picasso

Co właściwieś robiłeś w punkcie 1? Nie ma żadnych zmian, szkodliwe adresy DNS są nadal na miejscu: Tcpip\..\Interfaces\{9E346E7E-7711-47CD-BAAD-532E34B4173D}: [NameServer] 195.67.199.18 195.67.199.19 Tcpip\..\Interfaces\{C5235646-2713-4123-AA52-BD97F5F80C81}: [NameServer] 195.67.199.18 195.67.199.19

W przedstawionym tu logu jest jakiś nowy wynik - to do usunięcia za pomocą AdwCleaner, ale na wszelki wypadek zrób jeszcze nowy log FRST.

Kończymy: 1. Usuń używane skanery z folderu C:\Users\Rafal\Downloads\Narzędzia. 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Brakuje pliku fixlog.txt, który powstał podczas przetwarzania skryptu. Dołącz ten plik, nie uruchamiaj przypadkiem ponownie Fix.

Log z FSS jest w porządku. Na wszelki wypadek możesz podać nowy log FRST z opcji Scan (bez dodatkowych logów).

Wg raportu FRST Shortcut jest deinstalator: ShortcutWithArgument: C:\Users\Marcinek\Start Menu\Programs\SpyHunter\Uninstall.lnk -> C:\Users\Marcinek\AppData\Roaming\Enigma Software Group\sh_installer.exe (Enigma Software Group USA, LLC.) -> -r sh W poprzednim logu nie było modyfikacji Surfvox w Firefox widocznej, teraz już jest. Poprawki: 1. Uruchom plik C:\Users\Marcinek\Start Menu\Programs\SpyHunter\Uninstall.lnk. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Firebug, Garmin Communicator, Web Developer) trzeba będzie przeinstalować. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

Zadane przeze mnie czynności wykonane poprawnie. Ale ja nie zadałam użycia AdwCleaner ponownie tylko pokazanie logów wcześniejszych. Zostaw to już. A AdwCleaner raczej pokazuje głupoty - to co usuwał z Opery nie wygląda na instalacje adware tylko na część czarnej listy Opera. I proszę o skan preferencji Opera po tym niefortunnym usuwaniu: Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\DELL\Desktop\Stare dane programu Firefox Folder: C:\Users\DELL\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\DELL\AppData\Roaming\Opera Software\Opera Stable\Preferences" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Są tu instalacje adware, ponadto adware przekonwertowało przelądarkę Google Chrome z wersji stabilnej do development i wymagana kompleksowa reinstalacja. Adware nabyte na jeden z tych sposobów: KLIK. Do wdrożenia: 1. Przez Panel sterowania odinstaluj: DealsGiant, GoldenCoupon, Google Chrome. Przy deinstalacji Google zaznacz Usuń także dane przeglądarki. Resztę doczyści mój skrypt poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {128614e8-07dd-4e11-b9ec-ca2c14f812c5}Gw64; C:\Windows\System32\drivers\{128614e8-07dd-4e11-b9ec-ca2c14f812c5}Gw64.sys [48776 2014-11-23] (StdLib) R1 {150ca330-afd5-4527-99bc-b3ce918cea60}Gw64; C:\Windows\System32\drivers\{150ca330-afd5-4527-99bc-b3ce918cea60}Gw64.sys [48784 2014-11-26] (StdLib) R1 {2fb2b93a-d824-4963-962b-e98da201096d}Gw64; C:\Windows\System32\drivers\{2fb2b93a-d824-4963-962b-e98da201096d}Gw64.sys [48784 2014-11-26] (StdLib) R1 {c06d4fbe-280b-4167-ade0-b7e3d262b0b1}Gw64; C:\Windows\System32\drivers\{c06d4fbe-280b-4167-ade0-b7e3d262b0b1}Gw64.sys [48784 2014-11-29] (StdLib) R1 {d844ac65-f5bb-442d-922f-0cfb5ccefb0c}Gw64; C:\Windows\System32\drivers\{d844ac65-f5bb-442d-922f-0cfb5ccefb0c}Gw64.sys [48784 2014-11-28] (StdLib) R1 {e7ea42ad-4fa4-4fce-a37a-c42931f721e3}Gw64; C:\Windows\System32\drivers\{e7ea42ad-4fa4-4fce-a37a-c42931f721e3}Gw64.sys [48784 2014-11-30] (StdLib) R2 f64035c2; c:\Program Files (x86)\CouponFinder\SaleRadar.dll [4052480 2014-11-30] () [File not signed] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction BHO: shoupNNdrop -> {73c50190-2447-4793-b1d0-a980080bdb47} -> C:\ProgramData\shoupNNdrop\PpGyBYDOtlKZYN.x64.dll () BHO-x32: shoupNNdrop -> {73c50190-2447-4793-b1d0-a980080bdb47} -> C:\ProgramData\shoupNNdrop\PpGyBYDOtlKZYN.dll () HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141201 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141201 HKU\S-1-5-21-3367409587-261043490-430672160-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/?src01=dp220141201 SearchScopes: HKU\S-1-5-21-3367409587-261043490-430672160-1001 -> DefaultScope {00AED5F4-7C45-48B2-A76A-70587D17963F} URL = SearchScopes: HKU\S-1-5-21-3367409587-261043490-430672160-1001 -> {00AED5F4-7C45-48B2-A76A-70587D17963F} URL = HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-3367409587-261043490-430672160-1001\...\MountPoints2: {a7ab58ed-2224-11e4-be82-c0143dd45d14} - "F:\Startme.exe" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" C:\Program Files (x86)\Amazon C:\Program Files (x86)\Google\Chrome C:\Program Files (x86)\CouponFinder C:\ProgramData\661597706728995119 C:\ProgramData\92e779be5cb792f C:\ProgramData\GoldenCoupon C:\ProgramData\shoupNNdrop C:\ProgramData\McAfee C:\Users\User\AppData\Local\Google\Chrome C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\User\Documents\Optimizer Pro C:\Users\User\Downloads\*(*)-dp*.exe C:\Windows\System32\drivers\{128614e8-07dd-4e11-b9ec-ca2c14f812c5}Gw64.sys C:\Windows\System32\drivers\{150ca330-afd5-4527-99bc-b3ce918cea60}Gw64.sys C:\Windows\System32\drivers\{2fb2b93a-d824-4963-962b-e98da201096d}Gw64.sys C:\Windows\System32\drivers\{c06d4fbe-280b-4167-ade0-b7e3d262b0b1}Gw64.sys C:\Windows\System32\drivers\{d844ac65-f5bb-442d-922f-0cfb5ccefb0c}Gw64.sys C:\Windows\System32\drivers\{e7ea42ad-4fa4-4fce-a37a-c42931f721e3}Gw64.sys Folder: C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Preferences" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Na zakończenie DelFix i czyszczenie folderów Przywracania systemu: KLIK. Sprawy w ogóle nie są ze sobą powiązane, a błąd który wspominam jest poziomu "kosmetycznego". Błąd figuruje w raporcie FRST Addition: Application errors: ================== Error: (12/10/2014 10:31:32 PM) (Source: WinMgmt) (EventID: 10) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Adobe jest bardziej popularny, co przekładam na bycie pod większym radarem. Ale Foxit wcale nie był taki bezpieczny - starsze wersje też miały krytyczne luki prowadzące do wykonania infekcji z wklejek www. Po prostu zostaw ten Foxit, tylko pilnuj aktualizacji.

To jest problem z funkcją połączenia internetowego, a nie z podpisanymi cyfrowymi (co rozwala KB3004384). Raport FRST nie przedstawia usterki, którą produkuje KB3004384 (w przeciwnym wypadku od góry do dołu na wszystkich usługach i sterownikach Microsoftu byłby odczyt "File not signed"). Datowanie kompnentów nVidia: DRV - [2014-10-16 17:38:21 | 010,891,464 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm) DRV - [2014-10-16 17:38:21 | 000,162,592 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvhda32v.sys -- (NVHDA) DRV - [2014-09-17 03:14:55 | 000,019,272 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys -- (NvStreamKms) DRV - [2014-09-04 20:14:38 | 000,032,928 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvvad32v.sys -- (nvvad_WaveExtensible) PS. Posługujesz się starszą wersją FRST.

To zły fragment artykułu. Ty do pliku VBS masz wkleić to: strComputer = "." Set objWMIService = GetObject("winmgmts:" _ & "{impersonationLevel=impersonate}!\\" _ & strComputer & "\root\subscription") Set obj1 = objWMIService.Get("__EventFilter.Name='BVTFilter'") set obj2set = obj1.Associators_("__FilterToConsumerBinding") set obj3set = obj1.References_("__FilterToConsumerBinding") For each obj2 in obj2set WScript.echo "Deleting the object" WScript.echo obj2.GetObjectText_ obj2.Delete_ next For each obj3 in obj3set WScript.echo "Deleting the object" WScript.echo obj3.GetObjectText_ obj3.Delete_ next WScript.echo "Deleting the object" WScript.echo obj1.GetObjectText_ obj1.Delete_

Wg ostatniego raportu AdwCleaner był on na dysku. 1. Usuń pobrane narzędzia z C:\Users\Jacek\Desktop\pliki2. 2. Zastosuj DelFix i wyczyść foldery Przyracania systemu: KLIK. To tyle.

Autoruns nie traktuje tego jako zainstalowanej usługi. Skasuj ręcznie ten artefakt. Start > w polu szukania wpisz regedit > skasuj klucz: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppMgmt - Jeśli w ogóle nie korzystasz z Java, usuwasz wszystkie. - Jeśli używasz Java tylko w przeglądarkach / aplikacjach 32-bit (jest tu 32-bitowy Firefox), usuwasz Java 64-bit. - Java 7 może wylecieć niezależnie od powyższych, starsza wersja. Jeśli pijesz do wielokrotnych instalacji Visual: ==================== Installed Programs ====================== Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}) (Version: 8.0.61001 - Microsoft Corporation) Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{7299052b-02a4-4627-81f2-1818da5d550d}) (Version: 8.0.56336 - Microsoft Corporation) Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{837b34e3-7c30-493c-8f6a-2b0f04e2912c}) (Version: 8.0.59193 - Microsoft Corporation) Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{A49F249F-0C91-497F-86DF-B2585E8E76B7}) (Version: 8.0.50727.42 - Microsoft Corporation) Microsoft Visual C++ 2005 Redistributable (x64) (HKLM\...\{071c9b48-7c32-4621-a0ac-3f809523288f}) (Version: 8.0.56336 - Microsoft Corporation) Microsoft Visual C++ 2005 Redistributable (x64) (HKLM\...\{6ce5bae9-d3ca-4b99-891a-1dc6c118a5fc}) (Version: 8.0.59192 - Microsoft Corporation) Microsoft Visual C++ 2005 Redistributable (x64) (HKLM\...\{ad8a2fa1-06e7-4b0d-927d-6e54b3d31028}) (Version: 8.0.61000 - Microsoft Corporation) Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 (HKLM-x32\...\{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}) (Version: 9.0.21022 - Microsoft Corporation) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 (HKLM-x32\...\{887868A2-D6DE-3255-AA92-AA0B5A59B874}) (Version: 9.0.30729 - Microsoft Corporation) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (HKLM-x32\...\{9A25302D-30C0-39D9-BD6F-21E6EC160475}) (Version: 9.0.30729 - Microsoft Corporation) Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation) Microsoft Visual C++ 2010 x64 Redistributable - 10.0.40219 (HKLM\...\{1D8E6291-B0D5-35EC-8441-6616F567A0F7}) (Version: 10.0.40219 - Microsoft Corporation) Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 (HKLM-x32\...\{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}) (Version: 10.0.40219 - Microsoft Corporation) Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.21005 (HKLM-x32\...\{7f51bdb9-ee21-49ee-94d6-90afc321780e}) (Version: 12.0.21005.1 - Microsoft Corporation) Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.21005 (HKLM-x32\...\{ce085a78-074e-4823-8dc1-8a721b94b76d}) (Version: 12.0.21005.1 - Microsoft Corporation) - Wersje 2005, 2008, 2010, 2013: biblioteki się nie zastępują, tzn. np. wersja 2013 nie zastępuje wersji 2005. Jeśli w systemie jest aplikacja sprzężona z wersją 2005, nie będzie działać tylko przy obecności 2013. - System 64-bit, więc instalacje są podwójne: dla aplikacji 32-bit (x86) + 64-bit (x64). Nie wiem czy wszystko co zainstalowane jest potrzebne, bo nie wiem jakie aplikacje czego wymagają, ani jakie było źródło tych instalacji u Ciebie. Przypuszczalnie można usunąć starsze wersje w obrębie tej samej instalacji (np. 32-bitowa wersja 2005 ma 4 wystąpienia, więc może 3 starsze zbędne). Dostarcz rejestr do ręcznej analizy, tzn. plik C:\FRST\Hives\SOFTWARE. Nic nie obiecuję, nie wiem czy umiem to rozwiązać, ani ile mi to zajmie. W spoilerze dodatkowy komentarz, potem ewentualnie usunę ten offtopik:

Tam jest inna treść: DD nie jest natywnie 64-bitową kompilacją, więc nie można go wstawić do folderu 64-bitowych aplikacji (system32). Oznacza to uruchomienie z innej lokalizacji. np. z tymczasowo utworzonego folderu C:\Temp - w linii komend trzeba uwzględnić wtedy całą ścieżkę.

Prosiłam o logi z folderu AdwCleaner z poprzednich uruchomień a nie o ponowne uruchomienie AdwCleaner i podanie raportu ze stanu obecnego (to stan już sfałszowany). Interesuje mnie raport z wczoraj z operacji usuwania, czyli AdwCleaner[s0].txt. Ma to na celu weryfikację co konkretnie było usuwane i czy nie było fałszywych alarmów. I drobne poprawki: 1. Jakoś ominęłam poprzednio te komponemtydo deinstalacji: Chinese Traditional Fonts Support For Adobe Reader 9 + Spelling Dictionaries Support For Adobe Reader 9. 2. Otwórz Notatnik i wklej w nim: S1 ccnfd_1_10_0_4; system32\drivers\ccnfd_1_10_0_4.sys [X] C:\Program Files\Java C:\Program Files\Opera reg: reg delete HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce /v AvgUninstallURL /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Czyszczenie z adware pomyślne. Kończąc ten wątek, zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. I temat pewnie zostanie przeniesiony do innego działu: Teraz do mnie dotarło po obejrzeniu zrzutu ekranu, że na zrzucie figuruje Origin (od gier) jako aplikacja zwracająca błąd. Albo mnie wprowadzasz w błąd i opis jest nieadekwatny / zrzut ekranu nie pasuje do opisu. Kilka kwestii: 1. Występowanie błędu przy starcie: czy na pewno on się pojawia samodzielnie po uruchomieniu systemu, a nie po ręcznym uruchomieniu skrótu Origin z Pulpitu (widoczny na zrzucie ekranu)? Wg raportów w starcie Windows nie ma żadnych obiektów związanych z Origin, więc nie ma podstaw, by błąd samoczynnie wyskakiwał znikąd. Czy na pewno zrzut ekranu przedstawia błąd po starcie systemu? 2. Komponenty Origin: nigdzie w raportach nie widzę żadnych obiektów Origin (ani wejścia na liście zainstalowanych, ani katalogów na dysku, ani skrótów - nawet ten widoczny na obrazku na Pulpicie nie jest pokazywany w Shortcut). Czy Origin został usunięty? 3. Sam błąd 0xc000007b per se - jest tu system 64-bit, więc należy przypuszczać, że to jest jednak problem ładowania nieodpowiednich bibliotek. Z tym, że jak mówię powyższe w ogóle niejasne, nie wiadomo gdzie jest ten Origin, bo go nigdzie w raportach po prostu nie widzę - jest tylko na Twoim obrazku. Ponadto, mówisz "A teraz niestety nie mogę nic uruchomić" - czego konkretnie? Przy okazji, widać że jak szalony montowałeś wszystko jak leci, w systemie jest dużo instalacji .NET Framework i Visual C++ - na pewno nie wszystko jest potrzebne. Opisz precyzyjnie od czego ten błąd się okazuje, od kiedy, co montowałeś.

Wcześniej podane zalecenia pozostają bez zmian. Ewentualne drobnostki już będą w drugiej rundzie. Moim pytaniem było czy samodzielnie to ustawiałeś, bo to nie jest domyślne ustawienie żadnej z przeglądarek.

1. W AdwCleaner uruchom Szukaj, następnie w karcie Registry odznacz wpisy typu Nico Mak Computing (wpisy wyglądają na pochodną instalacji WinZIP), dopiero po tym Usuń i przedstaw wynikowy log. 2. Przy okazji, w Dzienniku zdarzeń jest błąd WMI numer 10. Zastosuj narzędzie Fix-it: KLIK. Nie przypominam tu sobie żadnego tematu zbiorczego na forum traktującgo o tym ogólnie. A "domykanie furtek robali" znane z XP nie aplikuje się na systemach Vista i nowszych. Po pierwsze: systemy są natywnie zimmunizowane w określonych partiach i nie występują w nich problemy z XP. Po drugie: użycie jednej z procedur znanych w programach WWDC / Seconfig powoduje pad Harmonogramu zadań tych systemów i przestaje działać mnóstwo funkcji systemowych - Harmonogram jest zupełnie innej architektury niż w prymitywie XP i jest potrzebny do poprawnego funkcjonowania systemu. Pomijając oczywiste aktualizacje Windows + aplikacji oraz antywirusy / pakiety zabezpieczeń, zainteresuj się narzędziami chronionącymi przed exploitami czy wirtualizacją środowiska np. Malwarebytes Anti-Exploit, EMET, SandBoxie. Przy okazji, incydenty typu "Goobzo" to niestety kwestia braku uwagi, więc jeszcze podsuwam ten materiał ogólny: KLIK.

Tu jednak jest infekcja na poziomie DNS. Wg Whois poniższe adresy są szwedzkie (a Twoje IP na forum wskazuje na polskiego dostawcę): KLIK. Tcpip\..\Interfaces\{9E346E7E-7711-47CD-BAAD-532E34B4173D}: [NameServer] 195.67.199.18 195.67.199.19 Tcpip\..\Interfaces\{C5235646-2713-4123-AA52-BD97F5F80C81}: [NameServer] 195.67.199.18 195.67.199.19 Te adresy DNS figurowały we wcześniejszym raporcie. Jakieś zaćmienie miałam, chyba mi się coś z Notatnika przy obróbce raportu "ucięło", bo w skrypcie zadałam uzupełniającą komendę ipconfig /flushdns (nie zadaję jej bezpodstawnie). To nie wydaje się powiązane wcale z infekcją. W jaki sposób otwierasz Historię - z poziomu menu? Poza tym, użyłeś frazę "np." - czyli co jeszcze nie działa jak poprzednio? Na czym polega zmiana? Poprzednie zadania w większości wykonane, będą jeszcze dodatkowe poprawki. Nowa porcja zadań: 1. Ustaw w Windows pożądane adresy DNS: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = FF HKLM\...\Firefox\Extensions: [{C1CA7765-44E4-452e-9D00-A04F3D434281}] - FF HKLM-x32\...\Firefox\Extensions: [{C1CA7765-44E4-452e-9D00-A04F3D434281}] - R0 avc3; C:\Windows\System32\DRIVERS\avc3.sys [1260120 2014-08-14] (BitDefender) R1 avgtp; C:\Windows\system32\drivers\avgtpx64.sys [50976 2014-08-13] (AVG Technologies) R1 BDVEDISK; C:\Windows\System32\DRIVERS\bdvedisk.sys [76944 2012-04-17] (BitDefender) U2 ezGOSvc; No ImagePath C:\Windows\System32\DRIVERS\avc3.sys C:\Windows\system32\drivers\avgtpx64.sys C:\Windows\System32\DRIVERS\bdvedisk.sys CMD: ipconfig /flushdns EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt

No tak, ale czy po deinstalacji Avast owe zgłoszenia "Suspicious program detected" ustały? Czy w ogóle sprawdzałeś partiami po jednej instalacji na raz (a nie hurtem), by określić czy one są związane z objawami? PS. Fix wykonany. Skasuj z dysku pobrany FRST i zastosuj DelFix.

W jaki sposób? I na temat zabezpieczania połączeń: KLIK. Opisz dokładnie co i gdzie sprawdzasz, pokaż obrazki prezentujące "włączone opcje". - Usługa "Rejestr zdalny" tylko w Windows 8 jest domyślnie wyłączona, w pozostałych systemach (tu mamy Windows 7) nie: KLIK. - Windows Media Player Player ID - polityka prywatności Microsoftu: KLIK. Na jakiej podstawie definiujesz brak oryginalności? Nie wiem co za koncepcję próbujesz tu dopasować i jaki to ma mieć związek z powyższymi ustawieniami w Windows. Jeśli już zakładamy, że jest coś nie tak, to prędzej szukaj w zabezpieczeniach sieciowych oraz samym Windows (jeśli "z Chomika lub torrent", to coś może być zaszyte / zmienione). Widzę pobrany ComboFix, nie przymierzaj się do tego, nie ma żadnej potrzeby go uruchamiać. W raportach nie ma żadnych widocznych objawów infekcji. Tu widać tylko mini-mini ślady instalacji sponsorów (+ FRST flaguje YTD Video Downloader ze względu na adware w instalatorze), ale to nie ma żadnego związku z opisem. Od razu uwaga na temat plików w rodzaju C:\Users\hy\Downloads\HDD-Regenerator(19825)-dp.exe - śmieci "Asystent pobierania" dobrychprogramów orientowane na instalację adware, a nie poprawne instalatory: KLIK. 1. Usuń te drobne śmieci. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKU\S-1-5-21-116071249-2655848140-1550133759-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKU\S-1-5-21-116071249-2655848140-1550133759-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={37A9F897-431D-4FD1-ADE2-17D2B97DAFD0}&mid=46bee33cb75747cd980fd1486f198553-06ce4fc639803a2e3563922518183d8e94088cb9&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-12-11 18:47:26&v=4.0.5.7&pid=wtu&sg=&sap=dsp&q={searchTerms} C:\ProgramData\APN CMD: type C:\Users\hy\AppData\Roaming\Mozilla\Firefox\Profiles\itz5s0id.default\user.js EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt - przedstaw go. 2. Uwagi dodatkowe: Możesz odinstalować pasek AVG Web TuneUp. W systemie są produkty IOBit. Nie polecam nic z tej firmy, choć decyzja zostaje w rękach użytkownika. Firma nie jest godna zaufania (adware w instalatorach, poderzane związki partnerskie, w przeszłości złapani na kradzieży bazy definicji MBAM). Na temat HDD Regenerator: KLIK. Do wiarygodnej diagnostyki dysku stosuje się np. MHDD: KLIK. 3. Windows nie jest zaktualizowany do końca, conamniej Internet Explorer jest w rozsypce: Platform: Windows 7 Ultimate Service Pack 1 (X64) OS Language: Polski (Polska) Internet Explorer Version 8

Kończymy. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zakualizuj Adobe/Java: KLIK.

Fix wykonany. Ze sterownikami emulacji coś kombinowałeś, bo jest zmiana, ale nadal uruchamia się jeden z nich: R1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [283200 2013-10-28] (DT Soft Ltd) S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] Ten dtsoftbus01 powinien zniknąć po deinstalacji DAEMON Tools, ale jakoś teraz do mnie dotarło, iż nie widzę nigdzie w raportach Addition i Shortcut instalacji DAEMON. Jeśli to odpadek: 1. Otwórz Notatnik i wklej w nim: DisableService: dtsoftbus01 Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. 2. Otwórz Notatnik i wklej w nim: S4 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [283200 2013-10-28] (DT Soft Ltd) S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] C:\Windows\System32\DRIVERS\dtsoftbus01.sys C:\Users\Tomasz\AppData\Roaming\DAEMON Tools Lite Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. W jakim rozumieniu? W systemie jest zainstalowana najnowsza wersja dla Firefox: ==================== Installed Programs ====================== Adobe Flash Player 16 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 16.0.0.235 - Adobe Systems Incorporated) To co jeszcze możesz zrobić, to: - Wyłączyć inne wtyczki w Firefox, czyli Adobe Shockwave Player (w zasadzie to ten proram całkowicie możesz odinstalować), Real Alternative i Silverlight. Zrestartować Firefox. - Sprawdzić czy pomoże wyłączenie akceleracji sprzętowej: KLIK. Prócz wyżej wynienionych czynności (jeśli nie będzie efektów) sugeruję na razie wstępnie odinstalować COMODO, nie instalować od razu nic w zamian i po prostu sprawdzić czy jest zmiana sytuacji. Z tym, że ja tu tylko sobie wróżę i na razie próbuję oczyścić podłoże z inwazyjnych elementów na poziomie software, by wykluczyć określone zagadnienia, bo nie ma w raportach żadnych konkretów. Problem z odtwarzaniem video i "zajętym skryptem" równie dobrze może być pochodną problemów sprzętowych, bo to wygląda już na taki problem: Poza tym, sprecyzuj, gdyż w tytule jest "Samoistne restarty", natomiast w treści pierwszego posta "Komputer potrafi się samoczynnie wyłączyć, nie zrestartować.". To dwie różne informacje - oba wydarzenia mają miejsce, czy to jakieś przejęzyczenie? Dodatkowo, w Dzienniku zdarzeń jest też poniższy błąd - określ czym jest \Device\Harddisk1\DR1: KLIK. System errors: ============= Error: (12/15/2014 10:04:49 AM) (Source: Disk) (EventID: 11) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Harddisk1\DR1. A zgłoszone zgadnienia nie pasują do działu diagnostyki infekcji i temat zostanie gdzieś przeniesiony - do Windows lub Hardware. Od razu zaznaczam, iż ja tu więcej nic nie wymyślę.

Fix dokończony. Uruchom AdwCleaner, wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Czy Delfix nie był uruchamiany przypadkiem więcej niż raz? Podany wcześniej log nie pokazuje żadnych usunięć... Log C:\Delfix.txt możesz usunąć z dysku. Co do Windows Update - określ poziom "już nieco lepiej", tzn. czy błędy całkowicie ustąpiły, czy też może są jeszcze jakieś problemy, gdyż wypowiedź nie jest dla mnie jasna.