picasso

Fix wykonany. Na koniec: 1. Skasuj folder C:\Windows\erdnt (kopia rejestru utworzona przez ComboFix0. 2. Zastosuj DelFix oraz uzupełnij najnowszą Java (o ile potrzebna): KLIK.

Ten PriceFountain został nabyty z serwisu dobreprogramy.pl podczas pobierania uTorrent, bo na dysku widać plik "Asystenta pobierania" tego serwisu i zaraz po tym pojawienie się adware. Podsuń użytkownikowi komputera do czytania: KLIK. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj adware: Jump Flip, Mobogenie, PriceFountain (remove only), Skype Packages i Update for PriceFountain. Jeśli czegoś nie będzie widać lub zwróci błąd, nie szkodzi. Potem poprawimy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR StartupUrls: Default -> "hxxp://rts.dsrlte.com?affID=na" CHR DefaultSearchKeyword: Default -> yahoo.com CHR DefaultNewTabURL: Default -> http://search.yahoo.com/?fr=hp-ddc-bd-tab&type=616_pr__alt__ddc_dsssyctab_bd_com CHR HKLM-x32\...\Chrome\Extension: [debmkdhphjfcbaomiknnceliiclnpmfg] - C:\Program Files (x86)\Jump Flip\debmkdhphjfcbaomiknnceliiclnpmfg.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [idhngdhcfkoamngbedgpaokgjbnpdiji] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Chrome\Ext\realdownloader.crx [2013-08-14] HKU\S-1-5-21-2592862549-595905708-2507062346-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na SearchScopes: HKU\S-1-5-21-2592862549-595905708-2507062346-1001 -> DefaultScope {96508140-5FAC-4624-9FE9-08A58E5FBFE5} URL = SearchScopes: HKU\S-1-5-21-2592862549-595905708-2507062346-1001 -> {6197D26D-FF62-4C7C-A531-9902C633C558} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=842 SearchScopes: HKU\S-1-5-21-2592862549-595905708-2507062346-1001 -> {96508140-5FAC-4624-9FE9-08A58E5FBFE5} URL = DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab Task: {07FAFA7A-AB21-4458-8095-4C55B5DE12CF} - System32\Tasks\Price Fountain => C:\Users\sławek\AppData\Roaming\PriceFountain\UpdateProc\UpdateTask.exe [2015-01-27] () Task: {9714D8FC-B5C8-4725-89C5-10C833CFB9B4} - System32\Tasks\{46511A2A-A716-403F-9DB8-E8131D2B6156} => pcalua.exe -a "C:\Program Files (x86)\3G HSUPA Modem\UNWISE.EXE" -d "C:\Program Files (x86)\3G HSUPA Modem" -c /W6 "C:\Program Files (x86)\3G HSUPA Modem\INSTALL.LOG" Task: {9F17114C-4088-45F0-BA30-78E93B2C6BE8} - System32\Tasks\WLANStartup => C:\Program Files (x86)\Samsung\Easy Settings\WLANStartup.exe Task: C:\WINDOWS\Tasks\Price Fountain.job => C:\Users\SAWEK~1\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE C:\Program Files (x86)\Jump Flip C:\Program Files (x86)\Mobogenie C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\2ce8e63b-5e53-4efc-b4cf-6a6e52e017a4 C:\ProgramData\APN C:\Users\sławek\AppData\Local\genienext C:\Users\sławek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\sławek\AppData\Local\Google\Chrome\User Data\Default\Local storage\*localstorage* C:\Users\sławek\AppData\Local\PriceFountain C:\Users\sławek\AppData\Roaming\newnext.me C:\Users\sławek\AppData\Roaming\PriceFountain C:\Users\sławek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mobogenie.lnk C:\Users\sławek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\sławek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PriceFountain C:\Users\sławek\Downloads\*(*)-dp*.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v NextLive /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Yahoo! Search" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "mobilegeni daemon" /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: sc config "Mobile Partner. RunOuc" start= disabled CMD: sc config "PLAY ONLINE. RunOuc" start= disabled EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware Jump Flip, a przy okazji RealDownloader (on jest prawdopodobnie i tak zablokowany przez Chrome). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy to fałszywe Yahoo oraz niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Jeśli chodzi o modyfikację strzałek skrótów, to jest omawiane w tym temacie: KLIK. W owym momencie sprawdzany przeze mnie Sunrise, choć w ogóle tu nie polecany, tworzył poprawną edycję. I nie tu leży problem, gdyż: Popatrz dokładnie na obrazek, on mówi co jest nie tak: explorer.exe = Wydawca: Nieznany. Wygląda na to, że posunąłeś się w Sunrise Seven znacznie dalej i użyłeś prawdopodobnie funkcji wymiany przycisku Start, co edytuje plik explorer.exe. Plik utracił sygnaturę cyfrową producenta. Mówi o tym zarówno zrzut ekranu, jak i log z FRST: ==================== Bamital & volsnap Check ================= C:\Windows\explorer.exe [2010-11-21 04:24] - [2013-09-22 10:45] - 2872320 ____A (Microsoft Corporation) A6104413A0E1276878ABFFB3D6B10A12 Przywróć oryginalny sygnowany plik. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scanfile=C:\Windows\explorer.exe Jeśli komunikat potwierdzi przywrócenie oryginału, zresetuj system i przetestuj czy nadal są problemy. PS. Do usunięcia czynny sterownik adware, "downloadery" portalowe oraz puste wpisy. W spoilerze instrukcja. I przeczytaj czego unikać: KLIK.

Przestarzały OTL nie jest tu brany pod uwagę. Dostosuj się do zasad działu jakie logi są tu obowiązkowe: KLIK. Wręcz przeciwnie, problem byłby gdybyś się podpiął (kosz). Zasady mówią wyraźnie, że tu jest zakaz podpinania się pod cudze tematy i każdy ma mieć osobny temat.

Wszystko zrobione, więc czekam na wyniki czy nadal są jakieś problemy i przekierowania. Na teraz drobny skrypt końcowy. Do Notatnika wklej: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: del /q C:\Windows\system32\npDeployJava1.dll CMD: del /q C:\Windows\system32\deployJava1.dll CMD: del /q C:\Users\Aniut\Downloads\f0o8ssyv.exe CMD: C:\Users\Aniut\Downloads\ComboFix.exe /uninstall Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Ostatnia komenda to deinstalacja ComboFix.

W porządku. Na koniec zastosuj DelFix, wyczyść foldery Przywracania systemu oraz odinstaluj wszystkie Java zastępując najnowszą wersją: KLIK.

Puste okno Kopii zapasowej sugeruje jedno z dwóch: albo nie działa usługa Kopii zapasowej (wyłączona lub usunięta), albo uszkodzone moduły interfejsu (wyrejestrowane lub brak pliku). Podaj informacje wstępne. Uruchom SystemLook (jeśli system 32-bit) lub SystemLook x64 (jeśli system 64-bit) i do okna wklej: :reg HKLM\SOFTWARE\Classes\CLSID\{B98A2BEA-7D42-4558-8BD1-832F41BAC6FD} /s HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\{B98A2BEA-7D42-4558-8BD1-832F41BAC6FD} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsBackup /s HKLM\SYSTEM\CurrentControlSet\services\SDRSVC /s :filefind sdcpl.dll sdrsvc.dll Klik w Look i przedstaw wynikowy raport.

Jeśli podczas usuwania otrzymałeś komunikat o usuwaniu "system-wide", to do Notatnika wklej: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe] @="exefile" "Content Type"="application/x-msdownload" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\PersistentHandler] @="{098f2470-bae0-11cd-b579-08002b30bfeb}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile] @="Application" "EditFlags"=hex:38,07,00,00 "FriendlyTypeName"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,\ 00,6f,00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,\ 32,00,5c,00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,\ 00,2c,00,2d,00,31,00,30,00,31,00,35,00,36,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\DefaultIcon] @="%1" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open] "EditFlags"=hex:00,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command] @="\"%1\" %*" "IsolatedCommand"="\"%1\" %*" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\ResourceHacker] @="Open using Resource &Hacker" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\ResourceHacker\command] @="\"C:\\Program Files\\Resource Hacker\\reshacker.exe\" \"%1\"" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\runas] "HasLUAShield"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\runas\command] @="\"%1\" %*" "IsolatedCommand"="\"%1\" %*" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\runasuser] @="@shell32.dll,-50944" "Extended"="" "SuppressionPolicyEx"="{F211AA05-D4DF-4370-A2A0-9F19C09756A7}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\runasuser\command] "DelegateExecute"="{ea72d00e-4960-42fa-ba92-7792a7944c1d}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shellex] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shellex\ContextMenuHandlers] @="Compatibility" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shellex\ContextMenuHandlers\Compatibility] @="{1d27f844-3a1f-4410-85ac-14651078412d}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shellex\DropHandler] @="{86C86720-42A0-1069-A2E8-08002B30309D}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shellex\PropertySheetHandlers] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shellex\PropertySheetHandlers\PifProps] @="{86F19A00-42A0-1069-A2E9-08002B30309D}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page] @="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Uruchom plik przez dwuklik, zatwierdż import i zresetuj system.

Fix w FRST w ogóle nie wykonany - otwórz plik Fixlog, jest kompletnie pusty, nic nie wkleiłeś do Notatnika. Do powtórzenia punkt 2 oraz 4 (ale log z GMER już nie jest potrzebny).

- Jeśli chodzi o budowę Chrome widzianą w raportach, to pozornie nic nie widać w konfiguracji, ale posiadasz świeżo dodane nieoficjalne rozszerzenie Silverlight for Chrome (to nie jest rozszerzenie Microsoftu). Przeczytaj podobny temat, gdzie sugerowałam, że to rozszerzenie może być problemem: KLIK. - Jeśli chodzi o infekcję ogólną, to owszem jest - ładuje się Bitcoin miner ze strumieni NTFS podczepionych pod katalog C:\temp, towarzyszy tego też taki długi wpis startowy "AAAAAAA...". Przy okazji, log z GMER wykazuje dziwną sprawę, tzn. ukryte uruchomione procesy jakoby "Ad-Aware Antivirus", choć nie ma śladów tej instalacji. - YAC (Yet Another Cleaner) to niepożądany podejrzany program: KLIK. - O jakich folderach mówisz? Raportu z ComboFix brak - nie jest widoczny plik C:\ComboFix.txt, za to dużo innych komponentów ComboFix. Jest za to folder C:\AdwCleaner - czy tam nie ma jakiś logów? Działania wstępne: 1. Odinstaluj stare wersje: Adobe Flash Player 11 ActiveX, Java 7 Update 25 (64-bit), Java 7 Update 45 (64-bit). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-4088076161-2145778700-1263544819-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-4088076161-2145778700-1263544819-1000\...\Run: [KiesAirMessage] => C:\Program Files (x86)\Samsung\Kies\KiesAirMessage.exe -startup HKU\S-1-5-21-4088076161-2145778700-1263544819-1000\...\Run: [AVG-Secure-Search-Update_0913b] => C:\Users\Aniut\AppData\Roaming\AVG 0913b Campaign\AVG-Secure-Search-Update-0913b.exe /PROMPT --mid d7d99be1fdb047d3b0af416272bd952b-7b84e138c2dd6d732339f8a915c00ffe944619fe --CMPID 0913b HKU\S-1-5-21-4088076161-2145778700-1263544819-1000\...\Run: [AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA] => 1 HKU\S-1-5-21-4088076161-2145778700-1263544819-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-4088076161-2145778700-1263544819-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Toolbar: HKU\S-1-5-21-4088076161-2145778700-1263544819-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File Task: {B992F898-14DC-46B6-919B-FCA513BA9082} - System32\Tasks\{63A47BC4-989C-42B1-87A6-BEACADDAEABA} => pcalua.exe -a "D:\fotografia\Nero 12 Platinum 12.0.020 + Patch + Key [EC]\Nero 12 Platinum 12.0.020 + Patch + Key [EC]\Patch + Key\Nero-12.0.02000_trial .exe" -d "D:\fotografia\Nero 12 Platinum 12.0.020 + Patch + Key [EC]\Nero 12 Platinum 12.0.020 + Patch + Key [EC]\Patch + Key" Task: C:\Windows\Tasks\0414bUpdateInfo.job => C:\ProgramData\Avg_Update_0414b\0414b_AVG-Secure-Search-Update.exe S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 NDSPCIIO; \??\C:\Windows\system32\DRIVERS\NDSPCIIO64.SYS [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\temp C:\Program Files\Common Files\Lavasoft C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Anki.lnk C:\Users\Aniut\AppData\Local\Google\Chrome\User Data\Profile 1\Preferences C:\Users\Aniut\AppData\Local\Google\Chrome\User Data\Profile 1\Local Storage\*localstorage* C:\Users\Aniut\AppData\Roaming\LavasoftStatistics Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Silverlight for Chrome Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale pozostałe rozszerzenia zostaną wyłączone (aktywuj ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) + GMER. Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany oraz objaśnij jakie foldery Cię niepokoją.

OK, wszystko wykonane. Poprawki na szczątki adware oraz odinstalowanych programów: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File Task: {BDB2B3A3-7F16-4428-8709-1A73BCFAEAD9} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {DE88743F-230D-46E2-8BFA-817697F55363} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe C:\extensions.ini C:\Program Files\Conduit C:\Program Files\Google C:\Program Files (x86)\AmiExt C:\Program Files (x86)\Common Files\mcafee C:\Program Files (x86)\ESTsoft C:\Program Files (x86)\GreenTree Applications C:\Program Files (x86)\Java C:\Program Files (x86)\McAfee C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Safeweb C:\Program Files (x86)\SNT C:\Program Files (x86)\SweetIM C:\Program Files (x86)\Yontoo C:\ProgramData\398cb68f6355a46d C:\ProgramData\Babylon C:\ProgramData\BitGuard C:\ProgramData\ESTsoft C:\ProgramData\Google C:\ProgramData\InstallMate C:\ProgramData\MAGIX C:\ProgramData\McAfee C:\ProgramData\Movavi C:\ProgramData\Mozilla C:\ProgramData\Nero C:\ProgramData\NeWSaver C:\ProgramData\Oracle C:\ProgramData\Partner C:\ProgramData\RHelpers C:\ProgramData\Safeweb C:\ProgramData\Skype C:\ProgramData\SNT C:\ProgramData\Sun C:\ProgramData\SuperbApp C:\ProgramData\SweetIM C:\ProgramData\Systweak C:\ProgramData\Tarma Installer C:\ProgramData\TEMP C:\ProgramData\TuneUp Software C:\ProgramData\Updater C:\ProgramData\Websteroids C:\ProgramData\WildTangent C:\ProgramData\YoutubeAdblocker C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java C:\Users\Toshiba\AppData\Local\avgchrome C:\Users\Toshiba\AppData\Local\cache C:\Users\Toshiba\AppData\Local\Comodo C:\Users\Toshiba\AppData\Local\ESET C:\Users\Toshiba\AppData\Local\genienext C:\Users\Toshiba\AppData\Local\Mobogenie C:\Users\Toshiba\AppData\Local\Movavi C:\Users\Toshiba\AppData\Local\Mozilla C:\Users\Toshiba\AppData\Local\SwvUpdater C:\Users\Toshiba\AppData\Local\Torch C:\Users\Toshiba\AppData\LocalLow\Sun C:\Users\Toshiba\AppData\LocalLow\Temp C:\Users\Toshiba\AppData\Roaming\Ableton C:\Users\Toshiba\AppData\Roaming\AdvertismentImages C:\Users\Toshiba\AppData\Roaming\Babylon C:\Users\Toshiba\AppData\Roaming\Best Service C:\Users\Toshiba\AppData\Roaming\ESET C:\Users\Toshiba\AppData\Roaming\ESTsoft C:\Users\Toshiba\AppData\Roaming\File Scout C:\Users\Toshiba\AppData\Roaming\Google C:\Users\Toshiba\AppData\Roaming\LavasoftStatistics C:\Users\Toshiba\AppData\Roaming\Mozilla C:\Users\Toshiba\AppData\Roaming\newnext.me C:\Users\Toshiba\AppData\Roaming\OpenCandy C:\Users\Toshiba\AppData\Roaming\SendSpace C:\Users\Toshiba\AppData\Roaming\Skype C:\Users\Toshiba\AppData\Roaming\Systweak C:\Users\Toshiba\AppData\Roaming\TuneUp Software C:\Users\Toshiba\AppData\Roaming\ValueApps C:\Users\Toshiba\AppData\Roaming\Yahoo! C:\Users\Toshiba\AppData\Roaming\YourFileDownloader C:\Users\Toshiba\Downloads\*eset*.exe CMD: for /d %f in (C:\ProgramData\{*}) do rd /s /q "%f" CMD: for /d %f in (C:\Users\Toshiba\AppData\LocalLow\{*}) do rd /s /q "%f" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. tym razem nie będzie restartu. Zaprezentuj wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner. I opisz co się aktualnie dzieje w systemie, czy są jakieś problemy / błędy.

Zapomniałam jeszcze napisać: dorzuć plik fixlog.txt, który powstał podczas poprawkowego podejścia z Fix FRST. Plik powinien być w C:\Users\Toshiba\Downloads\FRST64 (nadpisanie poprzedniego pliku). Poza tym, dodaj mi jeszcze drobny skan dodatkowy, tzn. uruchom FRST, w polu Search wpisz nazwę extensions.ini i klik w Search Files. Wystarczy uruchomić Menedżer procesów i zabić proces FRST.

Upłynęło dużo czasu, proszę pobierz najnowszy FRST i zrób nowe raporty. Owszem, były widoczne śmieci w poprzednim, ale to odpadki. Ale mam od razu inne pytanie: czy przypadkiem nie skompresowałeś hurtowo istotnych lokalizacji? Masa obiektów w logu ma atrybut C - Compressed: Kompresja ważnych lokalizacji, do których często następuje dostęp, może mieć skutki uboczne w postaci spowolnionej operatywności.

Mogliśmy jest powalczyć z błędami, ale uważam że podjęte konkretne całościowe działania z Recovery i formatem to znacznie lepszy pomysł. Infekcje były usunięte dobrze, ale nie ich wszystkie skutki (szyfrowanie). Na koniec: 1. Dla bezpieczeństwa zmień wszystkie dane logowania w serwisach (bank, poczta, serwisy społecznościowe, etc). 2. Jeśli chodzi o zabezpieczanie, to dowolny antywirus z tych popularnych będzie OK, byle nie niszowe mało znane rozwiązania lub "chińskie" produkcje. Natomiast możesz się zainteresować dodatkowymi metodami zabezpieczeń: - CryptoPrevent (dostępna wersja darmowa): specjalizacja w ochronie przed infekcjami szyfrującymi, na bazie polityk oprogramowania (utylizacja funkcji wbudowanej w Windows). - Malwarebytes Anti-Exploit (dostępna wersja darmowa): w wersji darmowej ochrona przeglądarek oraz Java przed eksploitami / atakami. - SandBoxie (trial 30-dni, z programu nadal można korzystać po, ale nagscreen): wirtualne środowisko, piaskownica.

Fix wykonany. Skasuj G:\FRTST. Następnie zastosuj DelFix, usuń też wszystkie Java i zastąp najnowszą wersja: KLIK.

Na zakończenie: 1. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zainstaluj IE8. Wszystko rozpisane tu: KLIK. 2. Proponuję też dorzucić do G Data mini program Malwarebytes Anti-Exploit.

Fix się zatrzymał, bo nie wykonałeś zaleceń zgodnie ze wskazówkami. Mówiłam: A Ty próbowałeś wykonać Fix w Trybie awaryjnym: Boot Mode: Safe Mode (with Networking) Instrukcja była ścisła, druga komenda (CreateRestorePoint:) działa tylko i wyłącznie w Trybie normalnym. Jej użycie w Trybie awaryjnym powoduje zatrzymanie Fix na tej komendzie na nieskończoności. Ale dlaczego uruchamiałeś ComboFix!? To jest zbędne, program nie będzie tu wcale używany, nie jest potrzebny i nic nie rozwiąże. Mnie chodziło tylko i wyłącznie o logi już nagrane wcześniej w folderze C:\Qoobox, by sprawdzić co robiłeś. Następnie: świeży log z FRST nie wykazuje żadnych zmian, ESET Smart Security działa pełną parą. W jaki sposób był użyty ESET Uninstaller? Narzędzie zostało źle zastosowane, skoro w sytemie brak zmian i ESET jest nadal widoczny. 1. W Trybie awaryjnym (bez obsługi sieci!) do powtórzenia ESET Uninstaller. Zaprezentuj na zrzutach ekranu jak reagujesz na dialogi. 2. W Trybie normalnym do wykonania poprzedni Fix do FRST. 3. W Trybie normalnym zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi.

Poprawki pod kątem szczątków adware i odinstalowanych aplikacji: 1. Otwórz Notatnik i wklej w nim: BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File C:\Program Files\Enigma Software Group C:\Program Files\Google C:\Program Files (x86)\1ClickDownload C:\Program Files (x86)\ALLPlayer C:\Program Files (x86)\GreenTree Applications C:\Program Files (x86)\ipla C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Opera C:\Program Files (x86)\SecretSauce C:\Program Files (x86)\smartdl C:\Program Files (x86)\SubEdit-Player C:\Program Files (x86)\Temp C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69 C:\ProgramData\7ed2981b-e8b2-4b44-8eca-c85b04d13119 C:\ProgramData\abdf0a2942257a10 C:\ProgramData\Adobe C:\ProgramData\Evernote C:\ProgramData\IHProtectUpDate C:\ProgramData\InstallMate C:\ProgramData\McAfee C:\ProgramData\Partner C:\ProgramData\Premium C:\ProgramData\Sun C:\ProgramData\Uninstall C:\Users\kamila\AppData\Local\Adobe C:\Users\kamila\AppData\Local\ALLPlayer C:\Users\kamila\AppData\Local\ChomikBox C:\Users\kamila\AppData\Local\Medycyna_Praktyczna C:\Users\kamila\AppData\Local\Opera Software C:\Users\kamila\AppData\LocalLow\Adobe C:\Users\kamila\AppData\LocalLow\Sun C:\Users\kamila\AppData\LocalLow\Temp C:\Users\kamila\AppData\Roaming\Adobe C:\Users\kamila\AppData\Roaming\Auslogics C:\Users\kamila\AppData\Roaming\EurekaLog C:\Users\kamila\AppData\Roaming\GofinDruki C:\Users\kamila\AppData\Roaming\ipla C:\Users\kamila\AppData\Roaming\Opera Software C:\Users\kamila\AppData\Roaming\Systweak C:\Users\kamila\AppData\Roaming\TP Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f CMD: sc config WinDefend start= demand Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i pokaż wynikowy log z folderu C:\AdwCleaner.

1. Jedyny wynik z dysku C to C:\Windows\FixCamera.exe i to wygląda na fałszywy alarm, ale plik nieistotny. Reszta wyników to pliki pomocnicze szyfrowania z dysku D. Jak mówiłam, na dysku D dzieje się znacznie więcej niż to co wykrył skaner - tam są nadal masowo zaszyfrowane dane. 2. Ponawiam pytania: - Jaki plik próbujesz otwierać w WMP, tzn. z jakiego poziomu - przedstaw mi na obrazku jak ten plik wygląda w eksploratorze. - Jaka gra i jaki błąd (dokładnie). Nawiasem mówiąc, czy przed moimi operacjami (zaszyfrowane pliki), czy po (usunięcie plików), to na to samo wchodzi w określonym kontekście = niedostępne pliki.

To znaczy? Rozwiń wątek i co z tym zadaniem w Harmonogramie - nadal tam występuje?

Użyty na forum e-mail jest tym samym, który jest związany z Gravatarem, o ile nie zmieniono w profilu na załadowanie inną metodą. Temat przenoszę do działu Windows. ComboFix nie usuwał infekcji i nie ma też innych śladów tego typu. Problem był innej natury. Trudno stwierdzić jakiej, skoro brak raportów sprzed operacji ComboFix, ale Dziennik zdarzeń ma następujące rekordy: To nie wygląda na ingerencje infekcji, a błędy typu "Odmowa dostępu" to prędzej pasują do interferencji ESET. PS. Możesz wykonać kosmetykę, tzn. usunięcie martwych usług (m.in. VirtualBox i VMWare), pustych skrótów oraz sztucznych tworów dodanych przez ComboFix. W spoilerze operacja:

Skasuj plik C:\Delfix.txt. Temat zamykam.

Ale jaki plik próbujesz odtwarzać w WMP? O jakiej grze mowa i jaki błąd? Przypominam też, że cały dysk C miał masowo zaszyfrowane dane, były usuwane różne zaszyfrowane pliki i są określone ubytki - niektóre aplikacje zwracające błędy / pokazujące jakieś defekty w GUI trzeba będzie po prostu przeinstalować. Druga sprawa: cały dysk D jest też zaprawiony szyfrowaniem i to już musisz ogarnąć samodzielnie.

Który krok pomógł? A Fix FRST wykonany i tu już końcowe kroki, tzn.: Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Odwrócone zostały modyfikacje malware. Pierwotnie pierwszy log FRST pokazywał polityki HideSCAHealth (ukrycie ikony Centrum w obszarze powiadomień), co zwykle oznacza, że malware poczyniło zmiany w usługach Windows i chce ukryć ten stan blokując powiadomienia. Dlatego też był w końcowej fazie sprawdzany log Farbar Service Scanner, a niedomyślne ustawienia odwracane. Co masz na myśli, o co chodzi z Windows Media Player? Wyniki Hitman: nie wykrył nic czynnego / zaskakującego. Drobne odpadki Necurs (on już dawno usunięty za pomocą TDSSKiller, to jest nieczynna replika w katalogu Przywracania systemu), adware i ciastka. Usuń wyniki, "Suspicious files" C:\FRST.exe i C:\Users\XX\Downloads\FSS.exe oczywiście do ominięcia - to nie są szkodniki. Zresztą wszystkie używane narzędzia i tak na końcu zostaną usunięte.