picasso

Używałeś wątpliwy skaner SpyHunter - z daleka od niego. Discount Dragon jest zablokowany za pomocą polityk Google. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2636827988-668989614-3064574600-1115\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=N360&pvid=21.4.0.13 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://securityresponse.symantec.com/avcenter/fix_homepage/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://securityresponse.symantec.com/avcenter/fix_homepage/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://securityresponse.symantec.com/avcenter/fix_homepage/ HKU\S-1-5-21-2636827988-668989614-3064574600-1115\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=N360&pvid=21.4.0.13 BHO-x32: Norton Identity Protection -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> C:\Program Files (x86)\Norton 360\Engine\21.6.0.32\coIEPlg.dll No File BHO-x32: Norton Vulnerability Protection -> {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -> C:\Program Files (x86)\Norton 360\Engine\21.6.0.32\IPS\IPSBHO.DLL No File BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File Toolbar: HKLM-x32 - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File HKU\S-1-5-21-2636827988-668989614-3064574600-1115\Software\Classes\.exe: exefile => HKU\S-1-5-21-2636827988-668989614-3064574600-1115\Software\Classes\exefile: Task: {5784827B-7C33-4D14-B5DB-9F5F630B685B} - System32\Tasks\{80899BCE-E5E4-405F-8D28-F9E2D95F2E6E} => pcalua.exe -a C:\Users\RadoslawT.ELKAR\Downloads\RegCleaner4.3.0.780_www.INSTALKI.pl.exe -d C:\Users\RadoslawT.ELKAR\Downloads Task: {9B51166A-906C-4CFE-A300-3DC6C40D21C4} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2636827988-668989614-3064574600-1115Core => C:\Users\RadoslawT.ELKAR\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {9DD9063C-5646-4434-8EBB-8A6FB1700764} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2636827988-668989614-3064574600-1115UA => C:\Users\RadoslawT.ELKAR\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {B326C34B-08BC-4C58-B568-4B5274AD3A2A} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe Task: {B9EAB8D4-D522-4EB0-9279-FCA379BA841E} - System32\Tasks\bench-S-1-5-21-2636827988-668989614-3064574600-1115 => C:\Program Files (x86)\Bench\Updater\updater.exe BootExecute: autocheck autochk * sdnclean64.exe AS: Spybot - Search and Destroy (Disabled - Up to date) {9BC38DF1-3CCA-732D-A930-C1CA5F20A4B0} S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 gfiark; system32\drivers\gfiark.sys [X] S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\ProgramData\Spybot - Search & Destroy C:\Users\krzysztofs\Desktop\RegCleaner.lnk C:\Users\RadoslawT\Desktop\RegCleaner.lnk C:\Users\RadoslawT.ELKAR\Downloads\SpyHunter-Installer.exe C:\Windows\system32\Drivers\kgpcpy.cfg C:\Windows\system32\log C:\Windows\System32\Tasks\Safer-Networking Hosts: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone - włącz wszystko ręcznie. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Skasuj plik C:\Delfix.txt z dysku. Jeśli chodzi wyciąg DD, to na pewno cały log? Wygląda na urwany na początku. Na czym stoimy w tej kwestii? Były zalecenia: PS. A temat to przenoszę do działu Windows, bo tu jest duża dysproporcja tematyczna, infekcja nie jest przyczyną problemów.

Temat przenoszę do działu Windows 8. Nic tu nie wskazuje na infekcję. W Dzienniku zdarzeń jest dużo błędów składników aplikacji Dell Backup and Recovery: Application errors: ================== Error: (12/18/2014 10:26:32 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: DmiInfo.exe, wersja: 1.0.0.0, sygnatura czasowa: 0x5273bfb9 Nazwa modułu powodującego błąd: KERNELBASE.dll, wersja: 6.3.9600.17278, sygnatura czasowa: 0x53eeb460 Kod wyjątku: 0xe0434352 Przesunięcie błędu: 0x00012f71 Identyfikator procesu powodującego błąd: 0x588 Godzina uruchomienia aplikacji powodującej błąd: 0xDmiInfo.exe0 Ścieżka aplikacji powodującej błąd: DmiInfo.exe1 Ścieżka modułu powodującego błąd: DmiInfo.exe2 Identyfikator raportu: DmiInfo.exe3 Pełna nazwa pakietu powodującego błąd: DmiInfo.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: DmiInfo.exe5 Error: (12/18/2014 10:26:32 PM) (Source: .NET Runtime) (EventID: 1026) (User: ) Description: Aplikacja: DmiInfo.exe Wersja architektury: v4.0.30319 Opis: proces został przerwany z powodu nieobsłużonego wyjątku. Informacje o wyjątku: System.Management.ManagementException Stos: w System.Management.ManagementException.ThrowWithExtendedInfo(System.Management.ManagementStatus) w System.Management.ManagementScope.InitializeGuts(System.Object) w System.Management.ManagementScope.Initialize() w System.Management.ManagementObject.Initialize(Boolean) w System.Management.ManagementClass.GetInstances(System.Management.EnumerationOptions) w System.Management.ManagementClass.GetInstances() w DmiInfo.Program.GetSystemModel() w DmiInfo.Program.Main(System.String[]) Error: (12/18/2014 10:24:51 PM) (Source: Dell System Detect) (EventID: 0) (User: ) Description: System.Reflection.TargetInvocationException w System.Reflection.RuntimeMethodInfo.Invoke(Object obj, BindingFlags invokeAttr, Binder binder, Object[] parameters, CultureInfo culture, Boolean skipVisibilityChecks) w System.Reflection.RuntimeMethodInfo.Invoke(Object obj, BindingFlags invokeAttr, Binder binder, Object[] parameters, CultureInfo culture) w System.Reflection.MethodBase.Invoke(Object obj, Object[] parameters) w eSupport.Common.Client.Service.RequestHandlers.ClientServiceHandler.c3495b834b5bac1c64574ce72cfe36240(HttpListenerContext ce14c4d47ebe0e68f7c453da6c7e6a8c0)]]> eSupport.Common.Client.Drivers.Exceptions.WMIFailureExceptionSystem.Management.ManagementException w System.Management.ManagementScope.InitializeGuts(Object o) w System.Management.ManagementScope.Initialize() w System.Management.ManagementObject.Initialize(Boolean getObject) w System.Management.ManagementClass.GetInstances(EnumerationOptions options) w eSupport.Common.Client.Service.Global.ClientServiceLogic.GetServiceTag()]]> getservicetagclientserviceMozilla/5.0 (Windows NT 6.3; WOW64; rv:34.0) Gecko/20100101 Firefox/34.0 Error: (12/18/2014 10:20:44 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: DmiInfo.exe, wersja: 1.0.0.0, sygnatura czasowa: 0x5273bfb9 Nazwa modułu powodującego błąd: KERNELBASE.dll, wersja: 6.3.9600.17278, sygnatura czasowa: 0x53eeb460 Kod wyjątku: 0xe0434352 Przesunięcie błędu: 0x00012f71 Identyfikator procesu powodującego błąd: 0x1304 Godzina uruchomienia aplikacji powodującej błąd: 0xDmiInfo.exe0 Ścieżka aplikacji powodującej błąd: DmiInfo.exe1 Ścieżka modułu powodującego błąd: DmiInfo.exe2 Identyfikator raportu: DmiInfo.exe3 Pełna nazwa pakietu powodującego błąd: DmiInfo.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: DmiInfo.exe5 Error: (12/18/2014 10:20:44 PM) (Source: .NET Runtime) (EventID: 1026) (User: ) Description: Aplikacja: DmiInfo.exe Wersja architektury: v4.0.30319 Opis: proces został przerwany z powodu nieobsłużonego wyjątku. Informacje o wyjątku: System.Management.ManagementException Stos: w System.Management.ManagementException.ThrowWithExtendedInfo(System.Management.ManagementStatus) w System.Management.ManagementScope.InitializeGuts(System.Object) w System.Management.ManagementScope.Initialize() w System.Management.ManagementObject.Initialize(Boolean) w System.Management.ManagementClass.GetInstances(System.Management.EnumerationOptions) w System.Management.ManagementClass.GetInstances() w DmiInfo.Program.GetSystemModel() w DmiInfo.Program.Main(System.String[]) Error: (12/18/2014 10:06:03 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: TOASTER.EXE, wersja: 1.0.1.139, sygnatura czasowa: 0x518d3481 Nazwa modułu powodującego błąd: KERNELBASE.dll, wersja: 6.3.9600.17278, sygnatura czasowa: 0x53eeb460 Kod wyjątku: 0xe0434352 Przesunięcie błędu: 0x00012f71 Identyfikator procesu powodującego błąd: 0x1600 Godzina uruchomienia aplikacji powodującej błąd: 0xTOASTER.EXE0 Ścieżka aplikacji powodującej błąd: TOASTER.EXE1 Ścieżka modułu powodującego błąd: TOASTER.EXE2 Identyfikator raportu: TOASTER.EXE3 Pełna nazwa pakietu powodującego błąd: TOASTER.EXE4 Identyfikator aplikacji względem pakietu powodującego błąd: TOASTER.EXE5 Error: (12/18/2014 10:06:02 PM) (Source: .NET Runtime) (EventID: 1026) (User: ) Description: Aplikacja: TOASTER.EXE Wersja architektury: v4.0.30319 Opis: proces został przerwany z powodu nieobsłużonego wyjątku. Informacje o wyjątku: System.Management.ManagementException Stos: w MS.Internal.Threading.ExceptionFilterHelper.TryCatchWhen(System.Object, System.Delegate, System.Object, Int32, System.Delegate) w System.Windows.Threading.DispatcherOperation.InvokeImpl() w System.Windows.Threading.DispatcherOperation.InvokeInSecurityContext(System.Object) w System.Threading.ExecutionContext.RunInternal(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object, Boolean) w System.Threading.ExecutionContext.Run(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object, Boolean) w System.Threading.ExecutionContext.Run(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object) w System.Windows.Threading.DispatcherOperation.Invoke() w System.Windows.Threading.Dispatcher.ProcessQueue() w System.Windows.Threading.Dispatcher.WndProcHook(IntPtr, Int32, IntPtr, IntPtr, Boolean ByRef) w MS.Win32.HwndWrapper.WndProc(IntPtr, Int32, IntPtr, IntPtr, Boolean ByRef) w MS.Win32.HwndSubclass.DispatcherCallbackOperation(System.Object) w System.Windows.Threading.ExceptionWrapper.InternalRealCall(System.Delegate, System.Object, Int32) w MS.Internal.Threading.ExceptionFilterHelper.TryCatchWhen(System.Object, System.Delegate, System.Object, Int32, System.Delegate) w System.Windows.Threading.Dispatcher.LegacyInvokeImpl(System.Windows.Threading.DispatcherPriority, System.TimeSpan, System.Delegate, System.Object, Int32) w MS.Win32.HwndSubclass.SubclassWndProc(IntPtr, Int32, IntPtr, IntPtr) w MS.Win32.UnsafeNativeMethods.DispatchMessage(System.Windows.Interop.MSG ByRef) w System.Windows.Threading.Dispatcher.PushFrameImpl(System.Windows.Threading.DispatcherFrame) w System.Windows.Threading.Dispatcher.PushFrame(System.Windows.Threading.DispatcherFrame) w System.Windows.Threading.Dispatcher.Run() w System.Windows.Application.RunDispatcher(System.Object) w System.Windows.Application.RunInternal(System.Windows.Window) w System.Windows.Application.Run(System.Windows.Window) w Toaster.App.Main() Error: (12/18/2014 10:06:02 PM) (Source: TOASTER.EXE) (EventID: 0) (User: ) Description: An Unhandled Exception occured. Not found w System.Management.ThreadDispatch.Start() w System.Management.ManagementScope.Initialize() w System.Management.ManagementEventWatcher.Initialize() w System.Management.ManagementEventWatcher.Start() w Toaster.Services.PowerManagementService.Start() w Toaster.MainWindowViewModel..ctor() w Toaster.App.OnStartup(StartupEventArgs e) w System.Windows.Application.b__1(Object unused) w System.Windows.Threading.ExceptionWrapper.InternalRealCall(Delegate callback, Object args, Int32 numArgs) w MS.Internal.Threading.ExceptionFilterHelper.TryCatchWhen(Object source, Delegate method, Object args, Int32 numArgs, Delegate catchHandler) Error: (12/18/2014 10:01:34 PM) (Source: Application Hang) (EventID: 1002) (User: ) Description: Program Dell.WelcomeGuide.exe w wersji 1.0.0.0 przestał współpracować z systemem Windows i został zamknięty. Aby sprawdzić, czy jest dostępnych więcej informacji na temat tego problemu, sprawdź historię problemu w aplecie Centrum akcji w Panelu sterowania. Identyfikator procesu: 5a4 Godzina rozpoczęcia: 01d01b05c23cc8ee Godzina zakończenia: 4294967295 Ścieżka aplikacji: C:\Program Files\WindowsApps\DellInc.DellGettingStartedwithWindows8_1.0.0.35_neutral__htrsf667h5kn2\Dell.WelcomeGuide.exe Identyfikator raportu: 09a7511b-86f9-11e4-bea8-681729281ae9 Pełna nazwa pakietu powodującego błąd: DellInc.DellGettingStartedwithWindows8_1.0.0.35_neutral__htrsf667h5kn2 Identyfikator aplikacji względem pakietu powodującego błąd: App Error: (12/18/2014 10:01:30 PM) (Source: Microsoft-Windows-Immersive-Shell) (EventID: 2486) (User: KAMIL) Description: Aplikacja DellInc.DellGettingStartedwithWindows8_1.0.0.35_neutral__htrsf667h5kn2+App nie została uruchomiona w wyznaczonym czasie. Jak rozumiem uruchamiasz opcję Resetuj PC spod działającego Windows. Czy to samo się dzieje w przypadku wywołania tej opcji z poziomu środowiska zewnętrznego RE tzn. w ustawieniach opcja Uruchamianie zaawansowane i restart systemu do RE lub boot z poziomu płyty DVD Windows 8 do modułu "Napraw komputer"? .

Zestaw logów lichy (OTL zresztą niekompletny, brak Extras). Proszę dostosuj się do zasad działu w kwestii obowiązujących raportów: KLIK. OTL to przestarzały program sprawdzany tylko pobocznie, obecnie główne raporty to FRST. Uzupełnij.

Za późno pewne rzeczy doedytowałam i przetwarzałeś skrypt bez tych edycji, poza tym nie został przetworzony wpis śmieciarki "Bearshare" w Google Chrome (nie wiadomo dlaczego, skoro w skrypcie potwierdzenie resetu) + "Windows® Statistics Service" (problem z formatowaniem i muszę ująć skrypt w innym tagu BBCode) + żadna z komend CMD (nie wiadomo dlaczego). Poprawki. Otwórz Notatnik i wklej w nim: CHR HomePage: Default -> hxxp://search.bearshare.com/ C:\ProgramData\DAEMON Tools Lite C:\ProgramData\IHProtectUpDate C:\ProgramData\Malwarebytes C:\Users\Pablo\AppData\Local\Adobe C:\Users\Pablo\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Pablo\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localStorage* C:\Users\Pablo\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\Pablo\AppData\Roaming\Adobe C:\Users\Pablo\AppData\Roaming\DAEMON Tools Lite C:\Users\Pablo\AppData\Roaming\Macromedia C:\Users\Pablo\AppData\Roaming\tor C:\Windows\system32\2014-*.log Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "C:\Windows\System32\nvinitx.dll" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows(R) Statistics Service" /f Folder: C:\Users\Pablo\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Pablo\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Pablo\AppData\Local CMD: dir /a C:\Users\Pablo\AppData\LocalLow CMD: dir /a C:\Users\Pablo\AppData\RoamingPlik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Ten ESET i tak do wymiany. Jest zbyt stary, czyli sam w sobie za słabo zabezpieczony w stosunku do nowoczesnych zagrożeń - 4 lata w świecie malware to cała epoka. Aktualizacja baz definicji to nie to samo co aktualizacja komponentów programu (sterowniki. mechanizmy autuoobrony etc.). "Średniej jakości" Avast jako rozwiązanie znacznie nowsze nie jest już takie "średnie".

Brakuje głównego skanu FRST.txt. Dodaj w poście powyżej i zawiadom na PW o edycji.

Ten ESET jest stary, wersja 4 - rocznik 2010. Najnowszy ESET to wersja 8. Był w międzyczasie Avast - co było z nim nie tak, że został wyrzucony na korzyść starego ESET? YAC to wątpliwy i mocno podejrzany program: KLIK. Już go odinstalowałeś, ale pozostały po nim liczne ślady w systemie, czyli przekierowania search.yac.mx. Co widzę w podanych tu raportach: brak oznak czynnej infekcji, są tylko martwe odpadkowe ślady, które nie mogą powodować negatywnych objawów w kontekście np. szybkości. W systemie była infekcja podobna do VBKlip/Banatrix (ostały się elementy "WinSTAT" w Harmonogramie zadań) oraz adware/PUP. Ta druga grupa to nie wirusy i źródłem był jeden z tych mechanizmów: KLIK. Trzeba to oczywiście doczyścić i instrukcje poniżej. Ale jeśli obecnie nadal notujesz problem z szybkością systemu i internetu, to tu podejrzanym jest nie kto inny a ESET - oprogramowanie zabezpieczające jest inwazyjne, ingeruje mocno w te sfery. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {0EF10738-7760-45E4-8CCE-5BB7606EC8AF} - System32\Tasks\WinSTAT => C:\ProgramData\WinSTAT\WinSTAT.exe Task: {84B61353-7DD3-4F39-9675-0265689AD0A0} - System32\Tasks\{CE828525-04B0-4600-9323-58920530827C} => pcalua.exe -a C:\Users\Pablo\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=smt ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-803990909-3303059268-1033452581-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9500325as_s2w7qa51xxxxs2w7qa51 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9500325as_s2w7qa51xxxxs2w7qa51 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=st9500325as_s2w7qa51xxxxs2w7qa51 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-803990909-3303059268-1033452581-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=st9500325as_s2w7qa51xxxxs2w7qa51&ts=1418954443 SearchScopes: HKLM -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=st9500325as_s2w7qa51xxxxs2w7qa51&ts=1418954443 SearchScopes: HKLM-x32 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=st9500325as_s2w7qa51xxxxs2w7qa51&ts=1418954443 SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=st9500325as_s2w7qa51xxxxs2w7qa51&ts=1418954443 SearchScopes: HKU\S-1-5-21-803990909-3303059268-1033452581-1000 -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = SearchScopes: HKU\S-1-5-21-803990909-3303059268-1033452581-1000 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = CHR HomePage: Default -> hxxp://search.bearshare.com/ U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] C:\Program Files\AVAST Software C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\Temp C:\ProgramData\AVAST Software C:\ProgramData\DAEMON Tools Lite C:\ProgramData\IHProtectUpDate C:\ProgramData\Malwarebytes C:\ProgramData\WinSTAT C:\Users\Pablo\AppData\Local\Adobe C:\Users\Pablo\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Pablo\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localStorage* C:\Users\Pablo\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\Pablo\AppData\Roaming\Adobe C:\Users\Pablo\AppData\Roaming\AVAST Software C:\Users\Pablo\AppData\Roaming\DAEMON Tools Lite C:\Users\Pablo\AppData\Roaming\Macromedia C:\Users\Pablo\AppData\Roaming\tor C:\Windows\avastSS.scr C:\Windows\system32\2014-*.log C:\Windows\system32\log C:\Windows\system32\vbox C:\Windows\SysWOW64\vbox Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "C:\Windows\System32\nvinitx.dll" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows® Statistics Service" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Folder: C:\Users\Pablo\AppData\Local\SCE Folder: C:\Users\Pablo\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Pablo\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Pablo\AppData\Local CMD: dir /a C:\Users\Pablo\AppData\LocalLow CMD: dir /a C:\Users\Pablo\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Specjalny skrót IE jest uszkodzony (prawdopodobnie źle go naprawiał AdwCleaner): Shortcut: C:\Users\Pablo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Pablo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

W raportach nie ma żadnych oznak infekcji, również zupełnie nic z nich nie wynika pod kątem opisywanego problemu. "Proces bezczynności systemu" jest interpretowany odwrotnie niż pozostałe: im wyższa liczba CPU (procent procesora w spoczynku), tym lepiej. Jak mówiłam, Returnil nie powinien mieć w owym czasie nic do rzeczy. Natomiast obecnie podejrzanym jest właśnie nowa instalacja Buffer Zone Security, oczywiście nie w kontekście szkodliwości tylko w kontekście inwazyjnych modyfikacji systemowych, które mogłyby być przyczyną dziwnych zachowań. Zdecydowana różnica między poprzednimi raportami a bieżącymi to właśnie liczne modyfikacje Buffer (duża ilość procesów i załadowanych modułów, sterowniki, wszczepienia w powłokę): ==================== Processes (Whitelisted) ================= () C:\Program Files\Admin\BufferZone\ClntSvc.exe () C:\Program Files\Admin\BufferZone\BZRpcSs.exe () C:\Program Files\Admin\BufferZone\BZDcomLaunch.exe () C:\Program Files\Admin\BufferZone\ClientGUI.exe ==================== Loaded Modules (whitelisted) ============= 2013-12-29 11:56 - 2013-12-29 11:56 - 00572320 _____ () C:\Program Files\Admin\BufferZone\RLHOOK32.DLL 2013-12-29 11:57 - 2013-12-29 11:57 - 03142000 _____ () C:\Program Files\Admin\BufferZone\CLNTSVC.EXE 2013-12-29 11:56 - 2013-12-29 11:56 - 00235424 _____ () C:\Program Files\Admin\BufferZone\BZRPCSS.EXE 2013-12-29 11:56 - 2013-12-29 11:56 - 00239008 _____ () C:\Program Files\Admin\BufferZone\BZDCOMLAUNCH.EXE 2013-12-29 11:57 - 2013-12-29 11:57 - 00148896 _____ () C:\Program Files\Admin\BufferZone\WINBORDER.DLL 2013-12-29 11:56 - 2013-12-29 11:56 - 03408808 _____ () C:\Program Files\Admin\BufferZone\ClientGUI.exe ==================== Registry (Whitelisted) ================== HKLM\...\Run: [bufferZone] => C:\Program Files\Admin\BufferZone\CLIENTGUI.EXE [3408808 2013-12-29] () ShellIconOverlayIdentifiers: [0_sxBZOverlayIcon] -> {6457FB0A-5C02-4393-909C-2139A5D5571F} => C:\Windows\system32\RlShellExt.dll (TODO: ) ShellIconOverlayIdentifiers: [0_sxConfidentialOIcon] -> {871FE18B-B68D-4437-BC76-6634996CDB97} => C:\Windows\system32\RlShellExt.dll (TODO: ) ShellIconOverlayIdentifiers: [0_sxForbiddenOIcon] -> {1F03249C-6AB2-4E31-8C10-86F7E31E3B4E} => C:\Windows\system32\RlShellExt.dll (TODO: ) ========================== Services (Whitelisted) ================= R2 BufferZoneSvc; C:\Program Files\Admin\BufferZone\CLNTSVC.EXE [3142000 2013-12-29] () ==================== Drivers (Whitelisted) ==================== R1 REDLIGHT; C:\Windows\System32\drivers\REDLIGHT.SYS [457120 2013-12-29] (BufferZone) R2 RLMUPFLT; C:\Windows\system32\drivers\RLMUPFLT.sys [14752 2013-12-29] (BufferZone) R2 RLNSIFLTR; C:\Windows\system32\drivers\RLNSIFLTR.sys [13216 2013-12-29] (BufferZone) Poza tym, w Dzienniku zdarzeń są błędy związane z Buffer: Application errors: ================== Error: (12/18/2014 11:11:11 PM) (Source: BufferZoneSvc) (EventID: 0) (User: ) Description: Nieprawidłowe dojście CodeIntegrity Errors: =================================== Date: 2014-12-18 23:12:06.074 Description: Code Integrity is unable to verify the image integrity of the file \Device\HarddiskVolume5\Program Files\Admin\BufferZone\RlHook32.dll because the set of per-page image hashes could not be found on the system. PS. Poprzednio usuwałam folder C:\Users\rambo\AppData\Roaming\Returnil z dysku. Wg OTL on nadal jest. To tylko uwaga poboczna, ten odpadek jest bez związku.

Program nie był pobierany z podanego przeze mnie linka. Została użyta strasznie stara wersja FRST pozbawiona nowych skanów i innych poprawek: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 04-03-2014 (ATTENTION: ====> FRST version is 289 days old and could be outdated) Proszę jeszcze raz: wejść do linkowanego przyklejonego, pobrać najnowszą wersję, zrobić wymagane skany (trzy pliki mają powstać).

Brakuje trzeciego pliku FRST Shortcut. W Firefox jest rozszerzenie adware Webber-SW. Prócz tego są inne ślady sponsorów oraz polityki oprogramowania ograniczające instalację Avira. Ten efekt nie jest powiązany z powyższym. COMODO może być podejrzanym. Wykonaj następujące działania: 1. Odinstaluj Mobogenie3 - to wątpliwy program z akcentami adware, w wielu tematach były zgłaszane też "zamulenia" systemu pod jego wpływem. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Tu podobnie jak w innym Twoim temacie dwa skrypty, by wypiąć z Dziennika zdarzeń odpadki Dr. Web i Spybota: Adnotacja dla innych czytających: skrypty unikatowe - dopasowane tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. ----> Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\update.exe HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\checkt.exe HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avwsc.exe HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avgnt.exe HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avira_en____fm.exe HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avwebgrd.exe HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\ccuac.exe HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avwebloader.exe HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\fact.exe HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avguard.exe HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avconfig.exe HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\guardgui.exe HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\offercast_avirav7_.exe HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avshadow.exe HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\setup.exe HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avnotify.exe HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avscan.exe HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avupgsvc.exe HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avcenter.exe HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\setuppending.exe HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\licmgr.exe HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\sched.exe HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\ipmgui.exe HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\updrgui.exe HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avrestart.exe HKLM Group Policy restriction on software: C:\Program Files\Avira\AntiVir Desktop\avcenter.exe HKLM\...\Run: [Anti Trojan Elite] => C:\Program Files\Anti Trojan Elite\TJEnder.exe :NO HKU\S-1-5-18\...\Run: [stronghold AntiMalware] => C:\Program Files\Stronghold AntiMalware\StrongholdAntiMalware.exe BootExecute: autocheck autochk * sdnclean.exe ProxyServer: [s-1-5-21-796845957-2052111302-725345543-1003] => localhost:8080 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKU\S-1-5-21-796845957-2052111302-725345543-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKU\S-1-5-21-796845957-2052111302-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki" Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINNT\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\Admin\Doctor Web C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy C:\Program Files\Anti Trojan Elite C:\Program Files\Spybot - Search & Destroy 2 C:\WINNT\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Local Page" /t REG_SZ /d C:\WINNT\system32\blank.htm /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: sc config Eventlog start= disabled EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows, by unieszkodliwić COMODO, loguj się na swoje konto Admin a nie wbudowane Administrator. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (przekopiuj go gdzieś). ----> Otwórz Notatnik i wklej w nim: C:\WINNT\system32\config\Doctor Web.evt C:\WINNT\system32\config\SpybotSD.evt CMD: sc config Eventlog start= auto Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Z poziomu Trybu awaryjnego uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt (nadpisze poprzedni). 4. Zrób nowy log FRST z opcji Scan (dostarcz brakujący Shortcut). Dołącz też oba pliki fixlog.txt.

Na temat używania ComboFix: KLIK. Zasady działu jakie logi są obowiązkowe: KLIK. Prócz obowiązkowych logów poproszę też o dodatkowy log USBFix z opcji Listing zrobiony przy podpiętym pendrive.

FRST jest niekompletny - brakuje trzeciego pliku Shortcut. Póki co, w raportach nie widać żadnych oznak czynnej infekcji, są tylko martwe odpadki adware (brak wpływu na system). Z jakimi operacjami jest związane pojawianie się okna cmd - jakie funkcje wtedy próbujesz wywoływać? Ale jaki błąd? Podaj 1:1 co się pokazuje i w którym dokładnie momencie.

Umknął mi jeszcze sterownik adware (tStLibG.sys) - uwzględniony w poprawkach w punkcie 2. 1. Przez Dodaj/Usuń programy odinstaluj stare wersje: Adobe Flash Player 11 ActiveX, Adobe Flash Player 15 Plugin, Foxit Reader, Java 7 Update 67, Java DB 10.4.1.3, Java™ 6 Update 30, Java™ SE Development Kit 6 Update 12. Tu przypuszczalną drogą infekcji była właśnie dziurawa Java. Najnowsze wersje zainstalujesz dopiero na końcu, po ukończeniu czyszczenia systemu. 2. Usunięcie odpadkowych wpisów, pustych skrótów, niekompatybilnych elementów. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 tStLibG; I:\WINDOWS\System32\drivers\tStLibG.sys [55224 2014-04-05] (StdLib) S3 SynasUSB; system32\drivers\SynasUSB.sys [X] Task: I:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-1960408961-117609710-725345543-1003Core.job => I:\Documents and Settings\PatrykG\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe Task: I:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-1960408961-117609710-725345543-1003UA.job => I:\Documents and Settings\PatrykG\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe HKU\S-1-5-21-1960408961-117609710-725345543-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1960408961-117609710-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Toolbar: HKLM - Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - I:\Program Files\Orbitdownloader\GrabPro.dll No File Toolbar: HKU\S-1-5-21-1960408961-117609710-725345543-1003 -> Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - I:\Program Files\Orbitdownloader\GrabPro.dll No File FF Extension: Ashampoo PO - I:\Documents and Settings\PatrykG\Dane aplikacji\Mozilla\Firefox\Profiles\ydhbxs8t.default\Extensions\{d43723ae-1ae1-4a25-a6a4-bf0929273cab} [2014-11-11] FF Extension: عارض PDF - I:\Documents and Settings\PatrykG\Dane aplikacji\Mozilla\Firefox\Profiles\ydhbxs8t.default\Extensions\uriloader@pdf.js.xpi [2012-12-17] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - I:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension I:\Documents and Settings\Administrator\Dane aplikacji\ProgSense I:\Documents and Settings\All Users\Dane aplikacji\APN I:\Documents and Settings\All Users\Dane aplikacji\eLicenser I:\Documents and Settings\All Users\Dane aplikacji\Syncrosoft I:\Documents and Settings\All Users\Dane aplikacji\TEMP I:\Documents and Settings\PatrykG\Dane aplikacji\Arturia I:\Documents and Settings\PatrykG\Dane aplikacji\Cycling '74 I:\Documents and Settings\PatrykG\Dane aplikacji\GrabPro I:\Documents and Settings\PatrykG\Dane aplikacji\InterVideo I:\Documents and Settings\PatrykG\Dane aplikacji\lang I:\Documents and Settings\PatrykG\Dane aplikacji\log I:\Documents and Settings\PatrykG\Dane aplikacji\Logia I:\Documents and Settings\PatrykG\Dane aplikacji\Mipony I:\Documents and Settings\PatrykG\Dane aplikacji\PDF Labs I:\Documents and Settings\PatrykG\Dane aplikacji\ProgSense I:\Documents and Settings\PatrykG\Dane aplikacji\ProXmar Memo I:\Documents and Settings\PatrykG\Dane aplikacji\Thunderbird I:\Documents and Settings\PatrykG\Dane aplikacji\VitySoft I:\Documents and Settings\PatrykG\Dane aplikacji\Workrave I:\Documents and Settings\PatrykG\Pulpit\uporzadkiiiiiii\Continue Any Send Installation.lnk I:\Documents and Settings\PatrykG\Pulpit\Pulpit\Bullzip PDF Printer.lnk I:\Documents and Settings\PatrykG\Pulpit\Pulpit\DVD Identifier.lnk I:\Documents and Settings\PatrykG\Pulpit\Pulpit\GetFLV.lnk I:\Documents and Settings\PatrykG\Pulpit\Pulpit\Google Earth.lnk I:\Documents and Settings\PatrykG\Pulpit\Pulpit\Groovedown*.lnk I:\Documents and Settings\PatrykG\Pulpit\Pulpit\InterVideo WinDVD 6.lnk I:\Documents and Settings\PatrykG\Pulpit\Pulpit\LOOPBACK.lnk I:\Documents and Settings\PatrykG\Pulpit\Pulpit\ProXmar MEMO.lnk I:\Documents and Settings\PatrykG\Pulpit\Pulpit\Skrót do everest.exe.lnk I:\Documents and Settings\PatrykG\Pulpit\Pulpit\Skype.lnk I:\Documents and Settings\PatrykG\Pulpit\Pulpit\Spybot - Search & Destroy.lnk I:\Documents and Settings\PatrykG\Pulpit\Pulpit\Wise Registry Cleaner.lnk I:\Documents and Settings\PatrykG\Pulpit\Pulpit\WM Converter.lnk I:\Documents and Settings\PatrykG\Pulpit\Pulpit\WM Recorder 14.lnk I:\Documents and Settings\PatrykG\Pulpit\Pulpit\WWWISIS Demo.lnk I:\Program Files\Mozilla Firefox\plugins I:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension I:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\{5D847D71-05EB-4855-B67E-9A1E6A4E0290}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\I:^Documents and Settings^All Users^Menu Start^Programy^Autostart^InterVideo WinCinema Manager.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LiveSupport" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\lollipop" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ProXmar Memo" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotSD TeaTimer" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\upfst_pl_66.exe" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Na obrazku jest 6 połączeń, w logu obecnie 7 wpisów. W związku z tym zrobię inaczej, usunę te wartości skryptem FRST: 1. Otwórz Notatnik i wklej w nim: Tcpip\..\Interfaces\{9E346E7E-7711-47CD-BAAD-532E34B4173D}: [NameServer] 195.67.199.18 195.67.199.19 Tcpip\..\Interfaces\{C5235646-2713-4123-AA52-BD97F5F80C81}: [NameServer] 195.67.199.18 195.67.199.19 Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 2. Wróć do edycji połączeń i dla każdego odwróć poprzednie edycje, tzn. wymaż adresy Google Podstawowy + Zapasowy i przełącz na "Automatyczne pobieranie". Zresetuj system. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

Przełamałeś linię numer 3 do dwóch linii i tu był błąd przetwarzania FRST, ale w końcu został skrypt w całości wyduszony. Teraz uruchom AdwCleaner, wybierz opcję Szukaj i przedstaw wynikowy log z folderu C:\AdwCleaner.

Na czym teraz stoimy, czy są jeszcze jakięs problemy w systemie? Usuń pobrany FRST, zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Wtyczki nie posiadają opcji deinstalacji, a wyłączenie = "Nigdy nie aktywuj".

Używany był tu ComboFix i na ten temat: KLIK. Poza tym, widzę na dysku logi OTL (a nie zostały tu dołączone) i co niepokojące plik o nazwie skrypt z netu.txt - co to za plik, czy to miał być "skrypt do OTL"? Brakuje FRST Shortcut oraz GMER. Póki co, w raportach widoczne następujące problemy: - Polityki oprogramowania, choć nie jest pewne do końca ich pochodzenie. - Uszkodzenie bazy Usług kryptograficznych (catroot lub catroot2) - od góry do dołu usługi i sterowniki Microsoftu są przedstawione jako niepodpisane cyfrowo ([File not signed]). Wstępnie: 1. Uruchom narzędzie Fix It 50202: KLIK. Narzędzie działa na XP. Zaznacz tryb agresywny - w jego skład wchodzi reset bazy catroot2. 2. Pozostałe poprawki, dwa skrypty, gdyż wypięcie odpadkowych dzienników Dr. Web i TuneUp wymaga tymczasowego wyłączenia usługi Dziennik zdarzeń: Adnotacja dla innych czytających: skrypty unikatowe - dopasowane tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. ----> Otwórz Notatnik i wklej w nim: CMD: sc config Eventlog start= disabled Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny (logując się na swoje konto Primus Girrafus a nie wbudowanego Administratora), gdyż COMODO przeszkodzi pracy FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart, opuść Tryb awaryjny - start Windows może być nieco dłuższy ze względu na wyłączony Dziennik. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (przekopiuj go gdzieś indziej). ----> Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% HKLM Group Policy restriction on software: C:\Program Files\uTorrent\uTorrent.exe HKLM Group Policy restriction on software: C:\Program Files\eMule\emule.exe HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% HKU\S-1-5-21-776561741-1935655697-839522115-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction URLSearchHook: HKLM - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} S2 ATE_PROCMON; \??\C:\Program Files\Anti Trojan Elite\ATEPMon.sys [X] S3 catchme; \??\C:\DOCUME~1\PRIMUS~1\USTAWI~1\Temp\catchme.sys [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\Documents and Settings\All Users\Dane aplikacji\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F} C:\Documents and Settings\All Users\Dane aplikacji\Doctor Web C:\Documents and Settings\All Users\Dane aplikacji\TuneUp Software C:\Documents and Settings\Primus Girrafus\Doctor Web C:\Documents and Settings\Primus Girrafus\Dane aplikacji\TuneUp Software C:\Documents and Settings\Primus Girrafus\Ustawienia lokalne\Dane aplikacji\nsf40.tmp C:\Program Files\TuneUp Utilities 2013 C:\WINNT\system32\config\Doctor Web.evt C:\WINNT\system32\config\TuneUp.evt CMD: sc config Eventlog start= auto Reg: reg add "HKLM\Software\Microsoft\Internet Explorer\Main" /v "Local Page" /t REG_SZ /d C:\WINNT\System32\blank.htm /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /v Tabs /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny. Uruchom FRST i kliknij w Fix. Nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (nadpisuje poprzedni). 3. Zrób nowy log FRST z opcji Scan (brakujący Shortcut ma zostać zaznaczony). Dołącz też oba pliki fixlog.txt. Opisz co się dzieje.

Analiza na zdekompletowanych danych jest niepełna. Czekam na brakujące raporty FRST i GMER. Dodatkowo, dorzuć jeszcze log z Farbar Service Scanner.

EDIT: Jest komplet danych. Już odpowiadasz mi w nowym poście. Nie edytuj pierwszego. Problem Centrum tworzy całkowicie usunięta z systemu usługa (Usługa Instrumentacji Windows): System errors: ============= Error: (12/18/2014 09:34:04 PM) (Source: Service Control Manager) (EventID: 7003) (User: ) Description: Usługa Centrum zabezpieczeń zależy od następującej usługi: winmgmt. Ta usługa może nie być zainstalowana. Prócz tego jest też adware produkujące owe reklamy. Robiłeś podejście dwa razy i logi FRST wykazują różnicę, tzn. już odinstalowałeś adware FreeSoftToday 008.1, ale deinstalacja niepełna, bo proces nadal uruchomiony. Dodatkowo uruchamia się jeszcze niejaki maintainer.exe. Przeprowadź nasępujące działania: 1. Odinstaluj starsze wersje Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Java 7 Update 67 (64-bit). 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Plik ma być umieszczony na Pulpicie. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 MaintainerSvc2.65.3980626; C:\ProgramData\ee70f246-63a3-464e-a2ed-28bc4d8db631\maintainer.exe [123624 2014-11-26] () S3 MSICDSetup; \??\F:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] Task: {2F436339-EDBA-4B22-8EC3-57CD6D65DE88} - System32\Tasks\{2D04FA16-46D5-4325-A3EA-3B30F6BE855B} => pcalua.exe -a C:\Users\Miłosz\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {BFBE0887-64DA-4E32-9C90-FC81B7DAA8C1} - System32\Tasks\{D675D939-629F-41CC-A0DF-5B1C75D6B7FE} => C:\Users\Miłosz\Downloads\TeamSpeak3-Client-win32-3.0.16.exe [2014-09-12] (TeamSpeak Systems GmbH) GroupPolicy: Group Policy on Chrome detected HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141126 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141126 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-1962678950-3458560985-80314582-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141126 C:\Program Files (x86)\257B0FD8-FEAC-4AA7-B6EC-09434303D699 C:\Program Files (x86)\rec_pl_1 C:\ProgramData\ee70f246-63a3-464e-a2ed-28bc4d8db631 C:\Users\Miłosz\AppData\Local\rec_pl_1 C:\Users\Miłosz\Downloads\*(*)-dp*.exe C:\Users\Miłosz\Downloads\*.exe.opdownload C:\Users\Miłosz\Downloads\*.rar.exe C:\Users\Miłosz\Downloads\yet_another_cleaner_cdls.exe Reg: reg import C:\Users\Miłosz\Desktop\FIX.REG Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

No cóż, nadal jest tu problem, mnożą się interfejsy sieciowe, a te zainfekowane stoją jak przyklejone: Tcpip\..\Interfaces\{942B69E3-5AA8-4CEF-9BA8-7C28D00B06AC}: [NameServer] 8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{9E346E7E-7711-47CD-BAAD-532E34B4173D}: [NameServer] 195.67.199.18 195.67.199.19 Tcpip\..\Interfaces\{ADBCDD41-9109-4ECC-9302-B03FAB4DEEEE}: [NameServer] 8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{B293D576-C748-4EF3-AC14-91C53867425B}: [NameServer] 8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{C5235646-2713-4123-AA52-BD97F5F80C81}: [NameServer] 195.67.199.18 195.67.199.19 Tcpip\..\Interfaces\{C90A61BD-CF8B-461F-93D2-298A2CF26EB5}: [NameServer] 8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{F4597B08-196C-46F5-A9BE-ED51D00C1DE8}: [NameServer] 8.8.8.8,8.8.4.4 Poproszę o zrzut ekranu z Panel sterowania > Sieć i Internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej > widok całego okna + opisanie które pozycje z widocznych w oknie były edytowane.

Reprofiler notuje problem "tymczasowości" konta, ale ze względu na jego aktywność do poniższej operacji jest wymagane inne konto pośrednie. 1. Włącz tymczasowo wbudowane konto Administrator. Start > w polu szukania wpisz lusrmgr.msc > z prawokliku Uruchom jako Administrator. Dwuklik w Użytkownicy > dwuklik w Administratora i włącz konto. 2. Wyloguj się całkowicie z obecnego konta poprzez pełny restart komputera a nie opcje Wyloguj / Przełącz użytkownika. Zaloguj się na Administratora. Uruchom na nim Reprofiler. Rozłącz konto Kwacek z folderem C:\Users\Kwacek (opcja Detach), następnie połącz konto ponownie z tym folderem. 3. Zresetuj komputer. Zaloguj się na Kwacka i powiedz co widzisz.

XP jedzie tu na zmodyfikowanej ścieżce C:\WINNT, ale mimo wszystko podaj raporty z FRST. Są określone informacje, które są mi potrzebne, a nie ma ich w OTL.

Nie jestem pewna w kwestii "SKIDROW crack files" - usuń wszystko dla pewności. I na zakończenie wyczyść foldery Przywracania systemu: KLIK. Ponawiam pytanie:

Skasuj plik C:\Delfix.txt z dysku. Temat rozwiązany. Zamykam.