picasso

Wygląda na to, że folder utracił atrybuty odpowiadające za jego niewidoczność. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklep komendę i ENTER: attrib +S +H D:\$RECYCLE.BIN

Niestety Fix na koncie Maciek nie chce się wykonać, tym razem zatrzymał się na zabijaniu procesów. Przejdź w Tryb awaryjny Windows (loguj się na konto Maciek a nie Administratora) i powtórz poprzednią instrukcję.

ComboFix użyty niepotrzebnie, pomijając fakt że nie powinno się go uruchamiać bez przygotowania, nie jest to zbyt dobry program do usuwania adware i nie robi tego poprawnie (brutalne usuięcie składników z dysku). Brakuje trzeciego pliku FRST Shortcut. W Harmonogramie zadań jest reinstalator adware (niejaki "Installer_geforce"), a rozszerzenia adware są w Firefox, Google Chrome i Operze. Do przeprowadzenia następujące akcje: 1. Odinstaluj stare wersje: Java 7 Update 55, Java™ 6 Update 14 (64-bit), Opera 12.12, Opera 12.16, Spelling Dictionaries Support For Adobe Reader 9. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {17521219-BB50-44F1-AAF1-02E8ADEB215E} - System32\Tasks\{22E0B2D6-B8CF-4BED-81F3-63995801F595} => pcalua.exe -a C:\Users\Mati\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt Task: {44166971-FD6F-4F69-982B-1B983CD06904} - System32\Tasks\{56666DE5-504E-4C5C-B71C-947424A6B04B} => pcalua.exe -a C:\Users\Mati\Desktop\MAMA\SweetIMSetup.exe -d C:\Users\Mati\Desktop\MAMA Task: {86047D17-8709-49E2-AEA8-985F0C41108F} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 Task: {91A98AD2-E04E-4EBF-B920-DFAA32011F89} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 Task: {95A93EC8-C5E4-422A-B37F-2B3A3F3EADEF} - System32\Tasks\Installer_geforce => C:\Users\Mati\AppData\Local\Installer\Installgeforce_25413\DC1AB16RN52.exe [2015-02-03] () Task: {965C16A0-1BCE-4017-B342-86378754B8ED} - \Program aktualizacji online firmy Sun Microsystems. No Task File Task: {A6119F1E-1734-44E8-A6EE-EA2BAA6D410A} - System32\Tasks\{0A5F2132-00CD-4F0D-AFCE-9CAEBB56D093} => C:\Users\Mati\Desktop\PlayerStubWrapper1.exe Task: {CA2D4C1D-AD67-49FD-92A8-6E96DD5E24AE} - System32\Tasks\{75E1A66D-4B6B-470E-8370-918119D89B9B} => C:\Users\Mati\Desktop\PlayerStubWrapper1.exe Task: {D9C5FEEE-DC90-482A-B5A3-73DEAB80ABA3} - \Program aktualizacji online firmy Adobe. No Task File Task: {E7A4DE7A-93E4-460E-A6CB-DCAE18A6C411} - System32\Tasks\{7E146D51-05F0-4B69-9C27-4F5381DD1639} => C:\Users\Mati\Downloads\MediaPlayerCodecPack_downloader-I9TFEOv29.exe [2014-11-20] () Task: {F43051E7-D4DA-4AF0-BC4B-618680EAC802} - System32\Tasks\{69362541-F355-4BBB-A69F-FFCFE9ED921E} => pcalua.exe -a C:\Users\Mati\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] U4 eabfiltr; No ImagePath ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-268690512-1801084094-390008088-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-268690512-1801084094-390008088-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM-x32 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-268690512-1801084094-390008088-1001 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 BHO: No Name -> {42435041-312D-5637-4300-7A786E7484D7} -> No File BHO: No Name -> {4F524A2D-5637-2D53-4154-7A786E7484D7} -> No File BHO: No Name -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> No File Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File CustomCLSID: HKU\S-1-5-21-268690512-1801084094-390008088-1001_Classes\CLSID\{A75BE48D-BF58-4A8B-B96C-F9A09DFB9844}\InprocServer32 -> %LOCALAPPDATA%\Pokki\ocdeskband_0.dll No File CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1419727105&from=cor&uid=WDCXWD5000BEVT-60ZAT1_WD-WX20C797393873938" CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found] FF HKU\S-1-5-21-268690512-1801084094-390008088-1001\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files (x86)\DigitalPersona\Bin\firefoxext C:\PROGRA~1\COMMON~1\System\SysMenu.dll C:\Program Files (x86)\4f679ba0-3d15-42f9-b2cb-d614b25c5850 C:\Program Files (x86)\955d4b0e-682a-40b0-9436-4eec9afb427b C:\Program Files (x86)\Cyti Web C:\Program Files (x86)\Freemake C:\Program Files (x86)\Liveistream C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\{*}.log C:\ProgramData\wmzddnmb.cix C:\ProgramData\Freemake C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Liveistream C:\rei C:\Users\Mati\AppData\Local\{*} C:\Users\Mati\AppData\Local\BIT*.tmp C:\Users\Mati\AppData\Local\CrashRpt C:\Users\Mati\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Mati\AppData\Local\Installer C:\Users\Mati\AppData\Local\Opera_ C:\Users\Mati\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Liveistream C:\Users\Mati\Downloads\MediaPlayerCodecPack_downloader-I9TFEOv29.exe C:\Users\Mati\Downloads\setup*.exe C:\Users\Mati\Downloads\Installation*.exe C:\Users\Mati\Downloads\ReimageRepair*.exe C:\Windows\system32\ScanResults.xml C:\Windows\system32\ScannerSettings C:\Windows\SysWOW64\DOErrors.log C:\Windows\SysWOW64\ins_ytd.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware Cyti Web Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Wyczyść Operę (najnowsza wersja, a nie stara 12.x): CTRL+SHIFT+E i na liście rozszerzeń odinstaluj GoHD, SavePass 1.1. 6. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstał brakujący log. Dołącz też plik fixlog.txt oraz logi używanych narzędzi (C:\ComboFix.txt + te z folderu C:\AdwCleaner).

Na razie nic nie było usuwane z zakresu Positive Finds, bo tego nigdzie nie widać. Skan dostosowany nie wykazuje nic w przeglądarce Chrome. Sprawdź czy ta operacja coś pomoże: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, wszystkie rozszerzenia zostaną wyłączone (te używane do ponownej aktywacji).

SetACL nie przyjął ścieżki z pojedynczym \, ponów próbę z podwójnym: CMD: SetACL -on "D:\\" -ot file -actn setprot -op "dacl:p_nc;sacl:p_nc" -rec cont_obj -actn setowner -ownr "n:Administratorzy" -actn ace -ace "n:Administratorzy;p:full" -ace "n:SYSTEM;p:full" -ace "n:Użytkownicy;p:full" -actn clear -clr "dacl,sacl" -actn rstchldrn -rst "dacl,sacl" ListPermissions: D:\

Nazwy logów wskazują, że wyciągasz je z folderu C:\FRST\Logs - to archiwum logów służące do wyciągania starszych (jeśli potrzebne). Bieżący log jest zawsze w lokalizacji, z której uruchamiano FRST, czyli tu katalog Pobrane. Brakuje trzeciego obowiązkowego raportu FRST Shortcut. W raportach nie widać żadnych obiektów adware w Chrome, co jednak nie wyklucza iż one tam są. Na razie doczyszczenie wpisów szczątkowych oraz pobór dokadniejszych informacje o Google Chrome: 1. Przez Panel sterowania odinstaluj zbędny Adobe Flash (wersja dla Firefox) i stare wersje Java: Adobe Flash Player 16 NPAPI, Java 7 Update 67 (64-bit), Java 7 Update 67, Java 8 Update 25 (64-bit). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File Task: {AEF397EC-97DA-45D8-9B67-B42740227F37} - System32\Tasks\Microsoft OneDrive Auto Update Task-S-1-5-21-2641713718-1750177961-2671272729-1002 => %localappdata%\Microsoft\SkyDrive\SkyDrive.exe HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction S3 EagleX64; \??\C:\WINDOWS\system32\drivers\EagleX64.sys [X] C:\Users\agata_000\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\agata_000\AppData\Roaming\sp_data.sys C:\Users\agata_000\Downloads\Niepotwierdzony*.crdownload Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: type "C:\Users\agata_000\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstał brakujący log. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner

GMER natknął się na nieistniejącą ścieżkę dysku w którymś miejscu rejestru. Jest kilka możliwości. Podobne tematy: KLIK, KLIK. Nie ma się czym przejmować i można sobie odpuścić korekty. W niektórych przypadkach są one nawet niepożądane. Tak, w załącznikach dopuszczam tylko TXT. W instrukcji raportu GMER jest rozmyślnie dobrana opcja Kopiuj a nie bezpośredniego zapisu. Fix FRST wykonany. Teraz: 1. W GMER jest jakiś ukryty moduł "no name". Sprawdź co powie Kaspersky TDSSKiller. 2. Jeśli TDSSKiller nic nie wykryje, zastosuj DelFix. 3. Na wszelki wypadek przeskanowałabym ponownie dyski jakimś antywirusem. 4. W związku z tym, iż Ramnit może wyciągać dane z systemu, prewencyjnie pozmieniaj wszędzie loginy.

"Kontroler Uniwersalnej magistrali szeregowej (USB)" - podaj model komputera. Dodatkowa uwaga ogólna, system nie jest też w ogóle zaktualizowany, golusieński Windows 7 bez SP1 i reszty majdanu: Platform: Windows 7 Home Premium (X64) OS Language: Polski (Polska) Internet Explorer Version 8 (Default browser: Chrome) PS. W spoilerze doczyszczanie wpisów pustych, lokalizacji tymczasowych oraz likwidacja poniższych błędów z Dziennika: System errors: ============= Error: (02/11/2015 08:13:08 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Usługa Google Update (gupdate) z powodu następującego błędu: %%2 Error: (02/11/2015 07:55:56 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Przeglądarka komputera zależy od usługi Serwer, której nie można uruchomić z powodu następującego błędu: %%1068

Kolejna porcja działań: 1. Odinstalowałeś parę pozycji związanych z Windows Live Essentials, ale nie główny program. Zostawiłeś, bo używasz, czy ta pozycja przepadkowo ominięta? Jeśli to przypadek, to jeszcze to odinstaluj. 2. W raporcie są notowane zerobajtowe (czyli uszkodzone) pliki Windows: Some zero byte size files/folders: ========================== C:\Windows\SysWOW64\SensorsCpl.dll C:\Windows\System32\bootres.dll C:\Windows\System32\SensorsCpl.dll Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie 3. Otwórz Notatnik i wklej w nim: CloseProcesses: S1 AIP; C:\Windows\SysWOW64\drivers\aip.sys [51200 2014-06-16] () [File not signed] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File C:\Program Files (x86)\CyberLink C:\ProgramData\AVAST Software C:\ProgramData\CyberLink C:\Users\Default\AppData\Roaming\AVAST Software C:\Users\Default User\AppData\Roaming\AVAST Software C:\Users\Eryk\AppData\Local\uninst.tmp C:\Windows\SysWOW64\drivers\aip.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CLMLServer" /f CMD: dir /a C:\Users CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Pokaż wynikowy fixlog.txt. Czyli problem z pingiem nadal występuje po usunięciu Trend Micro? Jeśli tak, to po dokończeniu tu wątków czyszczenia i naprawy systemu załóż nowy temat w dziale Sieci podając dane wymagane działem: KLIK. Omiń raporty z FRST, bo są już tutaj i zlinkuj do tego tematu, by było wiadome co już zrobiono. Kto inny będzie się prawdopodobnie tym zajmował, to nie jest moja działka. To na szarym końcu.

Jedziemy dalej: 1. Nadal widzę na liście archaiczny Mozilla Firefox 4.0.1 (x86 de) - czy jest jakiś problem z jego deinstalacją? Proszę odinstaluj go, jest całkowicie zaśmiecony adware, a tak stary, że nie opłaca się go czyścić. Ten krok musi być jako pierwszy, gdyż poniżej w skrypcie polecą wszystkie klucze i foldery Firefox. 2. Pobierz najnowszą wersję FRST (z dzisiaj) z przyklejonego: KLIK. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {3B7C614F-B769-4346-B2C8-91B9E4168FDF} - System32\Tasks\ISFYHFAU => C:\ProgramData\a47887a3756b4d95a8aa4868e99416bd\a47887a3756b4d95a8aa4868e99416bd.exe Task: {5FA968B4-B1BF-41A4-A117-3BFECA39C4F8} - System32\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-5 => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-5.exe Task: {61C05FFB-88CA-41C1-AA28-974146D7F80E} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2015-02-09] (globalUpdate) Task: {61CEFD8B-EE35-4F6C-9F9A-67C6F2CC8099} - System32\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-11 => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-11.exe Task: {691A41AC-A758-407E-8CD0-26DD2BBC732A} - System32\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-4 => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-4.exe Task: {799F5883-9E77-4C46-B712-DA50B1B2526B} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {8D58BEF3-7C51-460B-97CF-C0D9A45D855C} - System32\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-6 => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-6.exe Task: {9817BD9D-6952-4F21-98CE-38BC1BEBC7B2} - System32\Tasks\GAFOM => C:\Users\User\AppData\Roaming\GAFOM.exe Task: {9D748169-C0BD-4043-BFA9-6C3972250BFA} - System32\Tasks\OMSJT => C:\Users\User\AppData\Roaming\OMSJT.exe Task: {9D759583-D093-4D62-8787-AA5A33B65F8F} - \ASUS\i-Setup042718 No Task File Task: {B2B16347-B26E-4F47-8718-13A9C5BABCAB} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2015-02-09] (globalUpdate) Task: {B3286CF6-0675-448A-8ED2-B86A740873C1} - System32\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-1-7 => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-1-7.exe Task: {BB8D0E82-5410-4E1C-AEDA-57B44E3E6E99} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {BE1EFF0C-F4AD-4FF3-B4E0-44E50482D72C} - System32\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-5_user => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-5.exe Task: {DCAE62A9-08A7-459E-A50E-6665E6328A8C} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {E85FFFAF-A8D9-4E5E-88E2-9D28439BFB93} - System32\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-7 => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-7.exe Task: {EF9EC2F6-664D-4382-82A9-D7CEFC6FD85E} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe Task: {F8BA7363-7EF9-4C23-8836-34AE10F171A6} - System32\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-1-6 => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-1-6.exe Task: C:\Windows\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-1-6.job => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-1-6.exe Task: C:\Windows\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-1-7.job => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-1-7.exe Task: C:\Windows\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-11.job => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-11.exe Task: C:\Windows\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-4.job => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-4.exe Task: C:\Windows\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-5.job => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-5.exe Task: C:\Windows\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-5_user.job => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-5.exe Task: C:\Windows\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-6.job => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-6.exe Task: C:\Windows\Tasks\74ebcf50-6c34-4c7f-959d-67604f150421-7.job => C:\Program Files (x86)\HDtubeV1.6V09.02\74ebcf50-6c34-4c7f-959d-67604f150421-7.exe Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\GAFOM.job => C:\Users\User\AppData\Roaming\GAFOM.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\OMSJT.job => C:\Users\User\AppData\Roaming\OMSJT.exe R2 be0fb33b; c:\Program Files (x86)\Supporter\Supporter.dll [4214272 2015-02-09] () [File not signed] S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2015-02-09] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2015-02-09] (globalUpdate) [File not signed] R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158896 2015-01-16] (XTab system) R2 Update Techgile; C:\Program Files (x86)\Techgile\updateTechgile.exe [397552 2015-02-10] () [File not signed] R2 Util Techgile; C:\Program Files (x86)\Techgile\bin\utilTechgile.exe [397552 2015-02-10] () [File not signed] R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [487056 2015-02-09] () [File not signed] R2 wpsvc_1.10.0.6; C:\Program Files (x86)\WordProser_1.10.0.6\Service\wpsvc.exe [277584 2015-01-07] () [File not signed] S2 FlashBeat; C:\ProgramData\FlashBeat\FlashBeat.exe -p "Installium" -c "Installium_Default" -s "PP1" -i "2241879" -g "" [X] S1 wpnfd_1_10_0_6; system32\drivers\wpnfd_1_10_0_6.sys [X] S1 {ab46f924-b0f6-4def-a8e6-edf07f1475f2}Gw64; system32\drivers\{ab46f924-b0f6-4def-a8e6-edf07f1475f2}Gw64.sys [X] HKLM\...\Run: [VIAxHCUtl] => C:\Program Files\VIA XHCI UASP Utility\usb3Monitor HKLM-x32\...\Run: [mbot_de_495] => "C:\Program Files (x86)\mbot_de_495\mbot_de_495.exe" HKLM-x32\...\Run: [gmsd_de_187] => C:\Program Files (x86)\gmsd_de_187\gmsd_de_187.exe [3979408 2015-02-07] () GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hppp&ts=1423475556&from=pjr&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1423475518&from=pjr&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hppp&ts=1423475556&from=pjr&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1423475518&from=pjr&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1423475518&from=pjr&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} SearchScopes: HKLM -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1423475518&from=pjr&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=dspp&ts=1423475556&from=pjr&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=dspp&ts=1423475556&from=pjr&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} SearchScopes: HKU\S-1-5-21-3928150652-2756980015-3035233101-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=dspp&ts=1423475556&from=pjr&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} SearchScopes: HKU\S-1-5-21-3928150652-2756980015-3035233101-1000 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.better-search.net/?i=53&st=29&src=58&q={searchTerms}&did=11521&ppd=1434,148123,20N9RD1CYufCXkXp1xXpdx1ykKPX000.,,,,spgc-de,,,player.all4search.net&barid=1523567331607694762&terminator=1_sp_ie SearchScopes: HKU\S-1-5-21-3928150652-2756980015-3035233101-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://istart.webssearches.com/web/?utm_source=b&utm_medium=pjr&utm_campaign=install_ie&utm_content=ds&from=pjr&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&ts=1423475596&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3928150652-2756980015-3035233101-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://istart.webssearches.com/web/?utm_source=b&utm_medium=pjr&utm_campaign=install_ie&utm_content=ds&from=pjr&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&ts=1423475596&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3928150652-2756980015-3035233101-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=dspp&ts=1423475556&from=pjr&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&q={searchTerms} SearchScopes: HKU\S-1-5-21-3928150652-2756980015-3035233101-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://istart.webssearches.com/web/?utm_source=b&utm_medium=pjr&utm_campaign=install_ie&utm_content=ds&from=pjr&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680&ts=1423475596&type=default&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1423475518&from=pjr&uid=WDCXWD15EADS-00W4B0_WD-WCAVY611368013680 C:\Media Player Classic Home Cinema 32 Bit - CHIP-Installer.exe C:\Program Files (x86)\1ccf7e49-18ed-45cd-8dc4-cb64222cf72f C:\Program Files (x86)\AnyProtectEx C:\Program Files (x86)\Facebook Social Plugin C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\gmsd_de_187 C:\Program Files (x86)\Google C:\Program Files (x86)\HDtubeV1.6V09.02 C:\Program Files (x86)\IGS C:\Program Files (x86)\mbot_de_495 C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\MyPC Backup C:\Program Files (x86)\Supporter C:\Program Files (x86)\Techgile C:\Program Files (x86)\WordProser_1.10.0.6 C:\Program Files (x86)\XTab C:\Program Files (x86)\youtubeadblocker C:\ProgramData\mtbjfghn.xbe C:\ProgramData\11074247383972342202 C:\ProgramData\2db5390800000427 C:\ProgramData\41d6815900005912 C:\ProgramData\a47887a3756b4d95a8aa4868e99416bd C:\ProgramData\dxVxGuHPl C:\ProgramData\eeanojfhjfblikcbfbeacbakaehjjeko C:\ProgramData\FlashBeat C:\ProgramData\FlashBeatData C:\ProgramData\HealthAlert C:\ProgramData\IHProtectUpDate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GAMESDESKTOP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MYBESTOFFERSTODAY C:\ProgramData\Mozilla C:\ProgramData\WindowsMangerProtect C:\Users\User\AppData\Local\ConvertAd C:\Users\User\AppData\Local\Google C:\Users\User\AppData\Local\globalUpdate C:\Users\User\AppData\Local\gmsd_de_187 C:\Users\User\AppData\Local\HealthAlert C:\Users\User\AppData\Local\igs C:\Users\User\AppData\Local\mbot_de_495 C:\Users\User\AppData\Local\Mozilla C:\Users\User\AppData\Local\SmartWeb C:\Users\User\AppData\Local\wincheck C:\Users\User\AppData\Roaming\CrashDump__20150209_095439.dmp C:\Users\User\AppData\Roaming\AnyProtectEx C:\Users\User\AppData\Roaming\ASPackage C:\Users\User\AppData\Roaming\Mozilla C:\Users\User\AppData\Roaming\smileyswelove C:\Users\User\Downloads\setup*.exe C:\Users\User\Downloads\SweetPlayer_TSA1X4DXH.exe C:\Users\User\Documents\APNSetup.exe C:\Users\User\Documents\Optimizer Pro C:\Windows\patsearch.bin C:\Windows\system32\ColorMedia64.dll C:\Windows\system32\ColorMediaOff.ini C:\Windows\system32\Drivers\Msft_Kernel_webTinst_01009.Wdf C:\Windows\SysWOW64\ColorMedia.ini C:\Windows\SysWOW64\ColorMediaOff.ini Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{be0fb33b} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: sc config WinDefend start= demand CMD: netsh winsock reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\User\AppData\Local CMD: dir /a C:\Users\User\AppData\LocalLow CMD: dir /a C:\Users\User\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Operę z adware: z klawiatury CTRL+SHIFT+E i w Rozszerzeniach odinstaluj HDtubeV1.6V09.02. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Ad "podałeś" = jestem kobietą. Wszystko zrobione, a komputer na pewno przyśpieszył z powodu usunięcia tego starego Trend Micro. Kolejne działania do zrobienia: 1. Drobne poprawki. Do Notatnika wklej: HKLM\...\Run: [ASUS WebStorage] => C:\Program Files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe HKU\S-1-5-21-2332097225-1006854446-3240474579-1000\...\Run: [swg] => "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" C:\Program Files (x86)\Java C:\ProgramData\Trend Micro C:\Windows\TmNSCIns.dll C:\Windows\system32\TmInstall.log C:\Windows\SysWOW64\TmInstall.log C:\Windows\SysWOW64\java.exe C:\Windows\SysWOW64\javaw.exe CMD: sc config WinDefend start= demand Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 2. Jeśli chodzi o: Możesz odinstalować właściwie wszystko co w spoilerze, oczywiście coś co używasz pomijasz: Prawie wszystko to są integracje ASUS. Dwie pozycje to odpadki po instalacji AVG. Natomiast Adobe Flash Player 16 NPAPI to wersja dla nieistniejącego tu Firefoxa, Google Chrome ma wbudowany własny wewnętrzny Adobe Flash i nie ma potrzeby żadnych instalacji. Właściwie to ten Avast też do odinstalowania i zamiany najnowszą wersją. Nie zauważyłam, że tu jest starsza wersja avast! Free Antivirus 9.0.2018. Najnowsza wersja to 2015.10.0.2208: KLIK. Na razie tylko odinstaluj Avast, na końcu ewentualnie przywrócimy go. 3. Uruchom Autoruns i odfajkuj zbędne wpisy startowe: - W karcie Logon: APSDaemon, ISUSPM, Nuance PDF Reader-reminder, QuickTime Task, UpdateLBPShortCut, UpdateP2GoShortCut. - W karcie Scheduled Tasks: AIRecoveryRemind, AppleSoftwareUpdate, ASUS Live Update oraz to powiązane z grą Gohic 2 Noc Kruka. Cześci może nie być, jeśli odinstalujesz niektóre powiązane aplikacje. Po akcji zresetuj system. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Nie szukaj na razie "innych sposobów". Ponów próbę, ale po wyłączeniu wszystkich programów zabezpieczających. Czy na pewno zrobiłeś to: FRST kompletnie nic nie wykonał, nawet nie przeszedł do żadnego usuwania, został zatrzymany na komendzie zabijania procesów i na bank blokują go zabezpieczające aplikacje. Ponowne podejście: Wytnij ze skryptu linię CreateRestorePoint:, bo ona nie działa w innych trybach Windows niż normalny, zapisz plik fixlist.txt. Przejdź w Tryb awaryjny Windows i wykonaj Fix w FRST. Następnie punkt 3 z poprzedniej instrukcji.

Czy internet wrócił na miejsce? I kolejna porcja akcji: 1. Zaloguj się na konto Sol (pełny restart komputera i logowanie na to konto), Solskier nie może być w żadnym wypadku załadowany, bo nie uda się operacja do której zmierzam. Z poziomu Sola uruchom Reprofiler. Rozłącz konto Solskier z obecnym folderem (opcja Detach), następnie połącz to konto z folderem C:\Users\Solskier (opcja Assign). 2. Zresetuj komputer i zaloguj się na konto Solskier (a nie Sol). Zrób nowy log FRST z opcji Scan (zaznacz pola Addition i Shortcut).

Temat zostanie przeniesiony, tylko jeszcze nie wiem do którego działu, czy Windows czy Sieci. Nie ma żadnych oznak infekcji, jedyne co do korekty to puste wpisy po różnych programach oraz deinstalacja Google Chrome (nie dość, że stara wersja, to jeszcze typ "development", co sugeruje, że wcześniej było adware, które wykonało konwersję). Proponowałabym po prostu Przywracanie systemu do czasu, gdy kolega nie grasował w systemie, ale wygląda na to, że to już robiłeś, bo stoi tu "Operacja przywracania". Czyli mam rozumieć, że mimo cofnięcia systemu nadal problem występuje? ==================== Restore Points ========================= 07-02-2015 09:26:50 Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.60610 11-02-2015 19:30:54 Operacja przywracania Druga sprawa, Addition notuje brak zainstalowanych sterowników USB: ==================== Faulty Device Manager Devices ============= Name: Kontroler Uniwersalnej magistrali szeregowej (USB) Description: Kontroler Uniwersalnej magistrali szeregowej (USB) Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. Name: Kontroler Uniwersalnej magistrali szeregowej (USB) Description: Kontroler Uniwersalnej magistrali szeregowej (USB) Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.

Temat przenoszę do działu Windows. Brak jakichkolwiek oznak infekcji. Do sprawdzenia czy problemu nie tworzy ESET Endpoint Antivirus. Testowa deinstalacja.

Chris PC-Lock nadal jest w starcie. Polityki również figurują w stanie niezmienionym. 1. Odinstaluj Chris PC-Lock, a także zbędną staroć getPlus® Download Manager for Corel. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [DisableChangePassword] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [DisableLockWorkStation] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [HideFastUserSwitching] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\Explorer: [NoChangeStartMenu] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\Explorer: [NoLogOff] 1 HKLM-x32\...\Run: [] => [X] Winlogon\Notify\VESWinlogon-x32: VESWinlogon.dll [X] HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Run: [AdobeBridge] => [X] Toolbar: HKU\S-1-5-21-406146429-3267792464-4140239600-1001 -> No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No File Task: {1852DDFE-3CAD-45A2-89E6-DDA4A95983C6} - System32\Tasks\{611CA834-0816-4283-B7D3-45CF4CDE85C3} => pcalua.exe -a "C:\Program Files (x86)\Sony Corporation\VAIO Partners\uninstall.exe" -c -prepareUninstall Task: {57006081-37F3-4B18-93D2-44CC612CF461} - System32\Tasks\{F650D602-A6DA-4238-B046-720C47200602} => pcalua.exe -a C:\dane\pobrane\DCP-J715W-inst-A2-pl.EXE -d "C:\Program Files (x86)\Mozilla Firefox" S3 DFUBTUSB; System32\Drivers\frmupgr.sys [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\TEMP EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz programy zabezpieczające (ESET + KeyScrambler + SpyShelter), by nie zablokowały FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się co się dzieje.

Nie ignoruj problemu przekierowań adware i nie traktuj tego jako rzeczy "podrzędnej", bo trzymanie tego w systemie może doprowadzić do czegoś gorszego (infekcji malware / trojanami). Co do pingu, jak mówię na razie przypuszczalna przyczyna to ten stary ogromny pakiet Trend Micro z firewallem. Jest obecnie w systemie Avast i jest OK. Zostaw go sobie.

Podam kiedy Chrome zainstalować, na razie czyścimy system ze śmieci i szczątków aplikacji. ChampionDeals także ostał się na liście zainstalowanych. Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: Task: {E1CE4C8C-D2A8-4848-AF9F-8ECB1A4EF43F} - System32\Tasks\{9823F287-BD34-40DB-A9A5-3230637A2D18} => pcalua.exe -a "C:\Program Files (x86)\YooutubeAdBlocke\Ueeg3E45njoPSX.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" "" C:\Program Files\SkanerOnline C:\Program Files (x86)\Common Files\Apple C:\Program Files (x86)\be4d59e8-5f8d-4f3f-b07a-cf3ed29c4bf0 C:\Program Files (x86)\IP Address C:\Program Files (x86)\Opera C:\Program Files (x86)\Optimizer Pro 3.16 C:\Program Files (x86)\predm C:\Program Files (x86)\saVer beoox C:\Program Files (x86)\uuNisalesi C:\ProgramData\APN C:\ProgramData\Apple C:\ProgramData\Apple Computer C:\ProgramData\DAEMON Tools Lite C:\ProgramData\E1864A66-75E3-486a-BD95-D1B7D99A84A7 C:\ProgramData\IHProtectUpDate C:\ProgramData\joddnbnfkpjjoodjfjbgkcaijogkdcda C:\ProgramData\Malwarebytes C:\Users\zawias\AppData\Local\Adobe C:\Users\zawias\AppData\Local\Apple C:\Users\zawias\AppData\Local\Apple Computer C:\Users\zawias\AppData\Local\globalUpdate C:\Users\zawias\AppData\Local\Opera Software C:\Users\zawias\AppData\LocalLow\Company C:\Users\zawias\AppData\Roaming\{37E99E86-D615-4B08-937F-F8F935C455F3}_ANZHUANG C:\Users\zawias\AppData\Roaming\Adobe C:\Users\zawias\AppData\Roaming\Apple Computer C:\Users\zawias\AppData\Roaming\DAEMON Tools Lite C:\Users\zawias\AppData\Roaming\EurekaLog C:\Users\zawias\AppData\Roaming\IHlpr C:\Users\zawias\AppData\Roaming\OpenCandy C:\Users\zawias\AppData\Roaming\Opera Software C:\Users\zawias\AppData\Roaming\RHEng C:\Users\zawias\AppData\Roaming\uTorrent C:\Users\zawias\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{e48660ec-534e-42aa-b135-6c7a244c33fb} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4}_is1 /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner,

Ad "napisałeś" = jestem kobietą. Punkt jeden pomyślnie przetworzony i zniknął masowy odczyt "File not signed". W punkcie 2 jak widzę pewne wpisy ominąłeś (prawdopodobnie niewidoczne lub błąd). Niestety punkt 3 nie przeszedł w całości - Fix FRST stanął w połowie. Poprawki będąc zalogowanym na każdym koncie z osobna: NA KONCIE Maciek: 1. Otwórz Notatnik i wklej: CloseProcesses: S2 ATKKeyboardService; C:\WINNT\ATKKBService.exe [X] S1 ASPI32; No ImagePath S2 IBUpdaterService; %SystemRoot%\system32\dmwu.exe [X] S2 IHProtect Service; C:\Program Files\XTab\ProtectService.exe [X] S1 iSafeKrnlMon; \??\C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys [X] S2 NMSAccessU; C:\Documents and Settings\Maciek\Ustawienia lokalne\Temp\{73943CAF-A70B-4B03-929D-37BB997B30EB}\NMSAccessU.exe [X] S3 Video3D; System32\Drivers\Video3D32.sys [X] S2 WindowsMangerProtect; C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] S1 wpnfd_1_10_0_4; system32\drivers\wpnfd_1_10_0_4.sys [X] S3 vtany; \??\C:\WINNT\vtany.sys [X] S3 xhunter1; \??\C:\WINNT\xhunter1.sys [X] FF Plugin: @java.com/DTPlugin -> C:\Program Files\Java\jre6\bin\dtplugin\npDeployJava1.dll No File C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect C:\Documents and Settings\All Users\Menu Start\Programy\Asprate C:\Documents and Settings\Maciek\Dane aplikacji\cache.ini C:\Documents and Settings\Maciek\Dane aplikacji\18013 C:\Documents and Settings\Maciek\Dane aplikacji\BabSolution C:\Documents and Settings\Maciek\Dane aplikacji\BabylonToolbar C:\Documents and Settings\Maciek\Dane aplikacji\omiga-plus C:\Documents and Settings\Maciek\Dane aplikacji\Opera Software C:\Documents and Settings\Maciek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\iLivid.lnk C:\Documents and Settings\Maciek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Torch.lnk C:\Documents and Settings\Maciek\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\Maciek\Menu Start\Programy\iLivid.lnk C:\Documents and Settings\Maciek\Menu Start\Programy\Torch.lnk C:\Documents and Settings\Maciek\Menu Start\Programy\Torch C:\Documents and Settings\Maciek\Menu Start\Programy\SmartTweak Software C:\Documents and Settings\Maciek\Pulpit\Diablo III.lnk C:\Documents and Settings\Maciek\Pulpit\iLivid.lnk C:\Documents and Settings\Maciek\Pulpit\LogMeIn Hamachi.lnk C:\Documents and Settings\Maciek\Pulpit\Tibia MULTI-IP Changer.lnk C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\App Lid C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\iLivid C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Torch C:\Documents and Settings\Rodzice\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Program Files\Common Files\logonInit.dll C:\Program Files\Common Files\userInit.dll C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\Program Files\App Lid C:\Program Files\Asprate C:\Program Files\Java C:\Program Files\MediaBuzzV1 C:\Program Files\MediaPlayerV1 C:\Program Files\MediaViewV1 C:\Program Files\OpenOffice.org C:\Program Files\OpenOffice.org 3 C:\Program Files\Opera C:\Program Files\SeeSimilar C:\Program Files\SmartTweak C:\Program Files\SweetIM C:\Program Files\VideoPlayerV3 C:\Program Files\WebexpEnhancedV1 C:\Program Files\XTab C:\Program Files\Yontoo C:\WINNT\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINNT\system32\ARFC Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\App Lid" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A0C9DF2B-89B5-4483-8983-18A68200F1B4} /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{EA8FA6BE-29BE-4AF2-9352-841F83215EB0} /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\holasearch /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Documents and Settings\All Users\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji" EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. NA KONCIE Rodzice: Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1177238915-790525478-725345543-1005\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://search.babylon.com/?babsrc=HP_ss_wls&mntrId=D014001D6079909B&affID=119982&tt=040713_ctrl&tsp=4936 URLSearchHook: HKU\S-1-5-21-1177238915-790525478-725345543-1005 - (No Name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - No File URLSearchHook: HKU\S-1-5-21-1177238915-790525478-725345543-1005 - (No Name) - {EEE6C35D-6118-11DC-9C72-001320C79847} - No File Toolbar: HKU\S-1-5-21-1177238915-790525478-725345543-1005 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKU\S-1-5-21-1177238915-790525478-725345543-1005 -> No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File FF HKU\S-1-5-21-1177238915-790525478-725345543-1005\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\Documents and Settings\All Users\Dane aplikacji\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi RemoveDirectory: C:\Documents and Settings\Rodzice\Pulpit\Stare dane programu Firefox Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0} /f CMD: dir /a "C:\Documents and Settings\Rodzice\Ustawienia lokalne\Dane aplikacji" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Temat przenoszę do działu diagnostyki infekcji. Używasz starszą wersję FRST, najnowsza jest z dzisiaj. "Hold Page" to nie wirus lecz adware, nabyte na jeden z tych sposobów: KLIK. Przypuszczalnie źródłem był serwis dobreprogramy.pl, ponieważ w Twoim logu są także charakterystyczne modyfikacje adresów Internet Explorer na wp.pl/?src01=dp120141126. W Google Chrome jest rozszerzenie "Hold Page", ale to nie wszystko co się stało z przeglądaką. Są polityki blokujące funkcje oraz adware przekonwertowało całą przeglądarkę Google Chrome z wersji stabilnej do developerskiej. Konieczna reinstalacja całej przeglądarki od zera. A tu problemem może być stara instalacja Trend Micro Titanium Internet Security (posiada zaporę). Notabene: sprawę tylko pogorszyłeś instalując do tego jeszcze Avast - dwa czynne antywirusy w tym samym czasie! Do wdrożenia następujące zadania: 1. Przez Panel sterowania odinstaluj poszkodowaną przeglądarkę oreaz stare wersje i zbędniki: Adobe Flash Player 10 ActiveX, ASUS WebStorage, AsusVibe2.0, Google Chrome, Google Toolbar for Internet Explorer, Java 7 Update 71, Java 8 Update 25 (64-bit), Java 8 Update 25, Trend Micro Titanium Internet Security. Przed deinstalacją Chrome możesz wyeksportować zakładki, ale nic poza tym. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki, resztę doczyści mój skrypt poniżej. 2. Pobierz najnowszą wersję FRST z przyklejonego: KLIK. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141126 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141126 HKU\S-1-5-21-2332097225-1006854446-3240474579-1002\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141126 SearchScopes: HKU\S-1-5-21-2332097225-1006854446-3240474579-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2332097225-1006854446-3240474579-1002 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = SearchScopes: HKU\S-1-5-21-2332097225-1006854446-3240474579-1002 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = Task: {4C4BA809-C70A-4E4B-AE5B-1980088CEF68} - System32\Tasks\{2F959698-8B7C-4850-B089-2F0A54C83BEC} => Chrome.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.18.0.106&LastError=12007 Task: {E2A1682D-1272-4A2A-9FD2-FDB92F5249FD} - System32\Tasks\{D5C1092A-497E-4CA4-81D4-C565A3AA4F2B} => Chrome.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.18.0.106&LastError=12007 S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] C:\Program Files\Google C:\Program Files (x86)\Google C:\ProgramData\{40BF1E83-20EB-11D8-97C5-0009C5020658}.log C:\ProgramData\{C59C179C-668D-49A9-B6EA-0121CCFC1243}.log C:\ProgramData\Google C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iMetin C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Metin2 Ravia.eu C:\Users\Eryk\AppData\Local\CrashDumps C:\Users\Eryk\AppData\Local\Google C:\Users\Eryk\AppData\Roaming\Google C:\Users\Eryk\AppData\Roaming\Microsoft\Windows\SendTo\Xfire Friend.lnk C:\Users\Eryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\iMetin C:\Users\Eryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MKJogo C:\Users\Eryk\Desktop\Pliki z pulpitu\AVG 2014.lnk C:\Users\Eryk\Desktop\Pliki z pulpitu\Metin2 Ravia.eu.lnk Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (by było wiadome co robił).

FRST w ogóle nie wykonał zadania. Po pierwsze błąd resetu root D (nie był w stanie zmienić uprawnień), po drugie niemożność interpretacji komendy listowania uprawnień (to moja literówka, zabrakło jednej literki "s"). Zmiana metody: 1. Pobierz SetACL (na spodzie strony klik w "Administrators: Download the EXE version of SetACL 3.0.6 for 32-bit and 64-bit Windows"). Rozpakuj pobraną paczkę i z folderu x64 przekopiuj plik SetACL.exe do katalogu C:\Windows 2. Zrób nowy fixlist.txt o zawartości: CMD: SetACL -on "D:\" -ot file -actn setprot -op "dacl:p_nc;sacl:p_nc" -rec cont_obj -actn setowner -ownr "n:Administratorzy" -actn ace -ace "n:Administratorzy;p:full" -ace "n:SYSTEM;p:full" -ace "n:Użytkownicy;p:full" -actn clear -clr "dacl,sacl" -actn rstchldrn -rst "dacl,sacl" ListPermissions: D:\ Uruchom Fix w FRST i przedstaw wynikowy fixlog.txt.

Ten Fixlog nie jest kompletny. Poza tym, narzędzie nie mogło przesunąć tego pliku: C:\Documents and Settings\Aga\Pulpit\FRST-OlderVersion\FRST.exe. Ostatni log wskazywał, że FRST działał z C:\ a nie z tego folderu, ale czy przypadkiem do przetwarzania Fix nie uruchomiono starej wersji FRST właśnie z tego folderu? To by wyjaśniało niemożność usunięcia.

Nie nie, tu nie chodzi o Twój błąd. Po prostu czyszczenie na tamtym forum było niekompletne, a dane uzyskane przeze mnie były już bardzo mocno przekształcone. Tam wystąpiła taka sytuacja: usuwano te fałszywe usługi, jednakże one nie zostały tak naprawdę usunięte (mogłam się skapować po tych komunikatach "Unlocked successfully" w nowym logu FRST, co wskazywało, że klucze nadal istnieją). Fixlog wykonał co należy. Teraz już moim zdaniem problem detekcji "antywirusów" powinien zostać w pełni rozwiązany, ale przetestuj to reinstalując ESET. Gdy potwierdzisz, zadam czynności końcowe.

SpyHunter to program wątpliwej reputacji, z czarnej listy! Z daleka od niego. 1. W systemie nadal jest zadanie Harmonogramu tiffeug kierujące na plik CTB-Locker, ale zadanie jest już martwe. Do wykonania będą też dodatkowe działania związane z adware i innymi śmieciami. 2. Wątpię, o ile dysk był tylko podpięty "na sucho", czyli nie uruchamiał się Windows z tego dysku. 3. Zaszyfrowane pliki nie są groźne. 4. Nie ma technicznej możliwości dekrypcji bez uiszczenia opłaty cyberprzestępcom. Możesz oczywiście zachować szyfrowane pliki, ale bardzo wątpliwe, by cokolwiek dało się z nimi zrobić. Te które się "dało odszyfrować" to były prawdopodobnie zupełnie inne infekcje. Takich infekcji szyfrujących jest ogromna ilość i na zachodzie od dawna dramaty, to dopiero teraz o Polskę "lekko" zahaczyło i problem się objawił. Widzę, że próbowałeś ShadowExplorer. To na nic. CTB-Locker opróżnia na zero wszystkie punkty Przywracania systemu (tylko na niektórych systemach czasem błąd i coś się ostaje). Obecnie w systemie jest tylko jeden świeży punkt zrobiony dziś przez system: ==================== Restore Points ========================= 11-02-2015 10:32:11 Windows Update Operacje do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania odinstaluj: Ask Toolbar, Ask Toolbar Updater, AutoUpdate, Viewpoint Media Player, Winamp Toolbar for Firefox. - Symantec nie został dobrze odinstalowany. Z poziomu Trybu awaryjnego zastosuj Norton Removal Tool. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {3423ECCE-86CA-4DBC-8774-8F1D68E5731B} - System32\Tasks\Norton AntiVirus\Norton Error Processor => C:\Program Files (x86)\Norton AntiVirus\Engine\21.6.0.32\SymErr.exe Task: {4AB33E58-B899-4BE5-B4A0-212A7FBFF280} - System32\Tasks\tiffeug => C:\Users\Agata\AppData\Local\Temp\dqeepnc.exe Task: {57D30F7A-0741-4A87-898A-ED947C312CB2} - System32\Tasks\Norton AntiVirus\Norton Error Analyzer => C:\Program Files (x86)\Norton AntiVirus\Engine\21.6.0.32\SymErr.exe Task: {7CCFD004-3403-4860-AE88-4BE585894CA6} - System32\Tasks\{7D07DB52-3A60-4D5A-9745-E2C0347C47CA} => Chrome.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsBing Task: {DBA0212D-A0D4-46DE-94AE-661FA5042C3C} - System32\Tasks\Norton WSC Integration => C:\Program Files (x86)\Norton AntiVirus\Engine\21.6.0.32\WSCStub.exe U1 eabfiltr; No ImagePath S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S3 SymIMMP; system32\DRIVERS\SymIM.sys [X] HKLM-x32\...\Run: [hpqSRMon] => [X] HKLM-x32\...\Run: [WinampAgent] => "C:\Program Files (x86)\Winamp\winampa.exe" HKLM-x32\...\Run: [] => [X] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction SearchScopes: HKLM -> DefaultScope value is missing. SearchScopes: HKLM-x32 -> DefaultScope value is missing. BHO-x32: No Name -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> No File BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll No File Toolbar: HKLM-x32 - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Toolbar: HKU\S-1-5-21-3558287341-2231117270-3972338399-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File C:\Program Files (x86)\Ask.com C:\Program Files (x86)\Java C:\ProgramData\dqacswg.html C:\ProgramData\LuUninstall.LiveUpdate C:\ProgramData\AOL C:\ProgramData\Malwarebytes C:\ProgramData\NCOTEMP C:\ProgramData\Norton C:\Users\Agata\AppData\Local\AOL OCP C:\Users\Agata\AppData\Local\APN C:\Users\Agata\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Agata\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Agata\Desktop\FB\Agnieszka\DSCN6864 - Shortcut.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\blueconnect\User Manual.lnk C:\Users\Agata\Downloads\SpyHunter*.exe C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\System32\Tasks\Norton AntiVirus Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla\Firefox /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. 4. Przenieś wszystkie ważne zaszyfrowane pliki na jakiś nośnik zewnętrzny. Następnie podaj listę zaszyfrowanych plików na C (będziemy usuwać te związane np. z instalacjami aplikacji). Uruchom FRST, w polu Search wklej: *bmzhcib* Klik w Search Files i dostarcz wynikowy Search.txt. Log będzie ogromny. Jeśli nie wejdzie w załącznik, shostuj gdzieś.

Tu należało diagnozować dlaczego system się zawiesza, zamiast stosować obejścia. Np. inwazyjny ESET Smart Security może być przyczyną niemożności poprawnego zamknięcia Windows, ale możliwości jest więcej. Diagnostyka BSOD w punkcie 5 ogłoszenia: KLIK. Po pierwsze, już cytowałam z raportu FRST polityki, wśród nich jest HideFastUserSwitching - to blokada szybkiego przełączania użytkowników, a wtedy nie działa kombinacja Winkey + L. Po drugie, w skład funkcji Chris PC-Lock wchodzi blokowanie klawisza Windows: "WinKey is also disabled when the lock mode is on." Jak mówię, nic tu nie wskazuje na przyczynę w infekcji, bo polityki to mogą być wprowadzene na tysiąc sposobów. Tu polityki wyglądają na wprowadzone przez Chris PC-Lock. MBAM usuwał tylko dwie polityki: NoClose (usunięcie przycisku Zamknij) + DisableTaskMgr (zablokowanie menedżera zadań), reszta cytowana w raporcie FRST nie była w spisie wykrytych przez program. HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [DisableChangePassword] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [DisableLockWorkStation] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [HideFastUserSwitching] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [DisableTaskMgr] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\Explorer: [NoChangeStartMenu] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\Explorer: [NoClose] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\Explorer: [NoLogOff] 1 Tylko wyłączyłeś, czy także sprawdzałeś konfigurację? Poproszę o nowy log z FRST mający obrazować zmiany.