picasso

Podaj mi dodatkowy skan. Pobierz FRST. Do Notatnika wklej: Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden CMD: attrib Q:\$RECYCLE.BIN Folder: Q:\$RECYCLE.BIN ListPermissions: Q:\$RECYCLE.BIN Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Uwaga na przyszłość: nazwy logów FRST wskazują, że je wyciągasz z folderu C:\FRST\Logs - to archiwum logów i tam się głównie nie grzebie, bieżące logi są zawsze nagrywane tam skąd uruchamiasz FRST, czyli tu: C:\Documents and Settings\ja\Moje dokumenty\AntyVir i podobne\FRST. Ten wątek już zostaw. Temat przenoszę do działu Windows XP. Tu nie ma problemów infekcji. W spoilerze masz doczyszczanie szczątków / wpisów pustych i korektę drobniejszych błędów w Dzienniku zdarzeń, ale to tylko poboczne działania nie powiązane z Samsung Kies. Błąd definitywnie pochodzi od wpisu startowego Samsung Kies: ==================== Installed Programs ====================== Samsung Kies (HKLM\...\InstallShield_{758C8301-2696-4855-AF45-534B1200980A}) (Version: 2.0.0.11011_16 - Samsung Electronics Co., Ltd.) Samsung Kies (Version: 2.0.0.11011_16 - Samsung Electronics Co., Ltd.) Hidden MyFreeCodec (HKU\S-1-5-21-3955640507-3710774182-547434246-1006\...\MyFreeCodec) (Version: - ) ==================== Registry (Whitelisted) ================== HKU\S-1-5-21-3955640507-3710774182-547434246-1006\...\Run: [] => C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe [845120 2014-07-25] (Samsung) HKU\S-1-5-21-3955640507-3710774182-547434246-1006\...\Run: [KiesPreload] => C:\Program Files\Samsung\Kies\Kies.exe [1562264 2014-07-25] (Samsung) Czy mam rozumieć, że błąd Kies występuje już od czasu jego instalacji? Czy po wyłączeniu wszystkich osłon Kasperskiego również pojawiają się błędy Kies oraz niemożność jego aktualizacji? Skąd ta wersja była instalowana? Możesz spróbować odinstalować program i załadować najnowszą wersję stąd: KLIK. Swoją drogą ten Kaspersky nie jest nowy, są też ślady zamieszania wersji, gdyż na liście zainstalowanych są dwie pozycje, KIS (odpadek - usuwam w skrypcie FRST) i PURE: ==================== Installed Programs ====================== Kaspersky Internet Security 2013 (HKLM\...\InstallWIX_{560985FB-4B76-4121-9189-7A2CDC7886D6}) (Version: 13.0.1.4190 - Kaspersky Lab) Kaspersky PURE 3.0 (HKLM\...\InstallWIX_{D0702EE9-9DE4-419A-9C6C-4730B1C985BA}) (Version: 13.0.2.558 - Kaspersky Lab) Ale w jakim folderze? Z tej biblioteki mogą korzystasz różne programy do nagrywania.

Dodałeś obrazki. Na obrazku widać, że ścieżka to dysk Q: - czy przypadkiem nie jest to po prostu wirtualny dysk (np. od instalacji Office)? Tu podobny temat: KLIK.

To nie są pliki tylko foldery, nie utworzył ich XP tylko Windows 7. To są Kosze systemu Windows 7 (na Pulpicie to tylko wirtualny skrót) i są tworzone na każdej dostępnej partycji. Foldery można usunąć. Ich usunięcie jest tylko tymczasowe, gdyż system odtworzy te foldery (jakopuste) i zacznie zapełniać, gdy będzie coś usuwane. Kosze systemu XP to X:\RECYCLER (jeśli partycja stoi na NTFS) lub X:\Recycled (jeśli partycja stoina FAT32). Czy na pewno opcja Ukryj chronione pliki systemu operacyjnego jest odznaczona (a nie zaznaczona)?

Spróbuj przypisać uprawnienia do root D: za pomocą FRST. Do Notatnika wklej: Unlock: D:\ ListPermisions: D:\ Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Na razie zostaw deinstalacje w spokoju, uszkodzony 32-bitowy msi.dll uniemożliwia to. Checksur wykrył usterkę manifestów, ale nic nie naprawił, bo brak plików potrzebnych do naprawy: Unavailable repair files: winsxs\manifests\x86_microsoft-windows-packager_31bf3856ad364e35_6.1.7601.18645_none_eff7f4132f17bb15.manifest winsxs\manifests\amd64_microsoft-windows-packager_31bf3856ad364e35_6.1.7601.18645_none_4c168f96e7752c4b.manifest winsxs\manifests\amd64_microsoft-windows-packager_31bf3856ad364e35_6.1.7601.22853_none_4c935dc8009cb27f.manifest winsxs\manifests\x86_microsoft-windows-packager_31bf3856ad364e35_6.1.7601.22853_none_f074c244483f4149.manifest W tej kwestii musisz poczekać, gdyż muszę dopiero wyszukać na swoim systemie pasujące pliki.

Wątek rozbijam, problemy uszkodzeń w plikach są tu: KLIK. Dopiero po uporaniu się z nimi podasz tutaj nowy log FRST.

Jeśli chodzi o czyszczenie z adware, to na koniec: Usuń używane narzędzia z F:\Pobieralnia\Programy narzędziowe\Diagnostyka oraz zastosuj DelFix. Jest tu dużo obiektów startowych. Wstępnie sprawdź czy efekt występuje w stanie tzw. "czystego rozruchu": KLIK.

Czy wskazywałeś konkretną partycję do skanu czy goła komenda "chkdsk /f /r"? Pytam ponownie: co się dzieje przy próbie ręcznego asygnowania uprawnień?

Ale jakich raportów? Przecież w powyższym poście nie podałeś żadnego z logów, o które prosiłam (nowy fixlog.txt i log z AdwCleaner). Również nie odpowiedziałeś na pytanie:

Makinero To nie ten Kosz, to naprawa wirtualnego folderu Kosza, a nie folderu faktycznego Kosza na dysku. Na dodatek tu nie chodzi o Kosz na dysku C (C:\$RECYCLE.BIN) tylko na D (D:\$RECYCLE.BIN), które jest niedostępną partycją: + Oniryczny vs. ==================== Drives ================================ Drive c: (Windows7) (Fixed) (Total:150.63 GB) (Free:71.5 GB) NTFS Drive d: () (Fixed) (Total:314.13 GB) (Free:310.23 GB) NTFS Drive i: (konstruktorzy) (Network) (Total:390.62 GB) (Free:68.64 GB) NTFS Drive j: () (Network) (Total:149.9 GB) (Free:101.9 GB) NTFS Drive k: (biuro) (Network) (Total:488.28 GB) (Free:17.25 GB) NTFS Drive m: () (Network) (Total:930.9 GB) (Free:314.61 GB) Drive n: (normy) (Network) (Total:24.41 GB) (Free:20.66 GB) NTFS Drive o: (dokumentacje) (Network) (Total:488.28 GB) (Free:86.07 GB) NTFS Drive p: (prezentacje) (Network) (Total:97.66 GB) (Free:19.93 GB) NTFS Drive r: (wlodek) (Network) (Total:781.25 GB) (Free:124.67 GB) NTFS Drive t: (firmware) (Network) (Total:48.83 GB) (Free:25.59 GB) NTFS Drive u: (radio) (Network) (Total:195.31 GB) (Free:47.66 GB) NTFS Drive x: (rob) (Network) (Total:488.28 GB) (Free:315.79 GB) NTFS Drive y: (rv-projekty) (Network) (Total:1757.81 GB) (Free:375.67 GB) NTFS Drive z: (zdjecia) (Network) (Total:781.25 GB) (Free:159.01 GB) NTFS ==================== MBR & Partition Table ================== Disk: 0 (Size: 465.8 GB) (Disk ID: D49D271F) Partition 1: (Active) - (Size=1 GB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=150.6 GB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=314.1 GB) - (Type=OF Extended) Jest tu tylko jeden dysk fizyczny. Jeśli proste przyznanie uprawnień dla root partycji D nie działa (czy próbowałeś tego?), to: - Wykonaj chkdsk D: /f /r dla tej partycji - Dostarcz dane pod kątem diagnostyki sprzętowej dysku: KLIK. Taka utrata uprawnień może być tylko skutkiem usterki na innym poziomie.

Czy są jeszcze jakieś problemy w systemie? Na koniec: 1. Skasuj z Pulpitu folder Stare dane programu Firefox. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

przemo22 Nie. System jest niedostępny, to log FRST ze środowiska zewnętrznego RE. W tym środowisku powstaje tylko i wyłącznie jeden log. georgegw Log FRST umieszczam jako załącznik forum. Ten log się nie nadaje do analizy. SFC uruchomione z poziomu zewnętrznego środowiska w ogóle nie nagrywa do CBS.LOG, pomimo że komunikat w oknie o tym mówi. Czy log FRST powstał już po skanie SFC? W raporcie FRST nie są notowane żadne naruszenia tej sfery: ==================== Known DLLs (Whitelisted) ================ Jedyne co widać w skanie FRST, to że była odświeżana określona grupa plików Windows: ==================== One Month Modified Files and Folders ======= 2015-02-08 01:26 - 2014-10-05 18:21 - 00180224 _____ (Microsoft Corporation) C:\Windows\SysWOW64\shdocvw.dll 2015-02-08 01:25 - 2014-11-12 00:41 - 00002048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msxml3r.dll 2015-02-08 01:24 - 2010-11-20 19:24 - 00145920 _____ (Microsoft Corporation) C:\Windows\System32\IPHLPAPI.DLL 2015-02-08 01:24 - 2010-11-20 19:24 - 00029696 _____ (Microsoft Corporation) C:\Windows\System32\Drivers\scfilter.sys 2015-02-08 01:24 - 2009-07-13 16:10 - 00021504 _____ (Microsoft Corporation) C:\Windows\System32\Drivers\ws2ifsl.sys 2015-02-08 01:23 - 2009-07-13 16:08 - 00017920 _____ (Microsoft Corporation) C:\Windows\System32\Drivers\irenum.sys 2015-02-08 01:22 - 2009-07-13 15:26 - 00055376 _____ (Microsoft Corporation) C:\Windows\System32\Drivers\fsdepends.sys Które punkty próbowałeś? ==================== Restore Points ========================= Restore point made on: 2015-02-06 10:03:57 Restore point made on: 2015-02-06 12:18:46 Restore point made on: 2015-02-06 15:00:59 Restore point made on: 2015-02-07 15:00:24 Czy na pewno to bezpośrednie następstwo skanu? W raporcie jest też folder sugerujący uruchomienie sprawdzania struktury plików i obcinanie jakiś danych: 2015-02-07 16:31 - 2015-02-07 16:31 - 00000000 __SHD () C:\found.000

1. Tak, oczywiście EnterDigital należy odinstalować w Rozszerzeniach. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To tyle.

Logi dodane, posty dla porządku sklejam, załączniki OTL usuwam. Oczywiście odpowiadasz mi już w nowym poście. Jest tu znacznie więcej obiektów adware niż wspominasz. Metody nabycia śmieci: KLIK. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj: - Adware: GoForFiles, OffersWizard Network System Driver, Rich Media View, Software Version Updater, VVaUUdix, Yandex.Traffic, youtubeadblocker. - Stare wersje i zbędniki: Acrobat.com, Adobe Reader 9, Akamai NetSession Interface, AVG 2012, AVG Web TuneUp, EXPERTool 7.6, Java 7 Update 60. Jeśli czegoś nie będzie widać lub zwróci błąd, nie szkodzi, kontynuuj. Na razie nic nie instaluj, najnowszą wersję antywirusa wstawisz na szarym końcu. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IHProtect Service; C:\Program Files (x86)\STab\ProtectService.exe [158864 2014-11-10] (TODO: ) R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [485888 2014-12-16] (Fuyu LIMITED) [File not signed] S2 NetHttpService; C:\Windows\SysWOW64\nethtsrv.exe [X] S2 ServiceUpdater; C:\Windows\SysWOW64\netupdsrv.exe [X] S2 TBPanel; No ImagePath S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S1 iSafeNetFilter; \??\C:\Program Files (x86)\iSafe\iSafeNetFilter.sys [X] S1 nethfdrv; \??\C:\Windows\system32\drivers\nethfdrv.sys [X] Task: {1907D87C-BC71-4D1E-B4ED-6BF830D08B16} - System32\Tasks\{BDC2D8D5-810C-4A6D-A1EE-6EE6DADD6AE1} => E:\GTAIV_Patch_V2.exe Task: {497C164B-121B-43F0-98BB-C0E4D95C0EBB} - System32\Tasks\{C8626B99-FC13-4F31-92F4-A57D7AE241C9} => pcalua.exe -a D:\Programy\mp3DC220_www.INSTALKI.pl.exe -d D:\Programy Task: {4D00F012-78DA-4B49-A58F-7F0D4FAF0A8F} - System32\Tasks\AmiUpdXp => C:\Users\Tomek\AppData\Local\7310\a15287.exe Task: {7433A507-37AD-44D0-B78A-3781A8FC4FD5} - System32\Tasks\{AF4A419C-F637-4CE8-9F58-F06E8BA3126B} => pcalua.exe -a "E:\Instal\GTA 4 EfLC\gta4_eflc_spolszczenie(www.ironsquad.pl).exe" -d "E:\Instal\GTA 4 EfLC" Task: {F24C54B6-8057-4945-9213-24E1420B8AD9} - System32\Tasks\{DC55E531-AC04-4C80-AE39-D83A8BD1AE7C} => pcalua.exe -a C:\Users\Tomek\AppData\Roaming\webssearches\UninstallManager.exe -c -ptid=exp Task: C:\Windows\Tasks\AmiUpdXp.job => C:\Users\Tomek\AppData\Local\7310\a15287.exe HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKU\S-1-5-21-3233527848-828038961-4074897931-1000\...\Run: [ASRockOCTuner] => [X] HKU\S-1-5-21-3233527848-828038961-4074897931-1000\...\Run: [zASRockInstantBoot] => [X] HKU\S-1-5-21-3233527848-828038961-4074897931-1000\...\Run: [RGSC] => E:\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent HKU\S-1-5-21-3233527848-828038961-4074897931-1000\...\Run: [Akamai NetSession Interface] => C:\Users\Tomek\AppData\Local\Akamai\netsession_win.exe [4673432 2014-10-29] (Akamai Technologies, Inc.) Startup: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Download.lnk GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376&q={searchTerms} HKU\S-1-5-21-3233527848-828038961-4074897931-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376 HKU\S-1-5-21-3233527848-828038961-4074897931-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376&q={searchTerms} SearchScopes: HKU\S-1-5-21-3233527848-828038961-4074897931-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376&q={searchTerms} SearchScopes: HKU\S-1-5-21-3233527848-828038961-4074897931-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={9D5F4F82-8B23-42B8-ACE6-61E59C3AD5E8}&mid=70881a8c5dfc47d39fe86d16b234493f-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-11-06 11:58:11&v=4.0.0.19&pid=wtu&sg=&sap=dsp&q={searchTerms} BHO: youtubeadblocker -> {52a5d084-65f1-4902-9ae8-5fd4646bb132} -> C:\Program Files (x86)\youtubeadblocker\ul50tWOZZxYWeM.x64.dll () BHO: VVaUUdix -> {915b1d5f-504a-4856-99b6-40a0d063bc3e} -> C:\Program Files (x86)\VVaUUdix\QDLuwXOmL95Dnz.x64.dll () BHO-x32: Media Buzz -> {06fa1323-e27c-46c2-9b4e-c1f4e035242d} -> C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode2767\ie\MediaBuzzV1mode2767.dll ()\ BHO-x32: Rich Media View -> {bf22bdc1-e4dc-47d4-8159-dd7bb6d11d5c} -> C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release881\ie\RichMediaViewV1release881.dll () FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\webssearches.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\wtu-secure-search.xml FF HKLM-x32\...\Firefox\Extensions: [{1E73965B-8B48-48be-9C8D-68B920ABC1C4}] - C:\Program Files (x86)\AVG\AVG2012\Firefox4 FF HKLM-x32\...\Firefox\Extensions: [{F53C93F1-07D5-430c-86D4-C9531B27DFAF}] - C:\Program Files (x86)\AVG\AVG2012\Firefox\DoNotTrack FF HKLM-x32\...\Firefox\Extensions: [ext@MediaBuzzV1mode2767.net] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode2767\ff FF HKLM-x32\...\Firefox\Extensions: [ext@RichMediaViewV1release881.net] - C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release881\ff FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\nnxc2hsn.default-1413221507592\extensions\faststartff@gmail.com C:\Program Files (x86)\Google C:\Program Files (x86)\MediaBuzzV1 C:\Program Files (x86)\RichMediaViewV1 C:\Program Files (x86)\STab C:\Program Files (x86)\VVaUUdix C:\Program Files (x86)\Yandex.Traffic C:\Program Files (x86)\youtubeadblocker C:\ProgramData\{c457b742-fa38-e47d-c457-7b742fa3dd0b} C:\ProgramData\7791935601182018279 C:\ProgramData\APN C:\ProgramData\Google C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\GoForFiles C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoMapa C:\Users\Tomek\AppData\Local\TempjP1704.html C:\Users\Tomek\AppData\Local\TempXy1704.html C:\Users\Tomek\AppData\Local\user_data.ini C:\Users\Tomek\AppData\Local\7310 C:\Users\Tomek\AppData\Local\Google Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Tomek\AppData\Local CMD: dir /a C:\Users\Tomek\AppData\LocalLow CMD: dir /a C:\Users\Tomek\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia Adblock Plus i Battlefield Play4Free trzeba będzie przeinstalować. 4. Napraw niepoprawnie wyczyszczony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Nie ma żadnych oznak infekcji wirusów czy trojanów mogących "spowalniać komputer". Jeśli system wolno działa, przyczyna jest inna, np. antywirus ESET jest tu mocno podejrzany, działa też w tle zintegrowany Windows Defender (przy zewnętrznych rozwiązaniach powinien zostać wyłączony). W Dzienniku zdarzeń są też błędy związane z .NET Framework oraz sugerujące potrzebę aktualizacji sterowników sprzętowych i/lub BIOS: Do czyszczenia są tylko odpadki adware oraz puste wpisy (w tym po infekcji VBKlip/Banatrix), ale to nie ma żadnego związku ze spowolnieniem, nie ten poziom modyfikacji. Pod tym kątem: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-200585039-1766280871-1148817938-1000_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\Users\Kacper\AppData\Local\Temp\1B8f64d\temp\Eset Nod32 Keygen.exe No File Task: {7B208C9C-4AB4-457C-B671-C5FFD6732E53} - System32\Tasks\SYSTEM => C:\ProgramData\wmc.exe CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=hp&ts=1420378772&from=wpc&uid=ST340014A_5JV0KKEN CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hp&ts=1420378772&from=wpc&uid=ST340014A_5JV0KKEN" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1420378772&from=wpc&uid=ST340014A_5JV0KKEN HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1420378772&from=wpc&uid=ST340014A_5JV0KKEN&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1420378772&from=wpc&uid=ST340014A_5JV0KKEN HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1420378772&from=wpc&uid=ST340014A_5JV0KKEN&q={searchTerms} HKU\S-1-5-21-200585039-1766280871-1148817938-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1420378772&from=wpc&uid=ST340014A_5JV0KKEN HKU\S-1-5-21-200585039-1766280871-1148817938-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1420378772&from=wpc&uid=ST340014A_5JV0KKEN SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1420378772&from=wpc&uid=ST340014A_5JV0KKEN&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1420378772&from=wpc&uid=ST340014A_5JV0KKEN&q={searchTerms} SearchScopes: HKU\S-1-5-21-200585039-1766280871-1148817938-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1420378772&from=wpc&uid=ST340014A_5JV0KKEN&q={searchTerms} S3 athur; system32\DRIVERS\athur.sys [X] S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X] S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] S3 GMSIPCI; \??\E:\INSTALL\GMSIPCI.SYS [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad32v.sys [X] S3 vtany; \??\C:\Windows\vtany.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] C:\Program Files\Mozilla Firefox C:\ProgramData\.windows.sys C:\ProgramData\pcondnjfghffncdllpenghlcceoflpab C:\Users\Kacper\AppData\Local\Chromium C:\Users\Kacper\AppData\Local\CrashRpt C:\Users\Kacper\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Kacper\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Kacper\AppData\Roaming\SoftwareUpdater Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VOPackage /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f CMD: sc config WinDefend start= demand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: - Ustawienia > karta Rozszerzenia > sprawdź czy nie ma jakiegoś podejrzanego rozszerzenia (na dysku jest ślad takowego: C:\ProgramData\pcondnjfghffncdllpenghlcceoflpab), a znalezione odinstaluj. - Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszsrzenia zostaną wyłączone (ponownie włącz ręcznie). 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Temat przeniosłam do właściwego działu (diagnostyki infekcji). Uwaga na początek na temat pobranych: - HijackThis: ten archaiczny program nie nadaje się w ogóle do analizy systemu 64-bit, jest 32-bitowym narzędziem bez dostosowań pod kątem systemów 64-bit i pokazuje głupoty (dużo fałszywych "file is missing" z powodu niemożności odczytania natywnie 64-bitowej części). Do lamusa, bezużyteczny na systemach 64-bit. - Programy były pobierane z serwisu pośredniego Instalki.pl, a nie ze stron domowych. Drobne poprawki do wykonania pod kątem pustych wpisów: 1. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-2108473784-4053231178-3037657491-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Bartek\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2108473784-4053231178-3037657491-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Bartek\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2108473784-4053231178-3037657491-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Bartek\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2108473784-4053231178-3037657491-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Bartek\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2108473784-4053231178-3037657491-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Bartek\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File Task: {1EEC8AC5-E315-49A2-842F-219BD0B6D65E} - System32\Tasks\{6A50B664-7AE6-4CE1-8471-5C56785339B9} => pcalua.exe -a "C:\Program Files (x86)\SubEdit-Player\unins000.exe" -d "C:\Program Files (x86)\SubEdit-Player"\ Task: {737E9CB9-05BD-4F27-8723-975BFFC38AC2} - System32\Tasks\{20BE17C8-CE32-4D81-8E52-766AE775EABA} => pcalua.exe -a C:\Sterowniki\DW1703_W7_A00_Setup-W1GV9_ZPE.exe -d C:\Sterowniki Task: {841714DD-F8FB-4D8A-9BDE-28D68623AAFD} - System32\Tasks\e-pity2012_styczen => C:\Program Files (x86)\e-file\e-pity2012\signxml.exe Task: {9D69B992-85E2-48F6-9161-CBDAFEBBF507} - System32\Tasks\{CA6F46ED-6323-4807-8A1B-542314A52DD0} => pcalua.exe -a C:\Users\Bartek\AppData\Local\Temp\Temp1_fm2008_802_boxed-pc.zip\fm2008_802_boxed-pc.exe Task: {B931DC99-0C48-4EF6-B992-EC45947A8FF8} - System32\Tasks\e-pity2012_kwiecien => C:\Program Files (x86)\e-file\e-pity2012\signxml.exe Task: {D7C93204-8425-49F1-B5C9-FC836AFB6D91} - System32\Tasks\{AD523C49-BA3D-41A7-A93C-59CB885A2F0B} => pcalua.exe -a C:\Sterowniki\CONEXANT_D400-USB-MODEM_RY5VP_A02_SETUP_ZPE.exe -d C:\Sterowniki C:\Users\Bartek\Downloads\*(*)-dp*.exe C:\Users\Bartek\Downloads\*INSTALKI.pl.exe RemoveDirectory: C:\ProgramData\Kaspersky Lab Setup Files Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

Na wszelki wypadek zrób nowy log FRST (zaznacz pole Addition), by sprawdzić czy na pewno zadanie zostało skasowane na poziomie rejestru.

To już wszystko. Temat rozwiązany. Zamykam.

Należy doczyścić system z resztek po infekcji i innych drobnostek (szczątki po usuniętych rogramach). 1. Tapetę należy ręcznie sobie ustawić w opcjach, wybierając dowolny niezaszyfrowany plik. 2. Otwórz Notatnik i wklej w nim: S3 catchme; \??\C:\Users\Serge_2\AppData\Local\Temp\catchme.sys [X] Task: {6C460D55-C1F3-4D04-A50B-9BBF50B9A558} - System32\Tasks\avastBCLRestartS-1-5-21-929553786-925988434-3115227362-1002 => Chrome.exe CHR HKLM\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - No Path CHR HKU\S-1-5-21-929553786-925988434-3115227362-1002\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-929553786-925988434-3115227362-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141212 HKU\S-1-5-21-929553786-925988434-3115227362-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-929553786-925988434-3115227362-1002\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141212 DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} http://download.eset.com/special/eos/OnlineScanner.cab DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.8.0/jinstall-1_8_0_25-windows-i586.cab DPF: {CAFEEFAC-0018-0000-0025-ABCDEFFEDCBA} http://java.sun.com/update/1.8.0/jinstall-1_8_0_25-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.8.0/jinstall-1_8_0_25-windows-i586.cab C:\Program Files\MyPC Backup C:\ProgramData\jcmvxcc.html C:\ProgramData\LUUnInstall.LiveUpdate C:\ProgramData\AVAST Software C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acer GameZone C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AcerSystem C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games C:\Users\Serge_2\AppData\Roaming\Dropbox C:\Users\Serge_2\AppData\Roaming\TeamViewer C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension RemoveDirectory: C:\Qoobox CMD: for /d %f in (C:\ProgramData\Microsoft\Windows\GameExplorer\{*}) do rd /s /q "%f" Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Dołącz ten plik. 3. Podaj pełną listę zaszyfrowanych plików z dysku C. Uruchom FRST ponownie, w polu Search wklej: *vzrufdd* Klik w Search Files i dostarcz wynikowy log Search.txt.

Dysk D samodzielnie opróżnisz z zakodowanych plików. Natomiast dysk C adresuję w poniższym skrypcie. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: del /q /s C:\*scqwxua* Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Wszystko zrobione. Na koniec: Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz przeinstaluj wtyczkę Adobe Flash Player 16 NPAPI: KLIK. I z daleka od wątpliwych skanerów z czarnej listy typu SpyHunter czy YAC (Yet Another Cleaner).

Fix FRST pomyślnie wykonany. Wyszukiwanie rejestru wskazuje, że jeszcze drobne szczątki SpeedBit się ostały. Kolejna porcja działań: 1. Do Notatnika wklej: Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /v Tabs /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\EUPP\DSP" /v DoNotAskAgain /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DoNotAskAgain /f Reg: reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "C:\Program Files (x86)\Common Files\SpeedBit\SBUpdate\SBUpdate.exe" /f Reg: reg delete HKCU\Software\SpeedBit /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Zainstaluj najnowszą wersję Firefox. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

Skoro skaner nie umie tego usunąć, spóbuj ręcznie z poziomu menedżera plików Kasperskiego (na desktopie płyty jest do niego skrót).

Wszystko zrobione. Problem SpeedBit powinien ustąpić, ale jeszcze nie skończyłyśmy i kolejne poprawki pod kątem odinstalowanych programów: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście po kolei podane poniżej obiekty szczątkowe od Nokia > Dalej. MSVC80_x64_v2 (Version: 1.0.3.0 - Nokia) Hidden MSVC80_x86_v2 (x32 Version: 1.0.3.0 - Nokia) Hidden MSVC90_x64 (Version: 1.0.1.2 - Nokia) Hidden MSVC90_x86 (x32 Version: 1.0.1.2 - Nokia) Hidden 2. Do Notatnika wklej: S1 StarOpen; C:\Windows\SysWow64\Drivers\StarOpen.sys [5632 2006-07-24] () Task: {68B86A6E-2E4E-4ED3-AFA1-96CFF6226578} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2913347843-1076875873-1493724754-1000UA => C:\Users\Emil\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-03-09] (Facebook Inc.) Task: {96EBAD8E-99CB-44B9-B1C0-47EDE12E192A} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2913347843-1076875873-1493724754-1000Core => C:\Users\Emil\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-03-09] (Facebook Inc.) Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2913347843-1076875873-1493724754-1000Core.job => C:\Users\Emil\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2913347843-1076875873-1493724754-1000UA.job => C:\Users\Emil\AppData\Local\Facebook\Update\FacebookUpdate.exe ShellIconOverlayIdentifiers: [iDM Shell Extension] -> {CDC95B92-E27C-4745-A8C5-64A52A78855D} => C:\Users\Emil\AppData\Local\Temp\HZ$D.981.192\HZ$D.981.193\crack\IDMShellExt64.dll No File C:\Program Files (x86)\NAPI-PROJEKT C:\Program Files (x86)\Origin Games C:\Program Files (x86)\Super Mario Bros C:\Program Files (x86)\Winamp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin C:\ProgramData\NokiaInstallerCache C:\ProgramData\PC Suite C:\ProgramData\Sun C:\Users\Emil\AppData\Local\Facebook C:\Users\Emil\AppData\Local\Nokia C:\Users\Emil\AppData\Roaming\Origin C:\Users\Emil\AppData\Roaming\TS3Client C:\Windows\SysWow64\Drivers\StarOpen.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt - pokaż go. 3. Uruchom FRST, w polu Search wklej: speedbit Klik w Search Registry i dostarcz wynikowy log.