picasso

Na czym teraz stoimy, czy są jeszcze jakięs problemy w systemie? Usuń pobrany FRST, zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Wtyczki nie posiadają opcji deinstalacji, a wyłączenie = "Nigdy nie aktywuj".

Używany był tu ComboFix i na ten temat: KLIK. Poza tym, widzę na dysku logi OTL (a nie zostały tu dołączone) i co niepokojące plik o nazwie skrypt z netu.txt - co to za plik, czy to miał być "skrypt do OTL"? Brakuje FRST Shortcut oraz GMER. Póki co, w raportach widoczne następujące problemy: - Polityki oprogramowania, choć nie jest pewne do końca ich pochodzenie. - Uszkodzenie bazy Usług kryptograficznych (catroot lub catroot2) - od góry do dołu usługi i sterowniki Microsoftu są przedstawione jako niepodpisane cyfrowo ([File not signed]). Wstępnie: 1. Uruchom narzędzie Fix It 50202: KLIK. Narzędzie działa na XP. Zaznacz tryb agresywny - w jego skład wchodzi reset bazy catroot2. 2. Pozostałe poprawki, dwa skrypty, gdyż wypięcie odpadkowych dzienników Dr. Web i TuneUp wymaga tymczasowego wyłączenia usługi Dziennik zdarzeń: Adnotacja dla innych czytających: skrypty unikatowe - dopasowane tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. ----> Otwórz Notatnik i wklej w nim: CMD: sc config Eventlog start= disabled Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny (logując się na swoje konto Primus Girrafus a nie wbudowanego Administratora), gdyż COMODO przeszkodzi pracy FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart, opuść Tryb awaryjny - start Windows może być nieco dłuższy ze względu na wyłączony Dziennik. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (przekopiuj go gdzieś indziej). ----> Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% HKLM Group Policy restriction on software: C:\Program Files\uTorrent\uTorrent.exe HKLM Group Policy restriction on software: C:\Program Files\eMule\emule.exe HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% HKU\S-1-5-21-776561741-1935655697-839522115-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction URLSearchHook: HKLM - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} S2 ATE_PROCMON; \??\C:\Program Files\Anti Trojan Elite\ATEPMon.sys [X] S3 catchme; \??\C:\DOCUME~1\PRIMUS~1\USTAWI~1\Temp\catchme.sys [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\Documents and Settings\All Users\Dane aplikacji\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F} C:\Documents and Settings\All Users\Dane aplikacji\Doctor Web C:\Documents and Settings\All Users\Dane aplikacji\TuneUp Software C:\Documents and Settings\Primus Girrafus\Doctor Web C:\Documents and Settings\Primus Girrafus\Dane aplikacji\TuneUp Software C:\Documents and Settings\Primus Girrafus\Ustawienia lokalne\Dane aplikacji\nsf40.tmp C:\Program Files\TuneUp Utilities 2013 C:\WINNT\system32\config\Doctor Web.evt C:\WINNT\system32\config\TuneUp.evt CMD: sc config Eventlog start= auto Reg: reg add "HKLM\Software\Microsoft\Internet Explorer\Main" /v "Local Page" /t REG_SZ /d C:\WINNT\System32\blank.htm /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /v Tabs /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny. Uruchom FRST i kliknij w Fix. Nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (nadpisuje poprzedni). 3. Zrób nowy log FRST z opcji Scan (brakujący Shortcut ma zostać zaznaczony). Dołącz też oba pliki fixlog.txt. Opisz co się dzieje.

Analiza na zdekompletowanych danych jest niepełna. Czekam na brakujące raporty FRST i GMER. Dodatkowo, dorzuć jeszcze log z Farbar Service Scanner.

EDIT: Jest komplet danych. Już odpowiadasz mi w nowym poście. Nie edytuj pierwszego. Problem Centrum tworzy całkowicie usunięta z systemu usługa (Usługa Instrumentacji Windows): System errors: ============= Error: (12/18/2014 09:34:04 PM) (Source: Service Control Manager) (EventID: 7003) (User: ) Description: Usługa Centrum zabezpieczeń zależy od następującej usługi: winmgmt. Ta usługa może nie być zainstalowana. Prócz tego jest też adware produkujące owe reklamy. Robiłeś podejście dwa razy i logi FRST wykazują różnicę, tzn. już odinstalowałeś adware FreeSoftToday 008.1, ale deinstalacja niepełna, bo proces nadal uruchomiony. Dodatkowo uruchamia się jeszcze niejaki maintainer.exe. Przeprowadź nasępujące działania: 1. Odinstaluj starsze wersje Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Java 7 Update 67 (64-bit). 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Plik ma być umieszczony na Pulpicie. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 MaintainerSvc2.65.3980626; C:\ProgramData\ee70f246-63a3-464e-a2ed-28bc4d8db631\maintainer.exe [123624 2014-11-26] () S3 MSICDSetup; \??\F:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] Task: {2F436339-EDBA-4B22-8EC3-57CD6D65DE88} - System32\Tasks\{2D04FA16-46D5-4325-A3EA-3B30F6BE855B} => pcalua.exe -a C:\Users\Miłosz\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {BFBE0887-64DA-4E32-9C90-FC81B7DAA8C1} - System32\Tasks\{D675D939-629F-41CC-A0DF-5B1C75D6B7FE} => C:\Users\Miłosz\Downloads\TeamSpeak3-Client-win32-3.0.16.exe [2014-09-12] (TeamSpeak Systems GmbH) GroupPolicy: Group Policy on Chrome detected HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141126 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141126 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-1962678950-3458560985-80314582-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141126 C:\Program Files (x86)\257B0FD8-FEAC-4AA7-B6EC-09434303D699 C:\Program Files (x86)\rec_pl_1 C:\ProgramData\ee70f246-63a3-464e-a2ed-28bc4d8db631 C:\Users\Miłosz\AppData\Local\rec_pl_1 C:\Users\Miłosz\Downloads\*(*)-dp*.exe C:\Users\Miłosz\Downloads\*.exe.opdownload C:\Users\Miłosz\Downloads\*.rar.exe C:\Users\Miłosz\Downloads\yet_another_cleaner_cdls.exe Reg: reg import C:\Users\Miłosz\Desktop\FIX.REG Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

No cóż, nadal jest tu problem, mnożą się interfejsy sieciowe, a te zainfekowane stoją jak przyklejone: Tcpip\..\Interfaces\{942B69E3-5AA8-4CEF-9BA8-7C28D00B06AC}: [NameServer] 8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{9E346E7E-7711-47CD-BAAD-532E34B4173D}: [NameServer] 195.67.199.18 195.67.199.19 Tcpip\..\Interfaces\{ADBCDD41-9109-4ECC-9302-B03FAB4DEEEE}: [NameServer] 8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{B293D576-C748-4EF3-AC14-91C53867425B}: [NameServer] 8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{C5235646-2713-4123-AA52-BD97F5F80C81}: [NameServer] 195.67.199.18 195.67.199.19 Tcpip\..\Interfaces\{C90A61BD-CF8B-461F-93D2-298A2CF26EB5}: [NameServer] 8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{F4597B08-196C-46F5-A9BE-ED51D00C1DE8}: [NameServer] 8.8.8.8,8.8.4.4 Poproszę o zrzut ekranu z Panel sterowania > Sieć i Internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej > widok całego okna + opisanie które pozycje z widocznych w oknie były edytowane.

Reprofiler notuje problem "tymczasowości" konta, ale ze względu na jego aktywność do poniższej operacji jest wymagane inne konto pośrednie. 1. Włącz tymczasowo wbudowane konto Administrator. Start > w polu szukania wpisz lusrmgr.msc > z prawokliku Uruchom jako Administrator. Dwuklik w Użytkownicy > dwuklik w Administratora i włącz konto. 2. Wyloguj się całkowicie z obecnego konta poprzez pełny restart komputera a nie opcje Wyloguj / Przełącz użytkownika. Zaloguj się na Administratora. Uruchom na nim Reprofiler. Rozłącz konto Kwacek z folderem C:\Users\Kwacek (opcja Detach), następnie połącz konto ponownie z tym folderem. 3. Zresetuj komputer. Zaloguj się na Kwacka i powiedz co widzisz.

XP jedzie tu na zmodyfikowanej ścieżce C:\WINNT, ale mimo wszystko podaj raporty z FRST. Są określone informacje, które są mi potrzebne, a nie ma ich w OTL.

Nie jestem pewna w kwestii "SKIDROW crack files" - usuń wszystko dla pewności. I na zakończenie wyczyść foldery Przywracania systemu: KLIK. Ponawiam pytanie:

Skasuj plik C:\Delfix.txt z dysku. Temat rozwiązany. Zamykam.

Błąd przy wysyłaniu załącznika to możliwe, że pod wpływem aktywności programu antywirusowego. Delfix wykonał zadanie, skasuj plik C:\Delfix.txt z dysku. Temat rozwiązany. Zamykam.

Skoro masz problem z przeklejeniem tego w całości, kopiuj linia po linii do Notatnika. Jest 27 linii, wklejasz po kolei i po każdej ENTER.

Rzeczywiście, nie ma karty Opera. Skoro więc nie było wykluczeń, AdwCleaner broił w preferencjach Opery. Ale nie wygląda na to, by coś się tu stało, gdyż FRST wydrukował zawartość Preferences i wygląda ona prawidłowo. Adware w Operze też nie widać. Kończymy: Usuń używane skanery z C:\Users\User\Desktop\naprawa. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Kończymy. Skasuj pobrane narzędzia z F:\new. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj wtyczki Adobe Flash: KLIK. ==================== Installed Programs ====================== Adobe Flash Player 15 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 15.0.0.246 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 15 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 15.0.0.246 - Adobe Systems Incorporated) ----> wtyczka dla FF

Rozumiem, że radość dotyczy poprawnego uruchomienia Windows Defender. Natomiast, czy poniższy problem relatywny do Microsoft Security Essentials już nie występuje?

Zawartość jednego z folderów była odtwarzana, określone wpisy w rejestrze są, zdaje się że brakuje tylko usługi Windows Defender. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Zresetuj system. Sprawdź czy jesteś w stanie uruchomić systemowy Windows Defender.

1. Przez SHIFT+DEL (omija Kosz) skasuj D:\Narzedzia\FRST i inne pobrane narzędzia. 2. Zastosuj DelFix, wyczyść foldery Przywracania systemu i uzupełnij te instalacje Adobe których potrzebujesz: KLIK. Koniec.

Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS Reg: reg delete HKLM\SOFTWARE\MATS /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

I nie tylko to, nie zainstalował się również .NET Framework, o którego uzupełnienie z Windows Update mi głównie chodziło: System errors: ============= Error: (12/17/2014 05:48:33 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: ZARZĄDZANIE NT) Description: Instalacja nie powiodła się: system Windows nie mógł zainstalować następującej aktualizacji, ponieważ wystąpił błąd 0x80070643: Program Microsoft .NET Framework 4.5.1 w systemie Windows 7 dla systemów opartych na procesorach x64 (KB2858725). Error: (12/17/2014 05:47:48 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: ZARZĄDZANIE NT) Description: Instalacja nie powiodła się: system Windows nie mógł zainstalować następującej aktualizacji, ponieważ wystąpił błąd 0x80070643: Dodatek Service Pack 1 dla produktu Microsoft Office 2013 (KB2850036) Wersja 64-bitowa. Na początek proszę zastosuj procedury podane w tym artykule: KB976982. Chodzi mi o Metodę 1 oraz Metodę 2 (z wykluczeniem wątku aktualizowania Microsoft Security Essentials, gdyż go tu w ogóle nie ma). Metoda 3 była już wdrażana i zakładam, że .NET Framework Cleanup Tool był rzeczywiście poprawnie zastosowany.

Chodziło mi o zaprezentowanie zrzutu ekranu co pokazuje program. Ogólnie zaś chodzi o to jakie konto do jakiego folderu jest obecnie podpięte, a na dalszą metę swoje konto należy odłączyć od niepoprawnego folderu i podłączyć ponownie do poprzedniego folderu C:\Users\Kwacek.

Czy notujesz poprawę w działaniu systemu? Wszystko zrobione, infekcje pomyślnie usunięte. Kolejna porcja czynności: 1. Zastosuj DelFix, by usunąć kwarantanny narzędzi. 2. Odinstaluj stare wersje Adobe Reader 9.5.0 - Polish, Java 8 Update 20, Java SE Development Kit 8 Update 20, Malwarebytes Anti-Malware wersja 1.75.0.1300. 3. Zainstaluj najnowszą wersję Malwarebytes Anti-Malware (przy instalacji odznacz trial). Wykonał pełny skan systemu. Jeśli coś zostanie znalezione, zaprezentuj raport wynikowy.

Uruchom AdwCleaner ponownie, wybierz sekwencję Szukaj + Usuń i zaprezentuj log z usuwania (oznaczenie [snumer]).

Na tym zrzucie ekranu to ledwo co widać. To ma wyglądać tak: Start > w polu szukania cmd > z prawokliku Uruchom jako Administrator > wklejasz poniższą komendę i ENTER. C:\Temp\dd.exe --list W Firefox wyłącz wtyczki Real. Następnie w Autoruns odznacz poniższe elementy i zresetuj system. - Logon:: TkBellExe, RealDownloader - Services: RealNetworks Downloader Resolver Service, RealPlayer Cloud Service, RealPlayerUpdateSvc - Scheduled Tasks: wszystkie zadania Real Zastosuj DelFix i czyszczenie folderów Przywracania systemu: KLIK. Zawsze zaczynasz od deinstalacji poprzez Panel sterowania nieznanych / podejrzanych / nowo doinstalowanych pozycji, potem w menedżerach przeglądarek, dopiero na końcu AdwCleaner i podobne. Przestawienie kolejności może spowodować większy brud w rejestrze i na dysku.

1. Zapomniałam wcześniej podać jeszcze Norton Security Scan do deinstalacji. Następnie do Notatnika wklej: C:\Program Files\Java C:\Program Files\Malicious Software Removal Tool C:\Program Files\NortonInstaller C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Norton C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\NortonInstaller C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Sun C:\Documents and Settings\Greg.GS\Dane aplikacji\Sun C:\Documents and Settings\Greg.GS\Dane aplikacji\uTorrent C:\Documents and Settings\Greg.GS\Dane aplikacji\wsInspector C:\Documents and Settings\Greg.GS\Pulpit\Continue VuuPC Installation.lnk C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\*.tmp C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\BonanzaDealsLive C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\cache C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\Comodo C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\CrashRpt C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\freeSOFTtoday C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\Sun C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\Torch C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt. 2. Uruchom AdwCleaner, wybierz opcję Szukaj i pokaż wynikowy log z folderu C:\AdwCleaner.

Tu nie chodziło o wyrzucenie Adobe Reader na zawsze z systemu, tylko pozbycie się starej niebezpiecznej wersji narażającej na infekcje z tzw. "wklejek www" (iframe i podobne). Najnowsze wersje Adobe będziesz instalować na końcu. Na razie czyścimy system ze śmieci. Kolejna porcja czynności. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-861567501-1604221776-839522115-1003\...\Run: [se] => "C:\Documents and Settings\Greg.GS\Dane aplikacji\SkypEmoticons\se.exe" /minimized HKU\S-1-5-21-861567501-1604221776-839522115-1003\...\Run: [YTDownloader] => "C:\Program Files\YTDownloader\YTDownloader.exe" /boot BHO: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\ShopperPro\ShopperPro.dll No File DPF: {17492023-C23A-453E-A040-C7C580BBF700} http://go.microsoft.com/fwlink/?linkid=39204 C:\Documents and Settings\Administrator.GS\Dane aplikacji\Adobe C:\Documents and Settings\Administrator.GS\Dane aplikacji\Macromedia C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Adobe C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Macromedia C:\Documents and Settings\Greg.GS\Dane aplikacji\Adobe C:\Documents and Settings\Greg.GS\Dane aplikacji\Macromedia C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\Adobe C:\WINDOWS\system32\Adobe C:\WINDOWS\system32\Macromed CMD: netsh firewall reset CMD: del /q C:\WINDOWS\DUMP*.tmp CMD: del /q C:\WINDOWS\Minidump\*.dmp CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Administrator.GS\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Administrator.GS\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Greg.GS\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji" EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Powstanie kolejny plik fixlog.txt. Przedstaw go, nowy skan FRST nie jest potrzebny.