picasso

Fix wykonany w zakresie pustych wpisów. Skan tych szczególnych klas nic nie wykazał (brak oznak niestandardowych filtrów). Dla świętego spokoju jeszcze zrób inne szukanie - uruchom FRST, w polu Search wklej: LowerFilters;UpperFilters;moufiltr;Ti64 Klik w Search Registry i dostarcz wynikowy log. Temat przenoszę do działu Hardware. Zasady tego działu: KLIK.

Drobne poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\Techgile C:\Program Files (x86)\Zero G Registry C:\ProgramData\Ask C:\ProgramData\AVG Security Toolbar C:\Users\Robert\AppData\LocalLow\dt.dat C:\Users\Robert\AppData\Roaming\Mozilla Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy log fixlog.txt. 2. Uruchom AdwCleaner, wybierz opcję Szukaj i przedstaw wynikowy log z folderu C:\AdwCleaner.

Sprawdź czy transfer dysku nie obniżył się z DMA do PIO. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Fix wykonany. Drobne poprawki na szczątki "Free Ride Games". Otwórz Notatnik i wklej w nim: FF Plugin: @exent.com/npExentCtl,version=7.0.0.0 -> C:\Program Files\Free Ride Games\npExentCtl.dll No File S2 X4HSEx_Pr143; \??\C:\Program Files\Free Ride Games\X4HSEx_Pr143.Sys [X] DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

- Rootkit.Cidox.H.VBR: ani GMER, ani TDSSKiller nie notują tego rodzaju infekcji. Nie podałeś raportu MBAM (metoda obrazków jest niewdzięczna i ukrywa różne detale o skanie), więc nie widać jaką wersję bazy danych się posługiwałeś. Podobna detekcja kilka dni temu sklasyfikowana jako fałszywy alarm i zalecenie aktualizacji: KLK. - Trojan.Agent.BVBGen: fałszywy alarm na pliku MRT.exe = Malicious Software Removal Tool Microsoftu. Do tego opisu równie dobrze pasuje aktywność oprogramowania zabezpieczającego, a dzieje się tu sporo (inwazyjne sterowniki): COMODO Firewall (główny podejrzany), ESET NOD32 Antivirus (stary i scrackowany). Wysokie obciążenie SYSTEM: tu należy podejrzewać sterowniki, ogólnie system jest upstrzony masą instalacji i starych sterowników. Podejrzanych dużo. W systemie siedzi też przeterminowany Spybot - Search & Destroy, a dodatkowy aspekt z nim związany: zmodyfikował plik HOSTS (to archaiczna metoda zabezpieczeń), który przetwarza ponad 15 tysięcy rekordów. To nie jest zdrowe, a tu przykład co się może dziać, gdy HOSTS jest zbyt gruby: FRST. Ale na chodzie jest nadrzędny element, czyli usługi + sterownik: ==================== Processes (Whitelisted) ================= (BlueStack Systems, Inc.) C:\Program Files\BlueStacks\HD-UpdaterService.exe ========================== Services (Whitelisted) ================= S2 BstHdAndroidSvc; C:\Program Files\BlueStacks\HD-Service.exe [402192 2014-05-01] (BlueStack Systems, Inc.) R2 BstHdUpdaterSvc; C:\Program Files\BlueStacks\HD-UpdaterService.exe [774928 2014-05-01] (BlueStack Systems, Inc.) ==================== Drivers (Whitelisted) ==================== R2 BstHdDrv; C:\Program Files\BlueStacks\HD-Hypervisor-x86.sys [113424 2014-05-01] (BlueStack Systems) Póki co, to tu jest ślad infekcji całkiem gdzie indziej niż typowane. W Harmonogramie zadań jest obiekt infekcji VBKlip/Banatrix, tylko nie wiadomo czy powiązany plik nadal jest na dysku (jeśli nie, to wpis jest bez znaczenia). I infekcja ta raczej nie powoduje takich objawów jak opisywane. Task: C:\WINDOWS\Tasks\SYSTEM.job => C:\Documents and Settings\All Users\Dane aplikacji\wmc.exe Na razie do wyczyszczenia stare wersje, powyższy delikwent, wpisy odpadkowe i Temp: 1. Odinstaluj stare wersje: Adobe Flash Player 14 Plugin, Adobe Shockwave Player 11.5, Spybot - Search & Destroy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: C:\WINDOWS\Tasks\SYSTEM.job => C:\Documents and Settings\All Users\Dane aplikacji\wmc.exe R1 Aspi32; C:\WINDOWS\system32\Drivers\Aspi32.sys [16877 2002-07-17] (Adaptec) [File not signed] S3 gmer; C:\WINDOWS\System32\DRIVERS\gmer.sys [85969 2009-01-23] (GMER) [File not signed] S4 ACDaemon; C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe [X] S3 adiusbaw; system32\DRIVERS\adiusbaw.sys [X] S3 C-Dilla; \??\C:\WINDOWS\system32\drivers\CDANT.SYS [X] S3 cpuz130; \??\d:\Temp\cpuz130\cpuz_x32.sys [X] S3 hamachi; system32\DRIVERS\hamachi.sys [X] S3 hwusbfake; system32\DRIVERS\ewusbfake.sys [X] S3 LHidUsbK; System32\Drivers\LHidUsbK.Sys [X] S3 LMouKE; system32\DRIVERS\LMouKE.Sys [X] S3 Ser2pl; system32\DRIVERS\ser2pl.sys [X] S3 sony_ssm.sys; \??\d:\Temp\sony_ssm.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] HKU\S-1-5-21-823518204-1614895754-839522115-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ProxyServer: [s-1-5-21-823518204-1614895754-839522115-1003] => : HKU\S-1-5-21-823518204-1614895754-839522115-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://pl.yahoo.com?fr=fp-comodo HKU\S-1-5-21-823518204-1614895754-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-823518204-1614895754-839522115-1003 -> DefaultScope {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo SearchScopes: HKU\S-1-5-21-823518204-1614895754-839522115-1003 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo BHO: FGCatchUrl -> {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} -> d:\Program Files\FlashGet\jccatch.dll No File FF DefaultSearchEngine: Yahoo FF SelectedSearchEngine: Yahoo FF Keyword.URL: hxxp://pl.search.yahoo.com/search?fr=ytff-comodo&p= FF Plugin: @divx.com/DivX Content Upload Plugin,version=1.0.0 -> d:\Program Files\DivX\DivX Content Uploader\npUpload.dll No File FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CustomCLSID: HKU\S-1-5-21-823518204-1614895754-839522115-1003_Classes\CLSID\{28B7AA99-C0F9-4C47-995E-8A8D729603A1}\localserver32 -> D:\Program Files\AutoCAD 2007\acad.exe /Automation No File CustomCLSID: HKU\S-1-5-21-823518204-1614895754-839522115-1003_Classes\CLSID\{7AABBB95-79BE-4C0F-8024-EB6AF271231C}\localserver32 -> D:\Program Files\AutoCAD 2007\acad.exe No File C:\Documents and Settings\All Users\Dane aplikacji\wmc.exe C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\Drivers\Aspi32.sys C:\WINDOWS\System32\DRIVERS\gmer.sys C:\WINDOWS\system32\drivers\VBoxNetAdp.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f CMD: sc delete VBoxNetAdp Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows, bo COMODO uniemożliwi pracę FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Pokaż raport prezentujący "prawie dwieście" pozycji. A wg dostarczonych logów są do czyszczenia głównie różne szczątki, wspominane w MountPoints2 oraz adware i inne puste wpisy: 1. Przez Dodaj/Usuń programy odinstaluj niepożądany program Free Ride Games Player oraz stare dziurawe wersje Adobe Flash Player 10 ActiveX, Adobe Reader 7.0 - Polish. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: FW: Norton Internet Worm Protection (Disabled) {990F9400-4CEE-43EA-A83A-D013ADD8EA6E} SecurityProviders: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, msansspc.dll S2 mynsnvtq; \??\C:\WINDOWS\system32\drivers\mynsnvtq.sys [X] HKLM\...\Policies\Explorer: [NoCDBurning] 0 HKU\S-1-5-18\...\Run: [Exetender] => C:\Program Files\Free Ride Games\GPlayer.exe [4936152 2012-12-04] (Exent Technologies Ltd.) HKU\S-1-5-19\...\Run: [Exetender] => C:\Program Files\Free Ride Games\GPlayer.exe [4936152 2012-12-04] (Exent Technologies Ltd.) HKU\S-1-5-20\...\Run: [Exetender] => C:\Program Files\Free Ride Games\GPlayer.exe [4936152 2012-12-04] (Exent Technologies Ltd.) CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1417289356&from=cor&uid=TOSHIBAXMK6025GAS_Y5JJ6087SXXY5JJ6087S" CHR HKLM\...\Chrome\Extension: [ogccgbmabaphcakpiclgcnmcnimhokcj] - C:\Windows\System32\jmdp\SweetNT.crx [Not Found] HKU\S-1-5-21-574771872-493493670-3516649425-1006\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1417289356&from=cor&uid=TOSHIBAXMK6025GAS_Y5JJ6087SXXY5JJ6087S&q={searchTerms} HKU\S-1-5-21-574771872-493493670-3516649425-1006\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1417289356&from=cor&uid=TOSHIBAXMK6025GAS_Y5JJ6087SXXY5JJ6087S&q={searchTerms} Toolbar: HKU\S-1-5-21-574771872-493493670-3516649425-1006 -> No Name - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No File Toolbar: HKU\S-1-5-21-574771872-493493670-3516649425-1006 -> No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} FF Plugin: www.exent.com/GameTreatWidget -> C:\Program Files\Free Ride Games\NPGameTreatPlugin.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Dane aplikacji\Free Ride Games C:\Program Files\Free Ride Games C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\pss\McAfee Security Scan Plus.lnkCommon Startup Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser" /v {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser" /v {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser" /v {C4069E3A-68F1-403E-B40E-20066696354B} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

GMER zrobiłeś w niewłaściwych warunkach, tzn. przy czynnym sterowniku SPTD od DAEMON Tools Lite. Owszem, są tu oznaki infekcji - wpis EucubEpivn.dat w starcie oraz zablokowane oprogramowanie zabezpieczające w oparciu o polityki oprogramowania. Ale infekcja nie wygląda na czynną, gdyż jej plik usuwał właśnie skaner ESET. Przypuszczalna droga infekcji: exploit Java. W tym temacie będzie więc usuwanie odpadków po infekcji oraz wpisów pustych. To raczej nie ma związku z opisywanymi problemami. Akcja: 1. Na początek odinstaluj starsze wersje oraz zbędniki: Acrobat.com, Adobe AIR, Adobe Shockwave Player 11.5, Java 7 Update 55, Windows Live Toolbar. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Lavasoft HKLM Group Policy restriction on software: C:\Program Files\ESET HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\McAfee HKU\S-1-5-21-300751917-3985659210-3560172915-1003\...\Run: [EucubEpivn] => regsvr32.exe "C:\ProgramData\EucubEpivn\EucubEpivn.dat" HKU\S-1-5-18\...\RunOnce: [AutoLaunch] => C:\Program Files\Lavasoft\Ad-Aware\AutoLaunch.exe monthly Task: {8C86B6DC-108A-4FB9-9902-1DC702D854C5} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe S2 RoxLiveShare10; "C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxLiveShare10.exe" [X] FF Plugin: @java.com/JavaPlugin -> C:\Program Files\Java\jre7\bin\new_plugin\npjp2.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gazeta.pl/0,0.html?p=133 HKU\S-1-5-21-300751917-3985659210-3560172915-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://msn.gazeta.pl/?ocid=OIE9HP HKU\S-1-5-21-300751917-3985659210-3560172915-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.com.pl/0SEPLPL/SAOS01?FORM=TOOLBR HKU\S-1-5-21-300751917-3985659210-3560172915-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=133 SearchScopes: HKU\S-1-5-21-300751917-3985659210-3560172915-1003 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = C:\Program Files\mozilla firefox\plugins C:\ProgramData\EucubEpivn C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Get Video Conferencing.lnk C:\ProgramData\Microsoft\Windows\Start Menu\McAfee Install.lnk C:\Users\marek\AppData\Roaming\Systweak C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Z raportów nic nie wynika, a IE owszem korzysta z zupełnie innej instalacji (Adobe Flash Player 15 ActiveX). Sprawdź jak się zachowuje Firefox, gdy: - We wtyczkach wyłączysz wszystko z wyjątkiem wtyczki FlashPlayer. - W Rozszerzeniach wyłączysz tymczasowo Classic Theme Restorer. Pod tym kątem załóż nowy temat w dziale Hardware. Powtarzałam już kilka razy, że jestem świadoma jakie tematy nie są rozwiązane i nie ma potrzeby przypominania się. Jeśli się nie wypowiadam, to znaczy, że na ten moment nie mam nic do powiedzenia (nie zanalizowane dane, brak koncepcji etc.). .

ayla, OTL od dawna już jest podrzędnym raportem dostarczanym tylko przy okazji, obecnie obowiązkowy jest FRST. A te wpisy MountPoints2 kierują na pliki wyglądające na Sality. Nie wiadomo jednak jak długo te wpisy są w systemie, gdyż MountPoints2 trzyma wszystko, dopóki się tego nie wyczyści.

Źle wkleiłeś skrypt, obciąłeś ostatnią literkę ("SE" zamiast "SET"). Powtarzaj skrypt o zawartości i dostarcz wynikowy fixlog.txt: CMD: SET

W zasadach jest napisane jakie logi są obowiązkowe: są to FRST, OTL i GMER, ale nie DDS. O DDS pada prośba, gdy nie ma możliwości dostarczenia FRST i OTL, prośba jest wyraźnie przeze mnie umieszczana w danym temacie (tu nic takiego nie wystąpiło). Temat przenoszę, na razie do działu Windows, ale możliwe że przejdzie do działu Sieci. Brak oznak infekcji, w Firefox jest tylko jedna szczątkowa wyszukiwarka adware, ale to nie gra roli w kontekście problemów i na razie pomijam. Wolne ładowanie stron internetowych: Na początek zainteresuj się sprawdzeniem czy nie bruździ zainstalowane oprogramowanie, a konkretnie COMODO Internet Security Premium. Na próbę go odinstaluj. Ale to nie wszystkie aspekty sprawy: Są oznaki dewastacji / jakiejś awarii systemowej. Lista zainstalowanych programów jest zbyt krótka w stosunku do tego co rzeczywiście w systemie występuje. Nie widać połowy programów, które definitywnie są w systemie i się uruchamiają. Na przykład: AMD Quick Stream, McAfee Security Scan, Skype, Spybot Search & Destroy - na liście zainstalowabych kompletnie brak takich pozycji. Tu sugerowałabym Przywracanie systemu do czasu, gdy nie było problemów, tylko że jest kolejny problem, tzn. FRST zwraca błąd wyliczania punktów sugerujący uszkodzenie systemowego WMI: ==================== Restore Points ========================= Could not list Restore Points. Check "winmgmt" service or repair WMI. Czy wchodząc do interfejsu Przywracania systemu widzisz jakieś punkty Przywracania systemu dostępne? .

Operacje wykonane, na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. A jest możliwa jej deinstalacja? Wg logów brak wejścia deinstalacji na liście Dodaj/Usuń i brak skrótu do deinstalatora w Menu start. Logi są zdolne tylko pokazać sterownik Sality (o ile infekcja czynna), autoryzacje Zapory (dowodujące że on był, bo autoryzacje równie dobrze mogą być odpadkami), polityki oraz mniejsze detale. Infekcja w wykonywalnych per se nie jest "widziana" - co najwyżej może być zanotowane wybiórcze "odświeżanie" plików Microsoftu i aplikacji, ale przyczyna odświeżenia nie jest precyzyjnie znana (jest wiele innych powodów dla których pliki mogą być zmodyfikowane na świeżo). Do detekcji wirusa w wykonywalnych musi być użyty antywirus: Każdy z nich może być użyty. Mówimy tu o skanie każdej partycji z osobna, by uzyskać pewność, że zalążek wirusa nigdzie się nie czai. Wystarczy jeden plik niechcący uruchomiony i nastąpi reinfekcja. Sality interesuje się tylko wykonywalnymi, pliki multimedialne są bezpieczne, o ile na płycie nie wylądowało coś więcej niż tylko te pliki. Jeśli chodzi o laptopa, to znaczenie ma system współdzielenia folderów - czy dyski laptopa były dostępne spod PC w owym czasie? .

Fix nie wykonał się. Przejdź w Tryb awaryjny i ponów próbę. Szukasz sterowników AMD tu: KLIK. Przed manipulacją ze sterownikami utwórz punkt Przywracania systemu.

Tematy zdaje się skleję razem, bo tu nie ma żadnych nowości w stosunku do poprzedniego wątku i jest jakby kontynuacja treści. Tylko drobna poprawka na dwa wpisy których uprzednio nie było widać (FRST ich nie skanował po prostu). Otwórz Notatnik i wklej w nim: ProxyEnable: [.DEFAULT] => Internet Explorer proxy is enabled. ProxyServer: [.DEFAULT] => http=127.0.0.1:49218;https=127.0.0.1:49218 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Wróć do poprzedniego tematu i tych moich wypowiedzi: Przy okazji, znowu widać w logu tę samą stronę adware otwieraną przy starcie Google Chrome: Chrome: ======= CHR StartupUrls: Profile 1 -> "hxxp://astromenda.com/?f=7&a=ast_ir_14_36_ch&cd=2XzuyEtN2Y1L1Qzu0CyEtAyEyC0BtDtByEzztD0ByB0A0F0CtN0D0Tzu0SzyyBzztN1L2XzutAtFtBtFtCtFyDtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2StDzzyDtDtBtCyE0DtG0E0AyDzztGtBzy0AtAtGyE0AyByCtGtC0D0E0C0D0B0B0B0Ezyzyzy2QtN1M1F1B2Z1V1N2Y1L1Qzu2StB0EtByE0DyDtC0FtG0B0BtByCtGyEyB0E0EtGzytDtC0FtG0AyC0C0FtB0E0EyDyC0CyDtD2Q&cr=1213641450&uref=308&ir=" Czy na pewno synchronizacja została wtedy wyłączona?

Poprawki: 1. Nadal widzę poniższą pozycję na liście zainstalowanych - czy na pewno nie pominąłeś tego? 2. Otwórz Notatnik i wklej w nim: CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswwebrepchrome-sp.crx [Not Found] C:\Program Files (x86)\Browsers Apps C:\Program Files (x86)\Greener Web C:\Program Files (x86)\SupTab C:\ProgramData\AVAST Software C:\ProgramData\boost_interprocess C:\ProgramData\install_clap C:\ProgramData\McAfee C:\ProgramData\Mozilla C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\OEM_YAHOO C:\ProgramData\Pokki C:\ProgramData\Temp C:\ProgramData\WindowsProtectManger C:\Users\Andrrzej Szachta\AppData\Local\Mozilla C:\Users\Andrrzej Szachta\AppData\Local\Pokki C:\Users\Andrrzej Szachta\AppData\LocalLow\Smartbar C:\Users\Andrrzej Szachta\AppData\LocalLow\Temp C:\Users\Andrrzej Szachta\AppData\LocalLow\trustedshopper C:\Users\Andrrzej Szachta\AppData\Roaming\QEDYQJMM C:\Users\Andrrzej Szachta\AppData\Roaming\TuneUp Software C:\Users\Andrrzej Szachta\AppData\Roaming\VKZRD Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7473B376-BABC-4D84-BF08-00EE7CE8CD8E} /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Browsers Apps" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Szukaj, dostarcz wynikowy log z folderu C:\AdwCleaner.

Wszystko zrobione. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder Stare dane programu Firefox. Następnie uruchom AdwCleaner, wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Na zakończenie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Czego nie skasuje DelFix (np. pobrany GMER), to już ręcznie dokończ.

1. Widzę, że następujące aplikacje nadal wiszą na liście zainstalowanych: ==================== Installed Programs ====================== Adobe Flash Player 12 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 12.0.0.70 - Adobe Systems Incorporated) Adobe Reader 8.1.2 (HKLM\...\{AC76BA86-7AD7-1033-7B44-A81200000003}) (Version: 8.1.2 - Adobe Systems Incorporated) AVG Web TuneUp (HKLM\...\AVG Web TuneUp) (Version: 4.0.0.19 - AVG Technologies) Foxit Reader (HKLM\...\Foxit Reader_is1) (Version: 5.4.5.124 - Foxit Corporation) Jaki jest problem przy próbie deinstalacji paska AVG oraz Foxit? A programy Adobe usuń za pomocą specjalnych deinstalerów listowanych w tym temacie: KLIK. 2. Inne poprawki. Otwórz Notatnik i wklej w nim: BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File C:\Documents and Settings\All Users\Dane aplikacji\Mozilla C:\Documents and Settings\user\Dane aplikacji\Mozilla C:\Program Files\mozilla firefox C:\Sun Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

W takiej sytuacji poczekaj, aż skan GMER się ukończy, i dopiero wtedy reset. Następnie wykonaj resztę podanych operacji + dołącz zaległy log GMER.

Operacje pomyślnie przeprowadzone, więc kończymy: 1. Zastosuj DelFix (GMER dokasuj ręcznie) i wyczyść foldery Przywracania systemu: KLIK. 2. Są nowsze wersje poniższych programów dostępne: ==================== Installed Programs ====================== Adobe Flash Player 15 Pepper (HKLM-x32\...\Adobe Flash Player Pepper) (Version: 15.0.0.215 - Adobe Systems Incorporated) ----> wtyczka dla Opera Adobe Flash Player 15 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 15.0.0.152 - Adobe Systems Incorporated) ----> wtyczka dla Firefox Adobe Reader XI (11.0.07) - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.07 - Adobe Systems Incorporated) Mozilla Firefox 33.0 (x86 pl) (HKLM-x32\...\Mozilla Firefox 33.0 (x86 pl)) (Version: 33.0 - Mozilla)

Na zakończenie: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Zaktualizuj Internet Explorer 9 do wersji 11. Karta pamięci sformatowana, więc detekcje Avast na nią kierujące nie są już istotne. Na spodzie strony pole szybkiej odpowiedzi > Więcej opcji > jest funkcja dołączania plików. I skąd to pytanie - pierwsze logi były przecież poprawnie doczepione... .

Poprawki: 1. Nadal widzę na liście zainstalowanych starą wersję Adobe Reader 9.5.5 - Polish - jaki powód pominięcia jej deinstalacji? 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {042E8582-3F25-4AED-B98D-2CC14FC8A42B} - System32\Tasks\61c99360-2be3-4593-806e-f395dc9af988-11 => C:\Program Files (x86)\Internet Speed Checker\61c99360-2be3-4593-806e-f395dc9af988-11.exe [2014-11-02] (Speedchecker) Task: {9260D919-6FF8-47C4-92E0-64178A84B5F5} - System32\Tasks\61c99360-2be3-4593-806e-f395dc9af988-5_user => C:\Program Files (x86)\Internet Speed Checker\61c99360-2be3-4593-806e-f395dc9af988-5.exe [2014-11-02] (Speedchecker) Task: {AF2BDC1B-D0E4-4B9F-87F1-A5F96B7D5767} - System32\Tasks\61c99360-2be3-4593-806e-f395dc9af988-7 => C:\Program Files (x86)\Internet Speed Checker\61c99360-2be3-4593-806e-f395dc9af988-7.exe [2014-11-02] (Speedchecker) Task: {B7C80393-2807-4B87-B416-CD4F537D6C13} - System32\Tasks\61c99360-2be3-4593-806e-f395dc9af988-1 => C:\Program Files (x86)\Internet Speed Checker\Internet Speed Checker-codedownloader.exe [2014-11-02] (Speedchecker) Task: {B9BF867A-638F-4E39-BF3A-C8A9D52A8617} - System32\Tasks\61c99360-2be3-4593-806e-f395dc9af988-4 => C:\Program Files (x86)\Internet Speed Checker\61c99360-2be3-4593-806e-f395dc9af988-4.exe [2014-11-02] (Speedchecker) Task: {CCE9D17C-8F16-4570-B3A9-8D39F0AA7B1E} - System32\Tasks\61c99360-2be3-4593-806e-f395dc9af988-5 => C:\Program Files (x86)\Internet Speed Checker\61c99360-2be3-4593-806e-f395dc9af988-5.exe [2014-11-02] (Speedchecker) Task: {D73EF128-1367-4D7D-A7A3-01EF023F6B43} - System32\Tasks\61c99360-2be3-4593-806e-f395dc9af988-2 => C:\Program Files (x86)\Internet Speed Checker\61c99360-2be3-4593-806e-f395dc9af988-2.exe [2014-11-02] (Speedchecker) Task: {FA36D863-0207-4E2D-9698-56FD59B3EC76} - System32\Tasks\61c99360-2be3-4593-806e-f395dc9af988-6 => C:\Program Files (x86)\Internet Speed Checker\61c99360-2be3-4593-806e-f395dc9af988-6.exe [2014-11-02] (Speedchecker) Task: C:\windows\Tasks\61c99360-2be3-4593-806e-f395dc9af988-1.job => C:\Program Files (x86)\Internet Speed Checker\Internet Speed Checker-codedownloader.exe Task: C:\windows\Tasks\61c99360-2be3-4593-806e-f395dc9af988-11.job => C:\Program Files (x86)\Internet Speed Checker\61c99360-2be3-4593-806e-f395dc9af988-11.exe Task: C:\windows\Tasks\61c99360-2be3-4593-806e-f395dc9af988-2.job => C:\Program Files (x86)\Internet Speed Checker\61c99360-2be3-4593-806e-f395dc9af988-2.exe Task: C:\windows\Tasks\61c99360-2be3-4593-806e-f395dc9af988-4.job => C:\Program Files (x86)\Internet Speed Checker\61c99360-2be3-4593-806e-f395dc9af988-4.exe Task: C:\windows\Tasks\61c99360-2be3-4593-806e-f395dc9af988-5.job => C:\Program Files (x86)\Internet Speed Checker\61c99360-2be3-4593-806e-f395dc9af988-5.exe Task: C:\windows\Tasks\61c99360-2be3-4593-806e-f395dc9af988-5_user.job => C:\Program Files (x86)\Internet Speed Checker\61c99360-2be3-4593-806e-f395dc9af988-5.exe Task: C:\windows\Tasks\61c99360-2be3-4593-806e-f395dc9af988-6.job => C:\Program Files (x86)\Internet Speed Checker\61c99360-2be3-4593-806e-f395dc9af988-6.exe Task: C:\windows\Tasks\61c99360-2be3-4593-806e-f395dc9af988-7.job => C:\Program Files (x86)\Internet Speed Checker\61c99360-2be3-4593-806e-f395dc9af988-7.exe R2 tor; C:\Program Files (x86)\Tor\tor.exe [3233806 2013-08-31] () [File not signed] HKU\S-1-5-21-421937301-649035308-745041611-1001\...\MountPoints2: {03679a96-fb59-11e1-98f8-60d819ec78d5} - E:\Startme.exe HKU\S-1-5-21-421937301-649035308-745041611-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=sft&utm_medium=installer&utm_campaign=sft SearchScopes: HKU\S-1-5-21-421937301-649035308-745041611-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://de.search.yahoo.com/search?p={searchTerms}&fr=vc_trans_8140&type=foxysecurity SearchScopes: HKU\S-1-5-21-421937301-649035308-745041611-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://de.search.yahoo.com/search?p={searchTerms}&fr=vc_trans_8140&type=foxysecurity SearchScopes: HKU\S-1-5-21-421937301-649035308-745041611-1001 -> {AA924ECE-29EB-43C3-A5C5-C410D7C75002} URL = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^PL&gct=&itbv=12.18.0.82&apn_uid=EDD113BB-FCF5-4A7A-BE43-73B3EAF9F72D&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=ie_11.0.9600.17344&doi=2014-11-02&trgb=IE&q={searchTerms}&psv=&pt=tb BHO: Internet Speed Checker -> {11111111-1111-1111-1111-110611171152} -> C:\Program Files (x86)\Internet Speed Checker\Internet Speed Checker-bho64.dll (Speedchecker) BHO-x32: Internet Speed Checker -> {11111111-1111-1111-1111-110611171152} -> C:\Program Files (x86)\Internet Speed Checker\Internet Speed Checker-bho.dll (Speedchecker) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll No File FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll No File C:\Program Files\Google C:\Program Files (x86)\Google\Chrome C:\Program Files (x86)\McAfee C:\Program Files (x86)\Internet Speed Checker C:\Program Files (x86)\Tor C:\Program Files (x86)\v9Soft C:\ProgramData\McAfee C:\Users\Marta\AppData\Local\Google\Chrome C:\Users\Marta\AppData\Local\Flvto Youtube Downloader C:\Windows\SysWOW64\sho*.tmp Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Internet Speed Checker" /f CMD: for /d %f in (C:\Users\Marta\AppData\Local\{*}) do rd /s /q "%f" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany).

Obowiązują tu raporty systemowe: KLIK. Starting search for hidden objects. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Media Player NSS\3.0\Events\{242E0A8A-FF59-4C61-B006-B95BBBD43C9D} [NOTE] The registry entry is invisible. HKEY_LOCAL_MACHINE\Software\Wow6432Node\Lenovo\PWRMGRV\PowerSchemes\FBAAF6CA-3F77-4225-A5F7-194F10B2F445\DISP_BRTNESS_AC [NOTE] The registry entry is invisible. HKEY_USERS\S-1-5-20\Software\Microsoft\MediaPlayer\Health\{BB0214B3-0585-4695-A6BE-063E4437D3E9} [NOTE] The registry entry is invisible. Hidden driver [NOTE] A memory modification has been detected, which could potentially be used to hide file access attempts. Opis detekcji: KLIK. - 3 wyniki odnoszące się do rejestru nie wyglądają na szkodliwe. - Zaś "memory modification" to prawdopodobnie wynik aktywności emulatora napędów wirtualnych. Nie dostarczyłeś obowiązkowych raportów, więc nie wiadomo co masz w systemie. .

W systemie widać szczątki adware, ale nie tylko to - adware przekonwertowało typ przeglądarki Google Chrome z wersji stabilnej do developerskiej i jest wymagana kompleksowana reinstalacja. Przeprowadź następujące działania: 1. Na początek przez Dodaj/Usuń programy odinstaluj adware, stare wersje oraz zbędniki: Acrobat.com, Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Reader 9, Asystent rejestracji usługi Windows Live, AutoUpdate, Bonjour, Google Chrome, McAfee Security Scan Plus, NVIDIA ForceWare Network Access Manager, Skype Toolbars, Skype™ 4.2, websaver, Windows Live installer, Windows Live Messenger, Windows Live Toolbar. NVIDIA ForceWare Network Access Manager to problematyczny i niedopracowany firewall nVidia. Skype 4.x i Windows Messenger są martwe i nie łączą się - Skype został przejęty przez Microsoft, w zeszłym roku zaś usunięto Messengera (zastępuje go najnowszy Skype). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: AppInit_DLLs: c:\docume~1\alluse~1\daneap~1\intere~1\intere~1.dll => c:\docume~1\alluse~1\daneap~1\intere~1\intere~1.dll File Not Found S2 a7ca495b; "C:\WINDOWS\system32\rundll32.exe" "c:\docume~1\alluse~1\daneap~1\intere~1\InterenetOptimizerSvc.dll",service S2 IePluginServices; C:\Documents and Settings\All Users\Dane aplikacji\IePluginServices\PluginService.exe -service [X] S2 ADILOADER; System32\Drivers\adildr.sys [X] S3 adiusbaw; system32\DRIVERS\adiusbaw.sys [X] U4 klkbdflt2; system32\DRIVERS\klkbdflt2.sys [X] HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-2025429265-562591055-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1414772260&from=cor&uid=SAMSUNGXHD502IJ_S13TJ90Q847410&q={searchTerms} HKU\S-1-5-21-2025429265-562591055-725345543-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1414772260&from=cor&uid=SAMSUNGXHD502IJ_S13TJ90Q847410&q={searchTerms} BHO: websaver -> {78cb945c-561a-4448-84e7-04c4113cbb42} -> C:\Documents and Settings\All Users\Dane aplikacji\websaver\nT73wTaoTbjrfx.dll No File BHO: No Name -> {7E853D72-626A-48EC-A868-BA8D5E23E045} -> No File C:\*.sqm C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Google C:\Program Files\Google C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Blokady oprogramowania na bazie polityk wprowadziła infekcja - na dysku widoczny folder infekcji IiddeNafom. Prawdopodobna przyczyna infekcji to exploit Java, a jest w systemie dobry grunt (mnóstwo starych dziurawych wersji różnych krytycznych aplikacji). 1. Rozpocznij od deinstalacji via Dodaj/Usuń programy starych dziurawych wersji: Adobe Flash Player 10 ActiveX, Adobe Flash Player 12 Plugin, Adobe Reader 8.1.2, Adobe Shockwave Player 11.5, Foxit Reader, J2SE Runtime Environment 5.0 Update 14, J2SE Runtime Environment 5.0 Update 9, Java™ 6 Update 17, Mozilla Firefox 12.0 (x86 pl). Odinstaluj także zbędny pasek AVG Web TuneUp, jego instalacja i tak została już naruszona (uszkodził go AdwCleaner). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM Group Policy restriction on software: C:\Program Files\Common Files\Symantec Shared HKLM Group Policy restriction on software: C:\Program Files\AVG HKLM Group Policy restriction on software: C:\Program Files\ESET HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Agnitum HKLM Group Policy restriction on software: C:\Program Files\AVG S2 vToolbarUpdater18.1.10; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\18.1.10\ToolbarUpdater.exe [X] HKU\S-1-5-21-436374069-602162358-725345543-1003\...\Run: [GameXN GO] => "C:\Documents and Settings\All Users\Dane aplikacji\GameXN\GameXNGO.exe" /startup HKU\S-1-5-21-436374069-602162358-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKU\S-1-5-21-436374069-602162358-725345543-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm SearchScopes: HKU\S-1-5-21-436374069-602162358-725345543-1003 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={F0D664B6-39B9-479A-B597-4B7B62F8E53E}&mid=83b4ea7a936047d2a7e2d158054456a9-414d4818d856a5889f90ff84e1a594766956dc38&lang=en&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-11-09 14:47:00&v=4.0.0.19&pid=wtu&sg=&sap=dsp&q={searchTerms} Toolbar: HKU\S-1-5-21-436374069-602162358-725345543-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File C:\Documents and Settings\All Users\Dane aplikacji\Agnitum C:\Documents and Settings\All Users\Dane aplikacji\AVG2014 C:\Documents and Settings\All Users\Dane aplikacji\IiddeNafom C:\Documents and Settings\All Users\Dane aplikacji\n7-89-o9-3r-4t-r9 C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Dane aplikacji\TuneUp Software C:\Documents and Settings\Default User\Dane aplikacji\TuneUp Software C:\Documents and Settings\user\Dane aplikacji\Alawar C:\Documents and Settings\user\Dane aplikacji\TuneUp Software C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Hosts: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdVantage" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogitechVideoRepair" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogitechVideoTray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Na temat instalacji z serwisu komputerświat: KLIK. Skutki: zainstalowałeś adware Internet Program oraz W-Foxxer. Dodatkowa uwaga, widzę że pobierane były programy typu RAM Kontroler - ten rodzaj programów sztucznie manipulujących ze zwalnianiem pamięci przynosi więcej szkód niż pożytku i możesz uzyskać nawet skutki odwrotne od zamierzonych (czyli spowolnienie). Przeprowadź następujące działania: 1. Przez Dodaj/Usuń programy odinstaluj adware Internet Program oraz zbędny RAM Kontroler. Przy okazji jeszcze pozbądź się odpadkowej instalacji JavaFX 2.1.1 (brak zainstalowanej Java). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-425070134-1683481979-3785275989-1006\...\Run: [] => C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe HKU\S-1-5-21-425070134-1683481979-3785275989-1006\...\MountPoints2: {c8982841-9ea6-11e1-a00a-001372cda397} - F:\AutoRun.exe HKU\S-1-5-21-425070134-1683481979-3785275989-1006\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\admin\Dane aplikacji\Audacity C:\Documents and Settings\admin\Dane aplikacji\BESTplayer C:\Documents and Settings\admin\Dane aplikacji\BitTorrent C:\Documents and Settings\admin\Dane aplikacji\Gadu-Gadu 10 C:\Documents and Settings\admin\Dane aplikacji\GetRightToGo C:\Documents and Settings\admin\Dane aplikacji\Nowe Gadu-Gadu C:\Documents and Settings\admin\Dane aplikacji\OpenFM C:\Documents and Settings\admin\Dane aplikacji\Oracle C:\Documents and Settings\admin\Dane aplikacji\Samsung C:\Documents and Settings\All Users\Dane aplikacji\6fb1f30a-cea7-4ccf-bff8-acbecbfe46f9 C:\Documents and Settings\All Users\Dane aplikacji\AVG2014 C:\Documents and Settings\All Users\Dane aplikacji\firebird C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10 C:\Documents and Settings\All Users\Dane aplikacji\ipla C:\Documents and Settings\All Users\Dane aplikacji\OpenFM C:\Documents and Settings\All Users\Dane aplikacji\Samsung C:\Documents and Settings\ja1\Dane aplikacji\Audacity C:\Documents and Settings\ja1\Dane aplikacji\Nowe Gadu-Gadu C:\Program Files\Common Files\6fb1f30a-cea7-4ccf-bff8-acbecbfe46f9 C:\Program Files\Internet Program C:\Program Files\mozilla firefox\plugins C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\System32\cis-2.4.dll C:\WINDOWS\System32\issacapi_bs-2.3.dll C:\WINDOWS\System32\issacapi_pe-2.3.dll C:\WINDOWS\System32\issacapi_se-2.3.dll Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia Adblock Plus i Rozszerzenia Aukcjoner.pl trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

System jest strasznie zaśmiecony adware - m.in. mnóstwo ładujących się czynnych sterowników. Do wykonania: 1. Przez Panel sterowania odinstaluj: - Adware: dealster, DiscouunntuLocator, GoldenCoupon, PriceDoWNlooadeer, SmarttCompAre, trolatunt, webget, WinSpeed, YTD Video Downloader 4.8.1 (ten ostatni ma adware w instalatorze). - Stare wersje i zbędniki: Adobe Shockwave Player 11.6, ASUS WebStorage, AsusVibe2.0, Bing Bar, Gadu-Gadu 10, OpenOffice.org 2.4, Opera 12.16, Surfing Protection. - Sugeruję też pozbyć się wszystkich programów IOBit (Advanced SystemCare 7, IObit Uninstaller) - firma nie budzi zaufania (adware m.in. grupy Spigot w instalatorach, podejrzane związki partnerskie i praktyki, w przeszłości złapani na kradzieży bazy MBAM). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {0c0bb4a8-45a4-4685-9c1d-08d98af4b926}w64; C:\Windows\System32\drivers\{0c0bb4a8-45a4-4685-9c1d-08d98af4b926}w64.sys [61624 2014-08-08] (StdLib) R1 {2fd630a3-5803-4c6c-9182-99feff3feebf}w64; C:\Windows\System32\drivers\{2fd630a3-5803-4c6c-9182-99feff3feebf}w64.sys [48824 2014-11-29] (StdLib) R1 {55685567-4840-4a91-962b-49a412e9485a}Gw64; C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gw64.sys [61112 2014-05-26] (StdLib) R1 {59dec97c-5f75-4c05-8f15-c5bab4c016d0}w64; C:\Windows\System32\drivers\{59dec97c-5f75-4c05-8f15-c5bab4c016d0}w64.sys [48824 2014-11-30] (StdLib) R1 {63f7dc20-a6f5-4bec-b580-07e72f7866bf}w64; C:\Windows\System32\drivers\{63f7dc20-a6f5-4bec-b580-07e72f7866bf}w64.sys [48824 2014-11-26] (StdLib) R1 {7979f37c-9b8b-4432-992a-75909ef11780}w64; C:\Windows\System32\drivers\{7979f37c-9b8b-4432-992a-75909ef11780}w64.sys [48824 2014-11-29] (StdLib) R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys [61112 2014-04-28] (StdLib) R1 {af4cb626-8a20-45d7-ba5c-8f7715fe7274}w64; C:\Windows\System32\drivers\{af4cb626-8a20-45d7-ba5c-8f7715fe7274}w64.sys [48824 2014-11-27] (StdLib) R1 {c2c9f61a-93f4-4062-88bd-1922a7842068}w64; C:\Windows\System32\drivers\{c2c9f61a-93f4-4062-88bd-1922a7842068}w64.sys [48824 2014-12-01] (StdLib) R1 {f7b97fa1-58eb-428b-8320-ea4f925f86f8}w64; C:\Windows\System32\drivers\{f7b97fa1-58eb-428b-8320-ea4f925f86f8}w64.sys [48824 2014-11-30] (StdLib) R2 MaintainerSvc6.89.982339; C:\ProgramData\29a882f6-268a-4df9-b011-02fdee89f086\maintainer.exe [123680 2014-12-07] () R2 tor; C:\Program Files (x86)\Tor\tor.exe [3233806 2013-09-12] () [File not signed] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-3910330688-3754086058-2831503754-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/ SearchScopes: HKU\S-1-5-21-3910330688-3754086058-2831503754-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3910330688-3754086058-2831503754-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3910330688-3754086058-2831503754-500 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3910330688-3754086058-2831503754-500 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKU\S-1-5-21-3910330688-3754086058-2831503754-500 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Toolbar: HKU\S-1-5-21-3910330688-3754086058-2831503754-500 -> No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File C:\Program Files (x86)\Tor C:\Program Files (x86)\trolatunt C:\ProgramData\23bbdd05ffdf2e16 C:\ProgramData\29a882f6-268a-4df9-b011-02fdee89f086 C:\ProgramData\dealster C:\ProgramData\DiscouunntuLocator C:\ProgramData\PriceDoWNlooadeer C:\ProgramData\shopndrop C:\ProgramData\SmarttCompAre c:\ProgramData\WinSpeed C:\Windows\System32\drivers\{0c0bb4a8-45a4-4685-9c1d-08d98af4b926}w64.sys C:\Windows\System32\drivers\{2fd630a3-5803-4c6c-9182-99feff3feebf}w64.sys C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gw64.sys C:\Windows\System32\drivers\{59dec97c-5f75-4c05-8f15-c5bab4c016d0}w64.sys C:\Windows\System32\drivers\{63f7dc20-a6f5-4bec-b580-07e72f7866bf}w64.sys C:\Windows\System32\drivers\{7979f37c-9b8b-4432-992a-75909ef11780}w64.sys C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys C:\Windows\System32\drivers\{af4cb626-8a20-45d7-ba5c-8f7715fe7274}w64.sys C:\Windows\System32\drivers\{c2c9f61a-93f4-4062-88bd-1922a7842068}w64.sys C:\Windows\System32\drivers\{f7b97fa1-58eb-428b-8320-ea4f925f86f8}w64.sys C:\Windows\SysWOW64\sho*.tmp Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: for /d %f in (C:\Users\Karolina\AppData\Local\{*}) do rd /s /q "%f" CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Karolina\AppData\Local CMD: dir /a C:\Users\Karolina\AppData\LocalLow CMD: dir /a C:\Users\Karolina\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus i NoScript trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .