picasso

Temat przenoszę do działu diagnostyki infekcji. W starcie widoczna infekcja. Ale zestaw podanych logów jest nieodpowiedni, pomijając że OTL niepełny (brak Extras), nowy obowiązkowy log to FRST, brakuje też GMER. Uzupełnij.

Jeśli temat nadal aktualny: Skan SFC jakoby uzupełnił uszkodzony folder Windows Defender: 2014-12-12 19:15:11, Info CSI 0000032a [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:22{11}]"MpEvMsg.dll" from store 2014-12-12 19:15:11, Info CSI 0000032b [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:22{11}]"MsMpRes.dll" from store 2014-12-12 19:15:11, Info CSI 0000032c [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:18{9}]"MpRTP.dll" from store 2014-12-12 19:15:11, Info CSI 0000032d [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MpClient.dll" from store 2014-12-12 19:15:11, Info CSI 0000032e [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MpCmdRun.exe" from store 2014-12-12 19:15:11, Info CSI 0000032f [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MpAsDesc.dll" from store 2014-12-12 19:15:11, Info CSI 00000330 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:18{9}]"MpSvc.dll" from store 2014-12-12 19:15:11, Info CSI 00000331 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:22{11}]"MsMpCom.dll" from store 2014-12-12 19:15:11, Info CSI 00000332 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MsMpLics.dll" from store 2014-12-12 19:15:11, Info CSI 00000333 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:22{11}]"MSASCui.exe" from store 2014-12-12 19:15:11, Info CSI 00000334 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:22{11}]"MpCommu.dll" from store 2014-12-12 19:15:11, Info CSI 00000335 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:18{9}]"MpOAV.dll" from store 2014-12-12 19:15:11, Info CSI 00000336 [sR] Repairing corrupted file [ml:520{260},l:86{43}]"\??\C:\Program Files\Windows Defender\pl-PL"\[l:30{15}]"MsMpRes.dll.mui" from store 2014-12-12 19:15:11, Info CSI 00000337 [sR] Repairing corrupted file [ml:520{260},l:86{43}]"\??\C:\Program Files\Windows Defender\pl-PL"\[l:32{16}]"MpAsDesc.dll.mui" from store 2014-12-12 19:15:11, Info CSI 00000338 [sR] Repairing corrupted file [ml:520{260},l:86{43}]"\??\C:\Program Files\Windows Defender\pl-PL"\[l:30{15}]"MpEvMsg.dll.mui" from store Ale to nie wszystko, usuwałeś agresywnie nie wiadomo co i skąd za pomocą Revo, brakuje conajmniej usługi w rejestrze, ale możliwe że więcej. Podaj dodatkowy skan orientacyjny (pomijam bardziej zagrzebaną sekcję komponentów Windows - może Revo aż taki głęboki nie był) - otwórz Notatnik i wklej w nim: Folder: C:\Program Files\Windows Defender Folder: C:\Program Files (x86)\Windows Defender Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows Defender" /s Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows Defender" /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

gnomiuszka Nie, to nie jest konto Gościa. Kieruje go na profil systemowy C:\Windows\system32\config\systemprofile. kwacek Proszę nie kombinuj paczek na SpeedyShare, to jest utrudnienie - wstawiłam jako osobne załączniki. W Dzienniku zdarzeń cała kolekcja błędów dostępowych do poprzedniego konta: [ Application Events ] Error - 2014-12-16 12:11:07 | Computer Name = Kwacek-Komputer | Source = Microsoft-Windows-User Profiles Service | ID = 1515 Description = System Windows wykonał kopię zapasową tego profilu użytkownika. System Windows automatycznie spróbuje użyć profilu z kopii zapasowej przy następnym logowaniu tego użytkownika. Error - 2014-12-16 12:11:07 | Computer Name = Kwacek-Komputer | Source = Microsoft-Windows-User Profiles Service | ID = 1511 Description = System Windows nie może znaleźć profilu lokalnego i loguje użytkownika przy użyciu profilu tymczasowego. Zmiany wprowadzone w profilu zostaną utracone po wylogowaniu. Error - 2014-12-16 12:11:08 | Computer Name = Kwacek-Komputer | Source = Microsoft-Windows-User Profiles Service | ID = 1508 Description = System Windows nie może załadować rejestru. Częstą przyczyną tego problemu jest za mała ilość pamięci lub brak wystarczających praw zabezpieczeń. SZCZEGÓŁY - Odmowa dostępu. for C:\Users\TEMP\ntuser.dat Error - 2014-12-16 12:11:08 | Computer Name = Kwacek-Komputer | Source = Microsoft-Windows-User Profiles Service | ID = 1505 Description = System Windows nie może załadować profilu użytkownika, ale wykonał logowanie przy użyciu domyślnego profilu systemowego. SZCZEGÓŁY - Odmowa dostępu. No i właśnie, interesuje mnie czy coś wykonałeś z linkowanego podobnego tematu - co mówi Reprofiler. PS. A teraz głównym raportem na forum jest FRST, a nie OTL.

Ten błąd, który pokazujesz, jest od Adobe Reader. Nie widziałam tego wpisu uprzednio w raportach, można go wyłączyć ze startu, ale to tylko chwilowe obejście problemu i to tylko dla jednej ze zdefektowanych aplikacji. Proponuję zacząć od oczyszczenia atmosfery i deinstalacji wszystkich dodanych bibliotek: ==================== Installed Programs ====================== Microsoft .NET Framework 1.1 (HKLM-x32\...\Microsoft .NET Framework 1.1 (1033)) (Version: - ) Microsoft .NET Framework 1.1 Security Update (KB2698023) (HKLM-x32\...\M2698023) (Version: - ) Microsoft .NET Framework 1.1 Security Update (KB2833941) (HKLM-x32\...\M2833941) (Version: - ) Microsoft .NET Framework 1.1 Security Update (KB979906) (HKLM-x32\...\M979906) (Version: - ) Microsoft .NET Framework 1.1 SP1 (HKLM\...\{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}) (Version: - ) Microsoft .NET Framework 1.1 SP1 (HKLM\...\Microsoft .NET Framework 1.1 (1033)) (Version: - ) Microsoft .NET Framework 4 Client Profile (HKLM\...\Microsoft .NET Framework 4 Client Profile) (Version: 4.0.30319 - Microsoft Corporation) Microsoft .NET Framework 4 Extended (HKLM\...\Microsoft .NET Framework 4 Extended) (Version: 4.0.30319 - Microsoft Corporation) Microsoft .NET Framework 4 Multi-Targeting Pack (HKLM-x32\...\{CFEF48A8-BFB8-3EAC-8BA5-DE4F8AA267CE}) (Version: 4.0.30319 - Microsoft Corporation) Microsoft SQL Server 2008 R2 Management Objects (HKLM-x32\...\{4E968D9C-21A7-4915-B698-F7AEB913541D}) (Version: 10.50.1447.4 - Microsoft Corporation) Microsoft SQL Server Compact 3.5 SP2 ENU (HKLM-x32\...\{3A9FC03D-C685-4831-94CF-4EDFD3749497}) (Version: 3.5.8080.0 - Microsoft Corporation) Microsoft SQL Server Compact 3.5 SP2 x64 ENU (HKLM\...\{D4AD39AD-091E-4D33-BB2B-59F6FCB8ADC3}) (Version: 3.5.8080.0 - Microsoft Corporation) Microsoft SQL Server System CLR Types (HKLM-x32\...\{2A2F3AE8-246A-4252-BB26-1BEB45627074}) (Version: 10.50.1447.4 - Microsoft Corporation) Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}) (Version: 8.0.61187 - Microsoft Corporation) Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{837b34e3-7c30-493c-8f6a-2b0f04e2912c}) (Version: 8.0.59193 - Microsoft Corporation) Microsoft Visual C++ 2005 Redistributable (x64) (HKLM\...\{6ce5bae9-d3ca-4b99-891a-1dc6c118a5fc}) (Version: 8.0.59192 - Microsoft Corporation) Microsoft Visual C++ 2005 Redistributable (x64) (HKLM\...\{ad8a2fa1-06e7-4b0d-927d-6e54b3d31028}) (Version: 8.0.61186 - Microsoft Corporation) Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.7523 (HKLM\...\{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}) (Version: 9.0.30729.7523 - Microsoft Corporation) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (HKLM-x32\...\{9A25302D-30C0-39D9-BD6F-21E6EC160475}) (Version: 9.0.30729 - Microsoft Corporation) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4974 (HKLM-x32\...\{B7E38540-E355-3503-AFD7-635B2F2F76E1}) (Version: 9.0.30729.4974 - Microsoft Corporation) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.7523 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.7523 - Microsoft Corporation) Microsoft Visual C++ 2010 x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation) Microsoft Visual C++ 2010 x64 Runtime - 10.0.30319 (HKLM\...\{94D70749-4281-39AC-AD90-B56A0E0A402E}) (Version: 10.0.30319 - Microsoft Corporation) Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation) Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.60830 (HKLM-x32\...\{c7ed0d4c-89c5-47fc-9e89-1088affe63f3}) (Version: 11.0.60830.0 - Microsoft Corporation) Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.60830 (HKLM-x32\...\{9dba0447-b749-41ea-90bc-2aa19a9eb580}) (Version: 11.0.60830.0 - Microsoft Corporation) Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.21005 (HKLM-x32\...\{90ffcee5-8608-4e94-8c18-a4feb4f83fb8}) (Version: 12.0.21005.1 - Microsoft Corporation) Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.21005 (HKLM-x32\...\{4fcf070a-daac-45e9-a8b0-6850941f7ed8}) (Version: 12.0.21005.1 - Microsoft Corporation) Microsoft Visual J# 2.0 Redistributable Package - SE (x64) (HKLM\...\Microsoft Visual J# 2.0 Redistributable Package - SE (x64)) (Version: - Microsoft Corporation) Microsoft Visual Studio 2010 ADO.NET Entity Framework Tools (HKLM-x32\...\{14DD7530-CCD2-3798-B37D-3839ED6A441C}) (Version: 10.0.30319 - Microsoft Corporation) Microsoft Visual Studio 2010 Express Prerequisites x64 - ENU (HKLM\...\{BCA26999-EC22-3007-BB79-638913079C9A}) (Version: 10.0.30319 - Microsoft Corporation) Microsoft XNA Framework Redistributable 4.0 (HKLM-x32\...\{2BFC7AA0-544C-4E3A-8796-67F3BE655BE9}) (Version: 4.0.20823.0 - Microsoft Corporation) Visual Studio 2010 Tools for SQL Server Compact 3.5 SP2 ENU (HKLM-x32\...\{112C23F2-C036-4D40-BED4-0CB47BF5555C}) (Version: 4.0.8080.0 - Microsoft Corporation) Czyli: 1. Panel sterowania > Programy > Odinstaluj program > odinstaluj wszystkie wyliczone pozycje. Następnie Panel sterowania > Programy > Zainstalowane aktualizacje > przejrzyj czy nie zostały jakieś aktualizacje od .NET Framework i Visual C++ > ewentualne znaleziska też odinstaluj. 2. Zastosuj narzędzia: Fix It + .NET Framework Cleanup Tool + Microsoft Visual Studio 2010 Uninstall Utility. To ostatnie narzędzie pobierasz z tego linka: KLIK. 3. Po operacjach zresetuj system. Zrób nowy log FRST - zaznacz pole Addition, by powstał log potwierdzający deinstalacje. I w razie potrzeby któreś instalacje zostaną uzupełnione ponownie. Temat przenoszę do działu Windows.

Usunąłeś tylko Alcohol, ale nie jego sterownik który właśnie powoduje ten odczyt. Deinstalacja Alcohol nie usuwa sterownika SPTD (pokazuje go FRST) - on musi być traktowany indywidualnie: KLIK. Po usunięciu sterownika wymagany restart, by odładować go w pełni z pamięci. R0 sptd; C:\Windows\System32\Drivers\sptd.sys [386680 2014-11-08] (Duplex Secure Ltd.) Usunięcie sterownika Alcohola wpływa tylko na ustąpienie odczytu "Hidden driver". Pozostałe wyniki nadal będziesz miał wykrywane, one nie są szkodliwe. Hidden driver [NOTE] A memory modification has been detected, which could potentially be used to hide file access attempts. W podanych raportach brak oznak infekcji, ale możesz przeprowadzić dodatkowe działania: 1. Kolejny nie odinstalowany komponent przemycony przez instalację Alcohol to Smart File Advisor - należało ten zbędnik odznaczyć przy instalacji Alcohola. Poza tym, w systemie jest przestarzały konstrukcyjnie Spybot - Search & Destroy 2. To program 32-bit i słabo nadaje się na system 64-bit, lata świetności też ma za sobą. 2. Usunięcie wpisów pustych i czyszczenie Tempów. Otwórz Notatnik i wklej w nim: CloseProcesses: CHR HKLM-x32\...\Chrome\Extension: [lpdfbkehegfmedglgemnhbnpmfmioggj] - No Path ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20141008 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20141008 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\ProgramData\Temp C:\Users\T540p\AppData\Roaming\WebApp C:\Users\T540p\AppData\Roaming\WebExtend Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /s Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przestaw ten log.

1. Przez SHIFT+DEL skasuj poniższe foldery (to falsyfikaty dorobione przez adware): C:\Users\Administrator C:\Users\Gość C:\Users\HomeGroupUser$ C:\Users\postgres.admin-Komputer\AppData\Local\Google 2. Następnie uruchom AdwCleaner, zastosuj kombinację Szukaj + Usuń, dostarcz wynikowy log AdwCleanerS0.txt.

Nic nowego się nie pojawiło. Poprzednio był Tor, ale to rozwiązane. Jeśli nadal są problemy z siecią, to jeszcze proponuję: - Odinstalować Pando Media Booster. Przykładowy temat, w którym dziad wpływał negatywnie na sieć: KLIK. - Sprawdzić wpływ AVG Accelerator (AVG to świeża instalacja tutaj). Przykładowy temat: KLIK. W zakresie czyszczenia systemu już kończymy. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Dom\Desktop\FRST-OlderVersion RemoveDirectory: C:\Users\HolloW\Desktop\Stare dane programu Firefox Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: C:\Users\HolloW\Downloads\ComboFix.exe /uninstall Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ostatnia komenda to deinstalacja ComboFix. Zaprezentuj wynikowy fixlog.txt.

Widzę Firefox na liście zainstalowanych: ==================== Installed Programs ====================== Mozilla Firefox 33.1 (x86 en-US) (HKLM-x32\...\Mozilla Firefox 33.1 (x86 en-US)) (Version: 33.1 - Mozilla) Mówiłam o uruchamianiu Firefox, bo w logu stał taki oto dziwny odczyt: FF Extension: No Name - C:\FRST\Quarantine\C\Program Files (x86)\Mozilla Firefox\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} [Not Found] Folder Firefox owszem usuwałam, tylko że było to w poście numer #4 - skrypt był robiony w oparciu o wcześniejszy log, w którym Firefox nie był na liście zainstalowanych. Po moim usuwaniu wszystko było w porządku z Firefoxem, dopiero teraz coś jest nie tak. Czy obecnie widzisz na dysku folder C:\Program Files (x86)\Mozilla Firefox?

O nowy log FRST nie prosiłam, zbędny. Fix wykonany. Czy są notowalne jakieś zmiany po wyłączeniu aktualizatora PLAY ONLINE? Owszem, jest nadal przydatny w limitowany sposób: baza porównawcza, mniej silne filtrowanie usług / sterowników (nie muszę za każdym razem wyłączać białej listy w FRST), skan kilku drobniejszych rzeczy których nie ma i nie będzie w FRST (np. detekcja plików autorun.inf, lista autoryzacji zapory czy wszystkich plików bez producenta). Za jakiś czas jednak pewnie usunę go z wymagań.

Niestety, ale nadal te same problemy, plik Fixlist jest niepoprawny, następuje sklejanie linii i nic się nie wykonuje. Za pomocą jakiej przeglądarki przeklejasz z posta skrypt, w jaki sposób robisz plik (czy na pewno w Notatniku - inne edytory odpadają)? Poprzednie zadania nadal aktualne.

Co właściwieś robiłeś w punkcie 1? Nie ma żadnych zmian, szkodliwe adresy DNS są nadal na miejscu: Tcpip\..\Interfaces\{9E346E7E-7711-47CD-BAAD-532E34B4173D}: [NameServer] 195.67.199.18 195.67.199.19 Tcpip\..\Interfaces\{C5235646-2713-4123-AA52-BD97F5F80C81}: [NameServer] 195.67.199.18 195.67.199.19

W przedstawionym tu logu jest jakiś nowy wynik - to do usunięcia za pomocą AdwCleaner, ale na wszelki wypadek zrób jeszcze nowy log FRST.

Kończymy: 1. Usuń używane skanery z folderu C:\Users\Rafal\Downloads\Narzędzia. 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Brakuje pliku fixlog.txt, który powstał podczas przetwarzania skryptu. Dołącz ten plik, nie uruchamiaj przypadkiem ponownie Fix.

Log z FSS jest w porządku. Na wszelki wypadek możesz podać nowy log FRST z opcji Scan (bez dodatkowych logów).

Wg raportu FRST Shortcut jest deinstalator: ShortcutWithArgument: C:\Users\Marcinek\Start Menu\Programs\SpyHunter\Uninstall.lnk -> C:\Users\Marcinek\AppData\Roaming\Enigma Software Group\sh_installer.exe (Enigma Software Group USA, LLC.) -> -r sh W poprzednim logu nie było modyfikacji Surfvox w Firefox widocznej, teraz już jest. Poprawki: 1. Uruchom plik C:\Users\Marcinek\Start Menu\Programs\SpyHunter\Uninstall.lnk. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Firebug, Garmin Communicator, Web Developer) trzeba będzie przeinstalować. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

Zadane przeze mnie czynności wykonane poprawnie. Ale ja nie zadałam użycia AdwCleaner ponownie tylko pokazanie logów wcześniejszych. Zostaw to już. A AdwCleaner raczej pokazuje głupoty - to co usuwał z Opery nie wygląda na instalacje adware tylko na część czarnej listy Opera. I proszę o skan preferencji Opera po tym niefortunnym usuwaniu: Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\DELL\Desktop\Stare dane programu Firefox Folder: C:\Users\DELL\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\DELL\AppData\Roaming\Opera Software\Opera Stable\Preferences" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Są tu instalacje adware, ponadto adware przekonwertowało przelądarkę Google Chrome z wersji stabilnej do development i wymagana kompleksowa reinstalacja. Adware nabyte na jeden z tych sposobów: KLIK. Do wdrożenia: 1. Przez Panel sterowania odinstaluj: DealsGiant, GoldenCoupon, Google Chrome. Przy deinstalacji Google zaznacz Usuń także dane przeglądarki. Resztę doczyści mój skrypt poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {128614e8-07dd-4e11-b9ec-ca2c14f812c5}Gw64; C:\Windows\System32\drivers\{128614e8-07dd-4e11-b9ec-ca2c14f812c5}Gw64.sys [48776 2014-11-23] (StdLib) R1 {150ca330-afd5-4527-99bc-b3ce918cea60}Gw64; C:\Windows\System32\drivers\{150ca330-afd5-4527-99bc-b3ce918cea60}Gw64.sys [48784 2014-11-26] (StdLib) R1 {2fb2b93a-d824-4963-962b-e98da201096d}Gw64; C:\Windows\System32\drivers\{2fb2b93a-d824-4963-962b-e98da201096d}Gw64.sys [48784 2014-11-26] (StdLib) R1 {c06d4fbe-280b-4167-ade0-b7e3d262b0b1}Gw64; C:\Windows\System32\drivers\{c06d4fbe-280b-4167-ade0-b7e3d262b0b1}Gw64.sys [48784 2014-11-29] (StdLib) R1 {d844ac65-f5bb-442d-922f-0cfb5ccefb0c}Gw64; C:\Windows\System32\drivers\{d844ac65-f5bb-442d-922f-0cfb5ccefb0c}Gw64.sys [48784 2014-11-28] (StdLib) R1 {e7ea42ad-4fa4-4fce-a37a-c42931f721e3}Gw64; C:\Windows\System32\drivers\{e7ea42ad-4fa4-4fce-a37a-c42931f721e3}Gw64.sys [48784 2014-11-30] (StdLib) R2 f64035c2; c:\Program Files (x86)\CouponFinder\SaleRadar.dll [4052480 2014-11-30] () [File not signed] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction BHO: shoupNNdrop -> {73c50190-2447-4793-b1d0-a980080bdb47} -> C:\ProgramData\shoupNNdrop\PpGyBYDOtlKZYN.x64.dll () BHO-x32: shoupNNdrop -> {73c50190-2447-4793-b1d0-a980080bdb47} -> C:\ProgramData\shoupNNdrop\PpGyBYDOtlKZYN.dll () HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141201 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141201 HKU\S-1-5-21-3367409587-261043490-430672160-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/?src01=dp220141201 SearchScopes: HKU\S-1-5-21-3367409587-261043490-430672160-1001 -> DefaultScope {00AED5F4-7C45-48B2-A76A-70587D17963F} URL = SearchScopes: HKU\S-1-5-21-3367409587-261043490-430672160-1001 -> {00AED5F4-7C45-48B2-A76A-70587D17963F} URL = HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-3367409587-261043490-430672160-1001\...\MountPoints2: {a7ab58ed-2224-11e4-be82-c0143dd45d14} - "F:\Startme.exe" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" C:\Program Files (x86)\Amazon C:\Program Files (x86)\Google\Chrome C:\Program Files (x86)\CouponFinder C:\ProgramData\661597706728995119 C:\ProgramData\92e779be5cb792f C:\ProgramData\GoldenCoupon C:\ProgramData\shoupNNdrop C:\ProgramData\McAfee C:\Users\User\AppData\Local\Google\Chrome C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\User\Documents\Optimizer Pro C:\Users\User\Downloads\*(*)-dp*.exe C:\Windows\System32\drivers\{128614e8-07dd-4e11-b9ec-ca2c14f812c5}Gw64.sys C:\Windows\System32\drivers\{150ca330-afd5-4527-99bc-b3ce918cea60}Gw64.sys C:\Windows\System32\drivers\{2fb2b93a-d824-4963-962b-e98da201096d}Gw64.sys C:\Windows\System32\drivers\{c06d4fbe-280b-4167-ade0-b7e3d262b0b1}Gw64.sys C:\Windows\System32\drivers\{d844ac65-f5bb-442d-922f-0cfb5ccefb0c}Gw64.sys C:\Windows\System32\drivers\{e7ea42ad-4fa4-4fce-a37a-c42931f721e3}Gw64.sys Folder: C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Preferences" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Na zakończenie DelFix i czyszczenie folderów Przywracania systemu: KLIK. Sprawy w ogóle nie są ze sobą powiązane, a błąd który wspominam jest poziomu "kosmetycznego". Błąd figuruje w raporcie FRST Addition: Application errors: ================== Error: (12/10/2014 10:31:32 PM) (Source: WinMgmt) (EventID: 10) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Adobe jest bardziej popularny, co przekładam na bycie pod większym radarem. Ale Foxit wcale nie był taki bezpieczny - starsze wersje też miały krytyczne luki prowadzące do wykonania infekcji z wklejek www. Po prostu zostaw ten Foxit, tylko pilnuj aktualizacji.

To jest problem z funkcją połączenia internetowego, a nie z podpisanymi cyfrowymi (co rozwala KB3004384). Raport FRST nie przedstawia usterki, którą produkuje KB3004384 (w przeciwnym wypadku od góry do dołu na wszystkich usługach i sterownikach Microsoftu byłby odczyt "File not signed"). Datowanie kompnentów nVidia: DRV - [2014-10-16 17:38:21 | 010,891,464 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm) DRV - [2014-10-16 17:38:21 | 000,162,592 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvhda32v.sys -- (NVHDA) DRV - [2014-09-17 03:14:55 | 000,019,272 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys -- (NvStreamKms) DRV - [2014-09-04 20:14:38 | 000,032,928 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvvad32v.sys -- (nvvad_WaveExtensible) PS. Posługujesz się starszą wersją FRST.

To zły fragment artykułu. Ty do pliku VBS masz wkleić to: strComputer = "." Set objWMIService = GetObject("winmgmts:" _ & "{impersonationLevel=impersonate}!\\" _ & strComputer & "\root\subscription") Set obj1 = objWMIService.Get("__EventFilter.Name='BVTFilter'") set obj2set = obj1.Associators_("__FilterToConsumerBinding") set obj3set = obj1.References_("__FilterToConsumerBinding") For each obj2 in obj2set WScript.echo "Deleting the object" WScript.echo obj2.GetObjectText_ obj2.Delete_ next For each obj3 in obj3set WScript.echo "Deleting the object" WScript.echo obj3.GetObjectText_ obj3.Delete_ next WScript.echo "Deleting the object" WScript.echo obj1.GetObjectText_ obj1.Delete_

Wg ostatniego raportu AdwCleaner był on na dysku. 1. Usuń pobrane narzędzia z C:\Users\Jacek\Desktop\pliki2. 2. Zastosuj DelFix i wyczyść foldery Przyracania systemu: KLIK. To tyle.

Autoruns nie traktuje tego jako zainstalowanej usługi. Skasuj ręcznie ten artefakt. Start > w polu szukania wpisz regedit > skasuj klucz: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppMgmt - Jeśli w ogóle nie korzystasz z Java, usuwasz wszystkie. - Jeśli używasz Java tylko w przeglądarkach / aplikacjach 32-bit (jest tu 32-bitowy Firefox), usuwasz Java 64-bit. - Java 7 może wylecieć niezależnie od powyższych, starsza wersja. Jeśli pijesz do wielokrotnych instalacji Visual: ==================== Installed Programs ====================== Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}) (Version: 8.0.61001 - Microsoft Corporation) Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{7299052b-02a4-4627-81f2-1818da5d550d}) (Version: 8.0.56336 - Microsoft Corporation) Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{837b34e3-7c30-493c-8f6a-2b0f04e2912c}) (Version: 8.0.59193 - Microsoft Corporation) Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{A49F249F-0C91-497F-86DF-B2585E8E76B7}) (Version: 8.0.50727.42 - Microsoft Corporation) Microsoft Visual C++ 2005 Redistributable (x64) (HKLM\...\{071c9b48-7c32-4621-a0ac-3f809523288f}) (Version: 8.0.56336 - Microsoft Corporation) Microsoft Visual C++ 2005 Redistributable (x64) (HKLM\...\{6ce5bae9-d3ca-4b99-891a-1dc6c118a5fc}) (Version: 8.0.59192 - Microsoft Corporation) Microsoft Visual C++ 2005 Redistributable (x64) (HKLM\...\{ad8a2fa1-06e7-4b0d-927d-6e54b3d31028}) (Version: 8.0.61000 - Microsoft Corporation) Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 (HKLM-x32\...\{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}) (Version: 9.0.21022 - Microsoft Corporation) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 (HKLM-x32\...\{887868A2-D6DE-3255-AA92-AA0B5A59B874}) (Version: 9.0.30729 - Microsoft Corporation) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (HKLM-x32\...\{9A25302D-30C0-39D9-BD6F-21E6EC160475}) (Version: 9.0.30729 - Microsoft Corporation) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation) Microsoft Visual C++ 2010 x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation) Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation) Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.21005 (HKLM-x32\...\{7f51bdb9-ee21-49ee-94d6-90afc321780e}) (Version: 12.0.21005.1 - Microsoft Corporation) Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.21005 (HKLM-x32\...\{ce085a78-074e-4823-8dc1-8a721b94b76d}) (Version: 12.0.21005.1 - Microsoft Corporation) - Wersje 2005, 2008, 2010, 2013: biblioteki się nie zastępują, tzn. np. wersja 2013 nie zastępuje wersji 2005. Jeśli w systemie jest aplikacja sprzężona z wersją 2005, nie będzie działać tylko przy obecności 2013. - System 64-bit, więc instalacje są podwójne: dla aplikacji 32-bit (x86) + 64-bit (x64). Nie wiem czy wszystko co zainstalowane jest potrzebne, bo nie wiem jakie aplikacje czego wymagają, ani jakie było źródło tych instalacji u Ciebie. Przypuszczalnie można usunąć starsze wersje w obrębie tej samej instalacji (np. 32-bitowa wersja 2005 ma 4 wystąpienia, więc może 3 starsze zbędne). Dostarcz rejestr do ręcznej analizy, tzn. plik C:\FRST\Hives\SOFTWARE. Nic nie obiecuję, nie wiem czy umiem to rozwiązać, ani ile mi to zajmie. W spoilerze dodatkowy komentarz, potem ewentualnie usunę ten offtopik:

Tam jest inna treść: DD nie jest natywnie 64-bitową kompilacją, więc nie można go wstawić do folderu 64-bitowych aplikacji (system32). Oznacza to uruchomienie z innej lokalizacji. np. z tymczasowo utworzonego folderu C:\Temp - w linii komend trzeba uwzględnić wtedy całą ścieżkę.

Prosiłam o logi z folderu AdwCleaner z poprzednich uruchomień a nie o ponowne uruchomienie AdwCleaner i podanie raportu ze stanu obecnego (to stan już sfałszowany). Interesuje mnie raport z wczoraj z operacji usuwania, czyli AdwCleaner[s0].txt. Ma to na celu weryfikację co konkretnie było usuwane i czy nie było fałszywych alarmów. I drobne poprawki: 1. Jakoś ominęłam poprzednio te komponemtydo deinstalacji: Chinese Traditional Fonts Support For Adobe Reader 9 + Spelling Dictionaries Support For Adobe Reader 9. 2. Otwórz Notatnik i wklej w nim: S1 ccnfd_1_10_0_4; system32\drivers\ccnfd_1_10_0_4.sys [X] C:\Program Files\Java C:\Program Files\Opera reg: reg delete HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce /v AvgUninstallURL /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.