picasso

Ad "podałeś" = jestem kobietą. Wszystko zrobione, a komputer na pewno przyśpieszył z powodu usunięcia tego starego Trend Micro. Kolejne działania do zrobienia: 1. Drobne poprawki. Do Notatnika wklej: HKLM\...\Run: [ASUS WebStorage] => C:\Program Files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe HKU\S-1-5-21-2332097225-1006854446-3240474579-1000\...\Run: [swg] => "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" C:\Program Files (x86)\Java C:\ProgramData\Trend Micro C:\Windows\TmNSCIns.dll C:\Windows\system32\TmInstall.log C:\Windows\SysWOW64\TmInstall.log C:\Windows\SysWOW64\java.exe C:\Windows\SysWOW64\javaw.exe CMD: sc config WinDefend start= demand Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 2. Jeśli chodzi o: Możesz odinstalować właściwie wszystko co w spoilerze, oczywiście coś co używasz pomijasz: Prawie wszystko to są integracje ASUS. Dwie pozycje to odpadki po instalacji AVG. Natomiast Adobe Flash Player 16 NPAPI to wersja dla nieistniejącego tu Firefoxa, Google Chrome ma wbudowany własny wewnętrzny Adobe Flash i nie ma potrzeby żadnych instalacji. Właściwie to ten Avast też do odinstalowania i zamiany najnowszą wersją. Nie zauważyłam, że tu jest starsza wersja avast! Free Antivirus 9.0.2018. Najnowsza wersja to 2015.10.0.2208: KLIK. Na razie tylko odinstaluj Avast, na końcu ewentualnie przywrócimy go. 3. Uruchom Autoruns i odfajkuj zbędne wpisy startowe: - W karcie Logon: APSDaemon, ISUSPM, Nuance PDF Reader-reminder, QuickTime Task, UpdateLBPShortCut, UpdateP2GoShortCut. - W karcie Scheduled Tasks: AIRecoveryRemind, AppleSoftwareUpdate, ASUS Live Update oraz to powiązane z grą Gohic 2 Noc Kruka. Cześci może nie być, jeśli odinstalujesz niektóre powiązane aplikacje. Po akcji zresetuj system. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Nie szukaj na razie "innych sposobów". Ponów próbę, ale po wyłączeniu wszystkich programów zabezpieczających. Czy na pewno zrobiłeś to: FRST kompletnie nic nie wykonał, nawet nie przeszedł do żadnego usuwania, został zatrzymany na komendzie zabijania procesów i na bank blokują go zabezpieczające aplikacje. Ponowne podejście: Wytnij ze skryptu linię CreateRestorePoint:, bo ona nie działa w innych trybach Windows niż normalny, zapisz plik fixlist.txt. Przejdź w Tryb awaryjny Windows i wykonaj Fix w FRST. Następnie punkt 3 z poprzedniej instrukcji.

Czy internet wrócił na miejsce? I kolejna porcja akcji: 1. Zaloguj się na konto Sol (pełny restart komputera i logowanie na to konto), Solskier nie może być w żadnym wypadku załadowany, bo nie uda się operacja do której zmierzam. Z poziomu Sola uruchom Reprofiler. Rozłącz konto Solskier z obecnym folderem (opcja Detach), następnie połącz to konto z folderem C:\Users\Solskier (opcja Assign). 2. Zresetuj komputer i zaloguj się na konto Solskier (a nie Sol). Zrób nowy log FRST z opcji Scan (zaznacz pola Addition i Shortcut).

Temat zostanie przeniesiony, tylko jeszcze nie wiem do którego działu, czy Windows czy Sieci. Nie ma żadnych oznak infekcji, jedyne co do korekty to puste wpisy po różnych programach oraz deinstalacja Google Chrome (nie dość, że stara wersja, to jeszcze typ "development", co sugeruje, że wcześniej było adware, które wykonało konwersję). Proponowałabym po prostu Przywracanie systemu do czasu, gdy kolega nie grasował w systemie, ale wygląda na to, że to już robiłeś, bo stoi tu "Operacja przywracania". Czyli mam rozumieć, że mimo cofnięcia systemu nadal problem występuje? ==================== Restore Points ========================= 07-02-2015 09:26:50 Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.60610 11-02-2015 19:30:54 Operacja przywracania Druga sprawa, Addition notuje brak zainstalowanych sterowników USB: ==================== Faulty Device Manager Devices ============= Name: Kontroler Uniwersalnej magistrali szeregowej (USB) Description: Kontroler Uniwersalnej magistrali szeregowej (USB) Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. Name: Kontroler Uniwersalnej magistrali szeregowej (USB) Description: Kontroler Uniwersalnej magistrali szeregowej (USB) Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

Temat przenoszę do działu Windows. Brak jakichkolwiek oznak infekcji. Do sprawdzenia czy problemu nie tworzy ESET Endpoint Antivirus. Testowa deinstalacja.

Chris PC-Lock nadal jest w starcie. Polityki również figurują w stanie niezmienionym. 1. Odinstaluj Chris PC-Lock, a także zbędną staroć getPlus® Download Manager for Corel. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [DisableChangePassword] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [DisableLockWorkStation] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [HideFastUserSwitching] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\Explorer: [NoChangeStartMenu] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\Explorer: [NoLogOff] 1 HKLM-x32\...\Run: [] => [X] Winlogon\Notify\VESWinlogon-x32: VESWinlogon.dll [X] HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Run: [AdobeBridge] => [X] Toolbar: HKU\S-1-5-21-406146429-3267792464-4140239600-1001 -> No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No File Task: {1852DDFE-3CAD-45A2-89E6-DDA4A95983C6} - System32\Tasks\{611CA834-0816-4283-B7D3-45CF4CDE85C3} => pcalua.exe -a "C:\Program Files (x86)\Sony Corporation\VAIO Partners\uninstall.exe" -c -prepareUninstall Task: {57006081-37F3-4B18-93D2-44CC612CF461} - System32\Tasks\{F650D602-A6DA-4238-B046-720C47200602} => pcalua.exe -a C:\dane\pobrane\DCP-J715W-inst-A2-pl.EXE -d "C:\Program Files (x86)\Mozilla Firefox" S3 DFUBTUSB; System32\Drivers\frmupgr.sys [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\TEMP EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz programy zabezpieczające (ESET + KeyScrambler + SpyShelter), by nie zablokowały FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się co się dzieje.

Nie ignoruj problemu przekierowań adware i nie traktuj tego jako rzeczy "podrzędnej", bo trzymanie tego w systemie może doprowadzić do czegoś gorszego (infekcji malware / trojanami). Co do pingu, jak mówię na razie przypuszczalna przyczyna to ten stary ogromny pakiet Trend Micro z firewallem. Jest obecnie w systemie Avast i jest OK. Zostaw go sobie.

Podam kiedy Chrome zainstalować, na razie czyścimy system ze śmieci i szczątków aplikacji. ChampionDeals także ostał się na liście zainstalowanych. Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: Task: {E1CE4C8C-D2A8-4848-AF9F-8ECB1A4EF43F} - System32\Tasks\{9823F287-BD34-40DB-A9A5-3230637A2D18} => pcalua.exe -a "C:\Program Files (x86)\YooutubeAdBlocke\Ueeg3E45njoPSX.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" "" C:\Program Files\SkanerOnline C:\Program Files (x86)\Common Files\Apple C:\Program Files (x86)\be4d59e8-5f8d-4f3f-b07a-cf3ed29c4bf0 C:\Program Files (x86)\IP Address C:\Program Files (x86)\Opera C:\Program Files (x86)\Optimizer Pro 3.16 C:\Program Files (x86)\predm C:\Program Files (x86)\saVer beoox C:\Program Files (x86)\uuNisalesi C:\ProgramData\APN C:\ProgramData\Apple C:\ProgramData\Apple Computer C:\ProgramData\DAEMON Tools Lite C:\ProgramData\E1864A66-75E3-486a-BD95-D1B7D99A84A7 C:\ProgramData\IHProtectUpDate C:\ProgramData\joddnbnfkpjjoodjfjbgkcaijogkdcda C:\ProgramData\Malwarebytes C:\Users\zawias\AppData\Local\Adobe C:\Users\zawias\AppData\Local\Apple C:\Users\zawias\AppData\Local\Apple Computer C:\Users\zawias\AppData\Local\globalUpdate C:\Users\zawias\AppData\Local\Opera Software C:\Users\zawias\AppData\LocalLow\Company C:\Users\zawias\AppData\Roaming\{37E99E86-D615-4B08-937F-F8F935C455F3}_ANZHUANG C:\Users\zawias\AppData\Roaming\Adobe C:\Users\zawias\AppData\Roaming\Apple Computer C:\Users\zawias\AppData\Roaming\DAEMON Tools Lite C:\Users\zawias\AppData\Roaming\EurekaLog C:\Users\zawias\AppData\Roaming\IHlpr C:\Users\zawias\AppData\Roaming\OpenCandy C:\Users\zawias\AppData\Roaming\Opera Software C:\Users\zawias\AppData\Roaming\RHEng C:\Users\zawias\AppData\Roaming\uTorrent C:\Users\zawias\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{e48660ec-534e-42aa-b135-6c7a244c33fb} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4}_is1 /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner,

Ad "napisałeś" = jestem kobietą. Punkt jeden pomyślnie przetworzony i zniknął masowy odczyt "File not signed". W punkcie 2 jak widzę pewne wpisy ominąłeś (prawdopodobnie niewidoczne lub błąd). Niestety punkt 3 nie przeszedł w całości - Fix FRST stanął w połowie. Poprawki będąc zalogowanym na każdym koncie z osobna: NA KONCIE Maciek: 1. Otwórz Notatnik i wklej: CloseProcesses: S2 ATKKeyboardService; C:\WINNT\ATKKBService.exe [X] S1 ASPI32; No ImagePath S2 IBUpdaterService; %SystemRoot%\system32\dmwu.exe [X] S2 IHProtect Service; C:\Program Files\XTab\ProtectService.exe [X] S1 iSafeKrnlMon; \??\C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys [X] S2 NMSAccessU; C:\Documents and Settings\Maciek\Ustawienia lokalne\Temp\{73943CAF-A70B-4B03-929D-37BB997B30EB}\NMSAccessU.exe [X] S3 Video3D; System32\Drivers\Video3D32.sys [X] S2 WindowsMangerProtect; C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] S1 wpnfd_1_10_0_4; system32\drivers\wpnfd_1_10_0_4.sys [X] S3 vtany; \??\C:\WINNT\vtany.sys [X] S3 xhunter1; \??\C:\WINNT\xhunter1.sys [X] FF Plugin: @java.com/DTPlugin -> C:\Program Files\Java\jre6\bin\dtplugin\npDeployJava1.dll No File C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect C:\Documents and Settings\All Users\Menu Start\Programy\Asprate C:\Documents and Settings\Maciek\Dane aplikacji\cache.ini C:\Documents and Settings\Maciek\Dane aplikacji\18013 C:\Documents and Settings\Maciek\Dane aplikacji\BabSolution C:\Documents and Settings\Maciek\Dane aplikacji\BabylonToolbar C:\Documents and Settings\Maciek\Dane aplikacji\omiga-plus C:\Documents and Settings\Maciek\Dane aplikacji\Opera Software C:\Documents and Settings\Maciek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\iLivid.lnk C:\Documents and Settings\Maciek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Torch.lnk C:\Documents and Settings\Maciek\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\Maciek\Menu Start\Programy\iLivid.lnk C:\Documents and Settings\Maciek\Menu Start\Programy\Torch.lnk C:\Documents and Settings\Maciek\Menu Start\Programy\Torch C:\Documents and Settings\Maciek\Menu Start\Programy\SmartTweak Software C:\Documents and Settings\Maciek\Pulpit\Diablo III.lnk C:\Documents and Settings\Maciek\Pulpit\iLivid.lnk C:\Documents and Settings\Maciek\Pulpit\LogMeIn Hamachi.lnk C:\Documents and Settings\Maciek\Pulpit\Tibia MULTI-IP Changer.lnk C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\App Lid C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\iLivid C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Torch C:\Documents and Settings\Rodzice\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Program Files\Common Files\logonInit.dll C:\Program Files\Common Files\userInit.dll C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\Program Files\App Lid C:\Program Files\Asprate C:\Program Files\Java C:\Program Files\MediaBuzzV1 C:\Program Files\MediaPlayerV1 C:\Program Files\MediaViewV1 C:\Program Files\OpenOffice.org C:\Program Files\OpenOffice.org 3 C:\Program Files\Opera C:\Program Files\SeeSimilar C:\Program Files\SmartTweak C:\Program Files\SweetIM C:\Program Files\VideoPlayerV3 C:\Program Files\WebexpEnhancedV1 C:\Program Files\XTab C:\Program Files\Yontoo C:\WINNT\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINNT\system32\ARFC Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\App Lid" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A0C9DF2B-89B5-4483-8983-18A68200F1B4} /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{EA8FA6BE-29BE-4AF2-9352-841F83215EB0} /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\holasearch /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Documents and Settings\All Users\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji" EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. NA KONCIE Rodzice: Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1177238915-790525478-725345543-1005\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://search.babylon.com/?babsrc=HP_ss_wls&mntrId=D014001D6079909B&affID=119982&tt=040713_ctrl&tsp=4936 URLSearchHook: HKU\S-1-5-21-1177238915-790525478-725345543-1005 - (No Name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - No File URLSearchHook: HKU\S-1-5-21-1177238915-790525478-725345543-1005 - (No Name) - {EEE6C35D-6118-11DC-9C72-001320C79847} - No File Toolbar: HKU\S-1-5-21-1177238915-790525478-725345543-1005 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKU\S-1-5-21-1177238915-790525478-725345543-1005 -> No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File FF HKU\S-1-5-21-1177238915-790525478-725345543-1005\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\Documents and Settings\All Users\Dane aplikacji\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi RemoveDirectory: C:\Documents and Settings\Rodzice\Pulpit\Stare dane programu Firefox Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0} /f CMD: dir /a "C:\Documents and Settings\Rodzice\Ustawienia lokalne\Dane aplikacji" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Temat przenoszę do działu diagnostyki infekcji. Używasz starszą wersję FRST, najnowsza jest z dzisiaj. "Hold Page" to nie wirus lecz adware, nabyte na jeden z tych sposobów: KLIK. Przypuszczalnie źródłem był serwis dobreprogramy.pl, ponieważ w Twoim logu są także charakterystyczne modyfikacje adresów Internet Explorer na wp.pl/?src01=dp120141126. W Google Chrome jest rozszerzenie "Hold Page", ale to nie wszystko co się stało z przeglądaką. Są polityki blokujące funkcje oraz adware przekonwertowało całą przeglądarkę Google Chrome z wersji stabilnej do developerskiej. Konieczna reinstalacja całej przeglądarki od zera. A tu problemem może być stara instalacja Trend Micro Titanium Internet Security (posiada zaporę). Notabene: sprawę tylko pogorszyłeś instalując do tego jeszcze Avast - dwa czynne antywirusy w tym samym czasie! Do wdrożenia następujące zadania: 1. Przez Panel sterowania odinstaluj poszkodowaną przeglądarkę oreaz stare wersje i zbędniki: Adobe Flash Player 10 ActiveX, ASUS WebStorage, AsusVibe2.0, Google Chrome, Google Toolbar for Internet Explorer, Java 7 Update 71, Java 8 Update 25 (64-bit), Java 8 Update 25, Trend Micro Titanium Internet Security. Przed deinstalacją Chrome możesz wyeksportować zakładki, ale nic poza tym. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki, resztę doczyści mój skrypt poniżej. 2. Pobierz najnowszą wersję FRST z przyklejonego: KLIK. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141126 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141126 HKU\S-1-5-21-2332097225-1006854446-3240474579-1002\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141126 SearchScopes: HKU\S-1-5-21-2332097225-1006854446-3240474579-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2332097225-1006854446-3240474579-1002 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = SearchScopes: HKU\S-1-5-21-2332097225-1006854446-3240474579-1002 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = Task: {4C4BA809-C70A-4E4B-AE5B-1980088CEF68} - System32\Tasks\{2F959698-8B7C-4850-B089-2F0A54C83BEC} => Chrome.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.18.0.106&LastError=12007 Task: {E2A1682D-1272-4A2A-9FD2-FDB92F5249FD} - System32\Tasks\{D5C1092A-497E-4CA4-81D4-C565A3AA4F2B} => Chrome.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.18.0.106&LastError=12007 S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] C:\Program Files\Google C:\Program Files (x86)\Google C:\ProgramData\{40BF1E83-20EB-11D8-97C5-0009C5020658}.log C:\ProgramData\{C59C179C-668D-49A9-B6EA-0121CCFC1243}.log C:\ProgramData\Google C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iMetin C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Metin2 Ravia.eu C:\Users\Eryk\AppData\Local\CrashDumps C:\Users\Eryk\AppData\Local\Google C:\Users\Eryk\AppData\Roaming\Google C:\Users\Eryk\AppData\Roaming\Microsoft\Windows\SendTo\Xfire Friend.lnk C:\Users\Eryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\iMetin C:\Users\Eryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MKJogo C:\Users\Eryk\Desktop\Pliki z pulpitu\AVG 2014.lnk C:\Users\Eryk\Desktop\Pliki z pulpitu\Metin2 Ravia.eu.lnk Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (by było wiadome co robił).

FRST w ogóle nie wykonał zadania. Po pierwsze błąd resetu root D (nie był w stanie zmienić uprawnień), po drugie niemożność interpretacji komendy listowania uprawnień (to moja literówka, zabrakło jednej literki "s"). Zmiana metody: 1. Pobierz SetACL (na spodzie strony klik w "Administrators: Download the EXE version of SetACL 3.0.6 for 32-bit and 64-bit Windows"). Rozpakuj pobraną paczkę i z folderu x64 przekopiuj plik SetACL.exe do katalogu C:\Windows 2. Zrób nowy fixlist.txt o zawartości: CMD: SetACL -on "D:\" -ot file -actn setprot -op "dacl:p_nc;sacl:p_nc" -rec cont_obj -actn setowner -ownr "n:Administratorzy" -actn ace -ace "n:Administratorzy;p:full" -ace "n:SYSTEM;p:full" -ace "n:Użytkownicy;p:full" -actn clear -clr "dacl,sacl" -actn rstchldrn -rst "dacl,sacl" ListPermissions: D:\ Uruchom Fix w FRST i przedstaw wynikowy fixlog.txt.

Ten Fixlog nie jest kompletny. Poza tym, narzędzie nie mogło przesunąć tego pliku: C:\Documents and Settings\Aga\Pulpit\FRST-OlderVersion\FRST.exe. Ostatni log wskazywał, że FRST działał z C:\ a nie z tego folderu, ale czy przypadkiem do przetwarzania Fix nie uruchomiono starej wersji FRST właśnie z tego folderu? To by wyjaśniało niemożność usunięcia.

Nie nie, tu nie chodzi o Twój błąd. Po prostu czyszczenie na tamtym forum było niekompletne, a dane uzyskane przeze mnie były już bardzo mocno przekształcone. Tam wystąpiła taka sytuacja: usuwano te fałszywe usługi, jednakże one nie zostały tak naprawdę usunięte (mogłam się skapować po tych komunikatach "Unlocked successfully" w nowym logu FRST, co wskazywało, że klucze nadal istnieją). Fixlog wykonał co należy. Teraz już moim zdaniem problem detekcji "antywirusów" powinien zostać w pełni rozwiązany, ale przetestuj to reinstalując ESET. Gdy potwierdzisz, zadam czynności końcowe.

SpyHunter to program wątpliwej reputacji, z czarnej listy! Z daleka od niego. 1. W systemie nadal jest zadanie Harmonogramu tiffeug kierujące na plik CTB-Locker, ale zadanie jest już martwe. Do wykonania będą też dodatkowe działania związane z adware i innymi śmieciami. 2. Wątpię, o ile dysk był tylko podpięty "na sucho", czyli nie uruchamiał się Windows z tego dysku. 3. Zaszyfrowane pliki nie są groźne. 4. Nie ma technicznej możliwości dekrypcji bez uiszczenia opłaty cyberprzestępcom. Możesz oczywiście zachować szyfrowane pliki, ale bardzo wątpliwe, by cokolwiek dało się z nimi zrobić. Te które się "dało odszyfrować" to były prawdopodobnie zupełnie inne infekcje. Takich infekcji szyfrujących jest ogromna ilość i na zachodzie od dawna dramaty, to dopiero teraz o Polskę "lekko" zahaczyło i problem się objawił. Widzę, że próbowałeś ShadowExplorer. To na nic. CTB-Locker opróżnia na zero wszystkie punkty Przywracania systemu (tylko na niektórych systemach czasem błąd i coś się ostaje). Obecnie w systemie jest tylko jeden świeży punkt zrobiony dziś przez system: ==================== Restore Points ========================= 11-02-2015 10:32:11 Windows Update Operacje do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania odinstaluj: Ask Toolbar, Ask Toolbar Updater, AutoUpdate, Viewpoint Media Player, Winamp Toolbar for Firefox. - Symantec nie został dobrze odinstalowany. Z poziomu Trybu awaryjnego zastosuj Norton Removal Tool. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {3423ECCE-86CA-4DBC-8774-8F1D68E5731B} - System32\Tasks\Norton AntiVirus\Norton Error Processor => C:\Program Files (x86)\Norton AntiVirus\Engine\21.6.0.32\SymErr.exe Task: {4AB33E58-B899-4BE5-B4A0-212A7FBFF280} - System32\Tasks\tiffeug => C:\Users\Agata\AppData\Local\Temp\dqeepnc.exe Task: {57D30F7A-0741-4A87-898A-ED947C312CB2} - System32\Tasks\Norton AntiVirus\Norton Error Analyzer => C:\Program Files (x86)\Norton AntiVirus\Engine\21.6.0.32\SymErr.exe Task: {7CCFD004-3403-4860-AE88-4BE585894CA6} - System32\Tasks\{7D07DB52-3A60-4D5A-9745-E2C0347C47CA} => Chrome.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsBing Task: {DBA0212D-A0D4-46DE-94AE-661FA5042C3C} - System32\Tasks\Norton WSC Integration => C:\Program Files (x86)\Norton AntiVirus\Engine\21.6.0.32\WSCStub.exe U1 eabfiltr; No ImagePath S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S3 SymIMMP; system32\DRIVERS\SymIM.sys [X] HKLM-x32\...\Run: [hpqSRMon] => [X] HKLM-x32\...\Run: [WinampAgent] => "C:\Program Files (x86)\Winamp\winampa.exe" HKLM-x32\...\Run: [] => [X] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction SearchScopes: HKLM -> DefaultScope value is missing. SearchScopes: HKLM-x32 -> DefaultScope value is missing. BHO-x32: No Name -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> No File BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll No File Toolbar: HKLM-x32 - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Toolbar: HKU\S-1-5-21-3558287341-2231117270-3972338399-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File C:\Program Files (x86)\Ask.com C:\Program Files (x86)\Java C:\ProgramData\dqacswg.html C:\ProgramData\LuUninstall.LiveUpdate C:\ProgramData\AOL C:\ProgramData\Malwarebytes C:\ProgramData\NCOTEMP C:\ProgramData\Norton C:\Users\Agata\AppData\Local\AOL OCP C:\Users\Agata\AppData\Local\APN C:\Users\Agata\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Agata\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Agata\Desktop\FB\Agnieszka\DSCN6864 - Shortcut.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\blueconnect\User Manual.lnk C:\Users\Agata\Downloads\SpyHunter*.exe C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\System32\Tasks\Norton AntiVirus Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla\Firefox /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. 4. Przenieś wszystkie ważne zaszyfrowane pliki na jakiś nośnik zewnętrzny. Następnie podaj listę zaszyfrowanych plików na C (będziemy usuwać te związane np. z instalacjami aplikacji). Uruchom FRST, w polu Search wklej: *bmzhcib* Klik w Search Files i dostarcz wynikowy Search.txt. Log będzie ogromny. Jeśli nie wejdzie w załącznik, shostuj gdzieś.

Tu należało diagnozować dlaczego system się zawiesza, zamiast stosować obejścia. Np. inwazyjny ESET Smart Security może być przyczyną niemożności poprawnego zamknięcia Windows, ale możliwości jest więcej. Diagnostyka BSOD w punkcie 5 ogłoszenia: KLIK. Po pierwsze, już cytowałam z raportu FRST polityki, wśród nich jest HideFastUserSwitching - to blokada szybkiego przełączania użytkowników, a wtedy nie działa kombinacja Winkey + L. Po drugie, w skład funkcji Chris PC-Lock wchodzi blokowanie klawisza Windows: "WinKey is also disabled when the lock mode is on." Jak mówię, nic tu nie wskazuje na przyczynę w infekcji, bo polityki to mogą być wprowadzene na tysiąc sposobów. Tu polityki wyglądają na wprowadzone przez Chris PC-Lock. MBAM usuwał tylko dwie polityki: NoClose (usunięcie przycisku Zamknij) + DisableTaskMgr (zablokowanie menedżera zadań), reszta cytowana w raporcie FRST nie była w spisie wykrytych przez program. HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [DisableChangePassword] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [DisableLockWorkStation] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [HideFastUserSwitching] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [DisableTaskMgr] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\Explorer: [NoChangeStartMenu] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\Explorer: [NoClose] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\Explorer: [NoLogOff] 1 Tylko wyłączyłeś, czy także sprawdzałeś konfigurację? Poproszę o nowy log z FRST mający obrazować zmiany.

Jest tu mnóstwo nie usuniętych dobrze obiektów adware. Co więcej, adware przekonwertowało przeglądarkę Google Chrome z wersji stabilnej do developerskiej i konieczna całkowita reinstalacja przeglądarki od zera, gdyż obecna wersja nie ma blokady na adware, jest widoczne adware deal2deeaaliT oraz prawdopodobnie jest więcej niż widać (fantomowa ścieżka w preferencjach, FRST nie łapie takich elementów). Do przeprowadzenia następujące działania: 1. Przez Panel sterowania odinstaluj adware i poszkodowaną przeglądarkę: ChampionDeals, Google Chrome, IP Address, Shopping Helper Smartbar Engine, YooutubeAdBlocke. Przed deinstalacją Chrome możesz wyeksportować tylko i wyłącznie zakładki. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki, resztę doczyści mój skrypt poniżej. Na razie nie instaluj nowej wersji Chrome. 2. Posługujesz się starszym FRST, najnowszy jest z dzisiaj. Pobierz program ponownie z linka w przyklejonym: KLIK. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IHProtect Service; C:\Program Files (x86)\STab\ProtectService.exe [158864 2014-11-10] (TODO: ) S2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe -service [X] S2 Update Reverse Page; "C:\Program Files (x86)\Reverse Page\updateReversePage.exe" [X] Task: {0692A0E5-41A9-48BE-B48A-5FC0C1817E9D} - System32\Tasks\{F6E3395F-9ADD-4B8C-99B0-A451F74C383A} => pcalua.exe -a E:\FSetup.exe -d E:\ Task: {229AD8F5-8B6E-4A74-91A6-DA9E9EA32CEF} - System32\Tasks\{4FF4B804-14F2-4A66-A05C-35D7A4A1058C} => pcalua.exe -a C:\ProgramData\ChampionDeals\ChampionDeals.exe -c /progname=ChampionDeals /progver=3.4.2 /progpub=ChampionDeals /proguninstallurl=asdahjka.com /deleteappfolder=0 /VERYSILENT Task: {4F17FF95-BDD6-4474-ADE1-A8A8DFBE84BB} - System32\Tasks\{D3DC525C-F459-4827-AA74-0F29FF6235D6} => pcalua.exe -a C:\Users\zawias\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt Task: {54FF6882-C441-41C7-8788-49AEFE20A433} - System32\Tasks\Run_Bobby_Browser => C:\Users\zawias\AppData\Local\BoBrowser\Application\bobrowser.exe Task: {6269C19D-B12B-4E1F-ADA2-61964535918C} - System32\Tasks\XSVOYY => C:\Users\zawias\AppData\Roaming\XSVOYY.exe Task: {65211436-EF59-409F-9732-C0D61897E362} - System32\Tasks\{C0D82179-B214-49C8-94BA-FDE75E656EFA} => pcalua.exe -a C:\ProgramData\deaLpeak\WS6kDeonXdalcR.exe -c /s /n /i:"ExecuteCommands;UninstallCommands" "" Task: {E6B728E7-00FB-42FB-9906-9CB9214B96D8} - System32\Tasks\CGRMXE => C:\Users\zawias\AppData\Roaming\CGRMXE.exe Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\CGRMXE.job => C:\Users\zawias\AppData\Roaming\CGRMXE.exe Task: C:\Windows\Tasks\XSVOYY.job => C:\Users\zawias\AppData\Roaming\XSVOYY.exe HKLM\...\Run: [] => [X] Startup: C:\Users\zawias\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TornTvDownloader.lnk CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-157093298-1084357142-467351005-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omigaweb/?type=dspp&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omigaweb/?type=dspp&q={searchTerms} SearchScopes: HKLM-x32 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchoholic.info/?l=1&q={searchTerms}&pid=3650&r=2014/12/26&hid=6934257787264173893&lg=EN&cc=PL&unqvl=72 SearchScopes: HKU\S-1-5-21-157093298-1084357142-467351005-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-157093298-1084357142-467351005-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omigaweb/?type=dspp&q={searchTerms} SearchScopes: HKU\S-1-5-21-157093298-1084357142-467351005-1000 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchoholic.info/?l=1&q={searchTerms}&pid=3650&r=2014/12/26&hid=6934257787264173893&lg=EN&cc=PL&unqvl=72 BHO-x32: No Name -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> No File DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1419279347&from=ild&uid=WDCXWD7500BPVT-00HXZT3_WD-WX51A711254412544 C:\END C:\Program Files (x86)\ApptioU C:\Program Files (x86)\clasicnote C:\Program Files (x86)\cooupuonpEaik C:\Program Files (x86)\deal2deeaaliT C:\Program Files (x86)\dealester C:\Program Files (x86)\deaLpeak C:\Program Files (x86)\DizzyDing C:\Program Files (x86)\ESET C:\Program Files (x86)\ezLinkPreview C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Google C:\Program Files (x86)\GU Player C:\Program Files (x86)\Lights off! C:\Program Files (x86)\Online SpongeBob Games C:\Program Files (x86)\saVer beoox C:\Program Files (x86)\SaveerPro C:\Program Files (x86)\savveitkueep C:\Program Files (x86)\SooftCouuP C:\Program Files (x86)\STab C:\Program Files (x86)\Temp C:\Program Files (x86)\ver8SpeedChecker C:\Program Files (x86)\Wheretoget C:\Program Files (x86)\WowwCouapon C:\Program Files (x86)\YooutubeAdBlocke C:\ProgramData\{4230c405-4d60-6b1a-4230-0c4054d61015} C:\ProgramData\1078601655 C:\ProgramData\1374afa80000451b C:\ProgramData\18cde976000005a9 C:\ProgramData\61493b34e22a9fed C:\ProgramData\7010199393297670125 C:\ProgramData\c74a5aab00003619 C:\ProgramData\ChampionDeals C:\ProgramData\CouponFactory C:\ProgramData\DAEMON Tools Pro C:\ProgramData\deaLpeak C:\ProgramData\Google C:\ProgramData\IePluginServices C:\ProgramData\PC Tools C:\ProgramData\SooftCouuP C:\ProgramData\TEMP C:\ProgramData\uTDFjDJLaO C:\ProgramData\ZombieInvasion C:\shoplog C:\Users\zawias\AppData\Local\nsl1E66.tmp C:\Users\zawias\AppData\Local\nsx5D27.tmp C:\Users\zawias\AppData\Local\18765 C:\Users\zawias\AppData\Local\Google C:\Users\zawias\AppData\Local\mtt_de_4 C:\Users\zawias\AppData\Local\ZombieInvasion C:\Users\zawias\AppData\Roaming\appdataFr3.bin C:\Users\zawias\AppData\Roaming\CGRMXE C:\Users\zawias\AppData\Roaming\XSVOYY C:\Users\zawias\AppData\Roaming\AnyProtectEx C:\Users\zawias\AppData\Roaming\systweak C:\Users\zawias\AppData\Roaming\Taplika C:\Users\zawias\AppData\Roaming\TestApp C:\Users\zawias\AppData\Roaming\WSE_Taplika C:\Users\zawias\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9469243fe2b7cb05\BoBrowser.lnk C:\Users\zawias\Desktop\sd9setup.exe.lnk C:\Users\zawias\Downloads\sd9setup.exe C:\Users\zawias\Documents\Optimizer Pro Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\zawias\AppData\Local CMD: dir /a C:\Users\zawias\AppData\LocalLow CMD: dir /a C:\Users\zawias\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw niepoprawnie wyczyszczony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\zawias\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. To nie jest problem infekcji. Wygląda na to, że załatwiłeś się samodzielnie nieumiejętnie stosując program Chris PC-Lock. W raporcie widać startujący Chris PC-Lock oraz relatywne polityki blokujące dostęp do określonych funkcji: HKLM-x32\...\Run: [Chris PC-Lock] => C:\Program Files (x86)\Chris PC-Lock\PCLock.exe [486888 2014-07-07] (Chris P.C. srl) HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [DisableChangePassword] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [DisableLockWorkStation] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [HideFastUserSwitching] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [DisableTaskMgr] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\Explorer: [NoChangeStartMenu] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\Explorer: [NoClose] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\Explorer: [NoLogOff] 1 Polityki oczywiście można usunąć za pomocą skryptu FRST, ale tego na razie nie zadaję, bo polityki wrócą, jeśli dana aplikacja jest skonfigurowana by je wprowadzić. Podstawowe pytanie: co zostało zrobione w Chris PC-Lock i czy jest możliwość odwrócić konfigurację? MBAM wykrył po prostu kolejne polityki. Jak mówię, to nie jest infekcja. Jakie?

W powyższym poście (nie edytuj już pierwszego posta) klik w Edytuj > Użyj pełnego edytora > doczep pliki. EDIT: Logi dodane. Odpowiadasz mi już w nowym poście, nie edytuj poprzedniego. To są logi z konta limitowanego: Ran by Tadeusz (ATTENTION: The logged in user is not administrator) on FERRARI on 11-02-2015 16:51:38 Proszę dodaj logi również z konta administracyjnego Admin. Zaloguj się na to konto poprzez pełny restart komputera (a nie opcję Wyloguj czy Przełącz użytkownika). ==================== Accounts: ============================= Admin (S-1-5-21-3550082035-2878343640-584771193-1000 - Administrator - Enabled) => C:\Users\Admin Tadeusz (S-1-5-21-3550082035-2878343640-584771193-1001 - Limited - Enabled) => C:\Users\Tadeusz

Mamy tu w systemie liczne infekcje typu adware, a sieć nie działa zapewne dlatego, że został uszkodzony łańcuch Winsock (wpięcia niepożądanych plików ColorMedia.dll i ColorMedia64.dll od adware FlashBeat). Zadania zostaną podzielone, na początek należy poprawnie odinstalować maksymalną ilość obiektów. Działania wstępne: 1. Przez Panel sterowania odinstaluj: - Adware: AnySend, ConvertAd, Facebook Social Plugin, FlashBeat, GamesDesktop 014.187, HDtubeV1.6V09.02, Health Alert, igsc, MyBestOffersToday 014.495, SmartWeb, Support PL 1.1, Techgile, webssearches uninstall, WinCheck, Word Proser 1.10.0.6, youtubeadblocker. - Zbędne programy: Carambis Driver Updater (można sobie nabroić tym programem) + Mozilla Firefox 4.0.1 (x86 de) (strasznie stary!). 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. 3. Zrób nowe logi FRST z opcji Scan, zaznacz ponownie pola Addition + Shortcut, by powstały trzy logi.

Do wglądu zasady działu - w tym dziale mogą udzielać pomocy tylko dwie osoby, przy czym jedna z nich jest nieobecna już od bardzo długiego czasu i zostaję tylko ja, a ja nie nie jestem w stanie warować tu 24/7. Ilość pobrań załączników o niczym nie świadczy, ani nawet nie udawadnia że ktoś je rzeczywiście otworzył, bo załączniki skanuje bot indeksujący Google. Nie podałeś w ogóle wyciągu ze skanera, by można było ocenić co właściwie zostało wykryte. Ale wątpię w "wirusy", raporty pokazują, że tu są inne typy obiektów, czyli adware/PUP oraz loggery danych. W systemie są następujące problemy: - Infekcje: keyloggery Tibia (instalowane własnoręcznie!), źle doczyszczona infekcja "policyjna" (a przyczyną stara wersja Java obecna w systemie), niepoprawnie usunięte adware (zamiast usuwać antywirusem należało w pierwszej kolejności poprawnie odinstalować) - Uszkodzony system Usług kryptograficznych Windows (wszystkie usługi / sterowniki Microsoftu są oznaczone jako niesygnowane. Do wykonania następujące działania: 1. Uruchom narzędzie Fix It 50202: KLIK. Narzędzie działa na XP. Zaznacz tryb agresywny, co resetuje bazę catroot2. 2. Przez Dodaj/Usuń programy odinstaluj: - Adware i szkodniki: App Lid, AppsHat Mobile Apps, awesomehp Browser Protecter, Download Updater (AOL LLC), holasearch toolbar on IE, SweetIM for Messenger 3.7, Torch, Tibia MULTI-ip changer (to jest szkodliwy changer!), unnm=Version Checker for Dealply, Update Manager for SweetPacks 1.1, Word Proser 1.10.0.4, Yontoo 1.10.03. - Stare wersje i zbędniki: Akamai NetSession Interface, Java 7 Update 71, Java™ 6 Update 39, McAfee Security Scan Plus, MyFreeCodec. Wpisy adware jak mówiłam są uszkodzone, ale Windows powinien zapytać czy usunąć puste wpisy. Jeśli czegoś nie będzie widać lub nie będzie się dało usunąć, nie szkodzi, kontynuuj. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINNT\Tasks\3693e6d1-ed3c-4a89-b8a7-7da19ffeb7bc.job => C:\Program Files\App Lid\3693e6d1-ed3c-4a89-b8a7-7da19ffeb7bc.exe Task: C:\WINNT\Tasks\f4b24499-295e-434d-91c2-67bbf6242b10-1.job => C:\Program Files\App Lid\App Lid-codedownloader.exe Task: C:\WINNT\Tasks\f4b24499-295e-434d-91c2-67bbf6242b10-11.job => C:\Program Files\App Lid\f4b24499-295e-434d-91c2-67bbf6242b10-11.exe Task: C:\WINNT\Tasks\f4b24499-295e-434d-91c2-67bbf6242b10-2.job => C:\Program Files\App Lid\f4b24499-295e-434d-91c2-67bbf6242b10-2.exe Winlogon\Notify\LogonInit: C:\Program Files\Common Files\logonInit.dll () HKU\S-1-5-21-1177238915-790525478-725345543-1003\...\Run: [Akamai NetSession Interface] => C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe [4673432 2014-10-29] (Akamai Technologies, Inc.) HKU\S-1-5-21-1177238915-790525478-725345543-1003\...\Winlogon: [shell] explorer.exe,C:\Documents and Settings\Maciek\Dane aplikacji\cache.dat HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKLM\...\Winlogon: [shell] Explorer.exe [x ] () IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe Startup: C:\Documents and Settings\Maciek\Menu Start\Programy\Autostart\Powiadomienia monitorowania tuszu - HP Deskjet 1050 J410 series.lnk Startup: C:\Documents and Settings\Rodzice\Menu Start\Programy\Autostart\OpenOffice.org 3.3.lnk ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKU\S-1-5-21-1177238915-790525478-725345543-1003\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1177238915-790525478-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.msn.com/?pc=AV01 HKU\S-1-5-21-1177238915-790525478-725345543-1003\Software\Microsoft\Internet Explorer\Main,Start Page Restore = http://search.conduit.com?SearchSource=10&ctid=CT2786678 URLSearchHook: HKU\S-1-5-21-1177238915-790525478-725345543-1003 - SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll No File BHO: No Name -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> No File BHO: App Lid -> {11111111-1111-1111-1111-110611571143} -> C:\Program Files\App Lid\App Lid-bho.dll (Lid) BHO: No Name -> {2c9837e0-bcf4-431e-a010-f2b058b60456} -> No File BHO: No Name -> {6962b2f8-db6d-48b3-9712-121f12833dde} -> No File BHO: No Name -> {6d2810e5-e77f-4aa6-aef8-634d0dd3377b} -> No File BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File BHO: No Name -> {DFF9B2DA-EF99-4B26-83CB-7058299999D8} -> No File BHO: No Name -> {F225A2E3-8EE1-4204-B7A0-F4C551578A87} -> No File Toolbar: HKLM - No Name - {C510DFFB-0AFE-484C-BA40-CED5B74C4EEF} - No File Toolbar: HKLM - No Name - {ec2bae47-25af-4ce9-9e78-10627a49c9ea} - No File DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_13-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0039-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_39-windows-i586.cab DPF: {CAFEEFAC-0017-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_07-windows-i586.cab DPF: {CAFEEFAC-0017-0000-0013-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_13-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_39-windows-i586.cab Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - No File CustomCLSID: HKU\S-1-5-21-1177238915-790525478-725345543-1003_Classes\CLSID\{A2DF06F9-A21A-44A8-8A99-8B9C84F29160}\localserver32 -> C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Torch\Application\25.0.0.3831\delegate_execute.exe (The Chromium Authors) CHR HKLM\...\Chrome\Extension: [bejbohlohkkgompgecdcbbglkpjfjgdj] - C:\DOCUME~1\Maciek\USTAWI~1\Temp\crx10C.tmp [Not Found] CHR HKLM\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - No Path CHR HKLM\...\Chrome\Extension: [fagpjgjmoaccgkkpjeoinehnoaimnbla] - C:\Documents and Settings\Maciek\Dane aplikacji\BabSolution\CR\hola.crx [2013-07-03] CHR HKLM\...\Chrome\Extension: [hhahnbgeeecnlgkbiaefnkpinkjpedgj] - C:\Program Files\MediaViewV1\MediaViewV1alpha2231\ch\MediaViewV1alpha2231.crx [2014-02-26] CHR HKLM\...\Chrome\Extension: [jbpkiefagocgkmemidfngdkamloieekf] - C:\Program Files\TornTV.com\torn10.crx [Not Found] CHR HKLM\...\Chrome\Extension: [jinpbpolhladablmldmollideahhdpni] - C:\Program Files\MediaBuzzV1\MediaBuzzV1mode5392\ch\MediaBuzzV1mode5392.crx [2014-04-24] CHR HKLM\...\Chrome\Extension: [niapdbllcanepiiimjjndipklodoedlc] - C:\Program Files\Yontoo\YontooLayers.crx [2012-11-18] FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files\Microsoft Silverlight\5.1.30514.0\npctrl.dll No File FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\Ask.xml FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINNT\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [xz123@ya456.com] - C:\Program Files\BetterSurf\ff FF HKLM\...\Firefox\Extensions: [ext@WebexpEnhancedV1alpha428.net] - C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha428\ff FF HKLM\...\Firefox\Extensions: [ext@VideoPlayerV3beta26.net] - C:\Program Files\VideoPlayerV3\VideoPlayerV3beta26\ff FF HKLM\...\Firefox\Extensions: [ext@MediaPlayerV1alpha844.net] - C:\Program Files\MediaPlayerV1\MediaPlayerV1alpha844\ff FF HKLM\...\Firefox\Extensions: [ext@MediaViewV1alpha2231.net] - C:\Program Files\MediaViewV1\MediaViewV1alpha2231\ff FF HKLM\...\Firefox\Extensions: [ext@MediaBuzzV1mode5392.net] - C:\Program Files\MediaBuzzV1\MediaBuzzV1mode5392\ff FF HKLM\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Documents and Settings\Maciek\Dane aplikacji\Mozilla\Firefox\Profiles\xtodciik.default-1362574540062\extensions\fftoolbar2014@etech.com FF HKU\.DEFAULT\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\Documents and Settings\All Users\Dane aplikacji\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi FF HKU\S-1-5-21-1177238915-790525478-725345543-1003\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\Documents and Settings\All Users\Dane aplikacji\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi S2 ATKKeyboardService; C:\WINNT\ATKKBService.exe [X] S2 IBUpdaterService; %SystemRoot%\system32\dmwu.exe [X] S2 IHProtect Service; C:\Program Files\XTab\ProtectService.exe [X] S2 NMSAccessU; C:\Documents and Settings\Maciek\Ustawienia lokalne\Temp\{73943CAF-A70B-4B03-929D-37BB997B30EB}\NMSAccessU.exe [X] S2 WindowsMangerProtect; C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] R1 wpnfd_1_10_0_4; C:\WINNT\System32\drivers\wpnfd_1_10_0_4.sys [52736 2014-12-04] (Word Proser) S1 ASPI32; No ImagePath S1 iSafeKrnlMon; \??\C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys [X] S3 Video3D; System32\Drivers\Video3D32.sys [X] S3 vtany; \??\C:\WINNT\vtany.sys [X] S3 xhunter1; \??\C:\WINNT\xhunter1.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect C:\Documents and Settings\All Users\Menu Start\Programy\Asprate C:\Documents and Settings\Maciek\Dane aplikacji\cache.ini C:\Documents and Settings\Maciek\Dane aplikacji\18013 C:\Documents and Settings\Maciek\Dane aplikacji\BabSolution C:\Documents and Settings\Maciek\Dane aplikacji\BabylonToolbar C:\Documents and Settings\Maciek\Dane aplikacji\omiga-plus C:\Documents and Settings\Maciek\Dane aplikacji\Opera Software C:\Documents and Settings\Maciek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\iLivid.lnk C:\Documents and Settings\Maciek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Torch.lnk C:\Documents and Settings\Maciek\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\Maciek\Menu Start\Programy\iLivid.lnk C:\Documents and Settings\Maciek\Menu Start\Programy\Torch.lnk C:\Documents and Settings\Maciek\Menu Start\Programy\Torch C:\Documents and Settings\Maciek\Menu Start\Programy\SmartTweak Software C:\Documents and Settings\Maciek\Pulpit\Diablo III.lnk C:\Documents and Settings\Maciek\Pulpit\iLivid.lnk C:\Documents and Settings\Maciek\Pulpit\LogMeIn Hamachi.lnk C:\Documents and Settings\Maciek\Pulpit\Tibia MULTI-IP Changer.lnk C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\App Lid C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\iLivid C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Torch C:\Documents and Settings\Rodzice\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Program Files\Common Files\logonInit.dll C:\Program Files\Common Files\userInit.dll C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\Program Files\App Lid C:\Program Files\Asprate C:\Program Files\MediaBuzzV1 C:\Program Files\MediaPlayerV1 C:\Program Files\MediaViewV1 C:\Program Files\OpenOffice.org C:\Program Files\OpenOffice.org 3 C:\Program Files\Opera C:\Program Files\SeeSimilar C:\Program Files\SmartTweak C:\Program Files\SweetIM C:\Program Files\VideoPlayerV3 C:\Program Files\WebexpEnhancedV1 C:\Program Files\XTab C:\Program Files\Yontoo C:\WINNT\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINNT\system32\ARFC Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Documents and Settings\All Users\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Rodzice\Ustawienia lokalne\Dane aplikacji" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 5. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia zostaną wyłączone (włącz ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 6. Są tu dwa konta w systemie: ==================== Accounts: ============================= Maciek (S-1-5-21-1177238915-790525478-725345543-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Maciek Rodzice (S-1-5-21-1177238915-790525478-725345543-1005 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Rodzice Zaloguj się po kolei na każde poprzez pełny rtestart systemu (a nie opcję Wyloguj lub Przełącz użytkownika) i na każdym koncie po kolei zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

pitersp1, proszę nie twórz posta pod postem, gdy nikt jeszcze nie odpisał. Posty sklejam. Temat przenoszę do działu diagnostyki infekcji. Opis bardzo niejasny i chaotyczny, brak też jakichkolwiek danych. Podaj dokładnie co za plik uruchomiłeś oraz dostarcz obowiązkowe logi: KLIK.

W tej sytuacji z grupy włączonych wpisów zacznij wyłączać po jednym na raz + restart, aż wychwycisz który konkretnie obiekt prowadzi do pokazywania komunikatu.

Nie wiesz o jakim pliku mowa?

Proszę uzupełnij wymagane raporty z FRST. Wszystko się zgadza: - Komunikat numer 1: brak wykrytego sterownika SPTD i jest to zgodne ze stanem faktycznym (nie ma tego w raporcie ComboFix). - Komunikat numer 2: narzędzie nie działa na Windows 10, który nawet nie jest finalnym systemem (na razie wersje testowe dotępne). Prawdopodobnie problem tworzy ... G Data. Podobny temat z forum: KLIK. Z Twojego raportu ComboFix: ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "G Data ASM"="c:\program files (x86)\G Data\TotalProtection\DelayLoader\AutorunDelayLoader.exe" [2013-12-19 431224] Jeśli mowa o Pulpicie, to wszystko jest w porządku, a "problem" tyczy wszystkich systemów od Vista w górę. Cytuję: Jeżeli zaznaczysz ponownie opcję Ukryj chronione pliki systemu operacyjnego, pliki zostaną schowane. G Data wykrył obiekty adware, nabyte na jeden z tych sposobów: KLIK. Oczekuję na raporty z FRST z systemu na którym wykryte zostały te śmieci.

Niezabezpieczone systemy Windows 7 bez aktualizacji KB2286198 (zawiera się w SP1) mogą być podatne na lukę LNK (samo wyświetlenie skrótów w eksploratorze wykonuje infekcję). Mając jednak załatane systemy: Obecnie są stosowane sztuczki socjotechniczne, by skłonić użytkownika do uruchomienia pliku infekcji, wykorzystujące fakt, że opcja Ukryj chronione pliki systemu operacyjnego jest domyślnie zaznaczona (lub infekcja stara się ją przekonfigurować i zapobiec przestawieniu opcji). Opcja jest wykorzystywana w taki sposób, by upozorować utratę danych zasadniczych lub je zasymulować. Przykład: Robak Gamarue Robak tworzy na urządzeniu ukryty (atrybuty HS) folder o nazwie spacji i przesuwa do niego wszystkie dane użytkownika, tworzy też ukryte pliki infekcji. Jako jedyny widoczny element tworzy skrót o nazwie urządzenia, który uruchamia ukryty plik infekcji. Użytkownik skonfrontowany z pozornie pustym urządzeniem szukając zaginionych danych klika na skrót. Ten skrót jest zresztą mylony z samym urządzeniem per se - nagminnie w tematach z tą infekcją słyszę sformułowanie "nie da się otworzyć pendrive" (każdy tego próbował, tzn. klikał w skrót). Co widzi użytkownik: Co jest w rzeczywistości na urządzeniu (przy czym skrót linkuje do pliku *.ini, zerowy autorun.inf to fantom i nie jest motorem infekcji): Pomimo prostoty rozwiązania jest to bardzo skuteczna metoda i działa na różne typy użytkowników, nawet takich którzy mają większą orientację w systemie. Na forum tutaj masowe zgłoszenia problemu "braku danych", bądź też "zamiany danych w skróty", choć te sytuacje nie mają w rzeczywistości miejsca. Użytkownicy nie domyślili się samodzielnie, że nie widzą po prostu wszystkiego, a szukając danych uruchamiali co popadnie (czyli owe skróty infekcji). Pamiętam też użytkownika, który z kolei był "zbyt zaawansowany" i widząc większą zajętość pendrive niż wskazywał to widok dysku przekombinował, tzn. szukał nie tam gdzie trzeba (od razu się rzucił na TestDisk), bo tak proste rozwiązanie z atrybutami też nie przyszło mu do głowy. Należy też zwrócić uwagę, że obecnie metodologia jest znana, ale gdy pierwszy taki przypadek na forum wystąpił, była to nowość. Nie było to zachowanie nigdzie opisane czy sklasyfikowane. Użytkownik nie miał żadnych danych pomocniczych, by ukierunkować swój tok rozumowania, porównać swój przypadek z jakimś opisem.