picasso

Nie podałeś pliku fixlog.txt, który miał wykazać czy zadania się wykonały. A coś tu jednak nie do końca przetworzone. Drobne poprawki. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\...\RunOnce: [ALLPlayer Remote Update] => C:\Users\Dorota\AppData\Local\Temp\ALLRemote.exe [1961744 2015-01-12] (ALLPlayer ) FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Pokaż wynikowy fixlog.txt.

Proponuję przeinstalować Google Chrome od zera. 1. Odinstaluj za pomocą Panelu sterowania. Przy deinstalacji zaznacz Usuń także dane przeglądarki. 2. Zainstaluj najnowszą stabilną wersję: KLIK.

Na przyszłość: zamknięcie raportu nie powoduje jego usunięcia z dysku, zaś ponowne uruchomienie narzędzia nadpisuje obecny na dysku raport i niestety poprzednie akcje są nieznane. Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

Tytuł tematu dostosowuję do zagadnienia zasadniczego. Temat przenoszę do działu Windows. Nie jest to problem infekcji. Pierwszy podejrzany widoczny w raportach: COMODO Internet Security. Na próbę odinstaluj (tylko to gwarantuje odcięcie wszystkich aktywności) i sprawdź jakie to będzie mieć skutki. Po akcji zrób nowe raporty FRST na ustawieniach domyśnych (nie wyłączaj Whitelist jak to zrobiłeś tu w temacie) - główny + Addition. Addition jest po to by sprawdzić czy nadal będzie notowany problem z WMI: ==================== Restore Points ========================= Check "winmgmt" service or repair WMI. PS. Jeśli chodzi o te statusy "Locked" i "Unknown", które samoczynnie ustąpiły, to nie jest wykluczone, iż przyczyna także tkwi w COMODO, bo co dopiero widziałam log z zainstalowanym COMODO wykazujący te same cechy.

Wszystko zrobione. Jeszcze drobna poprawka, gdyż pliki fałszywego skryptu "Origin" były w katalogach dwóch różnych kont i przez nieuwagę pominęłam jeden z nich. Otwórz Notatnik i wklej w nim: C:\Users\User\AppData\Roaming\Origin\update.vbe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Sukces akcji. Uruchom AdwCleaner, wybierz opcję Szukaj (na razie nie stosuj Usuń) i dostarczwynikowy log z folderu C:\AdwCleaner.

Operacje pomyślnie przeprowadzone. Uruchom AdwCleaner, wybierz opcję Szukaj (na razie nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

OTL nie jest już wymaganym raportem - wczoraj zostały zaktualizowane zasady działu. Oba tematy sklejam razem. Problem Surfvox został poprzednio rozwiązany. Skoro wrócił, to prawdopodobnie pobrałeś coś co go uruchamia. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2106215166-627046832-3064983697-1001\...\Run: [nvxasync] => C:\Users\Marcinek\AppData\Roaming\nvxasync\nvxasync.exe [142679040 2015-01-13] () HKU\S-1-5-21-2106215166-627046832-3064983697-1001\...\Winlogon: [shell] C:\ProgramData\nvxasync\cvxasync.exe [142679040 2015-01-13] () HKU\S-1-5-21-2106215166-627046832-3064983697-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.surfvox.com/ SearchScopes: HKU\S-1-5-21-2106215166-627046832-3064983697-1001 -> DefaultScope {828B376B-F2F6-4778-928C-E29EC877535E} URL = http://www.google.com/cse?cx=partner-pub-0900663996874144:6813731868&ie=UTF-8&q={searchTerms}&sa=Search&ref=#gsc.tab=0&gsc.q={searchTerms}&gsc.page=1 SearchScopes: HKU\S-1-5-21-2106215166-627046832-3064983697-1001 -> {828B376B-F2F6-4778-928C-E29EC877535E} URL = http://www.google.com/cse?cx=partner-pub-0900663996874144:6813731868&ie=UTF-8&q={searchTerms}&sa=Search&ref=#gsc.tab=0&gsc.q={searchTerms}&gsc.page=1 Task: {302F5EA3-1B20-446E-B433-8C2B4CDE2257} - System32\Tasks\{DBDD05BB-8B6B-480C-94E6-9E36F5085CA4} => pcalua.exe -a C:\Windows\unvise32.exe -d C:\Windows -c C:\PROGRA~2\TRAPCO~1.LOG C:\END C:\ProgramData\nvxasync C:\ProgramData\RWBYTE C:\Users\Marcinek\AppData\Roaming\fpacked.exe C:\Users\Marcinek\AppData\Roaming\fportable C:\Users\Marcinek\AppData\Roaming\nvxasync C:\Users\Marcinek\AppData\Roaming\mozilla\firefox\profiles\d7zv33sz.default C:\Users\Marcinek\AppData\Local\Google\Chrome\User Data\Default\Preferences Folder: C:\Users\Marcinek\Documents\Diablo III Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SpyHunter 4 Service" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. Powstanie plik fixlog.txt. 2. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Podaj w czym - konkretna ścieżka dostępu. Jedynie mogę się domyślać, że Avastowi chodzi o zadania "Installer" od adware uruchamiane via Harmonogram zadań: Task: {55763B9D-76EB-4904-AD72-D3F464B4D183} - System32\Tasks\Installer_iwebar => C:\Users\Miszczunio\AppData\Local\Installer\Installiwebar_23930\ins_postInst.exe [2015-01-12] () Task: {9F5FD094-6984-4129-8771-65E71A60F989} - System32\Tasks\Installer_sense => C:\Users\Miszczunio\AppData\Local\Installer\Installsense_23930\ins_postInst.exe [2015-01-12] () Druga sprawa: był używany skaner SpyHunter. Jest to wątpliwy program z czarnej listy, reklamiarz. Z daleka od niego. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {2FE566C4-5931-46D4-B06C-8EA732AD0DB1} - System32\Tasks\{E8E287BC-ECDB-4804-B02B-84BB70D6C027} => pcalua.exe -a "C:\Program Files (x86)\Windows Live\Installer\wlarp.exe" Task: {47337DF6-9982-4524-8D09-835B7E6C8619} - System32\Tasks\{90215CF2-D67F-4DC1-9A29-D82C584DECAA} => pcalua.exe -a D:\Karaoke\vkaraoke.exe -d D:\Karaoke Task: {55763B9D-76EB-4904-AD72-D3F464B4D183} - System32\Tasks\Installer_iwebar => C:\Users\Miszczunio\AppData\Local\Installer\Installiwebar_23930\ins_postInst.exe [2015-01-12] () Task: {9F5FD094-6984-4129-8771-65E71A60F989} - System32\Tasks\Installer_sense => C:\Users\Miszczunio\AppData\Local\Installer\Installsense_23930\ins_postInst.exe [2015-01-12] () Task: {DC0769FC-1A57-4994-A45B-46CA810A45C2} - System32\Tasks\{DC414A52-23D2-4D9D-BEC5-9E031B79487D} => pcalua.exe -a C:\Users\Miszczunio\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor HKLM-x32\...\Run: [gmsd_pl_23] => [X] Winlogon\Notify\igfxcui: igfxdev.dll [X] ShellIconOverlayIdentifiers: [sugarSyncBackedUp] -> {0C4A258A-3F3B-4FFF-80A7-9B3BEC139472} => No File ShellIconOverlayIdentifiers: [sugarSyncPending] -> {62CCD8E3-9C21-41E1-B55E-1E26DFC68511} => No File ShellIconOverlayIdentifiers: [sugarSyncRoot] -> {A759AFF6-5851-457D-A540-F4ECED148351} => No File ShellIconOverlayIdentifiers: [sugarSyncShared] -> {1574C9EF-7D58-488F-B358-8B78C1538F51} => No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-3970645344-2820115692-2108947873-1001 -> {3BB91A49-01AB-4EB5-A066-C31ED0DF2636} URL = FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll (Microsoft Corporation) FF Plugin HKU\S-1-5-21-3970645344-2820115692-2108947873-1001: intel.com/AppUp -> C:\Program Files (x86)\Intel\IntelAppStore\bin\npAppUp.dll No File FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK C:\Program Files (x86)\Enigma Software Group C:\Program Files (x86)\Gadu-Gadu C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu C:\ProgramData\Temp C:\Users\Miszczunio\AppData\Local\CrashRpt C:\Users\Miszczunio\AppData\Local\Installer C:\Users\Miszczunio\AppData\Local\Google C:\Users\Miszczunio\AppData\Local\Opera Software C:\Users\Miszczunio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter C:\Users\Miszczunio\AppData\Roaming\Opera Software C:\WINDOWS\4FC9DA9DF608454E8191D7EFFDCC5726.TMP Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Wszystko zrobione. Kończymy: 1. Odinstaluj stare wersje Adobe i Java: ==================== Installed Programs ====================== Adobe Flash Player 15 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 15.0.0.246 - Adobe Systems Incorporated) ----> wtyczka dla IE Java 7 Update 55 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217045FF}) (Version: 7.0.550 - Oracle) Java SE Development Kit 7 Update 45 (64-bit) (HKLM\...\{64A3A4F4-B792-11D6-A78A-00B0D0170450}) (Version: 1.7.0.450 - Oracle) Java SE Development Kit 7 Update 45 (HKLM-x32\...\{32A3A4F4-B792-11D6-A78A-00B0D0170450}) (Version: 1.7.0.450 - Oracle) 2. Usuń używane narzędzie z folderu C:\scan. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Hola VPN - instalacja nieglobalna lecz dla każdej przeglądarki z osobna, więc np. możesz wybrać tylko wersję dla Firefox. Akcje pomyślnie wykonane. Poprawki: 1. Otwórz Notatnik i wklej w nim: S1 ccnfd_1_10_0_5; system32\drivers\ccnfd_1_10_0_5.sys [X] Reg: reg add "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /ve /t REG_SZ /d "\"C:\Program Files (x86)\Opera\Launcher.exe"" /f CMD: del /q C:\Users\user\Downloads\lem86rpe.exe CMD: del /q C:\Users\user\Downloads\KB3024777-*.exe CMD: del /q C:\Users\user\Downloads\setup.exe RemoveDirectory: C:\FRST\Logs RemoveDirectory: C:\Users\user\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\user\Downloads\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Lollipop i SN.Sustainer 1.80 dokończę ręcznie. Jaki jest problem z narzędziem Microsoftu? Poprawki: 1. Zadałam operację: Chodziło o profil o nazwie "Domyślny": Chrome: ======= CHR Profile: C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Default CHR Extension: (savve net) - C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Default\Extensions\gankhfboiaaibmeonaimkaghepaolbml [2014-08-24] CHR Extension: (YoutubeAdblocker) - C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Default\Extensions\lhelllenlhpkgmjmffnlliinikejnmdl [2014-08-24] CHR Extension: (Surftastic) - C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Default\Extensions\mkbhmdcccmdakmgaaejjjgllahmljpge [2014-11-26] CHR Extension: (Cut and Paste) - C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Default\Extensions\mmgagnmbebdebebbcleklifnobamjonh [2014-08-24] CHR Extension: (Widget context) - C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Default\Extensions\ombmmloebnfnpehgjnmkcgoegfachobp [2014-04-18] CHR Profile: C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Profile 4 CHR Extension: (Angry Birds) - C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\aknpkdffaafgjchaibgeefbgmgeghloj [2014-12-21] CHR Extension: (Google Wallet) - C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-01-09] Natomiast Ty skasowałeś profil powiązany z katalogiem "Profile 4" i obecnie jest "Profile 7": Chrome: ======= CHR Profile: C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Default CHR Extension: (savve net) - C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Default\Extensions\gankhfboiaaibmeonaimkaghepaolbml [2014-08-24] CHR Extension: (YoutubeAdblocker) - C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Default\Extensions\lhelllenlhpkgmjmffnlliinikejnmdl [2014-08-24] CHR Extension: (Surftastic) - C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Default\Extensions\mkbhmdcccmdakmgaaejjjgllahmljpge [2014-11-26] CHR Extension: (Cut and Paste) - C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Default\Extensions\mmgagnmbebdebebbcleklifnobamjonh [2014-08-24] CHR Extension: (Widget context) - C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Default\Extensions\ombmmloebnfnpehgjnmkcgoegfachobp [2014-04-18] CHR Profile: C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Profile 7 CHR Extension: (Docs) - C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Profile 7\Extensions\aohghmighlieiainnegkcijnfilokake [2015-01-10] Sprawdź ponownie czy jesteś w stanie usunąć ten pierwszy profil z poziomu opcji Google. Jeśli nie, i tak go wykończy mój skrypt poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 stdmfpam; \??\C:\Program Files (x86)\HomeTab\stdmfpam.dll [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\Program Files (x86)\DefaultTab C:\Program Files (x86)\Java C:\Program Files (x86)\SupTab C:\Program Files (x86)\Surftastic C:\Program Files (x86)\WinZipper C:\ProgramData\InstallMate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grupa IMAGE\Skrzyżowania\Deinstalacja programu Skrzyżowania.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grupa IMAGE\Skrzyżowania\Skrzyżowania.lnk C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Default C:\Users\Igor Maj\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Garrys Mod.lnk C:\Users\Igor Maj\AppData\Roaming\sweet-page C:\Users\Igor Maj\Desktop\plik\Adobe Reader X*.lnk C:\Users\Igor Maj\Desktop\plik\Registry Washer.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\gry\Play League of Legends.lnk C:\Users\Igor Maj\Desktop\plik\ulubione\WebStorage Sync Agent.lnk C:\Users\Igor Maj\Desktop\plik\ASUS\Business tool\Adobe Reader X.lnk C:\WINDOWS\SysWOW64\AI_RecycleBin Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "C:\Windows\system32\nvinitx.dll" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{1a34a8e0} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\lollipop_04192045 /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Igor Maj\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Igor Maj\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a "C:\Users\Igor Maj\AppData\Local" CMD: dir /a "C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data" CMD: dir /a "C:\Users\Igor Maj\AppData\LocalLow" CMD: dir /a "C:\Users\Igor Maj\AppData\Roaming" EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Powstanie kolejny plik fixlog.txt. 3. Zrób nowe logi: - FRST z opcji Scan (bez Addition i Shortcut). - Uruchom Zoek > More Options > jako jedyną opcję zaznacz Installer List > Run Script. Dołącz też plik fixlog.txt.

Ale co to znaczy "nie umiem", gdzie jest trudność? Przecież jest opis obrazkowy i już prościej się nie da tego wytłumaczyć: KLIK. Gdzie leży problem?

Proszę nie pisz posta pod postem (sklejam), odpowiadam gdy mogę. 1. Nie wiem o co chodzi, ale nadal widać zalogowane trzy profile, mimo że konta są oznaczone jako "wyłączone": Loaded Profiles: Marek & Administrator & Gość (Available profiles: Marek & Administrator & Gość) ========================= Accounts: ========================== Administrator (S-1-5-21-3384552037-1150880392-2470578842-500 - Administrator - Disabled) => C:\Users\Administrator Gość (S-1-5-21-3384552037-1150880392-2470578842-501 - Limited - Disabled) => C:\Users\Gość 2. Co masz na myśli mówiąc "problem ze znikającymi rejestrami jest nadal" - jakimi rejestrami, czy chodzi o logi FRST? W obecnej sytuacji nie wykluczam tu problemu tworzonego przez COMODO Internet Security. Przykładowy temat z forum pokazujący COMODO blokującego zapis plików: KLIK. Prócz problemu z zapisem plików jeszcze widzę następujące błędy w Addition: ==================== Restore Points ========================= Could not list restore points. Check "winmgmt" service or repair WMI. ==================== Event log errors: ========================= Could not start eventlog service, could not read events. Wystąpił błąd systemu 123. Nazwa pliku, nazwa katalogu lub składnia etykiety woluminu jest niepoprawna. Te błędy prawdopodobnie oznaczają utracone uprawnienia do katalogu C:\Windows\System32\LogFiles\WMI\RtBackup, jak w tym temacie: KLIK. Z tym że ponownie: to COMODO Internet Security może tworzyć problem i blokować dostęp. 3. Jeśli chodzi o problem z Google Chrome, to reset przeglądarki niestety nie wystarczy. Adware przekonwertowało całą przeglądarkę z wersji stabilnej do developerskiej i jest konieczna kompleksowa reinstalacja od zera, gdyż obecnie masz wersję która przepuszcza adware (brak limitacji charakterystycznych dla wersji stabilnej). Na dysku są też nadal foldery adware. Działania wstępne: 1. Na początek deinstalacje: - Przez Panel sterowania odinstaluj poszkodowaną przeglądarkę, stare wersje i śmieci: Acrobat.com, Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Adobe Reader X (10.1.3), Adobe Shockwave Player 11.5, Google Chrome, Java 7 Update 55, Mozilla Firefox 7.0.1 (x86 pl), OpenOffice.org 3.2, Qtrax Player. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki, wybierz podobną opcję przy usuwaniu Firefox, a resztę składników przeglądarek dokasuje mój skrypt poniżej. - Jest tu też zainstalowany i uruchamiany wątpliwy program z czarnej listy SpyHunter. Deinstalator jest z kolei w Menu Start: ShortcutWithArgument: C:\Users\Marek\Start Menu\Programs\SpyHunter\Uninstall.lnk -> C:\Users\Marek\AppData\Roaming\Enigma Software Group\sh_installer.exe (Enigma Software Group USA, LLC.) -> -r sh 2. Podczas tej operacji COMODO musi być wyłączony, gdyż przeszkodzi FRST. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [DivXMediaServer] => C:\Program Files\DivX\DivX Media Server\DivXMediaServer.exe HKLM\...\Run: [PrivDogService] => "C:\Program Files\AdTrustMedia\PrivDog\2.2.0.14\trustedadssvc.exe" HKLM\...\Run: [ComodoFSChrome] => "C:\Program Files\AdTrustMedia\PrivDog\FinalizeSetup.exe" /c HKU\S-1-5-19\...\Run: [WindowsWelcomeCenter] => rundll32.exe oobefldr.dll,ShowWelcomeCenter HKU\S-1-5-20\...\Run: [WindowsWelcomeCenter] => rundll32.exe oobefldr.dll,ShowWelcomeCenter HKU\S-1-5-21-3384552037-1150880392-2470578842-1000\...\Run: [] => [X] HKU\S-1-5-21-3384552037-1150880392-2470578842-1000\...\Run: [Tohehx] => C:\Users\Marek\AppData\Roaming\Tohehx.exe HKU\S-1-5-21-3384552037-1150880392-2470578842-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-3384552037-1150880392-2470578842-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Marek\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-3384552037-1150880392-2470578842-1000\...\RunOnce: [Report] => C:\AdwCleaner\AdwCleaner[s2].txt [13120 2014-12-12] () CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000 -> {A4FEDA48-202C-4982-83BA-F01E749AC1B7} URL = CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.135\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.99\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.25.5\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{218D2740-5A50-42A8-AB9F-62FF1B168782}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.69\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{29A96789-9595-4947-BEDB-0FCC776F7DB8}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.2.183.23\goopdate.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.79\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.23.9\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.145\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.123\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.153\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.24.15\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.149\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.22.3\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.165\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.115\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.22.5\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\Users\Marek\Desktop\GRAPH\BigTitsAtSchool 14 02 17 Anissa Kate French Exam XXX REPACK 1080p MP4-K (the data entry has 14 more characters). CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.111\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.24.7\psuser.dll No File Task: {B1E55DFD-CC82-47CD-AF2E-E95A4F5742F6} - System32\Tasks\{19D56749-BA68-4D9A-B467-A09D43AACDA3} => pcalua.exe -a C:\Users\Marek\AppData\Roaming\BabSolution\Shared\GUninstaller.exe -c -key "Delta Chrome Toolbar" -rmkey -rmbus "Delta Chrome Toolbar" -ask HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\06173350.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\06173350.sys => ""="Driver" U3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] U0 sr; No ImagePath U3 UIUSys; system32\DRIVERS\UIUSYS.SYS [X] C:\Program Files\Google C:\ProgramData\bkoajonbmaikoaihmbpmffamkhhonjbg C:\ProgramData\oeddbicmfjcimgjjmffjbcgeahippekc C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced PDF Password Recovery C:\Users\Marek\AppData\Local\cache C:\Users\Marek\AppData\Local\Google C:\Users\Marek\AppData\Local\Mozilla C:\Users\Marek\AppData\Roaming\*.exe C:\Users\Marek\AppData\Roaming\Mozilla C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\BigTitsAtSchool 14 02 17 Anissa Kate French Exam XXX REPACK 1080p MP4-KTR.lnk C:\Users\Marek\Desktop\BigTitsAtSchool 14 02 17 Anissa Kate French Exam XXX REPACK 1080p MP4-KTR.lnk C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies /f Reg: reg delete HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies /f Reg: reg delete HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f ListPermissions: C:\Windows\System32\LogFiles\WMI\RtBackup EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony skrót Internet Explorer: Shortcut: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Nazwy plików FRST wskazują, że je wyciągasz z C:\FRST\Logs - to archiwum logów. Bieżący log jest zawsze w lokalizacji skąd uruchamiano FRST, w tym przypadku: C:\Documents and Settings\MCU\Moje dokumenty\Pobrane. W podanych tu raportach nie ma żadnych oznak infekcji trojanami, jest tylko adware (Mobogenie i kilka innych). Przedstaw gdzie uprzednio był wykrywany ów "Trojan Dropper" oraz co wykrywał antywirus znajomej (jakie nazwy zagrożeń i w jakich plikach). Przy braku jawnych śladów infekcji na Twoim komputerze na razie widzę tu dwie możliwości: - Tylko pendrive jest zainfekowany. Czy został on sformatowany? - To komputer znajomej jest zainfekowany i podpięcie Twojego pendriva go zainfekowało, a antywirus zareagował przy próbie infekowania urządzenia.

Problem tworzy szkodnik CutterInstance podmontowany w postaci poniższej usługi. Próbując się pozbyć zagrożenia stosowałeś wątpliwy skaner SpyHunter - z daleka od niego. R2 d4d75d37; c:\Program Files\CutterInstance\CutterInstance.dll [2149376 2015-01-10] () [File not signed] Przeprowadź następujące akcje: 1. Przez Dodaj/Usuń programy odinstaluj stare dziurawe wersje: Adobe Flash Player 11 ActiveX, Adobe Flash Player 11 Plugin, Adobe Reader 9.4.6 - Polish, Java™ 6 Update 29, Gadu-Gadu 10. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 d4d75d37; c:\Program Files\CutterInstance\CutterInstance.dll [2149376 2015-01-10] () [File not signed] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKLM\...\Chrome\Extension: [naipdapbimiiikbbgjcpbgmfhnlbagpj] - C:\DOCUME~1\User\USTAWI~1\Temp\ccex.crx [Not Found] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.google.com" C:\unp304179974165017638.mdmp C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\BrotherSoft_Extreme C:\Documents and Settings\User\Dane aplikacji\appdataFr2.bin C:\Documents and Settings\User\Menu Start\Programy\BitLord C:\Documents and Settings\User\Pulpit\Continue FoxTab FLV Player Installation.lnk C:\Documents and Settings\User\Pulpit\2013-03 (mar)\Internet.lnk C:\Documents and Settings\User\Start Menu C:\Program Files\CutterInstance C:\Program Files\Enigma Software Group C:\Program Files\Mozilla Firefox C:\WINDOWS\AF54923662584AC6A0435B5B89C6EB61.TMP C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\pss\TornTvDownloader.lnkStartup Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^User^Menu Start^Programy^Autostart^TornTvDownloader.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TornTv Downloader" /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony skrót Internet Explorer. W pasku adresów eksploratora wklej i ENTER: C:\Documents and Settings\User\Menu Start\Programy\Akcesoria\Narzędzia systemowe Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Posty sklejam doprowadzając do pożądanej formy. Sprawa emulatorów jest przecież wyjaśniona w ogłoszeniu: KLIK. Dostarczony zestaw raportów FRST niekompletny - brak pliku Shortcut. Wracając do tytułowego błędu, problem tworzy wpis infekcji uruchamiany w starcie: Startup: C:\Users\Alexis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk ShortcutTarget: ctfmon.lnk -> C:\ProgramData\lsass.exe (Microsoft Corporation) Prócz tego są inne rzeczy do korekty (puste wpisy, odpadki adware). Przeprowadź następujące działania: 1. Odinstaluj stare wersje: Adobe Flash Player 15 ActiveX, Adobe Reader X (10.1.12), Adobe Shockwave Player 11.6. 2. Otwórz Notatnik i wklej w nim: Startup: C:\Users\Alexis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk HKLM\...\Run: [] => [X] HKU\S-1-5-21-1817701526-1401173901-2305217273-1000\...\Run: [EA Core] => "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent HKU\S-1-5-21-1817701526-1401173901-2305217273-1000\...\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] => "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" HKU\S-1-5-21-1817701526-1401173901-2305217273-1000\...\Run: [] => [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1817701526-1401173901-2305217273-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-1817701526-1401173901-2305217273-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKLM -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-1817701526-1401173901-2305217273-1000 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 CustomCLSID: HKU\S-1-5-21-1817701526-1401173901-2305217273-1000_Classes\CLSID\{6d05bf60-3eaf-4a97-87c5-10cce505435b}\localserver32 -> C:\Users\Alexis\AppData\Local\Temp\{9c0ba3c1-2b67-45eb-bf69-bed9658d28d2}\IDriver.NonElevated.exe No (the data entry has 5 more characters). Task: {3B7887C4-B5E7-4CC9-A809-35205CC7B408} - System32\Tasks\{CDD6B537-5127-439A-B473-D2519696A61F} => pcalua.exe -a C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe -c /M{B406605B-45FE-4D8F-8250-1E77479583AE} Task: {4C3F8F18-946A-4D72-855E-CF8A231CEE6E} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{21D8AAA9-4029-46A7-A23C-2BC4DCA40652}.exe Task: {536606F6-13CE-495D-A6AC-CFE687145D64} - System32\Tasks\{45B8CDEC-6D7F-4B95-9336-DA85BD94F99B} => pcalua.exe -a C:\Users\Alexis\Downloads\sp42568.exe -d C:\Users\Alexis\Downloads Task: {AA352EE5-79BC-4776-8623-13D9F5B416CA} - System32\Tasks\{A4910BF1-AD67-4A16-BA6D-899AE2C9C7B1} => pcalua.exe -a "C:\Users\Alexis\Downloads\Zoo Tycoon 2 PL.exe" -d C:\Users\Alexis\Downloads Task: {AE4E333F-A1D2-4309-8A00-4350B7C7FC05} - System32\Tasks\{3A463E5A-48AD-49D6-81E4-6115A076D8E2} => pcalua.exe -a "E:\Sterownik Validity Fingerprint Sensor.exe" -d E:\ Task: {B00FBE50-15CC-42F5-AABA-8697523B3A20} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\Windows\TEMP\{6FC31634-333D-4DD7-BD76-76959D76129F}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\Windows\TEMP\{6FC31634-333D-4DD7-BD76-76959D76129F}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{21D8AAA9-4029-46A7-A23C-2BC4DCA40652}.exe FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files\DigitalPersona\Bin\FirefoxExt FF HKLM\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Alexis\AppData\Roaming\Mozilla\Firefox\Profiles\qkbemnt4.default\extensions\fftoolbar2014@etech.com FF HKU\S-1-5-21-1817701526-1401173901-2305217273-1000\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files\DigitalPersona\Bin\firefoxext S2 Update Dynamo Combo; "C:\Program Files\Dynamo Combo\updateDynamoCombo.exe" [X] U4 NMIndexingService; No ImagePath C:\Program Files\XTab C:\ProgramData\dsgsdgdsgdsgw.pad C:\ProgramData\lsass.exe C:\ProgramData\Norton C:\Users\Alexis\AppData\Local\Google C:\Users\Alexis\AppData\Local\NPE C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKU\S-1-5-21-1817701526-1401173901-2305217273-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKU\S-1-5-21-1817701526-1401173901-2305217273-1002\Software\Microsoft\Windows\CurrentVersion\Run /f Reg: reg delete HKU\S-1-5-21-1817701526-1401173901-2305217273-1002\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0} /f Reg: reg delete "HKU\S-1-5-21-1817701526-1401173901-2305217273-1002\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-21-1817701526-1401173901-2305217273-1002\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-21-1817701526-1401173901-2305217273-1002\Software\Microsoft\Internet Explorer\Toolbar" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, tytułowy błąd powinien ustąpić. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by uzupełnić brakujący log. Dołącz też plik fixlog.txt.

Gdy nie można uruchomić narzędzi Tymczasowe wyłączenie programu antywirusowego Pobieranie i/lub uruchomienie narzędzi które nie mają podpisu cyfrowego i posiadają specyficzną strukturę mogą blokować antywirusy. Jednym z błędnie klasyfikowanych programów jest FRST. Przykładowo: Avast blokuje jego pobieranie oznaczając zagrożenie jako Win32:Evo-gen [susp] i w przeglądarce Google Chrome pobieranie otrzyma status "Niepowodzenie - Błąd sieci", Norton blokuje uruchamianie oznaczając plik jako WS.Reputation.1 i usuwając z dysku. W tym przypadku należy tymczasowo wyłączyć osłonę antywirusową i ponowić pobieranie pliku. Zmiana nazwy pliku narzędzia Określone malware może zablokować uruchomienie danego narzędzia w oparciu o jego nazwę (metoda "Image File Execution Options"). Użytkownik może zobaczyć błąd "System Windows nie może odnaleźć pliku...". W takim przypadku proszę zmienić ręcznie nazwę pliku na dowolną i ponowić próbę. > Start w Trybie awaryjnym Uruchamianie komputera w trybie awaryjnym w systemach XP do Windows 7 Uruchamianie komputera w trybie awaryjnym w systemie Windows 8.1 Uruchamianie komputera w trybie awaryjnym w systemie Windows 10 Kolejnym problemem mogą być procesy malware blokujące uruchomienie narzędzi i w tym przypadku dobrym pomysłem jest maksymalna redukcja uruchomionych procesów poprzez przejście w Tryb awaryjny. Dodatkowe uwagi pod kątem systemów Windows 8/8.1 i Windows 10: Start na tych systemach jest bardzo szybki i metoda z klawiszem F8 lub SHIFT+F8 podczas uruchamiania komputera głównie nie działa. Na platformach z UEFI i dyskach SSD intercepcja startu tym sposobem jest awykonalna. Natomiast na starych komputerach z klasycznym BIOS i bez SSD jest szansa na uruchomienie tym sposobem. Nie działa żadna z powyższych metod lub system niedostępny Uruchamianie FRST z poziomu środowiska zewnętrznego

W tym samym czasie są zalogowane liczne konta: Running from C:\Users\Marek\Desktop\help Loaded Profiles: Marek & Administrator & Gość (Available profiles: Marek & Administrator & Gość) Proszę wyloguj się ze wszystkich, tzn. wykonaj pełny restart komputera i zaloguj się na główne konto Marek. Usuń z Pulpitu folder "help", pobierz FRST ponownie na Pulpit i zrób nowe logi. Na czas robienia raportów kompletnie zdeaktywuj COMODO.

Skoro logi się otwierają, to są na 100% zapisane na dysku. Skoro mowa o Pulpicie, to jest możliwe że raporty są poza krawędzią widoczności ekranu. Otwórz eksplorator Windows, przejdź do folderu C:\Users\Konto\Desktop (Windows Vista i nowsze) lub C:\Documents and Settings\Konto\Pulpit (XP) i sprawdź czy logi są tam widoczne. Dodatkowo, możesz zastosować wyszukiwarkę systemową dla nazw raportów.

Zasady działu: KLIK. Tu jest zakaz podpinania się, wydzielone. Przypominam, że FRST ma utworzć trzy a nie dwa raporty (jeszcze Shortcut). Skąd jest uruchamiany FRST, z jakiej ścieżki dostępu?

GMER dokasuj ręcznie (DelFix go nie adresuje). Pozbądź się też pliku raportu C:\Delfix.txt. Temat rozwiązany. Zamykam.

Nie widzę tu problemu. Ten adres IP należy do WOT: KLIK / KLIK. PS. W międzyczasie zedytowałam skrypt FRST. Nie zostały przetworzone te puste skróty: C:\Users\Edyta\Links\GG dysk.lnk C:\Users\Edyta\Favorites\GG dysk.lnk C:\Users\Edyta\Desktop\GG dysk.lnk C:\Users\Edyta\Desktop\GG.lnk C:\Users\Edyta\Desktop\Google Chrome.lnk C:\Users\Edyta\Desktop\Program uruchamiający aplikacje Chrome.lnk C:\Users\Edyta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GG.lnk C:\Users\Edyta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\Edyta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Program uruchamiający aplikacje Chrome.lnk C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\GG.lnk C:\Users\Edyta\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk C:\Users\Edyta\AppData\Local\GG\Application\gg.lnk Ręcznie je wykończ. Po tym skasuj folder FRST z Pulpitu i zastosuj DelFix.

Tak jest, są tu minery, aż dwa: Task: {346DF0A6-383A-4CC6-90C6-C328EC9E264F} - System32\Tasks\Origin => C:\Windows\system32\config\systemprofile\AppData\Roaming\Origin\update.vbe [2014-09-08] () Task: {D727073C-4D98-456E-9649-668640E6E57A} - System32\Tasks\Steam_x64-S-2-106-91 => C:\Users\User\AppData\Roaming\XRay Engine\CODEXi\Steam [2015-01-10] () Poza tym, są ślady adware, które zresztą przekonwertowało typ przeglądarki Google Chrome ze stabilnej do developerskiej i jest konieczna kompleksowa reinstalacja. Akcja: 1. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Resztę doczyści mój skrypt poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {346DF0A6-383A-4CC6-90C6-C328EC9E264F} - System32\Tasks\Origin => C:\Windows\system32\config\systemprofile\AppData\Roaming\Origin\update.vbe [2014-09-08] () Task: {D727073C-4D98-456E-9649-668640E6E57A} - System32\Tasks\Steam_x64-S-2-106-91 => C:\Users\User\AppData\Roaming\XRay Engine\CODEXi\Steam [2015-01-10] () Task: {B4785FE5-A0EF-4AFD-8D7A-076F8C1D0C6A} - System32\Tasks\{95A1E166-5039-40E2-99B5-C09CA2F7267B} => pcalua.exe -a C:\Users\User\Desktop\TWEE_Polish_language_pack.exe -d C:\Users\User\Desktop HKU\S-1-5-18\...\Run: [bitdefender Wallet Agent] => "C:\Program Files\Bitdefender\Bitdefender\pmbxag.exe" HKU\S-1-5-18\...\Run: [bitdefender Wallet] => "C:\Program Files\Bitdefender\Bitdefender\pwdmanui.exe" --hidden --nowizard HKU\S-1-5-18\...\Run: [bitdefender Wallet Application Agent] => "C:\Program Files\Bitdefender\Bitdefender\antispam32\bdapppassmgr.exe" CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File S3 andnetndis; system32\DRIVERS\lgandnetndis64.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] C:\Program Files (x86)\BuoyNseavae C:\Program Files (x86)\BuyNsaave C:\Program Files (x86)\Google C:\Program Files (x86)\Minimal Memory C:\Program Files (x86)\YoutubeAdBLocoke C:\ProgramData\*.bdinstall.bin C:\ProgramData\McAfee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uninstall.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\Rockstar Games Social Club.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpaceEngine C:\Users\User\.VirtualBox C:\Users\User\VirtualBox VMs C:\Users\User\AppData\Local\Google C:\Users\User\AppData\Roaming\0ad C:\Users\User\AppData\Roaming\3909 C:\Users\User\AppData\Roaming\QuickScan C:\Users\User\AppData\Roaming\XRay Engine\CODEXi C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PlanetSide 2.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BeamNG-Techdemo-0.3 C:\Users\User\AppData\Roaming\Microsoft\Windows\SendTo\Xfire Friend.lnk C:\Users\User\Documents\Rainmeter\Skins\WP7\@Resources\Common\Variables\Languages\*.lnk C:\Windows\temp023423.vbe C:\Windows\system32\config\systemprofile\AppData\Roaming\Origin C:\Windows\system32\Drivers\VBoxDrv.sys C:\Windows\system32\drivers\VBoxNetAdp.sys C:\Windows\system32\Drivers\VBoxUSBMon.sys Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\InstallerLauncher" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: sc delete VBoxNetAdp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz logi z katalogu C:\AdwCleaner (był używany).

Zaprezentuj te wyniki i opisz w jaki sposób zdefiniowałeś je jako "szkodliwe". W raportach brak jakichkolwiek oznak infekcji. Do wyczyszczenia tylko wpisy puste (kosmetyka, brak związku z powyższym). 1. Odinstaluj stare wersje Java 7 Update 67, Java 8 Update 20. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2339661925-3291958849-1774368646-1000\...\MountPoints2: {6a42f142-1eb0-11e3-8f91-806e6f6e6963} - E:\setup.exe BootExecute: autocheck autochk * PCloudBroom.exe \systemroot\system32\BroomData.bit HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = Toolbar: HKU\S-1-5-21-2339661925-3291958849-1774368646-1000 -> No Name - {71576546-354D-41C9-AAE8-31F2EC22BF0D} - No File CHR HKLM\...\Chrome\Extension: [jbolfgndggfhhpbnkgnpjkfhinclbigj] - No Path S1 A2DDA; \??\C:\USERS\ADMIN\DESKTOP\EEK\BIN\a2ddax86.sys [X] S3 cleanhlp; \??\C:\Users\ADMIN\Desktop\EEK\bin\cleanhlp32.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\81837042.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\81837042.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver" C:\Users\Edyta\Links\GG dysk.lnk C:\Users\Edyta\Favorites\GG dysk.lnk C:\Users\Edyta\Desktop\GG dysk.lnk C:\Users\Edyta\Desktop\GG.lnk C:\Users\Edyta\Desktop\Google Chrome.lnk C:\Users\Edyta\Desktop\Program uruchamiający aplikacje Chrome.lnk C:\Users\Edyta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GG.lnk C:\Users\Edyta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\Edyta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Program uruchamiający aplikacje Chrome.lnk C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\GG.lnk C:\Users\Edyta\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk C:\Users\Edyta\AppData\Local\GG\Application\gg.lnk Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AQQ" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FlashPlayerUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż przeszkodzi FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.