picasso

1. Tak, to drobne resztki adware. Usuń za pomocą programu. MBAM możesz sobie zostawić do skanów na żądanie. 2. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania sytemu: KLIK. 3. Koniecznie przeczytaj na co uważać: KLIK.

Z poziomu płyty Kasperskiego całkowicie opróżnij ten pendrive i przekopiuj nań co ważne, urządzenie odepnij zanim uruchomisz Windows.

Chodzi mi o ich przekopiowanie z poziomu płyty Kaspersky na jakiś zewnętrzny nośnik zanim uruchomisz Windows. Wspominałeś wcześniej o podpinaniu drugiego dysku, potem wyszło na jaw, że zakupy dopiero "w toku", to czy masz w ogóle gdzie nagrać dane (może jakać płyta DVD)?

Można jeszcze wyczyścić Harmonogram zadań z pustych zadań oraz zadań typu pcalua.exe. Poza tym, jest tu conajmniej jeden sterownik pozostawiony po odinstalowanym Paragon. Sterowników może być więcej, ale FRST ma tak silne filtrowanie, że bez wyłączenia Whitelist nie można być pewnym. Tak więc proszę o odznaczenie w oknie FRST pól Whitelist dla sekcji Services oraz Drivers i zrobienie nowego skanu FRST (tylko główny, bez Addition i Shortcut). Jest w porządku, ale słowa "lepszy" nie zastosowałabym. Poza tym, dawno tego Fortinet (wersja nielicencjonowana darmowa) nie sprawdzałam, więc nie do końca wiem jaka jest obecnie pula opcji, ale wydaje mi się że Avast (darmowa wersja) jest bogatszy.

Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

Na pewno przeskanowałeś wszystkie partycje oraz pendrive? Czy wszystkie wykrycia zostały zniwelowane? Czy zabezpieczyłeś dane, które chciałeś kopiować? Jeśli wszystkie warunki spełnione, to uruchom Windows i zrób nowy zestaw logów FRST (wszyskie trzy) oraz GMER.

Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

Czy są jeszcze jakieś problemy? Fixy wykonane i na zakończenie: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Mówisz o przycisku "Skanuj teraz", a ja mówię o konfiguracji programu przed uruchomieniem tego przycisku, by wskazać pełny skan. Czy tak to wyglądało? Pusty log MBAM usuwam, on nie jest potrzebny - raport skanera podajesz wtedy, gdy coś zostanie znalezione. Kolejne akcje: 1. Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w uługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie). Następnie dwuklik w Zapora systemu Windows i Typ uruchomionia ustaw na Automatyczny. 2. Kolejne skany dla pewności za pomocą ESET Online Scanner oraz Hitman Pro. Jeśli coś znajdą, dostarcz raporty.

FRST potwierdza wprowadzenie czystego rozruchu. Natomiast zapomniałam poprosić o statystyki checkdiska. One są nagrane w Dzienniku zdarzeń w gałęzi Aplikacja w postaci rekordu z Wininit. Pobierz szczegóły tego rekordu, skopiuj i wklej do posta.

Zaaplikuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj systemowy IE: KLIK. To tyle.

Mnóstwo obiektów adware (Omiga, SecretSauce, TornTV, protektory ustawień...), niektóre to stare nabytki. Układ wygląda jakby nastąpiły niepoprawne deinstalacje w przeszłości. Dodatkowo, adware przekonwertowało przeglądarkę Google Chrome z wersji stabilnej do developerskiej i jest konieczna kompleksowa reinstalacja przeglądarki. Działania wstępne: 1. Przez Panel sterowania odinstaluj: - Adware IB Updater 2.0.0.574, Incredibar Toolbar on IE oraz nieszczęsne Google Chrome. Podczas deinstalacji Chrome zaznacz Usuń także dane przeglądarki - resztę doczyści mój skrypt poniżej. - Stare wersje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 10 Plugin, Adobe Reader 9.3, Java™ 6 Update 18 (64-bit), Java™ 6 Update 20. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {345422e3-72fa-447a-9550-97803edfacf3}w64; C:\Windows\System32\drivers\{345422e3-72fa-447a-9550-97803edfacf3}w64.sys [44736 2014-09-17] (StdLib) R1 {352d129e-e588-40fa-9038-31a1fb6f0382}w64; C:\Windows\System32\drivers\{352d129e-e588-40fa-9038-31a1fb6f0382}w64.sys [48784 2014-11-28] (StdLib) R1 {55dce8ba-9dec-4013-937e-adbf9317d990}w64; C:\Windows\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}w64.sys [61072 2014-07-30] (StdLib) R1 {84f71dda-7f74-46a2-afdb-c945e69c0195}w64; C:\Windows\System32\drivers\{84f71dda-7f74-46a2-afdb-c945e69c0195}w64.sys [48784 2014-11-29] (StdLib) R1 {d6059be8-658c-492d-9d69-8d9d3e79bd94}w64; C:\Windows\System32\drivers\{d6059be8-658c-492d-9d69-8d9d3e79bd94}w64.sys [48784 2014-11-27] (StdLib) R2 IB Updater; C:\Program Files\IB Updater\ExtensionUpdaterService.exe [188760 2013-01-29] () [File not signed] R2 IHProtect Service; C:\Program Files (x86)\STab\ProtectService.exe [158864 2014-11-10] (TODO: ) R2 trntv; C:\Users\kamila\AppData\Roaming\TornTV.com\TornTVSvc.exe [19456 2014-11-18] (Cool Mirage) [File not signed] R2 Update SecretSauce; C:\Program Files (x86)\SecretSauce\updateSecretSauce.exe [668912 2015-01-30] () R2 Util SecretSauce; C:\Program Files (x86)\SecretSauce\bin\utilSecretSauce.exe [668912 2015-01-30] () R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [485888 2014-12-21] (Fuyu LIMITED) [File not signed] S2 Update Deal Keeper; "C:\Program Files (x86)\Deal Keeper\updateDealKeeper.exe" [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\Users\kamila\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044 ShortcutWithArgument: C:\Users\kamila\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044 ShortcutWithArgument: C:\Users\kamila\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044 ShortcutWithArgument: C:\Users\kamila\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga?type=hppppppppppppppppppppppppppp HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga?type=hppppppppppppppppppppppppppp HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga?type=hppppppppppppppppppppppppppp HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga?type=hppppppppppppppppppppppppppp HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} HKU\S-1-5-21-3710172743-1884364204-1846472682-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omigaweb/?type=dspp&q={searchTerms} HKU\S-1-5-21-3710172743-1884364204-1846472682-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga?type=hppppppppppppppppppppppppppp HKU\S-1-5-21-3710172743-1884364204-1846472682-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga?type=hppppppppppppppppppppppppppp HKU\S-1-5-21-3710172743-1884364204-1846472682-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omigaweb/?type=dspp&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} SearchScopes: HKLM-x32 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={2FE4820D-EF83-480A-968F-491480974FD8} SearchScopes: HKU\S-1-5-21-3710172743-1884364204-1846472682-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omigaweb/?type=dspp&q={searchTerms} SearchScopes: HKU\S-1-5-21-3710172743-1884364204-1846472682-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omigaweb/?type=dspp&q={searchTerms} SearchScopes: HKU\S-1-5-21-3710172743-1884364204-1846472682-1000 -> {4F418588-A1F5-44E3-88F5-52069FEA48D3} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=463 SearchScopes: HKU\S-1-5-21-3710172743-1884364204-1846472682-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKU\S-1-5-21-3710172743-1884364204-1846472682-1000 -> {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/mb128/?search={searchTerms}&loc=IB_DS&a=6R8LWvXlwE&i=26 SearchScopes: HKU\S-1-5-21-3710172743-1884364204-1846472682-1000 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={2FE4820D-EF83-480A-968F-491480974FD8} BHO: McAfee Phishing Filter -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} -> c:\PROGRA~1\mcafee\msk\MSKAPB~1.DLL No File BHO: QuueeNCouipon -> {31774e43-6993-4aa2-91f4-66989fc74424} -> C:\ProgramData\QuueeNCouipon\cbEONXJBpOtUHj.x64.dll () BHO: IB Updater -> {336D0C35-8A85-403a-B9D2-65C292C39087} -> C:\Program Files\IB Updater\Extension64.dll () BHO: BetterPRiceChec -> {694b827a-e406-4638-86d9-c708ea6d31d8} -> C:\ProgramData\BetterPRiceChec\JUa5fjAJzB0tph.x64.dll () BHO: LuckyCoaupon -> {f53af872-162d-4957-97d6-32daf1dc8a18} -> C:\ProgramData\LuckyCoaupon\lIrn8of3G0mPdU.x64.dll () BHO-x32: SecretSauce 1.0.0.7 -> {0ffd0ef2-dbe9-483a-80c4-d2c331da1ce4} -> C:\Program Files (x86)\SecretSauce\SecretSauceBHO.dll (SecretSauce) BHO-x32: McAfee Phishing Filter -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} -> c:\progra~1\mcafee\msk\mskapbho.dll No File BHO-x32: IB Updater -> {336D0C35-8A85-403a-B9D2-65C292C39087} -> C:\Program Files\IB Updater\Extension32.dll () BHO-x32: No Name -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> No File BHO-x32: Incredibar.com Helper Object -> {6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} -> C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\bh\incredibar.dll (Montera Technologeis LTD) BHO-x32: IplexToALLPlayer -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> C:\PROGRA~2\ALLPLA~1\Iplex\IPLEXT~1.DLL No File Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM-x32 - Incredibar Toolbar - {F9639E4A-801B-4843-AEE3-03D9DA199E77} - C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\incredibarTlbr.dll (Montera Technologeis LTD) Toolbar: HKU\S-1-5-21-3710172743-1884364204-1846472682-1000 -> No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File Handler: empbook - {F4673987-2C36-49e4-B23C-29DF753D84A5} - C:\Program Files (x86)\eMPendium\eMPendiumHandler.dll No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044 HKU\S-1-5-21-3710172743-1884364204-1846472682-1000\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" C:\Program Files\IB Updater C:\Program Files (x86)\Google\Chrome C:\Program Files (x86)\SecretSauce C:\Program Files (x86)\STab C:\ProgramData\1078601655 C:\ProgramData\BetterPRiceChec C:\ProgramData\LuckyCoaupon C:\ProgramData\QuueeNCouipon C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\kamila\AppData\Local\Google\Chrome C:\Users\kamila\AppData\Local\Mozilla C:\Users\kamila\AppData\Local\Pay-By-Ads C:\Users\kamila\AppData\Roaming\Mozilla C:\Users\kamila\AppData\Roaming\TornTV.com C:\Users\kamila\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ALLPlayer.lnk C:\Users\kamila\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TornTV.com C:\Users\kamila\Desktop\dokumenty\DRUKI Gofin.lnk C:\Windows\System32\drivers\{345422e3-72fa-447a-9550-97803edfacf3}w64.sys C:\Windows\System32\drivers\{352d129e-e588-40fa-9038-31a1fb6f0382}w64.sys C:\Windows\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}w64.sys C:\Windows\System32\drivers\{84f71dda-7f74-46a2-afdb-c945e69c0195}w64.sys C:\Windows\System32\drivers\{d6059be8-658c-492d-9d69-8d9d3e79bd94}w64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ALLUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ChomikBox" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\msnmsgr" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\kamila\AppData\Local CMD: dir /a C:\Users\kamila\AppData\LocalLow CMD: dir /a C:\Users\kamila\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

OK, AdwCleaner dokasował szczątki adware. Ostatni skrypt do FRST - do Notatnika wklej: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Krz\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Krz\Desktop\b2ucwwue.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Przerwij działanie FRST i dostarcz te dane: Prawdopodobnie fixlog.txt będzie nagrany, tylko jako niecały.

Kończymy: 1. Przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox. 2. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj Java: KLIK.

Nie rozumiem do czego to odnosisz. Nieaktywna usługa WindowsMangerProtect kierująca na plik ProtectWindowsManager.exe to właśnie ów tytułowy "rootkit". Dlatego uwzględniłam dwie nazwy opcji, starą i nową. Fix wykonany. Na wszelki wypadek jeszcze uruchom AdwCleaner. Wybierz tylko opcję Szukaj (na razie nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

1. W linii komend cmd wyegzekwuj jeszcze polecenie chkdsk /f /r i zresetuj system. 2. Zaprezentuj nowy raport z FRST, który ma zobrazować w jaki sposób przeprowadziłeś czysty rozruch.

Pomyliłeś się, nie prosiłam o log z FRST (usuwam) tylko z Farbar Service Scanner. Podmień załącznik w poście powyżej. A co do skanu MBAM, to coś szybko jesteś, to na pewno był pełny skan a nie ekspresowy?

Czy są jakieś zmiany? SFC wykrył i naprawił uszkodzone pliki: 2015-02-03 19:06:04, Info CSI 00000229 [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:20{10}]"wmpdxm.dll" from store 2015-02-03 19:06:04, Info CSI 0000022a [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:22{11}]"icardie.dll" from store 2015-02-03 19:06:06, Info CSI 0000022c [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:24{12}]"imageres.dll" from store 2015-02-03 19:06:07, Info CSI 0000022d [sR] Repairing corrupted file [ml:58{29},l:56{28}]"\??\C:\Windows\system32\wbem"\[l:42{21}]"Wdf01000Uninstall.mof" from store 2015-02-03 19:06:07, Info CSI 0000022e [sR] Repairing corrupted file [ml:58{29},l:56{28}]"\??\C:\Windows\system32\wbem"\[l:24{12}]"Wdf01000.mof" from store 2015-02-03 19:06:07, Info CSI 00000230 [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:22{11}]"uxtheme.dll" from store 2015-02-03 19:06:07, Info CSI 00000231 [sR] Repairing corrupted file [ml:520{260},l:82{41}]"\??\C:\Windows\System32\LogFiles\Firewall"\[l:20{10}]"mpssvc.dat" from store

Wszystko zrobione. Jak mówię, gdy się ujawnią na dysku C jakieś defekty w programach, trzeba przeinstalować, by uzupełnić określone dane. Np. niektóre rozszerzenia Google Chrome (Adblock Plus, Enhance Sream, Google Wallet) są uszkodzone obecnie. Możemy przejść do kolejnego zestawu czynności: 1. Na wszelki wypadek zrób log z Farbar Service Scanner. 2. Poprzednio skanery były blokowane przy udziale polityk oprogramowania. Obecnie grunt czysty. Uruchom Malwarebytes Anti-Malware i zrób pełny skan komputera. Jeśli coś znajdzie, przedstaw wynikowy raport.

Posługujesz się starszą wersją FRST, najnowsza jest z wczoraj. WindowsMangerProtect to protektor adware, nabyty w grupie innych adware na jeden z tych sposobów: KLIK. Przypuszczalnie uruchomiłeś jakiś "downloader" portalowy, programy zasadnicze mogą być niewinne. Wg raportów usługa WindowsMangerProtect jest wyłączona (obiekt nieczynny), należy ją po prostu w całości usunąć. Dodatkowo jeszcze są ślady przekierowań isearch.omiga-plus.com. Akcje do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S4 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [485888 2014-12-25] (Fuyu LIMITED) [File not signed] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419542396&from=cor&uid=WDCXWD800BB-55JKC0_WD-WCAMD471537215372&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419542396&from=cor&uid=WDCXWD800BB-55JKC0_WD-WCAMD471537215372&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1419542396&from=cor&uid=WDCXWD800BB-55JKC0_WD-WCAMD471537215372 Task: {05F55DCD-84DC-4552-9EF0-78D50BAC2708} - System32\Tasks\{25922866-79D0-4659-9DCC-1FF082DA0829} => pcalua.exe -a C:\Users\Krz\Desktop\1153320512\install.exe -d C:\Users\Krz\Desktop\1153320512 Task: {6E9304E0-8A19-4C36-B2BF-7E2B17FBB320} - System32\Tasks\{F9B0ABA5-EF81-4953-9722-9E963F3C5227} => pcalua.exe -a C:\Users\Krz\Desktop\1252073814-Editing-Kit\NFS5carpartsEditor.v0.8d\setup.exe -d C:\Users\Krz\Desktop\1252073814-Editing-Kit\NFS5carpartsEditor.v0.8d CustomCLSID: HKU\S-1-5-21-1842147718-165999632-1959978785-1001_Classes\CLSID\{8E1BC32D-DFF4-DC05-18E0-06A277D07930}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1842147718-165999632-1959978785-1001_Classes\CLSID\{9AE11967-97BC-B56D-7CF7-EA1B9D5A80E6}\InprocServer32 -> No File Path HKU\S-1-5-21-1842147718-165999632-1959978785-1001\Software\Classes\.exe: => HKU\S-1-5-21-1842147718-165999632-1959978785-1001\Software\Classes\exefile: C:\ProgramData\TEMP C:\ProgramData\WindowsMangerProtect C:\Users\Krz\AppData\Local\pcc.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Napraw uszkodzony niepoprawnym czyszczeniem Omiga specjalny skrót IE. W pasku eksploratora wklej ścieżkę i ENTER: C:\Users\Krz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Czas może wydłużać komenda EmptyTemp:, jeszcze nie przerywaj działania. A opcje Whitelist nie mają żadnego znaczenia w tym kontekście, to opcje związane z funkcją Scan a nie Fix.

Z dysku C usunę wszystkie zaszyfrowane pliki, one głównie siedzą w różnych folderach aplikacji i to nie są istotne rzeczy (braki obrazków czy dokumentów łatwo uzupełnić reinstalując dany program). Z dysku D usunę tylko pliki typu HELP_DECRYPT.*, pozostawiam zaszyfrowane dane z suffiksami kcirdgd i wxeezfd. Kolejna akcja - do Notatnika wklej: CMD: del /q /s C:\*kcirdgd* CMD: del /q /s C:\*wxeezfd* CMD: del /q /s D:\HELP_DECRYPT.* Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Temat przenoszę do działu Vista. Brak oznak infekcji. Uwagi wstępne: 1. Odinstaluj stary Ashampoo Anti-Malware v.1.21 (komponenty z 2010/2011). Dodatkowo, zdeaktywuj zintegrowany Windows Defender wyłączając usługę WinDefend w msconfig w sekcji Usługi. 2. W Dzienniku zdarzeń błędy: Application errors: ================== Error: (02/03/2015 11:49:03 AM) (Source: ESENT) (EventID: 455) (User: ) Description: Catalog Database (1796) Catalog Database: Wystąpił błąd -1023 (0xfffffc01) podczas otwierania pliku dziennika C:\Windows\system32\CatRoot2\edb.log. Error: (02/03/2015 11:49:03 AM) (Source: ESENT) (EventID: 489) (User: ) Description: Catalog Database (1796) Catalog Database: Próba otwarcia pliku "C:\Windows\system32\CatRoot2\edb.log" w trybie tylko do odczytu zakończyła się niepomyślnie z błędem systemowym 3 (0x00000003): "System nie może odnaleźć określonej ścieżki. ". Operacja otwierania pliku zostanie zakończona z błędem -1023 (0xfffffc01). Error: (02/03/2015 11:49:03 AM) (Source: ESENT) (EventID: 455) (User: ) Description: Catalog Database (1796) Catalog Database: Wystąpił błąd -1023 (0xfffffc01) podczas otwierania pliku dziennika C:\Windows\system32\CatRoot2\edb.log. Error: (02/03/2015 11:49:03 AM) (Source: ESENT) (EventID: 489) (User: ) Description: Catalog Database (1796) Catalog Database: Próba otwarcia pliku "C:\Windows\system32\CatRoot2\edb.log" w trybie tylko do odczytu zakończyła się niepomyślnie z błędem systemowym 3 (0x00000003): "System nie może odnaleźć określonej ścieżki. ". Operacja otwierania pliku zostanie zakończona z błędem -1023 (0xfffffc01). Error: (02/03/2015 11:49:03 AM) (Source: ESENT) (EventID: 490) (User: ) Description: Catalog Database (1796) Catalog Database: Próba otwarcia pliku "C:\Windows\system32\CatRoot2\edb.chk" w trybie odczytu lub zapisu zakończyła się niepomyślnie z błędem systemowym 3 (0x00000003): "System nie może odnaleźć określonej ścieżki. ". Operacja otwierania pliku zostanie zakończona z błędem -1023 (0xfffffc01). Prawdopodobnie tymczasowe z powodu użycia: C:\Users\Uzytkownik\Downloads\Reset_Windows_Update_Full.bat Jaki był powód zastosowania tego BAT resetującego? 3. Czy była jakakolwiek diagnostyka sprzętowa? Mysz optyczna? A jeśli, to jaka podkładka (chaotyczne wzory czy gładka)? Albo brak oprogramowania, które tworzy ingerencje, albo jest to szybki a nie pełny skan.

Do wypróbowania kolejne akcje: 1. Tzw. czysty rozruch: KLIK. 2. Weryfikacja poprawności plików systemowych: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj.