picasso

Akcje pomyślnie wykonane, z wyjątkiem pierwszej komendy - błąd tworzenia punktu Przywracania systemu. 1. Poproszę o log z Farbar Service Scanner. 2. W systemie są dwa konta, a Ty dostarczałeś logi z wbudowanego Administratora (niedawno aktywowany): ========================= Accounts: ========================== Administrator (S-1-5-21-3668452077-1106565234-3799211801-500 - Administrator - Enabled) => C:\Users\Administrator KSIEGOWY (S-1-5-21-3668452077-1106565234-3799211801-1002 - Administrator - Enabled) => C:\Users\KSIEGOWY Proszę zaloguj się na właściwe konto KSIEGOWY poprzez pełny restart komputera (a nie "Wyloguj" czy "Przełącz użytkownika") i zrób z poziomu tego kota nowe logi FRST (główny + Addition, Shortcut zbędny).

Opis problemu biedny, mógłbyś dokładniej przedstawić sprawy... Infekcja nie jest po stronie systemu i nie pomogą żadne skanery czy "fiksy". Tu jest infekcja routera - pierwszy adres jest ukraiński: Tcpip\Parameters: [DhcpNameServer] 91.212.124.159 8.8.8.8 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony pozostałe działania: 2. Deinstalacje: Przez Panel sterowania odinstaluj starą wersję Java 7 Update 67, zbędny przestarzały Spybot - Search & Destroy oraz wątpliwy skaner z czarnej listy SpyHunter. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware BonanzaDeals) > Dalej. Zresetuj też cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-21-3842171764-2869596894-789366844-1001\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3842171764-2869596894-789366844-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NAV&pvid=21.4.0.13 HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-3842171764-2869596894-789366844-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3842171764-2869596894-789366844-1004\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NAV&pvid=21.4.0.13 CustomCLSID: HKU\S-1-5-21-3842171764-2869596894-789366844-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-3842171764-2869596894-789366844-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> No File Path Task: {0BDD645A-1D6B-4DB2-B6C3-5E46C85DDF15} - System32\Tasks\{FABF9EBF-0DEA-4A71-A61A-27E3A41FFF8E} => pcalua.exe -a G:\SISetup.exe -d G:\ Task: {34654672-028F-4921-9FDA-A889A4D62CC0} - System32\Tasks\{155D6E6C-5A60-4166-83D1-9FD0F6EB8F31} => pcalua.exe -a C:\Users\-\IN1EGC18WW5.exe -d C:\Users\- Task: {444C6D3A-C651-4BD3-B49A-6E08C791B0BD} - System32\Tasks\{FC4BCAC9-72C6-4E5A-98F2-6A04B840146D} => Chrome.exe Task: {578E4744-B444-4CE4-9734-7CB3CB6CF146} - System32\Tasks\Google Updater and Installer => C:\Users\-\AppData\Local\Google\Update\GoogleUpdate.exe Task: {8D905414-46D3-4741-90A4-738DEDE09920} - System32\Tasks\{A0F0AF63-6FA9-4646-80CB-129CD5DD97DE} => pcalua.exe -a E:\HpSetup.exe -d E:\ Task: {AFC7AF39-D967-48E1-824F-7AA6F17A8247} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe Task: {BC6E7BAF-613D-4638-8979-EEE57C458DA8} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe Task: {CD1F8EAA-00CD-4262-951A-EB2FEC8A9FA1} - \Program aktualizacji online firmy Adobe. No Task File HKU\S-1-5-21-3842171764-2869596894-789366844-1001\Software\Classes\exefile: U5 AppMgmt; C:\Windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\Users\-\AppData\Local\Temp\catchme.sys [X] S3 gfiark; system32\drivers\gfiark.sys [X] S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X] S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X] U3 Winsock - Google Desktop Search Backup Before First Install; No ImagePath U3 Winsock - Google Desktop Search Backup Before Last Install; No ImagePath C:\ProgramData\mshaigu.exe C:\Users\-\*.exe C:\Users\-\Downloads\jxpiinstall*.exe C:\Windows\System32\Tasks\Norton Identity Safe CMD: ipconfig /flushdns Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Logi z FRST są nareszcie z kontektu właściwego konta Wujo. To było istotne, bo ujawniły się wpisy ZeroAccess oraz ten do CAD8B9.exe omawiany wcześniej inicjowane z tego konta. Ponadto, adware przekonwertowało przeglądarkę Google Chrome z wersji stabilnej do developerskiej i wymagana kompleksowa reinstalacja. Nie ruszam na razie plików zaszyfrowanych przez infekcję, ale coś trzeba będzie potem z tym zrobić (ale jak mówiłam, dekrypcja awykonalna): 2015-01-01 14:56 - 2014-12-09 08:31 - 00049936 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_14_12_F012_AA.PDF.itqjnld 2015-01-01 14:56 - 2014-11-15 09:27 - 00049408 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_14_11_F011_AA.PDF.itqjnld 2015-01-01 14:56 - 2014-11-03 16:33 - 00013600 _____ () C:\Users\Wujo\Downloads\J-Wi Jadłospis.DOC.itqjnld 2015-01-01 14:56 - 2014-10-13 10:15 - 00052368 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_14_10_F010_AA.PDF.itqjnld 2015-01-01 14:56 - 2014-08-31 08:14 - 00054112 _____ () C:\Users\Wujo\Downloads\obsada nr 3 27.08.2014 roda.XLS.itqjnld 2015-01-01 14:56 - 2014-08-31 08:14 - 00054112 _____ () C:\Users\Wujo\Downloads\obsada nr 3 27.08.2014 roda (1).XLS.itqjnld 2015-01-01 14:56 - 2014-08-11 13:56 - 00051824 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_14_08_F008_AA.PDF.itqjnld 2015-01-01 14:56 - 2014-07-29 07:43 - 00045152 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_14_07_F007_AA.PDF.itqjnld 2015-01-01 14:56 - 2014-05-23 16:46 - 00018096 _____ () C:\Users\Wujo\Documents\g1 kody.DOC.itqjnld 2015-01-01 14:56 - 2014-05-19 12:14 - 00048704 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_14_05_F005_Z.PDF.itqjnld 2015-01-01 14:56 - 2014-03-17 14:58 - 00072576 _____ () C:\Users\Wujo\Downloads\tmp1A0.PDF.itqjnld 2015-01-01 14:56 - 2014-02-10 19:04 - 00050960 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_14_02_F002_Z.PDF.itqjnld 2015-01-01 14:56 - 2013-10-15 10:38 - 00049632 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_13_10_F010_Y.PDF.itqjnld 2015-01-01 14:56 - 2013-06-01 08:55 - 00044352 _____ () C:\Users\Wujo\Downloads\statement_0245_20130527.PDF.itqjnld 2015-01-01 14:56 - 2013-05-03 16:01 - 00005440 _____ () C:\Users\Wujo\Documents\DATA.DOC.itqjnld 2015-01-01 14:56 - 2013-05-03 15:01 - 00073648 _____ () C:\Users\Wujo\Documents\Dokument1.PDF.itqjnld Kolejna porcja działań: 1. Ustaw adresy DNS w Windows na adresy Google 8.8.8.8 + 8.8.4.4: KLIK. 2. Odinstaluj Adobe Flash Player 12 ActiveX, Adobe Flash Player 12 Plugin, Adobe Reader X (10.1.0) - Polish, Google Chrome, Java 6 Update 37. Na razie nie instaluj żadnych nowych wersji. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: S4 *etadpug; "C:\Program Files (x86)\Google\Desktop\Install\{ac61f76f-e3bf-090c-101a-0e87fecfa713}\ \...\???\{ac61f76f-e3bf-090c-101a-0e87fecfa713}\GoogleUpdate.exe" < <==== ATTENTION (ZeroAccess) HKU\S-1-5-21-3326234350-4050991087-374296464-1000\...\Run: [Google Update**.d<*>] => "C:\Users\Wujo\AppData\Local\Google\Desktop\Install\{ac61f76f-e3bf-090c-101a-0e87fecfa713}\❤≸⋙\Ⱒ☠⍨\‮ﯹ๛\{ac61f76f-e3bf-090c-101a-0e87fecfa713}\GoogleUpdate.exe" > <===== ATTENTION (Value Name with invalid characters) HKU\S-1-5-21-3326234350-4050991087-374296464-1000\...\Policies\Explorer\Run: [Wistron] => C:\Users\Wujo\AppData\Roaming\CAD8B9\CAD8B9.exe S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] S4 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S4 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X] S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X] U2 wuaserv; No ImagePath GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM-x32 -> DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = SearchScopes: HKLM-x32 -> {2F3F70DB-19ED-4AE2-829E-ED7ABDD6D638} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={71AE8812-1669-4581-B398-F540214F14E5} SearchScopes: HKLM-x32 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = http://search.certified-toolbar.com?si=44393&st=bs&tid=3820&ver=4.9&ts=1369248523355.000003&tguid=44393-3820-1369248523355-DA54B3E4B3DA9B82F6E7C5AAB0157A9E&q={searchTerms} SearchScopes: HKU\S-1-5-21-3326234350-4050991087-374296464-1000 -> {1DD5C10A-E446-4FEC-8511-6F13CDC8C221} URL = http://startsear.ch/?aff=1&src=sp&cf=52e8ba86-3711-11e1-bd44-001d6073c963&q={searchTerms} SearchScopes: HKU\S-1-5-21-3326234350-4050991087-374296464-1000 -> {2F3F70DB-19ED-4AE2-829E-ED7ABDD6D638} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={71AE8812-1669-4581-B398-F540214F14E5} SearchScopes: HKU\S-1-5-21-3326234350-4050991087-374296464-1000 -> {76893B59-8604-4843-9B97-7ECDADBE8CA8} URL = http://start.funmoods.com/results.php?f=4&a=nv1&q={searchTerms} SearchScopes: HKU\S-1-5-21-3326234350-4050991087-374296464-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-3326234350-4050991087-374296464-1000 -> {D55E9BF4-1D7D-4C25-B1FD-C51D19102329} URL = http://mp3tubetoolbar.com/?tmp=toolbar_sb_results&prt=pinballtbfour01ie&Keywords={searchTerms}&clid=40e7c0cae985426988648692520b0dbe BHO: webSAive -> {2E3EFEDB-1DF5-5E5B-C5D7-630462260742} -> C:\Program Files (x86)\webSAive\nUkS3p.x64.dll No File BHO-x32: No Name -> {19a395c9-823b-4700-b817-396fc84ffb16} -> No File BHO-x32: webSAive -> {2E3EFEDB-1DF5-5E5B-C5D7-630462260742} -> C:\Program Files (x86)\webSAive\nUkS3p.dll No File BHO-x32: HomeTab -> {ca2fbf11-ffbb-49f8-b2fa-345f226e3a74} -> C:\Program Files (x86)\HomeTab\IE\HomeTab.dll No File Toolbar: HKLM - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File Toolbar: HKLM-x32 - HomeTab - {ca2fbf11-ffbb-49f8-b2fa-345f226e3a74} - C:\Program Files (x86)\HomeTab\IE\HomeTab.dll No File Toolbar: HKLM-x32 - No Name - {19a395c9-823b-4700-b817-396fc84ffb16} - No File Toolbar: HKU\S-1-5-21-3326234350-4050991087-374296464-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-3326234350-4050991087-374296464-1000 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File Winsock: Catalog5 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5 08 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5-x64 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5-x64 08 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" Task: {07770E9D-F3B7-4B25-874D-3D6F3F3CBDC6} - \Funmoods No Task File <==== ATTENTION Task: {0CF3B116-DA65-430F-9FA1-7EAE2435E3F5} - System32\Tasks\{C26B5E61-26B9-47FD-AFE4-265FA498E912} => pcalua.exe -a "C:\z Rector\_CD\02 dotnet 01 i 02\dotnet2.0_polish_lang_pack.exe" -d "C:\z Rector\_CD\02 dotnet 01 i 02" Task: {0DAACB83-A04B-49B5-8315-0CD0A3024430} - \WS.Enabler-S-71009536 No Task File <==== ATTENTION Task: {105353A9-C15A-405A-9D8A-B889A9F5E576} - System32\Tasks\{6B62769A-FB6F-4B36-B81B-10076155899C} => pcalua.exe -a "D:\[PL] Gothic 3 Zmierzch Bogow\g3fg_106_pl.exe" -d "D:\[PL] Gothic 3 Zmierzch Bogow" Task: {14A661C3-358B-44FF-9415-0BAC9EA4E4B2} - System32\Tasks\{22116563-108C-42c0-A7CE-60161B75E508} => C:\Users\Wujo\AppData\Local\Temp\Ivj.exe <==== ATTENTION Task: {16A2D09C-C155-4D67-A276-2577E63ABA87} - System32\Tasks\nvbinif => C:\Windows\TEMP\wxsgcum.exe Task: {811D8666-AB43-4EBB-A3AF-68CBE1987A13} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe <==== ATTENTION Task: {848E651E-3F94-437E-A939-3C5D9D3C3FCE} - System32\Tasks\{948FD25D-A0F4-4257-AE25-56927B4C82F3} => pcalua.exe -a D:\setup.exe -d D:\ Task: {8A50D08D-C7D8-4E89-A512-BA89703FFD7C} - System32\Tasks\YourFile Update => C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe <==== ATTENTION Task: {92B73987-47CF-42AA-B2B0-8AAF466CBFED} - System32\Tasks\{4CE54CF7-CD67-49E1-9ABE-A168E0913C58} => pcalua.exe -a "C:\z Rector\_CD\02 dotnet 01 i 02\dotnetfx2.0.exe" -d "C:\z Rector\_CD\02 dotnet 01 i 02" Task: {B67CFFE1-7813-46ED-9F33-81F9CF1C3788} - System32\Tasks\{DC334AC1-DE93-43DE-B655-5F406268D5E4} => C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe Task: {C2A96D23-B831-4880-BB2C-1285BF313F1A} - System32\Tasks\{EBE60C5D-F0A2-4DD7-B8AA-D4CA3A683DE0} => pcalua.exe -a "C:\z Rector\_CD\02 dotnet 01 i 02\dotnetfx1.0.exe" -d "C:\z Rector\_CD\02 dotnet 01 i 02" Task: {E61AD748-BC3D-4ABD-AF8F-EA28EEB737CA} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {F0A7FF05-933F-4750-8006-433AAC7661E6} - System32\Tasks\{E4DBABE4-396F-467D-BBB3-8B4B4BC021E8} => C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe Task: {F474537D-3A24-4C8E-AB4F-78874B488DE2} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {F98EDEAE-7418-499C-8EC5-4C28DEA6EE65} - System32\Tasks\RunAsStdUser Task => C:\Program Files (x86)\ClickPotatoLite\bin\11.0.19.0\ClickPotatoLiteSA.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\WS.Enabler-S-71009536.job => c:\programdata\setapp\ws.enabler\WS.Enabler.exe <==== ATTENTION DeleteJunctionsIndirectory: C:\Program Files\Windows Defender C:\$AVG C:\how_decrypt.html C:\shldr C:\shldr.mbr C:\spyhunter.fix C:\Program Files\Enigma Software Group C:\Program Files (x86)\Enigma Software Group C:\Program Files (x86)\Gadu-Gadu 10 C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Opera C:\Program Files (x86)\PokerStars.EU C:\ProgramData\APN C:\ProgramData\efywb C:\ProgramData\Temp C:\ProgramData\Video Strip Poker Supreme C:\Users\Wujo\SSYPV C:\Users\Wujo\AppData\Local\Google C:\Users\Wujo\AppData\Local\Mozilla C:\Users\Wujo\AppData\Local\PokerStars.EU C:\Users\Wujo\AppData\Roaming\41710310.reg C:\Users\Wujo\AppData\Roaming\DAEMON Tools Lite C:\Users\Wujo\AppData\Roaming\ipla C:\Users\Wujo\AppData\Roaming\PhotoScape C:\Users\Wujo\AppData\Roaming\Mozilla C:\Users\Wujo\AppData\Roaming\Fosyryg C:\Users\Wujo\AppData\Roaming\Onbilo C:\Users\Wujo\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\Wujo\Desktop\SpyHunter4.exe — skrót.lnk C:\Users\Wujo\Desktop\programy\DAEMON Tools Lite.lnk C:\Users\Wujo\Desktop\programy\Packard Bell\Norton Internet Security.lnk C:\Users\Wujo\Documents\Decrypt All Files itqjnld.bmp C:\Users\Wujo\Documents\Decrypt All Files itqjnld.txt C:\Users\Wujo\Downloads\Extras.TXT.itqjnld C:\Windows\46B04D534E344388B6EE80FAB66AEF9B.TMP C:\Windows\system32\%LocalAppData% C:\Windows\system32\log Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SpyHunter 4 Service" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f CMD: ipconfig /flushdns CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Wujo\AppData\Local CMD: dir /a C:\Users\Wujo\AppData\LocalLow CMD: dir /a C:\Users\Wujo\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt.

1. Uruchom AdwCleaner ponownie, wybierz sekwencję Szukaj + Usuń. Po usuwaniu: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\LAPTOP\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\LAPTOP\Desktop\7n9kx3td.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

1. Uruchom AdwCleaner ponownie, lecz tym razem wybierz Szukaj + Usuń. Po usuwaniu: 2. Otwórz Notatnik i wklej w nim: DeleteQuarantine: Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Nie pokazałeś dzienników NOD, ale pewnie wykrył ów Faster Light, który został odinstalowany. Obecnie brak oznak czynnej infekcji, tylko drobne odpadki do korekty: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 Update Faster Light; "C:\Program Files (x86)\Faster Light\updateFasterLight.exe" [X] S2 Util Faster Light; "C:\Program Files (x86)\Faster Light\bin\utilFasterLight.exe" [X] HKU\S-1-5-21-443380452-1675359078-3907599609-1000\...\Run: [] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141220 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141220 HKU\S-1-5-21-443380452-1675359078-3907599609-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141220 SearchScopes: HKU\S-1-5-21-443380452-1675359078-3907599609-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF user.js: detected! => C:\Users\Magdalena\AppData\Roaming\Mozilla\Firefox\Profiles\iixl34xb.default\user.js HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" C:\Program Files (x86)\Faster Light C:\Windows\SysWOW64\sho*.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj Usuń) i dostarcz raport z folderu C:\AdwCleaner.

Infekcja rootkit została pomyślnie usunięta, a sterowniki Windows odblokowane. Możemy zająć się pozostałymi problemami. Z obiektami wyglądającymi na zaszyfrowane przez CTB-Locker niestety nic nie jestem w stanie zrobić. Brak deszyfratora i ratunkiem są tylko kopie zapasowe. Odpada szukanie plików w kopiach cieniowych, bo punkty Przywracania są wyczyszczone na zero (pewnie przez tę infekcję), a zastosowanie softu typu "recovery" może być nieskuteczne, bo nie wiadomo jak długo trwa infekcja, a na dysku były już liczne zapisy. 2015-01-12 08:10 - 2015-01-12 08:10 - 03888054 _____ () C:\Users\KSIEGOWY\Documents\Decrypt All Files fafktzg.bmp 2015-01-12 08:10 - 2015-01-12 08:10 - 00001240 _____ () C:\Users\KSIEGOWY\Documents\Decrypt All Files fafktzg.txt 2015-01-08 13:22 - 2011-11-04 16:46 - 00000512 _____ () C:\rcp58_log_file.TXT.fafktzg 2015-01-07 11:46 - 2011-11-04 16:46 - 00006928 _____ () C:\log.TXT.fafktzg 2014-12-16 10:04 - 2011-11-04 16:46 - 00374608 _____ () C:\Users\KSIEGOWY\Desktop\KARTKA ŚWIĄTECZNA 2014.JPG.fafktzg 2014-12-16 09:45 - 2011-11-04 16:46 - 00002336 _____ () C:\Users\KSIEGOWY\Desktop\życzenia.DOC.fafktzg 2014-12-15 11:50 - 2011-11-04 16:46 - 00002560 _____ () C:\Users\KSIEGOWY\Desktop\ADVERTI.DOC.fafktzg Natomiast kolejne działania są po kątem wpisów szczątkowych i pustych. Będę też usuwać usługę AmmyyAdmin, która startuje z katalogu Internetowych Plików Tymczasowych (zostaną opróżnione). Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: testsigning: ==> testsigning is on. Check for possible unsigned rootkit driver R2 AmmyyAdmin; C:\Users\KSIEGOWY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\21MHOHVE\pomoc.exe [743704 2014-10-23] (Ammyy LLC) S2 HP Health Check Service; "C:\Program Files (x86)\Hewlett-Packard\HP Health Check\hphc_service.exe" [X] S3 hpqwmiex; "C:\Program Files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe" [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AmmyyAdmin => ""="Service" HKLM-x32\...\Run: [File Sanitizer] => c:\Program Files (x86)\Hewlett-Packard\File Sanitizer\CoreShredder.exe HKLM-x32\...\Run: [{4e8405fa-8ada-47b0-5da9-f8edc703f718}] => "C:\ProgramData\Microsoft\{4e8405fa-8ada-47b0-5da9-f8edc703f718}\{4e8405fa-8ada-47b0-5da9-f8edc703f718}.exe" HKLM\...\Policies\Explorer\Run: [{4e8405fa-8ada-47b0-5da9-f8edc703f718}] => "C:\ProgramData\Microsoft\{4e8405fa-8ada-47b0-5da9-f8edc703f718}\{4e8405fa-8ada-47b0-5da9-f8edc703f718}.exe" No File BootExecute: autocheck autochk * sh4native Sh4Removal Task: {51C3C8E4-1F4E-4237-8F87-358D9DC2425E} - System32\Tasks\{541967FB-A469-4720-B6CB-996F17A61731} => pcalua.exe -a "C:\Users\KSIEGOWY\Desktop\pomoc (1).exe" -d C:\Users\KSIEGOWY\Desktop Task: {55FF654F-51F6-4B94-A471-4EDA360B2139} - System32\Tasks\Hewlett-Packard\HP Support Assistant\PC Health Analysis => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPSF.exe Task: {6DFABE97-4269-4914-AA07-D794CD7C4F01} - System32\Tasks\{38602D3E-9490-4B79-B466-0AF559CC1BF4} => Iexplore.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsMain Task: {7BC72F8E-CFB7-4229-8611-C79FFE51BFCF} - System32\Tasks\{15840900-6F78-4363-A946-83865712334C} => pcalua.exe -a "G:\kopia dysku D\install\LJ 3030\lj30xx_3380pcl6-pi.exe" -d "G:\kopia dysku D\install\LJ 3030" Task: {955782A8-A447-4D8D-8919-884E3C33A1EA} - System32\Tasks\{B3F322FB-BAC1-45A5-B4D6-6467D1180C8C} => pcalua.exe -a C:\Users\KSIEGOWY\Downloads\lj30xx_3380pcl6-pi.exe -d C:\Users\KSIEGOWY\Desktop Task: {C80C2B81-B1A7-412B-BC3D-E5C376BFBF5D} - System32\Tasks\{EF62DE4A-D9CD-4295-ADF7-CF2CEE14D8C1} => Iexplore.exe http://ui.skype.com/ui/0/5.6.0.105/pl/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;toolbarpresent,google-chrome:notoffered;alreadyoffered Task: {C8E75326-E66C-4E7D-A780-4AD363E2387D} - System32\Tasks\{C39475A6-E07B-4058-B5AC-A5D69DDAF47A} => Iexplore.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsBing Task: {CA0B4F29-B941-4830-9B67-E0820300E630} - System32\Tasks\Hewlett-Packard\HP Support Assistant\PC Tuneup => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPSF.exe Task: {D419364E-5D3B-4D5C-87E6-18D50171458A} - System32\Tasks\wckfgeb => C:\Users\KSIEGOWY\AppData\Local\Temp\jqlwefm.exe Task: {F194D71C-3157-4F3F-B70A-C64D4076E794} - System32\Tasks\{C04B678D-7D3D-4B8C-8187-B31F5E7509E9} => Iexplore.exe http://ui.skype.com/ui/0/5.8.0.156/pl/abandoninstall?page=tsMain StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=CMDTDF SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=102&systemid=406&sr=0&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=CMDTDF SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=102&systemid=406&sr=0&q={searchTerms} SearchScopes: HKU\S-1-5-21-3668452077-1106565234-3799211801-500 -> DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = BHO: No Name -> {4F524A2D-5637-006A-76A7-7A786E7484D7} -> No File BHO-x32: Babylon toolbar helper -> {2EECD738-5844-4a99-B4B6-146BF802613B} -> No File BHO-x32: Searchqu Toolbar -> {99079a25-328f-4bd4-be04-00955acaa0a7} -> C:\PROGRA~2\WI3C8A~1\Datamngr\ToolBar\searchqudtx.dll No File Toolbar: HKLM - No Name - !{EEE6C35B-6118-11DC-9C72-001320C79847} - No File Toolbar: HKLM-x32 - Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~2\WI3C8A~1\Datamngr\ToolBar\searchqudtx.dll No File Toolbar: HKLM-x32 - No Name - !{EEE6C35B-6118-11DC-9C72-001320C79847} - No File Toolbar: HKU\S-1-5-21-3668452077-1106565234-3799211801-500 -> No Name - {4F524A2D-5637-006A-76A7-7A786E7484D7} - No File C:\spyhunter.fix C:\Users\Administrator\Desktop\SpyHunter C:\Users\KSIEGOWY\Desktop\SpyHunter C:\Users\KSIEGOWY\Documents\Decrypt All Files fafktzg.bmp C:\Users\KSIEGOWY\Documents\Decrypt All Files fafktzg.txt C:\Windows\system32\Drivers\etc\hosts.txt C:\Windows\SysWOW64\sh4native.exe RemoveDirectory: C:\Kaspersky Rescue Disk 10.0 RemoveDirectory: C:\TDSSKiller_Quarantine RemoveDirectory: C:\ProgramData\ESET RemoveDirectory: C:\Users\KSIEGOWY\Documents\Nieużywane\archiwum_stary\E\Program Files\Norton AntiVirus RemoveDirectory: C:\Users\KSIEGOWY\Documents\Nieużywane\archiwum_stary\E\WINDOWS RemoveDirectory: C:\Windows\Installer\{70AA7602-A4C6-3B7F-16CC-5E36F687AED5} Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {ec29edf6-ad3c-4e1c-a087-d6cb81400c43} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {ec29edf6-ad3c-4e1c-a087-d6cb81400c43} /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. Są tu tylko martwe szczątki infekcji i odpadkowy (lecz czynny) sterownik niepoprawnie odinstalowanego AVG. Mam wątpliwości czy odpadek AVG ma cokolwiek wspólnego ze zgłoszonym problemem spowolnienia. Natomiast są tu widoczne liczne problemy z crackiem aktywacji (KMSpico). Widać poniższą usługę w nienormalnym stanie: Locked "WinDivert1.1" service could not be unlocked. Kolejna usługa KMPico sypie z kolei błędami w Dzienniku zdarzeń. S2 Service KMSELDI; C:\Program Files\KMSpico\Service_KMS.exe [1050904 2013-12-11] () [File not signed] Application errors: ================== Error: (01/13/2015 02:44:22 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: Service_KMS.exe, wersja: 11.0.0.0, sygnatura czasowa: 0x52a8d15d Nazwa modułu powodującego błąd: unknown, wersja: 0.0.0.0, sygnatura czasowa: 0x00000000 Kod wyjątku: 0x00000000 Przesunięcie błędu: 0x00007ffb0c0e0565 Identyfikator procesu powodującego błąd: 0x798 Godzina uruchomienia aplikacji powodującej błąd: 0xService_KMS.exe0 Ścieżka aplikacji powodującej błąd: Service_KMS.exe1 Ścieżka modułu powodującego błąd: Service_KMS.exe2 Identyfikator raportu: Service_KMS.exe3 Pełna nazwa pakietu powodującego błąd: Service_KMS.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: Service_KMS.exe5 Error: (01/13/2015 02:27:47 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: Service_KMS.exe, wersja: 11.0.0.0, sygnatura czasowa: 0x52a8d15d Nazwa modułu powodującego błąd: unknown, wersja: 0.0.0.0, sygnatura czasowa: 0x00000000 Kod wyjątku: 0x00000000 Przesunięcie błędu: 0x00007ffebe0e0565 Identyfikator procesu powodującego błąd: 0x718 Godzina uruchomienia aplikacji powodującej błąd: 0xService_KMS.exe0 Ścieżka aplikacji powodującej błąd: Service_KMS.exe1 Ścieżka modułu powodującego błąd: Service_KMS.exe2 Identyfikator raportu: Service_KMS.exe3 Pełna nazwa pakietu powodującego błąd: Service_KMS.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: Service_KMS.exe5 System errors: ============= Error: (01/13/2015 02:45:26 PM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa Service KMSELDI niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. Error: (01/13/2015 02:28:29 PM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa Service KMSELDI niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. Tak więc to crack może być podstawowym problemem. Pomoc dla piratów jest ograniczona, forum nie może wspierać takich działań. 1. Krok pierwszy to deinstalacje: - Poprzez Panel sterowania: Adobe Flash Player 15 Plugin, Akamai NetSession Interface, Java 7 Update 67 (64-bit), KMSpico v9.1.3. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście po kolei odpadkowe wpisy AVG AVG PC TuneUp 2015 + AVG PC TuneUp 2015 (pl-PL) > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 avgtp; C:\WINDOWS\system32\drivers\avgtpx64.sys [52000 2014-12-10] (AVG Technologies) S3 ESEADriver2; \??\C:\Users\Piotr\AppData\Local\Temp\ESEADriver2.sys [X] S3 TuneUpUtilitiesDrv; \??\C:\Program Files (x86)\AVG\AVG PC TuneUp\TuneUpUtilitiesDriver64.sys [X] S3 xhunter1; \??\C:\WINDOWS\xhunter1.sys [X] Task: {B826C484-7167-4853-B610-7EEAF216AB67} - System32\Tasks\TuneUpUtilities_Task_BkGndMaintenance2013 => C:\Program Files (x86)\AVG\AVG PC TuneUp\OneClick.exe Task: {FBA01B11-01F9-407A-BAC9-5074AF1BE69D} - System32\Tasks\{97B03FBE-D0F5-4766-B183-1313C2693D94} => pcalua.exe -a C:\Users\Piotr\Downloads\sp63774.exe -d C:\Users\Piotr\Downloads HKU\S-1-5-21-527691540-3220147683-2269217384-1001\...\Run: [Akamai NetSession Interface] => C:\Users\Piotr\AppData\Local\Akamai\netsession_win.exe [4673432 2014-10-29] (Akamai Technologies, Inc.) HKU\S-1-5-21-527691540-3220147683-2269217384-1001\...\Winlogon: [shell] C:\Users\Piotr\AppData\Local\Temp\dwn\dwn.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI ipt;version=2.1.42 -> C:\Program Files (x86)\Intel\Intel® Management Engine Components\IPT\npIntelWebAPIIPT.dll No File FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI updater -> C:\Program Files (x86)\Intel\Intel® Management Engine Components\IPT\npIntelWebAPIUpdater.dll No File C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG PC TuneUp 2015.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Call of Duty - Advanced Warfare\Play Call of Duty - Advanced Warfare.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Forest\The Forest.lnk C:\Users\Public\Desktop\AVG Konserwacja 1 kliknięciem.lnk C:\WINDOWS\system32\drivers\avgtpx64.sys Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v vProt /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Założyłeś temat w dziale diagnostyki infekcji, zasady działu nie zostały zrealizowane i nie dostarczyłeś obowiązkowych raportów: KLIK.

Zadania wykonane, z jednym wyjątkiem. Konto USER_ niby pomyślnie usunięte, a w Addition stoi jak przyklejone. Może jakiś określony program regeneruje ten obiekt. Pomijam ten wątek. Zasadniczy problem rozwiązany i kolejne poprawki: Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj na razie Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Błąd detekcji ścieżek w FRST już naprawiony. Natomiast wracając do wątku przewodniego, to jeszcze poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "c:\windows\syswow64\nvinit.dll" /f CMD: del /q C:\Users\Dorota\Desktop\Data.reg CMD: del /q C:\Users\Dorota\Downloads\AdwCleaner*.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Zaprezentuj wynikowy fixlog.txt. 2. Pobierz ponownie AdwCleaner. Wybierz opcję Szukaj (nie stosuj na razie Usuń) i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wszystko pomyślnie wykonane. Kończymy: 1. Odinstaluj starą wtyczkę IE Adobe Flash Player 13 ActiveX. 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Nie ma żadnych oznak infekcji. System wygląda na świeżo instalowany zresztą. 1. W Dzienniku zdarzeń jest zestaw następujących błędów: System errors: ============= Error: (01/06/2015 08:30:48 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0 z powodu następującego błędu: %%1053 Error: (01/06/2015 08:30:47 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0. Zacznij od tego tematu: KLIK. By widzieć podaną ścieżkę, należy mieć włączone pokazywanie ukrytych plików, tzn. w Opcjach folderów zaznaczone "Pokaż ukryte pliki i foldery" + odznaczone "Ukryj chronione pliki systemu operacyjnego". 2. AVG to świeża instalacja. Jeśli powyższe nie okaże się powiązane ze spowolnieniem, jest to podejrzany. 3. Internet Explorer do aktualizacji. 4. Sprawa kosmetyczna. Napraw błąd WMI numer 10 posiłkując się narzędziem Fix-it: KLIK.

Proszę nie pisz posta pod postem - skasowany. Odpowiadam gdy mogę (jestem obecna i mam czas). Poprzednie zadania wykonane. Natomiast wg spodziewań log z Farbar Service Scanner pokazuje rozwalone usługi Windows, skasowane przez infekcję ZeroAccess. Wymagane kolejne naprawy i inne poprawki. Nowa porcja działań: 1. Otwórz Notatnik i wklej w nim: C:\ProgramData\036DFF98E54634B40000F269E56C3443 C:\ProgramData\036DFF98E54634B40000F269F875EF7E C:\ProgramData\InstallMate C:\ProgramData\McAfee C:\ProgramData\PogoDGC C:\ProgramData\Roaming C:\ProgramData\Windows Service Manager0 Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A} /v AutoStart /t REG_SZ /d "" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom ServicesRepair. Zresetuj system. Zrób nowy log z Farbar Service Scanner.

Od wczoraj logi z OTL nie są już obowiązkowe. Jakiego programu? SpyHunter to program wątpliwej reputacji! Był na czarnej liście, stosuje naciski byle go zainstalować. Z daleka od tego produktu. Wirusów to tu nie było, są ślady adware/PUP, co jest zasadniczą różnicą. Owszem, mamy co czyścić: w procesach się uruchamia niepożądany maintainer.exe, w Google Chrome też jest brud. Przeprowadź następuje akcje: 1. Na początek deinstalacje: - Przez Dodaj/Usuń programy: J2SE Runtime Environment 5.0 Update 4, Qtrax Player. Są to przypuszczalnie uszkodzone / niepełne instalacje, ale Windows powinien zaproponować usunięcie wpisów z listy. - Z poziomu Menu Start: SpyHunter. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 MaintainerSvc2.04.9173792; C:\Documents and Settings\All Users\Dane aplikacji\0fd8dc4b-3fdb-4d7c-a6d4-ff64cff56cc4\maintainer.exe [123680 2015-01-12] () S3 cpuz134; \??\C:\DOCUME~1\Osia\USTAWI~1\Temp\cpuz134\cpuz134_x32.sys [X] S3 filtertdidriver; system32\drivers\ewfiltertdidriver.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S3 UIUSys; system32\drivers\UIUSys.sys [X] AppInit_DLLs: 0 => 0 File Not Found GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-606747145-1844823847-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.google.com" C:\Documents and Settings\All Users\Dane aplikacji\0fd8dc4b-3fdb-4d7c-a6d4-ff64cff56cc4 C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software C:\Documents and Settings\Osia\Dane aplikacji\Mozilla C:\Documents and Settings\Osia\Ustawienia lokalne\Dane aplikacji\Google\Mozilla C:\Documents and Settings\Osia\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Documents and Settings\Osia\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Program Files\Mozilla Firefox Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj szkodnika Security Protection Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Napraw uszkodzony czyszczeniem AdwCleaner specjalny skrót Internet Explorer: Shortcut: C:\Documents and Settings\Osia\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Documents and Settings\Osia\Menu Start\Programy\Akcesoria\Narzędzia systemowe i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Jest tu definitywnie rootkit w obszarze rozruchowym dysku. Jego usuwanie ma priorytet. Dopiero po usunięciu aktywności rootkit będę mogła się zająć resztą infekcji (o ile otrzymam raporty FRST z poprawnego kontekstu konta) i naprawą masowo zdewastowanych przez ZeroAccess usług systemowych. Działania wstępne: 1. Uruchom TDSSKiller ponownie. Tym razem jednak dla wyniku Rootkit.Boot.Cidox pozostaw akcję domyślnie przyznaną przez narzędzie. Zresetuj system, by zatwierdzić leczenie. Po restarcie uruchom ponownie program, by sprawdzić czy już nic nie wykrywa. Dopiero wtedy: 2. Zaległy punkt ze świeżymi raportami FRST: PS. Komentując: Przypuszczalnie blokuje go bootkit. Dowiem się o tym z nowego raportu FRST Addition. To tylko ostrzeżenie. W Windows 7 biblioteki - niezależnie od ich natury, poprawne programy (przykład: COMODO) czy szkodniki - ładowane metodą AppInit_DLLs zawsze są notowane w Dzienniku w ten sposób. I ten błąd jest już nieaktualny. W poprzednim raporcie FRST brak widocznej modyfikacji AppInit_DLLs.

SpyHunter to program wątpliwej reputacji, z czarnej listy. Kwalifikacja do deinstalacji. System jest zainfekowany rootkitem Necurs, który zablokował większość sterowników systemu. To właśnie Necurs powoduje, że GMER ma nieaktywne opcje. Prócz Necurs są inne śmieci, ale póki rootkit nie zostanie zdjęty, nie przejdę dalej. Działania wstępne: 1. Uruchom Kaspersky TDSSKiller. Powinien wykryć obiekt Rootkit.Win32.Necurs.gen - zostaw domyślną akcję Delete. Natomiast wszystkie wyniki typu LockedFile.Multi.Generic mają mieć przyznane Skip, gdyż to prawidłowe sterowniki zablokowane przez rootkita. Jeśli rootkit zostanie poprawnie usunięty, sterowniki samoczynnie się odblokują. Zresetuj system. 2. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz log utworzony przez TDSSKiller.

Zasady działu wspominają na temat "odświeżania", post poleciał do kosza. System już jest zabrudzony, ale to nie jest związane z: Od razu skomentuję, że produkty IOBit nie są przeze mnie polecane na forum ze względu na złą reputację producenta (kradzież bazy MBAM w przeszłości, podejrzane związki partnerskie, adware w instalatorach) i sugeruję ich deinstalację. Advanced System Care zgłasza brak własnego pliku, który powinien być w następującej lokalizacji: C:\Program Files (x86)\IObit\Advanced SystemCare 7\scan.dll. Czy plik w ogóle jest na dysku? Jeśli pliku nie ma, to był jakiś błąd instalacji. Jeśli plik jest, to nie wiem o co chodzi. Poza tym, log sugeruje piracką instalację, bo w pobranych jest poniższy folder. Problemem może być więc ta szczególna scrackowana paczka. Piratami nie mogę się zajmować. 2015-01-09 18:28 - 2014-12-17 17:29 - 00000000 ____D () C:\Users\Cezary\Downloads\Advanced SystemCare Pro 7.4.0.474 Full PL Widzę że próbując rozwiązywać usterkę zainstalowałeś wątpliwy program DLL-Fixer - takimi "wynalazkami" to można sobie jeszcze bardziej pogorszyć sprawę, a już zwłaszcza na systemie x64. Powyższy problem błędu ASC nie jest problemem infekcji, ale jest tu czym się zajmować. System jest zabrudzony instalacjami adware (proces WindowsMangerProtect, sterownik {fe331f63-d0ef-486b-89da-478e619996a9}Gw64, przekierowania isearch.omiga-plus.com i szczątki "Ace race"). Metody nabycia: KLIK. Działania wstępne: 1. Na początek odinstaluj stare wersje i zbędniki: Acrobat.com, Adobe Reader 9, Dll-Files Fixer, Java™ 6 Update 22, SmartView for IE, SmartView Software Updater. Tę starą dziurawą niebezpieczną Java wstawił JDownloader - niestety jest prawdopodobne, że nie działa z najnowszą bezpieczną Java 7 lub 8. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {fe331f63-d0ef-486b-89da-478e619996a9}Gw64; C:\Windows\System32\drivers\{fe331f63-d0ef-486b-89da-478e619996a9}Gw64.sys [48784 2015-01-11] (StdLib) R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [473088 2015-01-11] (Fuyu LIMITED) [File not signed] S2 Update ace race; "C:\Program Files (x86)\ace race\updateacerace.exe" [X] HKLM\...\Winlogon: [userinit] C:\Windows\SysWOW64\userinit.exe, HKU\S-1-5-21-2670501369-349292536-2203195984-1000\...\Run: [ASRockXTU] => [X] HKU\S-1-5-21-2670501369-349292536-2203195984-1000\...\Run: [zASRockInstantBoot] => [X] Task: {BAE81688-6D8C-4632-84D4-CFD2CDFCD7AB} - System32\Tasks\{3BBC28ED-7713-414E-AB1A-EDA1981220AB} => C:\Users\Cezary\Downloads\windows-xp-sp3-pl-9w1-ie8-wmp11-dx-net-final-full-kwiecien-2014-iso\Windows.XP.SP3.PL.9w1.IE8.WMP11.DX.NET.FINAL.FULL.Kwiecien.2014-NiKKA.iso\DODATKI\Jak.nagrac.instalator.XP.na.USB\WinSetupFromUSB-1-4\WinSetupFromUSB_1-4_x64.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420985861&from=cor&uid=WDCXWD5000AAKS-007AA0_WD-WCATR837981979819&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420985861&from=cor&uid=WDCXWD5000AAKS-007AA0_WD-WCATR837981979819&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420985861&from=cor&uid=WDCXWD5000AAKS-007AA0_WD-WCATR837981979819&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420985861&from=cor&uid=WDCXWD5000AAKS-007AA0_WD-WCATR837981979819&q={searchTerms} SearchScopes: HKU\S-1-5-21-2670501369-349292536-2203195984-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=ASRK SearchScopes: HKU\S-1-5-21-2670501369-349292536-2203195984-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=ASRK SearchScopes: HKU\S-1-5-21-2670501369-349292536-2203195984-1000 -> {6F34B546-7B9E-452e-9D55-736986ACC34B} URL = http://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=5480255188&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms} Toolbar: HKU\S-1-5-21-2670501369-349292536-2203195984-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1420985861&from=cor&uid=WDCXWD5000AAKS-007AA0_WD-WCATR837981979819" C:\Program Files (x86)\ace race C:\Program Files (x86)\Temp C:\ProgramData\Norton C:\ProgramData\TEMP C:\ProgramData\WindowsMangerProtect C:\Users\Cezary\AppData\Local\Symantec C:\Users\Cezary\AppData\Roaming\omiga-plus C:\Users\Cezary\AppData\Roaming\Solvusoft C:\Users\Cezary\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Games.lnk C:\Users\Cezary\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Social Games.lnk C:\Windows\system32\roboot64.exe C:\Windows\System32\drivers\{fe331f63-d0ef-486b-89da-478e619996a9}Gw64.sys C:\Windows\SysWOW64\*.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE: Shortcut: C:\Users\Cezary\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Cezary\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Temat przenoszę, na razie do działu Windows. To nie jest problem infekcji. A kosmetyki nie będę prowadzić, gdyż na razie nie ma sensu. 1. Zwracają tu uwagę mocarne instalacje oprogramowania zabezpieczającego (Avast + COMODO Internet Security), GMER jest wprost wytapetowany inwazyjnymi czynnościami delikwentów. Te elementy najprędzej można powiązać z problemami z ładowaniem systemu. Na dodatek w Dzienniku zdarzeń nagrane błędy COMODO: Application errors: ================== Error: (12/07/2014 04:29:29 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Aplikacja powodująca błąd cmdagent.exe, wersja 7.0.55655.4142, moduł powodujący błąd cmdurlflt.dll, wersja 7.0.53315.4132, adres błędu 0x001b105e. Przetwarzanie zdarzenia określonego nośnika dla [cmdagent.exe!ws!] Error: (12/01/2014 00:01:28 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Aplikacja powodująca błąd cmdagent.exe, wersja 7.0.55655.4142, moduł powodujący błąd cmdurlflt.dll, wersja 7.0.53315.4132, adres błędu 0x001b105e. Przetwarzanie zdarzenia określonego nośnika dla [cmdagent.exe!ws!] Error: (11/26/2014 08:58:26 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Aplikacja powodująca błąd launcher.exe, wersja 26.0.1656.24, moduł powodujący błąd launcher_lib.dll, wersja 0.0.0.0, adres błędu 0x00014f40. Przetwarzanie zdarzenia określonego nośnika dla [launcher.exe!ws!] 2. Ale wspominasz i autoresetach. Diagnostyka rozpisana w punkcie 5 ogłoszenia: KLIK. Dziennik zdarzeń pokazuje różne kody, co może sugerować nawet istnienie problemu sprzętowego: System errors: ============= Error: (12/26/2014 01:28:47 PM) (Source: System Error) (EventID: 1003) (User: ) Description: Kod błędu 1000008e, parametr 1 c0000005, parametr 2 bf85fc9e, parametr 3 b6fe8ae4, parametr 4 00000000. Error: (12/26/2014 01:28:20 PM) (Source: System Error) (EventID: 1003) (User: ) Description: Kod błędu 1000000a, parametr 1 00000004, parametr 2 0000001c, parametr 3 00000000, parametr 4 804fa2b7. Error: (12/26/2014 01:28:11 PM) (Source: System Error) (EventID: 1003) (User: ) Description: Kod błędu 10000050, parametr 1 b6134792, parametr 2 00000000, parametr 3 bf85fc9e, parametr 4 00000000. Nie podałeś w ogóle raportu pokazującego o jakie pliki chodzi. Ale od razu powiem, że w systemie są obiekty do których antywirus nie uzyska dostępu (np. plik pamięci wirtualnej).

To nie jest problem infekcji. Temat przenoszę, na razie do działu Hardware a nie Sieci. Dostarcz raporty wymagane działem: KLIK. Powodem takiej lokalizacji tematu jest niezadawalająca szybkość po czystym stawianiu systemu i seria błędów z Dziennika, wśród nich m.in. rekordy z \Device\Ide\iaStor: Application errors: ================== Error: (01/13/2015 07:45:06 PM) (Source: Microsoft-Windows-Defrag) (EventID: 257) (User: ) Description: Wolumin (C:) nie został zdefragmentowany, ponieważ wykryto błąd: Ten element już istnieje w tabeli. Wszystkie pozycje w tabeli muszą być unikalne. (0x89000014) System errors: ============= Error: (01/13/2015 03:51:24 PM) (Source: DCOM) (EventID: 10005) (User: ) Description: 1053AvastVBoxSvc{F319F1B8-7587-4146-AF9C-0D6D77819BF1} Error: (01/13/2015 03:51:15 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi AvastVBox COM Service z powodu następującego błędu: %%1053 Error: (01/13/2015 03:51:14 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą AvastVBox COM Service. Error: (01/13/2015 03:50:25 PM) (Source: EventLog) (EventID: 6008) (User: ) Description: Poprzednie zamknięcie systemu przy 15:42:17 na ‎2015-‎01-‎13 było nieoczekiwane. Error: (01/13/2015 03:40:25 PM) (Source: iaStor) (EventID: 9) (User: ) Description: Urządzenie \Device\Ide\iaStor0 nie odpowiedziało w ramach ustalonego limitu czasu. Error: (01/13/2015 03:38:59 PM) (Source: volmgr) (EventID: 46) (User: ) Description: Inicjowanie zrzutu awaryjnego nie powiodło się! Error: (01/13/2015 03:40:48 PM) (Source: EventLog) (EventID: 6008) (User: ) Description: Poprzednie zamknięcie systemu przy 14:51:54 na ‎2015-‎01-‎13 było nieoczekiwane. Error: (01/13/2015 10:58:25 AM) (Source: DCOM) (EventID: 10010) (User: ) Description: {E579AB5F-1CC4-44B4-BED9-DE0991FF0623} Error: (01/12/2015 11:18:36 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa Windows Update zawiesiła się podczas uruchamiania. Error: (01/12/2015 07:34:38 PM) (Source: iaStor) (EventID: 9) (User: ) Description: Urządzenie \Device\Ide\iaStor0 nie odpowiedziało w ramach ustalonego limitu czasu. PS. Czy W Google Chrome masz włączoną synchronizację ustawień z serwerem? Czysty Windows po instalacji a Chrome już otwiera przy starcie adresy adware: CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1420841983&from=cor&uid=WDCXWD7500BPVT-35HXZT1_WD-WXB1A916286462864", "hxxp://isearch.omiga-plus.com/?type=hppp&ts=1420842015&from=cor&uid=WDCXWD7500BPVT-35HXZT1_WD-WXB1A916286462864" Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie wystąpiemia adresu isearch.omiga-plus.com. I jeśli synchromizacja jest włączona, to wyczyszczenie tych ustawień na nic = wrócą, trzeba ubić synchronizację. Poza tym, może problemem jest tu właśnie ścąganie na dysk z serwera starej konfiguracji Chrome? Z drugiej strony wspominasz, że były problemy także przy IE.

Tytuł tematu poprawiam, przecież w zasadach wspominam, że "sprawdzanie logów" to nie jest problem i należy tytuł dopasować do tego co się dzieje w systemie. Sprecyzuj o co chodzi z niedziałającym antywirusem i jakie komunikaty "braku biblioteki DLL" widzisz przy starcie. Avira jest zresztą stara i będzie wyrzucana. Oznak czynnej infekcji brak, tylko drobne szczątki adware. Działania wstępne: 1. Deinstalacje: - Przez Panel sterowania odinstaluj stare wersje, zbędniki i śmieci: Adobe Flash Player 11 ActiveX, Adobe Shockwave Player 12.0, AVG Security Toolbar, Avira Free Antivirus, Qtrax Playe, RegClean Pro. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek Google Update Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKLM-x32 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchrocket.info/?l=1&q={searchTerms}&pid=658&r=2013/05/28&hid=1768654365&lg=EN&cc=PL&unqvl=16 SearchScopes: HKU\S-1-5-21-1194177866-3309166739-1519727253-1002 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=7C1574DE2B87FF26&affID=119357&tt=160713_91114&tsp=4946 SearchScopes: HKU\S-1-5-21-1194177866-3309166739-1519727253-1002 -> {E47533BC-0DE5-4132-941E-40CB951B4169} URL = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^PL&gct=&itbv=12.21.0.114&apn_uid=1651BE8E-6D7F-41EC-AB11-3C620466E3E4&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=ie_11.0.9600.17496&doi=2014-12-12&trgb=IE&q={searchTerms}&psv=&pt=tb BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre1.8.0_25\bin\ssv.dll No File BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File BHO-x32: Super Lyrics -> {B9020890-9E08-446B-87B0-0C5CD0436D86} -> C:\Program Files (x86)\Super_Lyrics\116.dll No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre1.8.0_25\bin\jp2ssv.dll No File Toolbar: HKLM-x32 - No Name - {95B7759C-8C7F-4BF1-B163-73684A933233} - No File FF Plugin-x32: @java.com/DTPlugin,version=11.25.2 -> C:\Program Files (x86)\Java\jre1.8.0_25\bin\dtplugin\npDeployJava1.dll No File FF Plugin-x32: @java.com/JavaPlugin,version=11.25.2 -> C:\Program Files (x86)\Java\jre1.8.0_25\bin\plugin2\npjp2.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.) FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.) FF HKLM-x32\...\Firefox\Extensions: [avg@toolbar] - C:\ProgramData\AVG Secure Search\FireFoxExt\15.3.0.11 FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\avg-secure-search.xml C:\Program Files (x86)\mozilla firefox\plugins Task: {4996E31B-3608-4E40-857D-B0E33301C72A} - System32\Tasks\{0FD24AFF-7715-4A45-A791-A5C4A7C3CBDE} => C:\Program Files (x86)\Gadu-Gadu 10\gg.exe Task: {7EB54BB1-FFC0-4170-B2F4-151B55AA3A73} - System32\Tasks\{8F83EEAD-3D28-4445-AC2E-04A0ABE64CBD} => pcalua.exe -a E:\setup.exe -d E:\ Task: {8551B7BE-83D2-4C39-8A07-87A28FD354C2} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe Task: {9E7DCF22-9B7F-4DCC-A19F-2734C696C354} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2012-10-12] (Google Inc.) Task: {AC5C4D70-EC1A-4257-888A-194486F97F97} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2012-10-12] (Google Inc.) Task: {CE18AB16-2E91-45E1-A5DF-A5165D9AB334} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{920094DA-2B12-473B-8F3E-CBDBE84D5568}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{920094DA-2B12-473B-8F3E-CBDBE84D5568}.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe C:\Program Files (x86)\Mozilla Firefoxavg-secure-search.xml C:\Program Files (x86)\Google C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASUS\ASUS Splendid Utility C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Haali Media Splitter C:\Users\Berta\AppData\Roaming\ASUS WebStorage C:\Users\Berta\AppData\Roaming\Babylon C:\Users\Berta\AppData\Roaming\DSite C:\Users\Berta\AppData\Roaming\Gadu-Gadu 10 C:\Users\Berta\AppData\Roaming\OpenCandy C:\Users\Berta\AppData\Roaming\PerformerSoft C:\Users\Berta\AppData\Roaming\Systweak C:\Users\Berta\AppData\Roaming\TP C:\Users\Berta\AppData\Roaming\TuneUp Software C:\Users\Berta\AppData\Roaming\YoWindow C:\Users\Public\Desktop\AsusTools\Entertainment\Game Park Console.lnk C:\Users\Public\Desktop\AsusTools\Network\ASUS WebStorage.lnk C:\Users\Public\Desktop\AsusTools\System tool\Splendid Utility.Lnk C:\Users\Public\Desktop\AsusTools\Word processor\Nuance PDF Reader.lnk C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\APNMCP" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\BBSvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdatem" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gusvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\TiMiniService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\vToolbarUpdater15.3.0" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ASUSWebStorage" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Nuance PDF Reader-reminder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Trend Micro Titanium" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VizorHtmlDialog.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f CMD: sc delete gupdate CMD: sc delete gupdatem CMD: sc delete gusvc CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Korekty kosmetyczne na wpisy odpadkowe / puste: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {1B5412C3-AE00-4ED3-9BED-9BC835CD5794} - System32\Tasks\{47A33EC2-46E0-4F2D-8F37-AEBA2805C67F} => pcalua.exe -a "E:\Pliki instalacyjne\RadioSure-2.2.1042-setup.exe" -d "E:\Pliki instalacyjne" Task: {344D3F6D-159B-4A7F-8CA9-77EDC1058215} - System32\Tasks\{7A89BFE7-6C1C-4902-A560-8661A1BFF68F} => pcalua.exe -a G:\OriginInstaller.exe -d G:\ Task: {70934480-2C71-49F6-B96D-FCDAD1588DC1} - System32\Tasks\{35A02743-9A84-46CB-B9C1-A754B96E3422} => pcalua.exe -a "E:\Pliki instalacyjne\TagesSetup.exe" -d "E:\Pliki instalacyjne" Task: {72739D77-AE0C-4283-A584-35A573A262C6} - \SPBIW_UpdateTask_Time_313338323736313139352d3437415a556c2a3223346c41 No Task File Task: {A10B48EA-4729-4EBA-A623-5B540BD31B92} - System32\Tasks\CJVW => D:\Users\dom\AppData\Roaming\CJVW.exe Task: {E977AB5D-13A5-409F-95FE-93DA21C4E51A} - System32\Tasks\KOO => D:\Users\dom\AppData\Roaming\KOO.exe Task: C:\Windows\Tasks\CJVW.job => D:\Users\dom\AppData\Roaming\CJVW.exe Task: C:\Windows\Tasks\KOO.job => D:\Users\dom\AppData\Roaming\KOO.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2821332150-970914226-2612375139-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = StartMenuInternet: IEXPLORE.EXE - iexplore.exe BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO: No Name -> {AF949550-9094-4807-95EC-D1C317803333} -> No File BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File Toolbar: HKU\S-1-5-21-2821332150-970914226-2612375139-1004 -> No Name - {D2BF470E-ED1C-487F-A777-2BD8835EB6CE} - No File Toolbar: HKU\S-1-5-21-2821332150-970914226-2612375139-1004 -> No Name - {D2BF470E-ED1C-487F-A333-2BD8835EB6CE} - No File Toolbar: HKU\S-1-5-21-2821332150-970914226-2612375139-1004 -> No Name - {D2BF470E-ED1C-487F-A666-2BD8835EB6CE} - No File FF StartMenuInternet: FIREFOX.EXE - firefox.exe S2 ASPI32; No ImagePath S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] D:\Users\dom\AppData\Local\~wmrg D:\Users\dom\AppData\Roaming\CJVW D:\Users\dom\AppData\Roaming\KOO D:\Users\dom\AppData\Roaming\Microsoft\Windows\SendTo\Camouflage File - specify a password.lnk D:\Users\dom\AppData\Roaming\Microsoft\Windows\SendTo\Camouflage File - use standard password.lnk D:\Users\dom\AppData\Roaming\Microsoft\Windows\SendTo\De-Camouflage File - specify a password.lnk D:\Users\dom\AppData\Roaming\Microsoft\Windows\SendTo\De-Camouflage File - use standard password.lnk D:\Users\dom\AppData\Roaming\mozilla\firefox\profiles\krhltvqw.default-1399131589036 D:\Users\dom\AppData\Roaming\mozilla\firefox\profiles\n16fgeh3.default-1398884467910 D:\Users\dom\AppData\Roaming\Opera D:\Users\dom\AppData\Roaming\QuickScan Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Pro Agent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DriverMax" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DriverMax_RESTART" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EaseUs Tray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EaseUs Watch" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: copy /y D:\Users\dom\AppData\Roaming\Mozilla\Firefox\Profiles\ddp0ksvy.default-1399131752396\prefs.js D:\Users\dom\Desktop\prefs.js EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Firefox jest dużo śmieciarskich preferencji oraz staroci sprzed aktualizacyjnych. Poza tym, układ uszkodził ... AdwCleaner - wywalił kilka poprawnych rozszerzeń. Jest obecnie bug w AdwCleaner powodujący, że jeśli jest uruchamiany z innego dysku niż C usuwa poprawne rozszerzenia z przeglądarek. Najlepszy sposób na wyczyszczenie tego bajzlu to: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale wszystkie obecnie zainstalowane rozszerzenia trzeba będzie przeinstalować (Adblock Plus, Classic Theme Restorer, Click to Play per-element, Element Hiding Helper for Adblock Plus, Session Manager, Stylish). Masz zainstalowany MozBackup - nie próbuj go używać do przywracania poprzednio zrobionych kopii, bo wszystko odwrócisz. Po wyczyszczeniu FF należy zrobić nową świeżutką kopię. 3. Napraw uszkodzony skrót Internet Explorer: Shortcut: D:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę D:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. NaPulpicie powstał plik prefs.js - shostuj go gdzieś i podaj link do niego.

Niestety Fix FRST się nie wykonał. "Sknociłaś" format skryptu, przeklejając go usunęłaś jakimś cudem wszystkie ukośniki.... Np. w moim skrypcie jest: Task: {13D5E777-2EDB-4572-B75E-DEB49BB3B74D} - System32\Tasks\6ee22be2-67f4-496a-bc12-6c82ea0c3717-5 => C:\Program Files (x86)\Sense\6ee22be2-67f4-496a-bc12-6c82ea0c3717-5.exe A u Ciebie: Task {13D5E777-2EDB-4572-B75E-DEB49BB3B74D} - System32Tasks6ee22be2-67f4-496a-bc12-6c82ea0c3717-5 = CProgram Files (x86)Sense6ee22be2-67f4-496a-bc12-6c82ea0c3717-5.exe ==== ATTENTION 1. Jeśli chodzi o błędy narzędzia Fix-it, to zastępczo uruchom Zoek. W oknie wklej: Google Update Helper;u Shared C Run-time for x64;u Klik w Run Script. Przedstaw wynikowy log. 2. Punkty 2 + 3 z poprzedniej instrukcji do powtórzenia.

To wygląda po prostu na fałszywe alarmy Avast. Wszystkie moje zalecenia pomyślnie wykonane. Tak więc czy są jeszcze jakieś problemy z systemem? Drobne poprawki - otwórz Notatnik i wklej w nim: HKLM\...\Run: [EeeStorageBackup] => C:\Program Files (x86)\ASUS\Asus WebStorage\BackupService.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: del /q C:\Users\Joanna\Downloads\igl233m6.exe CMD: C:\Users\Joanna\Downloads\ComboFix.exe /uninstall Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ostatnia komenda to deinstalacja ComboFix. Zaprezentuj wynikowy fixlog.txt.

Nie rozumiem pytania. Jeśli chodzi o AdwCleaner: nie zalecałam pobierania i uruchamiania AdwCleaner w międzyczasie. Szyki mi popsułeś, pewne dane pobrane w Fixlog już są nieaktualne. Zadanie AdwCleaner było planowane w innym punkcie czasowym, już po pewnych korektach. Poprawki: 1. Nie wykonałeś tego zadania i to nadal aktualne: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: C:\Program Files\Enigma Software Group C:\Program Files\Java C:\Program Files\Common Files\ShopperPro C:\Program Files (x86)\Ahead C:\Program Files (x86)\Halycon Media C:\Program Files (x86)\INTERIAPL C:\Program Files (x86)\Java C:\Program Files (x86)\Mplayer C:\Program Files (x86)\NetMeter C:\Program Files (x86)\Opera C:\Program Files (x86)\QuickTime C:\Program Files (x86)\SweetPacks C:\Program Files (x86)\top_netinfo C:\ProgramData\Microsoft\Windows\Start Menu\Programs\(Default) C:\Users\Niiesmiertelny\AppData\Local\Ares C:\Users\Niiesmiertelny\AppData\Local\Facebook C:\Users\Niiesmiertelny\AppData\Local\Opera Software C:\Users\Niiesmiertelny\AppData\Local\WMTools Downloaded Files C:\Users\Niiesmiertelny\AppData\LocalLow\Sun C:\Users\Niiesmiertelny\AppData\LocalLow\Temp Tcpip\Parameters: [DhcpNameServer] 81.162.208.2 208.67.222.222 Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ares" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a C:\ProgramData EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt