picasso

Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {78B8DC29-5BF2-41F5-9C40-5851FB83CC7A} - \pricemetertask No Task File Task: {9F5D033B-2C75-40EE-A5B1-849E2AB6C49D} - \pricemeterwatcher No Task File HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\...\RunOnce: [ALLPlayer Remote Update] => C:\Users\Dorota\AppData\Local\Temp\ALLRemote.exe [1961744 2015-01-08] (ALLPlayer ) C:\Program Files\WinZipper C:\ProgramData\Avg_Update_1214tb C:\ProgramData\WindowsMangerProtect C:\Users\Dorota\AppData\Local\PriceMeter EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Powstanie kolejny plik fixlog.txt. 2. Napraw uszkodzony skrót Internet Explorer: Shortcut: C:\Users\Dorota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Dorota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres mysearch.avg.com, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres mysearch.avg.com Ponownie zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Jeśli chodzi o czyszczenie systemu z adware, to już skończyliśmy. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Jeśli chodzi o przywrócenie programów zabezpieczających, to nie widzę przeszkód by przejść do tego etapu.

Kończymy: Usuń pobrane narzędzia z D:\Pobrane\diagnostyka. Następnie zastosuj DelFix, wyczyść foldery Przywracania systemu oraz wykonaj aktualizacje Adobe/Java/IE: KLIK.

Temat doprowadzam do formy oczekiwanej od początku. Nie podałeś o jakiej stronie mowa - można się jedynie domyślać, że prawdopodobnie chodzi o trovi.com, gdyż w systemie działa adware Search Protect. Działania wstępne: 1. Przez Panel sterowania odinstaluj adware Search Protect. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj sponsoringowe rozszerzenie Avast SafePrice. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Wypowiedz się jaka jest sytuacja bieżąca.

Zadanie wykonane zgodnie z instrukcją (miała być zaznaczona tylko opcja usuwania narzędzi), a czyszczenie folderów Przywracania systemu bezpośrednio w opcjach Windows. Skasuj z dysku plik C:\Delfix.txt. Swoją drogą to chyba jest jakiś problem z AdwCleaner. U mnie wczoraj pojawił się ten sam efekt: okno UAC, proces w tle i nic się nie dzieje.

Miałeś podać jeszcze świeże logi FRST na wszelki wypadek.

aswMBR Strona domowa Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit Oficjalne autoryzowane linki pobierania: Pobierz Program nieaktualizowany od 2014 i ostatecznie zlikwidowany przez Avast. Obecnie w/w strona domowa kieruje do Free Rootkit Scanner and Removal Tool, czyli pobierania Avast Free Antivirus. aswMBR można nadal ściągnąć z przycisku widocznego powyżej, ale nie wiadomo jak długo narzędzie będzie dostępne. aswMBR - Narzędzie od Gmera, stworzone dla ekipy Avast, dedykowane detekcji rootkitów MBR, VBR oraz infekcji sterowników (pierwotnie orientacja tylko na stare warianty TDL3/TDL4). Narzędzie jest prostsze obsługowo niż pierwowzór czyli konsolowy MBR.EXE i go zastępuje (MBR.EXE nie jest rozwijany i został usunięty z oficjalnej strony GMER), gdyż polecenia zostały przeobrażone w buttoniki. Do bardziej kompleksowego skanu zalecam jednak TDSSKiller i/lub MBAR. INSTRUKCJA URUCHOMIENIA: Uruchamiamy pobrany plik przez dwuklik. Vista do Windows 10: wymagany tryb administracyjny i potwierdzenie dialogu UAC. Jeśli komputer obsługuje technologię wirtualizacji sprzętowej, zostanie zadane pytanie czy wykorzystać ją w skanie: Następnie padnie propozycja ściągania definicji Avast wspomagających skanowanie. Jest to krok opcjonalny i nie wymagany, by przeprowadzić skan zasadniczy. Opcje Dostępne operacje: Scan - Skanowanie w trybie tylko do odczytu FixMBR - Usuwanie infekcji w MBR Fix - usuwanie infekcji TDL4 Save log - Zapis raportu tekstowego (równocześnie i zrzucanie MBR do pliku) Trace disk IO calls - Dodatkowe śledzenie zapytań IO dysku Ponadto pliki wykryte jako "podejrzane" można skopiować spod narzędzia w celu analizy np. na VirusTotal. Skanowanie Rozpoczynamy diagnostykę przyciskiem Scan. W oknie pojawią się wyniki. Jeśli aswMBR wykryje konkretną infekcję, wynik jest stosownie opisany i zakreślony w kolorze czerwonym. Szerszy wykaz notujący podejrzaną aktywność uzyskamy po zaznaczeniu opcji Trace disk IO calls. Usuwanie infekcji W celu usunięcia infekcji z MBR należy wybrać aktywny przycisk FixMBR. Postęp naprawczy jest notowany stosownymi komunikatami. Po pomyślnie przeprowadzonej operacji padnie prośba o restart komputera. Przycisk FixMBR jest niedostępny, jeśli narzędzie: nie wykryło infekcji wcale, nie potrafi jej zdiagnozować w sposób jednoznaczny lub jest to rootkit infekujący sterowniki systemowe a nie MBR.

Tworzenie raportów z poziomu startującego Windows: Proszę pobierać narzędzia tylko i wyłącznie z podanych tu autoryzowanych linków, a nie z innych zewnętrznych portali. Wysoka podatność pobrania zdezaktualizowanej wersji i złapania portalowych "bonusów". Obowiązkowe raporty dołączane do każdej prośby o pomoc: FRST ====================================== Tylko na prośbę moderatora (proszę nie załączać, o ile nie padnie taka prośba): W zależności od przebiegu określonego tematu możemy poprosić o dodatkowe materiały: Farbar Service Scanner (FSS) ListParts MiniToolBox Stare nieaktualizowane narzędzia: Narzędzia archiwalne Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione.

Brakuje trzeciego pliku FRST Shortcut. 1. Rozpocznij od deinstalacji adware poprzez Panel sterowania: AnyProtect, BlockAndSurf, ConvertAd, EpicScale Application, foxydeal, GamesDesktop 008.18, Remote Desktop Access (VuuPC), VooUpdate, YouTube Accelerator. Od razu odinstaluj też starą wersję Adobe Flash Player 15 Plugin. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy logi.

To oznacza dodatkową infekcję bootkit i to jest obecnie prawdopodobna przyczyna zablokowania Windows. Wejdź w Tryb awaryjny Windows i podaj raport z Kaspersky TDSSKiller. Jeśli coś wykryje, przyznaj Skip i tylko log dostarcz. Swoją drogą, GMER (orientowany na rootkit-infekcje) wcale nie został podany. Wspomniałeś że go "dołączasz", ale takiego załącznika brak w pierwszym poście.

Akcje pomyślnie wykonane. Zastosuj DelFix, wyczyść foldery Przywracania systemu i zainstaluj najnowsze wersje wymaganych programów: KLIK. Nie widzę przeszkód. Na wszelki wypadek możesz zmienić login do banku. Jeśli chodzi o program, to może nada się darmowy ScreenBright (po prawej stronie klik w "Download from Softpedia" i wybierz pierwszy mirror). Mam też pytanie, a co ze zwyczajnymi ustawieniami, jest z tym jakiś problem: KLIK?

Wszystko sprawnie poszło. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: Folder: C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\LocalLow RemoveDirectory: C:\Documents and Settings\Jarek\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\cache RemoveDirectory: C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Opera Software RemoveDirectory: C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Sun RemoveDirectory: C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\TDSSKiller_Quarantine RemoveDirectory: C:\WINDOWS\$NtUninstallKB34492$ Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Rekonstrukcja skasowanych przez ZeroAccess usług. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego" "DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\ 6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:0000042e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\ 00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup] "ServiceUpgrade"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate] "All"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Centrum zabezpieczeń" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\ 6d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="LocalSystem" "Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\ 00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum] "0"="Root\\LEGACY_WSCSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Uruchom plik przez dwuklik, potwierdź import do rejestru i zresetuj system. Zrób nowy log z Farbar Service Scanner.

Czy problem reklam nadal występuje? Poprzednie zadania wykonane, jeszcze drobne poprawki: Otwórz Notatnik i wklej w nim: BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] C:\Users\Bartek\Downloads\SpyHunter-installer.exe RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Enigma Software Group RemoveDirectory: C:\Users\Bartek\Desktop\FRST-OlderVersion RemoveDirectory: C:\Windows\1F7E4FF9D2E542589AE1E16E6CB3252A.TMP Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Poprawki: 1. Pominąłeś te akcje: Zadane nie bez powodu (m.in. luki). Wdróż zadanie. Na końcu po wyczyszczeniu systemu będziesz instalować najnowsze wersje. To także nie zostało wykonane i do zrobienia. 2. W pasku adresów eksploratora wklej ścieżkę C:\ProgramData i ENTER, przez SHIFT+DEL skasuj wszystkie foldery mające "krzaczaste" / "chińskie" nazwy. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: C:\Program Files\~BabylonToolbar C:\Program Files\Babylon C:\Program Files\BonanzaDeals C:\Program Files\BP DOWNLOADER C:\Program Files\Cain C:\Program Files\FLVPlayer C:\Program Files\GUMEC14.tmp C:\Program Files\IObit C:\Program Files\iRobinHood C:\Program Files\SimilarSites C:\Program Files\StartSearch plugin C:\Program Files\SupTab C:\Program Files\TuneUp Utilities 2013 C:\Program Files\v9Soft C:\Program Files\VideoConverter C:\ProgramData\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F} C:\ProgramData\{FE8D473A-6F06-4F99-B5F4-BED72B2A038C} C:\ProgramData\APN C:\ProgramData\Ask C:\ProgramData\Babylon C:\ProgramData\BabylonUpdater C:\ProgramData\BonanzaDealsLive C:\ProgramData\boost_interprocess C:\ProgramData\DAEMON Tools Lite C:\ProgramData\IBUpdaterService C:\ProgramData\IObit C:\ProgramData\McAfee C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\SaveSenseLive C:\ProgramData\Symantec C:\ProgramData\Tarma Installer C:\ProgramData\TEMP C:\ProgramData\TuneUp Software C:\ProgramData\Uniblue C:\ProgramData\WindowsProtectManger C:\Users\Dominik\AppData\Local\Akamai C:\Users\Dominik\AppData\Local\Ares C:\Users\Dominik\AppData\Local\avgchrome C:\Users\Dominik\AppData\Local\BonanzaDealsLive C:\Users\Dominik\AppData\Local\Chromium C:\Users\Dominik\AppData\Local\Cool_Mirage C:\Users\Dominik\AppData\Local\Facebook C:\Users\Dominik\AppData\Local\onlysearch C:\Users\Dominik\AppData\Local\Opera C:\Users\Dominik\AppData\Local\SaveSense C:\Users\Dominik\AppData\Local\SaveSenseLive C:\Users\Dominik\AppData\Local\TuneUp Software C:\Users\Dominik\AppData\Local\WebPlayer C:\Users\Dominik\AppData\LocalLow\BabylonToolbar C:\Users\Dominik\AppData\LocalLow\Delta C:\Users\Dominik\AppData\LocalLow\iRobinHood C:\Users\Dominik\AppData\LocalLow\Ironsource C:\Users\Dominik\AppData\LocalLow\searchresultstb C:\Users\Dominik\AppData\Roaming\*.log C:\Users\Dominik\AppData\Roaming\DAEMON Tools Lite C:\Users\Dominik\AppData\Roaming\TuneUp Software Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{CCC7B152-1D8C-11E3-B2AD-F3EF3D58318D}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HDvid Codec V1" /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Uninstall\DealPly /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Powstanie kolejny plik fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Szukaj (nie używaj "Usuń"), powstanie folder C:\AdwCleaner z logiem. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

Drobne poprawki: NA KONCIE JAPE: Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=153 CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{0BE35200-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{0BE35201-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{0BE35202-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{44EC053A-400F-11D0-9DCD-00A0C90391D3}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> No File Path HKLM\...\Run: [] => [X] HKU\S-1-5-21-1399684949-1430651134-2058239177-1000\...\Run: [DAEMON Tools Pro Agent] => "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe" HKU\S-1-5-21-1399684949-1430651134-2058239177-1000\...\Run: [KiesAirMessage] => C:\Program Files\Samsung\Kies\KiesAirMessage.exe -startup RemoveDirectory: C:\Users\Agnieszka\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Qoobox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

1. Wejdź do folderu C:\AdwCleaner\Quarantine. Wyciągnij stamtąd podane foldery i wstaw w pierwotne miejsce. Dopiero po wykonaniu tego: 2. Ostatnie poprawki. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\BHP\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Gość RemoveDirectory: C:\Users\HomeGroupUser$ Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Wszystko zrobione. Kończymy: 1. Mini poprawka. Otwórz Notatnik i wklej w nim: Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {258B1A10-E9D0-4E80-A474-874BB58482A7} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {258B1A10-E9D0-4E80-A474-874BB58482A7} /f RemoveDirectory: C:\Users\Justyna\Desktop\Stare dane programu Firefox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Usuń folder C:\Users\Justyna\Desktop\Do logów. Następnie zastosuj DelFix, wyczyść foldery Przywracania systemu i zaktualizuj Adobe Flash dla Firefox: KLIK.

Brakuje trzeciego pliku FRST Shortcut. Poproszę o link do oryginalnego tematu na pclab co było robione. Skąd podejrzenia infekcji - czy tylko na podstawie opisywanych objawów (one są ogólne i mogą być wynikiem wieeelu usterek, włącznie ze sprzętowymi), czy może wydarzyło się coś jeszcze? Rozwiń wypowiedź "Większość programów w ogóle się nie odpala" = na czym to polega, jakiś szczególny błąd, czy chodzi o zawieszenia / crashe? Jakie zachowanie występuje podczas próby włączania Avast i Kasperskiego? Na razie to tu nic nie wskazuje na infekcję jako przyczynę, choć owszem są pewne ślady (wyglądają na nieczynne). A komunikat o "nieoryginalnej kopii" jest wynikiem dysfunkcji usługi Ochrona oprogramowania: Error: (01/07/2015 05:31:51 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: The Ochrona oprogramowania service failed to start due to the following error: %%1053 Error: (01/07/2015 05:31:51 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: A timeout was reached (30000 milliseconds) while waiting for the Ochrona oprogramowania service to connect. Poproszę o log FRST niefitrowany, tzn. dla pola Services odznacz opcję Whitelist.

Pobierałeś dwa pliki, masz system 64-bit, więc tylko ten z "amd64" w nazwie pasuje: 2015-01-06 20:57 - 2015-01-06 20:57 - 00029384 _____ (Microsoft Corporation) C:\Users\user\Downloads\KB3024777-amd64.exe 2015-01-06 20:53 - 2015-01-06 20:53 - 00028864 _____ (Microsoft Corporation) C:\Users\user\Downloads\KB3024777-x86.exe Po przeprowadzonych operacjach w raporcie nie ma żadnych zmian, od góry do dołu niesygnowane pliki. 1. Na wszelki wypadek sprawdź w Panel sterowania > Programy > Programy i funkcje > Zainstalowane aktualizacje czy widać KB3004394. Jeśli nie: 2. Tu niekoniecznie pochodzenie uszkodzenia jest z przyczyn, które próbowałam naprawiać. Jest więcej możliwości, np. poważniejsze uszkodzenie katalogu catroot, którego nie można odbudować (nie odtworzy się po usunięciu). Jedyne co mogę zaproponować na chwilę obecną, to użycie Przywracania systemu. Punktów jest tu sporo: ==================== Restore Points ========================= 14-11-2014 12:54:26 Zainstalowane WUA-0614 150Mbps Wireless USB Adapter 14-11-2014 13:00:03 Windows Update 14-11-2014 13:03:27 Windows Update 14-11-2014 13:11:44 Windows Update 14-11-2014 13:46:45 Windows Update 14-11-2014 14:00:10 avast! antivirus system restore point 15-11-2014 11:46:50 Usunięte WUA-0614 150Mbps Wireless USB Adapter 15-11-2014 12:06:30 Windows Update 16-11-2014 14:30:13 Windows Update 16-11-2014 14:56:40 Windows Update 16-11-2014 19:04:33 Windows Update 16-11-2014 19:39:01 Windows Update 16-11-2014 20:09:59 Windows Update 16-11-2014 21:39:02 Windows Update 18-11-2014 19:39:29 Windows Update 19-11-2014 02:14:20 Windows Update 20-11-2014 02:09:49 Windows Update 20-11-2014 23:07:21 Windows Update 25-11-2014 14:07:28 Windows Update 28-11-2014 21:52:17 Windows Update 29-11-2014 00:16:29 Zainstalowany program DirectX 01-12-2014 22:09:39 Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.21005 02-12-2014 20:03:20 Windows Update 09-12-2014 21:13:33 Zaplanowany punkt kontrolny 09-12-2014 23:29:34 Windows Update 10-12-2014 01:00:34 Windows Update 17-12-2014 20:49:21 Zaplanowany punkt kontrolny 18-12-2014 23:30:59 Instalacja pakietu sterownika urządzenia: Anchorfree HSS VPN Adapter Karty sieciowe 18-12-2014 23:32:47 Instalacja pakietu sterownika urządzenia: Anchorfree Inc Usługa sieciowa 27-12-2014 19:11:13 Zaplanowany punkt kontrolny 05-01-2015 23:47:46 Removed Vegas Pro 13.0 (64-bit) Niestety nie wiadomo od kiedy występuje usterka systemu kryptograficznego. Proponuję wybrać na oko taką datę, kiedy komputer wydawał się sprawny, o ile możesz to połączyć czasowo.

Poprzednie zadania pomyślnie wykonane i w ostatnim raporcie FRST nie widać oznak infekcji. Na wszelki wypadek podaj jednak nowe raporty FRST (główny + Addition). To typ połączeń "Inbound", czyli przychodzące, co nie oznacza jeszcze infekcji w systemie tylko potencjalnie jej próbę / atak. Program blokuje i OK. Pytania: - Czy zgłoszenia MBAM tyczące Skype są związane z jakąś określoną czynnością w Skype? Przesył linków, otworzone konkretne okno? - W Skype: Narzędzia > Opcje > Zaawansowane > Zarządzaj dostępem innych programów do Skype > co widzisz na liście Kontroli dostępu API? IP 213.55.112.88 jest klasyfikowane jako "etiopskie": KLIK. IP pobierane u Ciebie z routera również jest z puli 213.x.x.x, ono jednak wskazuje adres polskiego providera: KLIK Tcpip\Parameters: [DhcpNameServer] 213.172.186.4 8.8.8.8 Dla absolutnej pewności mógłbyś przestawić w routerze adres Podstawowy, tzn. wprowadzić adresy Google 8.8.8.8 + 8.8.4.4. Podaj jeszcze odczyt z tego skanera: KLIK.

Na wszelki wypadek potwierdź typ infekcji szyfrującej podając log z ID Tool. Opis infekcji CTB-Locker: KLIK. Deszyfracja plików jest niemożliwa: W raportach widzę że próbowałeś dostać się do magazynu kopii cieniowych (instalacja ShadowExplorer). Nic z tego. Infekcja wymazała wszystkie punkty Przywracania systemu, jest tylko jeden z instalacji SpyHunter, zbyt nowy: ==================== Restore Points ========================= 06-01-2015 12:49:20 Installed SpyHunter Z zaszyfrowanymi danymi nie jestem w stanie nic zrobić, mogę za to usunąć czynne infekcje. Ale: To oczywisty wpis infekcji. Nie wiem czy raporty się zmieniły, bo manipulowałeś w międzyczasie, ale wygląda na to, że tu nawet poprawne konto użytkownika się nie ładuje. Logi są zrobione z kontekstu innego konta niż Wujo i na razie muszę się powstrzymać przed zadaniem operacji usuwających, gdyż nie widzę właściwego środowiska. W logu FRST linia "Loaded Profiles" w ogóle nie wykazuje żadnego konta: Loaded Profiles: (Available profiles: Wujo) Konto "Wujo" nie jest załadowane. Konto to ma następujący SID: Wujo (S-1-5-21-3326234350-4050991087-374296464-1000 - Administrator - Enabled) => C:\Users\Wujo FRST skanuje wszystkie profile, w logach brak odniesienia do tego SID. Stoi za to SID konta systemowego: HKU\S-1-5-18\...\Run: [KuhnUmmi] => regsvr32.exe "C:\ProgramData\KuhnUmmi\ZuhjIgtog.yep" To samo OTL widzi jako "current user", co potwierdza niewłaściwy kontekst konta: O4 - HKCU..\Run: [KuhnUmmi] C:\Windows\SysWow64\regsvr32.exe (Microsoft Corporation) Wszystko co opisane powyżej wskazuje na ten problem z logowaniem via tymczasowe konto: KLIK. Dla pewności poproszę o nowe logi FRST zrobione z poziomu Trybu normalnego a nie awaryjnego. I nie tylko tego brakuje. Infekcja ZeroAccess / Sirefef usuwa masowo z rejestru wszystkie usługi związane z Centrum zabezpieczeń (wscsvc), Zaporą (BFE, MpsSvc, iphlpsvc, SharedAccess), Windows Defender (WinDefend), Windows Update (BITS, wuauserv) i innymi funkcjami (iphlpsvc, PolicyAgent, RemoteAccess). Na razie nic w tym zakresie nie rób, wszystkie procedury rekonstrukcji mam obcykane. Poproszę o raport z Farbar Service Scanner. SpyHunter to program wątpliwej reputacji, kilka lat temu był oficjalnie na czarnej liście. Z listy usunięty, ale nadal niegodny zaufania, praktyki się nie zmieniły w znacznym stopniu. Program stosuje bezczelne triki reklamodawcze, by namówić do instalacji, po której się okazuje, że należy uiszczać opłaty. Wszędzie na forum zalecam deinstalację tego produktu.

Wszystko zrobione i problemu na pewno nie powinno już być. Ale jeszcze poprawki przed nami. Kolejna porcja działań: 1. Napraw uszkodzony skrót Internet Explorer: Shortcut: C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 2. Otwórz Notatnik i wklej w nim: CloseProcesses: C:\Program Files (x86)\Jump Flip C:\Program Files (x86)\Mobogenie C:\Users\Łukasz\AppData\Local\Mobogenie RemoveDirectory: C:\found.001 RemoveDirectory: C:\Users\Łukasz\Desktop\Stare dane programu Firefox EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Prezedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie używaj "Usuń") i przedstaw wynikowy log z folderu C:\AdwCleaner.

1. Wyniki AdwCleaner: wszystkie wyniki z rejestru to fałszywe alarmy na obiektach Skype Click To Call (u Ciebie pod nazwą Skype Toolbars), folder C:\Program Files\AdTrustMedia to też fałszywy alarm (folder COMODO), ale w tym przypadku i tak będzie usuwany, gdyż COMODO się pozbyłeś. Nic nie usuwaj za pomocą AdwCleaner. Po prostu ręcznie skasuj te obiekty: C:\Program Files\AdTrustMedia C:\Windows\System32\log\iSafeKrnlCall.log 2. Jeśli chodzi o odpadki ESET, to zastosuj narzędzie ESET Uninstaller . Narzędzie musi być uruchomione z poziomu Trybu awaryjnego Windows.

Kolejna porcja działań: 1. Uruchom AdwCleaner ponownie, lecz tym razem wybierz sekwencję Szukaj + Usuń. 2. Napraw uszkodzony skrót Internet Explorer: Shortcut: C:\Users\Puderniczek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Puderniczek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Folder: C:\Users\Puderniczek\AppData\Local\THQ Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Skoro nie da się go odinstalować, zostanie zastosowana metoda siłowa. Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: C:\Program Files (x86)\iWebar Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\iWebar /f Reg: reg query "HKLM\Software\Microsoft\Internet Explorer\Main" EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Zaprezentuj wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj na razie Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.