picasso

Błąd zgłasza AVG: KLIK. Widzę, że pominąłeś deinstalację MyWinLocker i Norton Online Backup. Czy na pewno z tych programów korzystasz? Ich usunięcie ograniczyłoby liczbę procesów uruchamianych w tle na korzyść zasobów systemu. Jeśli jednak z nich korzystasz, wątek zostawię w spokoju. I poprawki: 1. Otwórz Notatnik i wklej w nim: CHR HomePage: Default -> https://mysearch.avg.com?cid={FB4215A1-B731-4501-A2D6-AD1838594A26}&mid=8bd0cd6fdd0d47d0af0f59e75b65a113-bc3ae82cd2758b5f87515caab2e724511db09901&lang=pl&ds=gm011&coid=avgtbdisgm&cmpid=&pr=sa&d=2014-02-16 19:20:35&v=18.1.9.799&pid=safeguard&sg=&sap=hp CHR StartupUrls: Default -> "https://mysearch.avg.com?cid={FB4215A1-B731-4501-A2D6-AD1838594A26}&mid=8bd0cd6fdd0d47d0af0f59e75b65a113-bc3ae82cd2758b5f87515caab2e724511db09901&lang=pl&ds=gm011&coid=avgtbdisgm&cmpid=&pr=sa&d=2014-02-16 19:20:35&v=18.1.9.799&pid=safeguard&sg=&sap=hp" BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File C:\Program Files\PDFCreator C:\Program Files (x86)\GUT8C39.tmp C:\Program Files (x86)\GUTFE13.tmp C:\Program Files (x86)\Acer GameZone C:\Program Files (x86)\AVG SafeGuard toolbar C:\Program Files (x86)\AVG Security Toolbar C:\Program Files (x86)\BearShare Applications C:\Program Files (x86)\Common Files\CyberLink C:\Program Files (x86)\Common Files\Oberon Media C:\Program Files (x86)\FoxTabFLVPlayer C:\Program Files (x86)\FoxTabMusicConverter C:\Program Files (x86)\GUM8C38.tmp C:\Program Files (x86)\GUMFE12.tmp C:\Program Files (x86)\Java C:\Program Files (x86)\McAfee C:\Program Files (x86)\Mega Browse C:\Program Files (x86)\Mozilla Firefox.bak C:\Program Files (x86)\RightSurf C:\Program Files (x86)\SAGEM C:\Program Files (x86)\SecurityXploded C:\Program Files (x86)\SweetPacks C:\Program Files (x86)\Temp C:\Program Files (x86)\WebConnect C:\Program Files (x86)\weBsave C:\Program Files (x86)\YoutubeAdblocker C:\ProgramData\{32364CEA-7855-4A3C-B674-53D8E9B97936} C:\ProgramData\10166 C:\ProgramData\AirportMania C:\ProgramData\Alwil Software C:\ProgramData\Ask C:\ProgramData\AVAST Software C:\ProgramData\AVG2014 C:\ProgramData\Avg_Update_0814tb C:\ProgramData\Avg_Update_1214tb C:\ProgramData\Babylon C:\ProgramData\CyberLink C:\ProgramData\DSearchLink C:\ProgramData\f5c5bc419f8d1d48 C:\ProgramData\Gadu-Gadu 10 C:\ProgramData\IBUpdaterService C:\ProgramData\InstallMate C:\ProgramData\McAfee C:\ProgramData\OpenFM C:\ProgramData\Oracle C:\ProgramData\Partner C:\ProgramData\Sun C:\ProgramData\tmp C:\ProgramData\Tlen.pl C:\ProgramData\TuneUp Software C:\ProgramData\weBsave C:\ProgramData\YoutubeAdblocker C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acer GameZone C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games C:\Users\Karolina\AppData\Local\{A608761E-4E7B-4A49-A5B2-5908951116F6} C:\Users\Karolina\AppData\Local\avgchrome C:\Users\Karolina\AppData\Local\BearShare C:\Users\Karolina\AppData\Local\Comodo C:\Users\Karolina\AppData\Local\Cyberlink C:\Users\Karolina\AppData\Local\Torch C:\Users\Karolina\AppData\LocalLow\Sun C:\Users\Karolina\AppData\Roaming\7go.ico C:\Users\Karolina\AppData\Roaming\speedanalysis.ico C:\Users\Karolina\AppData\Roaming\AnvSoft C:\Users\Karolina\AppData\Roaming\BESTplayer C:\Users\Karolina\AppData\Roaming\BitTorrent C:\Users\Karolina\AppData\Roaming\CyberLink C:\Users\Karolina\AppData\Roaming\Torreador C:\Users\Karolina\AppData\Roaming\Torrius C:\Users\Karolina\AppData\Roaming\TuneUp Software C:\Users\Karolina\Desktop\VIDEO_TS\AVG 2014.lnk C:\Windows\System32\Tasks\Adobe Acrobat Update Task CMD: for /d %f in (C:\Users\Karolina\AppData\Local\{*}) do rd /s /q "%f" Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {6A1806CD-94D4-4689-BA73-E35EA1EA9990} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj na razie Usuń) i dostarcz log wynikowy z folderu C:\AdwCleaner.

Drobne poprawki. Otwórz Notatnik i wklej w nim: C:\Program Files\Common Files\System\SysMenu.dll C:\Program Files\Common Files\System\SysMenu64.dll C:\Program Files (x86)\BlueSprig C:\Program Files (x86)\SymSilent C:\Program Files (x86)\Temp C:\ProgramData\AVAST Software C:\ProgramData\DAEMON Tools Lite C:\ProgramData\Logs C:\ProgramData\Mozilla C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\PopCap Games C:\ProgramData\Returnil CMD: dir /a C:\Users\daria1\AppData\Local CMD: dir /a C:\Users\daria1\AppData\LocalLow CMD: dir /a C:\Users\daria1\AppData\Roaming Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt. Nowy skan FRST nie jest mi potrzebny.

Nic tu nie wskazuje na problem infekcji. Temat przenoszę do działu Sieci. Dostarcz dane wymagane działem: KLIK. Tematem zajmie się prawdopodobnie kto inny, nie jest to moja specjalizacja. PS. Uwaga dodatkowa, soft Western Digital sypie błędami w Dzienniku zdarzeń - sugeruję deinstalację aplikacji "WD": Application errors: ================== Error: (01/28/2015 09:14:15 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: WDBackupEngine.exe, wersja: 2.0.0.15, sygnatura czasowa: 0x547e4bc4 Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.18247, sygnatura czasowa: 0x521ea8e7 Kod wyjątku: 0xc00000fd Przesunięcie błędu: 0x00033df8 Identyfikator procesu powodującego błąd: 0x1358 Godzina uruchomienia aplikacji powodującej błąd: 0xWDBackupEngine.exe0 Ścieżka aplikacji powodującej błąd: WDBackupEngine.exe1 Ścieżka modułu powodującego błąd: WDBackupEngine.exe2 Identyfikator raportu: WDBackupEngine.exe3 Error: (01/28/2015 09:04:51 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: WDBackupEngine.exe, wersja: 2.0.0.15, sygnatura czasowa: 0x547e4bc4 Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.18247, sygnatura czasowa: 0x521ea8e7 Kod wyjątku: 0xc00000fd Przesunięcie błędu: 0x00033df8 Identyfikator procesu powodującego błąd: 0x33c Godzina uruchomienia aplikacji powodującej błąd: 0xWDBackupEngine.exe0 Ścieżka aplikacji powodującej błąd: WDBackupEngine.exe1 Ścieżka modułu powodującego błąd: WDBackupEngine.exe2 Identyfikator raportu: WDBackupEngine.exe3 Error: (01/28/2015 08:55:55 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: WDBackupEngine.exe, wersja: 2.0.0.15, sygnatura czasowa: 0x547e4bc4 Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.18247, sygnatura czasowa: 0x521ea8e7 Kod wyjątku: 0xc00000fd Przesunięcie błędu: 0x00032542 Identyfikator procesu powodującego błąd: 0x1e4 Godzina uruchomienia aplikacji powodującej błąd: 0xWDBackupEngine.exe0 Ścieżka aplikacji powodującej błąd: WDBackupEngine.exe1 Ścieżka modułu powodującego błąd: WDBackupEngine.exe2 Identyfikator raportu: WDBackupEngine.exe3 Error: (01/28/2015 08:46:59 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: WDBackupEngine.exe, wersja: 2.0.0.15, sygnatura czasowa: 0x547e4bc4 Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.18247, sygnatura czasowa: 0x521ea8e7 Kod wyjątku: 0xc00000fd Przesunięcie błędu: 0x0002defe Identyfikator procesu powodującego błąd: 0xf94 Godzina uruchomienia aplikacji powodującej błąd: 0xWDBackupEngine.exe0 Ścieżka aplikacji powodującej błąd: WDBackupEngine.exe1 Ścieżka modułu powodującego błąd: WDBackupEngine.exe2 Identyfikator raportu: WDBackupEngine.exe3 Error: (01/28/2015 08:37:53 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: WDBackupEngine.exe, wersja: 2.0.0.15, sygnatura czasowa: 0x547e4bc4 Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.18247, sygnatura czasowa: 0x521ea8e7 Kod wyjątku: 0xc00000fd Przesunięcie błędu: 0x0002defe Identyfikator procesu powodującego błąd: 0xe1c Godzina uruchomienia aplikacji powodującej błąd: 0xWDBackupEngine.exe0 Ścieżka aplikacji powodującej błąd: WDBackupEngine.exe1 Ścieżka modułu powodującego błąd: WDBackupEngine.exe2 Identyfikator raportu: WDBackupEngine.exe3 Error: (01/28/2015 08:29:09 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: WDBackupEngine.exe, wersja: 2.0.0.15, sygnatura czasowa: 0x547e4bc4 Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.18247, sygnatura czasowa: 0x521ea8e7 Kod wyjątku: 0xc00000fd Przesunięcie błędu: 0x00033df8 Identyfikator procesu powodującego błąd: 0xde4 Godzina uruchomienia aplikacji powodującej błąd: 0xWDBackupEngine.exe0 Ścieżka aplikacji powodującej błąd: WDBackupEngine.exe1 Ścieżka modułu powodującego błąd: WDBackupEngine.exe2 Identyfikator raportu: WDBackupEngine.exe3

Na zakończenie: 1. Usuń używane skanery z folderu D:\Programy. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Nie pamiętam dokładnie opcji Kaperskiego, ale wydaje mi się, że w momencie gdy skan się ukończy jest dostępna zakładka z wynikiem skanu ograniczonym do wpisów "Detected" i to po prostu przekleić. I o ile dobrze sobie przypominam, ponowne uruchomienie nadpisuje poprzednie wyniki. Na razie nie ma na widoku szczególnych zadań. Nadal mam zaległy gruby log ze spisem zaszyfrowanych plików do obejrzenia. Nie mogę się zmobilizować, a czasu też mam mało, bo dużo topików w dziale.

Uruchom Zoek. W oknie wklej: Java™ 6 Update 18;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log). ESET się zainstalował, więc blokada jest pozorna. Jednakże to bardzo dziwne, że on nadal widzi gdzieś "antywirusy", skoro było tu porządne czyszczenie falsyfikatów. Podaj mi skan dodatkowy. Uruchom SystemLook i w oknie wklej: :dir C:\Windows\Installer /s :filefind *avira* :folderfind *avira* :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root :regfind avira Klik w Look i przedstaw wynikowy raport.

Czy są jeszcze jakieś problemy? Wszystko zostało wykonane. Ostatni skrypt do FRST - otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\APN CMD: del /q C:\Users\Daria\Desktop\AdwCleaner*.txt Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {3B4D267E-D127-44F0-ABFE-5B80AF9624B8} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {3B4D267E-D127-44F0-ABFE-5B80AF9624B8} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Nowy skan FRST nie jest mi potrzebny.

To szybkie przelecenie nazwy "Rootkit" raczej potwierdza to co sugerowałam - to jest sekcja skanowania o nazwie "Rootkit", a nie infekcja typu "Rootkit". W jakim formacie są zrzuty ekranu? W załącznikach można wysyłać tylko pliki PNG, JPG i GIF. BMP wykluczone. Jak mówię, nie ma tu oznak infekcji. System był przywracany do ustawień fabrycznych, a problem McAfee występuje mimo to. W Dzienniku zdarzeń są błędy McAfee, a sam skan się wiesza - teraz wychodzi na to, że w różnych sekcjach skanu. To wszystko nie rokuje dobrze dla McAfee na komputerze.

Tak, masz zrobić nowy log FRST, który ma przedstawić zmiany.

Czy dobrze rozumiem, że Avast mimo użycia firmowego narzędzia usuwającego z poziomu Trybu awaryjnego nadal się uruchamia? Poprozę o nowe logi FRST, włącznie z Addition mające obrazować co się zmieniło.

Orbit jest prawdopodobnie flagowany z tych powodów: KLIK 1. W związku z powyższym go odinstaluj tradycyjnie poprzez Dodaj/Usuń programy. 2. Następnie uruchom AdwCleaner i zastosuj sekwencję Szukaj + Usuń. Dostarcz wynikowy log AdwCleanerSX.txt.

Kończymy: 1. Usuń używane skanery z folderu C:\Users\Kasia\Desktop\czyszczenie. 2. Zastosuj DelFix, wyczyść foldery Przywracania systemu i zaktualizuj Adobe Reader: KLIK.

Proszę nie używaj opcji "Odpowiedz" zlokalizowanej przy postach - to jest funkcja cytatu ładująca całą poprzednią wypowiedź do posta. Zedytowałam. Korzystaj z pola szybkiej odpowiedzi na spodzie tematu i opcji "Napisz". Fix FRST był wykonywany dwa razy - skrypty są niepowtarzalne (nie przetworzą dwa razy tego samego) = co się działo podczas uruchomienia? Brakuje nowego głównego skanu:

Partycja F była zgłaszana w Dzienniku zdarzeń - to wiem. Mnie jednak teraz chodziło o skan dysku C. Jeśli jest z tym problem, to zamiennie zastosuj komendę chkdsk C: /f /r. Dostarcz jednak wszystkie wyniki skanów z C i F.

Tu były infekcje nie przenoszące się na inne dyski. Wyjątkiem są ślady tego "szyfratora", który jakoby nie zrobił nic. Do skanowania dysku zewnętrznego można zastosować dowolnie wybranego antywirusa. Jeśli masz na myśli wersje skrócone, to np. Kaspersky Virus Removal Tool - w konfiguracji skanera trzeba wskazać dysk. Skasuj z dysku plik C:\Delfix.txt.

Zadania wykonane. Poprawki: 1. Uruchom AdwCleaner, lecz tym razem zastosuj sekwencję Szukaj + Usuń. Po czyszczeniu: 2. Ostatni skrypt do FRST. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. PS. Co z ikoną Grupy domowej?

Fix FRST pomyślnie wykonany. AdwCleaner dopatrzył się większej ilości szczątków adware. Kolejna porcja zadań: 1. Uruchom AdwCleaner, lecz tym razem zastosuj sekwencję Szukaj + Usuń. Po czyszczeniu: 2. Ostatni skrypt do FRST. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Kaspersky Lab RemoveDirectory: C:\Users\Kasia\Desktop\Stare dane programu Firefox Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Temat przenoszę do działu XP. Podobnie jak w poprzednim wypadku, brak oznak infekcji. 1. Jest tu jakiś błąd związany z woluminem dysku: Error: (01/10/2015 06:18:32 PM) (Source: 0) (EventID: 1) (User: ) Description: 0xC0000001HarddiskVolume1 Wejdź do Dziennika zdarzeń i przeklej oryginalne szczegóły błędu. 2. Jeden z plików Microsoftu nie ma sygnatury cyfrowej: R2 Dhcp; C:\WINDOWS\System32\dhcpcsvc.dll [111616 2006-08-10] (Microsoft Corporation) [File not signed] Uruchom FRST, w polu Search wklep dhcpcsvc.dll, klik w Search Files i dostarcz wynikowy log.

Temat przenoszę do działu Windows. Nic tu nie wskazuje na problem infekcji - skąd jej podejrzenie? W spoilerze doczyszczanie wpisów szczątkowych, które jest jednak bez znaczenia w kontekście problemów. Jeśli chodzi o problem odtwarzania video i zielone ekrany, to może być to problem z akceleracją sprzętową. Natomiast pod kątem wolnego wczytywania systemu i długiego inicjowania aplikacji: 1. Rozpocznij od deinstalacji Avast - starsza wersja (edycja 2014). Przy okazji pozbądź się też starszych wersji Adobe i Java oraz Freemake Video Downloader i Pando Media Booster. 2. Po operacjach ze spoilera oraz powyższych deinstalacjach zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. Wypowiedz się dzieje. Nie jest wykluczony problem sprzętowy. .

Widać tu tylko źle wyczyszczone adware - najcięższym elementem uruchamianym z zestawu jest sterownik {665e51a3-da93-4d76-a3a4-e4194c384ce8}w64, który może mieć bardzo negatywny wpływ na system. Natomiast komponenty McAfee zwracają w Dzienniku zdarzeń błędy typu "is not trusted", jedna z usług brak pliku (tę będę usuwać). Dodatko licencja Windows wygląda na scrackowaną (to się nasuwa, gdyż do kompletu w pliku HOSTS są charakterystyczne blokady serwerów MS, które robią cracki). Application errors: ================== Error: (01/27/2015 11:15:55 PM) (Source: AVLogEvent) (EventID: 5010) (User: ZARZĄDZANIE NT) Description: McShield failed to start because it is not trusted. Error Code:a7f40905 Error: (01/27/2015 11:15:55 PM) (Source: AVLogEvent) (EventID: 5010) (User: ZARZĄDZANIE NT) Description: McShield failed to start because it is not trusted. Error Code:a7f40905 Error: (01/27/2015 11:15:41 PM) (Source: AVLogEvent) (EventID: 5010) (User: ZARZĄDZANIE NT) Description: McShield failed to start because it is not trusted. Error Code:a7f40905 Error: (01/27/2015 11:15:41 PM) (Source: AVLogEvent) (EventID: 5010) (User: ZARZĄDZANIE NT) Description: McShield failed to start because it is not trusted. Error Code:a7f40905 Error: (01/27/2015 11:06:37 PM) (Source: Winlogon) (EventID: 4103) (User: ) Description: Aktywacja licencji systemu Windows nie powiodła się. Błąd 0x00000000. System errors: ============= Error: (01/27/2015 11:14:25 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi McAfee Anti-Spam Service z powodu następującego błędu: %%1053 Error: (01/27/2015 11:14:25 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą McAfee Anti-Spam Service. Error: (01/27/2015 10:52:36 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi McAfee CSP Service z powodu następującego błędu: %%2 Na razie usuń adware, choć mam szczere wątpliwości, czy to ma związek z McAfee. Wstępnie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {665e51a3-da93-4d76-a3a4-e4194c384ce8}w64; C:\Windows\System32\drivers\{665e51a3-da93-4d76-a3a4-e4194c384ce8}w64.sys [48784 2015-01-27] (StdLib) S1 {820a714f-c526-4777-8e87-e9d6612e0938}Gw64; system32\drivers\{820a714f-c526-4777-8e87-e9d6612e0938}Gw64.sys [X] S2 0165441422395760mcinstcleanup; C:\Users\KAHLR\AppData\Local\Temp\016544~1.EXE [854720 2014-11-19] (McAfee, Inc.) S2 0c632643; "C:\Windows\system32\rundll32.exe" "c:\progra~3\intere~1\InterenetOptimizerSvc.dll",service S2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe -service [X] S2 mccspsvc; "C:\Program Files\Common Files\McAfee\CSP\1.3.336.0\McCSPServiceHost.exe" [X] S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] Task: {80F9AE36-6054-4DBE-97DA-6C5674208116} - System32\Tasks\{7F420921-0A3A-4C35-A7C4-681F2A7B61AD} => pcalua.exe -a C:\Users\ROBERT\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=sien HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-1773470009-2733455634-175904507-1001\...\MountPoints2: {6b98147a-94ce-11e4-8aa1-00241dd78311} - J:\LGAutoRun.exe AppInit_DLLs: C:\PROGRA~3\INTERE~1\INTERE~2.DLL => C:\PROGRA~3\INTERE~1\INTERE~2.DLL File Not Found AppInit_DLLs-x32: c:\progra~3\intere~1\intere~1.dll => "c:\progra~3\intere~1\intere~1.dll" File Not Found GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1418128689&from=sien&uid=WDCXWD5001AALS-00L3B2_WD-WCASY850276002760&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1418128689&from=sien&uid=WDCXWD5001AALS-00L3B2_WD-WCASY850276002760&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1418128689&from=sien&uid=WDCXWD5001AALS-00L3B2_WD-WCASY850276002760 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1418128689&from=sien&uid=WDCXWD5001AALS-00L3B2_WD-WCASY850276002760&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1418128689&from=sien&uid=WDCXWD5001AALS-00L3B2_WD-WCASY850276002760&q={searchTerms} C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\SupTab C:\Program Files (x86)\Temp C:\ProgramData\IePluginServices C:\ProgramData\Norton C:\ProgramData\Symantec C:\ProgramData\WindowsMangerProtect C:\Users\ROBERT\*.exe C:\Users\ROBERT\AppData\Local\globalUpdate C:\Users\ROBERT\AppData\Roaming\systweak C:\Windows\system32\roboot64.exe C:\Windows\System32\drivers\{665e51a3-da93-4d76-a3a4-e4194c384ce8}w64.sys Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WindowsMangerProtect /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\ROBERT\AppData\Local CMD: dir /a C:\Users\ROBERT\AppData\LocalLow CMD: dir /a C:\Users\ROBERT\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw uszkodzony skrót IE. W pasku adresów eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\ROBERT\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Logi pochodzą z konta ROBERT, ale w systemie jest większa ilość kont: ========================= Accounts: ========================== KAHLR (S-1-5-21-1773470009-2733455634-175904507-1003 - Administrator - Enabled) => C:\Users\KAHLR Malinka (S-1-5-21-1773470009-2733455634-175904507-1004 - Limited - Enabled) => C:\Users\Malinka ROBERT (S-1-5-21-1773470009-2733455634-175904507-1001 - Administrator - Enabled) => C:\Users\ROBERT Wymagane logi FRST z każdego konta z osobna. Tzn. po kolei zaloguj się na każde konto poprzez pełny restart systemu (a nie Wyloguj czy Przełącz użytkownika) i zrób nowy zestaw FRST z opcji Scan (zaznacz pole Addition, ale nie Shortcut). Na koncie limitowanym Malinka uruchom FRST poprzez dwuklik a nie "Uruchom jako Administrator" (to zmieni kontekst konta). Dołącz też plik fixlog.txt.

Greener Web to adware. Owszem, odinstalowałeś, ale jest tu jeszcze co czyścić (odpadki po tym śmieciu oraz innych adware). Akcja: 1. Odinstaluj Kaspersky Virus Removal, gdyż czyszczenie Tempów zadane poniżej uziemi deinstalator. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S1 {a3f28269-ad17-41a8-b032-3e0313ef8979}Gw64; system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw64.sys [X] S3 DIRECTIO; \??\C:\Program Files (x86)\PerformanceTest\DirectIo.sys [X] S2 MaintainerSvc4.07.4104264; "C:\ProgramData\398c0b96-ebd3-4f67-a5c7-1899a15c12be\maintainer.exe" [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-1760723777-208154846-305114149-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKU\S-1-5-21-1760723777-208154846-305114149-1000 -> {099D38E0-3780-4695-9CB3-B95EF46DEE57} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=515 C:\Program Files (x86)\Greener Web C:\ProgramData\398c0b96-ebd3-4f67-a5c7-1899a15c12be C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\DSite /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Image Editor Packages" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Qtrax Connection Manager" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\McComponentHostService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Update Greener Web" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Util Greener Web" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Yahoo! Search" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż przeszkodzi FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj na razie Usuń). Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

To program jednorazowego użytku - kompilację ściąga się za każdym razem od nowa. Cytuję z supportu Kasperskiego: Kaspersky Virus Removal Tool 2011 does not have a function to update its antivirus databases. The only way to actualize the tool is to download it again from Kaspersky Lab servers and install it. It is also necessary to uninstall the previous version of Kaspersky Virus Removal Tool 2011 before installing a newer one. Your computer may crash to BSOD, hang and etc. in the result of simultaneous execution of more than one version. Mnie interesują tylko wyniki typu "Detected", a nie cały log z masą zbędnych informacji typu "OK" / "zablokowany" / "archiwum na hasło". + ESET wykrył błahą część tej infekcji, tzn. te "pomocnicze" pliki TXT i HTML. One nie są groźne per se, zawierają "instrukcje" jak odszyfrować pliki, tzn. jak zapłacić haracz cyberprzestępcom. Reszta wyników z Documents i Downloads to mało istotne rzeczy, czyli po prostu instalatory z adware / downloadery. Dla porównania ta wypowiedź: KLIK. Tu było już tak dużo zapisów na dysku (samo działanie systemu Windows powoduje nieustanne zapisy), że rezultaty są mocno wątpliwe i podejrzewam, że nici z interesu. Gdy infekcja wystąpiła, należało natychmiast w momencie jej inicjacji odciąć komputer od prądu, by zablokować zapisy na dysku i od razu podjąć próbę zewnętrzną odzysku danych. W obecnej sytuacji: ani nie wiadomo jak długo trwała infekcja, ani nie wiadomo jak bardzo zapisy na dysku pogrążyły sprawę. Możesz oczywiście próbować, ale czarno to widzę. Poza tym, nie jestem pewna czy przypadkiem ten nowy wariant nie wbija zer na dysku w miejsce zastępowanych oryginałów, co uniemożliwia zastosowanie softu do odzysku danych. Ten wątek do działu Hardware. Załóż tam nowy temat z danymi wymaganymi działem: KLIK. Zlinkuj im też tutejszy temat, by wiedzieli co jeszcze się działo.

Temat w niewłaściwym dziale. Przenoszę do Windows. Could not access network location Program Files (x86)\. Moim zdaniem błąd jest definitywnie skutkiem Twojego przekierowania ręcznego: Gdzieś w rejestrze są niepoprawne odnośniki. Skoro to się dzieje tylko przy instalacjach typu MSI, sugerowany jest problem w kluczach Instalatora Windows (Installer). Pro forma mógłbyś mi pokazać rejestr do wglądu, tzn. spakuj do ZIP cały folder C:\FRST\Hives, shostuj gdzieś i podaj do tego link. Ale proponuję nie męczyć się i od razu w całości pozbyć się tej edycji i nie ponawiać z nią już prób. Widzę jej małą przydatność: Edycja którą pokazujesz, jest ledwie wycinkiem, jeśli przekierowanie katalogów miałoby być zrobione porządnie. Jest cała chmara wpisów w rejestrze (związanych z komponentami systemowymi), które nie zostaną zaktualizowane tą metodą i odwołują do starej lokalizacji, może to mieć skutki uboczne, gdyż po przekierowaniu ProgramFilesDir i CommonFilesDir poprzednie lokalizacje nie są traktowane jako specjalne. I tu w systemie już sypie błędami związanymi z tym co mówię - błędy typu "not found": System errors: ============= Error: (01/25/2015 01:42:23 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi WMPNetworkSvc z powodu następującego błędu: %%2 Error: (01/25/2015 01:40:18 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa WinDefend zakończyła działanie; wystąpił następujący błąd: %%126 Poza tym, ta edycja jest mało pomocna do ograniczania instalacji programów na dysku C: - Po pierwsze: bez żadnej globalnej edycji (która może mieć skutki uboczne) podobny efekt uzyskasz przy instalacji programów w dialogu instalacji danego programu wskazując daną ścieżkę. - Ta edycja nie zapobiega tworzeniu folderów aplikacji na dysku C w tych miejscach: C:\ProgramData\Program C:\Users\Konto\AppData\Local\Program C:\Users\Konto\AppData\LocalLow\Program C:\Users\Konto\AppData\Roaming\Program Przykład z Twojego raportu: 2015-01-22 14:00 - 2015-01-22 14:00 - 00000000 ____D () C:\Users\x\AppData\Roaming\SketchUp 2015-01-22 14:00 - 2015-01-22 14:00 - 00000000 ____D () C:\ProgramData\SketchUp PS. A o poniższych pomysłach zapomnij. Usunięcie tych kluczy spowodowałoby jeszcze więcej problemów.

Ponawiam prośbę: W kwestii niemożności startu Windows spróbuj jeszcze cofnąć cały rejestr części systemowej przy udziale kopii typu RegBack: 1. Do Notatnika wklej: LastRegBack: 2015-01-24 03:53 Tak jak poprzednio: zapisz jako fixlist.txt i ulokuj tam gdzie siedzi FRST. Uruchom FRST i klik w Fix. Dostarcz fixlog.txt. 2. Sprawdź czy są jakiekolwiek zmiany przy starcie.

Pogram należy zastosować z poziomu Trybu awaryjnego Windows. Czy tak to stosowałeś?