picasso

Singapjap, proszę zakładaj tematy w odpowiednich działach. Przenoszę. Tematy infekcji idą do Działu pomocy doraźnej, tematy Windows do działu Windows. W dziale Software omawia się problemy innych aplikacji. Nie dubluj też wątków. Oba tematy powstałe w krótkim przedziale czasowym o podobnym charakterze łączę. Nie podałeś jaki plik i z jakiego linka - proszę o konkrety (dokładny link pobierania). Nie można się w ogóle odnieść do wyników, gdyż nazwy zagrożenia są ogólne i pasują do mnóstwa obiektów - mogą to być fałszywe alarmy lub i nie. Jedyne co na razie się wydaje po tych wynikach i fakcie że pobieranie było z serwisu hostingowego, to jakaś nielegalna / piracka produkcja i jest w paczce jakiś obiekt mający coś scrackować. Najprostsza droga, by nie łamać sobie głowy czy coś jest (nie)bezpieczne = nie pobierać na lewo. PS. Dodam, że jednak niektóre formy malware mają detekcję wirtualnej maszyny i nie uruchomią się w niej fałszując skutki uruchomienia danego pliku.

Fix wykonany, a te wyniki z wyszukiwania to nic takiego, to mało istotne klucze. Kolejny Fix, do Notatnika wklej: Reg: reg delete "HKLM\SOFTWARE\Microsoft\Tracing\Ip Changer Updater_RASAPI32" /f Reg: reg delete "HKU\S-1-5-21-1745938249-244550939-3845965806-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "D:\Pobrane\Tibia 8.60.exe" /f DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

1. Małe poprawki. Otwórz Notatnik i wklej w nim: Toolbar: HKU\S-1-5-21-1745938249-244550939-3845965806-1000 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File C:\Program Files\DAEMON Tools Toolbar C:\Windows\comdlg32.ocx Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Na wszelki wypadek jeszcze zrób szukanie w rejestrze. Uruchom FRST, w polu Search wklej: Asprate;IP Changer;Tibia Klik w Search Registry. Podaj wynikowy log.

Zaćmienie mnie ogarnęło, jakoś nie zauważyłam spacji w ścieżkach dostępu i nie ujęłam ich w "", dlatego nie wykonały się komendy kierujące na te ścieżki. Trzeba załadować skrypt poprawkowy o potaci: CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0816\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0804\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0416\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0404\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\001F\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\001D\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0019\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0015\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0014\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0013\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0012\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0011\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0010\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\000E\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\000D\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\000C\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\000B\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\000A\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0009\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0008\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0007\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0006\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0005\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0001\_TransactionBridgePerfCounters.ini" I zostaje jeszcze ten rekord:

Tak, zainstalowałeś szkodliwy "IP Changer". Właściwości logerskie. Przykład co się stało po jego pobycie w systemie, włamanie na konto Tibia: KLIK. Składników Changera jest więcej niż tylko plik w starcie. On prawdopodobnie mógłby być poprawnie odinstalowany, bo był plik deinstalatora, ale naruszyłeś to: Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Asprate\Tibia Multi IP Changer\Tibia MULTI-IP Changer.lnk -> D:\Program Files\Tibia Multi IP Changer\Tibia MULTI-ip changer.exe (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Asprate\Tibia Multi IP Changer\UNinstaller.lnk -> D:\Program Files\Tibia Multi IP Changer\UNinstaller.exe (No File) Poza tym, jest tu też pasek adware. 1. Przez Panel sterowania odinstaluj DAEMON Tools Toolbar (adware) oraz Tibia (nie ufam teraz tej instalacji, folder aplikacji modyfikowany wtedy gdy powstawały obiekty "changera"). Dopiero po wyczyszczeniu systemu zainstalujesz na nowo oryginalny klient Tibia pobrany ze strony domowej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\windate.exe () HKLM\...\Run: [] => [X] Task: {1B8659C9-C5ED-441A-ADE4-C5DE4467921E} - System32\Tasks\MSIAfterburner => C:\Program Files\MSI Afterburner\MSIAfterburner.exe CMD: regsvr32 /u C:\Windows\comdlg32.ocx C:\Program Files\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Asprate C:\Users\Admin\Desktop\Ip Changer.lnk C:\Windows\*.lang C:\Windows\ipchanger.exe C:\Windows\Ip Changer Updater.exe C:\Windows\Last.dat C:\Windows\Language.dat C:\Windows\Language C:\Windows\libcurl.dll C:\Windows\libeay32.dll C:\Windows\memlist.dat C:\Windows\os4.exe C:\Windows\ssleay32.dll C:\Windows\test.dat C:\Windows\windate.exe C:\Windows\zlib1.dll D:\Pobrane\Ip Changer 8.60 Folder: C:\Users\Admin\AppData\Roaming\WinRAR EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Takie wyłączanie COMODO nie deaktywuje czynności sterowników COMODO. Niestety nie ma innej możliwości wśród opcji COMODO. Skoro jest to nieskuteczne, spróbuj uruchomić skan FRST z poziomu Trybu awaryjnego Windows. Nie uściśliłeś czy była taka próba, informacja o awaryjnym dotyczy tylko GMER.

Przypuszczanie COMODO blokuje tworzenie kopii rejestru. Na czas kolejnego podejścia z FRST wyłącz kompletnie COMODO. To jest błąd COMODO, nie wpływa tu żadna infekcja. W temacie tamtego użytkownika napisałam także:

W raportu ostatnie instalacje wykonane w dniu zgłoszenia problemu to Avast oraz MBAM rzekomo "portable" - programy nie są ładowane w Trybie awaryjnym. Nie jest wykluczone, że mają coś do rzeczy. W systemie uruchamia się też wiele obiektów startowych. Ale infekcja tu jest, tzn. wpis run32dll.exe. Na początek więc usuwanie infekcji, wpisu startowego MBAM oraz pustych wpisów i zobaczymy jakie wyniki osiągniemy. Dodatkowo, w starcie jest niejaki plik.bat - czy to celowa akcja? Działania wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Run: [run32d] => C:\Windows\system\run32dll.exe [2560 2010-06-18] () HKLM\...\Run: [] => [X] HKLM\...\RunOnce: [Malwarebytes Anti-Rootkit (cleanup)] => C:\ProgramData\Malwarebytes' Anti-Malware (portable)\mbamdor.exe [54072 2015-01-09] (Malwarebytes Corporation) HKU\S-1-5-21-704376898-2786838306-483735257-1000\...\Run: [fsm] => [X] HKU\S-1-5-21-704376898-2786838306-483735257-1000\...\Run: [AdobeBridge] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKU\S-1-5-21-704376898-2786838306-483735257-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-704376898-2786838306-483735257-1000\Software\Microsoft\Internet Explorer\Main,Start Page Restore = http://securityresponse.symantec.com/avcenter/fix_homepage/ SearchScopes: HKLM -> DefaultScope value is missing. SearchScopes: HKLM -> {A0B271A9-D8AA-8E74-7392-2164D6A1C03C} URL = http://www.iesearch.com/s/?q={searchTerms} SearchScopes: HKU\S-1-5-21-704376898-2786838306-483735257-1000 -> DefaultScope {A0B271A9-D8AA-8E74-7392-2164D6A1C03C} URL = http://www.iesearch.com/s/?q={searchTerms} SearchScopes: HKU\S-1-5-21-704376898-2786838306-483735257-1000 -> {A0B271A9-D8AA-8E74-7392-2164D6A1C03C} URL = http://www.iesearch.com/s/?q={searchTerms} BHO: No Name -> {1E8A6170-7264-4D0F-BEAE-D42A53123C75} -> No File Toolbar: HKU\.DEFAULT -> No Name - {30F9B915-B755-4826-820B-08FBA6BD249D} - No File Toolbar: HKU\S-1-5-21-704376898-2786838306-483735257-1000 -> No Name - {37B85A29-692B-4205-9CAD-2626E4993404} - No File Toolbar: HKU\S-1-5-21-704376898-2786838306-483735257-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mbamchameleon => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mbamchameleon => ""="Driver" S3 EagleNT; \??\C:\Windows\system32\drivers\EagleNT.sys [X] S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X] S3 lvupdtio; \??\C:\Program Files\ASUS\ASUS Live Update\SYS\lvupdtio.sys [X] S3 TKCtrl; \??\C:\Windows\system32\TKCtrl2k.sys [X] S3 TKFsAvM; \??\C:\Windows\system32\TKFsAv.sys [X] S3 TkFsFtM; system32\TKFsFt.sys [X] S1 TKFWFV; system32\TKFWFV.sys [X] S3 TKFWVT; \??\C:\Windows\system32\TKFWVT.sys [X] S3 TkIdsVt; \??\C:\Windows\system32\TkIdsVt.sys [X] S3 TKPcFt; \??\C:\Windows\system32\TKPcFtCb.sys [X] S3 WinRing0_1_2_0; \??\D:\Program Files\Razer\Razer Game Booster\Driver\WinRing0.sys [X] Task: {0E124394-404C-45CC-9E9E-D299C3132190} - System32\Tasks\TuneUpUtilities_Task_BkGndMaintenance => C:\Program Files\TuneUp Utilities 2010\OneClick.exe Task: {12EE620F-2080-4729-8A24-4F288C7B5F52} - System32\Tasks\{B4C768D3-F036-4B93-8ECF-0A47AD8B6344} => pcalua.exe -a C:\Users\Łukasz\Desktop\hlof\shared.EXE -d C:\Users\Łukasz\Desktop\hlof Task: {1491E300-AD96-4575-B82D-4D15BB39F96B} - System32\Tasks\{D50AF43B-A3FF-4A7B-A00D-9BEE61E8CCB5} => pcalua.exe -a "C:\speedtouch_for_windows\ZXDSL 852V2.1.0a_D14_PL\setup.exe" -d "C:\speedtouch_for_windows\ZXDSL 852V2.1.0a_D14_PL" Task: {18640F16-0EAE-4657-A34F-23AD11A6186F} - System32\Tasks\{62BBD44E-6449-412A-AF1B-F96C8D51248D} => pcalua.exe -a E:\directx\dxsetup.exe -d E:\directx Task: {1CC9542E-0AE1-4202-BAA2-9C8CFBE337AA} - System32\Tasks\{230EDA7A-06F8-484F-89B9-F1B50ED3D8F4} => pcalua.exe -a E:\setup.exe Task: {20C6924C-1383-4812-99D1-B7C76D2F4C61} - System32\Tasks\Razer_Game_Booster_AutoUpdate => D:\Program Files\Razer\Razer Game Booster\AutoUpdate.exe Task: {26E36B8C-1CE0-4C0B-9CCE-BDAA3C524F94} - System32\Tasks\{33388587-3C7B-4D90-B947-9C21E5A8F9A5} => pcalua.exe -a F:\Autorun.exe -d F:\ Task: {2CAA0853-2A47-412F-9E65-5732CC67D124} - System32\Tasks\{5EA6750A-0A3C-43C0-942C-46CA079D8503} => pcalua.exe -a "C:\Users\Łukasz\Desktop\ZXDSL 852V2.1.0a_D14_PL\setup.exe" -d "C:\Users\Łukasz\Desktop\ZXDSL 852V2.1.0a_D14_PL" Task: {3441C6B7-987C-4C01-A941-E05ED450C7DD} - System32\Tasks\{0943E9CC-2D9A-4E54-AFB7-61884D190540} => pcalua.exe -a C:\Users\Łukasz\Desktop\Metin2_20080219.exe -d C:\Windows\system32 Task: {3C0631EF-B5CF-4845-9285-DF47772F6EC0} - System32\Tasks\{2919CD96-03E1-42C6-A57B-94D17F3624E9} => pcalua.exe -a "C:\Users\Łukasz\Desktop\Predator2\Aliens vs. Predator 2\Aliens vs. Predator 2\Aliens vs. Predator 2\Uninstall.exe" -d "C:\Users\Łukasz\Desktop\Predator2\Aliens vs. Predator 2\Aliens vs. Predator 2\Aliens vs. Predator 2" Task: {400F09E1-FC52-43E8-BC84-6E84CD5C030F} - System32\Tasks\{CAAD7982-C19B-44DC-8839-A5F2406242A6} => pcalua.exe -a C:\Users\Łukasz\Desktop\Dokumenty\hlof\opinstall.EXE -d C:\Users\Łukasz\Desktop\Dokumenty\hlof Task: {46EF0E59-4F46-4680-A333-E8189372A578} - System32\Tasks\{8B092452-7BCB-495D-B714-5F6A5FB8B030} => pcalua.exe -a "C:\Program Files\Loonies\ISIIM\ISIIMan.exe" -d "C:\Program Files\Loonies\ISIIM" Task: {4B828BEC-FB88-4471-881B-6DD139F5329E} - System32\Tasks\{03840F14-8D97-424E-A110-559B8CB78482} => pcalua.exe -a "D:\Program Files\THQ\MotoGP URT 3\unins001.exe" -d "D:\Program Files\THQ\MotoGP URT 3" Task: {4C45FD5C-BBCC-487B-9B72-473CDC0C0524} - System32\Tasks\{2F193CE0-1943-4700-895C-AE079ADC3B06} => pcalua.exe -a E:\Patch\DXP2-111-120.EXE -d E:\Patch Task: {4C6E1DC6-43C1-4D03-8D5A-EE6A0D28F5D7} - System32\Tasks\{77BD6FCD-C7C3-41D9-B917-33934DF96AC7} => pcalua.exe -a "C:\Users\Łukasz\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OWRUAFN6\HC2Setup[1].exe" -d C:\Windows\system32 Task: {52E4A1C1-D19C-4903-8FEA-7B6A505ED270} - System32\Tasks\{2469D803-D3D7-4D8D-9255-FC5B241CD2DF} => pcalua.exe -a C:\Users\Łukasz\Documents\Downloads\vegaspro90c_32bit.exe -d C:\Users\Łukasz\Documents\Downloads Task: {5ABC08E0-5FDE-481F-A8CE-3F6AFE9A051F} - System32\Tasks\{068F5BB0-94D5-4734-818F-DD4ED2759FE6} => pcalua.exe -a E:\WAG200G.exe -d E:\ Task: {668368F9-F123-4380-8AE5-77EF59B2C73D} - System32\Tasks\{850AAEE9-DC53-4149-B7B1-52D954A372BB} => pcalua.exe -a C:\Users\Łukasz\Desktop\Dokumenty\Metin2_PL_20090526.exe -d C:\Users\Łukasz\Desktop\Dokumenty Task: {6D1926BD-5D55-45F6-A8E1-59ACA105ED7A} - System32\Tasks\Game_Booster_AutoUpdate => D:\Program Files\IObit\Game Booster 3\AutoUpdate.exe Task: {6DAE9572-F5C5-47D0-8E02-680C8280D13D} - System32\Tasks\{79E064DD-9AD2-4309-B46F-AD753FAC82FB} => pcalua.exe -a C:\Users\Łukasz\Desktop\Juiced\Juiced\SetupReg.exe -d C:\Users\Łukasz\Desktop\Juiced\Juiced Task: {70727FAA-8A8C-4404-9B33-010C95DC06DA} - System32\Tasks\{832FC3CA-B4B3-4B83-B137-F624BFF761D3} => pcalua.exe -a F:\DirectX\dxsetup.exe -d F:\DirectX Task: {7B087615-415A-48B8-B8D4-BBF8533276DE} - System32\Tasks\avast! Emergency Update => C:\Program Files\Alwil Software\Avast5\AvastEmUpdate.exe Task: {805A110D-0E57-424B-B5E4-A7C28981397C} - System32\Tasks\{4D4EEDA7-B774-45FB-957B-51895B18F3D3} => pcalua.exe -a C:\Users\Łukasz\Desktop\gmod_904c.exe -d C:\Users\Łukasz\Desktop Task: {A7B262E0-B7A2-494E-85A6-445F07A7C2BD} - System32\Tasks\{8A2922A6-ADA8-4956-834B-E474D2E4B84D} => pcalua.exe -a F:\CD1\SETUP.EXE -d F:\CD1 Task: {B05D5E3F-F9A4-4018-B813-059B5D7E5B3C} - System32\Tasks\{A02E8612-8BCD-4EF7-85D4-E953A59DD6ED} => pcalua.exe -a C:\Users\Łukasz\Desktop\Metin2_PL_20090526.exe -d C:\Users\Łukasz\Desktop Task: {D37975BE-7B2F-44F3-A7DC-1DBFB04DAE74} - System32\Tasks\{C7894965-B283-4C4E-B4AE-7046498EC278} => pcalua.exe -a C:\Users\Łukasz\Desktop\hlof\opinstall.EXE -d C:\Users\Łukasz\Desktop\hlof Task: {D7E37258-F378-4F39-B287-CD0C565C0F80} - System32\Tasks\{6DD04473-B3A7-46DD-8A6E-123C005FBDF4} => pcalua.exe -a "C:\Users\Łukasz\Desktop\Soldier Of Fortune\demo32.exe" -d "C:\Users\Łukasz\Desktop\Soldier Of Fortune" Task: {E666D7D7-BC0E-46B2-9B0B-7643FE97F3BB} - System32\Tasks\{A87680A9-3F2E-40B0-AF47-35AE87F79D2F} => pcalua.exe -a C:\Users\Łukasz\Desktop\Wog\WoG_Install\Install.exe -d C:\Users\Łukasz\Desktop\Wog\WoG_Install Task: {E89BB720-2B13-446F-95ED-84A795863CAB} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files\Desk 365\desk365.exe CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{1EFB6596-857C-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{2C247F23-8591-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{35053A22-8589-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{66833FE6-8583-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{8E3867A3-8586-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{BDD1F04B-858B-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE32-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE33-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE34-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE35-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE36-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE37-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE38-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE39-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE3A-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE3B-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE3C-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE3D-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE3E-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE3F-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE40-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE41-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE42-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C74190B6-8589-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{d0a0ed0a-55ac-4469-a197-1d08ce99cfb9}\localserver32 -> C:\Users\UKASZ~1\AppData\Local\Temp\{4f5e3a76-f453-4882-ab42-7224f3310de7}\IDriver.NonElevated.exe (Macrovision Corporation) CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{D5DE8D20-5BB8-11D1-A1E3-00A0C90F2731}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{DD9DA666-8594-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{F08DF954-8592-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Download Assistant.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks\Oblivion C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bohemia Interactive C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cry of Fear C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Deadhunt C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DOSBox-0.73 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FTP Commander Pro C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HyperCam 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Minecraft\Minecraft.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\osu!\osu! updater.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VUGames\SWAT 4 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZD Soft C:\ProgramData\TEMP C:\Users\Gość\Desktop\*.lnk C:\Users\Łukasz\AppData\Local\Temp*.html C:\Users\Łukasz\AppData\Roaming\Mozilla C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome (2).lnk C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Paint (2).lnk C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\SendTo\Znajomy Xfire.lnk C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Magic Hub C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Halflife Logo Creator C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HyperCam 2 C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Virtua Cop 2 C:\Users\Łukasz\Desktop\Dokumenty\avast! Free Antivirus.lnk C:\Users\Łukasz\Desktop\Dokumenty\Dark Souls Prepare to Die Edition.lnk C:\Users\Łukasz\Desktop\Dokumenty\Gry\LFS.lnk C:\Users\Łukasz\Desktop\Dokumenty\Gry\Minecraft.lnk C:\Users\Łukasz\Desktop\Dokumenty\Gry\Skyrim.lnk C:\Users\Łukasz\Desktop\Dokumenty\Gry\TERA.lnk C:\Users\Łukasz\Desktop\Dokumenty\Gry\Tunngle beta.lnk C:\Users\Łukasz\Desktop\Dokumenty\Programy\avast! Free Antivirus.lnk C:\Users\Łukasz\Desktop\Dokumenty\Programy\Nokia PC Suite.lnk C:\Users\Łukasz\Documents\Euro Truck Simulator 2 C:\Windows\3F5C371F8EA24F259D3DD0B4526E3AEA.TMP C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\system\run32dll.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: sc config WinDefend start= demand CMD: type "C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\plik.bat" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Sprawdź czy jesteś w stanie uruchomić normalnie Windows. Jeśli tak, to odinstaluj stare wersje i zbędniki: Adobe AIR, Adobe Download Assistant, Adobe Reader 8.1.2, Adobe Reader 8.1.2 Security Update 1 (KB403742), Adobe Shockwave Player 11.6, Akamai NetSession Interface, AutoUpdate, Bing Bar, MyFreeCodec, Software Informer 1.0 BETA. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Czy problem szkodliwych e-mail nadal występuje? Nie widzę podstaw, by reinstalować system. Nic groźnego nie było robione, poza niezgodnościmi o których już mówiłam *. Jakieś małe odpadki adware i wpisy puste, wpis startowy Office oraz zadania Google i Facebook. Widzę, że zaplątał się jeszcze jeden kwiatek, czyli próba "usuwania" zainstalowanego programu Gramblr. Nieznajomość obsługi FRST (nie obsługuje takiej funkcji) i nieumiejętność oceny wpisu (w tym przypadku "Attention" to jest fałszywy alarm). Wpis nie został przetworzony, więc uszkodzeń brak. * Poprawka. Nie wiem jak to się stało, ale spojrzałam na zły Addition. Te zadania były widoczne wcześniej w Addition: Task: {25D53D71-6B38-460C-9FF9-0015E4A70326} - System32\Tasks\{C10512F8-06B7-4256-B8E0-4CECE60D9227} => pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{9F1A6A24-4901-42F6-A355-5DD2B82E62AE}\setup.exe" -c -runfromtemp -l0x0009 -removeonly Task: {6C48071A-6A11-4180-A4E2-752617A2D59D} - System32\Tasks\{C73231FD-18C3-421A-93F5-2DB088528B42} => pcalua.exe -a "D:\Downloads\DriveManager_v1.0.172_Full\Samsung Drive Manager\Drive Manager Install.exe" -d "D:\Downloads\DriveManager_v1.0.172_Full\Samsung Drive Manager" Task: {BF439209-EE5D-45B5-B1F0-AB7BF3B437E0} - System32\Tasks\{6B29EA5F-7741-4B6B-A904-1078E21C646D} => pcalua.exe -a "K:\Samsung Drive Manager\Drive Manager Install.exe" -d "K:\Samsung Drive Manager" Ich usunięcie to nic takiego, oczyszczenie Harmonogramu ze zbędników (sama to wykonuję czesto tu na forum). Ale w Twoim systemie jest o wiele więcej takich zadań z pcalua.exe.

Log Defogger ma pewnie rozszerzenie *.LOG, w załącznikach dopuyszczam tylko *.TXT. Wykonaj następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 SPDRIVER_1483.0.0.0; \??\C:\Program Files (x86)\ShopperPro\JSDriver\1483.0.0.0\jsdrv.sys [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-1103311512-3379090863-2572892851-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Handler: WSWSVCUchrome - No CLSID Value StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe HKLM-x32\...\Run: [DelaypluginInstall] => C:\ProgramData\Wondershare\Video Converter Ultimate\DelayPluginI.exe Task: {7AB4DC7B-2CA4-40D8-9D7B-46782E559CD4} - System32\Tasks\{1CC424F9-3079-4C4E-9F8E-BE92BA7B846D} => Firefox.exe http://ui.skype.com/ui/0/7.0.59.102/pl/abandoninstall?page=tsBing Task: {F103CC3C-C36C-4B35-B6DA-AA5034C6920D} - \SPBIW_UpdateTask_Time_323439313237313137362d4a375b5a5a6c783245343741 No Task File CMD: C:\Windows\SysWOW64\regsvr32.exe /u /s C:\Windows\SysWOW64\AniGIF.ocx CMD: C:\Windows\SysWOW64\regsvr32.exe /u /s C:\Windows\SysWOW64\WSCM64.dll C:\Program Files (x86)\DAP C:\ProgramData\McAfee C:\ProgramData\Norton C:\ProgramData\SpeedBit C:\ProgramData\TEMP C:\ProgramData\Wondershare Video Converter Ultimate C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\user\AppData\Local\CrashDumps C:\Users\user\AppData\Local\NPE C:\Users\user\AppData\Roaming\{950EB46C-6AC7-4ACC-AB36-9A6A77C08B6A} C:\Users\user\AppData\Roaming\Wondershare Video Converter Ultimate C:\Users\user\Documents\Wondershare MediaServer C:\Users\user\Documents\Wondershare Video Converter Ultimate C:\Users\Public\Documents\GOOBZO C:\Users\Public\Documents\ShopperPro C:\Users\Public\Documents\Wondershare C:\Users\Public\Documents\YTAHelper C:\Users\UpdatusUser\Desktop\My DAP Downloads.lnk C:\Windows\SysWOW64\AniGIF.ocx C:\Windows\SysWOW64\WSCM64.dll Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia Adblock Plus i Blur trzeba będzie przeinstalować. 3. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware Solution Real. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Napraw uszkodzony skrót IE. W pasku adresu eksploratora wklej poniższa ścieżkę i ENTER: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txtoraz raporty z folderu C:\AdwCleaner (był używany, trzeba sprawdzić co usuwał).

Tak, w systemie działa adware Solution Real (wstawione do wszystkich przeglądarek). Działania do wykonania: 1. Przez Dodaj/Usuń programy odinstaluj Solution Real. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {1d7d694e-604c-4da2-9100-b2601d3a1c57}t; C:\WINDOWS\System32\drivers\{1d7d694e-604c-4da2-9100-b2601d3a1c57}t.sys [55832 2015-01-26] (StdLib) R1 {371bcf01-e691-44bf-9345-60788e5d16a5}t; C:\WINDOWS\System32\drivers\{371bcf01-e691-44bf-9345-60788e5d16a5}t.sys [55832 2015-01-28] (StdLib) GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction SearchScopes: HKU\S-1-5-21-1659004503-764733703-839522115-1003 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=100C00C0F05B458F&affID=119357&tsp=4987 BHO: No Name -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> No File Toolbar: HKU\S-1-5-21-1659004503-764733703-839522115-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll No File CHR HomePage: Default -> hxxp://www.gazeta.pl/0,0.html?p=166 C:\WINDOWS\System32\drivers\{1d7d694e-604c-4da2-9100-b2601d3a1c57}t.sys C:\WINDOWS\System32\drivers\{371bcf01-e691-44bf-9345-60788e5d16a5}t.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Solution Real (o ile nadal będzie po w/w deinstalacji) Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Skasuj z dysku plik C:\Delfix.txt. Zawartość urządzenia nieznana. Prewencyjnie na swoim komputerze zastosuj Panda USB Vaccine i opcję Computer Vaccination. Zresetuj system. Następnie podepnij urządzenie i przeskanuj za pomocą Kaspersky Virus Removal Tool. Domyślnie narzędzie prowadzi skan ekspresowy, należy w opcjach zmienić i wskazać do skanu konkretne urządzenie. Nie wiadomo co jest na jego komputerze. Można użyć jednak argumenty, że nie tylko system działa wolniej, ale nie leczony może przestać się uruchamiać i nastąpi utrata danych.

Opcje Addition i Shortcut są dla opcji Scan a nie Fix. Ich zaznaczanie w tym momencie było bezcelowe. Zadania wykonane. Teraz: Zainstaluj Malwarebytes Anti-Malware (przy instalacji odznacz trial). Wykonaj pełny skan systemu. Jeśli program coś znajdzie, dostarcz wynikowy raport.

Tak, pendrive to jedna z dróg transportu Brontok. 1. Za pomocą MBAM usuń znaleziska, ale omiń rekord PUP.Passwordtool.Cain. Dodatkowo: globalne czyszczenie folderu Przywracania systemu (C:\System Volume Information) i tak zostanie przeprowadzone z osobna. 2. Odinstaluj starą wtyczkę Adobe Flash Player 14 ActiveX (wersja dla Internet Explorer). 3. Skasuj pobrany FRST z F:\mozilla. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. I trzeba zająć się komputerem brata. Potrzebne logi FRST i GMER z tego komputera.

Tak, to już koniec. Czyli teraz: 1. Zastosuj DelFix (co nie zostanie usunięte już ręcznie załatw) oraz wyczyść foldery Przywracania systemu. 2. Sugerowane zabezpieczenie przed infekcjami szyfrującymi to aplikacja CryptoPrevent. Dostępna wersja darmowa. 3. Na wszelki wypadek wymiana wszystkich haseł logowania w serwisach (poczta, bank, serwisy społecznościowe, etc.).

Teraz poszło. Na wszelki wypadek zapuść sobie SystemLook ponownie. Dysk C załatwiony. W spisie widzialnych partycji jest też mini partycja serwisowa HP_TOOLS. Przeglądnij ją ręcznie czy nie ma tego rodzaju plików zawierających frazę "itqjnld". Znalezione skasuj przez SHIFT+DEL (omija Kosz). ==================== Drives ================================ Drive c: (Packard Bell) (Fixed) (Total:286.27 GB) (Free:97.64 GB) NTFS ==>[System with boot components (obtained from reading drive)] Drive f: (HP_TOOLS) (Removable) (Total:0.12 GB) (Free:0.01 GB) FAT

Coś mnie zaćmiło z komendą attrib, ona w podanej formie nie jest rekursywna, zapomniałam o przełączniku /s. Kolejny skrypt do FRST: CMD: attrib -h -s C:\*.itqjnld /s CMD: del /q /s C:\*.itqjnld Podaj wynikowy fixlog.txt.

Logi FRST są bezużyteczne, pochodzą z limitowanego konta Gość: Ran by Guest (ATTENTION: The logged in user is not administrator) on SOLSKIER-PC on 01-02-2015 12:38:13 Running from C:\Users\Guest\Downloads Loaded Profiles: Solskier & Sol & Guest (Available profiles: Solskier & Sol & Guest) Wyloguj się z tego konta całkowicie poprzez pełny restart systemu (a nie Wyloguj czy Przełącz użytkownika) i zaloguj na właściwe konto o uprawnieniach administracyjnych. Z poziomu tego konta pobierz FRST ponownie i zrób trzy logi.

Fix dużo usunął, ale nie wszystko. Maska nie objęła plików mających rozszerzenie BMP po sufiksie szyfracyjnym oraz plików z atrybutem ukrytym bądź ukrytym systemowym. Poprawka: 1. Do Notatnika wklej: CMD: attrib -h -s C:\*.itqjnld CMD: del /q /s C:\*.itqjnld CMD: del /q /s "C:\Decrypt All Files itqjnld.bmp" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt. 2. Ponów szukanie SystemLook. Nie powinien nic pokazać.

Przestarzały OTL nie jest brany pod uwagę. Proszę dostosuj się do zasad działu jakie logi są obowiązkowe (FRST + GMER): KLIK.

Na temat używania ComboFix: KLIK. Log już zostaw, by było wiadome co było mieszane. Proszę się dostosować do zasad działu i dostarczyć obowiązujące tu logi FRST i GMER: KLIK. A także opisać o co Ci w ogóle chodzi z "robalem", tzn. co się dzieje.

Porównaj z tym tematem: KLIK. Definiując Received: from ----> adres IP możesz wyszukać IP na Whois i zgłosić abuse na podany odnośnik e-mail. Poza tym, możesz obstawiać nie ten komputer co trzeba. Przyczyną może być zainfekowany komputer firmowy, w którym jest książka adresowa z adresem żony, a szkodnik na owym komputerze losuje dane adresowe i rozsyła spam na wszystkie adresy z książki. W raportach nie ma żadnych oznak infekcji, nie było jej również w żadnym z logów podanym na tamtym forum. Jedyne obiekty infekcji były wykrywane w dwóch Koszach klienta pocztowego. Nie liczę drobnych wpisów adware w Firefox i odczytu AdwCleaner, bo to kompletnie bez związku. PS. Nie analizowałam dokładnie tematu na dobrychprogramach, ale tam były dziwne instrukcje, ten kto podawał skrypty nie wygląda na zbyt obeznanego, ani w Windows, ani w obsłudze FRST. Na szybko uwagi:

Skoro nie widzisz tej pozycji, to być może już jej po prostu nie ma. Mogło się tak stać, jeśli coś robiłeś w zakresie instalacji Adobe np. uruchamiając instalator. Wątpię, by to było powiązane z adware, inny poziom modyfikacji. Jak rozumiem odinstalowałeś poniższe oprogramowanie, gdyż nic innego z listy Addition nie pasuje do tematu "touchpad". Finger Sensing Pad Driver (HKLM\...\{E86906FF-C63D-4EAF-ACE7-5F8D55FBEA9A}) (Version: 8.8.8.6 - Sentelic) Owszem, widzę różnicę między pierwszym a drugim głównym raportem FRST, tzn. w międzyczasie zniknął wpis startowy "fspuip". Nie wiadomo skąd ten zanik, ponieważ nic nie było usuwane z tego zakresu jawnie. Nie trzeba było deinstalować oprogramowania (sterownik "fspad_win764" był ciągle na miejscu), tylko należało przywrócić wpis startowy. HKLM\...\Run: [fspuip] => C:\Program Files\FSP\fspuip.exe [5803520 2012-09-07] (Sentelic Corporation) Jeli chodzi o link do pobierania softu, to w jaki sposób został wytypowany i z jakim modelem laptopa mamy tu do czynienia?

Co oznacza plik "fixit.txt"? Skrypty są jednorazowego użytku. Poprzedni skrypt nie ma zastosowania ani ponownie na tym samym stanie systemu, ani po użyciu Przywracania systemu, gdy system wygląda inaczej. W obecnej sytuacji inne instrukcje doczyszczania śmieci: 1. Odinstaluj stare wersje i zbędniki: Acrobat.com, Ad-Aware Browsing Protection, Ad-Aware Security Add-on, Adobe Shockwave Player 12.1, DriverMax 7, Gadu-Gadu 6.1. Jeśli chodzi o ten straszny Gadu-wtręt (wersja dziurawa jak rzeszoto, niebezpieczna, a obsługa Gadu umowna), to zainteresuj się nowoczesnym WTW: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S1 SBRE; No ImagePath S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] BootExecute: autocheck autochk * sdnclean64.exe HKLM\...\Run: [] => [X] HKU\S-1-5-21-564767970-4186023011-380315173-1000\...\Run: [CCleaner] => "C:\Program Files\CCleaner\CCleaner64.exe" /AUTO Task: {5384B913-52FC-4B56-8482-5B4F92AE9D34} - System32\Tasks\SvcDelay => C:\Windows\temp\SvcDelay.exe Task: {6DD3AC14-94AA-47B0-8763-EAE57D273563} - System32\Tasks\EasyPartitionManager => C:\Windows\MSetup\BA46-12225A02\EPM.exe Task: {88C6A8CA-71F3-4178-B80A-19893AB30BBB} - System32\Tasks\Express Files Updater => C:\Program Files (x86)\ExpressFiles\EFupdater.exe Task: {D56931E0-CFF4-4F9B-B864-6A271341731C} - System32\Tasks\Ad-Aware Antivirus Scheduled Scan => C:\PROGRA~2\AD-AWA~1\AdAwareLauncher.exe GroupPolicyUsers\S-1-5-21-564767970-4186023011-380315173-1000\User: Group Policy restriction detected HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141101 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141101 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-564767970-4186023011-380315173-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141101 SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File CustomCLSID: HKU\S-1-5-21-564767970-4186023011-380315173-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\mirra\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-564767970-4186023011-380315173-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\mirra\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-564767970-4186023011-380315173-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\mirra\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File CHR HKLM-x32\...\Chrome\Extension: [oejkcgajlodefenbbjdnaiahmbnnoole] - C:\Program Files (x86)\adawaretb\chrome-newtab-search.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [pbiamblgmkgbcgbcgejjgebalncpmhnp] - C:\Program Files (x86)\StartSearch plugin\vshareplg.crx [Not Found] C:\Users\mirra\Downloads\*(*)-dp*.exe C:\Windows\system32\SET*.tmp CMD: for /d %f in (C:\Users\mirra\AppData\Local\{*}) do rd /s /q "%f" Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {DBD64135-7390-4F52-9069-56A8BCA4D47E} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {DBD64135-7390-4F52-9069-56A8BCA4D47E} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz fixlog.txt.

Jeśli chodzi o czyszczenie systemu, to skończyliśmy. Do zastosowania DelFix oraz czyszczenie folderów Przywracania systemu: KLIK. Jeśli chodzi o nowe wątki, to załóż temat w dziale Hardware dostarczając dane specjalistyczne pod tematykę sprzętową: KLIK. Zlinkuj też tam ten temat, by było wiadomo że poziom software został tu już załatwiony.