picasso

OK, wszystko wykonane. Poprawki na szczątki adware oraz odinstalowanych programów: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File Task: {BDB2B3A3-7F16-4428-8709-1A73BCFAEAD9} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {DE88743F-230D-46E2-8BFA-817697F55363} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe C:\extensions.ini C:\Program Files\Conduit C:\Program Files\Google C:\Program Files (x86)\AmiExt C:\Program Files (x86)\Common Files\mcafee C:\Program Files (x86)\ESTsoft C:\Program Files (x86)\GreenTree Applications C:\Program Files (x86)\Java C:\Program Files (x86)\McAfee C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Safeweb C:\Program Files (x86)\SNT C:\Program Files (x86)\SweetIM C:\Program Files (x86)\Yontoo C:\ProgramData\398cb68f6355a46d C:\ProgramData\Babylon C:\ProgramData\BitGuard C:\ProgramData\ESTsoft C:\ProgramData\Google C:\ProgramData\InstallMate C:\ProgramData\MAGIX C:\ProgramData\McAfee C:\ProgramData\Movavi C:\ProgramData\Mozilla C:\ProgramData\Nero C:\ProgramData\NeWSaver C:\ProgramData\Oracle C:\ProgramData\Partner C:\ProgramData\RHelpers C:\ProgramData\Safeweb C:\ProgramData\Skype C:\ProgramData\SNT C:\ProgramData\Sun C:\ProgramData\SuperbApp C:\ProgramData\SweetIM C:\ProgramData\Systweak C:\ProgramData\Tarma Installer C:\ProgramData\TEMP C:\ProgramData\TuneUp Software C:\ProgramData\Updater C:\ProgramData\Websteroids C:\ProgramData\WildTangent C:\ProgramData\YoutubeAdblocker C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java C:\Users\Toshiba\AppData\Local\avgchrome C:\Users\Toshiba\AppData\Local\cache C:\Users\Toshiba\AppData\Local\Comodo C:\Users\Toshiba\AppData\Local\ESET C:\Users\Toshiba\AppData\Local\genienext C:\Users\Toshiba\AppData\Local\Mobogenie C:\Users\Toshiba\AppData\Local\Movavi C:\Users\Toshiba\AppData\Local\Mozilla C:\Users\Toshiba\AppData\Local\SwvUpdater C:\Users\Toshiba\AppData\Local\Torch C:\Users\Toshiba\AppData\LocalLow\Sun C:\Users\Toshiba\AppData\LocalLow\Temp C:\Users\Toshiba\AppData\Roaming\Ableton C:\Users\Toshiba\AppData\Roaming\AdvertismentImages C:\Users\Toshiba\AppData\Roaming\Babylon C:\Users\Toshiba\AppData\Roaming\Best Service C:\Users\Toshiba\AppData\Roaming\ESET C:\Users\Toshiba\AppData\Roaming\ESTsoft C:\Users\Toshiba\AppData\Roaming\File Scout C:\Users\Toshiba\AppData\Roaming\Google C:\Users\Toshiba\AppData\Roaming\LavasoftStatistics C:\Users\Toshiba\AppData\Roaming\Mozilla C:\Users\Toshiba\AppData\Roaming\newnext.me C:\Users\Toshiba\AppData\Roaming\OpenCandy C:\Users\Toshiba\AppData\Roaming\SendSpace C:\Users\Toshiba\AppData\Roaming\Skype C:\Users\Toshiba\AppData\Roaming\Systweak C:\Users\Toshiba\AppData\Roaming\TuneUp Software C:\Users\Toshiba\AppData\Roaming\ValueApps C:\Users\Toshiba\AppData\Roaming\Yahoo! C:\Users\Toshiba\AppData\Roaming\YourFileDownloader C:\Users\Toshiba\Downloads\*eset*.exe CMD: for /d %f in (C:\ProgramData\{*}) do rd /s /q "%f" CMD: for /d %f in (C:\Users\Toshiba\AppData\LocalLow\{*}) do rd /s /q "%f" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. tym razem nie będzie restartu. Zaprezentuj wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner. I opisz co się aktualnie dzieje w systemie, czy są jakieś problemy / błędy.

Zapomniałam jeszcze napisać: dorzuć plik fixlog.txt, który powstał podczas poprawkowego podejścia z Fix FRST. Plik powinien być w C:\Users\Toshiba\Downloads\FRST64 (nadpisanie poprzedniego pliku). Poza tym, dodaj mi jeszcze drobny skan dodatkowy, tzn. uruchom FRST, w polu Search wpisz nazwę extensions.ini i klik w Search Files. Wystarczy uruchomić Menedżer procesów i zabić proces FRST.

Upłynęło dużo czasu, proszę pobierz najnowszy FRST i zrób nowe raporty. Owszem, były widoczne śmieci w poprzednim, ale to odpadki. Ale mam od razu inne pytanie: czy przypadkiem nie skompresowałeś hurtowo istotnych lokalizacji? Masa obiektów w logu ma atrybut C - Compressed: Kompresja ważnych lokalizacji, do których często następuje dostęp, może mieć skutki uboczne w postaci spowolnionej operatywności.

Mogliśmy jest powalczyć z błędami, ale uważam że podjęte konkretne całościowe działania z Recovery i formatem to znacznie lepszy pomysł. Infekcje były usunięte dobrze, ale nie ich wszystkie skutki (szyfrowanie). Na koniec: 1. Dla bezpieczeństwa zmień wszystkie dane logowania w serwisach (bank, poczta, serwisy społecznościowe, etc). 2. Jeśli chodzi o zabezpieczanie, to dowolny antywirus z tych popularnych będzie OK, byle nie niszowe mało znane rozwiązania lub "chińskie" produkcje. Natomiast możesz się zainteresować dodatkowymi metodami zabezpieczeń: - CryptoPrevent (dostępna wersja darmowa): specjalizacja w ochronie przed infekcjami szyfrującymi, na bazie polityk oprogramowania (utylizacja funkcji wbudowanej w Windows). - Malwarebytes Anti-Exploit (dostępna wersja darmowa): w wersji darmowej ochrona przeglądarek oraz Java przed eksploitami / atakami. - SandBoxie (trial 30-dni, z programu nadal można korzystać po, ale nagscreen): wirtualne środowisko, piaskownica.

Fix wykonany. Skasuj G:\FRTST. Następnie zastosuj DelFix, usuń też wszystkie Java i zastąp najnowszą wersja: KLIK.

Na zakończenie: 1. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zainstaluj IE8. Wszystko rozpisane tu: KLIK. 2. Proponuję też dorzucić do G Data mini program Malwarebytes Anti-Exploit.

Fix się zatrzymał, bo nie wykonałeś zaleceń zgodnie ze wskazówkami. Mówiłam: A Ty próbowałeś wykonać Fix w Trybie awaryjnym: Boot Mode: Safe Mode (with Networking) Instrukcja była ścisła, druga komenda (CreateRestorePoint:) działa tylko i wyłącznie w Trybie normalnym. Jej użycie w Trybie awaryjnym powoduje zatrzymanie Fix na tej komendzie na nieskończoności. Ale dlaczego uruchamiałeś ComboFix!? To jest zbędne, program nie będzie tu wcale używany, nie jest potrzebny i nic nie rozwiąże. Mnie chodziło tylko i wyłącznie o logi już nagrane wcześniej w folderze C:\Qoobox, by sprawdzić co robiłeś. Następnie: świeży log z FRST nie wykazuje żadnych zmian, ESET Smart Security działa pełną parą. W jaki sposób był użyty ESET Uninstaller? Narzędzie zostało źle zastosowane, skoro w sytemie brak zmian i ESET jest nadal widoczny. 1. W Trybie awaryjnym (bez obsługi sieci!) do powtórzenia ESET Uninstaller. Zaprezentuj na zrzutach ekranu jak reagujesz na dialogi. 2. W Trybie normalnym do wykonania poprzedni Fix do FRST. 3. W Trybie normalnym zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi.

Poprawki pod kątem szczątków adware i odinstalowanych aplikacji: 1. Otwórz Notatnik i wklej w nim: BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File C:\Program Files\Enigma Software Group C:\Program Files\Google C:\Program Files (x86)\1ClickDownload C:\Program Files (x86)\ALLPlayer C:\Program Files (x86)\GreenTree Applications C:\Program Files (x86)\ipla C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Opera C:\Program Files (x86)\SecretSauce C:\Program Files (x86)\smartdl C:\Program Files (x86)\SubEdit-Player C:\Program Files (x86)\Temp C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69 C:\ProgramData\7ed2981b-e8b2-4b44-8eca-c85b04d13119 C:\ProgramData\abdf0a2942257a10 C:\ProgramData\Adobe C:\ProgramData\Evernote C:\ProgramData\IHProtectUpDate C:\ProgramData\InstallMate C:\ProgramData\McAfee C:\ProgramData\Partner C:\ProgramData\Premium C:\ProgramData\Sun C:\ProgramData\Uninstall C:\Users\kamila\AppData\Local\Adobe C:\Users\kamila\AppData\Local\ALLPlayer C:\Users\kamila\AppData\Local\ChomikBox C:\Users\kamila\AppData\Local\Medycyna_Praktyczna C:\Users\kamila\AppData\Local\Opera Software C:\Users\kamila\AppData\LocalLow\Adobe C:\Users\kamila\AppData\LocalLow\Sun C:\Users\kamila\AppData\LocalLow\Temp C:\Users\kamila\AppData\Roaming\Adobe C:\Users\kamila\AppData\Roaming\Auslogics C:\Users\kamila\AppData\Roaming\EurekaLog C:\Users\kamila\AppData\Roaming\GofinDruki C:\Users\kamila\AppData\Roaming\ipla C:\Users\kamila\AppData\Roaming\Opera Software C:\Users\kamila\AppData\Roaming\Systweak C:\Users\kamila\AppData\Roaming\TP Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f CMD: sc config WinDefend start= demand Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i pokaż wynikowy log z folderu C:\AdwCleaner.

1. Jedyny wynik z dysku C to C:\Windows\FixCamera.exe i to wygląda na fałszywy alarm, ale plik nieistotny. Reszta wyników to pliki pomocnicze szyfrowania z dysku D. Jak mówiłam, na dysku D dzieje się znacznie więcej niż to co wykrył skaner - tam są nadal masowo zaszyfrowane dane. 2. Ponawiam pytania: - Jaki plik próbujesz otwierać w WMP, tzn. z jakiego poziomu - przedstaw mi na obrazku jak ten plik wygląda w eksploratorze. - Jaka gra i jaki błąd (dokładnie). Nawiasem mówiąc, czy przed moimi operacjami (zaszyfrowane pliki), czy po (usunięcie plików), to na to samo wchodzi w określonym kontekście = niedostępne pliki.

To znaczy? Rozwiń wątek i co z tym zadaniem w Harmonogramie - nadal tam występuje?

Użyty na forum e-mail jest tym samym, który jest związany z Gravatarem, o ile nie zmieniono w profilu na załadowanie inną metodą. Temat przenoszę do działu Windows. ComboFix nie usuwał infekcji i nie ma też innych śladów tego typu. Problem był innej natury. Trudno stwierdzić jakiej, skoro brak raportów sprzed operacji ComboFix, ale Dziennik zdarzeń ma następujące rekordy: To nie wygląda na ingerencje infekcji, a błędy typu "Odmowa dostępu" to prędzej pasują do interferencji ESET. PS. Możesz wykonać kosmetykę, tzn. usunięcie martwych usług (m.in. VirtualBox i VMWare), pustych skrótów oraz sztucznych tworów dodanych przez ComboFix. W spoilerze operacja:

Skasuj plik C:\Delfix.txt. Temat zamykam.

Ale jaki plik próbujesz odtwarzać w WMP? O jakiej grze mowa i jaki błąd? Przypominam też, że cały dysk C miał masowo zaszyfrowane dane, były usuwane różne zaszyfrowane pliki i są określone ubytki - niektóre aplikacje zwracające błędy / pokazujące jakieś defekty w GUI trzeba będzie po prostu przeinstalować. Druga sprawa: cały dysk D jest też zaprawiony szyfrowaniem i to już musisz ogarnąć samodzielnie.

Który krok pomógł? A Fix FRST wykonany i tu już końcowe kroki, tzn.: Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Odwrócone zostały modyfikacje malware. Pierwotnie pierwszy log FRST pokazywał polityki HideSCAHealth (ukrycie ikony Centrum w obszarze powiadomień), co zwykle oznacza, że malware poczyniło zmiany w usługach Windows i chce ukryć ten stan blokując powiadomienia. Dlatego też był w końcowej fazie sprawdzany log Farbar Service Scanner, a niedomyślne ustawienia odwracane. Co masz na myśli, o co chodzi z Windows Media Player? Wyniki Hitman: nie wykrył nic czynnego / zaskakującego. Drobne odpadki Necurs (on już dawno usunięty za pomocą TDSSKiller, to jest nieczynna replika w katalogu Przywracania systemu), adware i ciastka. Usuń wyniki, "Suspicious files" C:\FRST.exe i C:\Users\XX\Downloads\FSS.exe oczywiście do ominięcia - to nie są szkodniki. Zresztą wszystkie używane narzędzia i tak na końcu zostaną usunięte.

1. Tak, to drobne resztki adware. Usuń za pomocą programu. MBAM możesz sobie zostawić do skanów na żądanie. 2. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania sytemu: KLIK. 3. Koniecznie przeczytaj na co uważać: KLIK.

Z poziomu płyty Kasperskiego całkowicie opróżnij ten pendrive i przekopiuj nań co ważne, urządzenie odepnij zanim uruchomisz Windows.

Chodzi mi o ich przekopiowanie z poziomu płyty Kaspersky na jakiś zewnętrzny nośnik zanim uruchomisz Windows. Wspominałeś wcześniej o podpinaniu drugiego dysku, potem wyszło na jaw, że zakupy dopiero "w toku", to czy masz w ogóle gdzie nagrać dane (może jakać płyta DVD)?

Można jeszcze wyczyścić Harmonogram zadań z pustych zadań oraz zadań typu pcalua.exe. Poza tym, jest tu conajmniej jeden sterownik pozostawiony po odinstalowanym Paragon. Sterowników może być więcej, ale FRST ma tak silne filtrowanie, że bez wyłączenia Whitelist nie można być pewnym. Tak więc proszę o odznaczenie w oknie FRST pól Whitelist dla sekcji Services oraz Drivers i zrobienie nowego skanu FRST (tylko główny, bez Addition i Shortcut). Jest w porządku, ale słowa "lepszy" nie zastosowałabym. Poza tym, dawno tego Fortinet (wersja nielicencjonowana darmowa) nie sprawdzałam, więc nie do końca wiem jaka jest obecnie pula opcji, ale wydaje mi się że Avast (darmowa wersja) jest bogatszy.

Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

Na pewno przeskanowałeś wszystkie partycje oraz pendrive? Czy wszystkie wykrycia zostały zniwelowane? Czy zabezpieczyłeś dane, które chciałeś kopiować? Jeśli wszystkie warunki spełnione, to uruchom Windows i zrób nowy zestaw logów FRST (wszyskie trzy) oraz GMER.

Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

Czy są jeszcze jakieś problemy? Fixy wykonane i na zakończenie: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Mówisz o przycisku "Skanuj teraz", a ja mówię o konfiguracji programu przed uruchomieniem tego przycisku, by wskazać pełny skan. Czy tak to wyglądało? Pusty log MBAM usuwam, on nie jest potrzebny - raport skanera podajesz wtedy, gdy coś zostanie znalezione. Kolejne akcje: 1. Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w uługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie). Następnie dwuklik w Zapora systemu Windows i Typ uruchomionia ustaw na Automatyczny. 2. Kolejne skany dla pewności za pomocą ESET Online Scanner oraz Hitman Pro. Jeśli coś znajdą, dostarcz raporty.

FRST potwierdza wprowadzenie czystego rozruchu. Natomiast zapomniałam poprosić o statystyki checkdiska. One są nagrane w Dzienniku zdarzeń w gałęzi Aplikacja w postaci rekordu z Wininit. Pobierz szczegóły tego rekordu, skopiuj i wklej do posta.