picasso

Fix wykonany i możemy kończyć. Zastosuj DelFix (GMER dokasuj ręcznie), wyczyść foldery Przywracania systemu oraz uzupełnij aktualizacje (IE11, wtyczki Adobe Flash dla Firefox + IE, Java). Wszystko opisane tu: KLIK.

Nie wiem dlaczego komendy FRST nie pobierają danych ze ścieżek Opery, jedna z nich jest definitywnie w systemie. A wyniki AdwCleaner tyczące Opery to nie wyglądają na rzeczywiste (pobór czarnej listy Opera zamiast rzeczywiście zainstalowanych rozszerzeń). Wstępnie: 1. Uruchom AdwCleaner ponownie, wybierz Szukaj, w karcie Opera odznacz wszystko, następnie wybierz Usuń. 2. Otwórz Notatnik i wklej w nim: CMD: dir /a "C:\Users\User\AppData\Roaming\Opera Software\Opera Stable" CMD: type "C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Preferences" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Żadnych nowości w raporcie FRST, więc czyszczenie systemu zostało zakończone. Usuń ręcznie K:\Temp\Wazne\FRST. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Te wpisy to nie były "aktualizacje" tylko infekcje towarzyszące Sathurbot. "Serwer rejestru microsoft©" powinien był kierować na jakiś wpis używający regsvr32.exe do rejestracji modułów. W raporcie FRST podanym już na początku był następujący spis obiektów wyłączonych na poziomie Menedżera zadań Windows 8: ==================== MSCONFIG/TASK MANAGER disabled items ========= HKLM\...\StartupApproved\StartupFolder: => "ISCTSystray.lnk" HKLM\...\StartupApproved\StartupFolder: => "HP Digital Imaging Monitor.lnk" HKLM\...\StartupApproved\Run: => "Launch LCore" HKLM\...\StartupApproved\Run32: => "ROG HybriDisk" HKLM\...\StartupApproved\Run32: => "SunJavaUpdateSched" HKLM\...\StartupApproved\Run32: => "UpdReg" HKLM\...\StartupApproved\Run32: => "iTunesHelper" HKLM\...\StartupApproved\Run32: => "HP Software Update" HKU\S-1-5-21-2705356706-2563623633-1834157682-1001\...\StartupApproved\StartupFolder: => "Logitech . Rejestracja produktu.lnk" HKU\S-1-5-21-2705356706-2563623633-1834157682-1001\...\StartupApproved\StartupFolder: => "Torpedo.lnk" HKU\S-1-5-21-2705356706-2563623633-1834157682-1001\...\StartupApproved\Run: => "SearchProtection" HKU\S-1-5-21-2705356706-2563623633-1834157682-1001\...\StartupApproved\Run: => "uTorrent" HKU\S-1-5-21-2705356706-2563623633-1834157682-1001\...\StartupApproved\Run: => "YTPack" HKU\S-1-5-21-2705356706-2563623633-1834157682-1001\...\StartupApproved\Run: => "Ujmedia" "YTPack" i "Ujmedia" (zresztą zgłaszane wcześniej w skanie Norton) to towarzystwo Sathurbot. Ten drugi odpowiada powiązaniom z regsvr32 - przykładowy temat to pokazujący: KLIK. Wyłączone wpisy infekcji już usuwałam w pierwszym skrypcie: C:\Users\User-PC\Appdata\Local\ujmedia C:\Users\User-PC\Appdata\Local\ytpack Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SearchProtection /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v YTPack /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Ujmedia /f

Wszystko zrobione. Jeszcze drobne poprawki. Otwórz Notatnik i wklej w nim: S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] C:\Users\admin\Downloads\SpyHunter_4.17.6.4336 [Eng] + patch.rar C:\Users\admin\Downloads\SpyHunter 4.1.11.0 [ENG] program.exe C:\Users\admin\Downloads\SpyHunter-Installer.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Kaspersky Rescue Disk 10.0 RemoveDirectory: C:\Program Files (x86)\Enigma Software Group RemoveDirectory: C:\Users\admin\AppData\Roaming\WorldofTanks RemoveDirectory: C:\Users\admin\Downloads\FRST-OlderVersion RemoveDirectory: C:\Windows\AF54923662584AC6A0435B5B89C6EB61.TMP RemoveDirectory: C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Wszystko zrobione. Ostatni skrypt - otwórz Notatnik i wklej w nim: SearchScopes: HKU\S-1-5-21-2106215166-627046832-3064983697-1001 -> DefaultScope {828B376B-F2F6-4778-928C-E29EC877535E} URL = RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Marcinek\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\system32\log Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

W podanym nowym raporcie nadal widać sterownik IOBit Protected Folder. I jeśli deinstalowałeś coś więcej niż było omawiane, to podaj nowy log FRST Addition. Odinstalowałeś Firefox omijając usuwanie profilu (deinstalator zadaje pytanie czy "usuwać dane użytkownika"), a wtyczki na poziomie rejestru w ogóle nie są usuwane deinstalacją Firefox. Jeśli chcesz przeładować Firefox całkowicie zera, to zestaw instrukcji podam.

Nie, Twoje logi "czyste" w tym kontekście. To tylko moja prewencja, by tego właśnie nie zepsuć. Wadliwy Kosz usunie FRST: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\$Recycle.Bin SearchScopes: HKU\S-1-5-21-2967589604-1285010922-3187333532-1001 -> DefaultScope {C0EB9A05-EF17-4461-833C-A325AE604335} URL = SearchScopes: HKU\S-1-5-21-2967589604-1285010922-3187333532-1001 -> {C0EB9A05-EF17-4461-833C-A325AE604335} URL = Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Pierwsza próba usuwania czegoś bez omijania Kosza powinna zregenerować powyższy folder.

W zakresie czyszczenia systemu kończymy. Usuń ręcznie pobrany FRST. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. I przypominam wątek:

Pokaż zrzut ekranu z okna CMD. Mówiłam tylko o wyłączeniu wtyczek w Firefox. Poza tym, podane raporty z FRST pokazują i tak całą grupę wtyczek Real w Firefox - świeżo doinstalowany Real Player. Doszło też więcej procesów. Czy go poprawnie odinstalowałeś przed użyciem AdwCleaner? I drobne poprawki - otwórz Notatnik i wklej w nim: S1 ccnfd_1_10_0_4; system32\drivers\ccnfd_1_10_0_4.sys [X] Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

Jaki cel ma mieć reinstalacja przeglądarki? Jak mówię, nic tu nie widzę w raportach (poza podejrzanym Torem), ale raporty nie przedstawiają pełnego stanu. Komputer wygląda na typ domenowy, raporty są robione z kontekstu konta "pma", ale jest tu kupa innych nie sprawdzonych kont (raporty FRST muszą być robione z każdego konta po kolei): Loaded Profile: pma (Available profiles: ja & bsz & mpe & mba & dda & abi & pma) Przy czym FRST nawet nie wykrywa tych kont (z wyjątkiem "ja") jako lokalnych, wszystko co widać to: ========================= Accounts: ========================== ASPNET (S-1-5-21-1644491937-839522115-682003330-1004 - Limited - Enabled) bibinet (S-1-5-21-1644491937-839522115-682003330-1005 - Limited - Enabled) FGAdmin (S-1-5-21-1644491937-839522115-682003330-500 - Administrator - Enabled) Gość (S-1-5-21-1644491937-839522115-682003330-501 - Limited - Disabled) ja (S-1-5-21-1644491937-839522115-682003330-1003 - Limited - Enabled) => %SystemDrive%\Documents and Settings\ja Pomocnik (S-1-5-21-1644491937-839522115-682003330-1000 - Limited - Disabled) SUPPORT_388945a0 (S-1-5-21-1644491937-839522115-682003330-1002 - Limited - Disabled)

Ja się pytam dla którego połączenia / czy dla wszystkich wykonujesz tę modyfikację. Co jest w Panel sterowania > Sieć i Internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej > ile połączeń widać i czy wszystkie po kolei edytujesz?

Zasady działu na temat obowiązujących raportów: KLIK. Dostarcz logi z FRST, dodatkowo także USBFix z opcji Listing zrobiony przy podpiętym telefonie. Nie zostały zamienione, zostały ukryte przez atrybuty HS (= "ukryty systemowy"). W Opcjach folderów wyłącz opcję Ukryj chronione pliki systemu operacyjnego, a powinny się pokazać ukryte dane. Oczywiście to tylko włączenie ich pokazywania, dane trzeba przywrócić do stanu wyjściowego i tym zajmę się po otrzymaniu w/w raportów.

Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe HKU\S-1-5-21-1762714656-3261685716-1016323744-1000\...\CurrentVersion\Windows: [Load] C:\Windows\system32\Microsoft.com HKU\S-1-5-21-1762714656-3261685716-1016323744-1000\...\Winlogon: [shell] explorer.exe, C:\Program Files (x86)\Microsoft Services\symgr.exe Startup: C:\Users\bumbel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\98a832f5a83b6c04035dbea2feaee7c3.exe () Startup: C:\Users\bumbel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Photoshopsetup.exe (Hewlett-Packard) Task: {44CABA34-D2CC-4D94-AE14-CA8881CFFE58} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe Task: {5C5309EC-770B-4E0F-B7D1-592F400BC028} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask No Task File Task: {6C269CCB-60D3-44E7-858D-964B417BED35} - System32\Tasks\{484AE7CC-3BF9-4173-BA2C-A8BAA0CF1E3B} => pcalua.exe -a E:\autorun.exe -d E:\ Task: {8276BD8B-6D23-40F4-871B-7CB991C1C85C} - System32\Tasks\{187B816C-50FC-467A-BFAB-1DC743EB59A2} => pcalua.exe -a C:\Windows\SysWOW64\Samsung_USB_Drivers\2\SSM_Uninstall.exe Task: {970FA293-E178-40B4-8237-5BACC74A20E0} - System32\Tasks\{CADA324B-F34D-4A1D-96BD-C15414407279} => pcalua.exe -a C:\Windows\SysWOW64\Samsung_USB_Drivers\3\SSCDUninstall.exe Task: {C64C3B33-4304-49FD-9868-667F976D3005} - System32\Tasks\{F34EE469-7FB7-4AA2-86BC-BCBDF2D590BC} => pcalua.exe -a C:\Windows\SysWOW64\Samsung_USB_Drivers\1\SS_Uninstall.exe Task: {D64AF338-74B8-4C80-A80D-C39D5EB8D921} - System32\Tasks\Windows Update Check - 0x0BB102C9 => C:\ProgramData\svchost\qpqpdndnn.exe Task: {D7209499-68E3-46B8-8308-1126A9BFF65A} - System32\Tasks\Launch HTC Sync Loader => C:\Program Files (x86)\HTC\HTC Sync 3.0\htcUPCTLoader.exe Task: {DAB0A679-2F31-4729-93B0-FF35041704E4} - System32\Tasks\{83836A8F-50B9-42ED-9CD7-216AA8F3A71C} => pcalua.exe -a G:\RTG-2014-01-06\RTG\ax98.d309.daq\LDV.exe -d G:\RTG-2014-01-06\RTG\ax98.d309.daq Task: {EFCBBE80-CE8B-4489-A556-B27A541120BA} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline No Task File Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe R2 Winstep Xtreme Service; C:\Program Files (x86)\Winstep\WsxService [X] S1 StarOpen; C:\Windows\SysWow64\Drivers\StarOpen.sys [5632 2006-07-24] () [File not signed] R3 cpuz136; \??\C:\Users\bumbel\AppData\Local\Temp\cpuz136\cpuz136_x64.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] S3 MSICDSetup; \??\F:\CDriver64.sys [X] S3 NTIOLib_1_0_4; \??\C:\Program Files (x86)\MSI\Live Update 5\NTIOLib_X64.sys [X] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] S4 NVHDA; system32\drivers\nvhda64v.sys [X] S4 nvlddmkm; system32\DRIVERS\nvlddmkm.sys [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp HKU\S-1-5-21-1762714656-3261685716-1016323744-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp FF Homepage: www.wp.pl/?src01=dp C:\Program Files (x86)\HDD Health C:\Program Files (x86)\Microsoft Services C:\Program Files (x86)\Opera C:\Program Files (x86)\Razer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDF Editor 4.0 C:\ProgramData\svchost C:\Users\bumbel\AppData\Local\*.exe C:\Users\bumbel\AppData\Local\Opera Software C:\Users\bumbel\AppData\Roaming\*.exe C:\Users\bumbel\AppData\Roaming\Winrar.exe.tmp C:\Users\bumbel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live for Speed C:\Users\bumbel\AppData\Roaming\Opera Software C:\Users\bumbel\Desktop\programy\Opera.lnk C:\Users\bumbel\Desktop\programy\Revo Uninstaller Pro.lnk C:\Users\bumbel\Desktop\programy\Total Commander 64 bit.lnk C:\Users\bumbel\Desktop\duperele\Battlefield 3.lnk C:\Users\bumbel\Desktop\duperele\Razer Comms.lnk C:\Users\Public\Desktop\GRIDAutosport.lnk C:\Windows\system32\Microsoft.com C:\Windows\SysWow64\*.tmp C:\Windows\SysWow64\Drivers\StarOpen.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeFlashPlayerUpdateSvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Razer Comms" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa pliki. Dołącz też plik fixlog.txt.

Uruchom po prostu ponownie instalator Firefox: KLIK. Powinien uzupełnić braki.

Czy Opera jest nadal zainstalowana? Komendy w ogóle nie wykryły składników, które powinny być (AdwCleaner pokazywał ścieżki).

Możesz usunąć plik C:\DelFix.txt z dysku. Temat rozwiązany. Zamykam.

Te błędy, który wspominasz, nie są nagrane w FRST Addition. Dorzuć jeszcze pełne Dzienniki zdarzeń: KLIK. Nie mogę obiecać, że szybko się tym zajmę, a dziś jestem już zbyt zmęczona.

adela: Podtrzymuję swoje stanowisko: Nawet nie wiadomo co się dzieje ze sprzętem, bo może to być problem awarii sprzętowej (jest coraz gorzej, z zawieszeń do niebieskich ekranów), a diagnostyka tego jest znacznie trudniejsza niż "uruchomienie FRST" i przy użytkowniku początkującym raczej kończy się na serwisie. Ja uważam, że nie powinnaś zwlekać (bo jeszcze dojdzie do tego, że się wcale nie uruchomi i nastąpi utrata danych), tylko czym prędzej skopiować gdzieś cenne dane i oddać sprzęt w ręce kogoś kto się zna, bo dowie się szybciej i dokładniej co jest nie tak. Powstrzymałabym się też z jakimikolwiek zakupami "części zamiennych" na własną rękę do czasu owej diagnozy - nie wiadomo gdzie jest usterka, wymiana części może być niezasadna, bo co jeśli się okaże że laptop cały do wymiany? To przecież nie jest wykluczone... Co powiedzieć facetowi? Opisać ogólnie problem: zawieszenia, niebieskie ekrany śmierci, podejrzenie usterki sprzętowej i czy mógłby to zdiagnozować. Skoro się "zna", to i powinien wiedzieć co zacząć sprawdzać i w jaki sposób. Czy się naprawdę "zna" nie możemy stwierdzić. To nie jest odmowa pomocy tylko logiczny trop w obliczu kursu w tym temacie, bo nawet jeśli już uruchomisz jakiś diagnostyk, może się okazać że nie da rady bez pomocy osób trzecich i kosztów. Od razu też mówię, że ja również nie znam się na sprzęcie i jeśli mam problem udaję się do kogoś, kto w tym celuje, nie próbuję załatwiać na własną rękę. PS. A te logi z FRST już zostawmy w spokoju, to logi orientowane na oprogramowanie a nie sprzęt. One były pod inny kontekst. Kontekst się właśnie zmienił = występuje Blue Screen. I mówiłam o co chodzi z ComboFix. Znów został uruchomiony - po co. Już pomijam, że znów wstawił rzeczy, które usuwałam po nim (choć to nie jest tu istotne i nie ma na nic wpływu). Tu nie ma podstaw do jego uruchamiania i on nic nie pomoże, to nie jest problem infekcji (ComboFix jest tylko do wybranych infekcji), ComboFix nie służy do naprawy innych usterek, a już na pewno nie sprzętowych.

Owszem, ustawiałeś DNS, ale nie dla wszystkich interfejsów sieciowych. Pojawił się nowy wpis z 8.8.8.8 (tylko Podstawowy ustawiłeś, Zapasowego brak). Nadal stoją dwa te same co poprzednio interfejsy sieciowe ze zdefektowanym DNS: Tcpip\..\Interfaces\{9E346E7E-7711-47CD-BAAD-532E34B4173D}: [NameServer] 195.67.199.18 195.67.199.19 Tcpip\..\Interfaces\{ADBCDD41-9109-4ECC-9302-B03FAB4DEEEE}: [NameServer] 8.8.8.8 Tcpip\..\Interfaces\{C5235646-2713-4123-AA52-BD97F5F80C81}: [NameServer] 195.67.199.18 195.67.199.19 Tcpip\..\Interfaces\{F4597B08-196C-46F5-A9BE-ED51D00C1DE8}: [NameServer] 0.0.0.0 W jaki sposób modyfikujesz adresy DNS i dla którego połączenia?

Tak, oczywiście. Jakoś zapomniałam dopisać co należy. Już poprawione.

Wpisy w msconfig są w porządku, to elementy instalacji Intel: HotKeysCmds + IgfxTray + Persistence ==================== Installed Programs ====================== Intel® Graphics Media Accelerator Driver (HKLM\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 6.14.10.5273 - Intel Corporation) Natomiast eCyber + iSafe to prawdopodobnie odpadki czegoś w rodzaju YAC (Yet Another Cleaner): KLIK. W podsumowaniu: poza podejrzanym elementem "Tor", nie widać w raportach żadnych oznak czynnej infekcji, ani adware. Do usunięcia tylko Tor i inne drobnostki / wpisy puste: 1. Odinstaluj stare dziurawe wtyczki: Adobe Flash Player 10 Plugin, Adobe Flash Player 11 ActiveX, Adobe Shockwave Player 11.5, Java 7 Update 65, Java™ 6 Update 33, Java™ 6 Update 5. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 tor; C:\Program Files\Tor\tor.exe [3233806 2013-09-02] () [File not signed] S3 catchme; \??\C:\DOCUME~1\DDABRO~1\USTAWI~1\Temp\catchme.sys [X] U2 CertPropSvc; No ImagePath S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S2 hoxxzuk; C:\WINDOWS\system32\xzrmiry.dll [X] NETSVC: hoxxzuk -> C:\WINDOWS\system32\xzrmiry.dll ==> No File. HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\bsz\Dane aplikacji\eCyber C:\Documents and Settings\bsz\Dane aplikacji\iSafe C:\Documents and Settings\dda\Dane aplikacji\eCyber C:\Documents and Settings\dda\Dane aplikacji\iSafe C:\Documents and Settings\LocalService\Dane aplikacji\tor C:\Program Files\Tor C:\WINDOWS\grep.exe C:\WINDOWS\MBR.exe C:\WINDOWS\PEV.exe C:\WINDOWS\sed.exe C:\WINDOWS\zip.exe C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

- IObit Malware Fighter: Zdecydowanie nie polecam. IOBit to nie jest marka godna pełnego zaufania: KLIK. Adware w instalatorach, podejrzane związki partnerskie i dziwne praktyki, w przeszłości złapani na kradzieży bazy danych MBAM. Po tej ostatniej aferze wszystkie zachodnie fora typu "Security" stosują ostrzeżenia do użytkowników używających jakiekolwiek produkty IOBit. Użytkownik sam podejmuje oczywiście decyzję, czy zostawia te instalacje. One są "legalne" i nie można tego podważyć, ale producent wątpliwy, należy rozważyć czy mu dowierzasz. - AdwCleaner: - zaprezentuj wszystkie logi z folderu C:\AdwCleaner. "Deinstaluję" oznacza dopiero zamiar, czy czas przeszły i logi już mają to przedstawiać? Wg logów adware w Firefox siedzi nadal: Hold Page 1.0.1 + FoxxIt-B. Trzymam się podanych raportów zakładając, że to stan po wszystkich opisanych działaniach i żadne inne nie zostały podjęte po. Na tej podstawie czyszczenie odpadków adware oraz innych (w tym puste skróty różnych programów - wpisy typu (No File) z Shortcut): 1. Odinstaluj stare dziurawe wersje: Adobe Flash Player 12 ActiveX, Java 7 Update 55, Java™ 6 Update 26. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1408459294&from=smt&uid=SAMSUNGXHD502HI_S1VZJ9BZC08744 ShortcutWithArgument: C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1408459294&from=smt&uid=SAMSUNGXHD502HI_S1VZJ9BZC08744 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-3105551624-3281779802-1797148407-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki SearchScopes: HKU\S-1-5-21-3105551624-3281779802-1797148407-1001 -> {54521799-693E-4BD8-B4CC-F2FD6CFB30C6} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=198484&p={searchTerms} SearchScopes: HKU\S-1-5-21-3105551624-3281779802-1797148407-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF Plugin HKU\S-1-5-21-3105551624-3281779802-1797148407-1001: ubisoft.com/uplaypc -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File HKU\S-1-5-21-3105551624-3281779802-1797148407-1001\...\Run: [VidSpeak] => [X] HKU\S-1-5-21-3105551624-3281779802-1797148407-1001\...\Run: [AdobeBridge] => [X] Task: {09CA2359-29D5-4D92-936B-F5C51A128509} - System32\Tasks\YTAUpdate => C:\PROGRA~1\YouTube Task: {936F951D-7F17-46A5-9708-870026B6EB72} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files\IObit\Game Booster 3\AutoUpdate.exe Task: {AF5E9090-51BA-4AB4-B476-0801C71B7B2D} - System32\Tasks\{105F7530-8BDE-4D7E-AEF9-9FB9962FB82A} => pcalua.exe -a "C:\Program Files\NETGEAR\WNA1000M\InstallSvc.exe" -d "C:\Program Files\NETGEAR\WNA1000M" Task: {FCFDC6C3-D862-4BA8-BA94-4FAE44053A67} - \SPBIW_UpdateTask_Time_333239353831393234332d3437415a556c2a3223346c41 No Task File S3 IntcAzAudAddService; system32\drivers\RTKVHDA.sys [X] R4 RegFilter; \??\C:\Program Files\IObit\IObit Malware Fighter\drivers\win7_x86\regfilter.sys [X] S3 RTL8192cu; system32\DRIVERS\RTL8192cu.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files\IObit\Game Booster 3\Driver\WinRing0.sys [X] C:\Program Files\Free mp3 Wma Converter C:\Program Files\Freemake C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\ProgramData\hash.dat C:\ProgramData\AVAST Software C:\ProgramData\Freemake C:\ProgramData\McAfee C:\ProgramData\McAfee Security Scan C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\3d Girlz Uninstall.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Anki.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MixPad Audio Mixer.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NCH Tone Generator.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\3D SexVilla 2 - Everlust + Addons C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CodeBlocks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Fiszki mp3 aktywny trening C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grupa IMAGE C:\Users\Bartek\AppData\Local\*.exe C:\Users\Bartek\AppData\Local\nsy36FC.tmp C:\Users\Bartek\AppData\Local\Google\Chrome C:\Users\Bartek\AppData\Roaming\temp.ini C:\Users\Bartek\AppData\Roaming\Ashampoo C:\Users\Bartek\AppData\Roaming\avidemux C:\Users\Bartek\AppData\Roaming\DAEMON Tools Lite C:\Users\Bartek\AppData\Roaming\DarkWave Studio C:\Users\Bartek\AppData\Roaming\DVDVideoSoft C:\Users\Bartek\AppData\Roaming\FreeAudioPack C:\Users\Bartek\AppData\Roaming\iFunbox_UserCache C:\Users\Bartek\AppData\Roaming\F-Secure C:\Users\Bartek\AppData\Roaming\Greyfirst C:\Users\Bartek\AppData\Roaming\Kalypso Media C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ALLPlayer V4.6.lnk C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Free mp3 Wma Converter.lnk C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DarkWave Studio C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\LIMBO C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\SendTo\Xfire Friend.lnk C:\Users\Bartek\AppData\Roaming\Might & Magic Heroes VI C:\Users\Bartek\AppData\Roaming\Mount&Blade Warband C:\Users\Bartek\AppData\Roaming\Polynomial C:\Users\Bartek\AppData\Roaming\REAPER C:\Users\Bartek\AppData\Roaming\redsn0w C:\Users\Bartek\AppData\Roaming\Softinterface, Inc C:\Users\Bartek\AppData\Roaming\Thinstall C:\Users\Bartek\AppData\Roaming\Unity C:\Users\Bartek\AppData\Roaming\WebTest C:\Users\Bartek\Desktop\Programy\Adobe Reader 9.lnk C:\Users\Bartek\Desktop\Programy\Advanced SystemCare 6.lnk C:\Users\Bartek\Desktop\Programy\Anki.lnk C:\Users\Bartek\Desktop\Programy\Ashampoo Burning Studio 2010 Advanced.lnk C:\Users\Bartek\Desktop\Programy\Chmura Osobista.lnk C:\Users\Bartek\Desktop\Programy\CodeBlocks.lnk C:\Users\Bartek\Desktop\Programy\DAEMON Tools Lite.lnk C:\Users\Bartek\Desktop\Programy\DVDVideoSoft Free Studio.lnk C:\Users\Bartek\Desktop\Programy\foobar2000.lnk C:\Users\Bartek\Desktop\Programy\Free YouTube Download.lnk C:\Users\Bartek\Desktop\Programy\Free YouTube to MP3 Converter.lnk C:\Users\Bartek\Desktop\Programy\Freemake Video Downloader.lnk C:\Users\Bartek\Desktop\Programy\Game Booster 3.lnk C:\Users\Bartek\Desktop\Programy\iFunbox.lnk C:\Users\Bartek\Desktop\Programy\IObit Malware Fighter.lnk C:\Users\Bartek\Desktop\Programy\iTunes.lnk C:\Users\Bartek\Desktop\Programy\Last.fm.lnk C:\Users\Bartek\Desktop\Programy\NCH Tone Generator.lnk C:\Users\Bartek\Desktop\Programy\Nexus Mod Manager.lnk C:\Users\Bartek\Desktop\Programy\Prawo Jazdy ABCDT - egzamin wewnętrzny.lnk C:\Users\Bartek\Desktop\Programy\REAPER.lnk C:\Users\Bartek\Desktop\Programy\Skrzyżowania.lnk C:\Users\Bartek\Desktop\Programy\Skype.lnk C:\Users\Bartek\Desktop\Programy\Smart Defrag 2.lnk C:\Users\Bartek\Desktop\Programy\Steam.lnk C:\Users\Bartek\Desktop\Programy\Uninstaller.lnk C:\Users\Bartek\Desktop\Programy\Uplay.lnk C:\Users\Bartek\Desktop\Programy\Tor Browser\Tor Browser.exe — skrót.lnk C:\Users\Bartek\Desktop\Programy\Lektoring\MixPad Audio Mixer.lnk C:\Users\Bartek\Desktop\Programy\Lektoring\WavePad Sound Editor.lnk C:\Users\Bartek\Desktop\Gry\Risen 3 - Titan Lords.lnk C:\Users\Bartek\Desktop\Gry\The Sims 3.lnk C:\Users\Bartek\Desktop\Gry\Total War Rome II.lnk C:\Users\UpdatusUser\Desktop\*.lnk C:\Windows\patsearch.bin C:\Windows\system32\mp3tagv265asetup.exe C:\Windows\system32\Drivers\Msft_Kernel_webinstrNewH_01009.Wdf Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Steam" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\YouTube Accelerator" /f Reg: reg delete HKU\S-1-5-21-3105551624-3281779802-1797148407-1001_Classes\CLSID /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Program Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Bartek\AppData\Local CMD: dir /a C:\Users\Bartek\AppData\LocalLow CMD: dir /a C:\Users\Bartek\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Firefox w Rozszerzeniach odinstaluj adware FoxxIt-B, Hold Page 1.0.1. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

DelFix nie usunąłby i tak obiektów z folderu "Narzędzia", bo nie skanuje rekursywnie określonych lokalizacji (zajęłoby to za dużo czasu). DelFix uruchamia się tylko raz, oczywiście nadpisuje poprzedni log i już nic nie wiadomo co było wcześniej. Na przyszłość: wytyczne w temacie / opisach są ścisłe, skoro np. nie ma mowy, by uruchomić coś więcej niż raz, to się tego nie robi. Skasuj z dysku plik C:\Delfix.txt. To tyle.

W kwestii braku odpowiedzi, popatrz do spoilera w tym temacie: KLIK. Zajmuję się tematem, gdy jestem w stanie. Tu brakuje mi czasu na dokładne przejrzenie raportów. Podchodziłam do nich dwa razy, są zawalone instalacjami i usuwanie czegoś wymaga dużej uwagi. Ich dokładne przejrzenie jednak nie ma już związku z "File not signed", bo to widać na pierwszy rzut oka: Po drugie: doprecyzuj na jaki temat ma być kontynuacja. Zgłoszony problem to "Eksplorator Windows przestaje działać; często niebieski ekran i restart". W pierwszym raporcie FRST masowe "File not signed". Zostało zrobione globalne Przywracanie systemu. Wg ostatniego raportu FRST odczyt ustąpił. Ale Ty nie wypowiadasz się w ogóle czy któryś ze zgłoszonych problemów nadal ma miejsce.

Ustawiasz sobie np. adresy Google, które są uniwersalne. I tu jest zdefektowany DNS po stronie Windows, pobierany z routera jest inny. Przy przełączaniu do innych sieci DNS będzie pobierany z innych urządzeń. DNS ustawiony na sztywno w Windows na adresy Google pozostanie ten sam.