aswKbd filtrujący klawiaturę. W pierwszej kolejności trzeba rozwiązać filtr, dopiero po tym można usuwać sterownik. R1 aswKbd; C:\Windows\System32\Drivers\aswKbd.sys [22600 2013-08-30] (AVAST Software) - Zmodyfikowany plik Windows: C:\Windows\SysWOW64\User32.dll [2013-01-09 13:05] - [2013-01-09 13:06] - 0833024 ____A (Microsoft Corporation) E01EBE6A0C7B306763667FDC60A0B25A W pierwszej kolejności wyczyść system i zobaczymy co z tego wyniknie. Akcja: 1. Deinstalacje adware/PUP, starych wersji i zbędników: ----> Przez Panel sterowania odinstaluj: Adobe Reader X (10.1.13) MUI, Genie Cleaner, Genie Wifi, Google Chrome, Java 7 Update 67 (64-bit), Java 7 Update 67, Java 8 Update 25, Mobogenie3, Omiga Plus, Opera 12.02, SlimDrivers, Update for PriceFountain. Niektóre instalacje adware są uszkodzone przez AdwCleaner (zawsze się deinstaluje w pierwszej kolejności przed użyciem automatu brutalnie usuwającego składniki), ale Windows powinien zapytać czy usuwać puste wpisy. ----> Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware BonanzaDeals) > Dalej. Powtórz proces dla odpadka po odinstalowanym McAfee, czyli Shared C Run-time for x64. 2. Weryfikacja plików systemowych. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie: 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 7fcf9d8f; c:\Program Files (x86)\tank perfect\TakeHalfOff.dll [4054528 2014-11-22] () [File not signed] S2 MgAssistService; C:\Program Files (x86)\Mobogenie\MgAssist.exe [X] S3 massfilter_hs; system32\drivers\massfilter_hs.sys [X] HKLM-x32\...\Run: [GPUTemp] => "C:\Users\ALEKSA~1\AppData\Local\Temp\GPUTemp.exe" HKLM-x32\...\Run: [TkBellExe] => "C:\Program Files (x86)\Real\RealPlayer\update\realsched.exe" -osboot HKU\S-1-5-21-746655809-3196509524-1674948232-1018\...\Run: [Mobile Partner] => C:\Program Files (x86)\Wi-Fi Modem\Wi-Fi Modem Startup: C:\Users\Aleksandra\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EvernoteClipper.lnk Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Sony MSS.lnk Task: {02BC20FA-C35A-46EC-BDA5-5FA37846A862} - System32\Tasks\{D0D175B2-29EE-4F96-B401-596B18A550CC} => pcalua.exe -a "C:\Users\Aleksandra\Desktop\folder\Angielski Mowisz i Rozumiesz\setup.exe" -d "C:\Users\Aleksandra\Desktop\folder\Angielski Mowisz i Rozumiesz" Task: {0B382264-375E-4303-BA11-7EA1343B0247} - System32\Tasks\HPCustParticipation HP Deskjet 1510 series => C:\Program Files\HP\HP Deskjet 1510 series\Bin\HPCustPartic.exe [2013-02-08] (Hewlett-Packard Co.) Task: {10519BBD-79E9-4566-BE90-0F40544AC442} - System32\Tasks\AllmyappsUpdateTask => C:\Users\Aleksandra\AppData\Roaming\Allmyapps\AllmyappsUpdater.exe Task: {10B4066F-615F-447D-B69F-9C661F2A0709} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: {22360954-E70D-4A24-BF6D-FCBA21DE54DD} - \AutoKMS No Task File Task: {36FBB98D-508E-4D81-AC23-3FCE506253C7} - System32\Tasks\RegClean Prosch => C:\Program Files (x86)\RCP\RegCleanPro.exe Task: {5EA95FCB-A0D3-45B3-A590-3F3F3566192A} - System32\Tasks\{487566ED-83E2-404D-A024-F9EFEEC14184} => pcalua.exe -a "C:\Program Files (x86)\Photodex Presenter\uninst.exe" Task: {60C12DB0-59AE-47D3-8816-30C2BC785ADD} - System32\Tasks\Sony Corporation\VAIO Smart Network\VSN Logon Start => net Task: {62E4A717-1FB3-482E-A964-388CEC02CD55} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2013-12-24] (Google Inc.) Task: {8B69F981-839D-4C7B-BC97-F0A10AEE69A4} - System32\Tasks\Sony Corporation\VAIO Personalization Manager\VpmLM Task Music Olik => C:\Program Files\Sony\VAIO Personalization Manager\VpmLM.exe Task: {95BA8E52-C96F-4509-83CD-9BFA69536623} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2013-12-24] (Google Inc.) Task: {D39266F1-D0AE-465F-9E86-DFF957FDD0B8} - System32\Tasks\{B3E2AFE8-2DC4-49EC-B5F5-EAF635CFC9E2} => C:\Program Files\AVAST Software\Avast\AvastUI.exe= Task: {F4DD5174-31D2-48D3-9C18-9F8E98D6220B} - System32\Tasks\GS-Enabler-S-1622525965 => c:\programdata\softwarehouse\gs-enabler\GS-Enabler.exe Task: C:\Windows\Tasks\AllmyappsUpdateTask.job => C:\Users\Aleksandra\AppData\Roaming\Allmyapps\AllmyappsUpdater.exe Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GS-Enabler-S-1622525965.job => c:\programdata\softwarehouse\gs-enabler\GS-Enabler.exe Task: C:\Windows\Tasks\RegClean Prosch.job => C:\Program Files (x86)\RCP\RegCleanPro.exe GroupPolicy: Group Policy on Chrome detected GroupPolicyUsers\S-1-5-21-746655809-3196509524-1674948232-1018\User: Group Policy restriction detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSSE HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSSE HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKU\S-1-5-21-746655809-3196509524-1674948232-1018\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSSE SearchScopes: HKLM -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM-x32 -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-746655809-3196509524-1674948232-1018 -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE BHO: SearchNewTab -> {0C60861B-D0B0-71F5-D9CF-620F53983307} -> No File BHO: SNT -> {14AE31F8-F874-D997-A2F4-DFBFD4982852} -> No File BHO: YoutubeAdblocker -> {2A082AFC-F1D5-71F1-309E-75A7B2D52F21} -> No File BHO: greatSSavear -> {3681356F-1744-E589-AFA6-3A6224E28262} -> No File BHO: Shopping App by Ask -> {4F524A2D-5354-2D53-5045-7A786E7484D7} -> "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-ST-SPE\Passport_x64.dll" No File BHO: surrf, aNdd KieEp -> {4F66E9CA-1B8A-C0F0-F29D-EE4BB3184CB7} -> No File BHO-x32: SearchNewTab -> {0C60861B-D0B0-71F5-D9CF-620F53983307} -> No File BHO-x32: SNT -> {14AE31F8-F874-D997-A2F4-DFBFD4982852} -> No File BHO-x32: YoutubeAdblocker -> {2A082AFC-F1D5-71F1-309E-75A7B2D52F21} -> No File BHO-x32: greatSSavear -> {3681356F-1744-E589-AFA6-3A6224E28262} -> No File BHO-x32: Shopping App by Ask -> {4F524A2D-5354-2D53-5045-7A786E7484D7} -> "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-ST-SPE\Passport.dll" No File BHO-x32: surrf, aNdd KieEp -> {4F66E9CA-1B8A-C0F0-F29D-EE4BB3184CB7} -> No File Toolbar: HKLM - Shopping App by Ask - {4F524A2D-5354-2D53-5045-7A786E7484D7} - "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-ST-SPE\Passport_x64.dll" No File Toolbar: HKLM-x32 - Shopping App by Ask - {4F524A2D-5354-2D53-5045-7A786E7484D7} - "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-ST-SPE\Passport.dll" No File AlternateDataStreams: C:\ProgramData\Microsoft:nGkMlqJAoLb9qpV1V AlternateDataStreams: C:\ProgramData\Microsoft:uqWqbR0E916DHyVPcABZew AlternateDataStreams: C:\ProgramData\Microsoft:vjmDhHf15M1MSPMuRDQFZ AlternateDataStreams: C:\ProgramData\Microsoft:wmv0AskE4yQfsKR6WZANo7eI C:\Program Files (x86)\Google c:\Program Files (x86)\tank perfect C:\ProgramData\__FileUploader.log C:\ProgramData\uxxadbmu.rlu C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ProShow Gold.lnk C:\Users\Olik\AppData\Local\Google C:\Users\Olik\AppData\Roaming\lrtUaqBKnWTGyOXP31hKwJC4HDL3 C:\Users\Olik\Downloads\*(*)-dp*.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Facebook Update" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Spotify" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Spotify Web Helper" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d kbdclass /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. W Panelu sterowania zlikwiduj konto Aleksandra, potwierdzając usunięcie danych użytkownika - to konto uszkodzone logowane via profil tymczasowy: ==================== Accounts: ============================= Aleksandra (S-1-5-21-746655809-3196509524-1674948232-1000 - Administrator - Enabled) => C:\Users\TEMP Olik (S-1-5-21-746655809-3196509524-1674948232-1018 - Administrator - Enabled) => C:\Users\Olik 5. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz raporty z folderu C:\AdwCleaner (był używany, nie uruchamiaj ponownie, chodzi o wyniki poprzednie). Wypowiedz się czy są jakieś zmiany.

Kopia pliku Fixlog powinna być nagrana w folderze archiwum C:\FRST\Logs.

Skoro nastąpił autorestart, to FRST wykonał skrypt. Plik Fixlog.txt powinien być nagrany tam skąd uruchamiano FRST - ostatni log wskazywał, że FRST działał ze ścieżki C:\Users\x.

Gdy ukończymy czyszczenie, będziesz mogła wypróbować najnowszą wersję Avast - to zupełnie inny program niż ta archaiczna wersja pierwotnie na komputerze. Czy mam rozumieć, że poprawa nastąpiła po wyłączeniu wtyczek? Jeśli tak, to na liście wtyczek zaznacz opcję "Pokaż szczegóły" i zrób zrzuty ekranu z tego co tam widać. Na pewno powinny być conajmniej wtyczki pobrane z kluczy Mozilla (klucze te są tworzone "na zapas", nawet jeśli Firefox nie jest zainstalowany). Można będzie usunąć zbędne wtręty. FireFox: ======== FF Plugin: @java.com/DTPlugin,version=10.71.2 -> C:\Program Files\Java\jre7\bin\dtplugin\npDeployJava1.dll (Oracle Corporation) FF Plugin: @java.com/JavaPlugin,version=10.71.2 -> C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.30514.0\npctrl.dll ( Microsoft Corporation) FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~1\MICROS~3\Office14\NPAUTHZ.DLL (Microsoft Corporation) FF Plugin: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~1\MICROS~3\Office14\NPSPWRAP.DLL (Microsoft Corporation) FF Plugin: @microsoft.com/WPF,version=3.5 -> C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF Plugin: Adobe Reader -> E:\Program Files\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF Plugin HKU\S-1-5-21-790525478-861567501-682003330-1004: signiant.com/SigniantTransfer -> C:\Documents and Settings\Patrycja\Dane aplikacji\SigniantInc\SigniantTransfer\5.3.1.54363\npSigniantTransfer.dll (Signiant Inc.) 1. Uruchom ponownie AdwCleaner, tym razem zastosuj Szukaj + Usuń. Gdy program ukończy pracę: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Documents and Settings\Gość RemoveDirectory: C:\Documents and Settings\Pomocnik RemoveDirectory: C:\Documents and Settings\SUPPORT_388945a0 RemoveDirectory: C:\FRST\Quarantine CMD: del /q "C:\Documents and Settings\Patrycja\Moje dokumenty\kmko7qnh.exe" Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Ustawienie DNS nie wiąże się z Fixem FRST bezpośrednio, a zostało to zadane jako krok numer jeden, gdyż w skrypcie FRST uwzględniłam czyszczenie bufora DNS, co wykonuje się zawsze już po korekcji DNS. FRST się zaciął na usuwaniu tego śmiecia Binkiland, ale dokończył roboty w kolejnym podejściu. Może nie wyraziłam się precyzyjnie, ścieżka "C:\Windows\Tasks\Binkiland lodi.job" była podana tylko po to, by odnaleźć ekwiwalent tego w kawarantannie FRST (buduje tam drzewo ścieżki). FRST w kwarantannie dokleja plikom sufiksy, by zapobiec omyłkowemu uruchomieniu. To właśnie o ten plik Binkiland lodi.job.xBad chodzi. Proszę dostarcz ten pliczek. 1. Jest nadal problem z DNS. Na początku były trzy rekordy, po Twoich akcjach ostały się dwa: Tcpip\..\Interfaces\{17F13EC2-AACA-4ED9-907F-6593758DE0BF}: [NameServer] 31.168.228.244,82.166.96.242 Tcpip\..\Interfaces\{928E919F-C534-416D-93A0-A1A42CC22927}: [NameServer] 31.168.228.244,82.166.96.242 Czy na pewno korektę DNS robiłeś dla wszystkich widocznych połączeń w folderze Połączeń sieciowych? Ile obiektów tam widzisz? 2. W Google Chrome kolejne korekty: - Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres istartsurf.com, przestaw na "Otwórz stronę nowej karty" - Mam też pytanie czy na liście rozszerzeń widzisz LastPass, gdyż log FRST pokazuje to rozszerzenie bez nazwy (tzn. nazwa równa ID rozszerzenia: hdokiejnpimakedhajhdlcegeplioahd).

Fix wykonany. Zaprezentuj jeszcze wyniki DelFix dla potwierdzenia i będziemy zamykać temat.

Nie pokazałeś ostatniego pliku fixlog.txt.

kondzior1989, proszę podaj raporty z FRST, to się zabiorę za analizę i usuwanie. Instrukcja tworzenia raportów: KLIK. Mają powstać trzy pliki: FRST.txt, Addition.txt i Shortcut.txt. Pliki te należy doczepić w postaci oryginalnej jako załączniki forum, nie wklejać ich w poście.

Nie wszystko się przetworzyło w skrypcie FRST. Omyłkowo przekleiłam formatowanie ze starej wersji FRST. Poprawki: 1. Otwórz Notatnik i wklej w nim: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-342266629-1139831834-1673432305-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150212 HKU\S-1-5-21-342266629-1139831834-1673432305-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} HKU\S-1-5-21-342266629-1139831834-1673432305-1000\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://google.atcomet.com/b/ HKU\S-1-5-21-342266629-1139831834-1673432305-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40 HKU\S-1-5-21-342266629-1139831834-1673432305-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} SearchScopes: HKLM-x32 -> {B2A69A26-654E-4DA3-B024-25FBB670D4CF} URL = http://startsear.ch/?aff=2&src=sp&cf=2dd65210-3644-11e1-918e-f382060710dd&q={searchTerms} SearchScopes: HKU\S-1-5-21-342266629-1139831834-1673432305-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} SearchScopes: HKU\S-1-5-21-342266629-1139831834-1673432305-1000 -> ToolbarSearchProviderProgress {96bd48dd-741b-41ae-ac4a-aff96ba00f7e} SearchScopes: HKU\S-1-5-21-342266629-1139831834-1673432305-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://startsear.ch/?aff=1&src=sp&cf=2dd65210-3644-11e1-918e-f382060710dd&q={searchTerms} SearchScopes: HKU\S-1-5-21-342266629-1139831834-1673432305-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} SearchScopes: HKU\S-1-5-21-342266629-1139831834-1673432305-1000 -> {523BD156-F9C9-43BC-9C47-7E1342902D7E} URL = http://search.babylon.com/?q={searchTerms}&AF=110000&babsrc=SP_ss&mntrId=18cace40000000000000485b391770d9 SearchScopes: HKU\S-1-5-21-342266629-1139831834-1673432305-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = SearchScopes: HKU\S-1-5-21-342266629-1139831834-1673432305-1000 -> {B2A69A26-654E-4DA3-B024-25FBB670D4CF} URL = http://startsear.ch/?aff=2&src=sp&cf=2dd65210-3644-11e1-918e-f382060710dd&q={searchTerms} Toolbar: HKU\S-1-5-21-342266629-1139831834-1673432305-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File C:\Program Files (x86)\GUTDEEA.tmp C:\Program Files (x86)\Opera 11.10 beta C:\ProgramData\*.log Reg: reg delete "HKLM\SOFTWARE\Clients\StartMenuInternet\Opera" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuiń) i dostarcz log z folderu C:\AdwCleaner. Załóż nowe konto użytkownika z poziomu Panelu sterowania, zaloguj się na nie i sprawdż czy i tam będzie problem.

Temat przenoszę do działu Windows, być może do Hardware pójdzie, bo jest tu wyraźnie powiedziane, że już od momentu instalacji Windows jest problem. Na razie to tu widać, że system jest zamęczony nadmiarem antywirusów (nieświeżych), nie wiadomo od kiedy są, może wskoczyły później. Są owszem i odpadki adware, ale w tym przypadku wątpię w ich kluczową rolę (jedyny obiekt zazębiający się z opisem, to sterownik adware, reszta martwa i nie ten poziom). Wstępnie: 1. Odinstaluj: - Stare wersje: avast! Free Antivirus, Avira Free Antivirus, McAfee Security Scan Plus. - Adware: Delta Chrome Toolbar, Delta toolbar, HDvid Codec V6.0, HDVidCodec, Shop-wit. Wpisy są uszkodzone, ale Windows powinien zapytać czy je usunąć. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {345422e3-72fa-447a-9550-97803edfacf3}Gw64; C:\Windows\System32\drivers\{345422e3-72fa-447a-9550-97803edfacf3}Gw64.sys [61120 2014-04-24] (StdLib) Task: {5D7BA2D7-E47D-4D1D-BE94-D07F55DAAD0B} - System32\Tasks\{FC88D31B-5CDD-400A-A51D-6341C82EC165} => pcalua.exe -a "C:\Users\Kika\Desktop\Silent Hill PC (Nerevarr)\silent hill pc\autorun.exe" -d "C:\Users\Kika\Desktop\Silent Hill PC (Nerevarr)\silent hill pc" Task: {5DA9DD45-D758-46B1-91EF-D0F6EE655C96} - System32\Tasks\HDvid Codec V6.0-updater => C:\Program Files (x86)\HDvid Codec V6.0\HDvid Codec V6.0-updater.exe Task: {6B8E577A-9D1F-4EDD-98D3-5E256EFC23BD} - System32\Tasks\EPUpdater => C:\Users\Kika\AppData\Roaming\BabSolution\Shared\BabMaint.exe Task: {77317BEA-D38B-4005-B3D4-72020117372E} - System32\Tasks\Shop-wit => C:\Users\Kika\AppData\Local\shopwit\shopwit\1.3.6.10\shopwit.exe Task: {84F54EC0-F0D6-40A1-BEC7-18416867BC89} - System32\Tasks\HDvid Codec V6.0-codedownloader => C:\Program Files (x86)\HDvid Codec V6.0\HDvid Codec V6.0-codedownloader.exe Task: {8C3E5E84-52D9-4520-BA6E-DB166353410B} - System32\Tasks\{8932685C-0AC4-4000-8C55-AFE440E96442} => pcalua.exe -a "C:\Program Files (x86)\Silent Hill\Silent Hill.exe" -d "C:\Program Files (x86)\Silent Hill" Task: {B8D55780-D6EE-4640-AB68-01C560FB8AA9} - System32\Tasks\HDvid Codec V6.0-enabler => C:\Program Files (x86)\HDvid Codec V6.0\HDvid Codec V6.0-enabler.exe Task: {E9D700CD-2413-45F2-8F18-A70C54B3AD4E} - System32\Tasks\{7E9B427E-5738-4F97-9573-E6B8FF87558C} => pcalua.exe -a "C:\Program Files (x86)\Silent Hill\Silent Hill.exe" -d "C:\Program Files (x86)\Silent Hill" Task: C:\WINDOWS\Tasks\HDvid Codec V6.0-codedownloader.job => C:\Program Files (x86)\HDvid Codec V6.0\HDvid Codec V6.0-codedownloader.exe Task: C:\WINDOWS\Tasks\HDvid Codec V6.0-enabler.job => C:\Program Files (x86)\HDvid Codec V6.0\HDvid Codec V6.0-enabler.exe Task: C:\WINDOWS\Tasks\HDvid Codec V6.0-updater.job => C:\Program Files (x86)\HDvid Codec V6.0\HDvid Codec V6.0-updater.exe HKLM\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 0 HKU\S-1-5-21-1735395495-2726210869-181527219-1002\...\Policies\system: [DisableChangePassword] 0 HKU\S-1-5-21-1735395495-2726210869-181527219-1002\...\Policies\system: [DisableLockWorkstation] 0 HKU\S-1-5-21-1735395495-2726210869-181527219-1002\...\Policies\Explorer: [NofolderOptions] 0 HKU\S-1-5-21-1735395495-2726210869-181527219-1002\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-1735395495-2726210869-181527219-1002\...\Policies\Explorer: [DisallowRun] 0 HKU\S-1-5-21-1735395495-2726210869-181527219-1002\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 0 HKU\S-1-5-21-1735395495-2726210869-181527219-1002\...\MountPoints2: {86f3a269-99bc-11e4-806d-c8f7335faf04} - "G:\Startme.exe" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1735395495-2726210869-181527219-1002 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=34ABCAF7335FAF01&affID=119357&tsp=5015 Toolbar: HKLM-x32 - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - No File CustomCLSID: HKU\S-1-5-21-1735395495-2726210869-181527219-1002_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Kika\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - No Path CHR HKLM-x32\...\Chrome\Extension: [dbpebffoameokfhnaaedmefjncfboino] - No Path CHR HKLM-x32\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - No Path C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel\Intel® Graphics and Media Control Panel.lnk C:\Users\Kika\AppData\Local\*.html C:\Users\Kika\AppData\Roaming\LiveSupport.exe_log.txt C:\Users\Kika\AppData\Roaming\regsvr32.exe_log.txt C:\Users\Kika\Desktop\ALLLLL\all\GG.lnk C:\Users\Kika\Desktop\ALLLLL\all\Nowy folder (3)\Nowy folder\ZROB PORZADEK\Nowy folder (3)\Nowy folder (4)\McAfee Security Scan Plus.lnk Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "McAfee Security Scan Plus.lnk" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AvastUI.exe /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany,

Wszystko zrobione, urządzenie też skorygowane. Kończymy: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Program Files\OpenOffice.org 3 RemoveDirectory: C:\Users\pc\Doctor Web RemoveDirectory: C:\Users\pc\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\455F074C814E4520B69B5584BD90400C.TMP CMD: del /q C:\Users\pc\Downloads\jj12qdti.exe CMD: del /q C:\Users\pc\Downloads\ot81qfye.exe Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0194C594-CB88-42E9-B871-A574FAA47891} /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{26A24AE4-039D-4CA4-87B4-2F83216031FF} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Po tym: 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Fix FRST wykonany. Natomiast cały czas ten sam odczyt widnieje: ==================== Restore Points ========================= Check "winmgmt" service or repair WMI. Kolejny pobór danych. Otwórz Notatnik i wklej w nim: CMD: sc query winmgmt CMD: winmgmt /salvagerepository ListPermissions: C:\Windows\System32\LogFiles\WMI ListPermissions: C:\Windows\System32\LogFiles\WMI\RtBackup Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Kosmetyka wykonana, nic więcej nie widzę do interwencji. Na koniec: Usuń skanery z folderu D:\Moje dokumenty\Malware_02.2015. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To tyle z mojej strony.

Google Chrome sypie krytycznymi błędami w Dzienniku zdarzeń: Application errors: ================== Error: (02/19/2015 05:54:29 PM) (Source: Chrome) (EventID: 1) (User: ZARZĄDZANIE NT) Description: Chrome has encountered a fatal error. ver=40.0.2214.111;lang=;guid=8D1E4C9CAEA14485965DBC10041DF964;is_machine=1;oop=1;upload=1;minidump=C:\Program Files (x86)\Google\CrashReports\737435d8-a186-407e-86a7-d100b9de159d.dmp Error: (02/19/2015 05:54:13 PM) (Source: Chrome) (EventID: 1) (User: ZARZĄDZANIE NT) Description: Chrome has encountered a fatal error. ver=40.0.2214.111;lang=;guid=8D1E4C9CAEA14485965DBC10041DF964;is_machine=1;oop=1;upload=1;minidump=C:\Program Files (x86)\Google\CrashReports\cdbdda17-9aae-4a96-a9ff-0b27133dcb6d.dmp Error: (02/19/2015 05:43:31 PM) (Source: Chrome) (EventID: 1) (User: ZARZĄDZANIE NT) Description: Chrome has encountered a fatal error. ver=40.0.2214.111;lang=;guid=8D1E4C9CAEA14485965DBC10041DF964;is_machine=1;oop=1;upload=1;minidump=C:\Program Files (x86)\Google\CrashReports\b678c4df-10df-4f79-8c4d-4b076f7ea7b5.dmp Error: (02/19/2015 05:34:24 PM) (Source: Chrome) (EventID: 1) (User: ZARZĄDZANIE NT) Description: Chrome has encountered a fatal error. ver=40.0.2214.111;lang=;guid=8D1E4C9CAEA14485965DBC10041DF964;is_machine=1;oop=1;upload=1;minidump=C:\Program Files (x86)\Google\CrashReports\8e0eb41b-24b5-4aec-9d91-1d538a7ef8b4.dmp Error: (02/19/2015 05:31:51 PM) (Source: Chrome) (EventID: 1) (User: ZARZĄDZANIE NT) Description: Chrome has encountered a fatal error. ver=40.0.2214.111;lang=;guid=8D1E4C9CAEA14485965DBC10041DF964;is_machine=1;oop=1;upload=1;minidump=C:\Program Files (x86)\Google\CrashReports\254f7214-ad34-4e1f-84a4-f752607d61db.dmp Error: (02/19/2015 05:28:17 PM) (Source: Chrome) (EventID: 1) (User: ZARZĄDZANIE NT) Description: Chrome has encountered a fatal error. ver=40.0.2214.111;lang=;guid=8D1E4C9CAEA14485965DBC10041DF964;is_machine=1;oop=1;upload=1;minidump=C:\Program Files (x86)\Google\CrashReports\e61b2b7f-48ce-4f14-a5cb-eed0e990857e.dmp Sprawdź czy coś pomoże: 1. Zastosowanie narzędzia Google Software removal tool - wykonuje m.in. reset przeglądarki. W przypadku niepowodzenia: 2. O ile uda się uruchomić Chrome, załóż nowy profil (Ustawienia > karta Ustawienia > Osoby) i zaloguj się na niego. Przy braku rezultatów: 3. Wykonaj kompletną reinstalację. Wyeksportuj tylko zakładki. Odinstaluj, przy deinstalacji zaznacz Usuń także dane przeglądarki. Posiadasz wersję 40.0.2214.111, a jest już nowsza 40.0.2214.115 dostępna. PS. W spoilerze poboczne komentarze oraz usuwanie pustych wpisów i czyszczenie Tempów.

Fix wykonany, możesz przejść do finalizacji ostatecznej.

ittechserwis Zasady działu: KLIK. Poza tym: pavements Wspominane wcześniej adware już było usuwane skryptem FRST. Wyniki podane w poście numer #7. Nie ma już żadnych czynnych obiektów adware, które mogą wpływać na coś. Co najwyżej mogą być szczątki nie obejmowane zakresem skanu FRST, ale to drobne odpadki. Pod tym kątem: Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz raport z folderu C:\AdwCleaner. - Rozszerzenia: wg FRST brak jakichkolwiek rozszerzeń w Operze - czy tak? - Wtyczki: uruchom stronę opera://plugins, tymczasowo wyłącz wszystko co tam się pokaże, przeładuj przeglądarkę i podaj czy jest jakaś zmiana.