picasso

Drobne poprawki. Do Notatnika wklej: Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" /s Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\URL\Prefixes\gopher /f Reg: reg delete "HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer" /f C:\Program Files\Symantec C:\Program Files (x86)\HDD Regenerator C:\ProgramData\AVG C:\ProgramData\Avg_Update_0814tb C:\ProgramData\EmailNotifier C:\ProgramData\HitmanPro C:\ProgramData\McAfee C:\ProgramData\NortonInstaller C:\ProgramData\Sun C:\ProgramData\TEMP C:\ProgramData\TuneUp Software C:\Users\Irmina\AppData\Local\AVG C:\Users\Irmina\AppData\Local\avgchrome C:\Users\Irmina\AppData\Local\Big Fish C:\Users\Irmina\AppData\Local\cache C:\Users\Irmina\AppData\Local\CrashDumps C:\Users\Irmina\AppData\Local\ESET C:\Users\Irmina\AppData\Local\MyImageConverter_8j C:\Users\Irmina\AppData\Local\Opera C:\Users\Irmina\AppData\Local\WMTools Downloaded Files C:\Users\Irmina\AppData\LocalLow\Sun C:\Users\Irmina\AppData\LocalLow\Temp Tak jak poprzednio zapisz pod nazwą fixlist.txt tam gdzie siedzi FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Wszystko zrobione. 1. Jeszcze drobne poprawki. Otwórz Notatnik i wklej w nim: CloseProcesses: BHO: JQSIEStartDetectorImpl Class -> {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -> C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll No File CHR HKLM\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - No Path DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Pokaż wynikowy fixlog.txt. 2. Na wszelki wypadek zrób pełny skan za pomocą Malwarebytes Anti-Malware (przy instalacji odznacz trial). Jeśli coś zostanie wykryte, dostarcz raport, w przeciwnym wypadku jest on zbędny.

W tej sytuacji oczywiście znajome Ci kroki końcowe. Proponuję też doinstalować Malwarebytes Anti-Exploit (wersja free w ofercie), który ograniczy przypadki podobnych infekcji.

A już wiem dlaczego się zaciął Fix, mój błąd - brak parametru cichego przy jednej z komend i weszło w pętlę. Powtórz tę część operacji, która nie została przetworzona - tym razem powinno pójść gładko: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Robert\AppData\Local CMD: dir /a C:\Users\Robert\AppData\LocalLow CMD: dir /a C:\Users\Robert\AppData\Roaming EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Oba BSOD nie były tożsame, wyniki debugowania są różne, co nie tworzy tu dla mnie konkretnej powtarzalności: Jeśli sytuacja się nie powtarza, to uznaję temat za zakończony. Skasuj plik CL\DelFix.tt z dysku.

Akcje pomyślnie wykonane, elementy infekcji usunięte i odładowane z pamięci, WMI naprawione. Pytaniem jest czy pojawiają się nadal komunikaty "Program Eksplorator Windows przestał działać" oraz efekt "Windows Update nie startuje - pojawia się biały ekran"?

Nie wiem o co chodzi, wygląda na to że rzeczywiście już tego nie ma. Menedżer urządzeń pokazuje jeszcze delikwenta Teredo Tunneling Pseudo-interface. Tego też można się pozbyć, a tu dodatkowy topik z forum: KLIK. vs. AVG był wcześniej i to w dwóch różnych wersjach (2014 i 2015) - w obu konfiguracjach występowały BSODy w nieregularnych odstępach czasu. Nie jest wykluczone, że Twoje operacje przy nowym zainstalowanym AVG to nie te które prowokują BSOD. Wg zrzutów pamięci jeden z ostatnich jawnie punktował sterownik AVG avgmfx86.sys (AVG Resident Shield Minifilter Driver), a wszystkie pozostałe to odniesienia do sterownika systemu plików Ntfs.sys (tu raczej nie chodzi o aktywność sieciową). Nie jestem przekonana czy przywrócenie AVG to był najlepszy pomysł, a określone tendencyjne użytkowanie komputera to jednoznaczny test potwierdzający ustąpienie problemu. Dokładny model laptopa (tylko tyle wiem z logów, że prawdopodobnie to lapek LG) > udajesz się na stronę producenta podzespołów (http://www.lg.com/) > szukasz wg modelu jakie są wersje dostępne > porównujesz z tymi obecnymi w systemie. A tu wyciąg z Addition jakie softy związane ze sterownikami są obecne: ==================== Installed Programs ====================== Canon MP210 series (HKLM\...\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP210_series) (Version: - ) Intel® Graphics Media Accelerator Driver (HKLM\...\HDMI) (Version: - ) LG Intelligent Update (HKLM\...\{81717D01-32F6-449C-85E1-41AFD678E545}) (Version: 3.01.0928.01 - ) LG Smart Cam (HKLM\...\{9455E8B0-4D73-4A9D-BFA3-D2C213BFD28F}) (Version: 1.0007.0818.01 - LG Electronics Inc.) O2Micro Flash Memory Card Reader Driver Installer(x86) (HKLM\...\{78764173-3805-4916-B3CE-B433702B8870}) (Version: 3.09 - O2Micro) SAGEM F@st 800-840 (HKLM\...\{4AE3A0CB-87B0-4F51-BECD-3D1F8DFDD62F}) (Version: 4.06.000 - SAGEM) Synaptics Pointing Device Driver (HKLM\...\SynTPDeinstKey) (Version: 10.0.13.2 - Synaptics) System Control Manager (HKLM\...\{ED9C5D25-55DF-48D8-9328-2AC0D75DE5D8}) (Version: 2.0107.0706.06 - LG) Intel® Graphics Media Accelerator Driver to instalacja związana z tym: System Control Manager (LG) jest z kolei związany z tym (wyłączone tu zostały dwa wpisy, z wyjątkiem archaicznego sterownika MGHwCtrl.sys): Oczywiście jest też możliwe, że brak aktualizacji, ale ja tego nie mogę wiedzieć patrząc w logi i nie mając danych na temat modelu laptopa. Pomijając powyższe, to już możesz przejść do zakończenia tematu. .

Podaj w czym (jaka ścieżka dostępu) Avast widzi rootkita, gdyż GMER nie wykazuje takiego problemu. Przeklej wynik bezpośrednio z dzienników Avast. Jeśli zaś chodzi o to co widać ogólnie w logach, to owszem są wpisy startowe adware grupy Spigot - załatwiły Cię instalatory programów typu PDF Architect (na to wskazują daty w logu), możliwe że również i IOBit (to samo adware instalują, w systemie są odpadki po niepełnych instalacjach IOBit). W ogóle nie polecam żadnego programu IOBit tutaj na forum. Nie dość, że adware w instalatorach, to jeszcze inne podejrzane związki partnerskie i niewiarygodne praktyki (w przeszłości zostali złapani na kradzieży bazy definicji MBAM, którą sobie wsadzili w swój program do walki z malware). Kręcisz się wokół terenu infekcji, ale: - Adware niekoniecznie jest głównym problemem spowolnienia (daty instalacji są dalekie i ostatnio żadne śmieci nie powstały), to system na którym uruchamia się duża liczba procesów. - Bardzo dużo jakoby pustych wpisów od programów które figurują jako zainstalowane, co pachnie mi raczej uszkodzeniem Zmiennych niż rzeczywistym "no file". Chyba że to Ty coś zmalowałeś i przeinwestowałeś jakieś "czyszczenie" tworząc puste wpisy. - W Dzienniku zdarzeń sypie błędami usług Microsoftu: System errors: ============= Error: (12/01/2014 10:04:47 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Pomoc TCP/IP NetBIOS z powodu następującego błędu: %%1069 Error: (12/01/2014 10:04:47 PM) (Source: Service Control Manager) (EventID: 7038) (User: ) Description: Usługa lmhosts nie może zalogować się jako NT AUTHORITY\LocalService za pomocą obecnie skonfigurowanego hasła z powodu następującego błędu: %%1352 Aby upewnić się, że usługa jest skonfigurowana prawidłowo, użyj przystawki Usługi w programie Microsoft Management Console (MMC). Error: (11/28/2014 04:31:26 AM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Serwer zakończyła działanie; wystąpił następujący błąd: %%13 Error: (11/28/2014 04:31:26 AM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Przeglądarka komputera zakończyła działanie; wystąpił następujący błąd: %%1115 Error: (11/28/2014 04:31:24 AM) (Source: Service Control Manager) (EventID: 7024) (User: ) Description: Usługa Usługa inteligentnego transferu w tle zakończyła działanie; wystąpił specyficzny dla niej błąd %%-2147023781. Error: (11/28/2014 04:31:24 AM) (Source: Microsoft-Windows-Bits-Client) (EventID: 16392) (User: ZARZĄDZANIE NT) Description: Uruchomienie usługi BITS nie powiodło się. Błąd 2147943515. Error: (11/28/2014 04:31:24 AM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Agent zasad IPsec z powodu następującego błędu: %%1069 Error: (11/28/2014 04:31:24 AM) (Source: Service Control Manager) (EventID: 7038) (User: ) Description: Usługa PolicyAgent nie może zalogować się jako NT Authority\NetworkService za pomocą obecnie skonfigurowanego hasła z powodu następującego błędu: %%50 Aby upewnić się, że usługa jest skonfigurowana prawidłowo, użyj przystawki Usługi w programie Microsoft Management Console (MMC). Error: (11/28/2014 04:31:24 AM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Odnajdywanie SSDP z powodu następującego błędu: %%1069 Error: (11/28/2014 04:31:24 AM) (Source: Service Control Manager) (EventID: 7038) (User: ) Description: Usługa SSDPSRV nie może zalogować się jako NT AUTHORITY\LocalService za pomocą obecnie skonfigurowanego hasła z powodu następującego błędu: %%50 Aby upewnić się, że usługa jest skonfigurowana prawidłowo, użyj przystawki Usługi w programie Microsoft Management Console (MMC). Operacje wstępne pod kątem adware i wpisów jakoby "pustych": 1. Przez Panel sterowania odinstaluj: - Adware i śmieci: Browser Extensions, Slick Savings, Qtrax Player, Surfing Protection (od IOBit). - Stare dziurawe wersje: Gadu-Gadu 10, Java� 6 Update 14, OpenOffice.org 3.2. OpenOffice.org również, gdyż to on bazuje na starej niebezpiecznej Java 6 i nie umie korzystać z nowszej, potem wymagana będzie instalacja najnowszej wersji pakietu serii 4.x. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: SearchScopes: HKLM-x32 -> {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 SearchScopes: HKU\S-1-5-21-1816805013-2468701961-1920383271-1000 -> DefaultScope {208659B4-57CE-4DDF-BCC0-A2C33EF8FDD8} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=402027&p={searchTerms} SearchScopes: HKU\S-1-5-21-1816805013-2468701961-1920383271-1000 -> {208659B4-57CE-4DDF-BCC0-A2C33EF8FDD8} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=402027&p={searchTerms} SearchScopes: HKU\S-1-5-21-1816805013-2468701961-1920383271-1000 -> {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 R2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2151200 2013-10-25] (IObit) HKU\S-1-5-21-1816805013-2468701961-1920383271-1000\...\Run: [DIMDownloading your update...1300677038363] => "C:\Program Files (x86)\Corel\CorelDRAW Graphics Suite X5\Programs\DIM.exe" "c:\programdata\corel\downloads\540215253_610005\1300677038363\dim_params.xml" -Launch=3 -uibase="c:\programdata\corel\messa (the data entry has 47 more characters). Task: {82E61B9D-60B1-4308-B19E-D1EBF8FD2560} - System32\Tasks\{4B23CCCD-CF38-46B8-9EE0-C872E6EBB87E} => Iexplore.exe http://ui.skype.com/ui/0/5.1.0.112.280/en/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;notincluded,google-chrome:notoffered;disabled Toolbar: HKU\S-1-5-21-1816805013-2468701961-1920383271-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF HKLM-x32\...\Firefox\Extensions: [{97E22097-9A2F-45b1-8DAF-36AD648C7EF4}] - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext FF HKLM-x32\...\Firefox\Extensions: [FFPDFArchitectConverter@pdfarchitect.com] - C:\Program Files (x86)\PDF Architect\FFPDFArchitectExt HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" C:\Program Files (x86)\Common Files\Spigot C:\Program Files (x86)\IObit C:\Users\Dominika\AppData\Local\Temp*.html C:\Users\Dominika\AppData\Local\Slick Savings C:\Users\Dominika\AppData\Roaming\IObit C:\Users\Dominika\AppData\Roaming\OpenCandy C:\Users\Dominika\AppData\Roaming\Slick Savings DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions CMD: SET EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj wszystkie widoczne rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan na warunku: odznacz Whitelist dla pola Services, nie zaznaczaj pól Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz jakieś zmiany.

Problem tworzy martwy skrót infekcji w Autostarcie: Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\program.lnk ShortcutTarget: program.lnk -> C:\PROGRA~3\982A3FD.cpp (No File) Ten problem z kolei wynika z niepoprawnej metody usuwania infekcji i uszkodzenia WMI. Infekcja przekierowała usługę systemową Winmgmt (zależy od niej funkcjonalność m.in. Centrum czy Przywracania systemu). Nie wystarczy skasować plik, trzeba jeszcze odtworzyć oryginalną ścieżkę usługi. S2 Winmgmt; C:\PROGRA~3\DF3A289.dot [X] System errors: ============= Error: (12/03/2014 08:35:22 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Instrumentacja zarządzania Windows zakończyła działanie; wystąpił następujący błąd: %%126 ==================== Restore Points ========================= Could not list Restore Points. Check "winmgmt" service or repair WMI. ==================== Faulty Device Manager Devices ============= Could not list Devices. Check "winmgmt" service or repair WMI. Skan GMER (Rootkit scan 2014-12-03 19:31:30) zrobiony już po skanie MBAM (Czas skanu: 19:21:27) nadal pokazuje załadowane ukryte moduły infekcji wszczepione w procesy systemowe, w tym explorer.exe - co mogłoby wyjaśniać błędy "przestał działać". Wygląda na to, że pliki niby zostały skasowane, ale nie zostały odładowane z pamięci (brak restartu). ---- Processes - GMER 2.1 ---- Library c:\progra~3\df3a289.dot (*** suspicious ***) @ C:\Windows\system32\svchost.exe [744] (Non-COM WMI Event Provision APIs/Microsoft Corporation)(2014-09-07 05:04:10) 00000000719e0000 Library c:\progra~3\df3a289.dot (*** suspicious ***) @ C:\Windows\Explorer.EXE [3060] (Non-COM WMI Event Provision APIs/Microsoft Corporation)(2014-09-07 05:04:10) 00000000719e0000 Library c:\progra~3\982a3fd.cpp (*** suspicious ***) @ C:\Windows\SysWOW64\rundll32.exe [2708](2014-09-07 05:02:08) 0000000073740000 Library C:\PROGRA~3\982A3FD.cpp (*** suspicious ***) @ C:\Windows\SysWOW64\rundll32.exe [4016](2014-09-07 05:02:08) 0000000073740000 Library C:\PROGRA~3\982A3FD.cpp (*** suspicious ***) @ C:\Windows\SysWOW64\rundll32.exe [1228](2014-09-07 05:02:08) 0000000073740000 Library c:\progra~3\982a3fd.cpp (*** suspicious ***) @ C:\Windows\SysWOW64\rundll32.exe [1548](2014-09-07 05:02:08) 0000000073740000 Przy okazji, w Dzienniku zdarzeń są też liczne błędy związane z oprogramowaniem nVidia - usługę NvStreamSvc wyłączę, ale możliwe że trzeba będzie się zainteresować aktualizacją oprogramowania nVidia. Application errors: ================== Error: (12/03/2014 08:23:38 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcNvVAD initialization failed [6] Error: (12/03/2014 08:23:38 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0] Error: (12/03/2014 08:16:21 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcNvVAD initialization failed [6] Error: (12/03/2014 08:16:21 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0] Error: (12/03/2014 07:36:26 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcNvVAD initialization failed [6] Error: (12/03/2014 07:36:26 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0] Error: (12/03/2014 07:23:05 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: nvtray.exe, wersja: 7.17.13.3182, sygnatura czasowa: 0x5280e916 Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.17514, sygnatura czasowa: 0x4ce7c8f9 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x000000000004e4b4 Identyfikator procesu powodującego błąd: 0xed8 Godzina uruchomienia aplikacji powodującej błąd: 0xnvtray.exe0 Ścieżka aplikacji powodującej błąd: nvtray.exe1 Ścieżka modułu powodującego błąd: nvtray.exe2 Identyfikator raportu: nvtray.exe3 Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\program.lnk S2 Winmgmt; C:\PROGRA~3\DF3A289.dot [X] S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\32514631.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\32514631.sys => ""="Driver" HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2404353190-3791358401-3653376951-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp1 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp1 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp1 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe CMD: sc config NvStreamSvc start= disabled CMD: dir /a C:\ProgramData EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowe logi: FRST z opcji Scan (zaznacz ponownie pole Addition) + GMER + Farbar Service Scanner. Dołącz też plik fixlog.txt. .

Widzę z raportów, że już ostro kombinowałeś na własną rękę. Przeprowadź następujące działania: 1. Usuń puste wpisy. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 51cdb72; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\Optimizer Pro 3.11\OptProCrash.dll",ENT S2 Update SourceApp; "C:\Program Files (x86)\SourceApp\updateSourceApp.exe" [X] S3 NPF; system32\drivers\NPF.sys [X] HKLM-x32\...\Run: [iR_SERVER] => C:\PROGRA~2\Realtek\REALTE~1\IR_SERVER.exe HKLM-x32\...\Run: [] => [X] SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-1562262702-2853843880-2879626507-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-1562262702-2853843880-2879626507-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 C:\Program Files (x86)\SourceApp C:\ProgramData\600440862 C:\ProgramData\Temp C:\Users\Prv\AppData\Local\Google\Chrome C:\Users\Prv\AppData\Local\Opera Software C:\Users\Prv\AppData\Roaming\Opera Software C:\Users\Prv\AppData\Roaming\sp_data.sys Folder: C:\Windows\system32\GroupPolicy Folder: C:\Windows\SysWOW64\GroupPolicy Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 3. Specjalny skrót IE jest uszkodzony (prawdopodobnie niepoprawnie czyścił go AdwCleaner): Shortcut: C:\Users\Prv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Prv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zostały tu dostarczone logi z konta Prv. W systemie są dwa konta, każde musi być sprawdzone z osobna: ========================= Accounts: ========================== Prv (S-1-5-21-1562262702-2853843880-2879626507-1000 - Administrator - Enabled) => C:\Users\Prv User (S-1-5-21-1562262702-2853843880-2879626507-1003 - Administrator - Enabled) => C:\Users\User Po kolei zaloguj się na każde poprzez pełny restart systemu (a nie Wyloguj czy Przełącz użytkownika) i zrób nowy log FRST z opcji Scan. Na koncie User zaznacz także pole Addition, by powstały dwa logi. Na koncie Prv nie zaznaczaj. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany) .

Jeśli chodzi o długi start i zamykanie, to w Dzienniku zdarzeń są zgłaszane zaraz jeden po drugim błędy niemożności startu sterownika USB oraz zawieszenie usługi WIA (związana z obsługą peryferiów typu aparaty cyfrowe, skanery drukarki) - usługę będę wyłączać jako "rozwiązanie" doraźne, ale ten błąd sugeruje raczej trop z aktualizacją oprogramowania urządzeń. System errors: ============= Error: (12/03/2014 06:06:47 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa Windows Image Acquisition (WIA) zawiesiła się podczas uruchamiania. Error: (12/03/2014 06:06:10 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi USB Scanner Driver z powodu następującego błędu: %%1058 I jednak proponuję dalszą deinstalację niektórych softów opartych na usługach / sterownikach (na razie pomijam Avast), ewentualnie później przywrócisz najnowszą wersję któregoś z nich. Będę także ściągać czynne sterowniki (GEARAspiWDM, pcouffin, PxHelp20) wprowadzone przez różne softy multimedialne, które filtrują urządzenia CD/DVD-ROM, a mogą być problematyczne. 1. Kolejne deinstalacje: ----> Odinstaluj CPUID CPU-Z 1.53.1, HDD Health v3.3 Beta, Seagate DiscWizard, WinPcap 4.1.1. Przy okazji jeszcze przewertowałabym pozostałe pozycje czy na pewno wszystkie aplikacje są nadal używane i potrzebne, dużo tu różnych pozycji multimedialnych i starych programów. Pozbądź się wszystkiego co nie jest używane. Natomiast ten archaiczny MagicISO w ogóle nie jest widziany na liście zainstalowanych - poszukaj deinstalatora w folderze E:\Program Files\MagicDisc. ----> Odinstaluj protokół IPv6: Start > Uruchom > cmd i wpisz komendę ipv6 uninstall 2. Doczyszczanie odpadków po odinstalowanych programach: ----> Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz po kolei na liście wpisy Java 6 oraz swMSM od Adobe > Dalej. ----> Otwórz Notatnik i wklej w nim: Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} /v LowerFilters /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} /v UpperFilters /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f CMD: sc config stisvc start= disabled S3 gusvc; C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [136120 2014-08-12] (Google) R3 GEARAspiWDM; C:\WINDOWS\System32\DRIVERS\GEARAspiWDM.sys [26840 2012-08-21] (GEAR Software Inc.) R3 pcouffin; C:\WINDOWS\System32\Drivers\pcouffin.sys [47360 2009-05-13] (VSO Software) [File not signed] R0 PxHelp20; C:\WINDOWS\System32\Drivers\PxHelp20.sys [45648 2011-03-04] (Sonic Solutions) FF Plugin: @java.com/DTPlugin,version=10.71.2 -> C:\Program Files\Java\jre7\bin\dtplugin\npDeployJava1.dll No File FF Plugin: @java.com/JavaPlugin,version=10.71.2 -> C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll No File C:\Documents and Settings\All Users\Dane aplikacji\APN C:\Documents and Settings\All Users\Dane aplikacji\avg8 C:\Documents and Settings\All Users\Dane aplikacji\GetRight.001 C:\Documents and Settings\All Users\Dane aplikacji\GetRight.snk C:\Documents and Settings\All Users\Dane aplikacji\Google\Chrome C:\Documents and Settings\All Users\Dane aplikacji\IObit C:\Documents and Settings\All Users\Dane aplikacji\M-Photo C:\Documents and Settings\All Users\Dane aplikacji\Malwarebytes C:\Documents and Settings\All Users\Dane aplikacji\Norton C:\Documents and Settings\All Users\Dane aplikacji\NortonInstaller C:\Documents and Settings\All Users\Dane aplikacji\Oracle C:\Documents and Settings\All Users\Dane aplikacji\Real C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy C:\Documents and Settings\All Users\Dane aplikacji\Sun C:\Documents and Settings\All Users\Dane aplikacji\Symantec C:\Documents and Settings\All Users\Dane aplikacji\Trend Micro C:\Documents and Settings\All Users\Dane aplikacji\TVU Networks C:\Documents and Settings\ania\Dane aplikacji\AdobeUM C:\Documents and Settings\ania\Dane aplikacji\Foxit Software C:\Documents and Settings\ania\Dane aplikacji\GetRight C:\Documents and Settings\ania\Dane aplikacji\Google\Chrome C:\Documents and Settings\ania\Dane aplikacji\Malwarebytes C:\Documents and Settings\ania\Dane aplikacji\Nowe Gadu-Gadu C:\Documents and Settings\ania\Dane aplikacji\OpenOffice.ux.pl2 C:\Documents and Settings\ania\Dane aplikacji\Sun C:\Documents and Settings\ania\Ustawienia lokalne\Dane aplikacji\Ashampoo C:\Documents and Settings\ania\Ustawienia lokalne\Dane aplikacji\AVG C:\Documents and Settings\ania\Ustawienia lokalne\Dane aplikacji\Google\Chrome C:\Documents and Settings\ania\Ustawienia lokalne\Dane aplikacji\Sun C:\Documents and Settings\ania\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files C:\Documents and Settings\macio\Dane aplikacji\burnaware.ini C:\Documents and Settings\macio\Dane aplikacji\ezpinst.exe C:\Documents and Settings\macio\Dane aplikacji\pcouffin.* C:\Documents and Settings\macio\Dane aplikacji\Adobe Mini Bridge CS5.1 C:\Documents and Settings\macio\Dane aplikacji\Adobe PNG Format CS5 Prefs C:\Documents and Settings\macio\Dane aplikacji\AdobeUM C:\Documents and Settings\macio\Dane aplikacji\Ashampoo C:\Documents and Settings\macio\Dane aplikacji\Audacity C:\Documents and Settings\macio\Dane aplikacji\AutoUpdate C:\Documents and Settings\macio\Dane aplikacji\AVG C:\Documents and Settings\macio\Dane aplikacji\AVG10 C:\Documents and Settings\macio\Dane aplikacji\Bayer04 Publisher C:\Documents and Settings\macio\Dane aplikacji\Boolat Games C:\Documents and Settings\macio\Dane aplikacji\com.adobe.downloadassistant.AdobeDownloadAssistant C:\Documents and Settings\macio\Dane aplikacji\DarkAdapted Preferences C:\Documents and Settings\macio\Dane aplikacji\DMCache C:\Documents and Settings\macio\Dane aplikacji\Easy Watermark Studio C:\Documents and Settings\macio\Dane aplikacji\eSkiMoS R2 C:\Documents and Settings\macio\Dane aplikacji\Foxit C:\Documents and Settings\macio\Dane aplikacji\Foxit Software C:\Documents and Settings\macio\Dane aplikacji\Gadu-Gadu C:\Documents and Settings\macio\Dane aplikacji\Gadu-Gadu 10 C:\Documents and Settings\macio\Dane aplikacji\GetRight C:\Documents and Settings\macio\Dane aplikacji\Google\Chrome C:\Documents and Settings\macio\Dane aplikacji\Malwarebytes C:\Documents and Settings\macio\Dane aplikacji\Nowe Gadu-Gadu C:\Documents and Settings\macio\Dane aplikacji\OpenCandy C:\Documents and Settings\macio\Dane aplikacji\OpenFM C:\Documents and Settings\macio\Dane aplikacji\OpenOffice.org C:\Documents and Settings\macio\Dane aplikacji\OpenOffice.ux.pl2 C:\Documents and Settings\macio\Dane aplikacji\Podcast C:\Documents and Settings\macio\Dane aplikacji\PPMate C:\Documents and Settings\macio\Dane aplikacji\ppStream C:\Documents and Settings\macio\Dane aplikacji\Real C:\Documents and Settings\macio\Dane aplikacji\RHEng C:\Documents and Settings\macio\Dane aplikacji\SopCast C:\Documents and Settings\macio\Dane aplikacji\Sun C:\Documents and Settings\macio\Dane aplikacji\Systweak C:\Documents and Settings\macio\Dane aplikacji\TeamViewer C:\Documents and Settings\macio\Dane aplikacji\tiger-k C:\Documents and Settings\macio\Dane aplikacji\TuneUp Software C:\Documents and Settings\macio\Dane aplikacji\TVU Networks C:\Documents and Settings\macio\Dane aplikacji\Vso C:\Documents and Settings\macio\Dane aplikacji\VSRevoGroup C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Ashampoo C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\AVG C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Avg2014 C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\cache C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Chat Republic Games C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\ChomikBox C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\CrashRpt C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Flircik C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\free-downloads.net C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\globalUpdate C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\M-Photo_Ltd C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\MFAData C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\mSejf_sp._z_o._o C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\myBabylon_English C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Sun C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\TNT2 C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\TVU Networks C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\AVG C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\BrotherSoft_Extreme C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\myBabylon_English C:\Program Files\Common Files\Java C:\Program Files\Google\Chrome C:\Program Files\Java C:\Program Files\Oracle C:\Program Files\Sun C:\WINDOWS\system32\javacpl.cpl C:\WINDOWS\system32\javaws.exe C:\WINDOWS\system32\REN*.tmp C:\WINDOWS\System32\DRIVERS\GEARAspiWDM.sys C:\WINDOWS\System32\Drivers\pcouffin.sys C:\WINDOWS\System32\Drivers\PxHelp20.sys CMD: dir /a "C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\LocalLow" CMD: dir /a "C:\Program Files" CMD: dir /a "E:\Program Files" EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Przedstaw wynikowy fixlog.txt. 3. Zrób nowy log FRST z opcji Scan na warunkach: odznaczone pole Whitelist Services + Drivers, zaznaczone pola Addition + Shortcut. Dodatkowo, po naprawie Usług kryptograficznych nadal widać poniższy sterownik MS jako niesygnowany i to może być plik rzeczywiście zmodyfikowany, więc dodaj jeszcze spis kopii pliku: uruchom FRST, w polu Search wklep disk.sys, klik w Search Files i dołącz log wynikowy. R0 Disk; C:\WINDOWS\System32\DRIVERS\disk.sys [36352 2008-04-14] () [File not signed] Wypowiedz się czy są zmiany w starcie/zamykaniu. PS. A temat przenoszę do działu Windows, znacznie wykroczył poza czyszczenie adware. .

Dostosuj się do zasad działu w kwestii wymaganych logów: KLIK. OTL to przestarzałe narzędzie, logi sprawdzane tylko pobocznie. Obowiązkowe są raporty z FRST.

Maksio Nie został temat zakończony (zdefektowany wpis URLSearchHooks + AdwCleaner), ale skoro komputera już nie ma, to temat zamykam. marcin878787 Przecież te wpisy są też wzięte z logów - prawie wszystkie dane masz w obu raportach FRST (wpisy mountpoints2 + startupreg + MozillaPlugins + Mozilla HKLM) i OTL (wpisy SearchScopes), a dodatkowe wpisy Mozilla na zasadzie dośpiewania sobie (usuwanie komponentów które tworzy instalacja np. Firefox). Miej na uwadze, że formatowanie wpisów FRST to tylko formatowanie które sobie wymyślił autor. Jeśli ma być usuwany określony wpis, który nie może być usunięty za pomocą FRST na zasadzie "przeklejania z raportu" lub jest przefiltrowany (widać go tylko po wyłączeniu Whitelist) lub też FRST usuwa go inaczej niż ja to chcę zrobić (tylko podklucz, a ja widzę że można usunąć cały klucz nadrzędny), wtedy bierze się prawdziwe lokalizacje w rejestrze systemowym (a nie te przetworzone narzędziami w systemie skrótów) i usuwa dyrektywą Reg: (lub bezpośredni import do rejestru z pliku REG). W dyrektywie Reg: jest używane systemowe narzędzie reg i jego składnia, a nie składnia FRST. W podsumowaniu: logi to tylko pomoc, by szybko pobrać określone (nie wszystkie) dane, ale trzeba umieć podstawy, czyli oryginalne lokalizacje.

Zadania wykonane zgodnie z planem. Przed próbą instalacji antywirusa (proponuję np. Avast), jeszcze do wykonania dodatkowe akcje: 1. Był uruchamiany GMER, toteż upewnij się, że nie został obniżony transfer dysku z DMA do PIO. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner. 3. Otwórz Notatik i wklej w nim: ListPermissions: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks Unlock: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks URLSearchHook: [s-1-5-21-1004336348-1604221776-682003330-1003] ATTENTION ==> Default URLSearchHook is missing. RemoveDirectory: C:\MATS DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. .

ComboFix pododawał pewne elementy, których w systemie wcześniej nie było. Nie wiem co utworzyło owe pliki PNG. Jak rozumiem pliki nie zostały skasowane między wytwarzaniem raportu OTL a FRST - w FRST ich nie widać, pewnie FRST filtruje taki rodzaj rozszerzeń. Oznak czynnej infekcji brak. Tylko kosmetyczne poprawki: 1. Odinstaluj stare wersje Adobe Flash Player 11 ActiveX, Adobe Flash Player 15 Plugin, Java 7 Update 21 oraz śmieci Qtrax Player, UpdateChecker. Jeśli te ostatnie nie będą widoczne na liście, nie szkodzi, i tak zajmie się nimi skrypt podany poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 STHDA; system32\DRIVERS\stwrt64.sys [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3827801199-4237816232-3164111636-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction URLSearchHook: HKU\S-1-5-21-3827801199-4237816232-3164111636-1001 - (No Name) - {261c67f2-64cd-4696-9821-612409b649d5} - No File SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3827801199-4237816232-3164111636-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear SearchScopes: HKU\S-1-5-21-3827801199-4237816232-3164111636-1001 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} Toolbar: HKU\S-1-5-21-3827801199-4237816232-3164111636-1001 -> No Name - {4A8A0B3B-EEB7-4E90-B359-3E01B2C15E82} - No File FF Plugin-x32: @MyImageConverter_8j.com/Plugin -> C:\Program Files (x86)\MyImageConverter_8j\bar\2.bin\NP8jStub.dll No File FF HKU\S-1-5-21-3827801199-4237816232-3164111636-1001\...\Firefox\Extensions: [freegames115@BestOffers] - C:\Users\Irmina\AppData\Roaming\Mozilla\Extensions\freegames115@BestOffers CustomCLSID: HKU\S-1-5-21-3827801199-4237816232-3164111636-1001_Classes\CLSID\{A75BE48D-BF58-4A8B-B96C-F9A09DFB9844}\InprocServer32 -> %LOCALAPPDATA%\Pokki\ocdeskband_0.dll No File Task: {3BF726B8-2CFA-4685-B633-05D5DD432E07} - System32\Tasks\{6FD66EB5-8002-45C9-9743-F84EF499971C} => c:\program files (x86)\opera\opera.exe Task: {3D98415C-0097-4F02-82F8-715D2CF9103A} - System32\Tasks\{E4D8AF37-9C21-4610-BD68-EA188A338230} => Firefox.exe Task: {5AAF3642-5C07-4A6F-A257-3E1ED4D3854D} - System32\Tasks\{A979066F-96C6-4C0C-8E26-17EEF4D9D1EF} => Firefox.exe Task: {BEB4AD93-3E35-4C6D-BFAA-28541AB654D4} - System32\Tasks\{A7EAC957-83D9-4E90-92CB-340C0A78B4CB} => Firefox.exe Task: C:\windows\Tasks\HPCeeScheduleForIRMINA-HP$.job => C:\Program Files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe CMD: for /d %f in (C:\Users\Irmina\AppData\Local\{*}) do rd /s /q "%f" C:\oct*.tmp.png C:\ProgramData\SMRResults430.dat C:\ProgramData\AVAST Software C:\ProgramData\Avg_Update_1114tb C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Online Services C:\ProgramData\Norton C:\Users\Irmina\*.htm C:\Users\Irmina\*.lnk C:\Users\Irmina\AppData\Local\{*} C:\Users\Irmina\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Irmina\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Irmina\AppData\Local\NPE C:\Users\Irmina\AppData\Local\Pokki C:\Users\Irmina\AppData\Roaming\Audacity C:\Users\Irmina\AppData\Roaming\AVG C:\Users\Irmina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\FLV Player.lnk C:\Users\Irmina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FLV Player C:\Users\Irmina\AppData\Roaming\Opera C:\Users\Irmina\AppData\Roaming\Origin C:\Users\Irmina\AppData\Roaming\rmi C:\Users\Irmina\AppData\Roaming\TuneUp Software C:\Users\Irmina\AppData\Roaming\uTorrent C:\Users\Irmina\Desktop\Desktop\Różne dokumenty\AVG Konserwacja 1 kliknięciem.lnk C:\Users\Irmina\Desktop\Desktop\Różne dokumenty\AVG PC TuneUp 2014.lnk C:\Users\Irmina\Desktop\Desktop\Różne dokumenty\Graj w Euro Truck Simulator 2.lnk C:\Users\Irmina\Desktop\Wika\Różne\Programy\AVG Konserwacja 1 kliknięciem.lnk C:\Users\Irmina\Desktop\Wika\Różne\Programy\AVG PC TuneUp 2014.lnk C:\Users\Irmina\Desktop\Wika\Różne\Programy\Debut Video Capture Software.lnk C:\Users\Irmina\Desktop\Wika\Różne\Programy\Origin.lnk C:\Users\Irmina\Desktop\Wika\Koniec Roku\OneDrive.lnk C:\Users\Irmina\Desktop\Wika\Koniec Roku\Jaa\2014\* — skrót.lnk C:\Users\Irmina\Desktop\Wika\Koniec Roku\Jaa\Camera\* — skrót.lnk C:\Users\Irmina\Documents\*.tmp C:\Users\Irmina\Documents\* — skrót.lnk C:\windows\grep.exe C:\windows\MBR.exe C:\windows\PEV.exe C:\windows\sed.exe C:\windows\zip.exe C:\windows\SysWow64\*.tmp Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AppSafe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tutorials" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDrives /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\gopher /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{84178AE8-C22D-48CB-A6BA-D116FD3FE469} /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{ec29edf6-ad3c-4e1c-a087-d6cb81400c43}" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Popajar, inc UpdateChecker" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{B4916AE2-C6EC-43C1-8D4A-B5DC852372ED}" /f Reg: reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDrives /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer" /f Reg: reg delete "HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer" /f CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Irmina\AppData\Local CMD: dir /a C:\Users\Irmina\AppData\LocalLow CMD: dir /a C:\Users\Irmina\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie plik plik fixlog.txt. 3. Specjalny skrót IE jest uszkodzony: Shortcut: C:\Users\Irmina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Irmina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy po skasowaniu owych plików PNG one zaczynają się odtwarzać. .

Doączony tu log MBAM nie przedstawia żadnych detekcji, zaprezentuj wcześniejszy log. Natomiast w podanych ogólnych raportach nie widać nic ciekawego. Tylko kosmetyczne działania na wpisy puste: 1. W systemie siedzi odpadkowy sterownik wyglądający na pozostałość po odinstalowanym Hotspot Shield: R1 HssDRV6; C:\Windows\System32\DRIVERS\hssdrv6.sys [41704 2012-07-10] (AnchorFree Inc.) Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej > z prawokliku na każde tam obecne pobierz Właściwości > w karcie Ogólne sprawdź czy jest filtr Hotspot Shield > zaznacz i odinstaluj. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = StartMenuInternet: IEXPLORE.EXE - C:\program files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: No Name -> {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} -> No File Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKU\S-1-5-21-431021187-217253523-1019275998-1003 -> No Name - {C95A4E8E-816D-4655-8C79-D736DA1ADB6D} - No File HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-19\...\RunOnce: [isMyWinLockerReboot] => msiexec.exe /qn /x{voidguid} HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\RunOnce: [isMyWinLockerReboot] => msiexec.exe /qn /x{voidguid} HKU\S-1-5-18\...\RunOnce: [isMyWinLockerReboot] => msiexec.exe /qn /x{voidguid} ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File S3 atillk64; \??\C:\Program Files (x86)\AMD\System Monitor\atillk64.sys [X] C:\ProgramData\AVAST Software C:\ProgramData\Temp C:\Users\Karla\AppData\Roaming\eIntaller C:\Users\Karla\AppData\Roaming\iPlus C:\Users\Karla\AppData\Roaming\Thunderbird C:\Users\Marek\AppData\Roaming\iFree C:\Users\Marek\AppData\Roaming\iPlus C:\Users\Marek\AppData\Roaming\Patcher C:\Users\Marek\AppData\Roaming\PrimoPDF C:\Users\Marek\AppData\Roaming\Systweak Hosts: CMD: netsh advfirewall reset Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zostały dostarczone raporty FRST z kontekstu konta Karla, a są tu dwa konta: ========================= Accounts: ========================== Karla (S-1-5-21-431021187-217253523-1019275998-1003 - Administrator - Enabled) => C:\Users\Karla Marek (S-1-5-21-431021187-217253523-1019275998-1000 - Administrator - Enabled) => C:\Users\Marek Zaloguj się na konto Marek poprzez pełny restart systemu (a nie opcję Wyloguj czy Przełącz użytkownika) i zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by powstały dwa logi na tym koncie. Dołącz też plik fixlog.txt.

Tak, na koncie Artur siedzi infekcja, która w opisie udaje "Avirę". Operacje dla tego konta: 1. W Notatniku przygotuj plik o treści: HKU\S-1-5-21-1645522239-1454471165-839522115-1003\...\Winlogon: [shell] C:\Documents and Settings\Artur\Dane aplikacji\Other.res [173056 2010-12-09] (Avira Operations GmbH & Co. KG) S3 rpcapd; "%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini" [X] S4 InCDFs; system32\drivers\InCDFs.sys [X] HKLM\...\Policies\Explorer: [NoCDBurning] 0 HKU\S-1-5-21-1645522239-1454471165-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM -> DefaultScope value is missing. DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{0BE35200-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{0BE35201-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{0BE35202-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{44EC053A-400F-11D0-9DCD-00A0C90391D3}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> No File Path AlternateDataStreams: C:\3590F75ABA9E485486C100C1A9D4FF06ZZ...ZZZ.ZZ..ZZZ:1 AlternateDataStreams: C:\3590F75ABA9E485486C100C1A9D4FF06ZZ..ZZ.ZZZ..Z.ZZ:1 C:\Documents and Settings\Artur\Dane aplikacji\Other.res C:\Documents and Settings\Artur\Dane aplikacji\ArcaBit C:\Documents and Settings\Artur\Dane aplikacji\ArcaMicroScan C:\Documents and Settings\Artur\Dane aplikacji\AutoUpdate C:\Documents and Settings\Artur\Dane aplikacji\Igyz C:\Documents and Settings\Artur\Dane aplikacji\Kamerzysta C:\Documents and Settings\Artur\Dane aplikacji\Okope C:\Documents and Settings\Artur\Dane aplikacji\Opfyol C:\Program Files\Mozilla Firefox C:\WINDOWS\pss\McAfee Security Scan Plus.lnkCommon Startup Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KernelFaultCheck" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Onet.pl AutoUpdate" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Z poziomu Trybu normalnego odinstaluj stare dziurawe wersje (jedna z przyczyn infekcji) Adobe Flash Player 10 Plugin, Adobe Flash Player 12, Java™ 6 Update 31 oraz sponsorowany zbędnik McAfee Security Scan Plus. 3. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Sprawdź czy da się normalnie odinstalować pozycje Java 7 update 71 i Java 8 Update 25. Następnie, pod kątem felernych pozycji Java 6, zastosuj JavaRa. Poproszę o log FRST bez filtrowania, tzn. odznacz pola Whitelist dla Services i Drivers i będziemy dalej analizować co obciąć ze startu. .

Na teraz, by zakończyć czyszczenie: 1. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 2. Cały system do aktualizacji, stan obecny (brak SP1, IE11 i reszty łat): Platform: Windows 7 Ultimate (X64) OS Language: Polski (Polska) Internet Explorer Version 9 Temat zostawiam otwarty, tak więc zgłoś się tu z wynikami za jakiś czas co się dzieje.

Czy ten BSOD przy zamykaniu systemu pojawia się nadal, czy był to przypadek podczas przetwarzania Fix? Skopiuj na Pulpit poniższe pliki, spakuj do ZIP, shostuj gdzieś i podaj link do paczki. ==================== One Month Created Files and Folders ======== 2014-12-02 19:55 - 2014-12-02 19:55 - 00498416 _____ () C:\Windows\Minidump\120214-34647-01.dmp 2014-12-02 17:43 - 2014-12-02 17:43 - 00292216 _____ () C:\Windows\Minidump\120214-32697-01.dmp Natomiast zadania czyszczące pomyślnie wykonane i w tym zakresie już kończymy: 1. Usuń pobrane narzędzia z G:\Naprawa kompa. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Zaktualizuj systemowy Internet Explorer 10 do wersji 11, nawet jeśli przeglądarki w ogóle nie używasz. .

Usuwanie jest proste, tylko nie będzie prowadzone w ciemno. Zacznij od zasad działu, bo nie dostarczone obowiązkowe materiały diagnostyczne: KLIK. Wymagane są logi z określonych programów.

Logi są konieczne, na oko nic nie da się zdziałać, miliony możliwości konfliguracyjnych. Wejdź w Tryb awaryjny i ponów próbę z wytwarzaniem raportów.

Te analizery są mało pomocne i jeszcze można sobie nimi zaszkodzić. A HijackThis to martwy program, nie skanuje nawet połowy tego co obecnie jest wymagane. Siedzi, siedzi. System jest zgwałcony przez sterowniki adware grupy Sambreel - ładuje się aż 19 szkodliwych sterowników. I zapewne to te właśnie babole tworzą konflikt ze sterownikami oprogramowania zabezpieczającego. Prócz tego są i inne obiekty adware oraz przeterminowane dziurawe aplikacje i definitywnie jest tu jeszcze co czyścić. Do wdrożenia następujące akcje: 1. Deinstalacje: - Za pomocą Dodaj/Usuń odinstaluj: Adobe Flash Player 10 Plugin, Adobe Flash Player 11 ActiveX, Adobe Reader 8 - Polish, Adobe Shockwave Player 11.5, Java 2 Runtime Environment, SE v1.4.0_03. W przypadku problemów z deinstalacją Java zastosuj JavaRA (program nadal można pobrać): KLIK. - Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > po kolei zaznacz na liście dwa ukryte odpadkowe wpisy AVG 2015 oraz Google Toolbar for Internet Explorer > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {2f1ed632-8cc1-4969-916a-211c6b0412c1}t; C:\WINDOWS\System32\drivers\{2f1ed632-8cc1-4969-916a-211c6b0412c1}t.sys [55832 2014-10-13] (StdLib) R1 {397e3208-0393-47ca-9748-370b27e14021}t; C:\WINDOWS\System32\drivers\{397e3208-0393-47ca-9748-370b27e14021}t.sys [55832 2014-10-18] (StdLib) R1 {4059f7a9-d023-4137-a1c8-01f0f6fe6110}t; C:\WINDOWS\System32\drivers\{4059f7a9-d023-4137-a1c8-01f0f6fe6110}t.sys [55832 2014-10-19] (StdLib) R1 {4b6b588f-fe6d-43d5-96e6-6583434569cd}t; C:\WINDOWS\System32\drivers\{4b6b588f-fe6d-43d5-96e6-6583434569cd}t.sys [55832 2014-10-15] (StdLib) R1 {55825785-0831-456c-8958-bd781398505d}t; C:\WINDOWS\System32\drivers\{55825785-0831-456c-8958-bd781398505d}t.sys [55872 2014-11-26] (StdLib) R1 {5eeb83d0-96ea-4249-942c-beead6847053}t; C:\WINDOWS\System32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}t.sys [55064 2014-09-12] (StdLib) R1 {651e31c1-db10-434b-a173-a9b0e6a15ce0}t; C:\WINDOWS\System32\drivers\{651e31c1-db10-434b-a173-a9b0e6a15ce0}t.sys [55832 2014-10-20] (StdLib) R1 {71d5e150-c72b-4e5b-a773-e49420251642}t; C:\WINDOWS\System32\drivers\{71d5e150-c72b-4e5b-a773-e49420251642}t.sys [55832 2014-10-22] (StdLib) R1 {807699ff-a8ae-4ba9-8010-fe7f44646ff9}t; C:\WINDOWS\System32\drivers\{807699ff-a8ae-4ba9-8010-fe7f44646ff9}t.sys [55832 2014-10-17] (StdLib) R1 {98a55059-ac5d-40d9-81ae-6bff294c9b89}t; C:\WINDOWS\System32\drivers\{98a55059-ac5d-40d9-81ae-6bff294c9b89}t.sys [55832 2014-10-19] (StdLib) R1 {b52a596e-357b-4007-9a88-5592a17b1be9}t; C:\WINDOWS\System32\drivers\{b52a596e-357b-4007-9a88-5592a17b1be9}t.sys [55832 2014-10-12] (StdLib) R1 {bf167862-9559-4b38-94c6-2e5edae3632c}t; C:\WINDOWS\System32\drivers\{bf167862-9559-4b38-94c6-2e5edae3632c}t.sys [55832 2014-10-11] (StdLib) R1 {c9fb27aa-f512-464b-babd-d42f0443465f}t; C:\WINDOWS\System32\drivers\{c9fb27aa-f512-464b-babd-d42f0443465f}t.sys [55832 2014-10-14] (StdLib) R1 {e168bb47-74a7-440b-bf7d-d17153007d6b}t; C:\WINDOWS\System32\drivers\{e168bb47-74a7-440b-bf7d-d17153007d6b}t.sys [55832 2014-10-11] (StdLib) R1 {efa349b9-003c-4506-9e55-957c1cff853c}t; C:\WINDOWS\System32\drivers\{efa349b9-003c-4506-9e55-957c1cff853c}t.sys [55832 2014-10-23] (StdLib) R1 {f06ee1ad-d0c2-4bf7-ada2-fa0fb563c169}t; C:\WINDOWS\System32\drivers\{f06ee1ad-d0c2-4bf7-ada2-fa0fb563c169}t.sys [55832 2014-10-15] (StdLib) R1 {fa50efa5-2c2a-4d8c-b58d-b9548ceccd2b}t; C:\WINDOWS\System32\drivers\{fa50efa5-2c2a-4d8c-b58d-b9548ceccd2b}t.sys [55832 2014-10-11] (StdLib) R1 {fc8e6a5c-9413-4b64-b2fd-0aad0e9e50eb}t; C:\WINDOWS\System32\drivers\{fc8e6a5c-9413-4b64-b2fd-0aad0e9e50eb}t.sys [55832 2014-10-17] (StdLib) R1 {fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}t; C:\WINDOWS\System32\drivers\{fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}t.sys [55832 2014-10-13] (StdLib) S4 MaintainerSvc7.71.837357; C:\Documents and Settings\All Users\Dane aplikacji\66d59f5c-9429-4c86-9f63-c339daeaabaf\maintainer.exe [123680 2014-12-02] () S3 EagleNT; \??\C:\WINDOWS\system32\drivers\EagleNT.sys [X] S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X] S3 PCAMPR5; \??\C:\WINDOWS\system32\PCAMPR5.SYS [X] Winlogon\Notify\WgaLogon: WgaLogon.dll [X] HKLM\...\Run: [WOOTASKBARICON] => C:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\WACICI~1\DANEAP~1\FoxTab\UPDATE~1\UPDATE~1.EXE HKU\S-1-5-21-1004336348-1604221776-682003330-1003\...\Policies\Explorer: [NoDriveTypeAutoRun] 0x95000000 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKU\S-1-5-21-1004336348-1604221776-682003330-1003\SOFTWARE\Policies\Google: Policy restriction CHR HKLM\...\Chrome\Extension: [dopemniaeocfenlpnoannaefnhfcjcgi] - C:\Documents and Settings\właściciel\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\searchswitch.crx [2014-03-25] CHR HKLM\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Documents and Settings\właściciel\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [2014-03-25] HKU\S-1-5-21-1004336348-1604221776-682003330-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aartemis.com/web/?type=ds&ts=1387211201&from=cor&uid=WDCXWD1600JB-00REA0_WD-WMANM733601536015&q={searchTerms} HKU\S-1-5-21-1004336348-1604221776-682003330-1003\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://rts.dsrlte.com?affID=na http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aartemis.com/web/?type=ds&ts=1387211201&from=cor&uid=WDCXWD1600JB-00REA0_WD-WMANM733601536015&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.aartemis.com/web/?type=ds&ts=1387211201&from=cor&uid=WDCXWD1600JB-00REA0_WD-WMANM733601536015&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki URLSearchHook: [s-1-5-21-1004336348-1604221776-682003330-1003] ATTENTION ==> Default URLSearchHook is missing. HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://rts.dsrlte.com/?m=tab&affID=na" StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://aartemis.com/?type=sc&ts=1387211201&from=cor&uid=WDCXWD1600JB-00REA0_WD-WMANM733601536015 SearchScopes: HKLM -> DefaultScope value is missing. SearchScopes: HKU\S-1-5-21-1004336348-1604221776-682003330-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1004336348-1604221776-682003330-1003 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.bing.com/search?FORM=UP97DF&PC=UP97&q={searchTerms}&src=IE-SearchBox SearchScopes: HKU\S-1-5-21-1004336348-1604221776-682003330-1003 -> {BAE38FD2-12CB-43E1-9AF9-51848C943CA4} URL = http://www.mp3zwrzuta.pl/searchp,,{searchTerms},,1.html Toolbar: HKU\S-1-5-21-1004336348-1604221776-682003330-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File DPF: {233C1507-6A77-46A4-9443-F871F945D258} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/products/plugin/autodl/jinstall-1_4_0_03-win.cab DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} http://java.sun.com/products/plugin/autodl/jinstall-1_4_0_03-win.cab AV: mks_vir 2k7 (Disabled - Up to date) {163C25B5-5987-428D-9426-9C29A96444AB} FW: Firewall mks_vir 2k7 (Disabled) {69825521-8CA8-4D3F-9F7B-50B5BBE2389F} C:\$AVG C:\Documents and Settings\All Users\Dane aplikacji\66d59f5c-9429-4c86-9f63-c339daeaabaf C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\AVG2015 C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10 C:\Documents and Settings\All Users\Dane aplikacji\IePluginService C:\Documents and Settings\All Users\Dane aplikacji\MFAData C:\Documents and Settings\All Users\Dane aplikacji\Norton C:\Documents and Settings\All Users\Dane aplikacji\OpenFM C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Dane aplikacji\WPM C:\Documents and Settings\All Users\Menu Start\Programy\AVG C:\Documents and Settings\właściciel\sqlite3.dll C:\Documents and Settings\właściciel\Dane aplikacji\.minecraft C:\Documents and Settings\właściciel\Dane aplikacji\.minecraftzyczu C:\Documents and Settings\właściciel\Dane aplikacji\.zyczujdk7 C:\Documents and Settings\właściciel\Dane aplikacji\337Games C:\Documents and Settings\właściciel\Dane aplikacji\aartemis C:\Documents and Settings\właściciel\Dane aplikacji\AVG2015 C:\Documents and Settings\właściciel\Dane aplikacji\Gadu-Gadu C:\Documents and Settings\właściciel\Dane aplikacji\Gadu-Gadu 10 C:\Documents and Settings\właściciel\Dane aplikacji\OpenFM C:\Documents and Settings\właściciel\Dane aplikacji\Pay-By-Ads C:\Documents and Settings\właściciel\Dane aplikacji\RHEng C:\Documents and Settings\właściciel\Dane aplikacji\rmi C:\Documents and Settings\właściciel\Dane aplikacji\SupTab C:\Documents and Settings\właściciel\Dane aplikacji\TuneUp Software C:\Documents and Settings\właściciel\Ustawienia lokalne\Dane aplikacji\Avg2015 C:\Documents and Settings\właściciel\Ustawienia lokalne\Dane aplikacji\MFAData C:\Documents and Settings\właściciel\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Program Files\Common Files\Symantec Shared C:\Program Files\mks_vir_2007 C:\Program Files\Norton Security Scan C:\Program Files\SupTab C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\System32\drivers\{2f1ed632-8cc1-4969-916a-211c6b0412c1}t.sys C:\WINDOWS\System32\drivers\{397e3208-0393-47ca-9748-370b27e14021}t.sys C:\WINDOWS\System32\drivers\{4059f7a9-d023-4137-a1c8-01f0f6fe6110}t.sys C:\WINDOWS\System32\drivers\{4b6b588f-fe6d-43d5-96e6-6583434569cd}t.sys C:\WINDOWS\System32\drivers\{55825785-0831-456c-8958-bd781398505d}t.sys C:\WINDOWS\System32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}t.sys C:\WINDOWS\System32\drivers\{651e31c1-db10-434b-a173-a9b0e6a15ce0}t.sys C:\WINDOWS\System32\drivers\{71d5e150-c72b-4e5b-a773-e49420251642}t.sys C:\WINDOWS\System32\drivers\{807699ff-a8ae-4ba9-8010-fe7f44646ff9}t.sys C:\WINDOWS\System32\drivers\{98a55059-ac5d-40d9-81ae-6bff294c9b89}t.sys C:\WINDOWS\System32\drivers\{b52a596e-357b-4007-9a88-5592a17b1be9}t.sys C:\WINDOWS\System32\drivers\{bf167862-9559-4b38-94c6-2e5edae3632c}t.sys C:\WINDOWS\System32\drivers\{c9fb27aa-f512-464b-babd-d42f0443465f}t.sys C:\WINDOWS\System32\drivers\{e168bb47-74a7-440b-bf7d-d17153007d6b}t.sys C:\WINDOWS\System32\drivers\{efa349b9-003c-4506-9e55-957c1cff853c}t.sys C:\WINDOWS\System32\drivers\{f06ee1ad-d0c2-4bf7-ada2-fa0fb563c169}t.sys C:\WINDOWS\System32\drivers\{fa50efa5-2c2a-4d8c-b58d-b9548ceccd2b}t.sys C:\WINDOWS\System32\drivers\{fc8e6a5c-9413-4b64-b2fd-0aad0e9e50eb}t.sys C:\WINDOWS\System32\drivers\{fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}t.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AVG_UI" /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{71A938EF-9C3E-43B5-B7D9-809AAD678B33}" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AC60A74B-C508-40C5-9778-59C30DA9480B}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Finalizujemy sprawy: 1. Uruchom AdwCleaner ponownie, tym razem zastosuj combo Szukaj + Usuń. Wynikowego raportu już nie muszę sprawdzać. 2. Skasuj ręcznie pobrane skanery z folderu C:\Users\Admin\Downloads\FixItPC. 3. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 4. Na liście zainstalowanych jest archaiczny kaleka Gadu-Gadu 7.7. Polecam zamianę nowoczesnym i bezreklamowym WTW (bardzo dobra obługa protokołu GG8 do GG11, czego brak w oryginalnym GG7): KLIK.

Fix wykonany, więc teraz oczekuję na wyniki działań czy problem zgłoszeń Avast powróci. Import zakładek nie wydaje się groźny, choć nie wiem jakie adresy są tam. Adblocka oczywiście można zainstalować. Posiadałaś Adblock (identyfikator gighmmpiobklfepjocnamgkkbiglidom), natomiast ja proponuję tym razem wykorzystać inną wersję, tzn. Adblock Plus (identyfikator cfhdojbkjhnklbpkdaibdccddilifddb). .