picasso

Co to konkretnie oznacza: zawieszenie, autorestart, inne objawy? Ech, jakoś przeoczyłam linię z opisem.

Przejrzenie listy zaszyfrowanych plików zajmie mi sporo czasu. Na razie to pomijam i adresuję inne wątki: 1. Uruchom AdwCleaner ponownie i tym razem zastosuj sekwencję Szukaj + Usuń. Po czyszczeniu: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\found.000 RemoveDirectory: C:\TDSSKiller_Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt. 3. Skoro zmienił się układ konfiguracyjny, to na wszelki wypadek zrób nowy log FRST z opcji Scan (z Addition), by sprawdzić czy po Avast coś się nie ostało.

Masz zrobić w Autoruns tylko to co wskazałam. Reszta "kolorów" Cię nie interesuje. Żółty "not found" = brak pliku, są określone "puste" wpisy w systemie, którymi nie należy się zajmować. Różowy to oznaczenie braku producenta (pusta kolumna Publisher), jest conajmniej jeden wpis stricte systemowy mający takie oznaczenie (Scheduled Tasks > gathernetworkinfo.vbs). Działania w Autoruns to tylko poboczna "kosmetyka", bo to tu nie odgrywa roli. Natomiast temat zasadniczy USB prowadzi kto inny.

Nie jest dla mnie jasne czy w obecnej chwili system się w ogóle uruchamia. Jeśli tak, należy podać obowiązkowe logi FRST i GMER zrobione spod Windows: KLIK. Jeśli nie, to podaj log FRST zrobiony z poziomu środowiska zewnętrznego: KLIK. A SpyHunter to program wątpliwej reputacji z czarnej listy! Reklamiarz występujący w wysoko pozycjonowanych na Google tendencyjnie skonstruowanych opisach "usuwania infekcji" jako "szczepionka", po czym po instalacji wychodzi na jaw, że usuwanie jest płatne. Proszę nie spamować na forum zakładając wielokrotne tematy w różnych działach (to grozi blokadą konta za spam). Wszystko idzie do śmieci.

Zadania pomyślnie wykonane. Google Chrome wygląda już poprawnie. Małe poprawki. Otwórz Notatnik i wklej w nim: Folder: C:\Users\Piotrek\Start Menu DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Kierując Cię do instrukcji nie miałam na myśli tylko "sprawdzenia", lecz od razu i korektę - przecież tam jest podana naprawa. Ona miała być wykonana przed jakimikolwiek krokami podanymi poniżej, by się system ani FRST nie męczył podczas zadanych operacji. Proszę nie zmieniaj instrukcji. Tryb awaryjny był celowo dobrany, by zmniejszyć problem zablokowania obiektów. Dokładnie tych które pojawiły się na komunikacie: vs. FRST ich nie był w stanie przetworzyć. Uszkodzona struktura plików. Problem z dyskiem może być jednak głębszy. To będzie jeszcze analizowane. Kolejna porcja działań: 1. Skoryguj tryb PIO. Z prawokliku na Podstawowy kanał IDE > Odinstaluj > restart kompa > Windows przebuduje kanał i powinien wyasygnować DMA, co znacznie przyśpieszy system. 2. Przeprowadź skan powierzchni dysku: Start > Uruchom > cmd, wklep komendę chkdsk /f /r i ENTER, na pytanie o dezinstalację woluminu odpowiedz twierdząco z klawiatury i zresetuj system. Podczas restartu powinno się wykonać sprawdzanie dysku. Start > Uruchom > eventvwr.msc, w sekcji Aplikacja wyszukaj zdarzenie Winlogon numer 1001, pobierz jego Szczegóły, skopiuj je i wklej do posta. 3. Dostarcz zaległe dane tzn. zrób nowy log FRST z opcji Scan (zaznacz ponownie pola Addition i Shortcut).

Dostarcz raporty FRST zrobione z poziomu środowiska zewnętrznego: KLIK.

Widać w Google Chrome adware Solution Real, są też polityki blokujące jakieś funkcje przeglądarki. A ten Spybot to program o przestarzałej konstrukcji i nie za wiele może (główną robotę z pewnością wykonywał AdwCleaner), na dodatek przeprowadził niekorzystną modyfikację pliku HOSTS. Taki "Spybot" już jest natywnie zintegrowany w systemie - jest nim Windows Defender. Działania wstępne: 1. Przez Panel sterowania odinstaluj stare wersje: Adobe AIR, Adobe Reader XI MUI, Java 7 Update 9 (64-bit), Java 7 Update 9, Spybot - Search & Destroy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {162481FA-5E3A-4BE4-8F27-DBA16DAB062E} - System32\Tasks\{F44B71D2-BAE3-4C68-9FDA-656292B35C18} => pcalua.exe -a C:\Users\Anna\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor Task: {7374CE32-4165-4C0A-A4DB-A92F859B6236} - System32\Tasks\Opera scheduled Autoupdate 1420903856 => C:\Program Files (x86)\Opera\launcher.exe Task: {C3DD61C1-7863-4646-9B77-A346B3996F07} - System32\Tasks\{98572158-1F60-4199-AF8F-6AA5D6577147} => pcalua.exe -a "C:\Program Files (x86)\Solution Real\SolutionRealuninstall.exe" HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MiniTool Power Data Recovery 6.8 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\ProgramData\whoislive C:\Users\Anna\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Anna\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Anna\AppData\Local\Opera Software C:\Users\Anna\AppData\Roaming\Opera Software C:\WINDOWS\system32\Drivers\etc\hosts.*.backup Hosts: Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware Solution Real. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (aktywujesz ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Ustaw Chrome jako domyślną przeglądarkę 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są widoczne jeszcze jakieś problemy.

Zadania wykonane. vs. Nasuwa się, że problemem może być właśnie ta instalacja Blue Coat K9 Web Protection. Przychodzą mi na myśl dwa tropy: 1. Kolizja z Avast. Czy jest zrobione wykluczenie tego typu: KLIK? Czy pomaga tymczasowe wyłączenie wszystkich osłon Avast? 2. Reinstalacja. Jest tu problem z poprawną deinstalacją. Jedyne co znalazłam u nich w pomocy, to próba nakładkowej reinstalacji, a w przypadku niemożności deinstalacji kontakt z supportem: KLIK.

Wszystko wykonane. Drobne poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Users\Aga\AppData\Roaming\DYHIB C:\Users\Aga\AppData\Roaming\SJFAH Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {D28989EA-AAFA-40B4-91DD-D07D3723C0D7} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {D28989EA-AAFA-40B4-91DD-D07D3723C0D7} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj i przedstaw log z folderu C:\AdwCleaner.

Pytałam, bo są ślady infekcji, która ma na celu zaszyfrować dane. Skoro jednak określone pliki się poprawnie otwierają, to może nie zdążyło się szyfrowanie wykonać. I kolejne poprawki: 1. Uruchom ponownie AdwCleaner, ale tym razem zaaplikuj sekwencję Szukaj + Usuń. Po czyszczeniu: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\TDSSKiller_Quarantine RemoveDirectory: C:\Users\admin\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\admin\Downloads\qhilom7d.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

Nie widać tu żadnej infekcji. I skoro to się dzieje po czystym postawieniu systemu (nawiasem mówiąc: jaki był powód formatowania?), to można podejrzewać sprzęt. W Dzienniku zdarzeń jest zresztą złapany jakiś BSOD: System errors: ============= Error: (01/13/2015 04:48:51 PM) (Source: System Error) (EventID: 1003) (User: ) Description: Kod błędu 10000050, parametr 1 a77020fe, parametr 2 00000001, parametr 3 bfa60918, parametr 4 00000000. Application errors: ================== Error: (01/24/2015 10:21:55 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Aplikacja powodująca błąd iexplore.exe, wersja 8.0.6001.18702, moduł powodujący błąd mshtml.dll, wersja 8.0.6001.23580, adres błędu 0x00044b4b. Przetwarzanie zdarzenia określonego nośnika dla [iexplore.exe!ws!] Przenoszę na diagnostykę sprezętową do innego działu. Dostarcz materiały wymagane w Hardware: KLIK.

Temat porządkuję. W systemie działa inwazyjne adware "ace race" oparte o sterowniki plus multum przekierowań Omiga-plus. Adware nabyłeś w następujący sposób: KLIK. Wg raportów przyczyną był serwis dobreprogramy.pl - na dysku widać plik "Asystenta pobierania" (mające pobrać Skype i TeamSpeak) i zaraz po nich wspominane obiekty adware. Wykonaj następujące operacje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {5272c3f2-75bf-4a26-8574-fbbaa7fc6a9d}Gw64; C:\Windows\System32\drivers\{5272c3f2-75bf-4a26-8574-fbbaa7fc6a9d}Gw64.sys [48784 2015-01-13] (StdLib) R1 {fe331f63-d0ef-486b-89da-478e619996a9}Gw64; C:\Windows\System32\drivers\{fe331f63-d0ef-486b-89da-478e619996a9}Gw64.sys [48784 2015-01-10] (StdLib) R2 Update ace race; C:\Program Files (x86)\ace race\updateacerace.exe [529648 2015-01-15] () R2 Util ace race; C:\Program Files (x86)\ace race\bin\utilacerace.exe [529648 2015-01-15] () R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158864 2014-12-29] (XTab system) R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [473088 2015-01-10] (Fuyu LIMITED) [File not signed] U4 BthAvrcpTg; No ImagePath U4 BthHFEnum; No ImagePath U4 bthhfhid; No ImagePath Winlogon\Notify\igfxcui: igfxdev.dll [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420901188&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420901188&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420901170&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420901170&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420901188&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420901188&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420901170&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420901170&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758&q={searchTerms} HKU\S-1-5-21-813696060-1850952454-3919408510-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420901188&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758 HKU\S-1-5-21-813696060-1850952454-3919408510-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420901188&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758 HKU\S-1-5-21-813696060-1850952454-3919408510-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420901188&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758&q={searchTerms} HKU\S-1-5-21-813696060-1850952454-3919408510-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420901188&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420901170&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758&q={searchTerms} SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420901170&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420901170&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758&q={searchTerms} SearchScopes: HKLM-x32 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420901170&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758&q={searchTerms} SearchScopes: HKU\S-1-5-21-813696060-1850952454-3919408510-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420901188&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758&q={searchTerms} SearchScopes: HKU\S-1-5-21-813696060-1850952454-3919408510-1001 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF SearchScopes: HKU\S-1-5-21-813696060-1850952454-3919408510-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420901188&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758&q={searchTerms} BHO-x32: ace race 1.0.0.6 -> {68182220-3c75-49d9-a9c4-4093d3986279} -> C:\Program Files (x86)\ace race\aceracebho.dll (ace race) CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1420901170&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758", "hxxp://isearch.omiga-plus.com/?type=hppp&ts=1420901188&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758" CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-01-09] C:\Program Files (x86)\XTab C:\ProgramData\IHProtectUpDate C:\ProgramData\WindowsMangerProtect C:\Users\Jakub\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Jakub\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Jakub\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\Jakub\Desktop\Laptop\LAPTOP\HP Deskjet Ink Adv 2060 K110.lnk C:\Users\Jakub\Desktop\Laptop\LAPTOP\HP Photo Creations.lnk C:\Users\Jakub\Desktop\Laptop\LAPTOP\McAfee Security Scan Plus.lnk C:\Users\Jakub\Desktop\Laptop\LAPTOP\Mozilla Firefox.lnk C:\Users\Jakub\Desktop\Laptop\LAPTOP\Winamp.lnk C:\Users\Jakub\Desktop\Laptop\LAPTOP\Zakup materiałów eksploatacyjnych - HP Deskjet Ink Adv 2060 K110.lnk C:\Users\Jakub\Downloads\*(*)-dp*.exe C:\Users\Jakub\Downloads\SkypeSetup*.exe C:\WINDOWS\system32\netcfg-*.txt C:\Windows\System32\drivers\{5272c3f2-75bf-4a26-8574-fbbaa7fc6a9d}Gw64.sys C:\Windows\System32\drivers\{fe331f63-d0ef-486b-89da-478e619996a9}Gw64.sys Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware ace race, omiga-plus uninstall oraz kompletnie przestarzały i zbędny Adobe Shockwave Player 11.6. Ten player Adobe to NIE jest instalacja potrzebna do obsługi YouTube. Masz Google Chrome posiadające wbudowaną wtyczkę i nic nie trzeba instalować, co wyjaśnione jest w topiku przyklejonym: KLIK. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj ace race (o ile nie zniknie po w/w deinstalacji). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz poprawę.

Najlepiej na nośniku zewnętrznym odizolowanym od dysku systemowego, tzn. nie podpięty, o ile nie zajdzie taka potrzeba. Infekcje szyfrujące zwykle atakują wszystkie dostępne dyski i problem dotknąłby też "kopię zapasową" w postaci łatwo dostępnej i nie zabezpieczonej. Już założyłeś wątek relatywny w dziale Hardware (KLIK), więc tam kontynuuj. W dziale są inne tematy podobnej natury do porównania, np. temat z DMDE: KLIK.

autoruns.exe = graficzna postać i o tę chodzi. autorunsc.exe = wersja konsolowa (obsługa z linii komend).

Teraz możesz zająć się działaniami kosmetycznymi: 1. Odinstaluj starą dziurawą wersję Java™ 6 Update 45 oraz prawdopodobnie zbędny Adobe Shockwave Player 12.1. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKU\S-1-5-21-1644491937-606747145-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch URLSearchHook: [s-1-5-21-1644491937-606747145-839522115-500] ATTENTION ==> Default URLSearchHook is missing. Toolbar: HKU\S-1-5-21-1644491937-606747145-839522115-1003 -> No Name - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No File S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 massfilter; system32\DRIVERS\massfilter.sys [X] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] C:\Program Files\Mozilla Firefox\extensions Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Na czas operacji wyłącz COMODO, gdyż przeszkodzi FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Tak, to był bug w FRST i został naprawiony. Minęł tydzień. Czy któryś problem nadal występuje? Jak mówiłam, w raportach żadnych nowości.

Router pomyślnie skonfigurowany. Problem powinien ustąpić. Na zakończenie: Skasuj używane narzędzia z podfolderu na Pulpicie. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Owszem, "syf" jest - AppEnable oparty na inwazyjnym sterowniku. Działania do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {efe93952-e041-4e49-a1cc-461436cf69d0}Gw64; C:\Windows\System32\drivers\{efe93952-e041-4e49-a1cc-461436cf69d0}Gw64.sys [48776 2014-11-21] (StdLib) HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" Task: {00E7C49F-D467-4274-BAF7-4C4CF3998211} - System32\Tasks\{12FBBFE9-F337-4F12-B5BC-814FCDEB0CC1} => pcalua.exe -a "C:\Program Files (x86)\Linkey\uninstall.exe" CHR HKU\S-1-5-21-3416864892-2804832870-1591593753-1001\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - No Path Task: C:\Windows\Tasks\Opera D1.job => C:\Program Files (x86)\Opera\launcher.exe Task: C:\Windows\Tasks\Opera D2.job => C:\Program Files (x86)\Opera\launcher.exe Task: C:\Windows\Tasks\Opera D3.job => C:\Program Files (x86)\Opera\launcher.exe Task: C:\Windows\Tasks\Opera D4.job => C:\Program Files (x86)\Opera\launcher.exe Task: C:\Windows\Tasks\Opera D5.job => C:\Program Files (x86)\Opera\launcher.exe Task: C:\Windows\Tasks\Opera D6.job => C:\Program Files (x86)\Opera\launcher.exe Task: C:\Windows\Tasks\Opera D7.job => C:\Program Files (x86)\Opera\launcher.exe Task: C:\Windows\Tasks\Opera N.job => C:\Program Files (x86)\Opera\launcher.exe C:\Program Files (x86)\AppEnable C:\Users\Izabela\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Izabela\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Windows\System32\drivers\{efe93952-e041-4e49-a1cc-461436cf69d0}Gw64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj AppEnable. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany.

Ten błąd się pojawia, jeśli na liście woluminów w oknie jest nieistniejący wolumin objęty Ochroną. Na liście wyszukaj pozycję z opisem (BRAK) i wyłącz dla niej Ochronę, za to zaznacz dysk z systemem.

Hmmm.... w dodatkowym skanie są ślady infekcji szyfrującej CryptoWall - czy dane są w porządku? Katalog: C:\Users\admin\AppData\LocalLow 2015-01-19 19:47 8.542 HELP_DECRYPT.HTML 2015-01-19 19:47 45.541 HELP_DECRYPT.PNG 2015-01-19 19:47 4.214 HELP_DECRYPT.TXT 2015-01-19 19:47 272 HELP_DECRYPT.URL I kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files\AVAST Software C:\Program Files (x86)\GUM3BD7.tmp C:\Program Files (x86)\McAfee C:\Program Files (x86)\Opera C:\Program Files (x86)\Temp C:\Program Files (x86)\VideoConverter C:\Program Files (x86)\Common Files\mcafee C:\Program Files (x86)\Common Files\Symantec Shared C:\ProgramData\AVAST Software C:\ProgramData\Babylon C:\ProgramData\DAEMON Tools Lite C:\ProgramData\Kaspersky Lab Setup Files C:\ProgramData\McAfee C:\ProgramData\Nero C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\Partner C:\ProgramData\Sun C:\ProgramData\TEMP C:\Users\admin\AppData\Local\burnaware.ini C:\Users\admin\AppData\Local\DICOMViewer C:\Users\admin\AppData\Local\Installer C:\Users\admin\AppData\Local\Nero C:\Users\admin\AppData\Local\Nero_AG C:\Users\admin\AppData\Local\Opera Software C:\Users\admin\AppData\Local\webkit C:\Users\admin\AppData\LocalLow\HELP_DECRYPT.* C:\Users\admin\AppData\Roaming\burnaware.ini C:\Users\admin\AppData\Roaming\Babylon C:\Users\admin\AppData\Roaming\DAEMON Tools Lite C:\Users\admin\AppData\Roaming\DigitalSites C:\Users\admin\AppData\Roaming\DSite C:\Users\admin\AppData\Roaming\Nero C:\Users\admin\AppData\Roaming\Opera Software Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie stosuj Usuń) i dostarcz log z folderu C:\AdwCleaner.

Temat jedzie do Windows. Cóż, "niestety" w raportach brak oznak czynnych ingerencji malware, więc się nasuwa ESET Endpoint Security jako potencjalna przyczyna. PS. Doczyść sobie szczątkowe wpisy / odpadki i zbędniki. 1. Odinstaluj starocie Adobe AIR, Adobe Flash Player 10 ActiveX oraz firmowego śmiecia HP Customer Participation Program 9.0. 2. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > po lewej stronie wybierz opcję Zmień ustawienia karty sieciowej > dla wszystkich widzialnych połączeń z prawokliku wybierasz Właściwości > w pierwszej karcie sprawdź czy w komponentach nie ma czegoś związanego z Hamachi, bądź LogMeIn. Ewentualne znaleziska odinstaluj i zresetuj system. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction S2 MaintainerSvc1.11.3209076; "C:\ProgramData\a68d9eea-b970-45e3-ba05-b4a5e2e396bc\maintainer.exe" [X] S3 hamachi; C:\Windows\System32\DRIVERS\hamachi.sys [26176 2009-03-18] (LogMeIn, Inc.) S2 LMIInfo; \??\C:\Program Files\LogMeIn\x86\RaInfo.sys [X] S4 LMIRfsClientNP; No ImagePath HKLM\...\Run: [] => [X] HKLM\...\Run: [LogMeIn GUI] => "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe" C:\ProgramData\a68d9eea-b970-45e3-ba05-b4a5e2e396bc C:\Windows\System32\LMIRfsClientNP.dll C:\Windows\System32\DRIVERS\hamachi.sys C:\Windows\System32\drivers\LMIRfsDriver.sys CMD: sc delete LMIRfsDriver Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt - zaprezentuj go.

Konto Rodzice też zaśmiecone. Operacje z poziomu tego konta: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1514046922-4189713046-1342366355-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=46366&tid=6221&ver=4.1&ts=1373477512431.000004&tguid=46366-6221-1373477512431-626453479234D4E083BE3AE77468B670&st=chrome&q= HKU\S-1-5-21-1514046922-4189713046-1342366355-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=46366&tid=6221&ver=4.1&ts=1373477512431.000004&tguid=46366-6221-1373477512431-626453479234D4E083BE3AE77468B670&st=chrome&q= HKU\S-1-5-21-1514046922-4189713046-1342366355-1003\Software\Microsoft\Internet Explorer\Main,Search Page Before = http://search.certified-toolbar.com?si=46366&tid=6221&ver=4.0&ts=1373477512431.000004&tguid=46366-6221-1373477512431-626453479234D4E083BE3AE77468B670&st=chrome&q= SearchScopes: HKU\S-1-5-21-1514046922-4189713046-1342366355-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.certified-toolbar.com?si=46366&st=bs&tid=6221&ver=4.1&ts=1373477512431.000004&tguid=46366-6221-1373477512431-626453479234D4E083BE3AE77468B670&q={searchTerms} SearchScopes: HKU\S-1-5-21-1514046922-4189713046-1342366355-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.certified-toolbar.com?si=46366&st=bs&tid=6221&ver=4.1&ts=1373477512431.000004&tguid=46366-6221-1373477512431-626453479234D4E083BE3AE77468B670&q={searchTerms} SearchScopes: HKU\S-1-5-21-1514046922-4189713046-1342366355-1003 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=4241DC85DE5D0660&affID=123627&tsp=4947 SearchScopes: HKU\S-1-5-21-1514046922-4189713046-1342366355-1003 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.certified-toolbar.com?si=46366&st=bs&tid=6221&ver=4.1&ts=1373477512431.000004&tguid=46366-6221-1373477512431-626453479234D4E083BE3AE77468B670&q={searchTerms} Toolbar: HKU\S-1-5-21-1514046922-4189713046-1342366355-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\Rodzice\AppData\Local\Microsoft\SkyDrive\17.0.2003.1112_1\SkyDriveShell.dll No File ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\Rodzice\AppData\Local\Microsoft\SkyDrive\17.0.2003.1112_1\SkyDriveShell.dll No File ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\Rodzice\AppData\Local\Microsoft\SkyDrive\17.0.2003.1112_1\SkyDriveShell.dll No File ShellIconOverlayIdentifiers-x32: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Rodzice\AppData\Roaming\Dropbox\bin\DropboxExt.22.dll No File ShellIconOverlayIdentifiers-x32: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Rodzice\AppData\Roaming\Dropbox\bin\DropboxExt.22.dll No File ShellIconOverlayIdentifiers-x32: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Rodzice\AppData\Roaming\Dropbox\bin\DropboxExt.22.dll No File HKLM\...\Run: [Logitech Download Assistant] => C:\Windows\system32\rundll32.exe C:\Windows\System32\LogiLDA.dll,LogiFetch HKLM-x32\...\Run: [Adobe Photo Downloader] => "C:\Program Files (x86)\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" HKU\S-1-5-21-1514046922-4189713046-1342366355-1003\...\Run: [Cbox] => C:\Program Files (x86)\Cbox\Cbox HKU\S-1-5-21-1514046922-4189713046-1342366355-1003\...\Run: [MxDock] => C:\Program Files (x86)\Maxthon\Modules\MxDock\MxDock.exe HKU\S-1-5-21-1514046922-4189713046-1342366355-1003\...\Run: [steam] => "C:\Program Files (x86)\Steam\Steam.exe" -silent HKU\S-1-5-21-1514046922-4189713046-1342366355-1003\...\Run: [softonic for Windows] => "C:\Users\Igor Maj\AppData\Local\Softonic\Softonic.exe" -minimize HKU\S-1-5-21-1514046922-4189713046-1342366355-1003\...\Run: [RGSC] => C:\Program Files (x86)\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent C:\Users\Igor Maj\AppData\Local\Google\Chrome C:\Users\Rodzice\AppData\Local\Google\Chrome Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IgfxTray /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Logitech Download Assistant" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe Photo Downloader" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v Everything /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Cbox /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Odkurzacz Packages" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Softonic for Windows" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Users\Rodzice\AppData\Local" CMD: dir /a "C:\Users\Rodzice\AppData\LocalLow" CMD: dir /a "C:\Users\Rodzice\AppData\Roaming" EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nastąpi restart. Powstanie koleny fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom ponownie AdwCleaner. Klik w Szukaj (bez Usuń). 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz plik C:\AdwCleaner\AdwCleanerR2.txt.

Widzę tu tylko kilka instalacji typu "adware/PUP" (Search App by Ask oraz PriceFountain w Firefox) oraz starego antywirusa ze zbędnym toolbarem, żadnych oznak infekcji trojanami. W GMER rzeczywiście widać jako zablokowane niektóre katalogi związane z cache przeglądarek. Antywirus jest zgłaszany też w Dzienniku zdarzeń jako zawieszający. Może tu być i problem z dyskiem twardym, gdyż w Dzienniku zdarzeń są korespondujące wtręty (błąd długiej odpowiedzi kontrolera dysku oraz zestaw sugerujący błędy struktury plików na partycji F:). System errors: ============= Error: (01/23/2015 02:35:25 PM) (Source: Service Control Manager) (EventID: 7026) (User: ) Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego: Avgldx86 Error: (01/23/2015 02:35:17 PM) (Source: Service Control Manager) (EventID: 7024) (User: ) Description: Usługa AVGIDSAgent zakończyła działanie; wystąpił specyficzny dla niej błąd 3758213659 (0xE001CA1B). Error: (01/23/2015 02:34:58 PM) (Source: 0) (EventID: 55) (User: ) Description: F: Error: (01/23/2015 02:34:58 PM) (Source: 0) (EventID: 55) (User: ) Description: F: Error: (01/22/2015 07:58:16 PM) (Source: 0) (EventID: 9) (User: ) Description: \Device\Ide\IdePort0 Error: (01/22/2015 07:58:00 PM) (Source: 0) (EventID: 9) (User: ) Description: \Device\Ide\IdePort0 ==================== Drives ================================ Drive c: () (Fixed) (Total:38.4 GB) (Free:21.64 GB) NTFS ==>[Drive with boot components (Windows XP)] Drive d: () (Fixed) (Total:116.44 GB) (Free:74.5 GB) NTFS Drive e: () (Fixed) (Total:24.33 GB) (Free:7.08 GB) NTFS Drive f: () (Fixed) (Total:53.71 GB) (Free:37.05 GB) NTFS Drive h: (Sims2_1) (CDROM) (Total:0.63 GB) (Free:0 GB) CDFS Drive i: () (Removable) (Total:7.45 GB) (Free:7.27 GB) FAT32 ==================== MBR & Partition Table ================== ======================================================== Disk: 0 (Size: 232.9 GB) (Disk ID: B9D6B9D6) Partition 1: (Active) - (Size=38.4 GB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=24.3 GB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=53.7 GB) - (Type=07 NTFS) Partition 4: (Not Active) - (Size=116.4 GB) - (Type=OF Extended) Zacznij od usunięcia wymienionych i zobaczymy jakie będą skutki: 1. Był uruchamiany GMER, toteż zweryfikuj transfer dysku czy abynie spadł z DMA do PIO. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Przez Dodaj/Usuń programy odinstaluj adware i stare wersje: Adobe Flash Player 14 Plugin, Adobe Flash Player 15 Pepper, Apple Software Update, AVG 2014, Bonjour, Java 7 Update 65, McAfee Security Scan Plus, Safari, Search App by Ask. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\PAWE~1\DANEAP~1\PRICEF~1\UPDATE~1\UPDATE~1.EXE SecurityProviders: msapsspc.dll, schannel.dll, msnsspc.dll, digest.dll HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKU\S-1-5-21-117609710-1229272821-682003330-1004\Software\Microsoft\Internet Explorer\Main,Start Page = URLSearchHook: [s-1-5-21-117609710-1229272821-682003330-1005] ATTENTION ==> Default URLSearchHook is missing. SearchScopes: HKU\S-1-5-21-117609710-1229272821-682003330-1004 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={237BA17B-00E8-4A94-B9DE-4BD3FDB2D810}&mid=0af529aa021b47d2a14bd1530b9af406-7980195a805a309d897582339517a1f9bd1cbf0f&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-11-08 09:54:11&v=4.0.0.19&pid=wtu&sg=&sap=dsp&q={searchTerms} BHO: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\wtu-secure-search.xml CHR HKLM\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - No Path C:\Documents and Settings\Paweł\Pulpit\syf z pulpity\Continue Safari installation.lnk C:\Documents and Settings\Paweł\Moje dokumenty\1B4.tmp Unlock: C:\Documents and Settings\Paweł\Recent Unlock: C:\Documents and Settings\Paweł\Ustawienia lokalne\Temp RemoveDirectory: C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\old_Cache_000 RemoveDirectory: C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\902fwnfl.default\cache2 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows (loguj się na własne konto Paweł, a nie wbudowanego Administratora). Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 5. Zastosuj Google Software removal tool (jedna z akcji to reset ustawień przeglądarki). 6. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pola Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są zmiany.

W rapodanych raportach pozornie nie ma oznak czynnej infekcji, tylko szczątki adware SpeedBit i Omiga się przewalają. Aczkolwiek na dysku jest podejrzany zestaw wyglądający niby jak komponenty skanera ESET, tylko że plik o nazwie "ESET" sygnowany jako "Facebook", a GMER notuje pasujący do zestawu obiekt jako ukryty: 2015-01-12 19:16 - 2015-01-12 19:22 - 00000176 _____ () C:\Users\Jarek\Downloads\esets_api.stg 2015-01-12 19:01 - 2015-01-12 19:02 - 03612760 _____ (Facebook Inc.) C:\Users\Jarek\Downloads\ESET_T837707069619923T_.exe ---- Processes - GMER 2.1 ---- Library C:\Users\Jarek\AppData\Local\Temp\FBScanner_580389839\esets_apiW_a.DLL (*** suspicious ***) @ C:\Users\Jarek\AppData\Local\Temp\FBScanner_580389839\ESET.exe [5900] (ESET API Unicode/ESET)(2015-01-12 18:16:20) 0000000010000000 Na razie mogę się zająć tym co widzę w raportach: 1. Przez Panel sterowania odinstaluj stare wersje Adobe AIR, Adobe Reader 9.5.0 - Polish, Java 7 Update 60. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 SBUpd; C:\Program Files\Common Files\SpeedBit\SBUpdate\sbu.exe /service [X] Task: {1313D2E2-2645-41AB-AD4D-6B278D6FCC6C} - System32\Tasks\{E0CBDA33-2169-4F0C-B99B-D41E3C083EAD} => Chrome.exe http://ui.skype.com/ui/0/6.20.0.104/pl/abandoninstall?page=tsProgressBar Task: {20CFAB3A-00AF-4D55-832A-1986FF7B94AB} - System32\Tasks\{2A721E46-ED8E-4CC8-93EB-4072DB963E17} => pcalua.exe -a "C:\Program Files (x86)\SupTab\uninstall.exe" -d "C:\Program Files (x86)\SupTab" Task: {425D1C54-6139-457A-BDBB-A3E2AD0FC1EF} - System32\Tasks\{749DE026-470F-453E-BE9D-478390664E0F} => pcalua.exe -a D:\SETUP.EXE -d D:\ Task: {BD0780E8-BD9C-442B-B810-A9A2293DD8F8} - System32\Tasks\SlimDrivers Startup => C:\Program Files (x86)\SlimDrivers\SlimDrivers.exe Task: {E4A69535-A709-4B0A-84F3-7F42DF2A75D0} - System32\Tasks\SBW_UpdateTask_Time_333532393132363935302d3237575a236c6c3255342a41 => Wscript.exe //B "C:\ProgramData\SpeedBit\sbhe.js" sbu.exe /invoke /f:check_services /l:0 Task: C:\Windows\Tasks\SlimDrivers Startup.job => C:\Program Files (x86)\SlimDrivers\SlimDrivers.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418242650&from=smt&uid=HitachiXHTS547575A9E384_J1140021G82Y6KG82Y6KX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418242650&from=smt&uid=HitachiXHTS547575A9E384_J1140021G82Y6KG82Y6KX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418242650&from=smt&uid=HitachiXHTS547575A9E384_J1140021G82Y6KG82Y6KX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418242650&from=smt&uid=HitachiXHTS547575A9E384_J1140021G82Y6KG82Y6KX ShortcutWithArgument: C:\Users\Jarek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418242650&from=smt&uid=HitachiXHTS547575A9E384_J1140021G82Y6KG82Y6KX ShortcutWithArgument: C:\Users\Jarek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418242650&from=smt&uid=HitachiXHTS547575A9E384_J1140021G82Y6KG82Y6KX ShortcutWithArgument: C:\Users\Jarek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418242650&from=smt&uid=HitachiXHTS547575A9E384_J1140021G82Y6KG82Y6KX ShortcutWithArgument: C:\Users\Jarek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418242650&from=smt&uid=HitachiXHTS547575A9E384_J1140021G82Y6KG82Y6KX ShortcutWithArgument: C:\Users\Jarek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418242650&from=smt&uid=HitachiXHTS547575A9E384_J1140021G82Y6KG82Y6KX ShortcutWithArgument: C:\Users\Jarek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418242650&from=smt&uid=HitachiXHTS547575A9E384_J1140021G82Y6KG82Y6KX ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418242650&from=smt&uid=HitachiXHTS547575A9E384_J1140021G82Y6KG82Y6KX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com CHR HomePage: Profile 2 -> hxxp://go.speedbit.com/?pid=s CHR StartupUrls: Profile 2 -> "hxxp://go.speedbit.com/?pid=s" CHR DefaultSearchKeyword: Profile 2 -> StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF StartMenuInternet: FIREFOX.EXE - firefox.exe C:\Users\Administrator\AppData\Local\CrashDumps C:\Users\Administrator\Desktop\Download Accelerator Plus (DAP).lnk C:\Users\Administrator\Desktop\FlashGet3.lnk C:\Users\Administrator\Desktop\SpeedBit Video Accelerator.lnk C:\Users\Jarek\AppData\Local\CrashDumps C:\Users\Jarek\AppData\Local\Google\Chrome\User Data\Profile 2\Preferences C:\Users\Jarek\AppData\Local\Google\Chrome\User Data\Profile 2\Local Storage\*localstorage* C:\Users\Jarek\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\Jarek\Desktop\Continue CCleaner installation.lnk C:\Users\Jarek\Desktop\Gry\gta samp\GTA - San Andreas.lnk C:\Users\Jarek\Downloads\*(*)-dp*.exe C:\Users\Jarek\Downloads\ESET_T837707069619923T_.exe C:\Users\Jarek\Downloads\esets_api.stg C:\Windows\system32\HRUPPROG.EXIT C:\Windows\system32\HRUPPROG.TXT CMD: netsh advfirewall reset Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Jarek\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Jarek\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Jarek\AppData\Local CMD: dir /a C:\Users\Jarek\AppData\LocalLow CMD: dir /a C:\Users\Jarek\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj podejrzane (nie linkowane w Chrome Web Store) świeżo dodane rozszerzenie APK Downloader. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz GMER. Dołącz też plik fixlog.txt.