picasso

Czy jest poprawa po przeprowadzonych działaniach? Wszystko zrobione. Teraz uruchom AdwCleaner, wybierz Szukaj i dostarcz świeży log utworzony w C:\AdwCleaner.

"Browsers Apps" został usunięty moim skryptem FRST, został więc jeszcze do usunięcia ukryty "LPT System Updater Service" oraz inne szczątki. Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner i tym razem zastosuj sekwencję Szukaj + Usuń. Dostarcz wynikowy log AdwCleaner[s0].txt.

Zabrakło obowiązkowego raportu z GMER - proszę dostarcz go. Platform: Microsoft Windows XP Professional Dodatek Service Pack 2 (X86) OS Language: Polski Internet Explorer Version 6 Od razu nadmienię, że na takiej bombie daleko nie pociągniesz. To jest zupełnie niezałatany system ze stanem aktualizacji z roku 2004, bardzo silnie uzależniony od rozwiązań trzecich (wystarczy awaria antywirusa lub innego zabezpieczenia i droga wolna do ataków robaków z sieci i innych malware). Tu jest konieczna aktualizacja do SP3 (2008) + IE8 + reszta łat z Windows Update (ostatnie łaty są 2013/2014). Instalacji będzie od groma.

Fałszywe alarmy, a usunięcie z katalogu Installer uszkodziło poniższą instalację, stąd błędy "Instalatora Windows". ==================== Installed Programs ====================== ASUS FancyStart (HKLM-x32\...\{2B81872B-A054-48DA-BE3B-FA5C164C303A}) (Version: 1.0.8 - ASUSTeK Computer Inc.) Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\FancyStart daemon.lnk ShortcutTarget: FancyStart daemon.lnk -> C:\Windows\Installer\{2B81872B-A054-48DA-BE3B-FA5C164C303A}\_C4A2FC3E3722966204FDD8.exe () Przywróć wszystko z kwarantanny Avast na miejsce. W raportach brak oznak infekcji. Wykonaj tylko drobne działania pod kątem zbędnych instalacji i wpisów pustych: 1. Przez Panel sterowania odinstaluj zbędniki i stare wersje: AsusVibe2.0, Bing Bar, Google Toolbar for Internet Explorer, McAfee Security Scan Plus, Java 7 Update 25. Ten McAfee na bank się wślizgnął z instalacjami Adobe: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141015 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141015 HKU\S-1-5-21-365570279-1974800031-830595484-1001\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141015 SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-365570279-1974800031-830595484-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-365570279-1974800031-830595484-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\Temp C:\Users\Radek\AppData\Roaming\ASUS WebStorage CMD: for /d %f in (C:\Users\Radek\AppData\Local\{*}) do rd /s /q "%f" Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {B24BA351-20F9-492E-99FE-56E3EF5B7EDC} /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Żadna akcja z tematu nie utworzyła tego pliku, on prawdopodobnie był od dawna tylko go nie widziałeś. Skan OTL przestawia widoczność plików - tzn. rekonfiguruje opcje "Pokaż ukryte foldery i pliki" + "Ukryj chronione pliki systemu operacyjnego". To wyłączenie tej drugiej opcji (zwykle użytkownicy w ogóle tę opcję pomijają i myślą, że widzą wszystko w systemie) powoduje ujawnienie takich obiektów jak: - Pliki desktop.ini na Pulpicie - odpowiadają za polonizację nazwy i specjalną ikonę Pulpitu. Plików nie należy ruszać. - Pliki thumbs.db w wielu folderach - są to bufory miniaturek tworzone w folderach gdzie leżą pliki graficzne. Pliki można skasować. - Foldery $Recycle.Bin (Kosze) i System Volume Information (Przywracanie systemu) na wszystkich dyskach - nie ruszać. I wiele innych obiektów. Po prostu skasuj ten plik thumbs.db, następnie wejdź do Opcji folderów > Widok > zaznacz Ukryj chronione pliki systemu operacyjnego.

CoToPaintJakisSystemLOL Nie rozumiem pytania, skoro post został tu jednak dodany.... Jeśli chcesz założyć własny temat: w widoku danego subforum przycisk "Napisz nowy temat" w prawym górnym rogu. przemo22 W Google Chrome jest adware - sfałszowany "Flash Player". To jednak tylko jeden z problemów, adware przekonwertowało typ przeglądarki Google Chrome z wersji stabilnej do development i jest wymagana kompleksowana reinstalacja. Poza tym, wszystkie przeglądarki są w starych wersjach (Firefox bardzo stary - obecnie już wersja 34). Akcja: 1. Przez Dodaj/Usuń programy odinstaluj stare wersje, poszkodowane przeglądarki i zbędniki: Adobe Flash Player 11, Adobe Flash Player 13 Plugin, Bing Bar, Google Chrome, Mozilla Firefox 17.0.1 (x86 pl), Mozilla Thunderbird 17.0.5 (x86 pl), Opera 12.13.. Adnotacje na temat deinstalacji przeglądarek: - Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. - Produkty Mozilla: Jeśli chcesz zachować zakładki i hasła (i NIC więcej) z Firefox oraz określone elementy Thunderbird, skorzystaj z MozBackup. Nie rób przypadkiem kopii zapasowej całego profilu, bo zostaną zapamiętane śmieci, a moim celem jest tu przeładować przeglądarki na czysto. - Przy deinstalacji wszystkich przeglądarek potwierdź "usuwanie danych użytkownika". Resztę doczyści mój skrypt poniżej. Nie instaluj na tym etapie przeglądarek i Adobe Flash Player. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-18\...\Run: [Google Update] => C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [116648 2014-02-08] (Google Inc.) ProxyServer: [s-1-5-21-1844237615-1060284298-682003330-1006] => 184.105.197.202:80 Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore1cc8d90f7123778.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA1cc8d90f722e7ee.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-18Core.job => C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-18UA.job => C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-1844237615-1060284298-682003330-1003Core.job => C:\Documents and Settings\Bee!\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-1844237615-1060284298-682003330-1003UA.job => C:\Documents and Settings\Bee!\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-1844237615-1060284298-682003330-1006Core.job => C:\Documents and Settings\Przemek\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-1844237615-1060284298-682003330-1006UA.job => C:\Documents and Settings\Przemek\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe S3 AmdTools; system32\DRIVERS\AmdTools.sys [X] S3 cpuz130; \??\C:\DOCUME~1\Przemek\USTAWI~1\Temp\cpuz130\cpuz_x32.sys [X] S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X] S3 EverestDriver; \??\C:\DOCUME~1\Przemek\USTAWI~1\Temp\EverestDriver.sys [X] S3 FairplayKD; \??\C:\Documents and Settings\All Users\Dane aplikacji\MTA San Andreas All\Common\temp\FairplayKD.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Menu Start\Programy\Atari\Test Drive Unlimited 2 C:\Documents and Settings\All Users\Menu Start\Programy\Image-Line\FL Studio 10 C:\Documents and Settings\All Users\Menu Start\Programy\Riot Games\League of Legends C:\Documents and Settings\All Users\Menu Start\Programy\World of Tanks C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla C:\Documents and Settings\Przemek\Dane aplikacji\IObit C:\Documents and Settings\Przemek\Menu Start\Programy\WarThunder C:\Documents and Settings\Przemek\Ustawienia lokalne\Dane aplikacji\Google\Chrome C:\Program Files\Google\Chrome C:\Program Files\Mozilla Firefox C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\pss\OpenOffice.org 3.3.lnkStartup C:\WINDOWS\pss\Real Desktop.lnkStartup C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google C:\WINDOWS\system32\tmp*.tmp Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Przemek^Menu Start^Programy^Autostart^OpenOffice.org 3.3.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Przemek^Menu Start^Programy^Autostart^Real Desktop.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AceStream" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Active Desktop Calendar" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BitTorrent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\C:" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DU Meter" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EasyTuneV" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FlashGet 3" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IDMan" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesAirMessage" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesPreload" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesTrayAgent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NetLimiter" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Real Desktop" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SandboxieControl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\suchypowiadamiacz" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Defender" /f Reg: reg delete "HKU\S-1-5-18\Software\Google" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Uwaga: po deinstalacjach zostaje przeglądarka Internet Explorer i przeklejanie przy jej udziale z posta do Notatnika może skleić linie. Skrypt wklejony do Notatnika ma wyglądać jak mój w poście - te same przejścia do nowej linii. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. Adobe Flash Player jest wbudowany w Chrome, więc nie ma potrzeby nic instalować, o ile nie pojawi się w systemie najnowszy Firefox. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleanerr. .

Przecież on już to wykonał i podał log Search.txt. W logu widać, że są uszkodzone dwie 64-bitowe instancje iertutil.dll: ================== Search Files: "IERTUTIL.dll" ============= C:\Windows\winsxs\amd64_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_11.2.9600.17420_none_29fb758da1919208\iertutil.dll [2014-11-13 08:08][2014-11-05 19:43] 0000000 ____A () C:\Windows\System32\iertutil.dll [2014-11-13 08:08][2014-11-05 19:43] 0000000 ____A () Dombear, musisz poczekać na poprawną kopię z mojego systemu zgodną z wersją komponentu 11.2.9600.17420, bo w tej chwili nie jestem w stanie tego zrobić szybko. EDIT: Przesyłam 64-bitowy plik zgodny z wymaganą wersją. Umieść plik na pendrive F:. Do Notatnika wklej: CMD: copy /y F:\iertutil.dll C:\Windows\System32\iertutil.dll CMD: copy /y F:\iertutil.dll C:\Windows\winsxs\amd64_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_11.2.9600.17420_none_29fb758da1919208\iertutil.dll Plik zapisz pod nazwą fixlist.txt i umieść na F:\. Uruchom FRST i wybierz opcję Fix. Przedstaw wynikowy fixlog.txt.

Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Screen jest obcięty, nie widać dokładnych ścieżek, ale: - Wynik z Temp nie powinien mieć już miejsca - w skrypcie FRST egzekwowana była komenda EmptyTemp:. - Wyniki z Pobranych: nie widać o jaki plik chodzi, ale domyślam się że AVG wychwycił plik typu "Asystent pobierania" komputerświat lub coś podobnego. - Wyniki z System Volume Information (Przywracanie systemu) są zaadresowane w krokach końcowych podanych powyżej. Wg Addition ogólne statystyki pamięci są dobre: ==================== Memory info =========================== Processor: Intel® Pentium® D CPU 2.80GHz Percentage of memory in use: 42% Total physical RAM: 2038.07 MB Available physical RAM: 1181.19 MB Total Pagefile: 3404.74 MB Available Pagefile: 1262.7 MB Total Virtual: 2047.88 MB Available Virtual: 1937.84 MB Czy na pewno problem zapychania pamięci występuje już po usunięciu adware? Jeśli tak, najbardziej rozbudowany obiekt ładujący się w starcie to niestety AVG - może tu jest problem.

Brakuje pliku fixlog.txt, który powstał podczas przetwarzania skryptu. Dostarcz ten plik - siedzi wprost na Pulpicie lub w podfolderze "FRST". Nie uruchamiaj przypadkiem opcji Fix ponownie.

Pliku wmc.exe od VBKlip/Banatrix nie było na dysku, więc tu póki co nie została wykryta żadna czynna infekcja i problemy nie wyglądają na jej pochodną. Już nakreślałam co może być potencjalną przyczyną, głównie rzuca się w oczy COMODO. Jeśli nadal występują problemy, na próbę go całkowicie odinstaluj i zweryfikuj czy zmienia to sytuację. Nie wszystko ze skryptu się wykonało, bo zmieniłeś kontekst konta - zalogowałeś się w awaryjnym nie na swoje konto OI tylko na konto wbudowanego Administratora. Wymagana poprawka pod tym kątem, ale pomijam wpisy Yahoo (odtwarza je non-stop COMODO). Otwórz Notatnik i wklej w nim: BHO: Spybot-S&D IE Protection -> {53707962-6F74-2D53-2644-206D7942484F} -> D:\PROGRA~1\SPYBOT~1\SDHelper.dll No File HKU\S-1-5-21-823518204-1614895754-839522115-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ProxyServer: [s-1-5-21-823518204-1614895754-839522115-1003] => : HKU\S-1-5-21-823518204-1614895754-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch CustomCLSID: HKU\S-1-5-21-823518204-1614895754-839522115-1003_Classes\CLSID\{28B7AA99-C0F9-4C47-995E-8A8D729603A1}\localserver32 -> D:\Program Files\AutoCAD 2007\acad.exe /Automation No File CustomCLSID: HKU\S-1-5-21-823518204-1614895754-839522115-1003_Classes\CLSID\{7AABBB95-79BE-4C0F-8024-EB6AF271231C}\localserver32 -> D:\Program Files\AutoCAD 2007\acad.exe No File Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows i zaloguj się na swoje konto (a nie Administratora). Uruchom FRST i kliknij w Fix, nastąpi restart. Przedstaw wynikowy fixlog.txt.

Zapomniałam poprzednio nadmienić, że te masowo generowane pliki były pochodną instalacji Windows Live Messenger i zaznaczonej w nim opcji "ulepszania usługi": KLIK. To nie powinno być już problemem po deinstalacji wskazanych aplikacji Windows Live i wyczyszczeniu plików skryptem FRST. Aczkolwiek zostawiłam jeden z programów serii Live nie wiedząc czy jest używany, tzn. "Poczta systemu Windows Live". Upewnij się, że w nim nie ma zaznaczonych żadnych opcji tego typu. Czy są jeszcze jakieś problemy? Zadania pomyślnie wykonane. Drobne poprawki na szczątkowe wpisy oraz wypięcie Dr. Web z Dziennika zdarzeń (wymagane aż dwa skrypty, gdyż operacja może być wykonana tylko po tymczasowej deaktywacji usługi Dziennika): 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2025429265-562591055-725345543-1003\...\Run: [MsnMsgr] => "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background HKLM\...\Run: [WinampAgent] => "C:\Program Files\Winamp\winampa.exe" CustomCLSID: HKU\S-1-5-21-2025429265-562591055-725345543-1003_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-2025429265-562591055-725345543-1003_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-2025429265-562591055-725345543-1003_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File C:\Documents and Settings\All Users\Dane aplikacji\Skype C:\Documents and Settings\user\Dane aplikacji\Skype C:\Program Files\Windows Live Toolbar CMD: sc config Eventlog start= disabled Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Zachowaj wynikowy fixlog.txt. 2. Otwórz Notatnik i wklej w nim: C:\WINDOWS\system32\config\Doctor Web.evt C:\WINDOWS\system32\config\Doctor W.evt RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Documents and Settings\user\Doctor Web RemoveDirectory: C:\FRST\Quarantine CMD: sc config Eventlog start= auto Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Powstanie kolejny fixlog.txt. 3. Przedstaw oba pliki fixlog.txt.

Jak mówiłam, ten pasek AVG został uszkodzony przez AdwCleaner. Proponuję go przeinstalować "nakładkowo". Instalator: KLIK. PS. Widzę że próbowałeś używać Windows Installer Clean Up. To przestarzały program wycofany z użytku ze względu na błędy i zastąpiony tym nowoczesnym narzędziem: KLIK. I celowo nie podałam tego rodzaju programów, bo one usuwają tylko wpis instalacyjny z listy i to szczególnego rodzaju (rejestracja MSI) a nie inne komponenty aplikacji.

Fix pomyślnie wykonany. Czy notujesz jeszcze jakieś problemy? Czy usterka mBanku nadal występuje?

Fix pomyślnie wykonany. W ramach zakończenia tematu zastosuj DelFix. Jeśli chodzi o aktualizację sterowników AMD, to temat zostawiam otwarty do czasu, aż potwierdzisz czy to rozwiązało problem.

Przepraszam, jakieś zaćmienie miałam, albo mi się raporty pomyliły. Mogłabym przysiąc, że go nie widziałam w Addition, a on tam figuruje jak byk. Jeśli program nadal się nie uruchamia po leczeniu Sality, należy go odinstalować i zainstalować ponownie na czysto. Tak, to aktywność sterowników antywirusów. W zasadzie prawie każdy nowoczesny antywirus operuje na sterownikach i nie da się uniknąć "czystego" raportu GMER. Nie wiem o którym skanerze mowa, ale zwykle "pełny skan" kręci się wokół dysku systemowego. Skoro jednak na pewno wszystkie partycje są brane pod uwagę i już jak widać wykonałeś skany pendrive, to OK. Wyniki skanów dostarcz jako załączniki. To zależy jakie są ustawienia Autoodtwarzania w Windows - jeśli na pendrive jest plik autorun.inf, a Windows XP nie ma zainstalowanych określonych łat korygujących błędy z Autoodtwarzaniem (KLIK), samo podpięcie urządzenia powoduje automatyczne wykonanie autorun.inf i infekcję. System XP można ogólnie zabezpieczyć również inną metodą (inną niż łatanie MS), tzn. blokując całkowicie odczyt pliku autorun.inf, również każde urządzenie USB możesz zimmunizować tworząc na nim blokadę w postaci fałszywego pliku autorun.inf. Do tego celu Panda USB Vaccine i opcje Computer + USB Vaccination. .

To infekcja Gamarue. Dodaj precyzyjne dane: - Zestaw obowiązkowych logów, by sprawdzić czy pendrive nie zainfekował przypadkiem systemu. W tym przypadku wystarczą mi raporty z FRST. - Spis obiektów na urządzeniu, czyli log USBFix z opcji Listing.

Ostatni obrazek pokazuje Podstawowy kanał IDE i Bieżący tryb transferu: Tryb PIO = to właśnie ta usterka. Z prawokliku odinstaluj ten Podstawowy, na którym jest PIO, zresetuj system. Windows zrekonstruuje urządzenie i Windows znacznie przyśpieszy.

Tym razem wszystko wykonane. Adware zostało pomyślnie usunięte. Poprawki na szczątki po odinstalowanych programach: 1. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [] => [X] C:\Program Files\Conduit C:\Program Files\GamersFirst C:\Program Files\Gore Special Edition C:\Program Files\iMesh Applications C:\Program Files\KBot C:\Program Files\Malwarebytes' Anti-Malware C:\Program Files\Opera C:\Program Files\Point Blank Italia C:\Program Files\Profibot C:\Program Files\RaidCall C:\Program Files\raidcall6.0_beta C:\Program Files\Video Codec C:\Program Files\WhiteSmoke C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1 C:\ProgramData\211C5 C:\ProgramData\AVG C:\ProgramData\Babylon C:\ProgramData\Blizzard Entertainment C:\ProgramData\boost_interprocess C:\ProgramData\CyberLink C:\ProgramData\eSellerate C:\ProgramData\Fast And Safe C:\ProgramData\Malwarebytes C:\ProgramData\McAfee C:\ProgramData\OpenFM C:\ProgramData\Screaming Bee C:\ProgramData\Sun C:\ProgramData\Temp C:\Users\Agnese\AppData\Local\*.txt C:\Users\Agnese\AppData\Local\Babylon C:\Users\Agnese\AppData\Local\Conduit C:\Users\Agnese\AppData\Local\Facebook C:\Users\Agnese\AppData\Local\Opera C:\Users\Agnese\AppData\Local\Overwolf C:\Users\Agnese\AppData\Local\PointBlank C:\Users\Agnese\AppData\Local\SKIDROW C:\Users\Agnese\AppData\LocalLow\{286D8163-AD91-FE69-0708-40FE6924F251} C:\Users\Agnese\AppData\LocalLow\{943B4541-3FCE-0927-8470-323D42E914D8} C:\Users\Agnese\AppData\LocalLow\BabylonToolbar C:\Users\Agnese\AppData\LocalLow\Conduit C:\Users\Agnese\AppData\LocalLow\imeshbandmltbpi C:\Users\Agnese\AppData\LocalLow\Incredibar.com C:\Users\Agnese\AppData\LocalLow\mediabarbs C:\Users\Agnese\AppData\LocalLow\Oracle C:\Users\Agnese\AppData\LocalLow\raidcall C:\Users\Agnese\AppData\LocalLow\Sun C:\Users\Agnese\AppData\LocalLow\Temp C:\Users\Agnese\AppData\LocalLow\Toolbar4 C:\Users\Agnese\AppData\LocalLow\WhiteSmokeToolbar C:\Users\Agnese\AppData\LocalLow\wincorebsband C:\Users\Agnese\AppData\LocalLow\wincoreimband C:\Users\Agnese\AppData\Roaming\.minecraft C:\Users\Agnese\AppData\Roaming\.techniclauncher C:\Users\Agnese\AppData\Roaming\AVG C:\Users\Agnese\AppData\Roaming\Babylon C:\Users\Agnese\AppData\Roaming\CoSoSys C:\Users\Agnese\AppData\Roaming\Cyberlink C:\Users\Agnese\AppData\Roaming\DVDVideoSoft C:\Users\Agnese\AppData\Roaming\Malwarebytes C:\Users\Agnese\AppData\Roaming\MusicNet C:\Users\Agnese\AppData\Roaming\OpenCandy C:\Users\Agnese\AppData\Roaming\OpenFM C:\Users\Agnese\AppData\Roaming\Opera C:\Users\Agnese\AppData\Roaming\rmi C:\Users\Agnese\AppData\Roaming\Screaming Bee C:\Users\Agnese\AppData\Roaming\skyz C:\Users\Agnese\AppData\Roaming\uTorrent C:\Users\Agnese\AppData\Roaming\WhiteSmoke C:\Users\Agnese\AppData\Local\Microsoft\Windows\GameExplorer\{2B98CF51-2699-47A9-A9E8-E5F7562F80FF}\PlayTasks\0\Gioca.lnk C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink WaveEditor Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner, wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

kokos proszę nie edytuj wstecz pierwszego posta, przecież brak logiki w kolejności zadań - zadane określone czynności > nowy post z wynikami. Przekleiłam wszystko (z wyjątkiem GMER) do ostatniego posta. Sprawdź czy transfer dysku nie spadł z DMA do PIO. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. W żadnym z logów nie było widać czynnego proxy w Firefox. Czy na pewno problem z mBankiem nadal występuje? Zadane czynności pomyślnie wykonane. Drobne poprawki. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-425070134-1683481979-3785275989-1006\...\Run: [RAMKontroler] => C:\Program Files\XimSoft\RAM Kontroler\RamKontroler.exe Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path" /v Debugger /t REG_SZ /d "ntsd -d" /f RemoveDirectory: C:\Documents and Settings\admin\Pulpit\Stare dane programu Firefox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Operacja pomyślnie wykonana, efekty z procesami iexplore.exe powinny ustąpić. Kończymy: 1. Odinstaluj zbędny / przeterminowany Spybot - Search & Destroy. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. PS. Poprzednio chodziło mi oczywiście o link "Portale z oprogramowaniem / Instalatory - na co uważać". Omyłkowo podałam link ogólny zawierający wprawdzie przekierowanie do tego artykułu, ale podmieniłam już na link właściwy we wcześniejszym poście.

Fix wykonany. Natomiast AdwCleaner czepia się komunikatora QQ - ten komunikator jest od początku na Twojej liście zainstalowanych i nie ruszałam tego umyślnie. Czy to celowa instalacja?.

Na początek uwaga na temat pliku C:\Users\komputer\Desktop\HijackThis(12030)-dp.exe = to nie jest poprawny plik tylko śmieć "Asystent pobierania" dobrychprogramów: KLIK. Problem tworzy niepożądany obiekt moters. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CustomCLSID: HKU\S-1-5-21-3374041939-2616359436-2706521396-1000_Classes\CLSID\{56FDF344-FD6D-11d0-958A-006097C9A090}\InprocServer32 -> C:\Users\komputer\AppData\Roaming\moters\supna.dll () C:\ProgramData\ecbaef90-5696-41e1-a1c3-3e8112ce2840 C:\Users\komputer\AppData\Roaming\moters C:\Users\komputer\Desktop\HijackThis(12030)-dp.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Specjalny skrót IE jest uszkodzony: Shortcut: C:\Users\komputer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\komputer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi (Shortcut już mi nie jest potrzebny). Dołącz też plik fixlog.txt. .

Temat przenoszę do działu Windows. Brak oznak czynnej infekcji. Są ślady prób z ComboFixem i na ten temat: KLIK. Z raportów nic konkretnego nie wynika pod kątem zgłaszanych problemów. Do usunięcia tylko wpisy puste / odpadki aplikacji oraz uruchamiane obiekty niepoprawnie usuniętego paska AVG. W spoilerze doczyszczanie: Jedyne akcje ze spoilera, które mogą mieć ewentualne odbicie w działaniu systemu (przyśpieszenie), to usunięcie elementów AVG, Akamai NetSession Interface i Bing ze startu. vs. DRV:64bit: - [2011-10-21 11:30:02 | 012,310,112 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\igdpmd64.sys -- (intelkmd) DRV:64bit: - [2011-10-21 11:30:02 | 012,310,112 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\igdkmd64.sys -- (igfx) Rozumiem, iż chodzi tu o konfigurację hybrydową AMD-Intel oraz BSOD punktujący igdpmd64.sys. Do wglądu ten temat: KLIK. Ale jakie błędy? Czy da się cokolwiek odinstalować (nie tylko powyższe)? Jak ten błąd "parametru" dokładnie jest sformułowany? Pokaż zrzut ekranu / przepisz 1:1. .

Wszystko zrobione, skan już był prowadzony wcześniej, toteż kończymy. Zastosuj DelFix (GMER dokasuj ręcznie) i wyczyść foldery Przywracania systemu: KLIK.

Fix wykonany w zakresie pustych wpisów. Skan tych szczególnych klas nic nie wykazał (brak oznak niestandardowych filtrów). Dla świętego spokoju jeszcze zrób inne szukanie - uruchom FRST, w polu Search wklej: LowerFilters;UpperFilters;moufiltr;Ti64 Klik w Search Registry i dostarcz wynikowy log. Temat przenoszę do działu Hardware. Zasady tego działu: KLIK.