Skocz do zawartości

picasso

Administratorzy
 Pokaż profil  Zobacz aktywność

  • Postów

    36 523

  • Dołączył

  • Ostatnia wizyta

 Typ zawartości 

Treść opublikowana przez picasso

  1. picasso
    DamnSlayer, system jest w gorszym stanie niż był przed "Fixem" (a "Fix" nie ma żadnego związku z problemem głównym): uszkodzona licencja Windows, usunięte poprawne usługi programów firmowych AMD i ASUS, uszkodzone Google Chrome zmienione całkowicie przez adware (ze stabilnej do development, co i tak wymusza kompleksową reinstalację od zera) i kupa adware. Tak nie może zostać, proszę wykonaj co mówię.
  2. picasso
    Proszę dostosuj się do zasad działu w kwestii obowiązkowych raportów: KLIK. OTL to przestarzałe narzędzie sprawdzane tylko pobocznie, obowiązkowe są raporty z FRST i GMER. Dodatkowo: dostarcz logi utworzone wcześniej przez TDSSKiller i ComboFix (chodzi o już obecne a nie ponowne uruchomienie narzędzi) oraz Farbar Service Scanner.
  3. picasso
    O którym "Recovery" mowa / jakiej opcji konkretnie? Czy jest możliwe zrobienie raportu FRST z poziomu środowiska WinRE: KLIK? Temat przenoszę do działu Windows 7.
  4. picasso
    To jest skutek przetworzenia w nieszczęsnym "Fixie" FRST plików licencji Windows: 2015-01-03 23:50 - 2009-07-14 05:45 - 00013584 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 2015-01-03 23:50 - 2009-07-14 05:45 - 00013584 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 W związku ze szkodami zrób Przywracanie systemu do czasu przed operacjami w FRST, a jest to ostatnia pozycja na tej liście datowana na 1 styczeń: ==================== Restore Points ========================= 20-12-2014 12:35:29 Installed TP-LINK Wireless Configuration Utility and Driver 20-12-2014 12:35:48 Instalacja pakietu sterownika urządzenia: TP-LINK Karty sieciowe 20-12-2014 12:36:02 Installed TP-LINK Wireless Configuration Utility 20-12-2014 13:01:53 Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.50727 20-12-2014 13:03:21 Windows Update 20-12-2014 13:05:15 Windows Update 20-12-2014 13:07:15 Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.50727 20-12-2014 13:10:15 Zainstalowane ASUS GPU Tweak 20-12-2014 13:10:58 Installed GPUTweakStreaming 20-12-2014 13:27:55 Zainstalowane Realtek Ethernet Controller Driver 20-12-2014 13:56:59 Zainstalowany program DirectX 20-12-2014 17:50:17 Windows Update 20-12-2014 18:34:14 Zainstalowany program DirectX 20-12-2014 18:45:00 Zainstalowany program DirectX 20-12-2014 18:55:12 Windows Update 20-12-2014 19:06:14 Zainstalowany program DirectX 21-12-2014 22:24:35 Zainstalowany program DirectX 25-12-2014 12:28:25 avast! antivirus system restore point 25-12-2014 20:21:30 avast! antivirus system restore point 01-01-2015 16:54:08 Zainstalowany program DirectX 01-01-2015 17:02:36 Zainstalowany program DirectX To powinno naprawić szkody a także wyzerować wiele modyfikacji adware. Po akcji zrób nowe raporty FRST (główny, Addition, Shortcut) i opisz jakie są problemy bieżące.
  5. picasso
    marcin878787 Zasady działu Twój "Fix" FRST to nie wiadomo co to miało być i czemu służyć. W "Fixie" wywalasz poprawne obiekty: pliki licencji Windows, usługi AMD i ASUS GPU Tweak, dewastacja całego Google Chrome poprzez usunięcie poprawnych rozszerzeń. O tyle tu się "upiekło", że z Google Chrome już nastąpiła w międzyczasie zmiana i obiekty zadane do usunięcia w większości nie zostały przetworzone, reszta niestety tak. DamnSlayer Pomijając to co stało się powyżej, zaszły nowe niekorzystne okoliczności. Poprzednio poprawna wersja Google Chrome (wersja stabilna) obecnie została przez adware przekonwertowana do wersji "developement", a w systemie pojawiły się nowe obiekty adware. Instrukcje rozpiszę potem, gdyż po powrocie z wakacji potrzebuję czasu na analizę raportów i przejrzenie działu czy aby nie ma tu podobnych kwiatków do powyższych.
  6. picasso
    Najlepsze życzenia z okazji Świąt Bożego Narodzenia dla wszystkich użytkowników fixitpc.pl!
  7. picasso
    Brak zmian w skrypcie. Uruchomienie FRST powoduje przemapowanie liter i dysk z Windows będzie widziany pod C.
  8. picasso
    W takim razie wrócę jeszcze do wpisu DNS pobieranego z routera, to adres prywatny, więc nie wygląda per se szkodliwie, ale może problemem jest tu właśnie router: Tcpip\Parameters: [DhcpNameServer] 10.2.255.1 Proponuję sprawdzić co się stanie po resecie routera. 1. Zaloguj się do routera: Zmień ustawienia DNS na adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. 2. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie i podaj zwrotny wynik: KLIK.
  9. picasso
    Jest tu dużo obiektów adware, w tym inwazyjne sterowniki grupy Sambreel. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj: - Adware: Mobogenie, WinZipper. - Stare wersje i zbędniki firmowe: Adobe Flash Player 11 ActiveX, Adobe Flash Player 15 Plugin, ASUS WebStorage, AsusVibe2.0, HP Customer Participation Program 14.0. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {2f0ff925-183b-4210-98f5-cb2ffd917f2b}w64; C:\Windows\System32\drivers\{2f0ff925-183b-4210-98f5-cb2ffd917f2b}w64.sys [61112 2014-07-16] (StdLib) R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys [61112 2014-05-24] (StdLib) R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}w64; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}w64.sys [61112 2014-05-22] (StdLib) R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [485376 2014-12-16] (Fuyu LIMITED) [File not signed] R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [425136 2014-11-26] (Taiwan Shui Mu Chih Ching Technology Limited.) S3 andnetndis; system32\DRIVERS\lgandnetndis64.sys [X] S2 Update Adanak; "C:\Program Files (x86)\Adanak\updateAdanak.exe" [X] Task: {425117ED-1B38-4678-B639-2F1A043DD1BD} - System32\Tasks\{14FF35BE-20C7-499A-BF7E-F5EA003FB4F8} => pcalua.exe -a "D:\GSC Game World\Kozacy II\uninstall.exe" Task: {444E5478-D9F9-4633-9BDC-D38E93E95F40} - System32\Tasks\{827DE61F-7CEF-4D56-BA69-A39B8E27F1AD} => pcalua.exe -a F:\Redist\vcredist_x86.exe -d F:\Redist Task: {5F8CF112-2F37-4E2B-A066-54D8D074D395} - System32\Tasks\{738E467E-80AA-4037-AD01-D51E2265FD7E} => pcalua.exe -a C:\Windows\uncsetup.exe Task: {92E59759-E9CB-44C2-B9AE-9004AE15BF74} - \YourFile DownloaderInstaller Starter No Task File Task: {B8CC3A5F-2D06-4272-8B39-CF0503642471} - System32\Tasks\LaunchApp => C:\Program Files (x86)\MyPC Backup\MyPC Backup.exe Task: {D420E3C7-474A-4B91-A2E1-169CA1320DE5} - System32\Tasks\{A198D808-358B-44C4-9B5A-1884ED38530D} => pcalua.exe -a F:\SETUP.EXE -d F:\ HKLM\...\Run: [setwallpaper] => c:\programdata\SetWallpaper.cmd HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-1006994454-2966411666-1677556623-1001\...\Run: [PlayNC Launcher] => [X] HKU\S-1-5-21-1006994454-2966411666-1677556623-1001\...\Run: [speedUpMyComputer] => C:\Program Files (x86)\SmartTweak\SpeedUpMyComputer\SpeedUpMyComputer.exe /ot /as HKU\S-1-5-21-1006994454-2966411666-1677556623-1001\...\Run: [ALLPlayer WiFi Remote] => C:\Program Files (x86)\ALLPlayer Remote\ALLPlayerRemoteControl.exe HKU\S-1-5-21-1006994454-2966411666-1677556623-1001\...\CurrentVersion\Windows: [Load] C:\Users\Maciek\LOCALS~1\Temp\msiayv.exe HKU\S-1-5-21-1006994454-2966411666-1677556623-1001\...\MountPoints2: I - I:\LGAutoRun.exe HKU\S-1-5-21-1006994454-2966411666-1677556623-1001\...\MountPoints2: {4e59ccbe-9913-11e2-a626-5404a635cb10} - I:\LGAutoRun.exe CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1418935011&from=wpm12173&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX ShortcutWithArgument: C:\Users\Maciek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1418935011&from=wpm12173&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX ShortcutWithArgument: C:\Users\Maciek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1418935011&from=wpm12173&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX ShortcutWithArgument: C:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1418935011&from=wpm12173&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX ShortcutWithArgument: C:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1418935011&from=wpm12173&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX ShortcutWithArgument: C:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1418935011&from=wpm12173&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX ShortcutWithArgument: C:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1418935011&from=wpm12173&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1405973942&from=exp&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1405973942&from=exp&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1405973942&from=exp&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1405973942&from=exp&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1405973942&from=exp&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1405973942&from=exp&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1405973942&from=exp&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1405973942&from=exp&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX&q={searchTerms} HKU\S-1-5-21-1006994454-2966411666-1677556623-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1418935011&from=wpm12173&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX&q={searchTerms} HKU\S-1-5-21-1006994454-2966411666-1677556623-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1405973942&from=exp&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX HKU\S-1-5-21-1006994454-2966411666-1677556623-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1405973942&from=exp&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX HKU\S-1-5-21-1006994454-2966411666-1677556623-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1418935011&from=wpm12173&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1405973942&from=exp&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1405973942&from=exp&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1405973942&from=exp&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1405973942&from=exp&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1405973942&from=exp&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX&q={searchTerms} SearchScopes: HKLM-x32 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ASUT SearchScopes: HKU\S-1-5-21-1006994454-2966411666-1677556623-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1418935011&from=wpm12173&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX&q={searchTerms} SearchScopes: HKU\S-1-5-21-1006994454-2966411666-1677556623-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1006994454-2966411666-1677556623-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=DCC9742F68F78CA8&affID=124742&tsp=5014 SearchScopes: HKU\S-1-5-21-1006994454-2966411666-1677556623-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1418935011&from=wpm12173&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX&q={searchTerms} SearchScopes: HKU\S-1-5-21-1006994454-2966411666-1677556623-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\SupTab\SupTab.dll (Thinknice Co. Limited) Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab CHR HKLM\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Maciek\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [2014-12-18] CHR HKLM-x32\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Maciek\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [2014-12-18] CHR HKLM-x32\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Users\Maciek\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [2014-07-21] CHR StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://www.delta-homes.com/?type=sc&ts=1418935011&from=wpm12173&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX C:\Program Files (x86)\mozilla firefox C:\Program Files (x86)\SupTab C:\ProgramData\IePluginServices C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper C:\Users\Maciek\AppData\Local\genienext C:\Users\Maciek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Maciek\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\Maciek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\Maciek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks C:\Users\Maciek\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\Maciek\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\Maciek\AppData\Roaming\WorldofTanks C:\Users\Maciek\AppData\Roaming\Sample.lnk C:\Users\Maciek\Desktop\Tekstowe\Pit Pro 2012.lnk C:\Users\Maciek\Desktop\skróty programy\chmura.podatnik.info.lnk C:\Users\Maciek\Desktop\skróty programy\Kozacy II.lnk C:\Users\Maciek\Desktop\skróty programy\Opera.lnk C:\Users\Maciek\Desktop\skróty programy\PIT Format 2012.lnk C:\Users\Maciek\Desktop\skróty programy\PIT pro 2012.lnk C:\Users\Maciek\Desktop\skróty programy\PowerISO.lnk C:\Users\Maciek\Desktop\skróty programy\Sniper Elite V2.lnk C:\Users\Maciek\Desktop\skróty programy\YouTube to ALLPlayer.lnk C:\Users\Maciek\Desktop\skróty gry\Diablo II - Lord of Destruction.lnk C:\Users\Maciek\Desktop\skróty gry\Diablo II.lnk C:\Users\Maciek\Desktop\skróty gry\Titan Quest - Immortal Throne.lnk C:\Users\Maciek\Desktop\skróty gry\Titan Quest.lnk C:\Windows\System32\drivers\{2f0ff925-183b-4210-98f5-cb2ffd917f2b}w64.sys C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}w64.sys Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Maciek\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Maciek\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .
  10. picasso
    Nadal brakuje raportu z GMER. W systemie nie widać oznak infekcji związanej z tą infekcją, ale nie został podany GMER. Na urządzeniu obecnie nie widać ani "Removable Disk", ani ukrytych plików innych niż AUTORUN.INF (który jest pusty = zero bajtów): ################## | G:\ - Removable drive (FAT32) | [27/03/2014 - 20:33:12 | A | 11 Ko] - G:\WOW.xlsx [20/12/2014 - 15:30:38 | A | 26 Ko] - G:\FRST.txt [20/12/2014 - 15:30:48 | A | 24 Ko] - G:\Addition.txt [20/12/2014 - 15:30:56 | A | 38 Ko] - G:\Shortcut.txt [20/12/2014 - 15:32:28 | H | 0 Ko] - G:\AUTORUN.INF [31/05/2014 - 23:24:36 | A | 379 Ko] - G:\to co do poprawy.docx [01/04/2014 - 23:20:06 | D] - G:\podstawy projektowania inzynierskiego G:\AUTORUN.INF - a czy to przypadkiem nie jest plik zrobiony przez Panda USB Vaccine (widać ślady stosowania) lub przezeń zablokowany? Wprawdzie plik Panda powinien mieć 16 bajtów a nie 0, ale skoro jest nie do ruszenia, to może to produkt działań Panda. Po utworzeniu takiego pliku za pomocą Panda można go usunąć tylko poprzez format urządzenia lub bezpośrednią hex edycję dysku. To osobna sprawa: w systemie działa adware. Poza tym, być może jest tu też i problem z dyskiem twardym, gdyż jest mnóstwo folderów świadczących o intensywnej pracy checkdiska i obcinaniu wadliwych danych: [03/12/2014 - 12:16:37 | D] - C:\found.011 [19/09/2014 - 07:28:29 | D] - C:\found.010 [04/09/2014 - 09:37:03 | D] - C:\found.009 [24/08/2014 - 12:39:25 | D] - C:\found.008 [05/08/2014 - 16:56:27 | D] - C:\found.007 [09/07/2014 - 12:56:54 | D] - C:\found.006 [06/07/2014 - 19:25:57 | D] - C:\found.005 [23/06/2014 - 17:51:41 | D] - C:\found.004 [03/06/2014 - 19:03:29 | D] - C:\found.003 [25/05/2014 - 10:37:15 | D] - C:\found.002 [21/04/2014 - 17:52:08 | D] - C:\found.001 [19/04/2014 - 08:00:28 | D] - C:\found.000 Na razie mogę się zająć tylko tym co widać: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 PennyBee; C:\Program Files\PennyBee\PennyBee.exe [50176 2014-10-23] () [File not signed] R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [485888 2014-12-11] (Fuyu LIMITED) [File not signed] U5 AppMgmt; C:\Windows\system32\svchost.exe [21504 2008-01-18] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 HTCAND32; System32\Drivers\ANDROIDUSB.sys [X] Task: {5546CDE7-146D-4926-B7FB-BFF55BC2150D} - System32\Tasks\Opera D5 => C:\Program Files\Opera\launcher.exe Task: {57963B13-89CD-4F7D-8ED2-765B574B85EF} - System32\Tasks\Opera D1 => C:\Program Files\Opera\launcher.exe Task: {94E2F319-D480-450B-A33B-D8595CF64612} - System32\Tasks\Opera D6 => C:\Program Files\Opera\launcher.exe CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1418322505&from=cor&uid=WDCXWD1600BEVS-60RST0_WD-WXCY0754784547845" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2669564976-2020018048-883904723-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm HKU\S-1-5-21-2669564976-2020018048-883904723-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch BHO: No Name -> {7E853D72-626A-48EC-A868-BA8D5E23E045} -> No File C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PPMate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SopCast C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension G:\AUTORUN.INF Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware: PennyBee, PennyBeeUpdate. - Stare wersje i zbędniki: Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Adobe Reader 8, Akamai NetSession Interface, Google Toolbar for Internet Explorer, Java™ SE Runtime Environment 6. 3. Specjalny skrót IE jest uszkodzony: Shortcut: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz zaległy GMER. Dołącz też plik fixlog.txt.
  11. picasso
    Na przyszłość zasady działu diagnostyki malware na temat zestawu obowiązowych logów: KLIK. OTL to przestarzałe narzędzie. Temat przenoszę do działu Software, nie jest to problem infekcji. Skoro "puste foldery", to jedno z dwóch: brak uprawnień lub utrata danych na skutek błędów. Na urządzeniu jest folder wskazujący, iż odbywała się świeża naprawa struktury plików za pomocą checkdisk i były "odcinane" dane: [20/12/2014 - 20:15:52 | SHD] - G:\FOUND.000 W tej sytuacji po prostu go sformatuj - w systemie plików NTFS a nie FAT32 (mniejsza awaryjność).
  12. picasso
    Jest tu kupa instalacji adware, pochodzenie raczej rozmaite, nie tylko dobreprogramy.pl (choć ten serwis tu owszem może być przyczyną zagnieżdżenia się obiektów Click Caption 1.10.0.4 i DigiHelp - te dwa widziałam w logach jako produkt "Asystenta pobierania"). Operacje wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: R2 ccsvc_1.10.0.4; C:\Program Files\ClickCaption_1.10.0.4\Service\ccsvc.exe [277584 2014-12-04] (ClickCaption) S2 CouponMonkeyService; C:\Program Files\D51D0083-1C6B-4CB4-8FA1-7CF891242EBD\auhhlzqovx.exe [150528 2014-11-26] () [File not signed] R2 nkdytjtjsw32; C:\Program Files\007\nkdytjtjsw32.exe [683848 2014-11-26] () R2 serverca; C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\ConvertAd\CASrv.exe [143360 2014-12-19] () [File not signed] R2 servervo; C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Dane aplikacji\VOPackage\VOsrv.exe [137216 2014-12-19] () [File not signed] R2 Update DigiHelp; C:\Program Files\DigiHelp\updateDigiHelp.exe [518888 2014-12-20] () R1 ccnfd_1_10_0_4; C:\WINDOWS.1\System32\drivers\ccnfd_1_10_0_4.sys [52728 2014-12-04] (ClickCaption) R1 {993baf86-643c-42e9-95e5-094f337533f0}Gt; C:\WINDOWS.1\System32\drivers\{993baf86-643c-42e9-95e5-094f337533f0}Gt.sys [55816 2014-12-18] (StdLib) S1 ASPI32; No ImagePath S3 GarenaPEngine; \??\C:\DOCUME~1\TOMASZ\USTAWI~1\Temp\OGHC9.tmp [X] S3 GGSAFERDriver; \??\C:\Garena\plugins\UI\safedrv.sys [X] S1 netfilter; system32\drivers\netfilter.sys [X] S2 npf; system32\drivers\npf.sys [X] Task: C:\WINDOWS.1\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files\RCP\RegCleanPro.exe Task: C:\WINDOWS.1\Tasks\RegClean Pro_UPDATES.job => C:\Program Files\RCP\RegCleanPro.exe HKLM\...\Run: [ADSTOP] => C:\Documents and Settings\STANISAAW SKRZYPCZAK\Pulpit\ADSTOP.exe HKLM\...\Run: [gmsd_pl_8] => [X] HKLM\...\Run: [upgmsd_pl_8.exe] => C:\Documents and Settings\STANISAAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\gmsd_pl_8\upgmsd_pl_8.exe -runhelper HKLM\...\Run: [rec_pl_1] => C:\Program Files\rec_pl_1\rec_pl_1.exe [3977384 2014-12-16] () HKU\S-1-5-21-2052111302-920026266-1177238915-1004\...\Run: [softonicAssistant] => "C:\Documents and Settings\STANISAAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\SoftonicAssistant\SoftonicAssistant.exe" HKU\S-1-5-21-2052111302-920026266-1177238915-1004\...\Run: [eMuleAutoStart] => C:\eMule\emule.exe [5758976 2010-04-07] (http://www.emule-project.net) HKU\S-1-5-21-2052111302-920026266-1177238915-1004\...\MountPoints2: {fa893f62-d951-11df-8b59-00e04caed27f} - "G:\WD SmartWare.exe" autoplay=true GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141219 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1414682347&from=cor&uid=WDCXWD400EB-75CPF0_WD-WMAATE180550&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1414682347&from=cor&uid=WDCXWD400EB-75CPF0_WD-WMAATE180550&q={searchTerms} HKU\S-1-5-21-2052111302-920026266-1177238915-1004\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT1814311 URLSearchHook: HKU\S-1-5-21-2052111302-920026266-1177238915-1004 - Max EN Toolbar - {867dd841-5bf7-44ca-8426-c5a6eda00735} - C:\Program Files\Max_EN\tbMax_.dll (Conduit Ltd.) StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1414682347&from=cor&uid=WDCXWD400EB-75CPF0_WD-WMAATE180550 SearchScopes: HKU\S-1-5-21-2052111302-920026266-1177238915-1004 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = SearchScopes: HKU\S-1-5-21-2052111302-920026266-1177238915-1004 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1814311 BHO: BitComet Helper -> {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} -> C:\Documents and Settings\TOMASZ\Pulpit\Konrad\BitComet\tools\BitCometBHO_1.2.2.28.dll No File BHO: DigiHelp 1.0.0.6 -> {5bee7be9-df29-4c14-a18e-2bdd06205e29} -> C:\Program Files\DigiHelp\DigiHelpBHO.dll (DigiHelp) BHO: Max EN Toolbar -> {867dd841-5bf7-44ca-8426-c5a6eda00735} -> C:\Program Files\Max_EN\tbMax_.dll (Conduit Ltd.) BHO: IEPluginBHO Class -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> C:\Documents and Settings\All Users.WINDOWS.1\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll No File Toolbar: HKLM - Max EN Toolbar - {867dd841-5bf7-44ca-8426-c5a6eda00735} - C:\Program Files\Max_EN\tbMax_.dll (Conduit Ltd.) Toolbar: HKU\S-1-5-21-2052111302-920026266-1177238915-1004 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKU\S-1-5-21-2052111302-920026266-1177238915-1004 -> Max EN Toolbar - {867DD841-5BF7-44CA-8426-C5A6EDA00735} - C:\Program Files\Max_EN\tbMax_.dll (Conduit Ltd.) DPF: {00000161-0000-0010-8000-00AA00389B71} http://codecs.microsoft.com/codecs/i386/msaudio.cab DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.22.3\npGoogleUpdate3.dll No File FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.22.3\npGoogleUpdate3.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS.1\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe http://www.sweet-page.com/?type=sc&ts=1414682347&from=cor&uid=WDCXWD400EB-75CPF0_WD-WMAATE180550 C:\Program Files\007 C:\WINDOWS.1\system32\Drivers\{993baf86-643c-42e9-95e5-094f337533f0}Gt.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj: - Adware: Click Caption 1.10.0.4, ConvertAd, coupon monkey, DigiHelp, Games-desktop 008.1, Max_EN Toolbar, Remote Desktop Access (VuuPC), Softonic Assistant, WindowsMangerProtect20.0.0.1064. - Stare wersje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 10 Plugin, Adobe Reader XI (11.0.08) - Polish, Adobe Shockwave Player 11.5, AutoUpdate, Gadu-Gadu 10, Google Chrome, Java™ 6 Update 22, Mozilla Firefox 14.0.1 (x86 pl), OpenOffice.org 3.0. Przy deinstalacji przeglądarek zaznacz opcję usuwania danych użytkownika. Rozważ też czy inne zainstalowane programy są potrzebne i odinstaluj. 3. W systemie są dwa konta: - Poziomu STANISŁAWA zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition i Shortcut, by powstały trzy logi. - Zaloguj się na GRAŻKĘ poprzez pełny restart komputera (a nie opcje Wyloguj czy Przełącz użytkownika) i też zrób log FRST (z Addition, ale bez Shortcut). Dołącz też plik fixlog.txt.
  13. picasso
    krzysiek3334, proszę bez podbijania tematu treściami typu "Nikt nie zna sposobu by mi pomóc?". Odpowiadam gdy jestem obecna, mam czas i wiem co powiedzieć. A Ty i tak nie uzupełniłeś tematu jak należy: brak plików FRST Shortcut, OTL Extras i GMER. Bitcoin Miner uruchamia się poprzez Harmonogram zadań z katalogu uTorrent: ==================== Scheduled Tasks (whitelisted) ============= Task: {A9594379-444B-4D7C-9D48-E4557F108B5D} - System32\Tasks\Steam_x64-S-2-106-91 => C:\Users\Krzysiek\AppData\Roaming\uTorrent\CODEXi\Steam Client [2014-12-16] () ==================== Loaded Modules (whitelisted) ============= 2014-12-16 16:37 - 2014-12-16 16:37 - 01471488 _____ () C:\Users\Krzysiek\AppData\Roaming\uTorrent\CODEXi\Steam Client 2014-12-16 16:37 - 2014-12-16 16:37 - 00279955 _____ () C:\Users\Krzysiek\AppData\Roaming\uTorrent\CODEXi\libidn-11.dll 2014-12-16 16:37 - 2014-12-16 16:37 - 00113166 _____ () C:\Users\Krzysiek\AppData\Roaming\uTorrent\CODEXi\zlib1.dll 2014-12-16 16:37 - 2014-12-16 16:37 - 00148760 _____ () C:\Users\Krzysiek\AppData\Roaming\uTorrent\CODEXi\libpdcurses.dll 1. Na początek odinstaluj zbędne instalacje: Spybot - Search & Destroy, ZoneAlarm Security Toolbar. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {A9594379-444B-4D7C-9D48-E4557F108B5D} - System32\Tasks\Steam_x64-S-2-106-91 => C:\Users\Krzysiek\AppData\Roaming\uTorrent\CODEXi\Steam Client [2014-12-16] () HKU\S-1-5-21-2449265309-1230543427-601245073-1001\...\Run: [ASRockOCTuner] => [X] HKU\S-1-5-21-2449265309-1230543427-601245073-1001\...\Run: [ASRockIES] => [X] HKU\S-1-5-21-2449265309-1230543427-601245073-1001\...\Run: [zASRockInstantBoot] => [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File CHR DefaultSuggestURL: Default -> http://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms} C:\Users\Krzysiek\AppData\Roaming\uTorrent\CODEXi Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt.
  14. picasso
    Brakuje raportów FRST Addition i Shortcut. 1. Odinstaluj wątpliwy prgram Dll-Files Fixer. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-3731321512-1432075017-1604789293-1000\...\Run: [CMD] => cmd.exe /c start http://adverttraff.org && exit BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files (x86)\Microsoft Silverlight\5.1.30514.0\npctrl.dll No File S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] C:\ProgramData\TEMP C:\Users\admin\AppData\Local\Google C:\Users\admin\AppData\Roaming\0F1F1C2Y1H1P1C0I0T C:\Users\admin\AppData\Roaming\dl_0 Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt.
  15. picasso
    Proszę dostosuj się do zasad działu: KLIK. OTL to przestarzałe narzędzie sprawdzane tylko pobocznie, obowiązkowe są logi z FRST. Uzupełnij wymagane raporty i popraw tytuł na odpowiadający problemowi (problemem nie są logi).
  16. picasso
    Wszystkie wpisy typu "NameServer" zniknęły z raportu. Podstawowe pytanie: czy reklamy / przekierowania nadal występują?
  17. picasso
    Brak danych. Zasady działu co tu jest wymagane: KLIK. Dostarcz obowiązkowe raporty.
  18. picasso
    Dodaj ogólne raporty z FRST (w Addition wyciąg kont będzie). Dodatkowo jeszcze do Notatnika wklej co poniżej: Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.
  19. picasso
    Odśwież komputer zachowuje się tak samo? 1. Podaj spis czy tu w ogóle jest wykrywany obraz Windows. Spod działającego Windows klawisz z flagą Windows + X > Wiersz polecenia (Administrator) > wklep recimg /ShowCurrent i przeklej z okna co się pokazało. 2. Mam też pytanie, co to za dysk "Y:" i czy jest widoczny z poziomu eksploratora Windows: ==================== Drives ================================ Drive c: (OS) (Fixed) (Total:915.1 GB) (Free:728.35 GB) NTFS Drive w: () (Fixed) (Total:0.44 GB) (Free:0.16 GB) NTFS Drive y: (WINRETOOLS) (Fixed) (Total:2 GB) (Free:1.59 GB) NTFS Drive z: () (Fixed) (Total:0.44 GB) (Free:0.16 GB) NTFS
  20. picasso

    Czarny obraz

    picasso odpowiedział(a) na kantek temat w Windows 8

    Te 3 pierwsze wyniki owszem do deinstalacji, o ile je w ogóle widać w Panelu (to szczątkowe instalacje - puste wpisy w starcie), ale one nie są problemem: Problemem jest ten wpis ładujący niedomyślną powłokę zastępującą standardowy Shell (w HKLM): HKU\S-1-5-21-3639784616-3227804750-3426827822-1002\...\Winlogon: [shell] C:\explorer\explorer.exe [2872320 2012-09-06] (Microsoft Corporation) Wpis pochodzi z niedomyślnej modyfikacji związanej z przestawianiem między interfejsem ModernUI a "klasycznym", w Shortcut jest następujący pasujący wpis: Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Classic Style UI.lnk -> C:\explorer\7UI\7UI.exe () To coś sypie dodatkowymi błędami w Dzienniku zdarzeń: Application errors: ================== Error: (12/19/2014 01:18:13 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: explorer.exe, wersja: 6.1.7601.17514, sygnatura czasowa: 0x4ce7a144 Nazwa modułu powodującego błąd: explorer.DLL, wersja: 0.0.0.0, sygnatura czasowa: 0x50685d8c Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x0000000000003546 Identyfikator procesu powodującego błąd: 0x1364 Godzina uruchomienia aplikacji powodującej błąd: 0xexplorer.exe0 Ścieżka aplikacji powodującej błąd: explorer.exe1 Ścieżka modułu powodującego błąd: explorer.exe2 Identyfikator raportu: explorer.exe3 Pełna nazwa pakietu powodującego błąd: explorer.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: explorer.exe5 explorer.DLL to nie jest moduł systemowy i prawdopodobnie to jest właśnie plik tego changera interfejsu. 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3639784616-3227804750-3426827822-1002\...\Winlogon: [shell] C:\explorer\explorer.exe [2872320 2012-09-06] (Microsoft Corporation) HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe Task: {CFED0A40-6948-48F6-B3A0-72536E436A2E} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe SearchScopes: HKU\S-1-5-21-3639784616-3227804750-3426827822-1002 -> DefaultScope {CB5FB955-8C7B-4DD5-9B1D-0CFDA9057E83} URL = SearchScopes: HKU\S-1-5-21-3639784616-3227804750-3426827822-1002 -> {CB5FB955-8C7B-4DD5-9B1D-0CFDA9057E83} URL = FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK C:\Program Files (x86)\mozilla firefox\plugins Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart, problem czarnego ekranu powinien ustąpić (o ile nie ma jeszcze dodatkowego ładowanego w jakiś inny sposób modułu). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt - pokaż go. 2. Poproszę też o log pokazujący rozszerzenia powłoki: uruchom ShellExView x64 > w oknie CTRL+A, by zaznaczyć wszystkie wpisy > klik w ikonkę dyskietki, by zapisać log TXT i doczep go tutaj.
  21. picasso

    Problem z zaporą i NOD 32

    picasso odpowiedział(a) na gos temat w Windows XP

    Temat przenoszę do działu Windows. Nie jest to problem infekcji tylko uszkodzenia w Windows. System ma zdewastowaną usługę Instrumentacji zarządzania Windows (Winmgmt), stąd nie można uruchomić Zapory, nie działa też Centrum zabezpieczeń: winmgmt Service is not running. Checking service configuration: Checking Start type: ATTENTION!=====> Unable to open winmgmt registry key. The service key does not exist. Checking ImagePath: ATTENTION!=====> Unable to open winmgmt registry key. The service key does not exist. Checking ServiceDll: ATTENTION!=====> Unable to open winmgmt registry key. The service key does not exist. Dodatkowo, szykuje się problem natury stricte sprzętowej, w Dzienniku zdarzeń błędy bad sektorów dysku: System errors: ============= Error: (12/19/2014 03:54:09 PM) (Source: 0) (EventID: 7) (User: ) Description: \Device\Harddisk0\D Pod tym kątem załóż nowy temat w dziale Hardware dostarczając wymagane dane: KLIK. I tu coś się dzieje ze strukturą plików, bo są "powielenia" katalogów z numerycznymi dopiskami: 2014-12-18 19:41 - 2014-12-18 20:33 - 00000000 ____D () C:\Program Files\ESET(3) 2014-12-18 19:41 - 2014-12-18 20:33 - 00000000 ____D () C:\Documents and Settings\All Users\Dane aplikacji\ESET(3) 2014-12-18 17:54 - 2014-12-18 20:34 - 00000000 ____D () C:\Program Files\Windows Resource Kits(2) 2014-12-18 17:50 - 2014-12-18 20:34 - 00000000 ____D () C:\Program Files\Common Files\Java(2) 2014-12-18 17:25 - 2014-12-18 20:34 - 00000000 ____D () C:\Program Files\ESET(2) 2014-12-18 17:25 - 2014-12-18 20:34 - 00000000 ____D () C:\Documents and Settings\All Users\Dane aplikacji\ESET(2) Nie wiadomo jaki jest stan dysku i czy opłaca się tu cokolwiek robić, na wszelki wypadek jednak podaję co należy zrobić z powyższym defektem Winmgmt oraz inne rzeczy: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000000 "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Instrumentacja zarządzania Windows" "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,02,00,00,00,00,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00 "Description"="Dostarcza interfejs i model obiektowy w celu uzyskiwania dostępu do informacji zarządzania o systemie operacyjnym, urządzeniach, aplikacjach i usługach. Jeśli ta usługa zostanie zatrzymana, większość oprogramowania opartego na systemie Windows nie będzie działać właściwie. Jeśli ta usługa zostanie wyłączona, uruchomienie usług od niej zależnych nie powiedzie się." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Enum] "0"="Root\\LEGACY_WINMGMT\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Internet Manager. RunOuc] "Start"=dword:00000004 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\77048882.sys] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\77048882.sys] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PCAMPR5] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UIUSys] [-HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome] [HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions] "{20a82645-c095-46ed-80e3-08825760534b}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{08C06D61-F1F3-4799-86F8-BE1A89362C85}"=- "{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="" [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Uruchom plik przez dwuklik, potwierdź import do rejestru i zresetuj system. 2. Odinstaluj zbędnik/śmiecia Qtrax Player oraz stare aplikacje: Adobe Flash Player 14 ActiveX, Adobe Shockwave Player 11.5, Foxit Reader, OpenOffice.org 3.2 (ten ostatni nie umie korzystać z Java 7 obecnej w systemie, jest za stary i kończy wsparcie na Java 6). Nie jest także potrzebna cała aplikacja neostrada tp - tylko sterowniki urządzenia są istotne.
  22. picasso
    1. Uruchom AdwCleaner ponownie, wybierz Szukaj, w karcie Registry odznacz wpis punktujący klucz SearchScopes {0633EE93-D776-472f-A0FF-E1416B8B2E3A}, następnie wybierz Usuń. 2. Otwórz Notatnik i wklej w nim (przypominam = 8 osobnych linii): RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\ROBERT\Desktop\FRST-OlderVersion RemoveDirectory: C:\Users\ROBERT\Desktop\Stare dane programu Firefox Reg: reg delete "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.
  23. picasso
    Kończymy: 1. Skasuj folder C:\Users\Agnese\Downloads\FRST. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Zaktualizuj wtyczki Adobe i Firefox, Google Chrome może wrócić na miejsce - odnośniki pobierania w w/w linku. Poza tym, w systemie jest stara badziewna wersja Gadu-Gadu 10 - albo zaktualizuj do najnowszej bardziej ludziek wersji GG, albo wybierz alternatywny program z dobrą obsługą Gadu np. WTW: KLIK.
  24. picasso
    Problem powoduje adware Click Caption 1.10.0.4. I użyłeś jakiś podejrzany pseudo-instalator TreeSize Free 2.7.0.168.exe bez opisu producenta - ten plik wcale nie wygląda na oryginalny instalator tylko na jakiś "downloader" pobrany z któregoś portalu lub innego nieautoryzowanego źródła. Ze strony domowej programu jest pobierany całkiem inny plik TreeSizeFreeSetup.exe sygnowany przez "JAM Software", a wersja programu nowsza. 2014-12-13 20:30 - 2014-12-13 20:30 - 00000000 ____D () C:\Program Files\ClickCaption_1.10.0.4 2014-12-12 16:38 - 2014-12-12 16:40 - 00705872 _____ ( ) C:\Documents and Settings\Krzysztof\Pulpit\TreeSize Free 2.7.0.168.exe Są też w systemie inne problemy, np.: - Znaki uszkodzenia systemowego WMI obrazowane poniższymi błędami w Dzienniku zdarzeń: Error: (12/19/2014 06:57:07 PM) (Source: SecurityCenter) (EventID: 1802) (User: ) Description: Usługa Centrum zabezpieczeń systemu Windows nie może ustanowić kwerend zdarzeń z WMI, aby monitorować zaporę i program antywirusowy innej firmy. Error: (12/19/2014 06:57:07 PM) (Source: WinMgmt) (EventID: 28) (User: ) Description: Moduł WinMgmt nie może zainicjować części podstawowych. Powodem mogą być: źle zainstalowana wersja modułu WinMgmt, awaria uaktualnienia repozytorium modułu WinMgmt, za mało miejsca na dysku lub za mało pamięci. - Nie widać w ogóle zainstalowanego Acronis, a jego sterowniki pracują pełną parą. Sterowniki filtrują dysk twardy i nie można ich usunąć "z biegu" bez zdjęcia filtrów, gdyż w przeciwnym wypadku Windows się już nie uruchomi. Przeprowadź następujące działania: 1. Przez Dodaj/Usuń programy odinstaluj: - Adware: Click Caption 1.10.0.4, Reputation Advisor. - Stare wersje Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Java 7 Update 51, OpenOffice.org 2.4 i problematyczny firewall NVIDIA ForceWare Network Access Manager. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis sysTPL > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hp&ts=1418499046&from=cor&uid=ST3160815AS_5RA2LWHWXXXX5RA2LWHW CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1418499046&from=cor&uid=ST3160815AS_5RA2LWHWXXXX5RA2LWHW" CHR DefaultSearchKeyword: Default -> omiga-plus CHR HKLM\...\Chrome\Extension: [bjfjckelkjhfgamlmipgdaklofacegaa] - C:\Program Files\maucampo\bjfjckelkjhfgamlmipgdaklofacegaa.crx [Not Found] FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\omiga-plus.xml FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files\Microsoft Silverlight\5.1.30514.0\npctrl.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [{C7AE725D-FA5C-4027-BB4C-787EF9F8248A}] - C:\Program Files\RelevantKnowledge\firefox ProxyServer: [s-1-5-21-796845957-1677128483-725345543-1003] => http=127.0.0.1:8877 HKU\S-1-5-21-796845957-1677128483-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-796845957-1677128483-725345543-1003 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-796845957-1677128483-725345543-1003 -> {AE70BAA0-210B-41B8-BA25-FB8E96305663} URL = http://szukaj.gazeta.pl/portalSearch.do?s.si(navigation).navigationEnabled=true&s.sm.query={searchTerms} BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre7\bin\ssv.dll No File BHO: AcroIEToolbarHelper Class -> {AE7CD045-E861-484f-8273-0445EE161910} -> C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll No File BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre7\bin\jp2ssv.dll No File Toolbar: HKLM - Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll No File Toolbar: HKU\.DEFAULT -> Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll No File Toolbar: HKU\S-1-5-21-796845957-1677128483-725345543-1003 -> Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll No File CustomCLSID: HKU\S-1-5-21-796845957-1677128483-725345543-1003_Classes\CLSID\{33370786-2876-5ab2-8da1-2c63f8dadfc1}\InprocServer32 -> C:\Program Files\VDownloader\Addons\npVDownloader.dll No File HKLM\...\Run: [] => [X] HKLM\...\Run: [WebEasyMail] => C:\WINWEB~1\easymail.exe -src HKLM\...\Run: [userFaultCheck] => %systemroot%\system32\dumprep 0 -u HKLM\...\Run: [unlockerAssistant] => "C:\Program Files\Unlocker\UnlockerAssistant.exe" HKU\S-1-5-21-796845957-1677128483-725345543-1003\...\Run: [NetLimiter] => C:\Program Files\NetLimiter 3\NLClientApp.exe /tray S3 Bcim; system32\DRIVERS\bcim.sys [X] S4 InCDFs; system32\drivers\InCDFs.sys [X] S1 InCDPass; system32\drivers\InCDPass.sys [X] S1 InCDRm; system32\drivers\InCDRm.sys [X] S3 LVUSBSta; system32\drivers\lvusbsta.sys [X] S3 NLNdisMP; system32\DRIVERS\nlndis.sys [X] S3 NLNdisPT; system32\DRIVERS\nlndis.sys [X] S3 pepifilter; system32\DRIVERS\lv302af.sys [X] S3 PID_08A0; system32\DRIVERS\LV302AV.SYS [X] S3 WFLR6654; system32\drivers\wfeaglxt.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F} C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\DAEMON Tools Lite C:\Documents and Settings\All Users\Dane aplikacji\DBC2F6FD-3140-41E0-A2A1-D6BAB77D5E21__F893F7CA-8278-41DF-A76F-CAF0437A90CD__ C:\Documents and Settings\All Users\Dane aplikacji\Temp C:\Documents and Settings\All Users\Dane aplikacji\TuneUp Software C:\Documents and Settings\Krzysztof\Dane aplikacji\avidemux C:\Documents and Settings\Krzysztof\Dane aplikacji\BITS C:\Documents and Settings\Krzysztof\Dane aplikacji\DAEMON Tools Lite C:\Documents and Settings\Krzysztof\Dane aplikacji\DBC2F6FD-3140-41E0-A2A1-D6BAB77D5E21__F893F7CA-8278-41DF-A76F-CAF0437A90CD__ C:\Documents and Settings\Krzysztof\Dane aplikacji\DVDVideoSoft C:\Documents and Settings\Krzysztof\Dane aplikacji\EurekaLog C:\Documents and Settings\Krzysztof\Dane aplikacji\FlashgetSetup C:\Documents and Settings\Krzysztof\Dane aplikacji\PowerCinema C:\Documents and Settings\Krzysztof\Dane aplikacji\TeamViewer C:\Documents and Settings\Krzysztof\Dane aplikacji\TuneUp Software C:\Documents and Settings\Krzysztof\Dane aplikacji\XMedia Recode C:\Documents and Settings\Krzysztof\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Documents and Settings\Krzysztof\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\Documents and Settings\Krzysztof\Pulpit\TreeSize Free 2.7.0.168.exe C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{540D60F3-67BD-4C49-A199-B1775CC39844}" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{900906EF-3D34-4D7D-8870-8B62C49DA2A8}" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318} /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F} /s CMD: netsh firewall reset CMD: net stop WinMgmt C:\WINDOWS\system32\wbem\Repository CMD: dir /a "C:\Documents and Settings\Krzysztof\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\LocalService\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\NetworkService\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Specjalny skrót Internet Explorer jest uszkodzony (pewnie AdwCleaner go niepoprawnie czyścił): Shortcut: C:\Documents and Settings\Krzysztof\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Documents and Settings\Krzysztof\Menu Start\Programy\Akcesoria\Narzędzia systemowe i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenie SeoQuake trzeba będzie przeinstalować. 5. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączne (ręcznie aktywuj). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy isearch.omiga-plus.com (o ile nadal będzie widoczne). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 6. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.
  25. picasso
    Brak oznak infekcji. Ten "rootkit" to nie jest żaden prawdziwy rootkit / infekcja, AVG wykrywa czynności Nortona: KLIK. Każdy antywirus wprowadza modyfikacje na określonym poziomie "rootkit-podobnym", nawet AVG - proszę oto z GMER przykładowe hooki SSDT obu antywirusów w Twoim systemie (a jest modyfikacji "rootkit-podobnych" więcej): ---- System - GMER 2.1 ---- SSDT 972B8738 ZwAlpcConnectPort SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys ZwNotifyChangeKey [0xC623C6E0] SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys ZwNotifyChangeMultipleKeys [0xC623C800] SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys ZwOpenProcess [0xC623C010] SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys ZwOpenThread [0xC623C4D0] SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys ZwSuspendProcess [0xC623C300] SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys ZwSuspendThread [0xC623C3E0] SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys ZwTerminateProcess [0xC623C120] SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys ZwTerminateThread [0xC623C210] SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys ZwWriteVirtualMemory [0xC623C5E0] Tu następuje kolizja detekcji: jeden antywirus wykrywa modyfikacje innego nie potrafiąc ocenić pochodzenia w sposób właściwy. Ta detekcja nie ma znaczenia i tu nie ma problemów. Natomiast ogólnie problemem nie jest żadna infekcja tylko właśnie instalacja Symantec: A wg raportów tu nadal siedzi Norton i to okropnie stary - komponenty z 2007/2008. Mnóstwo uruchomionych procesów, usług i sterowników, lista zainstalowanych wytapetowana instalacjami Norton (części nie widzisz, gdyż są tu też wpisy ukryte): ==================== Installed Programs ====================== AppCore (Version: 1.3 - Symantec Corporation) Hidden ccCommon (Version: 107.0.4.3 - Symantec) Hidden Component Framework (Version: 2006.1.3.35 - Symantec Corporation) Hidden LiveUpdate (Symantec Corporation) (HKLM\...\PsuedoLiveUpdate) (Version: 3.4.1.232 - Symantec Corporation) LiveUpdate (Symantec Corporation) (Version: 3.4.1.232 - Symantec Corporation) Hidden Norton AntiVirus (Version: 15.5.0.23 - Symantec Corporation) Hidden Norton AntiVirus Help (Version: 15.0 - Symantec Corporation) Hidden Norton Confidential Core (Version: 2.5.0.32 - Symantec Corporation) Hidden Norton Internet Security (Symantec Corporation) (HKLM\...\SymSetup.{C1C185CA-C531-49F5-A6FA-B838405A049D}) (Version: 15.5.0.23 - Symantec Corporation) Norton Internet Security (Version: 15.5.0.23 - Symantec Corporation) Hidden Norton Protection Center (Version: 3.6.0.18 - Symantec Corporation) Hidden SPBBC 32bit (Version: 4.1.0.15 - Symantec Corporation) Hidden Symantec Real Time Storage Protection Component (Version: 10.2.3.9 - Symantec Corporation) Hidden SymNet (Version: 8.0.1.22 - Symantec Corporation) Hidden ==================== Processes (Whitelisted) ================= (Symantec Corporation) C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe () C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe (Symantec Corporation) C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe ==================== Registry (Whitelisted) ================== HKLM\...\Run: [ccApp] => c:\Program Files\Common Files\Symantec Shared\ccApp.exe [51048 2008-02-07] (Symantec Corporation) HKLM\...\Run: [isCfgWiz] => c:\Program Files\Common Files\Symantec Shared\OPC\{C86EA115-FACD-4aa8-BFA2-398C677D0936}\SYMCUW.exe [611712 2008-02-23] (Symantec Corporation) ==================== Internet (Whitelisted) ==================== BHO: No Name -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> c:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.5\coIEPlg.dll (Symantec Corporation) BHO: Symantec Intrusion Prevention -> {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -> C:\Program Files\Common Files\Symantec Shared\IDS\IPSBHO.dll (Symantec Corporation) Toolbar: HKLM - Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.5\CoIEPlg.dll (Symantec Corporation) ========================== Services (Whitelisted) ================= S4 Automatic LiveUpdate Scheduler; c:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe [238968 2008-02-09] (Symantec Corporation) R2 ccEvtMgr; c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe [149864 2008-02-07] (Symantec Corporation) R2 ccSetMgr; c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe [149864 2008-02-07] (Symantec Corporation) R2 CLTNetCnService; c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe [149864 2008-02-07] (Symantec Corporation) S3 comHost; c:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe [55640 2007-08-22] (Symantec Corporation) S3 LiveUpdate; c:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE [3220856 2008-02-09] (Symantec Corporation) R2 LiveUpdate Notice; c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe [149864 2008-02-07] (Symantec Corporation) R3 Symantec Core LC; C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe [1245064 2008-08-25] () ==================== Drivers (Whitelisted) ==================== R2 CO_Mon; C:\Windows\system32\drivers\CO_Mon.sys [36056 2007-08-09] (Symantec Corporation) S3 IDSvix86; C:\ProgramData\Symantec\Definitions\SymcData\ipsdefs\20071204.002\IDSvix86.sys [180272 2007-11-06] (Symantec Corporation) R3 NAVENG; C:\ProgramData\Symantec\Definitions\VirusDefs\20080518.003\NAVENG.SYS [82256 2008-05-18] (Symantec Corporation) R3 NAVEX15; C:\ProgramData\Symantec\Definitions\VirusDefs\20080518.003\NAVEX15.SYS [895408 2008-05-18] (Symantec Corporation) S3 SPBBCDrv; C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCDrv.sys [447024 2008-01-17] (Symantec Corporation) R3 SRTSP; C:\Windows\System32\Drivers\SRTSP.SYS [279088 2008-02-01] (Symantec Corporation) S3 SRTSPL; C:\Windows\System32\Drivers\SRTSPL.SYS [317616 2008-02-01] (Symantec Corporation) R1 SRTSPX; C:\Windows\System32\Drivers\SRTSPX.SYS [43696 2008-02-01] (Symantec Corporation) R3 SymEvent; C:\Windows\system32\Drivers\SYMEVENT.SYS [123952 2008-08-25] (Symantec Corporation) R1 SymIM; C:\Windows\System32\DRIVERS\SymIMv.sys [24112 2008-02-20] (Symantec Corporation) R1 SYMTDI; C:\Windows\System32\Drivers\SYMTDI.SYS [188464 2008-02-05] (Symantec Corporation) Ten rozbudowany archaiczny Norton sam w sobie może być przyczyną poważnych kłopotów (BSODy z powodu za starych sterowników, blokada startu systemu, spowolnienie, dysfunkcja sieci), a tu jeszcze sprawa pogrążona instalacją AVG. Masakra. To mogło całkowicie zablokować rozruch systemu. Niestety problemem jest tu Recovery - obraz ma zintegrowane stare aplikacje i "przywracając do ustawień fabrycznych" za każdym razem przywracane są te same archaizmy (nie tylko Norton, również Adobe, Java, Windows Live Messenger - ten komunikator już nawet nie działa, obecnie zastąpił go Skype - oraz inne integracje producenta). Poza tym, Recovery degraduje aktualizacje systemu i obecny stan to: Platform: Microsoft® Windows Vista™ Home Premium Service Pack 1 (X86) OS Language: Polski (Polska)Internet Explorer Version 7 1. Rozpocznij od całkowitego wyrzucenia starych instalacji z systemu: - Przez Panel sterowania odinstaluj wszystko co widać od Symantec. Odinstaluj także inne stare dziurawe oraz całkowicie zbędne aplikacje: Adobe Flash Player ActiveX, Adobe Reader 8.1.0 - Polish, Adobe Shockwave Player, Java™ 6 Update 6, HP Customer Experience Enhancements, Pasek narzędzi AOL 5.0, Windows Live Messenger. Rozważ czy potrzebujesz inne firmowe integracje, np. multum instalacji CyberLink, QuickPlay SlingPlayer, Microsoft Office. - Następnie przejdź w Tryb awaryjny Windows i zastosuj Norton Removal Tool. 2. Opuść Tryb awaryjny. Zrób nowy Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi.
×
×
  • Dodaj nową pozycję...