picasso

ComboFix to tu nie pomógł, podane logi definitywnie pochodzą z okresu już po jego uruchomieniu, a w systemie nadal jest aktywne adware (prócz tego co powiedziane, także adware "Better Finder" w Firefox). Przyczyna nabycia adware to pobieranie z portali przy użyciu "downloaderów": KLIK. Tu jeden z plików który doprowadził do zagnieżdżenia się większości obiektów: 2015-01-01 16:51 - 2015-01-01 16:51 - 00708320 _____ (komputerswiat.pl) C:\Users\Agnieszka\Downloads\All CPU Meter 4.7.3.exe Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj adware Click Caption 1.10.0.5 oraz starą wersję Adobe Flash Player 15 ActiveX. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [473088 2015-01-01] (Fuyu LIMITED) [File not signed] R3 ALSysIO; \??\C:\Users\AGNIES~1\AppData\Local\Temp\ALSysIO.sys [X] R3 catchme; \??\C:\Users\AGNIES~1\AppData\Local\Temp\catchme.sys [X] U3 mbr; \??\C:\ComboFix\mbr.sys [X] Task: {81A20564-DCD9-4860-8CA3-197BD1DD1AD8} - System32\Tasks\Core Temp Autostart Agnieszka => C:\Users\AGNIES~1\AppData\Local\Temp\Rar$EX00.451\Core Temp.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1399684949-1430651134-2058239177-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKU\S-1-5-21-1399684949-1430651134-2058239177-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch BHO: File Sanitizer for HP ProtectTools -> {3134413B-49B4-425C-98A5-893C1F195601} -> C:\Program Files\Hewlett-Packard\File Sanitizer\IEBHO.dll No File FF HKLM\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\Bin\FirefoxExt C:\Program Files\ClickCaption_1.10.0.5 C:\Program Files\Opera C:\ProgramData\WindowsMangerProtect C:\Users\Agnieszka\AppData\Local\Opera Software C:\Users\Agnieszka\AppData\Roaming\Opera Software C:\Users\Agnieszka\AppData\Roaming\omiga-plus C:\Users\Agnieszka\AppData\Roaming\WebTest C:\Users\Agnieszka\Downloads\All CPU Meter 4.7.3.exe C:\Users\Agnieszka\Downloads\installspeedfan445_[www.programosy.pl].exe C:\Users\Agnieszka\Downloads\installspeedfan437.exe C:\Users\Agnieszka\Downloads\pobierz-instsf450.exe C:\Users\jape\Desktop\Continue SpeedFan installation.lnk C:\Users\jape\Downloads\*(*)-dp*.exe C:\Users\jape\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\jape\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\KACPER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. W systemie są aż trzy konta: ========================= Accounts: ========================== Agnieszka (S-1-5-21-1399684949-1430651134-2058239177-1004 - Administrator - Enabled) => C:\Users\Agnieszka jape (S-1-5-21-1399684949-1430651134-2058239177-1000 - Administrator - Enabled) => C:\Users\jape KACPER (S-1-5-21-1399684949-1430651134-2058239177-1005 - Limited - Enabled) => C:\Users\KACPER Każde musi zostać sprawdzone z osobna. Zaloguj się po kolei na każde poprzez pełny restart komputera (a nie "Wyloguj" czy "Przełącz użytkownika") i zrób na każdym zestaw logów FRST (główny + Addition, ale bez Shortcut). Na koncie limitowanym KACPER uruchom FRST poprzez dwuklik a nie "Uruchom jako Administrator" (zmieni się kontekst konta). Dołącz też plik fixlog.txt.

Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {abbda6e4-1fdf-45e9-8feb-7ffcdf19a253}Gw64; C:\Windows\System32\drivers\{abbda6e4-1fdf-45e9-8feb-7ffcdf19a253}Gw64.sys [48784 2014-12-26] (StdLib) R3 SPBIUpdd; C:\Program Files\Common Files\ShopperPro\spbiw.sys [41856 2014-12-25] () R2 SPBIUpd; C:\Program Files\Common Files\ShopperPro\spbiu.exe [2346880 2014-12-25] (ShopperPro) S2 Update SourceApp; "C:\Program Files (x86)\SourceApp\updateSourceApp.exe" [X] Task: {091DA62D-6D95-41FA-B7AF-2023BAA7FF6C} - System32\Tasks\ShopperProJSUpd => C:\Program Files (x86)\ShopperPro\updater.exe [2014-12-25] (Goobzo) Task: {2E1B38AA-EB1F-4DDC-B90E-B49BA82DEE75} - System32\Tasks\Installer_iwebar => C:\Users\Dominik\AppData\Local\Installer\Installiwebar_9105\ins_postInst.exe [2014-12-27] () Task: {65BB00BC-E915-4588-8CE1-6880A2AF36D8} - System32\Tasks\ShopperPro => C:\Program Files (x86)\ShopperPro\ShopperPro.exe [2014-12-25] (Goobzo LTD) Task: {9EA83927-78C0-4784-B7EB-74108A37C015} - System32\Tasks\SPBIW_UpdateTask_Time_3830363134393637372d45552a6c505a41574a415734 => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 Task: {B3CC3158-245C-4596-A52B-109AE2470534} - System32\Tasks\Installer_sense => C:\Users\Dominik\AppData\Local\Installer\Installsense_24577\ins_postInst.exe [2014-12-27] () HKLM\...\Run: [Launch LCDMon] => "C:\Program Files\Common Files\Logitech\LCD Manager\lcdmon.exe" HKLM-x32\...\Run: [] => [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction BHO: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro64.dll (Goobzo Ltd.) BHO: No Name -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> No File BHO-x32: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro.dll (Goobzo Ltd.) FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-361420388-1239155411-725962489-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 C:\Program Files\Common Files\ShopperPro C:\Program Files (x86)\ShopperPro C:\ProgramData\ShopperPro C:\ProgramData\Temp C:\Users\Dominik\AppData\Local\Installer C:\Users\Dominik\Desktop\Programy\DAEMON Tools Lite.lnk C:\Users\Public\Documents\ShopperPro C:\Windows\System32\drivers\{abbda6e4-1fdf-45e9-8feb-7ffcdf19a253}Gw64.sys Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\ShopperPro /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Dominik\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Dominik\AppData\Roaming\Opera Software\Opera Stable\Preferences" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Spodziewałam się tego patrząc na podejrzany wyciąg z GMER. Tu nie tylko jest infekcja sterownika serial.sys (modyfikacja ZeroAccess), ale także bootkit - Rootkit.Boot.Cidox.B. Działania wstępne: Z POZIOMU TRYBU AWARYJNEGO: 1. Uruchom TDSSKiller ponownie, jednak tym razem pozostaw wszystkie akcje domyślnie ustawione przez narzędzie i pozwól przeprowadzić leczenie. Zresetuj komputer. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: DeleteJunctionsInDirectory: C:\WINDOWS\$NtUninstallKB34492$ ShellIconOverlayIdentifiers: [1SecureIconsProvider] -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Secure\Icons\SecureIconsProvider.dll () HKU\S-1-5-21-1417001333-746137067-839522115-1004\...\Run: [Otsics] => C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Otsics\tmpD2.exe [145256 2014-10-24] () HKU\S-1-5-21-1417001333-746137067-839522115-1004\...\Run: [Ektion] => regsvr32.exe "C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Ektion\kbdcomex54.dll" HKU\S-1-5-21-1417001333-746137067-839522115-1004\...\Run: [YjPack] => C:\WINDOWS\system32\regsvr32.exe "C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Otsics\AcroIEHelperShim.DLL" HKU\S-1-5-21-1417001333-746137067-839522115-1004\...\Run: [ChromeUpdate] => C:\Documents and Settings\Jarek\Dane aplikacji\FrameworkUpdate\ChromeUpdate.exe [233984 2014-11-26] (Company name goes here) Winlogon\Notify\klogon: C:\WINDOWS\system32\klogon.dll (Kaspersky Lab) BootExecute: autocheck autochk /k:C * S2 SecurityCenterServer4196545509; "C:\WINDOWS\system32\deurge.exe" -service "C:\Documents and Settings\Jarek\Dane aplikacji\Aguhxyro\googy.exe" S2 ASInsHelp; \??\C:\WINDOWS\system32\drivers\AsInsHelp32.sys [X] U3 awdw3w0e; No ImagePath S0 Chl27; No ImagePath S3 ddxgb; \??\C:\DOCUME~1\Jarek\USTAWI~1\Temp\ddxgb.sys [X] S0 Hmq51; No ImagePath S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S3 Video3D; No ImagePath HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Chl27.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Hmq51.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Chl27.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Hmq51.sys => ""="Driver" Winsock: Catalog5 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5 03 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = URLSearchHook: HKU\S-1-5-21-1417001333-746137067-839522115-1004 - (No Name) - {bfc39e47-d643-4dc2-aa1d-61377501c844} - No File Toolbar: HKU\.DEFAULT -> No Name - {2E924F4F-67F0-4BD8-9560-49F468E843D2} - No File Handler: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\system32\Msdxm6.ocx (Microsoft Corporation) CustomCLSID: HKU\S-1-5-21-1417001333-746137067-839522115-1004_Classes\CLSID\{6835F21B-AD12-485C-A8FD-D7DF60C72A69}\InprocServer32 -> wbocx32.ocx No File CustomCLSID: HKU\S-1-5-21-1417001333-746137067-839522115-1004_Classes\CLSID\{6AC91CBD-DB47-406A-AF60-90F8150FA5B8}\InprocServer32 -> wbocx32.ocx No File FF Plugin: @videolan.org/vlc,version=0.8.6h -> C:\Program Files\VideoLAN\VLC\npvlc.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Secure C:\Documents and Settings\All Users\Dane aplikacji\PPLive C:\Documents and Settings\All Users\Dane aplikacji\SecuriSoft SARL C:\Documents and Settings\Jarek\Dane aplikacji\*.exe C:\Documents and Settings\Jarek\Dane aplikacji\.BitTornado C:\Documents and Settings\Jarek\Dane aplikacji\addpcs C:\Documents and Settings\Jarek\Dane aplikacji\Aguhxyro C:\Documents and Settings\Jarek\Dane aplikacji\atube C:\Documents and Settings\Jarek\Dane aplikacji\DAEMON Tools Lite C:\Documents and Settings\Jarek\Dane aplikacji\DMCache C:\Documents and Settings\Jarek\Dane aplikacji\FrameworkUpdate C:\Documents and Settings\Jarek\Dane aplikacji\iliveto C:\Documents and Settings\Jarek\Dane aplikacji\Moyea C:\Documents and Settings\Jarek\Dane aplikacji\Opera Software C:\Documents and Settings\Jarek\Dane aplikacji\PPLive C:\Documents and Settings\Jarek\Dane aplikacji\Publish Providers C:\Documents and Settings\Jarek\Dane aplikacji\Warez C:\Documents and Settings\Jarek\Dane aplikacji\WebCompiler3 C:\Documents and Settings\Jarek\Dane aplikacji\Xi C:\Documents and Settings\Jarek\Dane aplikacji\Ylgyas C:\Documents and Settings\Jarek\Dane aplikacji\Yzwexupa C:\Documents and Settings\Jarek\Pulpit\Icons\Programs\1\DAEMON Tools Pro.lnk C:\Documents and Settings\Jarek\Pulpit\Icons\Programs\1\YASU.exe.lnk C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\~wmrg C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Google\Chrome C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Ektion C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Otsics C:\Program Files\Mozilla Firefox\extensions C:\Program Files\mozilla firefox\plugins C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\deurge.exe C:\WINDOWS\system32\klogon.dll Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Search Page" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v SearchMigratedDefaultName /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v SearchMigratedDefaultURL /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh winsock reset CMD: dir /a "C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji" CMD: dir /a C:\WINDOWS\$NtUninstallKB34492$ Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Z POZIOMU TRYBU NORMALNEGO: Jeśli wszystko pójdzie dobrze, system powinien poprawnie się uruchomić. Kolejne działania: 1. Przez Dodaj/Usuń programy odinstaluj stare dziurawe wersje Adobe Flash Player 13 ActiveX, Adobe Flash Player 15 Plugin, Java 7 Update 67, Java™ 6 Update 5, Java™ 6 Update 7 oraz scrackowany ESET NOD32 Antivirus + NOD32 v3.0.642 FiX1.2 by TemDono. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie potem przeinstalować. 3. Zrób nowe logi: FRST z opcji Scan (zaznacz ponownie pole Addition, by powstały dwa logi) oraz GMER. Dołącz też plik fixlog.txt.

Nazwy logów sugerują, że wyciągasz je z folderu C:\FRST\Logs. Tam jest archiwum, bieżący log jest zawsze w ścieżce z której uruchamiano FRST, czyli w tym przypadku na Pulpicie. Przeprowadź następujące działania: 1. Odinstaluj odpadki, stare wersje (potem będziemy instalować najnowsze) oraz instalacje sponsorowane: - Przez Dodaj/Usuń programy: Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, BitTorrentControl_v12 Toolbar, Java 7 Update 21, McAfee Security Scan Plus. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.interia.pl/?utm_source=is" FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe HKU\S-1-5-21-1343024091-1336601894-839522115-1003\...\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] => "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" S1 ccnfd_1_10_0_4; system32\drivers\ccnfd_1_10_0_4.sys [X] U1 eabfiltr; No ImagePath S3 NMIndexingService; "C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe" [X] S2 Update Faster Light; "C:\Program Files\Faster Light\updateFasterLight.exe" [X] C:\Documents and Settings\All Users\Dane aplikacji\AVG C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_0814tb C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Menu Start\Programy\Lightworks C:\Documents and Settings\Martyna1\Dane aplikacji\AVG C:\Documents and Settings\Martyna1\Dane aplikacji\IHlpr C:\Documents and Settings\Martyna1\Ustawienia lokalne\Dane aplikacji\Avg C:\Documents and Settings\Martyna1\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files C:\Documents and Settings\LocalService\Dane aplikacji\AVG C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\AVG C:\Program Files\Firefox(13108)-dp.exe C:\Program Files\Google Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: sc config "PLAY ONLINE. RunOuc" start= disabled EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Wszystko zrobione. Nie odpowiedziałeś mi na pytanie:

W jaki sposób? Opisz na czym polega "fatalne działanie". Ogólnie na razie mogę tylko tyle stwierdzić, że Firefox jest tu dość przeładowany (dużo wtyczek i rozszerzeń zewnętrznych) oraz są jakieś problemy ze strukturą plików na dysku. Temat migruję do działu Windows. Nie ma tu żadnych oznak infekcji, rysują się inne zagadnienia. Do usunięcia tylko puste wpisy, odpadkowe katalogi po deinstalacjach i zbędne nieczynne polityki wprowadzone przez jakieś narzędzie "resetujące", ale to tylko kosmetyka. Widzę tu inne rodzaje poważniejszych nieinfekcyjnych problemów. Po pierwsze, wygląda na to, że jest tu defekt struktury plików (może być konsekwencją ogólnych problemów z dyskiem). Jest kilka śladów to punktujących, tzn. są tworzone replikacje katalogów kont (np. All Users, All Users.WINDOWS ...) i programów z suffiksami numerycznymi (np. potrójne wystąpienie Flashblock) oznaczające utratę dostępu do poprzednich wystąpień, a także te same katalogi są listowane w raporcie podwójnie co jest oznaką nieprawidłowości, np.: 2014-12-27 13:48 - 2014-12-27 13:48 - 00000000 ____D () C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\WinRAR 2014-12-27 13:48 - 2014-12-27 13:48 - 00000000 ____D () C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\WinRAR Po drugie, Dziennik zdarzeń sypie błędami modułów Foxit i filtra ffdshow, a także sugeruje niespójność Repozytorium WMI: Application errors: ================== Error: (12/24/2014 11:03:50 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Aplikacja powodująca błąd mpc-hc.exe, wersja 1.7.3.147, moduł powodujący błąd ffdshow.ax, wersja 1.3.4530.0, adres błędu 0x0021be27. Przetwarzanie zdarzenia określonego nośnika dla [mpc-hc.exe!ws!] Error: (12/23/2014 08:54:14 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Aplikacja powodująca błąd drwtsn32.exe, wersja 5.1.2600.0, moduł powodujący błąd dbghelp.dll, wersja 5.1.2600.5512, adres błędu 0x0001295d. Przetwarzanie zdarzenia określonego nośnika dla [drwtsn32.exe!ws!] Error: (12/23/2014 08:54:09 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Aplikacja powodująca błąd explorer.exe, wersja 6.0.2900.5512, moduł powodujący błąd foxitpdfinfo.dll, wersja 1.0.0.903, adres błędu 0x0002f7b8. Przetwarzanie zdarzenia określonego nośnika dla [explorer.exe!ws!] Error: (12/22/2014 07:52:08 PM) (Source: SecurityCenter) (EventID: 1802) (User: ) Description: Usługa Centrum zabezpieczeń systemu Windows nie może ustanowić kwerend zdarzeń z WMI, aby monitorować zaporę i program antywirusowy innej firmy. Wstępnie: 1. Wykonaj sprawdzanie dysku: Start > Uruchom > cmd, wklep komendę chkdsk /f /r i ENTER, na pytanie o dezinstalację woluminu odpowiedz twierdząco z klawiatury i zresetuj system. Podczas restartu powinno się wykonać sprawdzanie dysku. Start > Uruchom > eventvwr.msc, w sekcji Aplikacja wyszukaj zdarzenie Winlogon numer 1001, pobierz jego Szczegóły, skopiuj je i wklej do posta. 2. Następnie odinstaluj starą wersję Adobe Flash Player 11 ActiveX oraz programy tworzące błędy Foxit PDF Editor, K-Lite Codec Pack 10.4.0 Full. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: rundll32 wbemupgd, UpgradeRepository CMD: netsh firewall reset Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKU\S-1-5-18\Software\Classes /f Reg: reg delete HKU\S-1-5-19\Software\Classes /f Reg: reg delete HKU\S-1-5-20\Software\Classes /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt"/f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies /f Reg: reg delete HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies /f Reg: reg delete HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies /f HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-343818398-1757981266-839522115-1003\Software\Classes\.exe: exefile => "%1" %* HKU\S-1-5-21-343818398-1757981266-839522115-1003\Software\Classes\exefile: "%1" %* DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab FF Keyword.URL: hxxp://www.google.com.my/search?q= FF DefaultSearchEngine: Google Default FF SearchPlugin: C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\Mozilla\Firefox\Profiles\7f8o4de8.default-1386175172031\searchplugins\google-default.xml FF Plugin: @IObit.com/np_Asc_Plugin -> C:\Program Files\IObit\Surfing Protection\BrowerProtect\np_Asc_plugin.dll No File S4 LiveUpdateSvc; C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe [X] R3 ALSysIO; \??\C:\DOCUME~1\BERGER~2.XP-\USTAWI~1\Temp\ALSysIO.sys [X] S3 cpuz135; \??\C:\DOCUME~1\BERGER~2.XP-\USTAWI~1\Temp\cpuz135\cpuz135_x32.sys [X] S3 cpuz136; \??\C:\DOCUME~1\BERGER~2.XP-\USTAWI~1\Temp\cpuz136\cpuz136_x32.sys [X] S3 gdrv; \??\C:\WINDOWS\gdrv.sys [X] Task: C:\WINDOWS\Tasks\AVG_SYS_TASK.job => C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\AVG 0214c Campaign\AVG-Secure-Search-Update-0214c.exe C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\{3C5CBD7B-3D1D-411E-96C2-513FFCA84D2D} C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\188F1432-103A-4ffb-80F1-36B633C5C9E1 C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\ALLPlayer C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\AVG 0214c Campaign C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\AVG2014 C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\ClearCookiesEasy C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\F-Secure C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\HitmanPro C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\IObit C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\MFAData C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\PITy C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Simply Super Software C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\TEMP C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\VSO C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Powertoys for Windows XP\Tweak UI.lnk C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\AVG 0214c Campaign C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\AVG2014 C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\BinarySense C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\BITS C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\ClearCookiesEasy C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\CrystalIdea Software C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\FlashGet C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\FlashGetBHO C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\FlashgetSetup C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\HD Tune Pro C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\IObit C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\KRyLack Archive Password Recovery C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\OpenOffice.org C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\Podatnik.info C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\SolidDocuments C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\Thunderbird C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\TuneUp Software RemoveDirectory: C:\Documents and Settings\All Users RemoveDirectory: C:\Documents and Settings\All Users.WINDOWS1 RemoveDirectory: C:\Documents and Settings\berger RemoveDirectory: C:\Documents and Settings\berger.XP-75CF98363E2C\Recent(2) RemoveDirectory: C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\Mozilla\Firefox\Profiles\7f8o4de8.default-1386175172031\Extensions\{3d7eb24f-2740-49df-8937-200b1cc08f8a}(2) RemoveDirectory: C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\Mozilla\Firefox\Profiles\7f8o4de8.default-1386175172031\Extensions\{3d7eb24f-2740-49df-8937-200b1cc08f8a}(3) RemoveDirectory: C:\Documents and Settings\Default User RemoveDirectory: C:\Documents and Settings\Default User.WINDOWS1 CMD: dir /a "C:\Documents and Settings" CMD: dir /a "C:\Documents and Settings\berger.XP-75CF98363E2C\Ustawienia lokalne\Dane aplikacji" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Start > Uruchom > eventvwr.msc i z prawokliku na sekcje Aplikacja + System wyczyść oba dzienniki. Zresetuj system. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt.

zubzero0pl, ponawiam prośbę o logi. I opisz w jaki sposób sobie z tym "poradziłeś".

Wszystko nadal aktualne. Logi powyżej usuwam (nie wnoszą nic do sprawy), kompletny obraz uzyskam po przeprowadzeniu podanych akcji.

Akcja wykonana. Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

Wszystko zrobione. AdwCleaner był wcześniej używany, więc ponowne zastosowanie niezasadne. Kończymy: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Temat przenoszę do działu diagnostyki malware. Proszę dostarcz obowiązkowe logi: KLIK.

W związku z tym będzie usuwanie siłowe. Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Update ace race; C:\Program Files (x86)\ace race\updateacerace.exe [524528 2015-01-05] () R2 Util ace race; C:\Program Files (x86)\ace race\bin\utilacerace.exe [524528 2015-01-05] () BHO-x32: ace race 1.0.0.6 -> {68182220-3c75-49d9-a9c4-4093d3986279} -> C:\Program Files (x86)\ace race\aceracebho.dll (ace race) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com C:\Program Files (x86)\ace race C:\Program Files (x86)\Opera C:\Program Files (x86)\XTab C:\Users\Kaja\AppData\Local\SlimWare Utilities Inc Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ace race" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie wystąpienia adresu isearch.omiga-plus.com, przestaw na "Otwórz stronę nowej karty". 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Winsock naprawiony, toteż pojawił się dostęp do internetu. Na razie wstrzymaj się z aktualizacjami Windows, a tym bardziej ponowną instalacją Bitdefender. Musimy dokończyć czyszczenie. Nie jest też wiadome czy ten Bitdefender w ogóle tu gra z systemem, może po jego powrocie znów zamuli wszystko. O tym się przekonasz potem. W tym przypadku wyniki SFC nie mają znaczenia, nie są to rzeczywiste błędy (system je zresztą naprawia "w kółko"). Ten "defekt" opisany jest w tym artykule Microsoftu: KB947595. 2015-01-03 18:29:45, Info CSI 0000021a [sR] Cannot repair member file [l:24{12}]"settings.ini" of Microsoft-Windows-Sidebar, Version = 6.0.6002.18005, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-01-03 18:29:45, Info CSI 0000021c [sR] Cannot repair member file [l:24{12}]"settings.ini" of Microsoft-Windows-Sidebar, Version = 6.0.6002.18005, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-01-03 18:29:45, Info CSI 0000021d [sR] This component was referenced by [l:158{79}]"Package_16_for_KB948465~31bf3856ad364e35~x86~~6.0.1.18005.948465-49_neutral_GDR" Skan FRST nie wykazuje, by były jakiekolwiek fitry na urządzeniach CD/DVD. Natomiast po naprawie Winsock było możliwe podejrzenie Dziennika zdarzeń i w nim stał poniższy błąd sterownika SPTD (od emulacji napędów wirtualnych), który to sterownik może negatywnie wpływać na funkcjonowanie urządzeń. Sterownik ten już wyłączyłam i w kolejnym podejściu będzie usuwany na dobre. Tak więc czy w chwili obecnej na pewno są nadal problemy z napędem CD/DVD? System errors: ============= Error: (01/05/2015 08:24:12 PM) (Source: sptd) (EventID: 4) (User: ) Description: Sterownik wykrył błąd wewnętrzny w swoich strukturach danych dla . Kolejna porcja działań poprawkowych: 1. Przegapiłam deinstalację starej wersji Adobe Shockwave Player. 2. Otwórz Notatnik i wklej w nim: strComputer = "." Set objWMIService = GetObject("winmgmts:" _ & "{impersonationLevel=impersonate}!\\" _ & strComputer & "\root\subscription") Set obj1 = objWMIService.Get("__EventFilter.Name='BVTFilter'") set obj2set = obj1.Associators_("__FilterToConsumerBinding") set obj3set = obj1.References_("__FilterToConsumerBinding") For each obj2 in obj2set WScript.echo "Deleting the object" WScript.echo obj2.GetObjectText_ obj2.Delete_ next For each obj3 in obj3set WScript.echo "Deleting the object" WScript.echo obj3.GetObjectText_ obj3.Delete_ next WScript.echo "Deleting the object" WScript.echo obj1.GetObjectText_ obj1.Delete_ Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.VBS Plik umieść na Pulpicie. 3. Otwórz Notatnik i wklej w nim: R2 ezSharedSvc; C:\Windows\System32\ezsvc7.dll [129992 2008-02-03] (EasyBits Sofware AS) [File not signed] S4 sptd; C:\Windows\System32\Drivers\sptd.sys [320120 2015-01-05] (Duplex Secure Ltd.) HKLM\...\Run: [installerLauncher] => "C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-4159-A75F-CFD0C7EA4FBF}\setuplauncher.exe" /run:"C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-41 (the data entry has 36 more characters). HKU\S-1-5-18\...\Run: [Agent Portfela Bitdefender] => "C:\Program Files\Bitdefender\Bitdefender\pmbxag.exe" HKU\S-1-5-18\...\Run: [Portfel Bitdefender] => "C:\Program Files\Bitdefender\Bitdefender\pwdmanui.exe" --hidden --nowizard HKU\S-1-5-18\...\Run: [Agent aplikacji Portfel Bitdefender] => "C:\Program Files\Bitdefender\Bitdefender\bdapppassmgr.exe" Task: {60075B96-E3CE-4E0A-ADE9-650778797E24} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre1.6.0_07\bin\jp2ssv.dll No File FF Plugin: @java.com/DTPlugin,version=11.5.2 -> C:\Program Files\Java\jre8\bin\dtplugin\npDeployJava1.dll No File AlternateDataStreams: C:\Users\Madga\Downloads\bitdefender_ts.exe:BDU AlternateDataStreams: C:\Users\Madga\Downloads\Firefox Setup Stub 30.0.exe:BDU AlternateDataStreams: C:\Users\Madga\Downloads\iTunesSetup(2).exe:BDU AlternateDataStreams: C:\Users\Madga\Downloads\jdk-8u5-windows-i586.exe:BDU AlternateDataStreams: C:\Users\Madga\Downloads\MicrosoftFixit.dvd.Run.exe:BDU AlternateDataStreams: C:\Users\Madga\Downloads\sp41377.exe:BDU C:\Program Files\Adobe C:\Program Files\Bitdefender C:\Program Files\Common Files\Adobe C:\Program Files\Common Files\Bitdefender C:\Program Files\ESET C:\Program Files\Java C:\Program Files\OpenOffice.org 3 C:\ProgramData\*.bdinstall.bin C:\ProgramData\Adobe C:\ProgramData\Bitdefender C:\ProgramData\HitmanPro C:\ProgramData\Malwarebytes C:\ProgramData\RogueKiller C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenOffice.org 3.0 C:\Users\Madga\AppData\Local\Adobe C:\Users\Madga\AppData\Roaming\Bitdefender C:\Users\Madga\AppData\Roaming\Malwarebytes C:\Users\Madga\AppData\Roaming\QuickScan C:\Windows\System32\ezsvc7.dll C:\Windows\system32\Drivers\hitmanpro37.sys C:\Windows\system32\Drivers\iavtnu.sys C:\Windows\System32\Drivers\sptd.sys C:\Windows\system32\Drivers\TrueSight.sys C:\Windows\system32\Adobe C:\Windows\system32\Macromed\Flash Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdatem" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gusvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\HWDeviceService.exe" /f CMD: C:\Users\Madga\Desktop\FIX.VBS EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie kolejny fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. Zasadniczy problem nie wynika z infekcji lecz modyfikacji Classic Style UI zmieniającej interfejs na klasyczny. Wpis alternatywnej powłoki generuje liczne błędy w Dzienniku zdarzeń. Identyczny problem w tym temacie: KLIK. HKU\S-1-5-21-2354558839-626714277-1970587182-1001\...\Winlogon: [shell] C:\explorer\explorer.exe [2872320 2012-09-06] (Microsoft Corporation) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Classic Style UI.lnk -> C:\explorer\7UI\7UI.exe () Application errors: ================== Error: (01/05/2015 07:33:25 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: explorer.exe, wersja: 6.3.9600.17284, sygnatura czasowa: 0x53f816dc Nazwa modułu powodującego błąd: KERNELBASE.dll, wersja: 6.3.9600.17278, sygnatura czasowa: 0x53eebf2e Kod wyjątku: 0xc000041d Przesunięcie błędu: 0x000000000000606c Identyfikator procesu powodującego błąd: 0x10fc Godzina uruchomienia aplikacji powodującej błąd: 0xexplorer.exe0 Ścieżka aplikacji powodującej błąd: explorer.exe1 Ścieżka modułu powodującego błąd: explorer.exe2 Identyfikator raportu: explorer.exe3 Pełna nazwa pakietu powodującego błąd: explorer.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: explorer.exe5 Error: (01/05/2015 07:25:23 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: explorer.exe, wersja: 6.1.7601.17514, sygnatura czasowa: 0x4ce7a144 Nazwa modułu powodującego błąd: explorer.DLL, wersja: 6.3.9600.17278, sygnatura czasowa: 0x53eebd22 Kod wyjątku: 0xc0000142 Przesunięcie błędu: 0x00000000000ec0b4 Identyfikator procesu powodującego błąd: 0x18f4 Godzina uruchomienia aplikacji powodującej błąd: 0xexplorer.exe0 Ścieżka aplikacji powodującej błąd: explorer.exe1 Ścieżka modułu powodującego błąd: explorer.exe2 Identyfikator raportu: explorer.exe3 Pełna nazwa pakietu powodującego błąd: explorer.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: explorer.exe5 To problem główny. Poboczne problemy to zainstalowane adware (możliwe że działa od dawna, gdyż są raczej stare obiekty), ale to nie są sprawy ze sobą powiązane. Do wdrożenia następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {97c4cab6-61b3-4540-9274-f278ba746bf7}w64; C:\Windows\System32\drivers\{97c4cab6-61b3-4540-9274-f278ba746bf7}w64.sys [48776 2014-11-26] (StdLib) R1 {a459d632-5225-4bb9-9a0b-002544d16f6e}w64; C:\Windows\System32\drivers\{a459d632-5225-4bb9-9a0b-002544d16f6e}w64.sys [61112 2014-04-24] (StdLib) R1 {c97511ae-4154-409f-acea-ebd22476ac29}w64; C:\Windows\System32\drivers\{c97511ae-4154-409f-acea-ebd22476ac29}w64.sys [48776 2014-12-02] (StdLib) S2 bonanzadealslive; C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-11-10] (BonanzaDeals) S3 bonanzadealslivem; C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-11-10] (BonanzaDeals) R2 MaintainerSvc7.81.724469; C:\ProgramData\fc69a316-ef1a-4795-843b-0146c382b2b0\maintainer.exe [123632 2015-01-05] () R2 PanService; C:\Program Files (x86)\PANDORA.TV\PanService\KMPService.exe [1922600 2013-07-08] (Pandora.TV) R2 Update BatBrowse; C:\Program Files (x86)\BatBrowse\updateBatBrowse.exe [524528 2015-01-05] () R2 Util BatBrowse; C:\Program Files (x86)\BatBrowse\bin\utilBatBrowse.exe [524528 2015-01-05] () Task: {001A82CD-92CA-4DE7-B420-49DB52DE494D} - System32\Tasks\Norton Anti-Theft\Norton Error Processor => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.6.0.17\SymErr.exe Task: {0D1BAB00-C1BE-498A-BEEE-6D09F9FCBA28} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-11-10] (BonanzaDeals) Task: {1F0D4589-B017-4D34-83CA-115650EB4085} - System32\Tasks\Yahoo! Search => C:\Users\Ewa\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.18.5\dsrlte.exe [2014-12-21] (Pay By Ads LTD) Task: {3123A6DA-D45D-48BA-972B-EF3AA3A83B6F} - System32\Tasks\Norton Anti-Theft\Norton Error Analyzer => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.6.0.17\SymErr.exe Task: {471189BA-45F2-41C6-9263-E5B42B55827E} - System32\Tasks\Yahoo! Search Updater => C:\Users\Ewa\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.18.5\dsrsetup.exe [2014-12-21] (Pay By Ads LTD) Task: {472300DD-C000-4D98-9FE9-5987F4BA7E36} - System32\Tasks\BonanzaDealsUpdate => C:\Program Task: {8A098222-B835-4374-B14E-1822BE5AB3C0} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-11-10] (BonanzaDeals) Task: {CF8DDB0E-0EAA-4C31-A6FC-C593A4E5F3CD} - System32\Tasks\FoxTab => C:\Users\Ewa\AppData\Roaming\FoxTab\UpdateProc\UpdateTask.exe [2013-04-12] () Task: C:\WINDOWS\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\WINDOWS\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\WINDOWS\Tasks\FoxTab.job => C:\Users\Ewa\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-2354558839-626714277-1970587182-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na SearchScopes: HKU\S-1-5-21-2354558839-626714277-1970587182-1001 -> DefaultScope {6110B161-C8E5-4FD1-B03A-C09262A969F5} URL = SearchScopes: HKU\S-1-5-21-2354558839-626714277-1970587182-1001 -> {6110B161-C8E5-4FD1-B03A-C09262A969F5} URL = SearchScopes: HKU\S-1-5-21-2354558839-626714277-1970587182-1001 -> {D1952EC9-E7DE-4DA2-A110-BC7E668BA17B} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=793 BHO-x32: BatBrowse 1.0.0.6 -> {a7262c86-7809-4d76-a726-5a379f1a3158} -> C:\Program Files (x86)\BatBrowse\BatBrowseBHO.dll (BatBrowse) BHO-x32: BonanzaDeals -> {fe063412-bea4-4d76-8ed3-183be6220d17} -> C:\Program Files (x86)\BonanzaDeals\BonanzaDealsIE.dll (BonanzaDeals) Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File FF Plugin-x32: @tools.bdupdater.com/BonanzaDealsLive Update;version=3 -> C:\Program Files (x86)\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll (BonanzaDeals) FF Plugin-x32: @tools.bdupdater.com/BonanzaDealsLive Update;version=9 -> C:\Program Files (x86)\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll (BonanzaDeals) C:\ProgramData\fc69a316-ef1a-4795-843b-0146c382b2b0 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PANDORATV C:\Users\Ewa\AppData\Local\Google C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BonanzaDeals C:\Users\Ewa\AppData\Roaming\newnext.me C:\Windows\System32\drivers\{97c4cab6-61b3-4540-9274-f278ba746bf7}w64.sys C:\Windows\System32\drivers\{a459d632-5225-4bb9-9a0b-002544d16f6e}w64.sys C:\Windows\System32\drivers\{c97511ae-4154-409f-acea-ebd22476ac29}w64.sys C:\Windows\System32\Tasks\Norton Anti-Theft Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, problem z eksplorer powinien ustąpić. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Deinstalacje: - Przez Panel sterowania odinstaluj adware BatBrowse 2013.11.07.204732, Bonanza Deals (remove only), Foxtab, KMP Service, Mobogenie, Update_for_BonanzaDeals, Yahoo! Search oraz stare wersje Adobe Flash Player 15 Plugin, Adobe Reader X (10.1.3), Java 7 Update 45. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware BonanzaDeals) > Dalej. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie potem przeinstalować. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Na czym polega niemożność deinstalacji adware "Ace Race" via Panel sterowania? Proponuję ponowić próbę deinstalacji ale po tymczasowym wyłączeniu Avast. Jeśli deinstalacja się uda, zrób nowy log FRST (zaznacz pole Addition ponownie).

Wybierz "Zamknij program" (i tak proces "przestał działać") i kontynuuj deinstalację Bitdefender (o ile to nadal możliwe po błędzie). Niezależnie od tego czy się uda odinstalować Bitdefender w Trybie normalnym i tak w Trybie awaryjnym do zastosowania ten specjalny usuwacz firmowy.

Deinstalacje nie miały być wykonane w Trybie awaryjnym tylko normalnym, gdyż w awaryjnym nie działa usługa Instalator Windows. 1. Skoro jest problem z mniejszymi deinstalacjami i bardzo powolnym inicjowaniem Panelu sterowania, to zacznij jednak od deinstalacji Bitdefender Total Security. Musisz zacząć od próby deinstalacji w Trybie normalnym, nawet jeśli będzie to trwało bardzo długo. 2. Przy niepowodzeniu w Trybie normalnym, przejdź w Tryb awaryjny i zastosuj narzędzie BitDefender Uninstall Tool (Consumer) (wybierz stosowną edycję, która była w komputerze). 3. Jeśli się uda pozbyć BitDefender, przejdź ponownie do wykonania zaległych punktów. To nie jest log TDSSKiller z właściwego usuwania. Niestety wszystko skasował DelFix i już tych danych brak. Nie zajmuj się już tym.

Oba załączniki usuwam. Podałeś mi log z OTL a nie ComboFix, a zawartość SharedAccess nie jest mi potrzebna (mam już dostateczny wgląd do sprawy na ten temat). Oba logi powinny być wprost na dysku C:\. Jeśli ich nie ma, to niestety to efekt zastosowania DelFix (na dysku widać log C:\DelFix.txt) - to nie jest narzędzie usuwania infekcji tylko używanych określonych skanerów i ich logów. Tak więc nie dowiem się już tu chyba co robiły te skanery. To załączyłam już w skrypcie FRST - wydrukuje mi wyniki. Dane o filtrach napędów CD/DVD również pobieram w skrypcie FRST i jeśli modyfikacja zostanie wykryta, podam stosowny fix. To może być efekt zupełnie innego czynnika, np. BitDefender. Pomijając że jest to bardzo rozbudowany / inwazyjny program, używa on poniższej modyfikacji wprowadzającej ikony nakładkowe w eksploratorze, a ten rodzaj modyfikacji w niektórych przypadkach prowadzi do dziwnych zachowań eksploratora. ShellIconOverlayIdentifiers: [__SafeBox1] -> {152C96EB-288E-4EDC-B7C6-D21F8250ADF3} => C:\Program Files\Bitdefender\Bitdefender SafeBox\SafeBoxShell.dll (Bitdefender) ShellIconOverlayIdentifiers: [__SafeBox2] -> {342DAA0B-D796-460D-8566-901E08A1CCAD} => C:\Program Files\Bitdefender\Bitdefender SafeBox\SafeBoxShell.dll (Bitdefender) ShellIconOverlayIdentifiers: [__SafeBox3] -> {57595DAE-1AE1-4D97-A49E-67CBB53B52DF} => C:\Program Files\Bitdefender\Bitdefender SafeBox\SafeBoxShell.dll (Bitdefender) ShellIconOverlayIdentifiers: [__SafeBox4] -> {33816773-98AE-4723-ADE0-EBE54C8B5A67} => C:\Program Files\Bitdefender\Bitdefender SafeBox\SafeBoxShell.dll (Bitdefender) Ten aspekt będziemy analizować potem, po naprawie podstawowych usterek już tu zdiagnozowanych.

Czyszczę temat ze zbędnych wtrętów. Są konkretne zasady działu, tu zostały dostarczone niekompletne materiały. OTL jest jedynie raportem podrzędnym, gdyż narzędzie przestarzałe i wielu rzeczy mu już brakuje. Proszę dostarcz obowiązkowe raporty FRST. "Nieznany wydawca" oraz "na własne ryzyko" są pokazane na obrazkach w w/w instrukcji obsługi, co oznacza że nie jest to żadna przeszkoda i nie ma tu żadnego "ale", by uruchomić. Jest też napisane, że program wypiera OTL, bo skanuje lepiej i więcej. Co do "używania na własne ryzyko": ależ z OTL też tak jest, tylko narzędzie po prostu nie podaje komunikatu gwarancji, a sprawa tyczy usuwania a nie skanu. FRST jest nawet lepiej zabezpieczony przed wpadką niż OTL, gdyż zawsze przy pierwszym uruchomieniu robi kopię całego rejestru (OTL wcale). Ten komunikat z "Kontrolą konta użytkownika" punktujący plik C:\Windows\p_981116.exe pochodzi od wpisu DirectX i nie jest to infekcja: O4 - HKLM..\Run: [DXM6Patch_981116] C:\Windows\p_981116.exe (Microsoft Corporation) A resztę ocenię po uzyskaniu kompletu logów. SpyHunter to program-naciągacz, z czarnej listy. Z daleka od niego.

Sytem jest zainfekowany malware Sathurbot, ponadto są tu liczne ślady infekcji ZeroAccess (link symboliczny, uszkodzony łańcuch Winsock, prawdopodobnie sterownik serial.sys jest zainfekowany) oraz są ślady niepoprawnie odinstalowanego Kasperskiego. Przed przejściem do usuwania poproszę o dodatkowe dane: - Spis kopii pliku serial.sys. Uruchom FRST, w polu Search wklep serial.sys, klik w Search Files i dostarcz wynikowy log. - Log z Kaspersky TDSSKiller. Jeśli cokolwiek znajdzie, wybierz Skip i tylko wynikowy raport dostarcz.

To nie była poprawna metoda deinstalacji, a nowe logi FRST (wszystie 3) są konieczne, gdyż poprzednie są zupełnie nieaktualne po uruchomieniu AdwCleaner.

Proszę używaj opcji Edycja, jeśli chcesz uzupełnić post, a nikt jeszcze nie odpisał. Posty skleiłam. Nadal brakuje: Te logi są konieczne, by było wiadome co usuwałeś tymi narzędziami. Prawdopodobnie któreś z nich posunęło się za daleko. Tak duży plik to raczej cały CBS.LOG a nie raport wynikowy komendy filtrującej. Brak oznak czynnej infekcji. System ma zdewastowany układ Winsock. Została usunięta usługa AFD, która jest konieczna do obsługi sieci. Usługi nie usunęła infekcja, musiał to zrobić któryś skaner. afd Service is not running. Checking service configuration: Checking Start type: ATTENTION!=====> Unable to open afd registry key. The service key does not exist. Checking ImagePath: ATTENTION!=====> Unable to open afd registry key. The service key does not exist. Dodatkowo, jest tu uszkodzenie łańcucha Winsock (część NameSpace) również uniemożliwiające operacje sieciowe: Winsock: Missing Catalog5 entry, broken internet access. Natomiast nie ma tu żadnych śladów uszkodzeń Windows Defender. On zresztą powinien zostać i tak zdeaktywowany przez instalację BitDefender. Czy to nadal występuje? Póki co, tu tu prędzej widzę niezdolność odczytu CD/DVD, gdyż w raporcie stoi poniższa wybrakowana usługa po niekompletnej deinstalacji iTunes - powiązany sterownik filtruje urządzenia CD/DVD. S3 GEARAspiWDM; system32\DRIVERS\GEARAspiWDM.sys [X] [hr] Działania wstępne: 1. Odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 14 ActiveX, Adobe Flash Player 15 Plugin, Adobe Reader X (10.1.12), Java 7 Update 51, Java 8 Update 5, Java SE Development Kit 8 Update 5, Java™ 6 Update 7, OpenOffice.org 3.0 (ten ostatni nie potrafi korzystać z najnowszej Java). 2. Otwórz Notatnik i wklej wnim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD] "DisplayName"="Ancilliary Function Driver for Winsock" "Group"="PNP_TDI" "ImagePath"=hex(2):5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,64,00,72,\ 00,69,00,76,00,65,00,72,00,73,00,5c,00,61,00,66,00,64,00,2e,00,73,00,79,00,\ 73,00,00,00 "Description"="Ancilliary Function Driver for Winsock" "ErrorControl"=dword:00000001 "Start"=dword:00000001 "Type"=dword:00000001 "BootFlags"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Enum] "0"="Root\\LEGACY_AFD\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Winsock: Missing Catalog5 entry, broken internet access. DisableService: sptd S2 Apple Mobile Device; "C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe" [X] U5 AppMgmt; C:\Windows\system32\svchost.exe [21504 2008-01-21] (Microsoft Corporation) S3 BBSvc; "C:\Program Files\Microsoft\BingBar\BBSvc.EXE" [X] S2 Bonjour Service; "C:\Program Files\Bonjour\mDNSResponder.exe" [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 GEARAspiWDM; system32\DRIVERS\GEARAspiWDM.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S4 HWDeviceService.exe; "C:\ProgramData\DatacardService\HWDeviceService.exe" -/service [X] S3 iPod Service; "C:\Program Files\iPod\bin\iPodService.exe" [X] S3 Netaapl; system32\DRIVERS\netaapl.sys [X] S3 RTL8192su; system32\DRIVERS\RTL8192su.sys [X] S2 SeaPort; "C:\Program Files\Microsoft\BingBar\SeaPort.EXE" [X] S3 USBAAPL; System32\Drivers\usbaapl.sys [X] S3 WDC_SAM; system32\DRIVERS\wdcsam.sys [X] CustomCLSID: HKU\S-1-5-21-894316807-4337371-2112429552-1000_Classes\CLSID\{1FD1FE74-9E3C-4C1C-AEEB-AAB592AD770F}\localserver32 -> C:\Users\Madga\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.) CustomCLSID: HKU\S-1-5-21-894316807-4337371-2112429552-1000_Classes\CLSID\{5E71E4F3-E8C7-4906-9626-973E418762B6}\InprocServer32 -> C:\Users\Madga\AppData\Local\Facebook\Update\1.2.205.0\goopdate.dll (Facebook Inc.) Task: {0732E201-86F3-4AEB-96A6-71EB9D5EA9A5} - System32\Tasks\{F4EC99DB-D9B7-434A-9F2A-7A8EB84A3511} => pcalua.exe -a "E:\Partition Magic Pro 7.0-FULL.exe" -d E:\ Task: {1CEDB299-F1EE-4CFA-8DC2-3F8AF1413BA4} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-894316807-4337371-2112429552-1000UA => C:\Users\Madga\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-09-17] (Facebook Inc.) Task: {26B43CAC-A86E-40A7-B1C7-F2C3D3D160E6} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-894316807-4337371-2112429552-1000Core => C:\Users\Madga\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-09-17] (Facebook Inc.) Task: {D3054C28-44F5-4681-A7F1-1A6DB24A7FB3} - System32\Tasks\DriverToolkit Autorun => C:\Program Files\DriverToolkit\DriverToolkit.exe Task: {D5606B37-8164-4A28-A59D-AAEAE0D7C445} - System32\Tasks\{02795DB0-172F-4869-AFBB-6FEFE8537B9A} => pcalua.exe -a "C:\Program Files\PLAY ONLINE\Driver\devsetup2k.exe" -d "C:\Program Files\PLAY ONLINE\Driver" Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-894316807-4337371-2112429552-1000Core.job => C:\Users\Madga\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-894316807-4337371-2112429552-1000UA.job => C:\Users\Madga\AppData\Local\Facebook\Update\FacebookUpdate.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-894316807-4337371-2112429552-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank SearchScopes: HKLM -> DefaultScope value is missing. SearchScopes: HKLM -> {6A780C7A-0F2C-4D40-A032-BAEF07C1C686} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl SearchScopes: HKU\S-1-5-21-894316807-4337371-2112429552-1000 -> DefaultScope {6A780C7A-0F2C-4D40-A032-BAEF07C1C686} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl SearchScopes: HKU\S-1-5-21-894316807-4337371-2112429552-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear SearchScopes: HKU\S-1-5-21-894316807-4337371-2112429552-1000 -> {6A780C7A-0F2C-4D40-A032-BAEF07C1C686} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Program Files\Mozilla Firefox\plugins C:\ProgramData\Temp C:\Users\Madga\AppData\Local\1cf6efbe C:\Users\Madga\AppData\Local\tmp*.* C:\Users\Madga\AppData\Local\Facebook C:\Users\Madga\AppData\Local\Google\Chrome C:\Users\Madga\AppData\Roaming\medsn C:\Users\Madga\AppData\Temp Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowe logi: FRST z opcji Scan (zaznacz pole Addition, Shortcut jednak zbędny) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. Opisz jakie są problemy bieżące.

Czy na pewno reklamy nadal występują? W raportach nie widać żadnych czynnych obiektów. Druga sprawa, raporty są zrobione z poziomu jednego tylko konta, a są tu dwa czynne i oba trzeba sprawdzić: ========================= Accounts: ========================== Aneta (S-1-5-21-1126750161-3047502343-1220557130-1001 - Administrator - Enabled) => C:\Users\Aneta KSIEGOWA (S-1-5-21-1126750161-3047502343-1220557130-1008 - Administrator - Enabled) => C:\Users\KSIEGOWA Zaloguj się na konto Aneta poprzez pełny restart komputera (a nie Wyloguj czy Przełącz użytkownika) i zrób zestaw raportów FRST (główny + Addition, bez Shortcut). Poza tym, był używany ComboFix - dostarcz plik C:\ComboFix.txt, który jest na dysku.

Na temat używania ComboFix: KLIK. Log już zostaw, by było wiadome co robił. Zasady działu jakie logi są tu obowiązkowe: KLIK. Uzupełnij.

To poprawny proces sterowników AMD: ==================== Processes (Whitelisted) ================= (AMD) C:\WINDOWS\System32\atiesrxx.exe (AMD) C:\WINDOWS\System32\atieclxx.exe (Advanced Micro Devices Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe (ATI Technologies Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe Jest on w Menedżerze zadań wyświetlany bez żadnych danych opisowych, gdyż menedżer jest uruchomiony na zbyt niskich uprawnieniach. Podobny temat: KLIK. Problem leży gdzie indziej, ale w raportach mało co widać - właściwie tylko polityki blokujące Google Chrome. Dodatkowo: zainstalowałeś wątpliwy skaner SpyHunter, z daleka od niego. Wstępnie: 1. Odinstaluj stare wersje i wątpliwy skaner: Adobe Flash Player 10 ActiveX, Adobe Flash Player 10 Plugin, Adobe Reader 9.1 - Polish, Java 7 Update 25, Java™ 6 Update 20 (64-bit), SpyHunter. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-1813054588-749713010-1817662991-1001\...\Run: [GenieoUpdaterService] => "C:\Users\Bartek\AppData\Roaming\Genieo\Application\Updater\bin\genupdater.exe" -wait 5 HKU\S-1-5-21-1813054588-749713010-1817662991-1001\...\Run: [GenieoSystemTray] => "C:\Users\Bartek\AppData\Roaming\Genieo\Application\TrayUi\bin\gentray.exe" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141201 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141201 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" C:\ProgramData\APN C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee C:\Users\Bartek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Bartek\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Genieo C:\Users\Bartek\AppData\Roaming\Systweak Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. 4. Specjalny skrót IE jest uszkodzony (prawdopodobnie czyszczeniem AdwCleaner): Shortcut: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy.