picasso

Teraz możesz zająć się działaniami kosmetycznymi: 1. Odinstaluj starą dziurawą wersję Java™ 6 Update 45 oraz prawdopodobnie zbędny Adobe Shockwave Player 12.1. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKU\S-1-5-21-1644491937-606747145-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch URLSearchHook: [s-1-5-21-1644491937-606747145-839522115-500] ATTENTION ==> Default URLSearchHook is missing. Toolbar: HKU\S-1-5-21-1644491937-606747145-839522115-1003 -> No Name - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No File S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 massfilter; system32\DRIVERS\massfilter.sys [X] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] C:\Program Files\Mozilla Firefox\extensions Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Na czas operacji wyłącz COMODO, gdyż przeszkodzi FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Tak, to był bug w FRST i został naprawiony. Minęł tydzień. Czy któryś problem nadal występuje? Jak mówiłam, w raportach żadnych nowości.

Router pomyślnie skonfigurowany. Problem powinien ustąpić. Na zakończenie: Skasuj używane narzędzia z podfolderu na Pulpicie. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Owszem, "syf" jest - AppEnable oparty na inwazyjnym sterowniku. Działania do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {efe93952-e041-4e49-a1cc-461436cf69d0}Gw64; C:\Windows\System32\drivers\{efe93952-e041-4e49-a1cc-461436cf69d0}Gw64.sys [48776 2014-11-21] (StdLib) HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" Task: {00E7C49F-D467-4274-BAF7-4C4CF3998211} - System32\Tasks\{12FBBFE9-F337-4F12-B5BC-814FCDEB0CC1} => pcalua.exe -a "C:\Program Files (x86)\Linkey\uninstall.exe" CHR HKU\S-1-5-21-3416864892-2804832870-1591593753-1001\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - No Path Task: C:\Windows\Tasks\Opera D1.job => C:\Program Files (x86)\Opera\launcher.exe Task: C:\Windows\Tasks\Opera D2.job => C:\Program Files (x86)\Opera\launcher.exe Task: C:\Windows\Tasks\Opera D3.job => C:\Program Files (x86)\Opera\launcher.exe Task: C:\Windows\Tasks\Opera D4.job => C:\Program Files (x86)\Opera\launcher.exe Task: C:\Windows\Tasks\Opera D5.job => C:\Program Files (x86)\Opera\launcher.exe Task: C:\Windows\Tasks\Opera D6.job => C:\Program Files (x86)\Opera\launcher.exe Task: C:\Windows\Tasks\Opera D7.job => C:\Program Files (x86)\Opera\launcher.exe Task: C:\Windows\Tasks\Opera N.job => C:\Program Files (x86)\Opera\launcher.exe C:\Program Files (x86)\AppEnable C:\Users\Izabela\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Izabela\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Windows\System32\drivers\{efe93952-e041-4e49-a1cc-461436cf69d0}Gw64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj AppEnable. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany.

Ten błąd się pojawia, jeśli na liście woluminów w oknie jest nieistniejący wolumin objęty Ochroną. Na liście wyszukaj pozycję z opisem (BRAK) i wyłącz dla niej Ochronę, za to zaznacz dysk z systemem.

Hmmm.... w dodatkowym skanie są ślady infekcji szyfrującej CryptoWall - czy dane są w porządku? Katalog: C:\Users\admin\AppData\LocalLow 2015-01-19 19:47 8.542 HELP_DECRYPT.HTML 2015-01-19 19:47 45.541 HELP_DECRYPT.PNG 2015-01-19 19:47 4.214 HELP_DECRYPT.TXT 2015-01-19 19:47 272 HELP_DECRYPT.URL I kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files\AVAST Software C:\Program Files (x86)\GUM3BD7.tmp C:\Program Files (x86)\McAfee C:\Program Files (x86)\Opera C:\Program Files (x86)\Temp C:\Program Files (x86)\VideoConverter C:\Program Files (x86)\Common Files\mcafee C:\Program Files (x86)\Common Files\Symantec Shared C:\ProgramData\AVAST Software C:\ProgramData\Babylon C:\ProgramData\DAEMON Tools Lite C:\ProgramData\Kaspersky Lab Setup Files C:\ProgramData\McAfee C:\ProgramData\Nero C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\Partner C:\ProgramData\Sun C:\ProgramData\TEMP C:\Users\admin\AppData\Local\burnaware.ini C:\Users\admin\AppData\Local\DICOMViewer C:\Users\admin\AppData\Local\Installer C:\Users\admin\AppData\Local\Nero C:\Users\admin\AppData\Local\Nero_AG C:\Users\admin\AppData\Local\Opera Software C:\Users\admin\AppData\Local\webkit C:\Users\admin\AppData\LocalLow\HELP_DECRYPT.* C:\Users\admin\AppData\Roaming\burnaware.ini C:\Users\admin\AppData\Roaming\Babylon C:\Users\admin\AppData\Roaming\DAEMON Tools Lite C:\Users\admin\AppData\Roaming\DigitalSites C:\Users\admin\AppData\Roaming\DSite C:\Users\admin\AppData\Roaming\Nero C:\Users\admin\AppData\Roaming\Opera Software Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie stosuj Usuń) i dostarcz log z folderu C:\AdwCleaner.

Temat jedzie do Windows. Cóż, "niestety" w raportach brak oznak czynnych ingerencji malware, więc się nasuwa ESET Endpoint Security jako potencjalna przyczyna. PS. Doczyść sobie szczątkowe wpisy / odpadki i zbędniki. 1. Odinstaluj starocie Adobe AIR, Adobe Flash Player 10 ActiveX oraz firmowego śmiecia HP Customer Participation Program 9.0. 2. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > po lewej stronie wybierz opcję Zmień ustawienia karty sieciowej > dla wszystkich widzialnych połączeń z prawokliku wybierasz Właściwości > w pierwszej karcie sprawdź czy w komponentach nie ma czegoś związanego z Hamachi, bądź LogMeIn. Ewentualne znaleziska odinstaluj i zresetuj system. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction S2 MaintainerSvc1.11.3209076; "C:\ProgramData\a68d9eea-b970-45e3-ba05-b4a5e2e396bc\maintainer.exe" [X] S3 hamachi; C:\Windows\System32\DRIVERS\hamachi.sys [26176 2009-03-18] (LogMeIn, Inc.) S2 LMIInfo; \??\C:\Program Files\LogMeIn\x86\RaInfo.sys [X] S4 LMIRfsClientNP; No ImagePath HKLM\...\Run: [] => [X] HKLM\...\Run: [LogMeIn GUI] => "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe" C:\ProgramData\a68d9eea-b970-45e3-ba05-b4a5e2e396bc C:\Windows\System32\LMIRfsClientNP.dll C:\Windows\System32\DRIVERS\hamachi.sys C:\Windows\System32\drivers\LMIRfsDriver.sys CMD: sc delete LMIRfsDriver Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt - zaprezentuj go.

Konto Rodzice też zaśmiecone. Operacje z poziomu tego konta: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1514046922-4189713046-1342366355-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=46366&tid=6221&ver=4.1&ts=1373477512431.000004&tguid=46366-6221-1373477512431-626453479234D4E083BE3AE77468B670&st=chrome&q= HKU\S-1-5-21-1514046922-4189713046-1342366355-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=46366&tid=6221&ver=4.1&ts=1373477512431.000004&tguid=46366-6221-1373477512431-626453479234D4E083BE3AE77468B670&st=chrome&q= HKU\S-1-5-21-1514046922-4189713046-1342366355-1003\Software\Microsoft\Internet Explorer\Main,Search Page Before = http://search.certified-toolbar.com?si=46366&tid=6221&ver=4.0&ts=1373477512431.000004&tguid=46366-6221-1373477512431-626453479234D4E083BE3AE77468B670&st=chrome&q= SearchScopes: HKU\S-1-5-21-1514046922-4189713046-1342366355-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.certified-toolbar.com?si=46366&st=bs&tid=6221&ver=4.1&ts=1373477512431.000004&tguid=46366-6221-1373477512431-626453479234D4E083BE3AE77468B670&q={searchTerms} SearchScopes: HKU\S-1-5-21-1514046922-4189713046-1342366355-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.certified-toolbar.com?si=46366&st=bs&tid=6221&ver=4.1&ts=1373477512431.000004&tguid=46366-6221-1373477512431-626453479234D4E083BE3AE77468B670&q={searchTerms} SearchScopes: HKU\S-1-5-21-1514046922-4189713046-1342366355-1003 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=4241DC85DE5D0660&affID=123627&tsp=4947 SearchScopes: HKU\S-1-5-21-1514046922-4189713046-1342366355-1003 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.certified-toolbar.com?si=46366&st=bs&tid=6221&ver=4.1&ts=1373477512431.000004&tguid=46366-6221-1373477512431-626453479234D4E083BE3AE77468B670&q={searchTerms} Toolbar: HKU\S-1-5-21-1514046922-4189713046-1342366355-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\Rodzice\AppData\Local\Microsoft\SkyDrive\17.0.2003.1112_1\SkyDriveShell.dll No File ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\Rodzice\AppData\Local\Microsoft\SkyDrive\17.0.2003.1112_1\SkyDriveShell.dll No File ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\Rodzice\AppData\Local\Microsoft\SkyDrive\17.0.2003.1112_1\SkyDriveShell.dll No File ShellIconOverlayIdentifiers-x32: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Rodzice\AppData\Roaming\Dropbox\bin\DropboxExt.22.dll No File ShellIconOverlayIdentifiers-x32: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Rodzice\AppData\Roaming\Dropbox\bin\DropboxExt.22.dll No File ShellIconOverlayIdentifiers-x32: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Rodzice\AppData\Roaming\Dropbox\bin\DropboxExt.22.dll No File HKLM\...\Run: [Logitech Download Assistant] => C:\Windows\system32\rundll32.exe C:\Windows\System32\LogiLDA.dll,LogiFetch HKLM-x32\...\Run: [Adobe Photo Downloader] => "C:\Program Files (x86)\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" HKU\S-1-5-21-1514046922-4189713046-1342366355-1003\...\Run: [Cbox] => C:\Program Files (x86)\Cbox\Cbox HKU\S-1-5-21-1514046922-4189713046-1342366355-1003\...\Run: [MxDock] => C:\Program Files (x86)\Maxthon\Modules\MxDock\MxDock.exe HKU\S-1-5-21-1514046922-4189713046-1342366355-1003\...\Run: [steam] => "C:\Program Files (x86)\Steam\Steam.exe" -silent HKU\S-1-5-21-1514046922-4189713046-1342366355-1003\...\Run: [softonic for Windows] => "C:\Users\Igor Maj\AppData\Local\Softonic\Softonic.exe" -minimize HKU\S-1-5-21-1514046922-4189713046-1342366355-1003\...\Run: [RGSC] => C:\Program Files (x86)\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent C:\Users\Igor Maj\AppData\Local\Google\Chrome C:\Users\Rodzice\AppData\Local\Google\Chrome Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IgfxTray /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Logitech Download Assistant" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe Photo Downloader" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v Everything /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Cbox /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Odkurzacz Packages" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Softonic for Windows" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Users\Rodzice\AppData\Local" CMD: dir /a "C:\Users\Rodzice\AppData\LocalLow" CMD: dir /a "C:\Users\Rodzice\AppData\Roaming" EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nastąpi restart. Powstanie koleny fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom ponownie AdwCleaner. Klik w Szukaj (bez Usuń). 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz plik C:\AdwCleaner\AdwCleanerR2.txt.

Widzę tu tylko kilka instalacji typu "adware/PUP" (Search App by Ask oraz PriceFountain w Firefox) oraz starego antywirusa ze zbędnym toolbarem, żadnych oznak infekcji trojanami. W GMER rzeczywiście widać jako zablokowane niektóre katalogi związane z cache przeglądarek. Antywirus jest zgłaszany też w Dzienniku zdarzeń jako zawieszający. Może tu być i problem z dyskiem twardym, gdyż w Dzienniku zdarzeń są korespondujące wtręty (błąd długiej odpowiedzi kontrolera dysku oraz zestaw sugerujący błędy struktury plików na partycji F:). System errors: ============= Error: (01/23/2015 02:35:25 PM) (Source: Service Control Manager) (EventID: 7026) (User: ) Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego: Avgldx86 Error: (01/23/2015 02:35:17 PM) (Source: Service Control Manager) (EventID: 7024) (User: ) Description: Usługa AVGIDSAgent zakończyła działanie; wystąpił specyficzny dla niej błąd 3758213659 (0xE001CA1B). Error: (01/23/2015 02:34:58 PM) (Source: 0) (EventID: 55) (User: ) Description: F: Error: (01/23/2015 02:34:58 PM) (Source: 0) (EventID: 55) (User: ) Description: F: Error: (01/22/2015 07:58:16 PM) (Source: 0) (EventID: 9) (User: ) Description: \Device\Ide\IdePort0 Error: (01/22/2015 07:58:00 PM) (Source: 0) (EventID: 9) (User: ) Description: \Device\Ide\IdePort0 ==================== Drives ================================ Drive c: () (Fixed) (Total:38.4 GB) (Free:21.64 GB) NTFS ==>[Drive with boot components (Windows XP)] Drive d: () (Fixed) (Total:116.44 GB) (Free:74.5 GB) NTFS Drive e: () (Fixed) (Total:24.33 GB) (Free:7.08 GB) NTFS Drive f: () (Fixed) (Total:53.71 GB) (Free:37.05 GB) NTFS Drive h: (Sims2_1) (CDROM) (Total:0.63 GB) (Free:0 GB) CDFS Drive i: () (Removable) (Total:7.45 GB) (Free:7.27 GB) FAT32 ==================== MBR & Partition Table ================== ======================================================== Disk: 0 (Size: 232.9 GB) (Disk ID: B9D6B9D6) Partition 1: (Active) - (Size=38.4 GB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=24.3 GB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=53.7 GB) - (Type=07 NTFS) Partition 4: (Not Active) - (Size=116.4 GB) - (Type=OF Extended) Zacznij od usunięcia wymienionych i zobaczymy jakie będą skutki: 1. Był uruchamiany GMER, toteż zweryfikuj transfer dysku czy abynie spadł z DMA do PIO. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Przez Dodaj/Usuń programy odinstaluj adware i stare wersje: Adobe Flash Player 14 Plugin, Adobe Flash Player 15 Pepper, Apple Software Update, AVG 2014, Bonjour, Java 7 Update 65, McAfee Security Scan Plus, Safari, Search App by Ask. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\PAWE~1\DANEAP~1\PRICEF~1\UPDATE~1\UPDATE~1.EXE SecurityProviders: msapsspc.dll, schannel.dll, msnsspc.dll, digest.dll HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKU\S-1-5-21-117609710-1229272821-682003330-1004\Software\Microsoft\Internet Explorer\Main,Start Page = URLSearchHook: [s-1-5-21-117609710-1229272821-682003330-1005] ATTENTION ==> Default URLSearchHook is missing. SearchScopes: HKU\S-1-5-21-117609710-1229272821-682003330-1004 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={237BA17B-00E8-4A94-B9DE-4BD3FDB2D810}&mid=0af529aa021b47d2a14bd1530b9af406-7980195a805a309d897582339517a1f9bd1cbf0f&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-11-08 09:54:11&v=4.0.0.19&pid=wtu&sg=&sap=dsp&q={searchTerms} BHO: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\wtu-secure-search.xml CHR HKLM\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - No Path C:\Documents and Settings\Paweł\Pulpit\syf z pulpity\Continue Safari installation.lnk C:\Documents and Settings\Paweł\Moje dokumenty\1B4.tmp Unlock: C:\Documents and Settings\Paweł\Recent Unlock: C:\Documents and Settings\Paweł\Ustawienia lokalne\Temp RemoveDirectory: C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\old_Cache_000 RemoveDirectory: C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\902fwnfl.default\cache2 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows (loguj się na własne konto Paweł, a nie wbudowanego Administratora). Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 5. Zastosuj Google Software removal tool (jedna z akcji to reset ustawień przeglądarki). 6. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pola Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są zmiany.

W rapodanych raportach pozornie nie ma oznak czynnej infekcji, tylko szczątki adware SpeedBit i Omiga się przewalają. Aczkolwiek na dysku jest podejrzany zestaw wyglądający niby jak komponenty skanera ESET, tylko że plik o nazwie "ESET" sygnowany jako "Facebook", a GMER notuje pasujący do zestawu obiekt jako ukryty: 2015-01-12 19:16 - 2015-01-12 19:22 - 00000176 _____ () C:\Users\Jarek\Downloads\esets_api.stg 2015-01-12 19:01 - 2015-01-12 19:02 - 03612760 _____ (Facebook Inc.) C:\Users\Jarek\Downloads\ESET_T837707069619923T_.exe ---- Processes - GMER 2.1 ---- Library C:\Users\Jarek\AppData\Local\Temp\FBScanner_580389839\esets_apiW_a.DLL (*** suspicious ***) @ C:\Users\Jarek\AppData\Local\Temp\FBScanner_580389839\ESET.exe [5900] (ESET API Unicode/ESET)(2015-01-12 18:16:20) 0000000010000000 Na razie mogę się zająć tym co widzę w raportach: 1. Przez Panel sterowania odinstaluj stare wersje Adobe AIR, Adobe Reader 9.5.0 - Polish, Java 7 Update 60. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 SBUpd; C:\Program Files\Common Files\SpeedBit\SBUpdate\sbu.exe /service [X] Task: {1313D2E2-2645-41AB-AD4D-6B278D6FCC6C} - System32\Tasks\{E0CBDA33-2169-4F0C-B99B-D41E3C083EAD} => Chrome.exe http://ui.skype.com/ui/0/6.20.0.104/pl/abandoninstall?page=tsProgressBar Task: {20CFAB3A-00AF-4D55-832A-1986FF7B94AB} - System32\Tasks\{2A721E46-ED8E-4CC8-93EB-4072DB963E17} => pcalua.exe -a "C:\Program Files (x86)\SupTab\uninstall.exe" -d "C:\Program Files (x86)\SupTab" Task: {425D1C54-6139-457A-BDBB-A3E2AD0FC1EF} - System32\Tasks\{749DE026-470F-453E-BE9D-478390664E0F} => pcalua.exe -a D:\SETUP.EXE -d D:\ Task: {BD0780E8-BD9C-442B-B810-A9A2293DD8F8} - System32\Tasks\SlimDrivers Startup => C:\Program Files (x86)\SlimDrivers\SlimDrivers.exe Task: {E4A69535-A709-4B0A-84F3-7F42DF2A75D0} - System32\Tasks\SBW_UpdateTask_Time_333532393132363935302d3237575a236c6c3255342a41 => Wscript.exe //B "C:\ProgramData\SpeedBit\sbhe.js" sbu.exe /invoke /f:check_services /l:0 Task: C:\Windows\Tasks\SlimDrivers Startup.job => C:\Program Files (x86)\SlimDrivers\SlimDrivers.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418242650&from=smt&uid=HitachiXHTS547575A9E384_J1140021G82Y6KG82Y6KX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418242650&from=smt&uid=HitachiXHTS547575A9E384_J1140021G82Y6KG82Y6KX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418242650&from=smt&uid=HitachiXHTS547575A9E384_J1140021G82Y6KG82Y6KX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418242650&from=smt&uid=HitachiXHTS547575A9E384_J1140021G82Y6KG82Y6KX ShortcutWithArgument: C:\Users\Jarek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418242650&from=smt&uid=HitachiXHTS547575A9E384_J1140021G82Y6KG82Y6KX ShortcutWithArgument: C:\Users\Jarek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418242650&from=smt&uid=HitachiXHTS547575A9E384_J1140021G82Y6KG82Y6KX ShortcutWithArgument: C:\Users\Jarek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418242650&from=smt&uid=HitachiXHTS547575A9E384_J1140021G82Y6KG82Y6KX ShortcutWithArgument: C:\Users\Jarek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418242650&from=smt&uid=HitachiXHTS547575A9E384_J1140021G82Y6KG82Y6KX ShortcutWithArgument: C:\Users\Jarek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418242650&from=smt&uid=HitachiXHTS547575A9E384_J1140021G82Y6KG82Y6KX ShortcutWithArgument: C:\Users\Jarek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418242650&from=smt&uid=HitachiXHTS547575A9E384_J1140021G82Y6KG82Y6KX ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418242650&from=smt&uid=HitachiXHTS547575A9E384_J1140021G82Y6KG82Y6KX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com CHR HomePage: Profile 2 -> hxxp://go.speedbit.com/?pid=s CHR StartupUrls: Profile 2 -> "hxxp://go.speedbit.com/?pid=s" CHR DefaultSearchKeyword: Profile 2 -> StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF StartMenuInternet: FIREFOX.EXE - firefox.exe C:\Users\Administrator\AppData\Local\CrashDumps C:\Users\Administrator\Desktop\Download Accelerator Plus (DAP).lnk C:\Users\Administrator\Desktop\FlashGet3.lnk C:\Users\Administrator\Desktop\SpeedBit Video Accelerator.lnk C:\Users\Jarek\AppData\Local\CrashDumps C:\Users\Jarek\AppData\Local\Google\Chrome\User Data\Profile 2\Preferences C:\Users\Jarek\AppData\Local\Google\Chrome\User Data\Profile 2\Local Storage\*localstorage* C:\Users\Jarek\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\Jarek\Desktop\Continue CCleaner installation.lnk C:\Users\Jarek\Desktop\Gry\gta samp\GTA - San Andreas.lnk C:\Users\Jarek\Downloads\*(*)-dp*.exe C:\Users\Jarek\Downloads\ESET_T837707069619923T_.exe C:\Users\Jarek\Downloads\esets_api.stg C:\Windows\system32\HRUPPROG.EXIT C:\Windows\system32\HRUPPROG.TXT CMD: netsh advfirewall reset Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Jarek\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Jarek\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Jarek\AppData\Local CMD: dir /a C:\Users\Jarek\AppData\LocalLow CMD: dir /a C:\Users\Jarek\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj podejrzane (nie linkowane w Chrome Web Store) świeżo dodane rozszerzenie APK Downloader. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz GMER. Dołącz też plik fixlog.txt.

Poprzednie akcje wprawdzie wykonane, ale znów nabyłeś niepotrzebne instalacje. Pojawił się McAfee Security Scan, wślizgnął się on poprzez nieuważną instalację Adobe Flash: KLIK. 1. Odinstaluj McAfee Security Scan. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 ALSysIO; \??\C:\Users\NIIESM~1\AppData\Local\Temp\ALSysIO64.sys [X] C:\ProgramData\eMule C:\ProgramData\Gadu-Gadu 10 C:\ProgramData\GridinSoft C:\ProgramData\InstallMate C:\ProgramData\McAfee C:\ProgramData\Nero C:\ProgramData\mntemp C:\ProgramData\Oracle C:\ProgramData\Real C:\ProgramData\RealHideIP C:\ProgramData\Seyarch-iNewyTabb C:\ProgramData\Sun C:\ProgramData\TuneUp Software EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nastąpi restart. Powstanie kolejny plik fixlog.txt. 3. Korekta DNS pobieranych z routera musi się odbyć na poziomie routera: Tcpip\Parameters: [DhcpNameServer] 81.162.208.2 208.67.222.222 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

W systemie działa aktywnie adware Click Caption, ponadto są różne ślady ingerencji hijackera Omiga. Akcje do wykonania: 1. Przez Dodaj/Usuń programy odinstaluj adware Click Caption 1.10.0.5 oraz stare wersje Adobe Reader X (10.1.6) - Polish, Java 7 Update 7, Mozilla Firefox 19.0 (x86 pl). Przy deinstalacji Firefox zaznacz opcję usuwania "danych użytkownika". 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1419946325&from=cor&uid=WDCXWD2500YS-01SHB1_WD-WCANY279006490064" StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1419946325&from=cor&uid=WDCXWD2500YS-01SHB1_WD-WCANY279006490064 FF StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe http://isearch.omiga-plus.com/?type=sc&ts=1419946325&from=cor&uid=WDCXWD2500YS-01SHB1_WD-WCANY279006490064 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419946325&from=cor&uid=WDCXWD2500YS-01SHB1_WD-WCANY279006490064&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419946325&from=cor&uid=WDCXWD2500YS-01SHB1_WD-WCANY279006490064&q={searchTerms} HKU\S-1-5-21-1229272821-1592454029-839522115-1003\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKU\S-1-5-21-1229272821-1592454029-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch URLSearchHook: [s-1-5-21-1229272821-1592454029-839522115-1004] ATTENTION ==> Default URLSearchHook is missing. S3 cpuz136; \??\C:\DOCUME~1\dom\USTAWI~1\Temp\cpuz136\cpuz136_x32.sys [X] Winlogon\Notify\WgaLogon: WgaLogon.dll [X] HKU\S-1-5-21-1229272821-1592454029-839522115-1003\...\RunOnce: [FlashPlayerUpdate] => C:\WINDOWS\system32\Macromed\Flash\FlashUtil32_15_0_0_246_Plugin.exe -update plugin C:\Documents and Settings\dom\Dane aplikacji\mainhst.zgh C:\Documents and Settings\dom\Dane aplikacji\omiga-plus C:\Documents and Settings\dom\Dane aplikacji\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Documents and Settings\dom\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Documents and Settings\dom\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Documents and Settings\dom\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files C:\Program Files\ClickCaption_1.10.0.5 C:\Program Files\SupTab Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Documents and Settings\dom\Dane aplikacji\Opera Software\Opera Stable\Extensions CMD: type "C:\Documents and Settings\dom\Dane aplikacji\Opera Software\Opera Stable\Preferences" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Napraw uszkodzony specjalny skrót Internet Explorer. W pasku adresów eksploratora wklej poniższą ścieżkę i ENTER: C:\Documents and Settings\dom\Menu Start\Programy\Akcesoria\Narzędzia systemowe Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

ComboFix nic ciekawego nie robił. Na przyszłość: unikać jego używania, do usuwania adware nie jest też specjalnie dostosowany. Poprzednie zadania pomyślnie wykonane. Czy są jeszcze jakieś problemy? Ostatni skrypt do FRST. Otwórz Notatnik i wklej w nim: CMD: del /q C:\Users\Manikowscy\Downloads\qcuxgmdy.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ComboFix RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Manikowscy\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Manikowscy\Downloads\FRST-OlderVersion RemoveDirectory: C:\Windows\erdnt Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Podałam konkretny zakres usług z zestawy Zapory do naprawy, tzn. tylko MpsSvc i SharedAccess. Naprawa Mpsdrv była zbędna, podobnie jak BFE. BFE nie możesz "naprawić", bo usługi nie brakuje i jej stan wyklucza import danych (uruchomiona + uprawnienia). To co zaleciłam do wykonania zostało już wykonane. Z usługami skończyliśmy. Teraz: 1. Uruchom AdwCleaner. Wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner. 2. Podaj orientacyjną listę zakresu szyfrowania danych (tylko na dysku C), czyli pliki z doklejonym ciągiem itqjnld. Uruchom SystemLook x64 i w oknie wklej: :filefind *itqjnld* Klik w Look i podaj wynikowy log. Uwaga: log może być potwornie duży i nie wejść w załączniki. W takiej sytuacji shostuj go gdzieś (np. wklej.org, a jeśli i dla tego serwisu za duża wklejka, to spakuj do ZIP i użyj inny hosting). Mam też pytanie: czy obecnie tapeta systemowa jest poprawnie ustawiona? Piję do tego, że infekcja szyfrująca manipuluje w ustawieniach tapety.

adece, przecież nie wykonałeś zadań jak należy. Nie odinstalowałeś przestarzałego F-Secure. Po drugie nie uruchomiłeś skryptu FRST - to nadal jak najbardziej aktualne, bo w systemie są inne rzeczy wymagające korekty (m.in. wpisy adware Conduit). 1. Czyli do wykonania zaległe punkty: deinstalacja F-Secure oraz cały punkt numer 2 (ze skryptu wytnij jednak linię Hosts:, gdyż to już niepotrzebne). 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Za efekt zapewne odpowiada to zadanie w Harmonogramie zadań inicjujące konsolowy amd.bat: ==================== Scheduled Tasks (whitelisted) ============= Task: {09089979-D918-4175-8024-D38EBE8BFF2F} - System32\Tasks\Catalyst Control Center => C:\Program Files (x86)\ATI Technologies\ATI.ACE\amd.bat [2015-01-20] () Zanim podam jego usuwanie, proszę otwórz w Notatniku plik C:\Program Files (x86)\ATI Technologies\ATI.ACE\amd.bat i przeklej tu jego zawartość.

Na przyszłość podawaj link do alternatywnego tematu, bym nie musiała wyszukiwać. Temat jest tu: KLIK. Widzę, że posługiwałeś się wątpliwym skanerem SpyHunter - z daleka od tego reklamiarza. Czyszczenie na tamtym forum było niedokładne (nie sprawdzono też wyników Fixlog). Po pierwsze metoda usuwania rozszerzeń adware z przeglądarek nie gwarantująca ich pełnego usunięcia (kasowanie folderu Chrome z dysku NIE usuwa w pełni rozszerzenia). Po drugie nie zostały zlikwidowane wszystkie skutki infekcji adware - zostałeś z przeglądarką Google Chrome przekonwertowaną przez adware z wersji stabilnej do developerskiej. To oznacza otwarcie na adware w przyszłości, Chrome nie zablokuje niepożądanych operacji (blokada jest tylko w wersji stabilnej). Konieczna całkowita reinstalacja przeglądarki. Chrome: ======= CHR dev: Chrome dev build detected! Przy okazji, była tam próba usuwania poniższego nieszkodliwego elementu DAEMON Tools, próba się nie udała tylko nie było Fixlog to dowodującego. To produkt aktywności sterownika SPTD emulacji. Sterownik (mający jako "producenta" zawsze nazwę związaną z kontrolerem dysku = tu AMD) jest losowy i zmienia nazwy przy każdym restarcie systemu. Nie da się go "usunąć" - on zniknie w pełni po całkowitym ubiciu emulatora SPTD. I nic z tym nie trzeba robić, dopóki działa DAEMON Tools. U3 aot7jlil; C:\Windows\System32\Drivers\aot7jlil.sys [0 ] (Advanced Micro Devices) Obecnie w systemie już inna nazwa: U3 a6grwy0i; C:\Windows\System32\Drivers\a6grwy0i.sys [0 ] (Advanced Micro Devices) Działania poprawkowe pod kątem Google oraz wpisów odpadkowych / po odinstalowanych programach: 1. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {04B578FB-6C1C-4A41-B1C9-6DCAB5DF1AB0} - System32\Tasks\{024B06CC-9D95-449F-87E7-E9EB4C4D8F7D} => msiexec.exe /package "C:\Users\Piotrek\Downloads\Windows Defender 1.1.1593.0 PL .msi" Task: {29094F0F-38A3-49DA-BC19-FA79E38CC45B} - System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan => C:\Program Files\Microsoft Security Client\MpCmdRun.exe Task: {2F175C2D-0D98-46EC-B3ED-50EAD4E3A286} - System32\Tasks\{A3205480-6B17-4F84-B31F-66365B9C92EA} => msiexec.exe /package "C:\Users\Piotrek\Downloads\Windows Defender 1.1.1593.0 PL .msi" Task: {536E7D1A-89B8-49D6-BD25-4A5BC37BE198} - System32\Tasks\{5E2A602B-0F31-4961-AFAE-A029D4FD2DFA} => msiexec.exe /package "C:\Users\Piotrek\Downloads\WindowsDefender(dobreprogramy.pl).msi" Task: {5516E73D-E346-4FAB-93F9-2739A2B5F09C} - System32\Tasks\Driver Booster SkipUAC (Piotrek) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {6DA73A18-D9B6-485C-AD21-BDC19157EE46} - System32\Tasks\{5C676BB8-A143-4A65-8D47-F92CD6FD8EC5} => msiexec.exe /package "C:\Users\Piotrek\Downloads\WindowsDefender(dobreprogramy.pl).msi" Task: {E9AA4610-4FD4-4045-AC0D-E6EDA0039ACD} - System32\Tasks\{1C89FACA-BF17-4C90-8389-872C16B8D186} => msiexec.exe /package "C:\Users\Piotrek\Desktop\Windows Defender 1.1.1593.0 PL .msi" Task: {EE521B9C-6E14-4EF2-89E6-D3A4584BBA7F} - System32\Tasks\{64EB8821-2CF0-4307-BEB4-6F8A26CD8960} => pcalua.exe -a C:\Users\Piotrek\Downloads\DC3Setup_33(dobreprogramy.pl)\setup.exe -d C:\Users\Piotrek\Downloads\DC3Setup_33(dobreprogramy.pl) BootExecute: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com C:\Program Files (x86)\Google C:\ProgramData\Freemake C:\ProgramData\install_clap C:\ProgramData\IObit C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HTC Home C:\Users\Piotrek\AppData\Local\Google C:\Users\Piotrek\AppData\Local\WorldofTanks C:\Users\Piotrek\AppData\Local\Zemana C:\Users\Piotrek\AppData\Roaming\snotebook 2.0.exe C:\Users\Piotrek\AppData\Roaming\16487 C:\Users\Piotrek\AppData\Roaming\Foxmail7 C:\Users\Piotrek\AppData\Roaming\gBurner C:\Users\Piotrek\AppData\Roaming\IObit C:\Users\Piotrek\AppData\Roaming\Tencent C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\The Bat!.LNK C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steam C:\Users\Piotrek\Start Menu\Programs\SpyHunter C:\Windows\SysWOW64\ZALSDKCore.dll Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a C:\Users\Piotrek EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót Internet Explorer: Shortcut: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK (wersję 32-bit lub 64-bit, do wyboru). 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Proponuję jednak całkowicie odinstalować ESET dla testu. Po tym poprawić ESET Uninstaller z poziomu Trybu awaryjnego. Po akcji zostawić komputer na obserwacji (nie instalując żadnych antywirusów "przejściowych"), by się upewnić czy ta instalacja ma coś do rzeczy.

Na koniec: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu, a jeśli potrzebna Java to wyposaż się w najnowszą wersję: KLIK.

Opisz w jaki sposób "rozwiązałeś" problem. Jeśli odbywało się to na innym forum, podaj link do tematu. Prośba o dostarczenie obowiązkowych logów nadal aktualna.

AdwCleaner ani nie służy do usuwania takich programów, ani nie jest poprawną metodą usuwania tego typu aplikacji - to jest antywirus oparty o sterowniki poziomu kernel. Zawsze należy daną aplikację (nawet adware) w pierwszej kolejności próbować odinstalować, bo brutalne usuwanie na chama może mieć skutki uboczne (większe śmietnisko). Niechciany Kingsoft należy w poprawny sposób odinstalować. Figuruje on na liście zainstalowanych pod następującą krzaczastą nazwą: ==================== Installed Programs ====================== 新毒霸(悟空) (HKLM\...\Kingsoft Internet Security) (Version: 2015.0.5 - Kingsoft Internet Security) Jaki jest problem z jego odinstalowaniem? Czy chodzi o to, że nie rozumiesz przycisków / nie możesz się domyślić co one proponują? Czy może jakiś błąd się pojawia?

Temat sklejam z poprzednim. To nie jest problem infekcji. Raporty FRST są używane także do analizy pozainfekcyjnych przyczyn, w tym jednak przypadku nie zawierają żadnych kierunków działań. Jedyne co widać to tylko relatywny błąd w Menedżerze urządzeń: ==================== Faulty Device Manager Devices ============= Name: Unknown Device Description: Unknown Device Class Guid: {36fc9e60-c465-11cf-8056-444553540000} Manufacturer: (Standardowy kontroler hosta USB) Service: Problem: : Windows has stopped this device because it has reported problems. (Code 43) Resolution: One of the drivers controlling the device notified the operating system that the device failed in some manner. For more information about how to diagnose the problem, see the hardware documentation. Nie, to nie jest powiązane. Po prostu zainstalowany był kiedyś jakiś program do nagrywania lub masterowania płyt CD/DVD który używa tego sterownika emulacji. Jak widać w raportach sterownik cholernie stary i 32-bitowy, dlatego jest blokowany na systemie 64-bit (wymagane natywne podpisane cyfrowo sterowniki). Sterownik jest nieczynny, ale można go całkowicie wywalić: S1 StarOpen; C:\Windows\SysWow64\Drivers\StarOpen.sys [5632 2006-07-24] () W Autoruns w karcie Drivers skasować StarOpen. Po tym z dysku ręcznie usunąć plik C:\Windows\SysWow64\Drivers\StarOpen.sys. Ta operacja nie ma związku z problemem USB.

Zadanie wykonane. Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

Teraz zastosuj DelFix oraz wyczyść foldery Przywracania systemu i spróbuj utworzyć nowy punkt Przywracania systemu: KLIK. Proszę potwierdź, że operacje z Przywracaniem nie zwracają błędu, gdyż raport FRST Addition notował błąd WMI (niemożność poboru danych).

Wszystko zrobione. Ostatnie poprawki. Otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SOFTWARE\Google /f CMD: del /q C:\Users\User\Downloads\rl6jt5r5.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\User\Downloads\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.