picasso

Oczywiście, że usługi nie są "zainstalowane" - one są całkowicie wycięte z systemu. I po to jest ServiceRepair, który ma je zrekonstruować. Problem w tym, że to się w ogóle nie wykonuje z niewiadomych przyczyn. Log z Farbar Service Scanner nie przedstawia żadnych zmian. Jak usług nie było, tak ich nadal nie ma. Wystąpił też problem z usunięciem kwarantanny FRST, w której są liczne zablokowane obiekty. Kolejne podejście: 1. Tym razem wszystkie operacje z poziomu Trybu awaryjnego Windows. Uruchom Services Repair i zresetuj system. W FRST przepuść skrypt o postaci: RemoveDirectory: C:\FRST\Quarantine 2. Przejdź w Tryb normalny i zrób nowy log z Farbar Service Scanner, dołącz też fixlog.txt z operaji FRST. Jeśli nadal log FSS nie wykaże zmian, niestety zadam żmudną rekonstrukcję ręczną.

Pomyliłeś się przy wklejaniu Fixlist do Notatnika i przekleiłeś również moje wypowiedzi z posta... To się oczywiście nie wykonało, ale reszta zadań jak burza. Teraz trzeba się zająć wykańczaniem martwego ESET oraz rekonstrukcją zdewastowanego Windows Defender. Na razie ponowna instalacja ESET nie wchodzi w grę, musimy wykonać naprawy w pierwszej kolejności. Kolejna porcja czynności: 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie: 2. Uruchom Zoek. W oknie wklej: ESET Remote Administrator Console;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log). 3. Pobierz najnowszą wersję FRST. Otwórz Notatnik i wklej w nim: Unlock: C:\Users\Iga\AppData\Local\IObit Apps Unlock: C:\Users\Iga\AppData\Roaming\IObit Apps C:\Users\Iga\AppData\Local\IObit Apps C:\Users\Iga\AppData\Roaming\IObit Apps RemoveDirectory: C:\Program Files\ESET RemoveDirectory: C:\ProgramData\ESET DeleteKey: HKCU\Software\AlphaChess DeleteKey: HKCU\Software\GMPlayer DeleteKey: HKCU\Software\Lavalys DeleteKey: HKCU\Software\MimarSinan DeleteKey: HKCU\Software\Reg DeleteKey: HKCU\Software\roxio DeleteKey: HKCU\Software\Safer Networking Limited DeleteKey: HKCU\Software\SimonTatham DeleteKey: HKCU\Software\SOFTWIN DeleteKey: HKCU\Software\Sys DeleteKey: HKCU\Software\TeamViewer DeleteKey: HKCU\Software\WhiteSmoke Writer V8 DeleteKey: HKLM\SOFTWARE\781 DeleteKey: HKLM\SOFTWARE\activePDF DeleteKey: HKLM\SOFTWARE\AdwCleaner DeleteKey: HKLM\SOFTWARE\Audible DeleteKey: HKLM\SOFTWARE\ESET DeleteKey: HKLM\SOFTWARE\Foolish IT DeleteKey: HKLM\SOFTWARE\GamingWonderlandEI DeleteKey: HKLM\SOFTWARE\Ge-Force-nv DeleteKey: HKLM\SOFTWARE\GoHD-nv DeleteKey: HKLM\SOFTWARE\HitmanPro DeleteKey: HKLM\SOFTWARE\MimarSinan DeleteKey: HKLM\SOFTWARE\OldTimer Tools DeleteKey: HKLM\SOFTWARE\Ontrack DeleteKey: HKLM\SOFTWARE\Reg DeleteKey: HKLM\SOFTWARE\Runtime Software DeleteKey: HKLM\SOFTWARE\Safer Networking Limited DeleteKey: HKLM\SOFTWARE\Sense-nv DeleteKey: HKLM\SOFTWARE\Siber Systems DeleteKey: HKLM\SOFTWARE\SOFTWIN DeleteKey: HKLM\SOFTWARE\Symantec DeleteKey: HKLM\SOFTWARE\TeamViewer DeleteKey: HKLM\SOFTWARE\Windows Defender Reg: reg query HKCU\Software\AppDataLow /s Reg: reg query HKLM\SOFTWARE\AppDataLow /s Reg: reg query HKLM\SOFTWARE\Windows /s CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

Wszystko zrobione. Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Zabezpieczenia przed infekcjami szyfrującymi, oparte na restrykcjach oprogramowania, realizuje aplikacja CryptoPrevent.

Usuń pobrany FRST z podfolderu na Pulpicie. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Tu jest infekcja routera, dlatego wszystkie urządzenia przekierowywane przez router są zainfekowane. Pierwszy adres IP jest ukraiński: Tcpip\Parameters: [DhcpNameServer] 91.212.124.159 8.8.8.8 Nie pomogą żadne skany czy fiksy w Windows, jest konieczne czyszczenie na poziomie routera. Działania do przeprowadzenia: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 catchme; \??\C:\ComboFix\catchme.sys [X] Task: {79E9F818-CD63-4CE6-A412-CF7F063E2978} - System32\Tasks\{D170797E-6BA8-4C1F-9C56-592C1D7060C3} => pcalua.exe -a d:\gry\scooby\uninstal.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3998598826-476162460-4090119972-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3998598826-476162460-4090119972-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe CMD: ipconfig /flushdns Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

1. Ten wpis nadal nie przetworzony, ale Farbar właśnie zaaplikował poprawkę. Pobierz ponownie FRST. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3326234350-4050991087-374296464-1000\...\Policies\Explorer\Run: [Wistron] => C:\Users\Wujo\AppData\Roaming\CAD8B9\CAD8B9.exe DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. 2. Żadnych zmian w usługach. Co się działo podczas uruchamiania ServicesRepair? Ponów próbę > restart systemu > nowy log z Farbar Service Scanner.

Zasady działu: KLIK. Przestarzały OTL nie jest tu już sprawdzany. Proszę dostarczyć obowiązujące raporty oraz poprawić tytuł tematu na właściwy (poprzez edycję pierwszego posta).

Czy zadanie z Usługą buforowania czcionek wykonałeś poprawnie? Czy ponowna próba uruchomienia narzędzia Fix-it zwraca ten sam błąd? No tak, ale czy w ogóle wiesz jak system działa bez żadnych antywirusów? Od razu chcesz się rzucać w COMODO, a to może być z deszczu pod rynnę. Najpierw sprawdź jak system działa bez AVG. Chyba, że to już wypowiedź po deinstalacji AVG i stwierdzeniu, że system działa lepiej.

Nie miałam zupełnie czasu uruchomić wirtualnej maszyny Windows 8, by sprawdzić gdzie są ustawienia wbudowanej przeglądarki PDF. Jeśli chodzi o Adwleaner, to mnóstwo fałszywych alarmów na poprawnych rozszerzeniach Google Chrome i COMODO Dragon. Jest to bug aktualnej wersji. Trzeba nanieść poprawki na wyniki. Usuwanie będę robić ręcznie za pomocą FRST. 1. Usuń wyszukiwarki adware z przeglądarek: - W Google Chrome: Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystkie wystąpienia Ask, Trovi, Certified Toolbar. - W COMODO Dragon podobna akcja, ale do skasowania jest tylko jedna pozycja Ask. 2. Otwórz Notatnik i wklej w nim: C:\Users\castletone77\AppData\Local\Comodo\Dragon\User Data\Default\Local Storage\*localstorage* C:\Users\castletone77\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\castletone77\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\castletone77\AppData\LocalLow\HomeTab C:\Users\castletone77\AppData\LocalLow\SimplyTech C:\Users\castletone77\AppData\Roaming\Nosibay C:\Users\castletone77\AppData\Roaming\SimplyTech C:\Users\castletone77\AppData\Roaming\Bubble Dock.installation.log C:\Users\Public\Desktop\eBay.lnk C:\Program Files\HomeTab Reg: reg delete HKCU\Software\1ClickDownload /f Reg: reg delete HKCU\Software\AppDataLow\Software\simplytech /f Reg: reg delete HKCU\Software\BrowserSafeguardInstalled /f Reg: reg delete HKCU\Software\GlobalUpdate /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\DOMStorage\superfish.com" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\DOMStorage\www.superfish.com" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\certified-toolbar.com" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\softonic.pl" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\superfish.com" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\trovi.com" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\www.superfish.com" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\www.trovi.com" /f Reg: reg delete HKCU\Software\Reimage /f Reg: reg delete HKCU\Software\simplytech /f Reg: reg delete HKCU\Software\Zugo /f Reg: reg delete "HKLM\SOFTWARE\AVG Secure Search" /f Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{7017502F-0194-46B2-AA5A-F713E6C0E366} /f Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{DE9028D0-5FFA-4E69-94E3-89EE8741F468} /f Reg: reg delete HKLM\SOFTWARE\Classes\Interface\{3408AC0D-510E-4808-8F7B-6B70B1F88534} /f Reg: reg delete HKLM\SOFTWARE\Classes\Interface\{41E2BE59-5C34-46AB-B743-6678BC94F42C} /f Reg: reg delete HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} /f Reg: reg delete HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} /f Reg: reg delete HKLM\SOFTWARE\InstalledBrowserExtensions /f Reg: reg delete HKLM\SOFTWARE\Reimage /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{3278F5CF-48F3-4253-A6BB-004CE84AF492} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{3FC27B34-0C19-49DA-875E-1875DDD4A6B2} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{577975B8-C40E-43E6-B0DE-4C6B44088B52} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{C007DADD-132A-624C-088E-59EE6CF0711F} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\HomeTab.DLL /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{02A96331-0CA6-40E2-A87D-C224601985EB} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3278F5CF-48F3-4253-A6BB-004CE84AF492} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3B5702BA-7F4C-4D1A-B026-1E9A01D43978} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{5645E0E7-FC12-43BF-A6E4-F9751942B298} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{577975B8-C40E-43E6-B0DE-4C6B44088B52} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{5E89ACE9-E16B-499A-87B4-0DBF742404C1} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{69F256DF-BA98-45E9-86EA-FC3CFECF9D30} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{6D4506CE-F855-4657-AA38-DB6B1F733982} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{6E87FC94-9866-49B9-8E93-5736D6DE3DD7} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{7017502F-0194-46B2-AA5A-F713E6C0E366} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{7E49F793-B3CD-4BF7-8419-B34B8BD30E61} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{834469E3-CA2B-4F21-A5CA-4F6F4DBCDE87} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{8529FAA3-5BFD-43C1-AB35-B53C4B96C6E5} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{ADBC39BE-3D20-4333-8D99-E91EB1B62474} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{CFC47BB5-5FB5-4AD0-8427-6AA04334A3FC} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{DE9028D0-5FFA-4E69-94E3-89EE8741F468} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E06CA7F5-BA34-4FF6-8D24-B1BDC594D91F} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E0ADB535-D7B5-4D8B-B15D-578BDD20D76A} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F6421EE5-A5BE-4D31-81D5-C16B7BF48E4C} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FD8E81D0-F5FE-4CB1-9AEA-1E163D2BAB78} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdate.OneClickCtrl.10 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdate.OneClickProcessLauncherMachine /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdate.OneClickProcessLauncherMachine.1.0 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdate.Update3WebControl.4 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.CoCreateAsync /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.CoCreateAsync.1.0 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.CoreClass /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.CoreClass.1 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.CoreMachineClass /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.CoreMachineClass.1 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.CredentialDialogMachine /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.CredentialDialogMachine.1.0 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.OnDemandCOMClassMachine /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.OnDemandCOMClassMachine.1.0 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.OnDemandCOMClassMachineFallback /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.OnDemandCOMClassMachineFallback.1.0 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.OnDemandCOMClassSvc /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.OnDemandCOMClassSvc.1.0 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.ProcessLauncher /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.ProcessLauncher.1.0 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.Update3COMClassService /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.Update3COMClassService.1.0 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.Update3WebMachine /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.Update3WebMachine.1.0 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.Update3WebMachineFallback /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.Update3WebMachineFallback.1.0 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.Update3WebSvc /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.Update3WebSvc.1.0 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3408AC0D-510E-4808-8F7B-6B70B1F88534} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{41E2BE59-5C34-46AB-B743-6678BC94F42C} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\GlobalUpdate /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{CFD485F0-96BD-47CD-BB6D-CD7DDA95F102}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5645E0E7-FC12-43BF-A6E4-F9751942B298}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5E89ACE9-E16B-499A-87B4-0DBF742404C1}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{CFD485F0-96BD-47CD-BB6D-CD7DDA95F102}" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{5645E0E7-FC12-43BF-A6E4-F9751942B298} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\SearchProtect /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner ponownie. Wybierz opcję Szukaj i dostarcz nowy log wynikowy.

Zadania wykonane. Poprawki: 1. Otwórz Notatnik i wklej w nim: CreateRestorePoint: testsigning: ==> testsigning is on. Check for possible unsigned rootkit driver nointegritychecks: ==> Integrity Checks is disabled BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File C:\Program Files (x86)\IObit C:\ProgramData\DeviceVM C:\ProgramData\IObit C:\ProgramData\Sun C:\Users\Cezary\AppData\Roaming\DeviceVm C:\Users\Cezary\AppData\Roaming\IObit C:\Windows\SysWOW64\deployJava1.dll Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj (nie wybieraj na razie Usuń) i distarcz wynikowy log z folderu C:\AdwCleaner. Jakie konkretnie funkcje Cię interesują?

Na przyszłość: przy pierwszym niepowodzeniu od razu się zgłaszasz na forum z opisem i częściowym logiem (o ile utworzony). Zasady działu wyrażnie mówią, że Fixy są jednorazowe i niepowtarzalne, przy problemach STOP i nie ponawiać prób. Przetworzyłeś wielokrotnie to samo, dlatego już po pierwszym przebiegu żadne wpisy z wyjątkiem ostatniej nie zostały przetworzone.Z przebiegu zdarzeń wynika, iż FRST miał problem z wykonaniem komendy EmptyTemp:. Fix FRST resetuje klucz Parameters usługi przekierowując na poprawną ścieżkę. To zostało tu wykonane, dlatego cytowane objawy zniknęły. Defekt usługi WMI nie jest jednak przyczyną BSODów - nie ten poziom ingerencji. Prędzej antywirus może być kłopotliwy (układ inwazyjnych sterowników). Przestaw także Usługi kryptograficzne oraz Windows Update na Automatyczny: Windows Update: ============ wuauserv Service is not running. Checking service configuration: The start type of wuauserv service is set to Demand. The default start type is Auto. The ImagePath of wuauserv service is OK. The ServiceDll of wuauserv service is OK. cryptsvc Service is not running. Checking service configuration: The start type of cryptsvc service is set to Demand. The default start type is Auto. The ImagePath of cryptsvc service is OK. The ServiceDll of cryptsvc: "%SystemRoot%\system32\cryptsvc.dll". FRST nie mógł wykonać weryfikacji podpisów cyfrowych plików: ========================== Services (Whitelisted) ================= ATTENTION: => Could not perform signature verification. Cryptographic Service is not running. Poprzednie zadania wykonane. Tylko kosmetyka i drobne korekty na puste wpisy: 1. Odinstaluj stare wersje i zbędniki: Adobe AIR, Adobe Flash Player 14 ActiveX, Bing Bar, Google Toolbar for Internet Explorer, Java 7 Update 67, OpenOffice.org 3.2. 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-428840236-531340148-3836443965-1000\...\Run: [Ozi] => C:\Users\Janusz\AppData\Roaming\OziboxSync\OziBoxSync.exe HKU\S-1-5-21-428840236-531340148-3836443965-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird C:\Users\Janusz\AppData\Roaming\OziboxSync C:\Windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\pss\Mozilla Thunderbird.lnk.Startup Folder: C:\ProgramData\WindowsSearch Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\BITS" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\McComponentHostService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Janusz^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Mozilla Thunderbird.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DU Meter" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ooVoo.exe" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Innych logów nie potrzebuję.

Pokaż stronę domową programu i wymagania. Czy te "inne komputery" też są z XP, czy może z nowszymi systemami? Czy ten program jest instalowany u Ciebie po raz pierwszy, czy wcześniej już był i instalacja działała poprawnie? I co z deinstalacją SpyHunter? Podałam z Shortcut ścieżkę dostępu do skrótu deinstalacji: C:\Documents and Settings\Osia\Start Menu\Programs\SpyHunter\Uninstall.lnk

Zoek wykonał roboty deinstalacyjne, więc Fix-it Microsoftu już nie jest potrzebny. AdwCleaner wykrył ogromną ilość obiektów, wykazuje też ślady adware na profilu Rodzice. 1. Uruchom AdwCleaner ponownie, tym razem dobierz opcje Szukaj + Usuń. 2. Zaloguj się na konto Rodzice poprzez pełny restart systemu (a nie "Wyloguj" lub "Przełącz użytkownika") i zrób nowy log FRST z opcji Scan (zaznacz Addition, ale Shortcut nie jest już potrzebny).

Czy nie przypominasz sobie co robiłeś tuż przed ponownym pojawieniem się Surfvox - odwiedzenie określonej strony, pobranie i uruchomienie czegoś konkretnego? Tak jak poprzednio wszystko zostało pomyślnie usunięte. 1. Usuń pobrany FRST z H:\x. Następnie zastosuj DelFix. 2. Wykonaj pełne skanowanie za pomocą Malwarebytes Anti-Malware. Dostarcz raport, o ile coś zostanie wykryte.

1. Przejdź w Tryb awaryjny Windows i zastosuj Avira Registry Cleaner oraz AVG Remover. 2. Następnie wejdź w Tryb normalny i zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Skrypt został wykonany poprawnie, nie usuwał nic z dysku D - tylko z dysku C było usuwanie plików. Jeśli partycja zniknęła, jest to związane z czymś innym. W FRST Additon będzie rozpisany układ partycji. Podaj też zrzut ekranu z przystawki diskmgmt.msc.

Wszystko gładko poszło, za wyjątkiem jednego wpisu (bug FRST). Kolejna porcja zadań: 1. Pobierz najnowszą wersję FRST. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3326234350-4050991087-374296464-1000\...\Policies\Explorer\Run: [Wistron] => C:\Users\Wujo\AppData\Roaming\CAD8B9\CAD8B9.exe C:\Program Files\AdTrustMedia C:\Program Files\Google C:\Program Files (x86)\1ClickDownload C:\Program Files (x86)\AdBlocknWatchu C:\Program Files (x86)\ExxsTriaSaviungs C:\Program Files (x86)\Zealot Software C:\ProgramData\AdBlocknWatchu C:\ProgramData\Adtrustmedia C:\ProgramData\c2d6b65770b43203 C:\ProgramData\COMODO C:\ProgramData\DAEMON Tools Lite C:\ProgramData\ExxsTriaSaviungs C:\ProgramData\Gadu-Gadu 10 C:\ProgramData\Google C:\ProgramData\InstallMate C:\ProgramData\Kaspersky Lab Setup Files C:\ProgramData\McAfee C:\ProgramData\Mozilla C:\ProgramData\savensshaeRe C:\ProgramData\SoftSafe C:\ProgramData\Uniblue C:\Users\Wujo\AppData\Local\AdTrustMedia C:\Users\Wujo\AppData\Local\ChomikBox C:\Users\Wujo\AppData\Local\Chromium C:\Users\Wujo\AppData\Local\Lollipop C:\Users\Wujo\AppData\Local\Opera C:\Users\Wujo\AppData\Local\Opera Software C:\Users\Wujo\AppData\Local\The Witcher C:\Users\Wujo\AppData\Local\The Witcher 2 C:\Users\Wujo\AppData\Local\Torch C:\Users\Wujo\AppData\Local\womble C:\Users\Wujo\AppData\LocalLow\Google C:\Users\Wujo\AppData\LocalLow\SimplyTech C:\Users\Wujo\AppData\LocalLow\Temp C:\Users\Wujo\AppData\Roaming\*.dat C:\Users\Wujo\AppData\Roaming\mcp.ico C:\Users\Wujo\AppData\Roaming\LiveSupport.exe_log.TXT.itqjnld C:\Users\Wujo\AppData\Roaming\regsvr32.exe_log.TXT.itqjnld C:\Users\Wujo\AppData\Roaming\EurekaLog C:\Users\Wujo\AppData\Roaming\Gadu-Gadu 10 C:\Users\Wujo\AppData\Roaming\GoforFiles C:\Users\Wujo\AppData\Roaming\Google C:\Users\Wujo\AppData\Roaming\IrfanView C:\Users\Wujo\AppData\Roaming\Opera C:\Users\Wujo\AppData\Roaming\Opera Software C:\Users\Wujo\AppData\Roaming\Softland C:\Users\Wujo\AppData\Roaming\uTorrent C:\Users\Wujo\AppData\Roaming\YourFileDownloader CMD: for /d %f in (C:\Users\Wujo\AppData\Local\{*}) do rd /s /q "%f" CMD: for /d %f in (C:\Users\Wujo\AppData\LocalLow\{*}) do rd /s /q "%f" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom ServicesRepair. Po operacji zresetuj system i zrób nowy log z Farbar Service Scanner.

Ad "prosiłeś" = jestem kobietą. Wszystkie zalecenia wykonane. Na koniec: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

1. MBAM wykrył głównie szczątki reklamiarzy. Wszystkie wskazane w skanie obiekty do usunięcia za pomocą programu. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Nastąpiła zmiana i obecnie jest już najnowsza wtyczka ActiveX dla Internet Explorer: ==================== Installed Programs ====================== Adobe Flash Player 16 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 16.0.0.257 - Adobe Systems Incorporated) Zadania pomyślnie wykonane. Tylko drobne korekty: 1. Napraw uszkodzony specjalny skrót Internet Explorer: Shortcut: C:\Users\Alexis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Alexis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 2. Otwórz Notatnik i wklej w nim: HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm HKU\S-1-5-21-1817701526-1401173901-2305217273-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.msn.com/?pc=AV01 CMD: del /q "C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk" DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Nowe skany FRST nie są już potrzebne.

Czy są jeszcze jakieś problemy w systemie? Zadana pula akcji gładko wykonana, usługi Windows pomyślnie zrekonstruowane. Ostatni skrypt do FRST. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Niestety mam niedobre wieści. Deszyfracja plików jest niemożliwa. Opis infekcji i dyskusja: KEYHolder.

Nazwy logów wskazują, że je wyciągasz z folderu C:\FRST\Logs. To archiwum logów. Bieżący log jest zawsze w tej samej lokalizacji skąd uruchamiano FRST - w tym przypadku katalog Pobrane. I nie odinstalowałeś SpyHunter - to jest program z czarnej listy. Chodzi o to, że plik skryptu i FRST mają siedzieć w tym samym folderze. Niby w nowym logu jest zmiana, tzn. wartość DhcpNameServer (pobierana z routera) wskazuje już adres routera. Ale wykonałeś dodatkowe polecenia, których nie zadałam - jest zmodyfikowana wartość NameServer (ustawienia po stronie Windows) na serwery Google. Serwery w Windows nas nie interesują, bo to nie tu jest problem. Tcpip\Parameters: [DhcpNameServer] 192.168.1.1 Tcpip\..\Interfaces\{58D1F063-6E9E-4A9E-94A1-DC27F83EB27E}: [NameServer] 8.8.8.8,8.8.4.4 Poproszę o zrzut ekranu konfiguracji routera pokazujący aktualne ustawienia DNS.

Zadanie ukończone zgodnie z planem. Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. To tyle.