picasso

Zoek Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit https://download.bleepingcomputer.com/smeenk/zoek.exe Systemy 64-bit: są obsługiwane, ale Zoek (podobnie jak OTL) jest niestety narzędziem 32-bitowym, co oznacza określone ograniczenia i stosowanie okrężnych trików typu alias Sysnative, by pobrać informacje stricte 64-bitowe. Kolejną wadą jest zapisanie raportów wynikowych w kodowaniu ANSI (a nie UTF-8), co w przypadku specjalnych znaków Unicode oznacza ich utratę. Program nie jest już dostępny. Zoek (holenderskie "Szukaj") - narzędzie autorstwa Smeenk operujące na systemie skryptów umożliwiających skan określonych komponentów oraz wdrożenie automatycznych / dostosowanych fiksów. Narzędzie na forum może być zastosowane do pobrania specyficznych "egzotycznych" informacji, których natywnie nie udostępnia FRST (rejestracje MSI produktu czy skan alternatywnych niszowych przeglądarek opartych na silniku Chromium takich jak COMODO Dragon). Tutorial obsługi narzędzia nie jest publiczny. INSTRUKCJA URUCHOMIENIA: 1. Pobraną aplikację należy uruchomić z dwukliku. Na systemach Vista do Windows 10 wymagany tryb administracyjny i potwierdzenie dialogu UAC. 2. Pojawi się zasadniczy interfejs programu. Predefiniowane operacje są pod przyciskiem More Options, nie są to jednak wszystkie możliwości narzędzia. Poinstruujemy użytkownika co nas interesuje, co zaznaczyć lub jaki dostosowany skrypt wkleić w oknie. 3. W przypadku uruchomienia określonej procedury Zoek postara się utworzyć punkt Przywracania systemu, wykona zalecenia i finałowo otworzy raport C:\zoek-results.log. W przypadku większej ilości operacji raporty się rozmnożą, starsze są numerowane wg schematu. Dostęp do ostatnio utworzonego raportu pojawia się też w interfejsie narzędzia: Uwaga: załączniki forum nie akceptują plików o rozszerzeniu *.log - należy ręcznie zmienić nazwę na *.txt.

E-Peek Platforma: Windows Vista, Windows 7, Windows 8/8.1 32-bit i 64-bit Wymagania: Windows Installer 3.1 lub nowszy, Microsoft .NET Framework 4 Client Profile lub nowszy, Microsoft SQL Server Compact 3.5 Service Pack 2 (jeśli SQL Server CE 3.5 lub niższy jest zainstalowany) https://www.antimalwarehelp.be/EDev/Tools/E-Peek/EPeek_man.html https://www.antimalwarehelp.be/EDev/Tools/E-Peek/EPeekDL.html Martwa strona domowa. Niestety ze względu na technikę instalacyjną, wymóg czynnego połączenia sieciowego oraz zależności od komponentów zewnętrznych aplikacja ta ma po prostu zbyt duże ograniczenia i w określonych okolicznościach nie spełni zadania / nie uruchomi się. E-Peek - Nowe nieinwazyjne narzędzie diagnostyczne orientowane pod nowoczesne architektury (XP nie jest obsługiwany). Na chwilę obecną jest to narzędzie w typie DDS, tzn. udostępniające tylko skanowanie w trybie tylko do odczytu, brak funkcji usuwających (planowane). Narzędzie ma natywną obsługę platform x64 oraz weryfikację podpisów cyfrowych plików, tak jak FRST. INSTRUKCJA URUCHOMIENIA: 1. Konieczny tryb administracyjny i czynne połączenie sieciowe. Należy zamknąć uruchomione programy zabezpieczające i inne otwarte. Pobrany instalator uruchomić z dwukliku i zatwierdzić dialog UAC. 2. Pojawi się tradycyjny dialog instalacyjny. Na pierwszym ekranie klik w Next: Następnie akceptacja warunków użytkowych poprzez zaznaczenie pola I accept... i klik w Next: Na kolejnym ekranie klik w Install: Rozpocznie się zasadnicza instalacja obrazowana paskiem postępu: Podczas instalacji zachodzą procesy dodatkowe, niektóre mogą spowodować przerwanie działania instalatora. - Narzędzie sprawdza czy jest połączenie z siecią. Jeśli nie, kończy działanie. - Narzędzie sprawdza czy jest uruchomione z poziomu kontekstu konta administracyjnego. Jeśli nie, kończy działanie. - Narzędzie sprawdza czy są zainstalowane komponenty .NET 4 Client Profile i SQL Sever CE 3.5. Jeśli nie, próbuje aplikacje instalować. Narzędzie jest instalowane w folderze C:\Program Files\E Dev\E-Peek (systemy 32-bit) lub C:\Program Files (x86)\E Dev\E-Peek (systemy 64-bit). Na Pulpicie jest tworzony dodatkowy folder E Dev zawierający skróty do uruchomienia programu oraz jego deinstalacji. 3. Jeśli instalacja zakończy się pomyślnie, należy uruchomić stosowny skrót, co otworzy główny interfejs programu. Następnie przejść do karty Options i skonfigurować następująco: Software Installed - pole zaznaczyć. File History - zamienić domyślną liczbę 7 na 30. 4. Klik w przycisk Scan! zainicjuje dodatkowe okno obrazujące postęp zadań: Po ukończeniu skanowania automatycznie jest otwierany log EPeek.txt. Log jest nagrany w katalogu C:\Program Files\E Dev\E-Peek\Logs. Proszę załączyć w poście.

Uruchom Zoek, nie zaznaczaj żadnych opcji, za to w oknie programu wklej komendę: Google Update Helper;u Klik w Run Script i zaprezentuj wynikowy log.

W jaki sposób pobierasz program? Usuń wszystkie dotychczasowe kopie. Przejdź w Tryb awaryjny z obsługą sieci i zacznij pobieranie z tego linka: KLIK.

Skasuj z dysku raport C:\Delfix.txt. Temat rozwiązany. Zamykam.

Pobrany plik jest uszkodzony / niekompletny. Ponawiaj próbę ściągania. jeśli nadal będzie problem, użyj do pobierania innej przeglądarki.

Drobne poprawki: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: type "C:\Documents and Settings\Agata\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Zaprezentuj wynikowy fixlog.txt. 2. Napraw uszkodzony skrót IE: Shortcut: C:\Documents and Settings\Agata\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Documents and Settings\Agata\Menu Start\Programy\Akcesoria\Narzędzia systemowe i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj sponsoringowe rozszerzenie Avast SafePrice.

Kończymy. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To tyle.

Problem z cichymi procesami iexplore.exe tworzy ten niepożądany szkodnik przejmujący klasę "Task Bar Communication": CustomCLSID: HKU\S-1-5-21-4169363632-389216348-3168489708-1000_Classes\CLSID\{56FDF344-FD6D-11d0-958A-006097C9A090}\InprocServer32 -> C:\Users\ADMIN\AppData\Roaming\tricomfi\tivesen.dll () Ale w systemie jest więcej śmieci. Dodatkowo, widać że pobierałeś z serwisu Komputer Świat, zamiast poprawnych instalatorów "Asystent pobierania" ładujący adware: KLIK. Działania wstępne: 1. Przez Panel sterowaia odinstaluj tricomfi, File Type Advisor 1.4 oraz stare wersje Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Java 7 Update 65. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-4169363632-389216348-3168489708-1000_Classes\CLSID\{56FDF344-FD6D-11d0-958A-006097C9A090}\InprocServer32 -> C:\Users\ADMIN\AppData\Roaming\tricomfi\tivesen.dll () Task: {2079F2D4-BEF8-4102-B9F4-626ACA429C6D} - System32\Tasks\FileAdvisorCheck => C:\Program Files (x86)\File Type Advisor\file-type-advisor.exe [2013-09-04] (filetypeadvisor.com ) Task: {9A698E1A-6104-4E03-A3D6-62602202E403} - System32\Tasks\LIZ => C:\Users\ADMIN\AppData\Roaming\LIZ.exe Task: {BA015F6C-CFE8-432A-98A8-D945A005D250} - System32\Tasks\WXITZAAW => C:\Users\ADMIN\AppData\Roaming\WXITZAAW.exe Task: {E069D33C-70F2-413E-B75D-C57545AB6376} - \SPBIW_UpdateTask_Time_323435333333363737312d345b413455412a45235a6c6c No Task File Task: {EA04C184-3A65-48EF-9F43-26275B0DE00B} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 Task: {EE9A2B25-66C2-4993-A21F-28E05B54A5DE} - System32\Tasks\FileAdvisorUpdate => C:\Program Files (x86)\File Type Advisor\fileadvisor.exe [2013-09-04] (File Type Advisor) Task: {FF84937A-26A2-47E3-8376-D411F6553A51} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 Task: C:\Windows\Tasks\LIZ.job => C:\Users\ADMIN\AppData\Roaming\LIZ.exe Task: C:\Windows\Tasks\WXITZAAW.job => C:\Users\ADMIN\AppData\Roaming\WXITZAAW.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird S2 YTDUpdt; C:\PROGRA~2\YTDOWN~1\YTDUPD~1.EXE [X] S3 cpuz134; \??\C:\Users\ADMIN\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X] S2 SPDRIVER_1454.0.0.0; \??\C:\Program Files (x86)\ShopperPro\JSDriver\1454.0.0.0\jsdrv.sys [X] S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X] C:\Program Files (x86)\0711d11f-90d3-406e-a02a-926cf2c8e3da C:\Program Files (x86)\b04feeea-4f0e-4d40-bebb-7b2fff046cfb C:\Program Files (x86)\pre_installer_pl C:\Users\ADMIN\AppData\Local\GGEmpire C:\Users\ADMIN\AppData\Local\nsaF0FD.tmp C:\Users\ADMIN\AppData\Roaming\ESET C:\Users\ADMIN\AppData\Roaming\gtdaccnp C:\Users\ADMIN\AppData\Roaming\jmfrfemf C:\Users\ADMIN\AppData\Roaming\keljwyem C:\Users\ADMIN\AppData\Roaming\tricomfi C:\Users\ADMIN\AppData\Roaming\ysyvlhzy C:\Users\ADMIN\AppData\Roaming\zjhfyion C:\Users\ADMIN\Desktop\Continue*.lnk C:\Users\ADMIN\Downloads\AdwCleaner*.exe C:\Users\ADMIN\Downloads\FIFA15UltimateTeamHack__11424_il123227.exe C:\Users\ADMIN\Downloads\H3BLADE.EXE C:\Users\ADMIN\Downloads\heroes3*.exe C:\Users\ADMIN\Downloads\Niepotwierdzony*.crdownload C:\Users\ADMIN\Downloads\Odkurzacz 13.4.0.1685.exe C:\Users\ADMIN\Downloads\ReimageRepair.exe C:\Users\ADMIN\Downloads\yet_another_cleaner_sk_108840.exe C:\Windows\system32\log Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\ADMIN\AppData\Local CMD: dir /a C:\Users\ADMIN\AppData\LocalLow CMD: dir /a C:\Users\ADMIN\AppData\Roaming CMD: dir /a C:\Users\ADMIN\Downloads EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony skrót Internet Explorer: Shortcut: C:\Users\ADMIN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\ADMIN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany).

Random's system information tool (RSIT) Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit http://randomsdomain.co.uk/downloads/RSIT.exe http://randomsdomain.co.uk/downloads/RSITx64.exe Wprawdzie program nadal wykazuje oznaki życia (ostatnia wersja z 2017) i ma podstawową zgodność z Windows 10, ale tu zdyskwalifikowany ze względu na używanie przeterminowanego komponentu HijackThis. Systemy 64-bit: fragment raportu pochodzący bezpośrednio z HijackThis dziedziczy oczywiście wadę HijackThis (narzędzie w ogóle nie potrafi pobrać 64-bitowych wejść i podaje sfałszowany widok), ale RSIT dostarcza dodatkowy ekstrakt z rejestru uwzględniający dwoistość budowy, a lista oprogramowania pokazuje zarówno programy 32-bit jak i 64-bit. Narzędzie do tworzenia raportów posługujące się HijackThis, które jednakże posiada rozszerzenia informacyjne wykraczające poza ten program. INSTRUKCJA URUCHOMIENIA: 1. Pobieramy plik pasujący do naszej wersji systemu. Plik uruchamiamy przez dwuklik. Vista do Windows 10: wymagany tryb administracyjny i potwierdzenie dialogu UAC. 2. Pojawi się ekran ze standardowym zrzeczeniem się odpowiedzialności. Figuruje tutaj opcja decydująca o zakresie czasowym dla wyszukiwania obiektów ostatnio utworzonych bądź zmodyfikowanych. Domyślnie ustawiona na 1 miesiąc i tak proszę to zostawić. Rozpoczęcie skanowania jest egzekwowane po kliku w Continue: 3. Ujawni się małe okno z pasem postępu. W fazie wstępnej narzędzie stara się zlokalizować HijackThis na dysku twardym, a jeśli aplikacja jest nieobecna, podejmuje próbę pobrania z internetu (kopia ląduje w katalogu %ProgramFiles%\trend micro). HijackThis jest uruchamiany tłowo bez żadnych dodatkowych "znaków". Następnie są pobierane kolejne informacje, notowane opisowo nad pasem postępu czym aktualnie zajmuje się RSIT. 4. Po ukończeniu skanowania okno samoczynnie zanika, a narzędzie automatycznie otwiera pliki raportów w Notatniku. W głównym katalogu dysku systemowego jest tworzony folder o nazwie rsit, który zawiera dwa raporty: log.txt (z HijackThis i dodatkowymi uzupełnieniami) oraz info.txt (ze zrzutem MBR, listą zainstalowanych programów, zawartością pliku HOSTS, aplikacjami zarejestrowanymi w Centrum zabezpieczeń, wyciągami z Dziennika zdarzeń i Zmiennymi środowiskowymi). Oba proszę załączyć w poście. Jeśli RSIT uruchomiono więcej niż raz, jest generowany i otwierany tylko log główny, raport dodatkowy z poprzedniego uruchomienia powinien być w w/w katalogu. By ten dodatkowy raport powstał na nowo należy skasować z folderu RSIT plik info.txt lub wywołać RSIT z parametrem /info.

Wszystko pomyślnie przetworzone. W związku z tym, że Zoek nie działa, dane na temat preferencji COMODO Dragon i Opera 26 muszę pobrać ręcznie. Kolejne operacje: Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-519654634-1475891941-3348864904-1001\Software\Microsoft\Internet Explorer\Main,Start Page = https://mysearch.avg.com?cid={1A924997-05DF-47E1-AA2E-1BC82D281FDD}&mid=87d5f506263547d29d3cf5b414eef035-39c2a54a361bd2b42d6085b5a4a07f1b218e2356&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=pr&d=2014-06-30 18:12:30&v=18.1.9.799&pid=safeguard&sg=&sap=hp C:\ProgramData\AVG Security Toolbar C:\Program Files (x86)\AVG SafeGuard toolbar Folder: C:\Users\castletone77\AppData\Local\Comodo\Dragon\User Data\Default\Extensions CMD: type "C:\Users\castletone77\AppData\Local\Comodo\Dragon\User Data\Default\Preferences" Folder: C:\Users\castletone77\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\castletone77\AppData\Roaming\Opera Software\Opera Stable\Preferences" Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\Dragon\shell\open\command" /s Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

DDS Platforma: Windows XP, Vista, Windows 7, Windows 8 32-bit i 64-bit https://www.bleepingcomputer.com/download/dds/ Narzędzie nieaktualizowane od wielu lat, ostatnia wersja pochodzi z 2012. DDS - Narzędzie autorstwa sUBs (czyli stajnia ComboFix) dedykowane nieinwazyjnemu poborowi danych. DDS umożliwia tylko skan, nie dostarcza żadnych opcji naprawczych. Systemy 64-bit: narzędzie adresuje te platformy, obsługa uwzględnia rozpoznanie procesów części natywnej oraz czysto 64-bitowe fragmenty rejestru. INSTRUKCJA URUCHOMIENIA: 1. Narzędzie jest dostępne w trzech wersjach: COM, PIF i SCR. Należy pobrać jedną z nich. Pobraną aplikację należy uruchomić z dwukliku. Windows 8 / Windows 7 / Vista: wymagany tryb administracyjny i potwierdzenie dialogu UAC. 2. Pojawi się okno z opcjami narzędzia. Zostawiamy domyślnie zaznaczone opcje i klikamy w Start: 3. Rozpocznie się skanowanie obrazowane paskiem postępu: 4. Znakiem, że skanowanie jest w pełni ukończone, jest ujawnienie się okienka poświadczającego zapis logów: Zamknięcie okna automatycznie otwiera raporty w Notatniku. Program tworzy na Pulpicie dwa logi: dds.txt i attach.txt. Oba proszę załączyć w poście.

Brakuje:

Tak. Instalacja skoryguje również ustawienia domyślnej przeglądarki, gdyż ostatnie logi pokazywały ustawione na każdym z kont osobna nieistniejące już przeglądarki Google Chrome i Opera jako domyślne. Temat rozwiązany. Zamykam.

Log uzupełniony. Przechodzimy do czyszczenia systemu z adware: 1. Przez Panel sterowania odinstaluj adware Reimage Repair, zbędny pasek AVG SafeGuard toolbar oraz archaiczne przeglądarki Flock + Opera 10.00. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0D9DDEBB-6FDD-433F-807D-B3EC386C19F5} - System32\Tasks\Browser Updater\Browser Updater => C:\Program Files (x86)\HomeTab\WBrowserUpdater.exe Task: {2540D1CA-2136-4308-9CC1-13F8AB8D875B} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-06-09] (globalUpdate) Task: {294AEA74-828A-4CEA-83C7-15DE38B0BFC2} - \BrowserSafeguard Update Task No Task File Task: {513608D1-0E24-41D5-BE5A-4EE747635C61} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-06-09] (globalUpdate) Task: {58252B15-7603-4494-B734-DF0261ADDD66} - System32\Tasks\ProtectedSearch\Protected Search => C:\Program Files (x86)\HomeTab\WBrowserProtect.exe Task: {67131C2C-42FD-4D52-83A3-9D70CFFCDD6D} - System32\Tasks\Reimage Reminder => C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe [2014-12-30] () Task: {C8EF4B1D-E319-415B-961B-685BFB0F0B6C} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [2014-12-02] (Reimage®) Task: {F88BB178-2540-482D-9D0F-076F1CC4BCE9} - System32\Tasks\SystemSockets\SystemSockets => C:\Program Files (x86)\HomeTab\WBrowserProductivity.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-06-09] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-06-09] (globalUpdate) [File not signed] R2 ReimageRealTimeProtector; C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [7138664 2014-12-02] (Reimage®) S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKU\S-1-5-21-519654634-1475891941-3348864904-1001\...\MountPoints2: {5c68d2c1-77b0-11e4-beb0-24fd520a19c6} - "F:\startme.exe" AppInit_DLLs: C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll => C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll File Not Found AppInit_DLLs-x32: C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll => "C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll" File Not Found ProxyServer: [s-1-5-21-519654634-1475891941-3348864904-1001] => http=127.0.0.1:49213;https=127.0.0.1:49213 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKLM-x32 -> DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.certified-toolbar.com?si=77302&st=bs&tid=18145&ver=5.7&ts=1402332997371&tguid=77302-18145-1402332997371-5A3E37E2F579CA2A7539B514A7BD4910&q={searchTerms} SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.certified-toolbar.com?si=77302&st=bs&tid=18145&ver=5.7&ts=1402332997371&tguid=77302-18145-1402332997371-5A3E37E2F579CA2A7539B514A7BD4910&q={searchTerms} SearchScopes: HKU\S-1-5-21-519654634-1475891941-3348864904-1001 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://mysearch.avg.com/search?cid={1A924997-05DF-47E1-AA2E-1BC82D281FDD}&mid=87d5f506263547d29d3cf5b414eef035-39c2a54a361bd2b42d6085b5a4a07f1b218e2356&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-06-30 18:12:30&v=18.1.0.443&pid=safeguard&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-519654634-1475891941-3348864904-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://mysearch.avg.com/search?cid={1A924997-05DF-47E1-AA2E-1BC82D281FDD}&mid=87d5f506263547d29d3cf5b414eef035-39c2a54a361bd2b42d6085b5a4a07f1b218e2356&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-06-30 18:12:30&v=18.1.0.443&pid=safeguard&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-519654634-1475891941-3348864904-1001 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.certified-toolbar.com?si=77302&st=bs&tid=18145&ver=5.7&ts=1402332997371&tguid=77302-18145-1402332997371-5A3E37E2F579CA2A7539B514A7BD4910&q={searchTerms} SearchScopes: HKU\S-1-5-21-519654634-1475891941-3348864904-1001 -> {BC181B8C-7994-480D-B470-892A53D11639} URL = Toolbar: HKU\S-1-5-21-519654634-1475891941-3348864904-1001 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File C:\rei C:\Program Files\Reimage C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\HomeTab C:\ProgramData\Reimage Protector C:\Users\castletone77\AppData\Local\pcc.exe C:\Users\castletone77\AppData\Local\Microsoft\Windows\INETCache\Content.IE5\FK669RJ3 C:\Windows\Reimage.ini C:\Windows\System32\Tasks\Browser Updater C:\Windows\System32\Tasks\ProtectedSearch C:\Windows\System32\Tasks\SystemSockets Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v mcui_exe /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome są podejrzane rozszerzenia: CHR Extension: (Szukaj Przełącznik) - C:\Users\castletone77\AppData\Local\Google\Chrome\User Data\Default\Extensions\dopemniaeocfenlpnoannaefnhfcjcgi [2014-06-09] CHR Extension: (X New Tab Page(Extension)) - C:\Users\castletone77\AppData\Local\Google\Chrome\User Data\Default\Extensions\nejjhhjbbdlbnpfhbclcilanmofmgdlk [2014-06-09] - Pierwsze nie pochodzi ze Sklepu Chrome. Identyfikator tego rozszerzenia (dopemniaeocfenlpnoannaefnhfcjcgi) jest kojarzony z niechcianymi instalacjami: KLIK. - X New Tab Page(Extension) też podejrzany, identyfikator nejjhhjbbdlbnpfhbclcilanmofmgdlk występuje w kontekście malware: KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Szukaj Przełącznik (o ile pobrana nazwa jest poprawna...) i X New Tab Page(Extension) Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres mysearch.avg.com, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres mysearch.avg.com 4. Zrób nowe logi: - FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. - Uruchom Zoek, jako jedyną opcję zaznacz Chrome Look, klik w Run Script. Dołącz też plik fixlog.txt.

"System Windows wprowadzil poprawki do systemu plików" + "0 KB w uszkodzonych sektorach". Sądzę, że na tym możemy już poprzestać i temat jest ukończony.

Tak jest, poszło gładko. Ostatnie poprawki: 1. Uruchom AdwCleaner ponownie, lecz tym razem wybierz sekwencję Szukaj + Usuń. Po ukończeniu tego czyszczenia: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Dominik\Downloads\FRST-OlderVersion HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://go.microsoft.com/fwlink/p/?LinkId=255141 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://go.microsoft.com/fwlink/p/?LinkId=255141 HKU\S-1-5-21-361420388-1239155411-725962489-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://go.microsoft.com/fwlink/?LinkId=69157 Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Zadanie pomyślnie wykonane. Kończymy czyszczenie systemu. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz uzupełnij instalację Adobe (o ile jest niezbędna): KLIK. Jeśli po użyciu ostatniego skryptu FRST usuwającego kwarantannę + podanym powyżej wyczyszczeniu folderów Przywracania systemu nadal jest problem z miejscem na dysku, to skorzystaj z programu SpaceSniffer do diagnostyki gdzie konkretnie "zjadło" najwięcej. Program należy zastartować poprzez kontekstową opcję "Uruchom jako Administrator", by zostały obliczone miejsca zablokowane przez uprawnienia.

Plik FRST.txt jest ... prawie pusty. Popraw załącznik w powyższym poście podmieniając pliki i daj na PW znać o edycji tematu. Komunikat twierdzi, że plik jest większy niż 30MB. To się zgadza. Plik instalatora SkypeSetupFull.exe, który pobrałam ze strony Skype, waży ~43MB. Plików tych nie musisz usuwać za pomocą AVG, ogólnym czyszczeniem Temp zajmie się mój skrypt FRST podany później. Te pliki instalatora Skype nie są nawet istotne, w systemie grasują inne infekcje adware, których AVG nie notuje. Czy po zwyczajnym restarcie systemu nadal występuje ten komunikat?

Skoro konto "USER_" jest niewidoczne i nieznanego pochodzenia, będę je usuwać. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction FF Plugin-x32: @java.com/DTPlugin,version=10.40.2 -> C:\windows\SysWOW64\npDeployJava1.dll (Oracle Corporation) C:\Program Files (x86)\Hold Page C:\Users\user\AppData\Local\Pay-By-Ads C:\Windows\system32\Drivers\{91975f83-f39c-43cf-aad4-0b3396b0f6db}Gw64.sys Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: net user USER_ /delete EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Powstanie kolejny plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. GMER i OTL nie są mi już potrzebne.

Delfix coś mało skasował - czy przed jego użyciem usuwałeś pobrany FRST ręcznie? Skasuj raport C:\Delfix.txt z dysku. I czekam na logi z drugiego kompa.

W systemie widać niepożądane instalacje typu adware/PUP. Logi pochodzą jednak sprzed wielu dni. Proszę dodaj nowy komplet logów FRST (główny + Addition + Shortcut) zrobiony z najświeższej wersji. Detekcje AVG nie dotyczą zainstalowanego Skype, lecz plików instalatora umieszczonych w lokalizacjach tymczasowych: %localappdata%\Microsoft\Windows\INETCache %localappdata%\Temp Wykryte pliki bez problemu można usunąć i należy to zrobić, bo to śmieci. EID_pe_iscorrupted = Uszkodzony plik wykonywalny = to nie jest nawet detekcja infekcji, lecz uszkodzonego nagłówka pliku. Mam pytanie: czy w oczekiwaniu na pomoc przypadkiem nie użyłaś ComboFix? Ten komunikat jest typowym skutkiem ubocznym użycia aplikacji. Należy zresetować system, by komunikat ustąpił.

Prawdopodobnie chodzi o jakieś reklamy / skrypt śledzący kliki w serwisie Onet. Na wszelki wypadek podaj jeszcze raporty z FRST.

Delfix wykonał zadanie. Skasuj plik raportu C:\Delfix.txt. Temat rozwiązany. Zamykam.

Pytałam na wszelki wypadek. Czy wykonałeś resztę zaleceń?