picasso

Pomyślny start systemu oznacza, że był uszkodzony któryś kluczowy plik, tylko niestety nie mogę sprawdzić który, bo brak rekordów w CBS.LOG. Jest pewne, że katalog Windows Defender był naruszony, ale ten rodzaj usterki nie powinien tworzyć czarnego ekranu... Oczywiście teraz już log FRST spod RE jest nieaktualny, liczą się bogatsze logi FRST spod Windows. Przechodzimy do doczyszczania systemu ze śmieci. Będę usuwać także komponenty Firefox, który jest niepoprawnie zainstalowany (brak wejścia deinstalacji, skróty jednak są). 1. Włącz Przywracanie systemu, gdyż aktualnie jest wyłączone. 2. Odinstaluj stare wersje i zbędniki: Adobe AIR, Adobe Reader X (10.1.13), Adobe Shockwave Player 12.0, Gadu-Gadu 10, Java 7 Update 45, Mozilla Maintenance Service, Opera 12.16. Przed wykonaniem punktu numer 3 usuwającym Firefox możesz zrobić kopię zapasową zakładek i haseł (ale nic więcej) za pomocą MozBackup. 3. Otwórz Notatnik i wklej w nim: CreateRestorePoint: HKU\S-1-5-19\...\Run: [Winrar_Update] => "C:\ProgramData\Winrar_Update\dtdasndku.exe" HKU\S-1-5-20\...\Run: [Winrar_Update] => "C:\ProgramData\Winrar_Update\dtdasndku.exe" HKU\S-1-5-21-671787287-3483274435-3103815376-1001\...\Run: [WerFault] => C:\Users\Właściciel\AppData\Roaming\1819.exe HKU\S-1-5-21-671787287-3483274435-3103815376-1001\...\Run: [Winrar_Update] => "C:\ProgramData\Winrar_Update\dtdasndku.exe" HKU\S-1-5-21-671787287-3483274435-3103815376-1001\...\RunOnce: [Adobe Speed Launcher] => 1422546875 CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1419848387&from=cor&uid=MAXTORXSTM3320820AS_6QF2HM69XXXX6QF2HM69" CHR HKLM\...\Chrome\Extension: [edaejikblbkinejkmkkodkjofpkfibdi] - C:\ProgramData\DownloadnSave\edaejikblbkinejkmkkodkjofpkfibdi.crx [Not Found] CHR HKLM\...\Chrome\Extension: [jfmjfhklogoienhpfnppmbcbjfjnkonk] - No Path HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-671787287-3483274435-3103815376-1001 -> Backup.Old.DefaultScope {FD63BF63-BFFF-4B8F-9D26-4267DF7F17DD} SearchScopes: HKU\S-1-5-21-671787287-3483274435-3103815376-1001 -> {6FD0B21A-6782-57C1-E6C2-3F41F0380BDE} URL = http://www.google.com/custom?q={searchTerms}&sa.x=0&sa.y=0&safe=active&client=pub-3794288947762788&forid=1&channel=1975384696&ie=UTF-8&oe=UTF-8&hl=en&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1 Task: {F736E87B-8B56-457E-A9C6-A9CCF5806C18} - System32\Tasks\{DDA2CD83-7AE5-426D-B3C5-FD7D8DC9DAA6} => pcalua.exe -a C:\Users\Właściciel\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{00021401-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{0C7EFBDE-0303-4C6F-A4F7-31FA2BE5E397}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{0E890F83-5F79-11D1-9043-00C04FD9189D}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Właściciel\AppData\Local\Google\Update\1.3.25.5\psuser.dll No File CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{16D51579-A30B-4C8B-A276-0FF4DC41E755}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{16F3DD56-1AF5-4347-846D-7C10C4192619}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{1E66F26B-79EE-11D2-8710-00C04F79ED0D}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{25336920-03F9-11CF-8FD0-00AA00686F13}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{275C23E2-3747-11D0-9FEA-00AA003F8646}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{2916C86E-86A6-43FE-8112-43ABE6BF8DCC}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{2933BF91-7B36-11D2-B20E-00C04F983E60}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{3050F391-98B5-11CF-BB82-00AA00BDCE0B}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{3050F3B2-98B5-11CF-BB82-00AA00BDCE0B}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{3050F406-98B5-11CF-BB82-00AA00BDCE0B}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{3050F4CF-98B5-11CF-BB82-00AA00BDCE0B}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{30C3B080-30FB-11D0-B724-00AA006C1A01}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Właściciel\AppData\Local\Google\Update\1.3.23.9\psuser.dll No File CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{385A91BC-1E8A-4E4A-A7A6-F4FC1E6CA1BD}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{42AEDC87-2188-41FD-B9A3-0C966FEABEC1}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{4CB26C03-FF93-11D0-817E-0000F87557DB}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{4DF0C730-DF9D-4AE3-9153-AA6B82E9795A}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{4FD2A832-86C8-11D0-8FCA-00C04FD9189D}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{50D5107A-D278-4871-8989-F4CEAAF59CFC}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{50EF4544-AC9F-4A8E-B21B-8A26180DB13F}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{527C9A9B-B9A2-44B0-84F9-F0DC11C2BCFB}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{555278E2-05DB-11D1-883A-3C8B00C10000}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{607FD4E8-0A03-11D1-AB1D-00C04FC9B304}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{62112AA1-EBE4-11CF-A5FB-0020AFE7292D}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{6A01FDA0-30DF-11D0-B724-00AA006C1A01}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{6F237DF9-9DDB-47AD-B218-400D54C286AD}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{7057E952-BD1B-11D1-8919-00C04FC2C836}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{76765B11-3F95-4AF2-AC9D-EA55D8994F1A}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{782355DA-B9DB-48F3-84D4-340E450EF3A5}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{807563E5-5146-11D5-A672-00B0D022E945}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{81397204-F51A-4571-8D7B-DC030521AABD}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{8856F961-340A-11D0-A96B-00C04FD705A2}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Właściciel\AppData\Local\Google\Update\1.3.24.15\psuser.dll No File CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{920E6DB1-9907-4370-B3A0-BAFC03D81399}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{99FD978C-D287-4F50-827F-B2C658EDA8E7}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{9BA05972-F6A8-11CF-A442-00A0C90A8F39}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{9CFC2DF3-6BA3-46EF-A836-E519E81F0EC4}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{A3CCEDF7-2DE2-11D0-86F4-00A0C913F750}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\Właściciel\AppData\Local\Google\Update\1.3.22.3\psuser.dll No File CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{A4A1A128-768F-41E0-BF75-E4FDDD701CBA}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Właściciel\AppData\Local\Google\Update\1.3.21.165\psuser.dll No File CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{A5DC33CE-214B-4C26-8596-8A45456C9EB8}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{A7EE7F34-3BD1-427F-9231-F941E9B7E1FE}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{ADC6CB82-424C-11D2-952A-00C04FA34F05}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{B54F3741-5B07-11CF-A4B0-00AA004A55E8}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{B8967F85-58AE-4F46-9FB2-5D7904798F4B}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{CACAF262-9370-4615-A13B-9F5539DA4C0A}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{CD773740-B187-4974-A1D5-E0FF91372277}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{D1FE6762-FC48-11D0-883A-3C8B00C10000}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{D7B70EE0-4340-11CF-B063-0020AFC2CD35}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{DA5F0C98-4A7B-4C92-915E-4BE1BC95DE99}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{E569BDE7-A8DC-47F3-893F-FD2B31B3EEFD}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{E77CC89B-7401-4C04-8CED-149DB35ADD04}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\Właściciel\AppData\Local\Google\Update\1.3.22.5\psuser.dll No File CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{F414C260-6AC0-11CF-B6D1-00AA00BBBB58}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{FBF23B40-E3F0-101B-8488-00AA003E56F8}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Właściciel\AppData\Local\Google\Update\1.3.24.7\psuser.dll No File CustomCLSID: HKU\S-1-5-21-671787287-3483274435-3103815376-1001_Classes\CLSID\{FF393560-C2A7-11CF-BFF4-444553540000}\InprocServer32 -> No File Path C:\service.log C:\Program Files\Mozilla Firefox C:\ProgramData\aygda_save.log C:\ProgramData\Mozilla C:\ProgramData\TEMP C:\Users\Właściciel\AppData\Local\DownloadLog.txt C:\Users\Właściciel\AppData\Local\Temp*.html C:\Users\Właściciel\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Właściciel\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Właściciel\AppData\Local\Mozilla C:\Users\Właściciel\AppData\Roaming\Mozilla C:\Users\Właściciel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Fabryka Gier Onet C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WinsysMon" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Warning /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKU\S-1-5-21-671787287-3483274435-3103815376-1002_Classes\CLSID /f Reg: reg delete HKU\S-1-5-21-671787287-3483274435-3103815376-1002\Software\Microsoft\Windows\CurrentVersion\Run /f Reg: reg delete "HKU\S-1-5-21-671787287-3483274435-3103815376-1002\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-21-671787287-3483274435-3103815376-1002\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Właściciel\AppData\Local CMD: dir /a C:\Users\Właściciel\AppData\LocalLow CMD: dir /a C:\Users\Właściciel\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (ręcznie aktywuj). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Napraw uszkodzony specjalny skrót IE. W pasku adresów eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Właściciel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 6. Zrób nowy log FRST z opcji Scan (z Addition, bez Shortcut). Dołącz też plik fixlog.txt. PS. Oczywiście odpowiadasz w nowym poście, nie edytuj poprzedniego.

Infekcji w rozumieniu wirusów i trojanów tu nie ma, są tu tylko odpadki adware. Adware nabyłeś na jeden z tych sposobów (był w obrotach jakiś "downloader"): KLIK. Adware produkowało owszem reklamy, ale jest już w postaci szczątkowej. Problemów u Ciebie nie tworzą infekcje. Obecnie widać całkiem gdzie indziej poważny problem: system jest zamęczony oprogramowaniem zabezpieczającym - w tle równolegle działają ESET Smart Security i Ad-Aware, są także ślady niedobrze odinstalowanych AVG i Avira. Nie wolno instalować równolegle kilku antywirusów z czynnymi osłonami rezydentnymi. Taki układ mógł spowodować nawet niemożność uruchomienia systemu, niewątpliwie też degraduje wydajność systemu. Pierwszy jest hostem bibliotek - zwykle pojawia się (w postaci wielokrotnych wystąpień), gdy do czynienia mamy z plikami multimedialnym: przeglądanie ich w eksploratorze z widokiem miniatury, uruchamianie jakiś czynności związanych z takimi plikami. Drugi jest od aplikacji XSManager (od mobilnego netu). R2 WTGService; C:\Program Files (x86)\XSManager\WTGService.exe [329848 2012-11-13] () To jest aktualizator Java. HKLM-x32\...\Run: [sunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [507776 2014-10-07] (Oracle Corporation) Na temat używania ComboFix: KLIK. ComboFix był uruchamiany wielokrotnie i dostarczony tu log nie jest zasadniczym (reszta poprzednich logów jest w C:\Qoobox). Wyniki skanerów Ad-Aware i ESET: - Połowa wyników nieistotna. Pochodzi z katalogu C:\Qoobox = kwarantanna ComboFix... - Reszta to adware w katalogach tymczasowych i innych miejscach dysku. Ogólnie nic szczególnego i nie jest to związane z problemami. Pod kątem antywirusów i odpadków adware: 1. Czyszczenie gruntu z instalacji antywirusowych (wszystkich) oraz starych programów: - Deinstalacje przez Panel sterowania: Ad-Aware Antivirus, Ad-Aware Web Companion, Adobe AIR, Adobe Reader X (10.1.0) MUI, Avira, ESET Online Scanner, ESET Smart Security, Google Chrome, Java 7 Update 55, Java 8 Update 25, Java™ 6 Update 20, Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables, Web Companion. Obie instalacje "Visual Studio" są od AVG. - Po tym wejdź w Tryb awaryjny Windows i zastosuj specjalne usuwacze: AVG Remover, Avira Registry Cleaner i ESET Uninstaller. Na razie nie instaluj żadnych nowych wersji i kolejnych antywirusów. 2. Przejdź w Tryb normalny. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 1a34a8e0; "C:\Windows\system32\rundll32.exe" "c:\progra~2\SWSvc.dll",service S3 Trufos; C:\Windows\System32\DRIVERS\Trufos.sys [389240 2014-07-10] (BitDefender S.R.L.) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] Task: {9878ED9E-C093-4D13-8FA5-79D82730C0A2} - System32\Tasks\YourFile Update => C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe Task: {CC6610D3-5884-47CC-8A15-A19C9FA18BBA} - System32\Tasks\BitGuard => Sc.exe start BitGuard GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2084366123-426833693-2885736349-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-2084366123-426833693-2885736349-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-2084366123-426833693-2885736349-1000\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=8454047D7B05A2B4&affID=125036&tsp=5027 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM-x32 -> DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.amaizingsearches.info/?l=1&q={searchTerms}&pid=34&r=2014/04/08&hid=10677299689271255244&lg=EN&cc=DE&unqvl=51 SearchScopes: HKLM-x32 -> {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=DE&userid=6b354f69-286a-4e70-8ab3-1942f6078358&searchtype=ds&p={searchTerms}&fr=linkury-tb&installDate=07/01/2014&type=hp1000 SearchScopes: HKLM-x32 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.amaizingsearches.info/?l=1&q={searchTerms}&pid=34&r=2014/04/08&hid=10677299689271255244&lg=EN&cc=DE&unqvl=51 SearchScopes: HKU\S-1-5-21-2084366123-426833693-2885736349-1000 -> DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.amaizingsearches.info/?l=1&q={searchTerms}&pid=34&r=2014/04/08&hid=10677299689271255244&lg=EN&cc=DE&unqvl=51 SearchScopes: HKU\S-1-5-21-2084366123-426833693-2885736349-1000 -> {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.helperbar.com/?publisher=YahooOC&dpid=YahooOC&co=DE&userid=6b354f69-286a-4e70-8ab3-1942f6078358&searchtype=ds&p={searchTerms}&fr=linkury-tb&installDate=07/01/2014&type=hp1000 SearchScopes: HKU\S-1-5-21-2084366123-426833693-2885736349-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?pc=COSP&ptag=D121114-AA9FED7399E21497DA0F&form=CONBDF&conlogo=CT3330947&q={searchTerms} SearchScopes: HKU\S-1-5-21-2084366123-426833693-2885736349-1000 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.amaizingsearches.info/?l=1&q={searchTerms}&pid=34&r=2014/04/08&hid=10677299689271255244&lg=EN&cc=DE&unqvl=51 BHO-x32: No Name -> {02478D38-C3F9-4efb-9B51-7695ECA05670} -> No File BHO-x32: No Name -> {93DBF2BB-A2B3-4683-A92E-57E60751F346} -> No File Toolbar: HKLM - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} - No File Toolbar: HKLM-x32 - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} - No File C:\Program Files (x86)\Google C:\Program Files (x86)\JustCloud C:\Program Files (x86)\MyPC Backup C:\Program Files (x86)\Yahoo! C:\ProgramData\Avira C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\Administrator C:\Users\Gast C:\Users\HomeGroupUser$ C:\Users\Toshiba\AppData\Local\Google C:\Users\Toshiba\AppData\Roaming\msregsvv.dll C:\Users\Toshiba\AppData\Roaming\msvcr90-ruby191.dll C:\Users\Toshiba\AppData\Roaming\osu.txt C:\Users\Toshiba\AppData\Roaming\wtgoverride.wdb C:\Users\Toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\AAMS.lnk C:\Users\Toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard C:\Users\Toshiba\Desktop\Narzedzia\Avira Control Center.lnk C:\Windows\System32\DRIVERS\Trufos.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\avgnt" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\starter4g" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Sweetpacks Communicator" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Updater" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{EA8FA6BE-29BE-4AF2-9352-841F83215EB0} /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Toshiba\AppData\Local CMD: dir /a C:\Users\Toshiba\AppData\LocalLow CMD: dir /a C:\Users\Toshiba\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz resztę logów z C:\Qoobox. Wypowiedz się co się dzieje po przeprowadzonych działaniach.

Przywrócenie poprzedniej wersji rejestru zapewne przywróciło też poprzednio usuwane wpisy szkodników, ale one są już puste i to na razie nie jest istotne. AdwCleaner nie przedstawia żadnych tipów, nie było usuwane nic powiązanego. Spróbuj jeszcze zrobić sprawdzanie poprawności plików na dysku: 1. Uruchom środowisko RE, nie uruchamiaj FRST, by nie przemapował liter. W Wierszu polecenia wklep notepad i przez nawigację boczną upewnij się jaki jest układ liter. Następnie w linii komend wpisz polecenie: sfc /scannow /offbootdir=X:\ /offwindir=Y:\windows X - podstawiasz literę partycji rozruchowej Windows (etykieta "Boot"), powinno być to C. Y - podstawiasz literę partycji na której jest zainstalowany Windows. Przypuszczalnie D. Podaj jaki zwrot z tej komendy otrzymasz. Jeli będzie tekst o uszkodzeniach i sprawdzaniu CBS.LOG, to się nie aplikuje, gdyż SFC uruchomione z zewnątrz w ogóle nie nagrywa raportu i nie będzie można sprawdzić jakie pliki zostaną naprawione. Ale conajmniej katalog C:\Program Files\Windows Defender powinien zostać zrekonstruowany. 2. Dodatkowo, rejestr był odkręcany, więc po powyższej akcji zrób nowy log z FRST. Ale zrób go na innych warunkach, tzn. odznacz pola Whitelist dla Services i Drivers.

SFC naprawił sporo plików: 2015-01-29 12:10:25, Info CSI 00000230 [sR] Repairing corrupted file [ml:520{260},l:86{43}]"\??\C:\Program Files (x86)\Windows Defender"\[l:24{12}]"MpClient.dll" from store 2015-01-29 12:10:25, Info CSI 00000231 [sR] Repairing corrupted file [ml:520{260},l:86{43}]"\??\C:\Program Files (x86)\Windows Defender"\[l:24{12}]"MpAsDesc.dll" from store 2015-01-29 12:10:25, Info CSI 00000232 [sR] Repairing corrupted file [ml:520{260},l:86{43}]"\??\C:\Program Files (x86)\Windows Defender"\[l:24{12}]"MsMpLics.dll" from store 2015-01-29 12:10:25, Info CSI 00000233 [sR] Repairing corrupted file [ml:520{260},l:86{43}]"\??\C:\Program Files (x86)\Windows Defender"\[l:18{9}]"MpOAV.dll" from store 2015-01-29 12:10:25, Info CSI 00000234 [sR] Repairing corrupted file [ml:520{260},l:98{49}]"\??\C:\Program Files (x86)\Windows Defender\pl-PL"\[l:30{15}]"MpEvMsg.dll.mui" from store 2015-01-29 12:10:25, Info CSI 00000235 [sR] Repairing corrupted file [ml:48{24},l:46{23}]"\??\C:\Windows\SysWOW64"\[l:30{15}]"FirewallAPI.dll" from store 2015-01-29 12:10:25, Info CSI 00000236 [sR] Repairing corrupted file [ml:520{260},l:98{49}]"\??\C:\Program Files (x86)\Windows Defender\pl-PL"\[l:32{16}]"MpAsDesc.dll.mui" from store 2015-01-29 12:10:34, Info CSI 00000288 [sR] Repairing corrupted file [ml:48{24},l:46{23}]"\??\C:\Windows\SysWOW64"\[l:24{12}]"WerFault.exe" from store 2015-01-29 12:10:42, Info CSI 000002b2 [sR] Repairing corrupted file [ml:48{24},l:46{23}]"\??\C:\Windows\SysWOW64"\[l:14{7}]"mmc.exe" from store Poprawki: 1. Trzeba wyrzucić śmieci z naprawionego katalogu Windows Defender. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\Windows Defender\MpAsDesc.dll.b8x0E40.7b90e C:\Program Files (x86)\Windows Defender\MpClient.dll.FCmU4.h0G9a C:\Program Files (x86)\Windows Defender\MpOAV.dll.z30d.SJ6044s C:\Program Files (x86)\Windows Defender\MsMpLics.dll.90rF.7Tc4 C:\Program Files (x86)\Windows Defender\pl-PL.13407S.W2DbL5 C:\Users\rwi\AppData\Roaming\Microsoft\Word\STARTUP Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. McAfee został przeinstalowany, więc na wszelki wypadek jeszcze zrób nowy log FRST z opcji Scan (z Addition, bez Shortcut).

Skoro manipulujesz w układzie oprogramowania, to log FRST zawsze musi pochodzić z czasu po tejże akcji. Dostarczony tu log FRST jest nieadekwatny, nadal pokazuje zainstalowany ESET, nie można ocenić czy deinstalacja nie pozostawiła jakiś sterowników ESET w systemie. Proszę o ponowne raporty FRST (włącznie z Addition).

W kwestii doczyszczania po adware: 1. Uruchom AdwCleaner ponownie, lecz tym razem zastosuj Szukaj + Usuń. Po czyszczeniu: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przedstaw wynikowy fixlog.txt. vs. Jaki konkretnie błąd zwracają osłony McAfee? Spróbuj jeszcze raz przeinstalować program, ale wg tych kroków: - Odinstaluj wszystkie komponenty (McAfee LiveSafe, McAfee SafeKey(uninstall only), McAfee SiteAdvisor) tradycyjnie przez Panel sterowania. - Następnie zastosuj McAfee Consumer Product Removal Tool. - Zainstaluj program ponownie. Jeśli to nie przyniesie rezultatów, proponuję skontaktować się bezpośrednio z supportem McAfee.

Adresy DNS na poziomie routera są już poprawne - czy test dostępu do routera wypadł pomyślnie? Reszta zadań też wykonana. Kończymy: Zastosuj DelFix (GMER dokasuj ręcznie) oraz wyczyść foldery Przywracania systemu: KLIK.

Jak sądzę żadnych zmian w operatywności McAfee? Jeśli chodzi o zadania związane z adware, to zostały pomyślnie wykonane, na pozostałych kontach nie widać żadnych jawnych szkodników. Drobne poprawki na koncie ROBERT: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\AppEnable C:\Program Files (x86)\Common Files\Symantec Shared C:\ProgramData\374311380 C:\ProgramData\NortonInstaller Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj Usuń na razie) i dostarcz log z folderu C:\AdwCleaner.

Zewnętrzne środowisko oznacza nie tylko WinRE, ale dowolną inną płytę, która umożliwia uruchomienie programów skompilowanych pod Windows. W temacie jest też stara płyta OTLPE - możesz spróbować, ale wątpię czy się nadaje (problem braku sterowników nowszego kontrolera dysku). Płyta Kaspersky (Linux) odpada w przedbiegach, tym bardziej że nawet dysków nie rozpoznaje. Jaki konkretnie błąd? I całość obecnych problemów wygląda mimo wszystko jak problem inny niż związany z wpływem infekcji czy Avast, ponieważ: - Jest problem nawet z załadowaniem Trybu awaryjnego w wersji minimalnej (w tym trybie nie działają ani odpadki adware, ani Avast widoczne w pierwszym logu). - Jest problem z załadowaniem zewnętrznego środowiska WinRE z poziomu pendrive. To środowisko jest niezależne od zainstalowanego Windows. Zwłaszcza ten ostatni fakt skłania mnie do teorii, że usterka wykracza poziom Windows, może to być usterka sprzętowa, a problemy mogły się zbiec w czasie.

Jeszcze nie skończyliśmy. Nie dostarczyłeś wyników Zoek.

Problemem nie jest infekcja w systemie, lecz infekcja routera - pierwszy adres jest szkodliwy (ukraiński): Tcpip\Parameters: [DhcpNameServer] 91.212.124.159 8.8.8.8 Tu nie pomogą żadne skanery i fiksy stosowane spod Windows, gdyż infekcja jest na poziomie nadrzędnego urządzenia rozdzielającego sieć. Do wdrożenia następujące działania: 1. Jeśli masz dostęp, zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Czyszczenie bufora DNS Windows oraz kosmetyka pustych wpisów. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2475440314-2936318858-1982231046-1000\...\Run: [infor Organizer] => "C:\Program Files\Infor PL\Infor Organizer\Infor.Organizer.exe" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2475440314-2936318858-1982231046-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2475440314-2936318858-1982231046-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-2475440314-2936318858-1982231046-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-01-22] Task: {3FC151C5-711D-46A0-B1B8-54160DDEF226} - System32\Tasks\{377BB847-8F2B-460C-AF7D-6A0B717EC9B7} => pcalua.exe -a F:\SETUP.EXE -d F:\ S3 catchme; \??\C:\Users\Dorota\AppData\Local\Temp\catchme.sys [X] C:\Windows\system32\Drivers\PROCEXP113.SYS RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\Kaspersky Lab RemoveDirectory: C:\Qoobox Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: - Ustawienia > karta Rozszerzenia > odinstaluj sponsoringowe rozszerzenie Avast SafePrice. - Zresetuj cache wtyczek w celu likwidacji pustych wpisów. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Brak śladów infekcji, do korekty będą tylko wpisy szcztkowe, ale na początek objaśnij parę kwestii: Wyjaśnij dlaczego martwisz się systemem, co się konkretnie dzieje i dlaczego był stosowany ComboFix, co to miało "rozwiązać": Stosowałeś ComboFix i na ten temat: KLIK. Catchme to jest zintegrowany komponent ComboFix. Po użyciu ComboFix zostaje odpadkowy sterownik: S4 catchme; \??\C:\Users\ADMINI~1\AppData\Local\Temp\catchme.sys [X] I nie tylko to. ComboFix robi różne "resety" w systemie, część modyfikacji nie sprowadza ustawień do poziomu domyślnego. Lista sterowników zawsze będzie bogata - mnóstwo sterowników preinstalowanych z systemem oraz sterowniki doinstalowane wtórnie od producentów trzecich (sterowniki sprzętowe oraz sterowniki innych aplikacji). Dodatkowe pytanie - czy to jest jakiś sztucznie modyfikowany nieoryginalny system? W raportach widać uszkodzony Windows Defender: S4 WinDefend; %ProgramFiles%\Windows Defender\mpsvc.dll [X]

Pole szybkiej odpowiedzi na spodzie tematu > Więcej opcji > otwiera się pełny edytor z funkcją załączania plików.

Opisz w czym konkretnie jest problem z załączaniem plików.

Podaj jaki błąd zwraca uruchamianie Outlooka. Wpisy infekcji pomyślnie przetworzone, ale infekcja zniszczyła katalog C:\Program Files (x86)\Windows Defender - są w nim jakieś bełkotliwe "zastępcze" obiekty: ========================= Folder: C:\Program Files (x86)\Windows Defender ======================== 2013-09-24 07:27 - 2013-05-27 04:15 - 0009216 ____N (Microsoft Corporation) C:\Program Files (x86)\Windows Defender\MpAsDesc.dll.b8x0E40.7b90e 2013-09-24 07:27 - 2013-05-27 05:57 - 0392704 ____N (Microsoft Corporation) C:\Program Files (x86)\Windows Defender\MpClient.dll.FCmU4.h0G9a 2013-09-24 07:27 - 2013-05-27 05:57 - 0054784 ____N (Microsoft Corporation) C:\Program Files (x86)\Windows Defender\MpOAV.dll.z30d.SJ6044s 2013-09-24 07:27 - 2013-05-27 05:57 - 0004608 ____N (Microsoft Corporation) C:\Program Files (x86)\Windows Defender\MsMpLics.dll.90rF.7Tc4 2013-07-29 01:07 - 2015-01-22 14:15 - 0000000 ____D () C:\Program Files (x86)\Windows Defender\pl-PL.13407S.W2DbL5 2013-07-29 01:07 - 2013-07-29 01:07 - 0041472 ____N (Microsoft Corporation) C:\Program Files (x86)\Windows Defender\pl-PL.13407S.W2DbL5\MpAsDesc.dll.mui.Bi718.4{2j7 2013-07-29 01:07 - 2013-07-29 01:07 - 0017920 ____N (Microsoft Corporation) C:\Program Files (x86)\Windows Defender\pl-PL.13407S.W2DbL5\MpEvMsg.dll.mui.95kr9.VC0 Jest podejrzenie, że takie wtręty są też w innym miejscu na dysku. Mówiłam też, że McAfee wygląda na uszkodzony - kilka wpisów jest klasyfikowanych jako "puste". Kolejna porcja działań: 1. Przeinstaluj McAfee. Deinstalacja McAfee Agent i McAfee VirusScan Enterprise via Panel sterowania. Zainstaluj ponownie McAfee. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie: 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log C:\ProgramData\Local Settings C:\ProgramData\Roaming C:\ProgramData\Mozilla Folder: C:\Program Files (x86)\Windows Defender Folder: C:\Users\rwitowski\AppData\Roaming\Microsoft\Outlook Folder: C:\Users\rwitowski\AppData\Roaming\Microsoft\Signatures Folder: C:\Users\rwitowski\AppData\Roaming\Microsoft\Word RemoveDirectory: C:\Users\rwi\AppData\Local\Temp EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Przedstaw wynikowy fixlog.txt.

Tak, wszystkie wyniki do usunięcia. Usuń też pobrany FRST i GMER. Następnie zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zastąp starą wersję Adobe Flash Player 15 ActiveX najnowszą: KLIK.

To dziwne, że FF był w stanie się uruchomić po wykonaniu skryptu, gdyż poleciały wszystkie lokalizacje i nie miałby skąd się uruchamiać... C:\Program Files (x86)\Mozilla Firefox => Moved successfully. C:\ProgramData\Mozilla => Moved successfully. C:\Users\win7\AppData\Roaming\Mozilla => Moved successfully. I sprawę obrazuje też najnowszy log FRST, nawet nie wykrywa nowego profilu. Coś mi nie gra w opisie. Ale to już zostawmy, jak mówię przeinstaluj nakładkowo.

Wszystko zrobione, toteż kończymy. Znajome kroki z zastosowaniem DelFix oraz czyszczeniem folderów Przywracania systemu: KLIK.

W obecnej sytuacji trzeba będzie przeinstalować Firefox na nowo, gdyż mój skrypt usuwał znacznie więcej niż profil (również główny katalog oraz klucze rejestru). Jeśli chodzi o wstępne usuwanie adware, wykonane pomyślnie i teraz: Uruchom AdwCleaner. Wybierz tylko Szukaj (na razie bez Usuń) i dostarcz log wynikowy z C:\AdwCleaner.

Wszystko wykonane. Jeszcze drobne poprawki: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1123561945-1580818891-725345543-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1123561945-1580818891-725345543-1004\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.microsoft.com/isapi/redir.dll?Prd=ie&Pver=5.0&Ar=ie5update&O1=b1 BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File BHO: JQSIEStartDetectorImpl Class -> {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -> C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll No File FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff RemoveDirectory: C:\Documents and Settings\Grzegorz\Pulpit\FRST-OlderVersion RemoveDirectory: C:\Documents and Settings\Grzegorz\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Qoobox CMD: del /q "C:\Documents and Settings\Grzegorz\Pulpit\33mkb8o1.exe" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj na razie Usuń) i przedstaw wynikowy log z folderu C:\AdwCleaner.

Wojtek1990, proszę dostarcz obowiązujące tu raporty: KLIK.

Polityki blokujące G Data pomyślnie usunięte. Czy obecna instalacja G Data jest całkowita i program się uruchamia? Jeśli nie, należy odinstalować obecne wejście i ponowić instalację. W kwestii szczątka Java, uruchom Zoek. W oknie wklej: Java™ SE Runtime Environment 6 Update 1;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log).

Zrób log FRST z poziomu środowiska zewnętrznego: KLIK.

Ostatni skrypt do FRST - do Notatnika wklej: C:\Users\daria1\AppData\Local\Installer C:\Users\daria1\AppData\Local\Mozilla C:\Users\daria1\AppData\LocalLow\Adblock Plus for IE C:\Users\daria1\AppData\LocalLow\Temp C:\Users\daria1\AppData\Roaming\BlueSprig C:\Users\daria1\AppData\Roaming\DAEMON Tools Lite C:\Users\daria1\AppData\Roaming\Returnil C:\Users\daria1\AppData\Roaming\rmi C:\Users\daria1\AppData\Roaming\WebApp Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

Z tym trialem nie szkodzi, po upływie czasu próbnego program przełączy się na wersję darmową i będziesz mógł go nadal używać do skanów na żądanie. Jeśli chodzi o wyniki, to nic szczególnego: jakiś śmieć w Koszu oraz kilka obiektów adware w Temp. O tyle to dziwne, że egzekwowałam komendę EmptyTemp: w pierwszym skrypcie FRST, komenda adresuje te lokalizacje. Wyniki sugerują więc, że to jakieś nowe nabytki już po prowadzonym czyszczeniu. Czy usunąłeś te wyniki za pomocą programu?