picasso

Nie wiem. Ale jest tu sporo różnych archaicznych sterowników od programów trzecich, a GMER jest bardzo "czuły" na środowisko. Nie jest też wykluczone, że system po aktualizacji do SP3 + reszta z Windows Update (wymiana wszystkich plików Windows) będzie się zachowywał inaczej.

1. Czy Driver Booster został odinstalowany? AdwCleaner widzi cały czas to samo. W programie wybierz sekwencję Szukaj + Usuń. 2. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. To tyle w zakresie czyszczenia systemu z adware.

Dlaczego program został pobrany z innego portalu (adwcleaner_4.107_www.INSTALKI.pl (2).exe) a nie strony domowej? Programy pobiera się ze stron domowych, tylko tam gwarancja najnowszej wersji i minimalizacja "bonusów": KLIK. Wykrycia AdwCleaner: - Avast SafePrice w Google Chrome, tak jakby nie został odinstalowany - Zadania Harmonogramu od Driver Booster IOBit. Ten program to w ogóle odinstaluj. Takimi wynalazkami można sobie nabroić. Z tego co rozumiem Avast nadal jest w systemie. Zamiast szukać antywirusa, na razie sprawdź czy w ogóle w nim jest problem, bo może się okazać że nie. Na razie to ja spekuluję co może być problemem. Pytanie do działu Hardware. Tu jest temat w dziale diagnostyki infekcji.

Nie jest wykluczone, że Operę uszkodził AdwCleaner. Na zakończenie, o ile już tego nie zrobiłeś, zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Temat rozwiązany. Zamykam.

Nie podałeś tego raportu:

Wygląda OK. To tyle z mojej strony. Temat rozwiązany, zamykam.

1. W nowych raportach FRST nic nie widać, toteż kończymy w zakresie czyszczenia. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 2. Na wszelki wypadek wykonaj jeszcze to: Nie odpowiedziałeś mi na pytanie:

Kończymy: 1. Dla bezpieczeństwa pozmieniaj hasła logowania w serwisach (bank / poczta / serwisy społecznościowe etc.). 2. Wykonaj pełną aktualizację systemu, bo status SP2 po prostu nie może zostać: KLIK. 3. Zainstaluj dowolnie wybranego nowoczesnego antywirusa (byle nie crackowany). Dodatkowo proponuję zaopatrzyć się w: - Malwarebytes Anti-Exploit (dostępna wersja free): w wersji darmowej ochrona przeglądarek oraz Java przed eksploitami / atakami - SandBoxie (po 30-dniach nagscreen, ale z programu nadal można korzystać): wirtualne środowisko, piaskownica. Wymagany XP SP3.

Nie rozwinąłeś szczegółów, by pokazać co jest pod wyszarzoną pozycją wskazująca dwa pliki Adobe Flash, bo to tam jest wbudowany Chrome + zewnętrzny Firefoxa. Natomiast do wyłączenia jeszcze: ten ostatni na liście "Adobe Shockwave Player" oraz wtyczka RealPlayer (Chrome notuje problem starej wersji).

Poprawki: 1. Nie wykonałeś tego i to do wdrożenia: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-368780648-3898295154-4159360230-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trovi.com/?gd=&ctid=CT3322197&octid=EB_ORIGINAL_CTID&ISID=M3022C309-8EC2-408C-AD05-902979B5984F&SearchSource=55&CUI=&UM=8&UP=SP767172D7-D021-40DB-A31D-F48E49CB61ED&SSPV= SearchScopes: HKU\S-1-5-21-368780648-3898295154-4159360230-1000 -> DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3322197&octid=EB_ORIGINAL_CTID&ISID=M3022C309-8EC2-408C-AD05-902979B5984F&SearchSource=58&CUI=&UM=8&UP=SP767172D7-D021-40DB-A31D-F48E49CB61ED&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-368780648-3898295154-4159360230-1000 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3322197&octid=EB_ORIGINAL_CTID&ISID=M3022C309-8EC2-408C-AD05-902979B5984F&SearchSource=58&CUI=&UM=8&UP=SP767172D7-D021-40DB-A31D-F48E49CB61ED&q={searchTerms}&SSPV= HKLM-x32\...\RunOnce: [spUninstallCleanUp] => REG delete HKEY_LOCAL_MACHINE\Software\SearchProtect /f C:\END C:\Program Files (x86)\GUTDFE3.tmp C:\Program Files (x86)\GUMDFE2.tmp C:\Users\Pawel\AppData\Roaming\dlg C:\Users\Pawel\Downloads\*(*)-dp*.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten log. 3. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner. Podejrzany: Avast. Bardzo rozbudowany inwazyjny układ startowy (jak zresztą każdy inny antywirus obecnie), dużo usług / sterowników. By sprawdzić teorię, tymczasowo go odinstaluj i sprawdź czy jest zmiana.

Google Chrome ma wbudowany, więc nic nie trzeba instalować dla tej przeglądarki. Natomiast po instalacji wtyczki dla Firefox w opcjach wtyczek Google Chrome pojawi się druga pozycja i ją należy wyłączyć, by działał tylko zintegrowany z Chrome Flash.

Diagnostyka dodatkowa:

W takim razie będzie ręczne usuwanie. Uruchom Zoek, jako jednyną opcję zaznacz Installer List, klik w Run Script i podaj wynikowy log.

Na samym początku już czyściłam Tempy komendą w skrypcie FRST. Oczywiście po nowych instalacjach możesz skorzystać z alternatywy TFC, by usunąć nowe śmieci z tych lokalizacji. Logi nie są mi już potrzebne. W przyklejonym podałam konkretne wytyczne i miałeś po prostu uzupełnić to co potrzebujesz. W jakiej kwestii nie jesteś pewny?

Program znalazł różne odpadki infekcji. Czy usunąłeś wszystko za pomocą programu?

To nie koniec działań. Miałeś podać:

Format pendrive nie byłby skuteczny, gdyby nadal działała infekcja po stronie systemu. Tzn. podpięcie pendrive natychmiast by go zainfekowało ponownie. To samo działoby się z innymi urządzeniami przenośnymi. Drugi pendrive nie jest zainfekowany. Kończąc historię z tym komputerem: 1. Zapomniałam podać, odinstaluj jeszcze wtyczkę Adobe Flash Player 15 Plugin. Stara wersja, nie jest potrzebna. Chrome ma wbudowany Flash. 2. Odinstaluj USBFix. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. I podaj logi FRST z drugiego zainfekowanego komputera.

Kończymy. Usuń z Pulpitu folder FRST, następnie zastosuj DelFix. To tyle.

GMER nic nie usuwa podczas skanu, skanuje w "trybie tylko odczytu". Widziałeś postęp skanowania przedstawiający obiekty związane z deinstalatorami łat, np. te oto foldery: 2014-12-19 08:38 - 2014-12-19 08:38 - 00000000 __HDC () C:\WINDOWS\$NtUninstallKB959426$ 2014-12-19 08:38 - 2014-12-19 08:38 - 00000000 __HDC () C:\WINDOWS\$NtUninstallKB952954$ 2014-12-19 08:38 - 2014-12-19 08:38 - 00000000 __HDC () C:\WINDOWS\$NtUninstallKB951376-v2$ 2014-12-19 08:38 - 2014-12-19 08:38 - 00000000 __HDC () C:\WINDOWS\$NtUninstallKB2922229$ W systemie działa infekcja (przypuszczalnie nabyta przez jakiś crack) blokująca Przywracanie systemu i oprogramowanie zabezpieczające na bazie modyfikacji "Image File Execution Options". Ponadto, są liczne instalacje adware. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {8fb4e628-35c6-4275-89be-ce3462febcc4}Gt; C:\WINDOWS\System32\drivers\{8fb4e628-35c6-4275-89be-ce3462febcc4}Gt.sys [55832 2014-12-26] (StdLib) R1 {f17a6425-9752-4042-9063-36eef24d8b77}Gt; C:\WINDOWS\System32\drivers\{f17a6425-9752-4042-9063-36eef24d8b77}Gt.sys [55832 2014-12-26] (StdLib) R2 Update Faster Light; C:\Program Files\Faster Light\updateFasterLight.exe [524536 2014-12-27] () R2 Util Faster Light; C:\Program Files\Faster Light\bin\utilFasterLight.exe [524536 2014-12-27] () HKLM\...\Run: [Winlogon] => C:\Documents and Settings\hh\Dane aplikacji\winlogon.exe [864256 2014-06-29] () HKU\S-1-5-21-1004336348-2025429265-725345543-1003\...\Run: [softonicAssistant] => C:\Documents and Settings\hh\Ustawienia lokalne\Dane aplikacji\SoftonicAssistant\SoftonicAssistant.exe [1829832 2014-11-11] () HKU\S-1-5-21-1004336348-2025429265-725345543-1003\...\Run: [Akamai NetSession Interface] => C:\Documents and Settings\hh\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe [4673432 2014-10-29] (Akamai Technologies, Inc.) HKU\S-1-5-21-1004336348-2025429265-725345543-1003\...\Run: [Winlogon] => C:\Documents and Settings\hh\Dane aplikacji\winlogon.exe [864256 2014-06-29] () HKU\S-1-5-21-1004336348-2025429265-725345543-1003\...\Winlogon: [shell] C:\Documents and Settings\hh\Dane aplikacji\winlogon.exe [864256 2014-06-29] () IFEO\AvastSvc.exe: [Debugger] nqij.exe IFEO\AvastUI.exe: [Debugger] nqij.exe IFEO\avcenter.exe: [Debugger] nqij.exe IFEO\avconfig.exe: [Debugger] nqij.exe IFEO\avgcsrvx.exe: [Debugger] nqij.exe IFEO\avgidsagent.exe: [Debugger] nqij.exe IFEO\avgnt.exe: [Debugger] nqij.exe IFEO\avgrsx.exe: [Debugger] nqij.exe IFEO\avguard.exe: [Debugger] nqij.exe IFEO\avgui.exe: [Debugger] nqij.exe IFEO\avgwdsvc.exe: [Debugger] nqij.exe IFEO\avp.exe: [Debugger] nqij.exe IFEO\avscan.exe: [Debugger] nqij.exe IFEO\bdagent.exe: [Debugger] nqij.exe IFEO\blindman.exe: [Debugger] nqij.exe IFEO\ccuac.exe: [Debugger] nqij.exe IFEO\ComboFix.exe: [Debugger] nqij.exe IFEO\egui.exe: [Debugger] nqij.exe IFEO\hijackthis.exe: [Debugger] nqij.exe IFEO\instup.exe: [Debugger] nqij.exe IFEO\keyscrambler.exe: [Debugger] nqij.exe IFEO\mbam.exe: [Debugger] nqij.exe IFEO\mbamgui.exe: [Debugger] nqij.exe IFEO\mbampt.exe: [Debugger] nqij.exe IFEO\mbamscheduler.exe: [Debugger] nqij.exe IFEO\mbamservice.exe: [Debugger] nqij.exe IFEO\MpCmdRun.exe: [Debugger] nqij.exe IFEO\MSASCui.exe: [Debugger] nqij.exe IFEO\MsMpEng.exe: [Debugger] nqij.exe IFEO\msseces.exe: [Debugger] nqij.exe IFEO\rstrui.exe: [Debugger] nqij.exe IFEO\SDFiles.exe: [Debugger] nqij.exe IFEO\SDMain.exe: [Debugger] nqij.exe IFEO\SDWinSec.exe: [Debugger] nqij.exe IFEO\spybotsd.exe: [Debugger] nqij.exe IFEO\wireshark.exe: [Debugger] nqij.exe IFEO\zlclient.exe: [Debugger] nqij.exe BHO: Faster Light 1.0.0.6 -> {950ef4df-b9dd-4b97-9e34-5c7d25a5eb88} -> C:\Program Files\Faster Light\FasterLightbho.dll (Faster Light) FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Menu Start\Programy\Tux Paint C:\Documents and Settings\hh\Dane aplikacji\*.exe C:\Documents and Settings\hh\Dane aplikacji\msconfig.ini C:\Documents and Settings\hh\Moje dokumenty\*(*)-dp*.exe C:\Documents and Settings\hh\Moje dokumenty\*downloader*.exe C:\Documents and Settings\hh\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Documents and Settings\hh\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\WINDOWS\*.tmp C:\WINDOWS\system32\Windows System C:\WINDOWS\System32\drivers\{8fb4e628-35c6-4275-89be-ce3462febcc4}Gt.sys C:\WINDOWS\System32\drivers\{f17a6425-9752-4042-9063-36eef24d8b77}Gt.sys C:\WINDOWS\system32\Drivers\wpnfd_1_10_0_5.sys C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware: Faster Light, Softonic Assistant, Word Proser 1.10.0.5. - Stare wersje i zbędniki: Akamai NetSession Interface, Safari. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy, przestaw na "Otwórz stronę nowej karty". 5. Napraw uszkodzony skrót Internet Explorer. Prawoklik na plik C:\Documents and Settings\hh\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 6. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt.

1. Czy na pewno odinstalowałeś poprawnie AVG Web TuneUp? AdwCleaner widzi od niego pewne elementy, które powinna usunąć deinstalacja. Jeśli jednak tak, to uruchom AdwCleaner ponownie, tym razem wybierz opcje Szukaj + Usuń. Po czyszczeniu: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Wszystko zrobione. Idziemy dalej: 1. Usuń pobrany FRST i inne narzędzia. Zastosuj DelFix. 2. Uruchom Malwarebytes Anti-Malware (przy instalacji odznacz opcję trial). Wykonaj pełny skan. Jeśli program coś znajdzie, dostarcz raport wynikowy.

Z drugiego komputera są potrzebne logi z FRST. Dołączysz je tu, gdy skończymy sprawy na obecnym tu komputerze. Z tego komputera czynna infekcja usunięta, teraz można przejść do czyszczenia pendrive. 1. Drobny szczegół do korekty po deinstalacji paska AVG. W Google Chrome: stawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > wymaż wielokrotne wystąpienia adresu mysearch.avg.com, przestaw na "Otwórz stronę nowej karty". 2. Operacja przy podpiętym pendrive. Otwórz Notatnik i wklej w nim: K:\Chrome.VBE K:\*.LNK CMD: attrib /d /s -s -h K:\* Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Zrób też nowy log USBFix z opcji Listing.

W międzyczasie doinstalowałeś AVG Web TuneUp. Odinstaluj ten toolbar. Po deinstalacji uruchom AdwCleaner, wybierz opcję Szukaj (nie stosuj na razie Usuń) i podaj wynikowy log z folderu C:\AdwCleaner.

Stawdź co się stanie jeśli uruchomisz taką oto komendę deinstalacji: Start > Uruchom > wkej komendę: MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}

Temat przenoszę do właściwego działu Windows. Prawdopodobną przyczyną jest Avast. I jest tu miks wersji: na liście zainstalowanych stoi "avast! Free Antivirus" (wersja darmowa, nie najnowsza zresztą), jednakże w systemie są także komponenty niepoprawnie odinstalowanej komercyjnej wersji "avast! Internet Security", tzn. firewall (usługa próbuje się uruchamiać) oraz filtr klawiatury (usługa szczątkowa, Dziennik zdarzeń zgłasza błędy uruchomienia). ==================== Security Center ======================== AV: avast! Antivirus (Enabled - Up to date) {17AD7D40-BA12-9C46-7131-94903A54AD8B} AS: avast! Antivirus (Enabled - Up to date) {ACCC9CA4-9C28-93C8-4B81-AFE241D3E736} FW: avast! Internet Security (Disabled) {2F96FC65-F07D-9D1E-5A6E-3DA5C487EAF0} ==================== Services / Drivers (Whitelisted) ================= R2 avast! Antivirus; C:\Program Files\AVAST Software\Avast\AvastSvc.exe [50344 2014-08-06] (AVAST Software) S2 avast! Firewall; C:\Program Files\AVAST Software\Avast\afwServ.exe [113704 2014-02-19] (AVAST Software) S1 aswKbd; \??\C:\Windows\system32\drivers\aswKbd.sys [X] Nie wiadomo co jeszcze pozostało po wersji IS, gdyż raporty są ograniczone tylko do określonych zagadnień. Proponuję rozpocząć od usunięcia Avast, ewentualnie później będzie instalacja "na czysto" najnowszej wersji: 1. Zacznij od tradycyjnej deinstalacji, choć wątpię czy wszystkie elementy zostaną usunięte normalnym instalatorem. 2. Następnie zastosuj czyściciele: oficjalny Avast Uninstall Utility + nieoficjalny avast! Cleanup Tool (można go zastosować, gdyż masz starą wersję Avast 2014). 3. Po operacjach zrób nowy log FRST (włącznie z Addition) i wypowiedz się czy widzisz jakieś znaczące zmiany w systemie.