picasso

Logi z DDS nie są obowiązkowe. Usuwam. Czy logi pochodzą z czasu przed reinstalacją? Brak pozycji ESET na liście zainstalowanych, ale w systemie działa sterownik ESET. Całość wygląda jak uszkodzona instalacja bądź niekompletna deinstalacja. Nie mając pewności z jakiego czasu pochodzą raporty na razie opuszczam ten wątek. W systemie jest uszkodzone WMI - była infekcja typu "policyjnego", która przekonfigurowała usługę systemową. Infekcję wyczyszczono w niepoprawny sposób, nie skorygowano ścieżki usługi systemowej i nadal kieruje ona na plik infekcji: S3 Winmgmt; C:\PROGRA~2\A24C47AA.cpp [X] Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 Winmgmt; C:\PROGRA~2\A24C47AA.cpp [X] HKU\S-1-5-18\...\Run: [Copy] => "C:\Users\mk\AppData\Roaming\Copy\CopyAgent.exe" ShellIconOverlayIdentifiers: [1aCopyShExtError] -> {83BEA36E-7680-4598-A4DF-994426F6E78D} => C:\Users\mk\AppData\Roaming\Copy\overlay\CopyShExt.dll No File ShellIconOverlayIdentifiers: [2aCopyShExtSynced] -> {845B7388-6F85-4F32-9FD5-F02DC7882B89} => C:\Users\mk\AppData\Roaming\Copy\overlay\CopyShExt.dll No File ShellIconOverlayIdentifiers: [3aCopyShExtSyncing] -> {F6378A7A-F753-449B-AE1B-997A96132E61} => C:\Users\mk\AppData\Roaming\Copy\overlay\CopyShExt.dll No File ShellIconOverlayIdentifiers: [4aCopyShExtSyncingProg1] -> {3A511828-777D-46F8-82F4-5B530C1B3D9E} => C:\Users\mk\AppData\Roaming\Copy\overlay\CopyShExt.dll No File ShellIconOverlayIdentifiers: [5aCopyShExtSyncingProg2] -> {C8C88204-5B14-40EC-BA72-8AEBC762047E} => C:\Users\mk\AppData\Roaming\Copy\overlay\CopyShExt.dll No File ShellIconOverlayIdentifiers: [6aCopyShExtSyncingProg3] -> {ACFF45C3-3EEB-4351-86C2-6696BA264239} => C:\Users\mk\AppData\Roaming\Copy\overlay\CopyShExt.dll No File ShellIconOverlayIdentifiers: [7aCopyShExtSyncingProg4] -> {29AF997F-488B-46F0-AE78-7146F1B89CC3} => C:\Users\mk\AppData\Roaming\Copy\overlay\CopyShExt.dll No File ShellIconOverlayIdentifiers: [8aCopyShExtSyncingProg5] -> {03F9AD29-1C78-4B66-8890-B177B5430C53} => C:\Users\mk\AppData\Roaming\Copy\overlay\CopyShExt.dll No File CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{03F9AD29-1C78-4B66-8890-B177B5430C53}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{06EEE834-461C-42C2-8DCF-1502B527B1F9}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{0E55CBE1-B06A-49B6-AD8D-9EFAA0160C6F}\InprocServer32 -> C:\Users\Janusz\AppData\Local\Google\Update\1.3.21.57\psuser.dll No File CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{218D2740-5A50-42A8-AB9F-62FF1B168782}\InprocServer32 -> C:\Users\Janusz\AppData\Local\Google\Update\1.3.21.69\psuser.dll No File CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{23170F69-40C1-278A-1000-000100020000}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{29A96789-9595-4947-BEDB-0FCC776F7DB8}\InprocServer32 -> C:\Users\Janusz\AppData\Local\Google\Update\1.2.183.39\goopdate.dll No File CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{29AF997F-488B-46F0-AE78-7146F1B89CC3}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{3A511828-777D-46F8-82F4-5B530C1B3D9E}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{4336A54D-038B-4685-AB02-99BB52D3FB8B}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{4DF0C730-DF9D-4AE3-9153-AA6B82E9795A}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{6311429E-2F1A-4777-880F-C7289FD10169}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{76765B11-3F95-4AF2-AC9D-EA55D8994F1A}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{77F419AA-771A-45FF-AC66-7567FA3243D3}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{807C1E6C-1D00-453F-B920-B61BB7CDD997}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{82C588E7-E54B-408C-9F8C-6AF9ADF6F1E9}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{83BEA36E-7680-4598-A4DF-994426F6E78D}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{845B7388-6F85-4F32-9FD5-F02DC7882B89}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{942BC614-676C-464E-B384-D3202AAA02DA}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{ACFF45C3-3EEB-4351-86C2-6696BA264239}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{AE054212-3535-4430-83ED-D501AA6680E6}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{B8967F85-58AE-4F46-9FB2-5D7904798F4B}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{C8C88204-5B14-40EC-BA72-8AEBC762047E}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{DB25D157-76D4-41C1-97B5-359E4A4CECEB}\InprocServer32 -> C:\Users\Janusz\AppData\Local\Google\Update\1.3.21.65\psuser.dll No File CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{DB450007-9764-11D6-819E-005056C00008}\localserver32 -> C:\PROGRA~1\DUMETE~1\DUMeter.exe No File CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{E68D0A50-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{E68D0A51-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{E68D0A52-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{E68D0A53-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{EDB5F444-CB8D-445A-A523-EC5AB6EA33C7}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{F3364BA0-65B9-11CE-A9BA-00AA004AE837}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{F6378A7A-F753-449B-AE1B-997A96132E61}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-428840236-531340148-3836443965-1000_Classes\CLSID\{FBF23B40-E3F0-101B-8488-00AA003E56F8}\InprocServer32 -> No File Path HKU\S-1-5-21-428840236-531340148-3836443965-1000\Software\Classes\.exe: => HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKLM -> DefaultScope value is missing. SearchScopes: HKU\S-1-5-21-428840236-531340148-3836443965-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ares Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz ponowie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Wartość DhcpNameServer jest dynamicznie aktualizowana z routera. Owszem, rozbieżność jest możliwa. Na forum był tylko jeden lub dwa przypadki takiej rozbieżności między wartością w rejestrze Windows a ustawieniami routera. W jednym z przypadków Windows nie był po prostu w ogóle podłączony do sieci (nie był w stanie zaktualizować danych) i log nadal pokazywał wpis infekcji, mimo że użytkownik już zmienił ustawienia na poziomie routera - dane się automatycznie skorygowały po podłączeniu do sieci i restarcie Windows. I tak jak mówisz, objawy mają się nijak do infekcji routera.

Log z USBFix wskazywał infekcję typu Gamarue: F:\ -> Removable disk # 15 Gb (11 Gb free - 75%) [PUBLIC] # NTFS ################## | F:\ - Removable drive (NTFS) | [13/05/2014 - 12:48:30 | SH | 76 Ko] - [hxxps://www.virustotal.com/file/1e66332f3f9eaee26cb294afddddd2889b30a5398359ec991a14307c6314d7a3/analysis/1401732362/ - (0/52)] - F:\glqsvsgjty.vbs [21/12/2014 - 01:45:00 | D] - F:\ Pierwszy plik jest szkodliwy. Zaś ta ostatnia pozycja, czyli folder "bez nazwy", to folder gdzie infekcja przesuwa wszystkie dane użytkownika. Twierdzisz: Wg raportu folder "bez nazwy" nie był ukryty, ale nie wiadomo jaki był stan obiektów wewnątrz. Pokaż na obrazku co widzisz.

Problem nie jest związany z infekcją i zostaje przeniesiony do innego działu. Nie podałeś o jakim systemie mowa, co wykonywałeś przed powstaniem problemu (przepinanie urządzeń, instalacje, etc.). Jeśli chodzi o logi, to można podać log FRST wykonany z poziomu środowiska zewnętrznego. Od razu mówię, że mam na uwadze dane takie tak informacje o ilości dysków i podziale na partycje, a nie aspekty infekcji.

Zadania wykonane. Na zakończenie uruchom DelFix oraz wyczyść foldery Przywracania systemu (o ile coś powstało, na początku brak punktów): KLIK.

Temat przenoszę do działu Windows. Żadnych śladów infekcji. Do korekty będą tylko drobne wpisy adware oraz puste, ale to na razie nie ma znaczenia i skup się na: Sprawdź czy transfer dysku nie został obniżony z DMA do PIO. Instrukcje są rozpisane w wątku Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

Jeśli problem nadal aktualny, poproszę o nowy zestaw raportów FRST (wszystkie trzy) zrobiony z najnowszej wersji FRST.

Żadnych oznak infekcji. Temat przenoszę do działu Sieci. DNS pobierane z routera jest poprawne, nie ma tu infekcji routera: Tcpip\Parameters: [DhcpNameServer] 192.168.1.1

Kończymy: Zastosuj DelFix, wyczyść foldery Przywracania systemu i uzupełnij instalacje Adobe/Java: KLIK.

Na razie czyszczenie jest w toku. Nie podałeś pliku fixlog, który powstał podczas przetwarzania skryptu FRST. Nie uruchamiaj Fix ponownie, chodzi o log który już jest na dysku.

Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {78B8DC29-5BF2-41F5-9C40-5851FB83CC7A} - \pricemetertask No Task File Task: {9F5D033B-2C75-40EE-A5B1-849E2AB6C49D} - \pricemeterwatcher No Task File HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\...\RunOnce: [ALLPlayer Remote Update] => C:\Users\Dorota\AppData\Local\Temp\ALLRemote.exe [1961744 2015-01-08] (ALLPlayer ) C:\Program Files\WinZipper C:\ProgramData\Avg_Update_1214tb C:\ProgramData\WindowsMangerProtect C:\Users\Dorota\AppData\Local\PriceMeter EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Powstanie kolejny plik fixlog.txt. 2. Napraw uszkodzony skrót Internet Explorer: Shortcut: C:\Users\Dorota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Dorota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres mysearch.avg.com, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres mysearch.avg.com Ponownie zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Jeśli chodzi o czyszczenie systemu z adware, to już skończyliśmy. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Jeśli chodzi o przywrócenie programów zabezpieczających, to nie widzę przeszkód by przejść do tego etapu.

Kończymy: Usuń pobrane narzędzia z D:\Pobrane\diagnostyka. Następnie zastosuj DelFix, wyczyść foldery Przywracania systemu oraz wykonaj aktualizacje Adobe/Java/IE: KLIK.

Temat doprowadzam do formy oczekiwanej od początku. Nie podałeś o jakiej stronie mowa - można się jedynie domyślać, że prawdopodobnie chodzi o trovi.com, gdyż w systemie działa adware Search Protect. Działania wstępne: 1. Przez Panel sterowania odinstaluj adware Search Protect. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj sponsoringowe rozszerzenie Avast SafePrice. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Wypowiedz się jaka jest sytuacja bieżąca.

Zadanie wykonane zgodnie z instrukcją (miała być zaznaczona tylko opcja usuwania narzędzi), a czyszczenie folderów Przywracania systemu bezpośrednio w opcjach Windows. Skasuj z dysku plik C:\Delfix.txt. Swoją drogą to chyba jest jakiś problem z AdwCleaner. U mnie wczoraj pojawił się ten sam efekt: okno UAC, proces w tle i nic się nie dzieje.

Miałeś podać jeszcze świeże logi FRST na wszelki wypadek.

aswMBR Strona domowa Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit Oficjalne autoryzowane linki pobierania: Pobierz Program nieaktualizowany od 2014 i ostatecznie zlikwidowany przez Avast. Obecnie w/w strona domowa kieruje do Free Rootkit Scanner and Removal Tool, czyli pobierania Avast Free Antivirus. aswMBR można nadal ściągnąć z przycisku widocznego powyżej, ale nie wiadomo jak długo narzędzie będzie dostępne. aswMBR - Narzędzie od Gmera, stworzone dla ekipy Avast, dedykowane detekcji rootkitów MBR, VBR oraz infekcji sterowników (pierwotnie orientacja tylko na stare warianty TDL3/TDL4). Narzędzie jest prostsze obsługowo niż pierwowzór czyli konsolowy MBR.EXE i go zastępuje (MBR.EXE nie jest rozwijany i został usunięty z oficjalnej strony GMER), gdyż polecenia zostały przeobrażone w buttoniki. Do bardziej kompleksowego skanu zalecam jednak TDSSKiller i/lub MBAR. INSTRUKCJA URUCHOMIENIA: Uruchamiamy pobrany plik przez dwuklik. Vista do Windows 10: wymagany tryb administracyjny i potwierdzenie dialogu UAC. Jeśli komputer obsługuje technologię wirtualizacji sprzętowej, zostanie zadane pytanie czy wykorzystać ją w skanie: Następnie padnie propozycja ściągania definicji Avast wspomagających skanowanie. Jest to krok opcjonalny i nie wymagany, by przeprowadzić skan zasadniczy. Opcje Dostępne operacje: Scan - Skanowanie w trybie tylko do odczytu FixMBR - Usuwanie infekcji w MBR Fix - usuwanie infekcji TDL4 Save log - Zapis raportu tekstowego (równocześnie i zrzucanie MBR do pliku) Trace disk IO calls - Dodatkowe śledzenie zapytań IO dysku Ponadto pliki wykryte jako "podejrzane" można skopiować spod narzędzia w celu analizy np. na VirusTotal. Skanowanie Rozpoczynamy diagnostykę przyciskiem Scan. W oknie pojawią się wyniki. Jeśli aswMBR wykryje konkretną infekcję, wynik jest stosownie opisany i zakreślony w kolorze czerwonym. Szerszy wykaz notujący podejrzaną aktywność uzyskamy po zaznaczeniu opcji Trace disk IO calls. Usuwanie infekcji W celu usunięcia infekcji z MBR należy wybrać aktywny przycisk FixMBR. Postęp naprawczy jest notowany stosownymi komunikatami. Po pomyślnie przeprowadzonej operacji padnie prośba o restart komputera. Przycisk FixMBR jest niedostępny, jeśli narzędzie: nie wykryło infekcji wcale, nie potrafi jej zdiagnozować w sposób jednoznaczny lub jest to rootkit infekujący sterowniki systemowe a nie MBR.

Tworzenie raportów z poziomu startującego Windows: Proszę pobierać narzędzia tylko i wyłącznie z podanych tu autoryzowanych linków, a nie z innych zewnętrznych portali. Wysoka podatność pobrania zdezaktualizowanej wersji i złapania portalowych "bonusów". Obowiązkowe raporty dołączane do każdej prośby o pomoc: FRST Tylko na prośbę moderatora (proszę nie załączać, o ile nie padnie taka prośba): W zależności od przebiegu określonego tematu możemy poprosić o dodatkowe materiały: Farbar Service Scanner (FSS) MiniToolBox Stare nieaktualizowane narzędzia: Narzędzia archiwalne Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione.

Brakuje trzeciego pliku FRST Shortcut. 1. Rozpocznij od deinstalacji adware poprzez Panel sterowania: AnyProtect, BlockAndSurf, ConvertAd, EpicScale Application, foxydeal, GamesDesktop 008.18, Remote Desktop Access (VuuPC), VooUpdate, YouTube Accelerator. Od razu odinstaluj też starą wersję Adobe Flash Player 15 Plugin. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy logi.

To oznacza dodatkową infekcję bootkit i to jest obecnie prawdopodobna przyczyna zablokowania Windows. Wejdź w Tryb awaryjny Windows i podaj raport z Kaspersky TDSSKiller. Jeśli coś wykryje, przyznaj Skip i tylko log dostarcz. Swoją drogą, GMER (orientowany na rootkit-infekcje) wcale nie został podany. Wspomniałeś że go "dołączasz", ale takiego załącznika brak w pierwszym poście.

Akcje pomyślnie wykonane. Zastosuj DelFix, wyczyść foldery Przywracania systemu i zainstaluj najnowsze wersje wymaganych programów: KLIK. Nie widzę przeszkód. Na wszelki wypadek możesz zmienić login do banku. Jeśli chodzi o program, to może nada się darmowy ScreenBright (po prawej stronie klik w "Download from Softpedia" i wybierz pierwszy mirror). Mam też pytanie, a co ze zwyczajnymi ustawieniami, jest z tym jakiś problem: KLIK?

Wszystko sprawnie poszło. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: Folder: C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\LocalLow RemoveDirectory: C:\Documents and Settings\Jarek\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\cache RemoveDirectory: C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Opera Software RemoveDirectory: C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Sun RemoveDirectory: C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\TDSSKiller_Quarantine RemoveDirectory: C:\WINDOWS\$NtUninstallKB34492$ Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Rekonstrukcja skasowanych przez ZeroAccess usług. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego" "DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\ 6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:0000042e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\ 00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup] "ServiceUpgrade"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate] "All"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Centrum zabezpieczeń" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\ 6d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="LocalSystem" "Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\ 00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum] "0"="Root\\LEGACY_WSCSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Uruchom plik przez dwuklik, potwierdź import do rejestru i zresetuj system. Zrób nowy log z Farbar Service Scanner.

Czy problem reklam nadal występuje? Poprzednie zadania wykonane, jeszcze drobne poprawki: Otwórz Notatnik i wklej w nim: BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] C:\Users\Bartek\Downloads\SpyHunter-installer.exe RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Enigma Software Group RemoveDirectory: C:\Users\Bartek\Desktop\FRST-OlderVersion RemoveDirectory: C:\Windows\1F7E4FF9D2E542589AE1E16E6CB3252A.TMP Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Poprawki: 1. Pominąłeś te akcje: Zadane nie bez powodu (m.in. luki). Wdróż zadanie. Na końcu po wyczyszczeniu systemu będziesz instalować najnowsze wersje. To także nie zostało wykonane i do zrobienia. 2. W pasku adresów eksploratora wklej ścieżkę C:\ProgramData i ENTER, przez SHIFT+DEL skasuj wszystkie foldery mające "krzaczaste" / "chińskie" nazwy. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: C:\Program Files\~BabylonToolbar C:\Program Files\Babylon C:\Program Files\BonanzaDeals C:\Program Files\BP DOWNLOADER C:\Program Files\Cain C:\Program Files\FLVPlayer C:\Program Files\GUMEC14.tmp C:\Program Files\IObit C:\Program Files\iRobinHood C:\Program Files\SimilarSites C:\Program Files\StartSearch plugin C:\Program Files\SupTab C:\Program Files\TuneUp Utilities 2013 C:\Program Files\v9Soft C:\Program Files\VideoConverter C:\ProgramData\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F} C:\ProgramData\{FE8D473A-6F06-4F99-B5F4-BED72B2A038C} C:\ProgramData\APN C:\ProgramData\Ask C:\ProgramData\Babylon C:\ProgramData\BabylonUpdater C:\ProgramData\BonanzaDealsLive C:\ProgramData\boost_interprocess C:\ProgramData\DAEMON Tools Lite C:\ProgramData\IBUpdaterService C:\ProgramData\IObit C:\ProgramData\McAfee C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\SaveSenseLive C:\ProgramData\Symantec C:\ProgramData\Tarma Installer C:\ProgramData\TEMP C:\ProgramData\TuneUp Software C:\ProgramData\Uniblue C:\ProgramData\WindowsProtectManger C:\Users\Dominik\AppData\Local\Akamai C:\Users\Dominik\AppData\Local\Ares C:\Users\Dominik\AppData\Local\avgchrome C:\Users\Dominik\AppData\Local\BonanzaDealsLive C:\Users\Dominik\AppData\Local\Chromium C:\Users\Dominik\AppData\Local\Cool_Mirage C:\Users\Dominik\AppData\Local\Facebook C:\Users\Dominik\AppData\Local\onlysearch C:\Users\Dominik\AppData\Local\Opera C:\Users\Dominik\AppData\Local\SaveSense C:\Users\Dominik\AppData\Local\SaveSenseLive C:\Users\Dominik\AppData\Local\TuneUp Software C:\Users\Dominik\AppData\Local\WebPlayer C:\Users\Dominik\AppData\LocalLow\BabylonToolbar C:\Users\Dominik\AppData\LocalLow\Delta C:\Users\Dominik\AppData\LocalLow\iRobinHood C:\Users\Dominik\AppData\LocalLow\Ironsource C:\Users\Dominik\AppData\LocalLow\searchresultstb C:\Users\Dominik\AppData\Roaming\*.log C:\Users\Dominik\AppData\Roaming\DAEMON Tools Lite C:\Users\Dominik\AppData\Roaming\TuneUp Software Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{CCC7B152-1D8C-11E3-B2AD-F3EF3D58318D}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HDvid Codec V1" /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Uninstall\DealPly /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Powstanie kolejny plik fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Szukaj (nie używaj "Usuń"), powstanie folder C:\AdwCleaner z logiem. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

Drobne poprawki: NA KONCIE JAPE: Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=153 CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{0BE35200-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{0BE35201-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{0BE35202-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{44EC053A-400F-11D0-9DCD-00A0C90391D3}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1399684949-1430651134-2058239177-1000_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> No File Path HKLM\...\Run: [] => [X] HKU\S-1-5-21-1399684949-1430651134-2058239177-1000\...\Run: [DAEMON Tools Pro Agent] => "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe" HKU\S-1-5-21-1399684949-1430651134-2058239177-1000\...\Run: [KiesAirMessage] => C:\Program Files\Samsung\Kies\KiesAirMessage.exe -startup RemoveDirectory: C:\Users\Agnieszka\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Qoobox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.