picasso

Uzupełnione raporty nie są do końca takie jak należy: log z FRST zrobiony inaczej niż zalecenia (niepotrzebnie zaznaczone opcje "Drivers MD5" i "List BCD"), a zamiast GMER jest limitowany aswMBR. Jeśli rzecz o szkodliwym oprogramowaniu, to są tylko drobne szczątki. Pod tym kątem: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R&q={searchTerms} HKU\S-1-5-21-3125670856-3659484653-3208966508-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R HKU\S-1-5-21-3125670856-3659484653-3208966508-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R&q={searchTerms} SearchScopes: HKU\S-1-5-21-3125670856-3659484653-3208966508-1001 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={F248F14B-59C6-4A4F-96E1-87DA77C1C3BE}&mid=61f86600962947cda1d029e0253ffe02-7f6672bf4582164481bafc8f4aaf6ed3c4f25650&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2015-01-19 22:53:44&v=4.0.5.7&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-3125670856-3659484653-3208966508-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?PC=WCUG&FORM=WCUGDF&q={searchTerms} SearchScopes: HKU\S-1-5-21-3125670856-3659484653-3208966508-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422013307&from=cor&uid=ST500LT012-1DG142_W3P3YD5RXXXXW3P3YD5R&q={searchTerms} SearchScopes: HKU\S-1-5-21-3125670856-3659484653-3208966508-1001 -> {3B4D267E-D127-44F0-ABFE-5B80AF9624B8} URL = SearchScopes: HKU\S-1-5-21-3125670856-3659484653-3208966508-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={F248F14B-59C6-4A4F-96E1-87DA77C1C3BE}&mid=61f86600962947cda1d029e0253ffe02-7f6672bf4582164481bafc8f4aaf6ed3c4f25650&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2015-01-19 22:53:44&v=4.0.5.7&pid=wtu&sg=&sap=dsp&q={searchTerms} BHO: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File Task: {7B63B95B-514F-4E03-BFAE-5D3174352378} - System32\Tasks\{F91AFC00-2D32-4775-A543-D1FBB84F0199} => pcalua.exe -a "C:\Program Files\Acer\Remote Files\AcerRemoteFileSetup.exe" -c -uninstall S1 avgtp; \??\C:\WINDOWS\system32\drivers\avgtpx64.sys [X] U3 aswMBR; \??\C:\Users\Daria\AppData\Local\Temp\aswMBR.sys [X] U3 aswVmm; \??\C:\Users\Daria\AppData\Local\Temp\aswVmm.sys [X] C:\Program Files (x86)\AVG Web TuneUp C:\Program Files (x86)\Opera C:\ProgramData\AVG Security Toolbar C:\ProgramData\Norton C:\ProgramData\WindowsMangerProtect C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Packard Bell Quick Access.lnk C:\Users\Daria\AppData\Local\CrashDumps C:\Users\Daria\AppData\Local\DanuSoft C:\Users\Daria\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Daria\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Daria\AppData\Local\Opera Software C:\Users\Daria\AppData\Roaming\Mobogenie C:\Users\Daria\AppData\Roaming\omiga-plus C:\Users\Daria\AppData\Roaming\Opera Software C:\Users\Public\Documents\GenieSoft C:\Users\Public\Pokki C:\WINDOWS\msdownld.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres isearch.omiga-plus.com, przestaw na "Otwórz stronę nowej karty". 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany).

vs. System errors: ============= Error: (01/24/2015 11:18:17 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie C:. Error: (01/24/2015 11:18:17 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie C:. Error: (01/24/2015 11:18:17 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie \Device\HarddiskVolume2. 1. Wywołaj nowe sprawdzanie dysku komendą chkdsk /f /r i zresetuj system. Powinien zostać nagrany nowy rekord - wklej wyniki. 2. Dopiero, gdy wykonasz sprawdzanie dysku, przeprowadź skan na naruszenia plików Windows. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. PS. Widzę, że korzystałeś z wątpliwego produktu DLLFixer - z daleka od takich wynalazków, można nabroić. W spoilerze drobne korekty na wpisy puste i odpadki adware. Nie mają jednak związku z problemem zasadniczym.

Link wklej.org jest błędny i zwraca błąd 404. Proszę wszystkie obowiązkowe logi (FRST i GMER) wstawić jako załączniki posta a nie na serwisach hostingowych. Każdy log jako osobny plik (nie scalać trewści plików). eFiX Pro firmy Reimage to niepożądany program: KLIK.

vs. Pierwsze uruchomienie owszem z D - to było moje niedopatrzenie, bo przed uruchomieniem FRST jest inna litera. Tylko że jak już się FRST uruchomi następuje przetasowanie mapowania dysków w locie i po uruchomieniu FRST D staje się C. FRST więc powinien znaleźć Fixlist. W związku z tym, że uruchomiony FRST nie wyczuwa jego obecności skorzystaj z pendrive jak radzi Zappa (litera pendrive będzie statyczna i nie zmieni się w pamięci), ale rób to z RE a nie Trybu awaryjnego. W Trybie awaryjnym komendy CMD zrócą wyniki "Odmowa dostępu". Środowisko RE jest po to, by obejść problem uprawnień. Dzięki, poprawię. Znalazłam jeszcze kilka innych takich kwiatków w innych topikach. Chyba ostatnia aktualizacja forum coś skopciła.

Masz sprawdzić listę woluminów w konfiguracji Ochrony systemu, a nie w menedżerze partycji diskmgmt.msc. EDIT: Pisałam nie widząc odpowiedzi wieslaw531.

Zadanie wykonane. możesz usunąć z dysku plik C:\Delfix.txt. To tyle.

Zadanie wykonane. Teraz uruchom najnowszą wersję AdwCleaner. Wybierz Szukaj (nie stosuj na razie Usuń) i dostarcz raport z folderu C:\AdwCleaner

Proszę stosuj opcję Edytuj, gdy nikt jeszcze nie odpisał, a chcesz uzupełnić informacje. Wszystkie posty sklejam. I to Cię "martwi", że program nic nie znalazł? To bardzo dobrze, że wyników brak, system jest wyczyszczony porządnie. A te znaleziska Hitman to malutkie śmietki (związane z adware i ciastko) i nic szczególnego. vs. W międzyczasie możesz jeszcze zapuścić skan Kaspersky Virus Removal Tool. Domyślnie jest prowadzony ekspresowy przebieg, pełny skan ustawia się w opcjach.

Zasady działu się zmieniły, przestarzały OTL nie jest już obowiązkowy. Niestety mam bardzo niedobre wieści, system jest zainfekowany wirusem wykonywalnych Sality - wirus atakuje wszystkie pliki tego rodzaju na wszystkich dostępnych dyskach. Jego pobyt zwykle kończy się formatem dysku, nawet jeśli wirus zostanie "zdeaktywowany" (po wyczyszczeniu plików z kodu wirusa mogą powstać trwałe uszkodzenia o niemożliwym do oceny zakresie). Znaki Sality w Twoich raportach to losowe procesy z Temp i ukryty sterownik Sality (widzi go tylko GMER): ==================== Processes (Whitelisted) ================= () C:\DOCUME~1\Tomi\USTAWI~1\temp\eowwal.exe ---- Kernel code sections - GMER 2.1 ---- ? C:\WINDOWS\system32\drivers\hiojf.sys Nie można odnaleźć określonego pliku. ! ---- Devices - GMER 2.1 ---- Device \Driver\amsint32 \Device\amsint32 hiojf.sys + autoryzacje w Zaporze oznaczone opisem "ipsec". Jest tu dysk twardy podzielony na dwie partycje oraz pendrive - wszystkie partycje są pod radarem Sality i nie wystarczy tylko format C:. Decyduj jakie działania podejmujesz: format (z dysków nie wolno skopiować żadnych plików wykonywalnych, czyli instalatorów programów / sterowników etc., gdyż zainicjują ponownie wirusa) czy próba ręcznego czyszczenia. Jeśli czyszczenie ręczne, to wstępne działania: 1. Uruchom SalityKiller. Należy wykonać skan do skutku, tzn. powtarzany kilka razy, aż do wyraźnego zwrotu "zero zainfekowanych". 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz GMER.

Kolejne poprawki: 1. Uruchom ponownie AdwCleaner, lecz tym razem zastosuj po kolei opcje Szukaj + Usuń. Gdy AdwCleaner ukończy pracę: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\ProgramData\Doctor Web RemoveDirectory: C:\Users\Aga\Doctor Web RemoveDirectory: C:\Users\Aga\Downloads\FRST-OlderVersion RemoveDirectory: C:\zoek_backup Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Raporty z przestarzałego OTL nie są już brane tu pod uwagę. Obowiązkowe są raporty z nowoczesnego FRST. Temat założony w dziale diagnostyki infekcji. Póki co opisany problem jest z zupełnie innej kategorii (uszkodzona struktura plików). Temat przeniosę do Windows lub nawet do Hardware (może być tu bowiem problem złych bloków / usterka dysku). Nie przedstawiłeś wyników skanu. Start > w polu szukania wpisz eventvwr.msc > w gałęzi Aplikacja wyszukaj zdarzenia ze źródłem Wininit relatywne do checkdiska > pobierz szczegóły rekordu, skopiuj i wklej do posta.

1. MBAM wykrył tylko drobny szczątek adware. Usuń za pomocą programu. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Na wszelki wypadek zmień hasła logowania w serwisach (bank / poczta / serwisy społecznościowe itd.). To tyle.

Przepraszam, omyłkowo komendę wkleiłam, choć w Addition jest informacja o wyłączonym Przywracaniu. Widziałam ją, ale coś mnie zaćmiło. Działania podane we wcześniejszym poście nie miały związku z tą ikonką. To może być jakiś artefakt / bug bieżącej wersji COMODO. Nie jesteś odosobnionym przypadkiem, tu identyczny problem zgłoszony wczoraj: KLIK. Niestety nie miałam czasu wertować oryginalnego forum COMODO w poszukiwaniu informacji. W związku z tym doraźnie dla bezpieczeństwa wyłącz / zlikwiduj Java w przeglądarkach: 1. Firefox: upewnij się, że we wtyczkach Java jest wyłączona. A dodatkowe zbędne rozszerzenie pomocnicze ręcznie usuń, tzn. otwórz Notatnik i wklej w nim: FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff FF Extension: Java Quick Starter - C:\Program Files\Java\jre6\lib\deploy\jqs\ff [2013-06-12] Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz tymczasowo COMODO. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Internet Explorer: Opcje internetowe > Dodatki > Zarządzaj dodatkami > wyłącz obiekty związane z Java. To jednak nie jest deaktywacja całkowita. Więcej na temat Java w tym temacie: KLIK.

Brak tu śladów infekcji. Programy mają zazębienie funkcyjne (aktywność na tej samej płaszczyźnie). Konflikt jest znacznie bardziej logicznym / prawdopodobnym scenariuszem, zwłaszcza w konfrontacji z FAQ producenta opisującym co zrobić, by dostosować program do współpracy z popularnymi antywirusami. Wymagane wykluczenia, program z automatu "nie koleguje się". Ostatecznie jeszcze możesz spróbować czy zadziała kompleksowa reinstalacja Avast + na świeżo konfiguracja wykluczenia w nim K9. PS. A jeśli chodzi o przeprowadzone czyszczenie, to już prawie kończymy. Na wszelki wypadek jeszcze uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj na razie Usuń) i dostarcz raport z folderu C:\AdwCleaner.

Dokładnie to co widać w skrypcie - każda linia jest przedstawiona w konkretny sposób, widać skąd usuwam z rejestru lub dysku. Opisując ogólnie co usuwam: odpadkowe wpisy adware, wpisy puste oraz Tempy. Wyliczone Adobe Flash, Adobe Reader, GG10 i Java są stare (luki bezpieczeństwa). Dlatego jest podana deinstalacja, w ramach zabezpieczeń systemu. Na końcu po czyszczeniu systemu zostaną zastąpione najnowszymi wersjami. Jest na forum temat przeznaczony tej partii finalizacji tematu: KLIK. Na razie deinstalacja, nic nie instaluj nowego, dam wyraźny sygnał w odpowiednim czasie kiedy zainstalować najnowsze wersje. MSSE nie jest preinstalowany na systemie Windows 7, został doinstalowany celowo ręcznie lub jako opcjonalna aktualizacja z Windows Update. A powód deinstalacji już był przedstawiony: System jest skatowany antywirusami, chodzą w tle równolegle skanery, co powoduje obciążenie zasobów i obniżenie wydajności. Nie wolno takich rzeczy robić, że jest zainstalowany więcej niż jeden antywirus z osłoną rezydentną. Zalecenie deinstalacji MSSE a nie Avast, gdyż ten drugi ma po prostu więcej funkcji.

Nadal brakuje trzeciego pliku FRST Shortcut. W przedstawionych tu raportach brak jakichkolwiek oznak infekcji. I szczerze wątpię w tę koncepcję, zwłaszcza w konfrontacji z działaniami rodzaju "resetowanie komputera do ustawień fabrycznych". vs. Twierdzisz, że "wykryty rootkit", a skąd to wiesz = bo widzisz coś w oknie. Jeśli skaner nie nagrał tego w dziennikach / brak raportu tekstowego z wynikami skanowania, proszę pokaż mi zrzut ekranu z okna pokazującego owego "rootkita". I te dwie Twoje wypowiedzi są na pierwszy rzut oka sprzeczne ze sobą: - Pierwsza: "wykrywane są pliki rootkit" = czyli wykrywana infekcja w konkretnej ścieżce dostępu = o to pytam: w jakiej ścieżce. - Druga: "na nazwie Rootkit skanowanie się zawiesza" = wg tych słów skan się zawiesza na sekcji skanowania o nazwie "rootkit" = to nie jest detekcja infekcji tylko niemożność przeprowadzenia skanu pod kątem takowej infekcji. Dopóki nie zobaczę okna jak Ty to widzisz, nie wiem którą interpretację obrać. Nawiasem mówiąc, ten McAfee sypie błędami w Dzienniku zdarzeń. To może być antywirus, który nie gra z systemem i skończy się na jego deinstalacji / pozbyciu się na dobre. Application errors: ================== Error: (01/22/2015 09:03:22 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: mfevtps.exe, wersja: 15.1.0.684, sygnatura czasowa: 0x542344d9 Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.3.9600.17415, sygnatura czasowa: 0x5450559e Kod wyjątku: 0xc0000374 Przesunięcie błędu: 0x00000000000f1340 Identyfikator procesu powodującego błąd: 0x166c Godzina uruchomienia aplikacji powodującej błąd: 0xmfevtps.exe0 Ścieżka aplikacji powodującej błąd: mfevtps.exe1 Ścieżka modułu powodującego błąd: mfevtps.exe2 Identyfikator raportu: mfevtps.exe3 Pełna nazwa pakietu powodującego błąd: mfevtps.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: mfevtps.exe5 System errors: ============= Error: (01/23/2015 07:25:33 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi McAfee Proxy Service z powodu następującego błędu: %%1053 Error: (01/23/2015 07:25:33 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą McAfee Proxy Service. Error: (01/23/2015 07:25:33 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi McAfee Personal Firewall Service z powodu następującego błędu: %%1053 Error: (01/23/2015 07:25:33 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą McAfee Personal Firewall Service. Error: (01/23/2015 07:24:08 PM) (Source: DCOM) (EventID: 10005) (User: ZARZĄDZANIE NT) Description: 1053mcpltsvcNiedostępny{20966775-18A4-4299-B8E3-772C336B52A7} Error: (01/23/2015 07:24:08 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi McAfee Platform Services z powodu następującego błędu: %%1053 Error: (01/23/2015 07:24:08 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą McAfee Platform Services.

Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Tym się zajmiemy po wstępnym wyczyszczeniu systemu. Natomiast przechodząc do czyszczenia i usprawniania systemu: widać tu inwazyjne odpadki adware (sterowniki), ale system jest też obciążony nadmiarem skanerów. Dwa antywirusy czynne równolegle, tzn. Avast + MSSE, a na dokładkę lewy SpyHunter i przestarzały Spybot. Działania wstępne: 1. Przez Panel sterowania odinstaluj stare wersje, zbędniki i nadmiar skanerów: Adobe Flash Player 13 Plugin, Adobe Reader X (10.1.4), Bing Bar, Gadu-Gadu 10, Java 7 Update 7, McAfee Security Scan Plus, Microsoft Security Essentials, Spybot - Search & Destroy, SpyHunter. Przy okazji możesz odinstalować i inne programy z których nie korzystasz. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {442ad619-2fad-4d96-9434-49e6d1c6e280}Gw64; C:\Windows\System32\drivers\{442ad619-2fad-4d96-9434-49e6d1c6e280}Gw64.sys [48792 2014-12-20] (StdLib) R1 {db4225e9-90b8-4ca5-99da-da423e504d3d}Gw64; C:\Windows\System32\drivers\{db4225e9-90b8-4ca5-99da-da423e504d3d}Gw64.sys [48792 2014-12-19] (StdLib) S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] HKU\S-1-5-21-1130217176-4031021830-1519301973-1000\...\Run: [HW_OPENEYE_OUC_PLAY ONLINE] => C:\Program Files (x86)\PLAY ONLINE\UpdateDog\ouc.exe [110592 2009-04-14] (Huawei Technologies Co., Ltd.) HKU\S-1-5-21-1130217176-4031021830-1519301973-1000\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC540016&ts=1383916579&type=default&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC540016&ts=1383916579&type=default&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-1130217176-4031021830-1519301973-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=156 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC540016&ts=1383916579&type=default&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9CC540016&ts=1383916579&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1130217176-4031021830-1519301973-1000 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} CustomCLSID: HKU\S-1-5-21-1130217176-4031021830-1519301973-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1130217176-4031021830-1519301973-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1130217176-4031021830-1519301973-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1130217176-4031021830-1519301973-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File Task: {8C46E089-36E6-4DDB-A563-72F4EEA5D19E} - System32\Tasks\{2BEBB58B-66C7-4C54-8A89-B4904585E017} => pcalua.exe -a "C:\Program Files (x86)\ASUS\RT-N12E Wireless Router Utilities\QISWizard.exe" -d "C:\Program Files (x86)\ASUS\RT-N12E Wireless Router Utilities" -c /nc Task: {A8276233-DA3F-44C8-A68F-D6AB4EF82555} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: {E77D93BB-C2FF-4110-BA4F-903E1086C650} - System32\Tasks\Opera scheduled Autoupdate 1419004772 => C:\Program Files (x86)\Opera\launcher.exe CHR HKLM\...\Chrome\Extension: [dchmpbaclbiioedakpcldenooikekokm] - C:\Users\User\AppData\Local\foxtab_speeddial.crx [2013-11-04] CHR HKU\S-1-5-21-1130217176-4031021830-1519301973-1000\...\Chrome\Extension: [dchmpbaclbiioedakpcldenooikekokm] - C:\Users\User\AppData\Local\foxtab_speeddial.crx [2013-11-04] CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - No Path CHR HKLM-x32\...\Chrome\Extension: [dchmpbaclbiioedakpcldenooikekokm] - C:\Users\User\AppData\Local\foxtab_speeddial.crx [2013-11-04] CHR HKLM-x32\...\Chrome\Extension: [nneajnkjbffgblleaoojgaacokifdkhm] - C:\Program Files (x86)\DivX\DivX Plus Web Player\chrome\DivXHTML5\DivXHTML5.crx [2011-12-12] FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll No File FF HKLM-x32\...\Firefox\Extensions: [{23fcfd51-4958-4f00-80a3-ae97e717ed8b}] - C:\Program Files (x86)\DivX\DivX Plus Web Player\firefox\DivXHTML5 C:\Program Files (x86)\e6a75288-a604-433f-9ca8-633c471ed540 C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\iWebar C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\SourceApp C:\Program Files (x86)\VpnOneClick C:\Program Files (x86)\XTab C:\Program Files (x86)\YouTube Accelerator C:\ProgramData\{*}.log C:\ProgramData\IHProtectUpDate C:\ProgramData\Temp C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\Users\User\AppData\Local\CrashDumps C:\Users\User\AppData\Local\CrashRpt C:\Users\User\AppData\Local\globalUpdate C:\Users\User\AppData\Roaming\omiga-plus C:\Users\Public\Documents\GOOBZO C:\Users\Public\Documents\ShopperPro C:\Users\Public\Documents\YTAHelper C:\Users\User\Downloads\*.tmp C:\windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\System32\drivers\{442ad619-2fad-4d96-9434-49e6d1c6e280}Gw64.sys C:\Windows\System32\drivers\{db4225e9-90b8-4ca5-99da-da423e504d3d}Gw64.sys C:\windows\SysWOW64\GroupPolicy\GPT.INI Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bonus.SSR.FR11" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Napraw uszkodzony specjalny skrót Internet Explorer. W pasku adresów eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (zaznacz pola Addition i Shortcut, by powstały trzy logi). Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz pozytywne zmiany.

W związku z tym poproszę o pliki rejestru do ręcznego wglądu. Zajmie mi to sporo czasu i nie obiecuję, że dziś to przetworzę. Do Notatnika wklej: CMD: md E:\Reg CMD: xcopy /e C:\FRST\Hives E:\Reg Plik zapisz pod nazwą fixlist.txt i umieść na E. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt oraz katalog E:\Reg. Katalog spakuj do ZIP, shostuj gdzieś i podaj link do paczki.

Analizą raportów zajmę się potem, bo teraz muszę się oddalić z forum. Wieczorem/nocą będę. Na szybko: Da się odzyskać dane z kopii cieniowej systemu. Są tu następujące punkty Przywracania systemu: ==================== Restore Points ========================= 20-01-2015 18:52:58 Windows Update 21-01-2015 16:15:03 Installed VpnOneClick 24-01-2015 02:51:14 Operacja przywracania 24-01-2015 03:02:05 avast! antivirus system restore point 24-01-2015 04:52:27 Operacja przywracania 24-01-2015 05:03:26 avast! antivirus system restore point 24-01-2015 05:20:40 Windows Update 24-01-2015 14:01:59 SPTD setup V1.86 Uruchom Shadow Explorer (portable). Z menu rozwijanego wybierz odpowiednio "starą" datę (czas gdy zakładki były). Następnie z boku w eksploratorze wyszukaj folder: C:\Users\User\AppData\Local\Google\Chrome\User Data\Default W środku powinny być pliki Bookmarks + Bookmarks.bak. Z prawokliku opcja Export i zapisz na Pulpicie. Albo nawet cały folder Default ze wszystkimi poprzednimi ustawieniami wyeksportuj na Pulpit. Wstawianiem tego z powrotem do Google Chrome zajmiemy się potem.

Hitman widzi tylko drobne szczątki. Wszystko usuń. Co ze skanem MBAM?

Przecież jest wiadomo który sterownik był związany z błędem = sterownik graficzny nVidia: Pytam czy błąd się powtarza, czy może był to jednorazowy incydent.

Fix wykonany. Uruchom Malwarebytes Anti-Malware. Przy instalacji odznacz opcję trial. Wykonaj pełny skan systemu. Jeśli coś wykryje, przedstaw wynikowy raport.

BSOD relatywny do sterownika karty graficznej. Sprawdź czy to jest powtarzalne.

Czarny ekran występuje na którym z etapów: zaraz po "BIOSowym" ekranie, w miejscu gdzie się pokazuje logo Windows, w miejscu ekranu powitalnego, czy dopiero jak już "wchodzisz na Pulpit"? Czy da się uruchomić Tryb awaryjny z obsługą Wiersza polecenia?