Skocz do zawartości
Nadchodzące zmiany w logowaniu

picasso

Administratorzy
 Pokaż profil  Zobacz aktywność

  • Postów

    36 516

  • Dołączył

  • Ostatnia wizyta

 Typ zawartości 

Treść opublikowana przez picasso

  1. picasso
    Skoro post już wysłałeś na forum, to jest publiczny i nie jest ukrywany, gdy go edytujesz, tylko że edycję mogę zobaczyć dopiero wtedy, gdy ją zatwierdzisz. Oglądałam temat sprzed edycji. Log z GMER nic nie zmienia, wszystkie komentarze i instrukcje nadal aktualne.
  2. picasso
    Nadal brakuje raportu z GMER. W międzyczasie został doinstalowany Avast - proszę nie podejmuj działań innych niż zalecone w temacie, wszystko ma uzasadnioną kolejność i nie można nic przestawiać, ani sobie dodawać. Instalacje antywirusów to ostatnia rzecz, która miała tu być wykonana, na szarym końcu po naprawieniu systemu, jego wyczyszczeniu oraz aktualizacji. Na dodatek problemem jest "lagujący komp" - instalacja inwazyjnego antywirusa zaciemnia sprawę i nie wiadomo czy zalecenia pomogły / coś się poprawiło, bo instalacja AV może obniżyć wydajność / oszukać wyniki operacji. Kolejna porcja instrukcji: 1. Nie zostały odinstalowane te dziurawe starocie (niebezpieczne wersje / luki): Adobe Flash Player 10 Plugin, Adobe Flash Player ActiveX, Adobe Reader 9.3.2 - Polish, Java™ 6 Update 31, Java 7 Update 21, OpenOffice.org 3.2. Do wykonania. Najnowsze bezpieczne wersje będą instalowane na samym końcu, nie teraz, gdy system jest czyszczony ze śmieci. Proponuję też od razu wywalić stare Gadu-Gadu 10 (ciężki, zawalone reklamami połowa funkcji i tak już nie działa) - potem do zamiany najnowszym GG (lżejsze, mniej reklam) lub inną alternatywą. 2. Nie ma oznak wykonania poniższego działania. Do wdrożenia. 3. Dopiero po wykonaniu powyższych działań. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: E:\WINDOWS\Tasks\Qzfkkxzk.job => ? NETSVC: wnrstcjq -> E:\WINDOWS\system32\lxkxx.dll ==> No File. S2 wnrstcjq; E:\WINDOWS\system32\lxkxx.dll [X] S3 clwvd; system32\DRIVERS\clwvd.sys [X] HKLM\...\Run: [YouCam Service] => "E:\Program Files\CyberLink\YouCam\YouCamService.exe" /s HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKU\S-1-5-21-1645522239-602162358-725345543-1004\...\Run: [ares] => "E:\Program Files\Ares\Ares.exe" -h HKU\S-1-5-21-1645522239-602162358-725345543-1004\...\Run: [iLivid] => "E:\Documents and Settings\monik\Ustawienia lokalne\Dane aplikacji\iLivid\iLivid.exe" -autorun HKU\S-1-5-21-1645522239-602162358-725345543-1004\...\Policies\Explorer: [NoDriveAutoRun] 0xFFFFFFFF IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browsemngr.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browsermngr.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\bundlesweetimsetup.exe: [Debugger] tasklist.exe IFEO\cltmngsvc.exe: [Debugger] tasklist.exe IFEO\delta babylon.exe: [Debugger] tasklist.exe IFEO\delta tb.exe: [Debugger] tasklist.exe IFEO\delta2.exe: [Debugger] tasklist.exe IFEO\deltainstaller.exe: [Debugger] tasklist.exe IFEO\deltasetup.exe: [Debugger] tasklist.exe IFEO\deltatb.exe: [Debugger] tasklist.exe IFEO\deltatb_2501-c733154b.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\iminentsetup.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\rjatydimofu.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\sweetimsetup.exe: [Debugger] tasklist.exe IFEO\tbdelta.exetoolbar783881609.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe HKLM\...\AppCertDlls: [x64] -> e:\program files\movies toolbar\datamngr\x64\apcrtldr.dll ShortcutWithArgument: E:\Documents and Settings\monik\Menu Start\Programy\Internet Explorer.lnk -> E:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD1600BEKT-60F3T1_WD-WXC0A89R6959R6959&ts=1361694440 ShortcutWithArgument: E:\Documents and Settings\monik\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> E:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD1600BEKT-60F3T1_WD-WXC0A89R6959R6959&ts=1361694440 HKU\S-1-5-21-1645522239-602162358-725345543-1004\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141123 HKU\S-1-5-21-1645522239-602162358-725345543-1004\Software\Microsoft\Internet Explorer\Main,Search Bar = http://dts.search.ask.com/sidebar.html?src=ssb&gct=ds&appid=429&systemid=406 HKU\S-1-5-21-1645522239-602162358-725345543-1004\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie HKU\S-1-5-21-1645522239-602162358-725345543-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.22find.com/newtab?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD1600BEKT-60F3T1_WD-WXC0A89R6959R6959&ts=1361694455 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.22find.com/newtab?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD1600BEKT-60F3T1_WD-WXC0A89R6959R6959&ts=1361694455 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141123 URLSearchHook: HKU\S-1-5-21-1645522239-602162358-725345543-1004 - (No Name) - {D8278076-BC68-4484-9233-6E7F1628B56C} - No File HKU\S-1-5-21-1645522239-602162358-725345543-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction BHO: Searchqu Toolbar -> {99079a25-328f-4bd4-be04-00955acaa0a7} -> E:\Program Files\Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll () BHO: No Name -> {d1dac034-9fd9-4c13-a388-d2e10e57707f} -> No File Toolbar: HKLM - Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - E:\Program Files\Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll () Toolbar: HKLM - No Name - {d1dac034-9fd9-4c13-a388-d2e10e57707f} - No File Toolbar: HKU\S-1-5-21-1645522239-602162358-725345543-1004 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File CustomCLSID: HKU\S-1-5-21-1645522239-602162358-725345543-1004_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> E:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-1645522239-602162358-725345543-1004_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> E:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-1645522239-602162358-725345543-1004_Classes\CLSID\{66E8DCC7-97D2-4A89-8E08-D0610FF0878C}\InprocServer32 -> E:\Documents and Settings\monik\Ustawienia lokalne\Dane aplikacji\Conduit\Community Alerts\Alert.dll (ClientConnect Ltd.) CustomCLSID: HKU\S-1-5-21-1645522239-602162358-725345543-1004_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> E:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CHR HKLM\...\Chrome\Extension: [clbfjfbnelcflpgpklppgplejolacbej] - E:\Program Files\BrowserCompanion\blabbers-ch.crx [2011-12-22] CHR HKLM\...\Chrome\Extension: [ijblflkdjdopkpdgllkmlbgcffjbnfda] - E:\Documents and Settings\monik\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\newtab.crx [2014-11-29] CHR HKLM\...\Chrome\Extension: [jinihaffgdhejchgkogpfkdmpldnmnji] - E:\Documents and Settings\monik\Ustawienia lokalne\Dane aplikacji\CRE\jinihaffgdhejchgkogpfkdmpldnmnji.crx [2012-09-20] CHR HKLM\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - E:\Program Files\Skype\Toolbars\Skype for Chromium\skype_chrome_extension.crx [2012-05-30] DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab E:\Documents and Settings\All Users\Dane aplikacji\AlawarWrapper E:\Documents and Settings\All Users\Dane aplikacji\APN E:\Documents and Settings\All Users\Dane aplikacji\Applications E:\Documents and Settings\All Users\Dane aplikacji\ashampoo E:\Documents and Settings\All Users\Dane aplikacji\Ask E:\Documents and Settings\All Users\Dane aplikacji\Babylon E:\Documents and Settings\All Users\Dane aplikacji\boost_interprocess E:\Documents and Settings\All Users\Dane aplikacji\FarmFrenzy-PizzaParty E:\Documents and Settings\All Users\Dane aplikacji\IM E:\Documents and Settings\All Users\Dane aplikacji\IncrediMail E:\Documents and Settings\All Users\Dane aplikacji\install_clap E:\Documents and Settings\All Users\Dane aplikacji\NFS Underground Demo E:\Documents and Settings\All Users\Dane aplikacji\Temp E:\Documents and Settings\All Users\Dane aplikacji\UDL E:\Documents and Settings\All Users\Dane aplikacji\Wincert E:\Documents and Settings\All Users\Menu Start\Programy\AIMP2 E:\Documents and Settings\monik\Dane aplikacji\Ashampoo E:\Documents and Settings\monik\Dane aplikacji\AIMP E:\Documents and Settings\monik\Dane aplikacji\Audacity E:\Documents and Settings\monik\Dane aplikacji\Babylon E:\Documents and Settings\monik\Dane aplikacji\BabylonToolbar E:\Documents and Settings\monik\Dane aplikacji\Desk 365 E:\Documents and Settings\monik\Dane aplikacji\Dropbox E:\Documents and Settings\monik\Dane aplikacji\Mozilla E:\Documents and Settings\monik\Dane aplikacji\OpenCandy E:\Documents and Settings\monik\Dane aplikacji\Opera E:\Documents and Settings\monik\Dane aplikacji\PriceGong E:\Documents and Settings\monik\Dane aplikacji\searchquband E:\Documents and Settings\monik\Dane aplikacji\searchqutoolbar E:\Documents and Settings\monik\Dane aplikacji\Thinstall E:\Documents and Settings\monik\Dane aplikacji\WebcamMax E:\Documents and Settings\monik\Pulpit\*(*)-dp*.exe E:\Documents and Settings\monik\Pulpit\Nieużywane skróty pulpitu E:\Documents and Settings\monik\Menu Start\AQQ.lnk E:\Documents and Settings\monik\Menu Start\Programy\Counter-Strike 1.6 E:\Documents and Settings\monik\Menu Start\Programy\FoxTab Music Converter E:\Documents and Settings\monik\Menu Start\Programy\TurboZIP E:\Documents and Settings\monik\Menu Start\Programy\WapSter E:\Documents and Settings\monik\SendTo\AQQ.lnk E:\Documents and Settings\monik\Ustawienia lokalne\Dane aplikacji\Conduit E:\Documents and Settings\monik\Ustawienia lokalne\Dane aplikacji\CRE E:\Documents and Settings\monik\Ustawienia lokalne\Dane aplikacji\Torch E:\Documents and Settings\monik\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Local Storage\*localstorage* E:\Program Files\BrowserCompanion E:\Program Files\Desk 365 E:\Program Files\Mozilla Firefox E:\Program Files\Opera E:\Program Files\Searchqu Toolbar E:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension E:\WINDOWS\pss\OpenOffice.org 3.2.lnkStartup E:\WINDOWS\system32\npDeployJava1.dll Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\E:^Documents and Settings^monik^Menu Start^Programy^Autostart^OpenOffice.org 3.2.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AQQ" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\avgnt" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DWQueuedReporting" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg add "HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command" /ve /t REG_SZ /d "\"E:\Program Files\Internet Explorer\iexplore.exe"" /f CMD: netsh firewall reset CMD: dir /a "E:\Program Files" CMD: dir /a "E:\Documents and Settings\All Users\Dane aplikacji" CMD: dir /a "E:\Documents and Settings\All Users\Menu Start\Programy" CMD: dir /a "E:\Documents and Settings\monik\Dane aplikacji" CMD: dir /a "E:\Documents and Settings\monik\Menu Start\Programy" CMD: dir /a "E:\Documents and Settings\monik\Ustawienia lokalne\Dane aplikacji" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pole Addition, by powstały dwa logi) + zaległy GMER. Dołącz też plik fixlog.txt. .
  3. picasso
    W oknie GMER jako "podejrzany" stoi po po prostu moduł dysku GG, to nie jest tu problemem. ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll (GG Network S.A.) Problemem zasadniczym jest adware Techgile wmontowane do Google Chrome. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 Update Techgile; "C:\Program Files (x86)\Techgile\updateTechgile.exe" [X] HKLM-x32\...\Run: [ROC_roc_ssl_v12] => "C:\Program Files (x86)\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 HKU\S-1-5-21-2184118066-859118458-687225370-1000\...\Run: [AVG-Secure-Search-Update_1213b] => C:\Users\Robert\AppData\Roaming\AVG 1213b Campaign\AVG-Secure-Search-Update-1213b.exe /PROMPT /mid=54e62f3abf8d47d0be1cd1543b71c18b-1308d3c63c742bcf262aec552d1bdcca5b3be4c5 /CMPID=1213b ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-2184118066-859118458-687225370-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=156 HKU\S-1-5-21-2184118066-859118458-687225370-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKU\S-1-5-21-2184118066-859118458-687225370-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie SearchScopes: HKU\S-1-5-21-2184118066-859118458-687225370-1000 -> DefaultScope {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} SearchScopes: HKU\S-1-5-21-2184118066-859118458-687225370-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear SearchScopes: HKU\S-1-5-21-2184118066-859118458-687225370-1000 -> {C68463FC-2E20-492D-B129-C09640278F6B} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=D75B0CE9-6D33-4FF2-9E58-9DFAE6ED907E&apn_sauid=EB10D1E6-E5BE-4D94-BED6-8341C01F8202 SearchScopes: HKU\S-1-5-21-2184118066-859118458-687225370-1000 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} BHO: AVG Safe Search -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -> C:\Program Files (x86)\AVG\AVG2012\avgssiea.dll No File BHO-x32: AVG Safe Search -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -> C:\Program Files (x86)\AVG\AVG2012\avgssie.dll No File Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files (x86)\AVG\AVG2012\avgpp.dll No File CustomCLSID: HKU\S-1-5-21-2184118066-859118458-687225370-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Robert\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2184118066-859118458-687225370-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Robert\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2184118066-859118458-687225370-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Robert\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2184118066-859118458-687225370-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Robert\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File C:\ProgramData\AVAST Software C:\Users\Robert\AppData\Local\Avg2014 C:\Users\Robert\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Robert\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Robert\AppData\Roaming\Mozilla C:\Users\Robert\AppData\Roaming\TuneUp Software C:\Users\Default\AppData\Roaming\TuneUp Software C:\Users\Robert\Desktop\*_Sciagnij.pl.exe Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Robert\AppData\Local CMD: dir /a C:\Users\Robert\AppData\LocalLow CMD: dir /a C:\Users\Robert\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Techgile. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy wyszukiwarkę Ask. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Powiedz mi też co jest w folderze C:\AVAST. .
  4. picasso

    Problem z programami

    picasso odpowiedział(a) na adic8 temat w Windows 7

    Temat przenoszę do działu Windows. Nie jest to problem infekcji. Był używany tu na 100% ComboFix (charakterystyczne modyfikacje, niektóre błędnie wykonane, bo ComboFix nie jest wolny od bugów) - na przyszłość: KLIK. W spoilerze tylko drobne korekty na wpisy szczątkowe, co nie ma związku ze zgłoszonymi problemami: Te objawy prędzej pasują do rejestracji wadliwego modułu / rozszerzenia powłoki. Dziennik zdarzeń jest bardzo enigmatyczny i nie wskazuje konkretów (jako moduł przyczynowy stoi biblioteka Windows, co zwykle nie jest przyczyną): Application errors: ================== Error: (11/29/2014 02:10:19 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: Explorer.exe, wersja: 6.1.7601.17567, sygnatura czasowa: 0x4d672ee4 Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.18247, sygnatura czasowa: 0x521eaf24 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x00000000000542e0 Identyfikator procesu powodującego błąd: 0x1470 Godzina uruchomienia aplikacji powodującej błąd: 0xExplorer.exe0 Ścieżka aplikacji powodującej błąd: Explorer.exe1 Ścieżka modułu powodującego błąd: Explorer.exe2 Identyfikator raportu: Explorer.exe3 Error: (11/29/2014 02:09:26 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: Explorer.EXE, wersja: 6.1.7601.17567, sygnatura czasowa: 0x4d672ee4 Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.18247, sygnatura czasowa: 0x521eaf24 Kod wyjątku: 0xc0000374 Przesunięcie błędu: 0x00000000000c4102 Identyfikator procesu powodującego błąd: 0x7d4 Godzina uruchomienia aplikacji powodującej błąd: 0xExplorer.EXE0 Ścieżka aplikacji powodującej błąd: Explorer.EXE1 Ścieżka modułu powodującego błąd: Explorer.EXE2 Identyfikator raportu: Explorer.EXE3 Error: (11/29/2014 01:47:18 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: hpConnectionManager.exe, wersja: 4.0.45.1, sygnatura czasowa: 0x4d5af464 Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.18247, sygnatura czasowa: 0x521eaf24 Kod wyjątku: 0xc0000374 Przesunięcie błędu: 0x00000000000c4102 Identyfikator procesu powodującego błąd: 0x1880 Godzina uruchomienia aplikacji powodującej błąd: 0xhpConnectionManager.exe0 Ścieżka aplikacji powodującej błąd: hpConnectionManager.exe1 Ścieżka modułu powodującego błąd: hpConnectionManager.exe2 Identyfikator raportu: hpConnectionManager.exe3 Error: (11/29/2014 01:41:22 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: POWERPNT.EXE, wersja: 14.0.6009.1000, sygnatura czasowa: 0x4cc1a4db Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.18247, sygnatura czasowa: 0x521eaf24 Kod wyjątku: 0xc0000374 Przesunięcie błędu: 0x00000000000c4102 Identyfikator procesu powodującego błąd: 0x798 Godzina uruchomienia aplikacji powodującej błąd: 0xPOWERPNT.EXE0 Ścieżka aplikacji powodującej błąd: POWERPNT.EXE1 Ścieżka modułu powodującego błąd: POWERPNT.EXE2 Identyfikator raportu: POWERPNT.EXE3 Dostarcz log z ShellExView x64. CTRL+A, by zaznaczyć wszystkie wpisy w oknie > klik w ikonkę dyskietki, by zapisać log w formacie TXT. Wstępnie: 1. Wyłącz ze startu kilka wpisów, by stwierdzić czy wnosi to coś do sprawy. W Autoruns odfajkuj następujące pozycje: - W karcie Logon: Adobe ARM, Facebook Update, Skype - W karcie Services: AdobeARMservice, Autodesk Content Service, c2cautoupdatesvc, c2cpnrsvc, SkypeUpdate. Zresetuj system. 2. Do wykonania testowa deinstalacja AVG. Niestety oprogramowanie zabezpieczające to rozbudowany układ serwisów / sterowników i przy problemach z dłuższym startem jeden z głównych podejrzanych. A deinstalacja, gdyż proste wyłączanie w opcjach nie znosi aktywności wszystkich elementów startowych. W systemie nie ma pasującej instalacji Adobe Flash. Na liście zainstalowanych są pozycje: ==================== Installed Programs ====================== Adobe Flash Player 15 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 15.0.0.239 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 16 PPAPI (HKLM-x32\...\Adobe Flash Player PPAPI) (Version: 16.0.0.233 - Adobe Systems Incorporated) ----> wtyczka dla Opera vs. 2014-11-05 16:26 - 2014-11-25 11:29 - 00000000 ____D () C:\Users\Ola\AppData\Local\OpenFM 2014-11-05 16:26 - 2014-11-05 16:26 - 00000000 ____D () C:\Users\Ola\AppData\Roaming\OpenFM 2014-11-05 16:26 - 2014-11-05 16:26 - 00000000 ____D () C:\Users\Ola\AppData\Roaming\Mozilla OpenFM chodzi na silniku Mozilla i potrzebuje innej wersji Adobe Flash (typu NPAPI): KLIK. Instalator powinien zamontować trzecią pozycję Adobe Flash Player 15 Plugin (wersja 15.0.0.239) - wersja ta jest używana przez Firefox (w systemie go nie ma, ale instalacje wtyczek są robione "na zapas") oraz alternatywnie Operę (w Operze po instalacji wejdź do spisu wtyczek i wyłącz tę wtyczkę NPAPI, bo dwie równolegle czynne wtyczki Adobe Flash mogą prowadzić do konfliktów). .
  5. picasso
    Kończymy: 1. Usuń ręcznie pobrane skanery z C:\Users\Laura\Desktop\narzedzia. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To tyle.
  6. picasso
    Bonus, logi OTL zrobione przed wykonaniem czynności podanych wyżej, więc po ich wykonaniu trzeba będzie zrobić nowe logi OTL i jak mówię FRST oraz GMER.
  7. picasso
    1. Jeszcze jedna poprawka. Nie zauważyłam, że Lenovo Solution Center został odinstalowany i pozostały po nim martwe wpisy. Do Notatnika wklej: Task: {1D6112A4-D025-4415-B959-CAFE35AAB555} - System32\Tasks\Lenovo\LSC\Time72Task => C:\Program Files\Lenovo\Lenovo Solution Center\App\LSCService.exe Task: {B5CEAA3D-E177-4E6B-B399-893894A31BD3} - System32\Tasks\Lenovo\LSC\RebootCountTask => C:\Program Files\Lenovo\Lenovo Solution Center\App\LSCService.exe Task: {DA2C0C92-3376-4472-9198-1FD1082073DD} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe C:\Users\Laura\AppData\Local\LSC C:\Users\Laura\AppData\Roaming\LSC C:\Windows\System32\Tasks\Lenovo\LSC RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner ponownie, tym razem zastosuj sekwencję Szukaj, a po tym Usuń. Dostarcz log AdwCleanerS0.txt.
  8. picasso
    Co to konkretnie oznacza, że aplikacje OTL i GMER nie chcą się włączyć? Jaki błąd? Objaśnij to. Problemów jest kilka: multum instalacji adware oraz rozwalony system Usług kryptograficznych Windows (masowy odczyt [File not signed] na wszystkich usługach i sterownikach Microsoftu). Ponadto, mam do czynienia z dziurawym niezabezpieczonym systemem, stan SP2 i IE6 (!): Platform: Microsoft Windows XP Home Edition Dodatek Service Pack 2 (X86) OS Language: Polski Internet Explorer Version 6 Działania wstępne: 1. Rozpocznij od poprawnych deinstalacji via Dodaj/Usuń programy: - Adware / niepożądane aplikacje oraz zbędniki: Ask Toolbar, Babylon toolbar on IE, BrowserCompanion, CheckRun22find_uninstaller, Desk 365, gry Toolbar, iLivid, IncrediMail MediaBar 2 Toolbar, Movies Toolbar for Chrome (Dist. by Bandoo Media, Inc.), Movies Toolbar for Internet Explorer (Dist. by Bandoo Media, Inc.), Qtrax Player, Searchqu Toolbar, Smart File Advisor 1.1.3, Torch - Stare aplikacje: Adobe Flash Player 10 Plugin, Adobe Flash Player ActiveX, Adobe Reader 9.3.2 - Polish, Java™ 6 Update 31, Java 7 Update 21, Malwarebytes Anti-Malware wersja 1.60.1.1000, OpenOffice.org 3.2, Opera 12.02 Dodatkowo, via Menu Start odinstaluj Alcohol, a następnie zastosuj SPTDinst, by przygotować podłoże do uruchomienia GMER: KLIK. 2. Uruchom narzędzie Fix It 50202 (zaznacz tryb agresywny): KLIK. To narzędzie działa na XP, a tryb agresywny resetuje bazę Usług kryptograficznych. 3. Zrób nowy log FRST z opcji Scan, ponownie zaznacz pola Addition i Shortcut, by powstały trzy logi. Potrzebny także log z GMER, by zdiagnozować na okoliczność infekcji ukrytych. Na podstawie nowych raportów będzie dalsze czyszczenie systemu. .
  9. picasso
    Wszystkie operacje udane. Poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\New Folder C:\Program Files (x86)\Opera C:\ProgramData\374311380 C:\ProgramData\AlawarWrapper C:\ProgramData\Temp C:\Users\Laura\AppData\Local\AlawarWrapper C:\Users\Laura\AppData\Local\Opera Software C:\Users\Laura\AppData\Local\Pay-By-Ads RemoveDirectory: C:\MATS RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Laura\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner. .
  10. picasso
    1. W raporcie FRST nie ma oznak wykonania tej operacji, do wdrożenia: 2. Inne mini poprawki. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKU\S-1-5-21-1868939083-3434912627-837075443-1003\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete HKU\S-1-5-21-1868939083-3434912627-837075443-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKU\S-1-5-21-1868939083-3434912627-837075443-1003\Software\Microsoft\Windows\CurrentVersion\Run /f Reg: reg delete HKU\S-1-5-21-1868939083-3434912627-837075443-1003_Classes\CLSID /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\Doctor Web DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 3. Jeśli chodzi o błąd explorer.exe, to podaj mi log z narzędzia ShellExView. CTRL+A, by zaznaczyć wszystkie wpisy w oknie > klik w ikonkę dyskietki, by zapisać log w formacie TXT. .
  11. picasso
    Post poprawiony, ale brakuje jeszcze logów z OTL i GMER. Dołącz je, a przejdę do analizy - już widzę conajmniej kilka problemów.
  12. picasso
    + [Detected Flags] 1.| Possible CryptoWall Flag , HKCU\Software\4125720CC7C6E93FDA9DBCBDC8553232\22335589ABBCCDDD Niestety nie mam dobrych wieści. To infekcja CryptoWall - odszyfrowanie danych jest niemożliwe. Listę zaszyfrowanych plików, z którymi już raczej należy się pożegnać, poda narzędzie ListCWall. Jeśli chodzi o ostatnią linijkę i "Shadow Volume Copies" (tyczy tylko dysku dla którego była czynna ochrona, czyli C) - to odpada jako metoda odzyskiwania, gdyż brak tu jakichkolwiek punktów Przywracania systemu (w logu Addition puściutko). Ta infekcja zresztą pierwsze co robi to kasuje kopie cieniowe, by odciąć tę metodę odzyskiwania. Niestety w Twojej sytuacji jedyna ewentualna droga odzyskiwania danych to użycie narzędzi do odzyskiwania danych w rodzaju TestDisk, tylko jest tu problem: Infekcja miała miejsce kilka miesięcy temu, od tego czasu na dysku były liczne operacje zapisu (aktywność samego Windows per se, instalacje programów, usuwanie infekcji skanerami) sukcesywnie odcinające możliwość odzyskiwania danych. Odzyskiwanie danych z dysku, z którego skasowano dane, wymaga całkowitego zablokowania dysku (to oznacza wyłączenie komputera i nie uruchamianie nic z tego dysku) i wykonanie kopii posektorowej. Tu jest już za późno. Widzę, że próbowałaś już narzędzi typu Advanced Disk Recovery, Ashampoo Undeleter, Active@ UNDELETE Freeware - i tu został popełniony kolejny podstawowy błąd, tzn. narzędzi do odzyskiwania danych nie wolno instalować na dysku, z którego ma być ewentualne odzyskiwanie danych, bo każda instalacja to kolejne nadpisywanie miejsc. Obawiam się, że tu nawet narzędzia do odzyskiwania danych nic już nie zdziałają i utrata danych jest pełna, dysk był zbyt długo na chodzie, były na nim liczne operacje zapisu. Nie jestem w stanie pomóc w tej kwestii. Osobna sprawa to stan Twojego systemu - nie jest czysty i trzeba wykonać dodatkowe działania usunięcia wpisów infekcji ze startu, różnych pustych wpisów oraz niebezpiecznych dziurawych wersji aplikacji (jedna z dróg infekcji). Pod tym kątem przeprowadź następujące operacje: 1. Przez Panel sterowania odinstaluj stare niebezpieczne wersje Java™ 6 Update 22, Java 7 Update 9, Java 7 Update 45 (64-bit), Java SE Development Kit 7 Update 4 (64-bit), JavaFX 2.1.0, JavaFX 2.1.0 (64-bit), JavaFX 2.1.0 SDK, OpenOffice.org 3.3 oraz MyWinLocker Suite (liczne puste wpisy wskazujące na częściową deinstalację lub uszkodzenie aplikacji firmowej). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 MWLService; C:\Program Files (x86)\EgisTec MyWinLocker\x86\MWLService.exe [X] HKLM-x32\...\Run: [suiteTray] => "C:\Program Files (x86)\EgisTec MyWinLockerSuite\x86\SuiteTray.exe" HKLM-x32\...\Run: [EgisUpdate] => "C:\Program Files (x86)\EgisTec IPS\EgisUpdate.exe" -d HKLM-x32\...\Run: [EgisTecPMMUpdate] => "C:\Program Files (x86)\EgisTec IPS\PmmUpdate.exe" HKLM-x32\...\Run: [HCKUWinT32] => C:\Users\asik\AppData\Local\Temp\74423.exe HKLM-x32\...\Run: [updatesvc] => C:\Users\asik\AppData\Roaming\Microsoft\Windows\updater.exe HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Run: [EA Core] => "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Run: [HCKUWinT32] => C:\Users\asik\AppData\Local\Temp\74423.exe HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Run: [HCKUwinAPl32] => C:\Users\asik\AppData\Local\Temp\ctfmon HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Run: [HCKUWinLogon] => C:\Users\asik\AppData\Roaming\Microsoft\winapi32.exe HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Run: [umccmedia Update] => regsvr32.exe C:\Users\asik\AppData\Local\Umccmedia\ASMtwk215A.dll HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Run: [syshost32] => C:\Users\asik\AppData\Local\{A3F47E8A-1EAD-F243-09D3-8C87E77A94D2}\syshost.exe HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\MountPoints2: {33e86f50-201e-11e1-90a6-d027881e4eee} - I:\Setup.exe HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\MountPoints2: {3d46175b-4db9-11e1-9d9f-d027881e4eee} - K:\BSAutoRun.exe HKU\S-1-5-18\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-18\...\Policies\Explorer: [HideSCAHealth] 0 ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers-x32: [egisPSDP] -> {30A0A3F6-38AC-4C53-BB8B-0D95238E25BA} => C:\Program Files (x86)\EgisTec MyWinLocker\x86\psdprotect.dll No File SearchScopes: HKU\S-1-5-21-4115932480-3245688130-3507196491-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4115932480-3245688130-3507196491-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4115932480-3245688130-3507196491-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search?q={searchTerms} BHO: McAfee SiteAdvisor BHO -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> c:\PROGRA~2\mcafee\SITEAD~1\x64\mcieplg.dll No File BHO-x32: McAfee SiteAdvisor BHO -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll No File Toolbar: HKLM - McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~2\mcafee\SITEAD~1\x64\mcieplg.dll No File Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll No File Toolbar: HKLM-x32 - McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll No File Toolbar: HKLM-x32 - No Name - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No File Toolbar: HKU\S-1-5-21-4115932480-3245688130-3507196491-1000 -> No Name - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No File Toolbar: HKU\S-1-5-21-4115932480-3245688130-3507196491-1000 -> DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll No File Handler: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll No File Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll No File CustomCLSID: HKU\S-1-5-21-4115932480-3245688130-3507196491-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\asik\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File Task: {1BCBA46A-4328-4A44-B751-879F7AC109E0} - System32\Tasks\{EE67A2B4-EF83-4D53-A14B-23538328CAAF} => C:\Users\asik\Downloads\ChomikBox\Homefront.Repack-Gardzij.exe Task: {52BB55E6-DE09-4ECE-B435-0DB2215DB008} - System32\Tasks\{790DABDA-1D19-4121-9339-D3AF0655B2AE} => C:\Users\asik\Downloads\ChomikBox\Homefront.Repack-Gardzij.exe Task: {5B3E48EB-E352-4C77-A9B0-AC9A49089186} - System32\Tasks\{D3977E4B-72C3-4075-BDDF-868EF0CB8253} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.367&LastError=404 CHR HKLM-x32\...\Chrome\Extension: [lpoimibckejjdjcfbdnajaicnklhfplh] - https://chrome.google.com/webstore/detail/lpoimibckejjdjcfbdnajaicnklhfplh [2014-07-14] CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx [2012-08-29] FF HKLM-x32\...\Firefox\Extensions: [{B7082FAA-CB62-4872-9106-E42DD88EDE45}] - C:\Program Files (x86)\McAfee\SiteAdvisor FF HKLM-x32\...\Firefox\Extensions: [{23fcfd51-4958-4f00-80a3-ae97e717ed8b}] - C:\Program Files (x86)\DivX\DivX Plus Web Player\firefox\DivXHTML5 FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File C:\Program Files (x86)\mozilla firefox\plugins C:\Users\asik\scan_results C:\Users\asik\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\asik\Downloads\*(*)-dp*.exe C:\Windows\SysWOW64\sho*.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. W Google Chrome: - Ustawienia > karta Rozszerzenia > odinstaluj odpadek po McAfee SiteAdvisor - Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .
  13. picasso
    Multum obiektów adware w systemie, a liczba sterowników adware aktywnie ładowana jest ogłuszająca. Wdróż te działania: 1. Deinstalacje: - Przez Panel sterowania odinstaluj adware SmarterPower, WindowsMangerProtect20.0.0.722. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis po McAfee Shared C Run-time for x64 > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {06b330c2-0607-4547-8f68-86805edbaa23}Gw64; C:\Windows\System32\drivers\{06b330c2-0607-4547-8f68-86805edbaa23}Gw64.sys [48792 2014-10-17] (StdLib) R1 {24616444-765b-4b21-a0d9-3f0c17b29bfe}w64; C:\Windows\System32\drivers\{24616444-765b-4b21-a0d9-3f0c17b29bfe}w64.sys [48832 2014-11-29] (StdLib) R1 {2f1ed632-8cc1-4969-916a-211c6b0412c1}Gw64; C:\Windows\System32\drivers\{2f1ed632-8cc1-4969-916a-211c6b0412c1}Gw64.sys [48792 2014-10-13] (StdLib) R1 {397e3208-0393-47ca-9748-370b27e14021}Gw64; C:\Windows\System32\drivers\{397e3208-0393-47ca-9748-370b27e14021}Gw64.sys [48792 2014-10-19] (StdLib) R1 {4059f7a9-d023-4137-a1c8-01f0f6fe6110}Gw64; C:\Windows\System32\drivers\{4059f7a9-d023-4137-a1c8-01f0f6fe6110}Gw64.sys [48792 2014-10-19] (StdLib) R1 {4b6b588f-fe6d-43d5-96e6-6583434569cd}Gw64; C:\Windows\System32\drivers\{4b6b588f-fe6d-43d5-96e6-6583434569cd}Gw64.sys [48792 2014-10-15] (StdLib) R1 {5eeb83d0-96ea-4249-942c-beead6847053}Gw64; C:\Windows\System32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw64.sys [44696 2014-09-16] (StdLib) R1 {651e31c1-db10-434b-a173-a9b0e6a15ce0}Gw64; C:\Windows\System32\drivers\{651e31c1-db10-434b-a173-a9b0e6a15ce0}Gw64.sys [48792 2014-10-21] (StdLib) R1 {807699ff-a8ae-4ba9-8010-fe7f44646ff9}Gw64; C:\Windows\System32\drivers\{807699ff-a8ae-4ba9-8010-fe7f44646ff9}Gw64.sys [48792 2014-10-17] (StdLib) R1 {b52a596e-357b-4007-9a88-5592a17b1be9}Gw64; C:\Windows\System32\drivers\{b52a596e-357b-4007-9a88-5592a17b1be9}Gw64.sys [48792 2014-10-12] (StdLib) R1 {b6d2616c-64d9-4cf8-b476-cbd886546a36}Gw64; C:\Windows\System32\drivers\{b6d2616c-64d9-4cf8-b476-cbd886546a36}Gw64.sys [48792 2014-10-16] (StdLib) R1 {bf167862-9559-4b38-94c6-2e5edae3632c}Gw64; C:\Windows\System32\drivers\{bf167862-9559-4b38-94c6-2e5edae3632c}Gw64.sys [48792 2014-10-11] (StdLib) R1 {e168bb47-74a7-440b-bf7d-d17153007d6b}Gw64; C:\Windows\System32\drivers\{e168bb47-74a7-440b-bf7d-d17153007d6b}Gw64.sys [48792 2014-10-11] (StdLib) R1 {efa349b9-003c-4506-9e55-957c1cff853c}Gw64; C:\Windows\System32\drivers\{efa349b9-003c-4506-9e55-957c1cff853c}Gw64.sys [48792 2014-10-23] (StdLib) R1 {efa349b9-003c-4506-9e55-957c1cff853c}w64; C:\Windows\System32\drivers\{efa349b9-003c-4506-9e55-957c1cff853c}w64.sys [48832 2014-11-11] (StdLib) R1 {fa50efa5-2c2a-4d8c-b58d-b9548ceccd2b}Gw64; C:\Windows\System32\drivers\{fa50efa5-2c2a-4d8c-b58d-b9548ceccd2b}Gw64.sys [48792 2014-10-10] (StdLib) R1 {fc8e6a5c-9413-4b64-b2fd-0aad0e9e50eb}Gw64; C:\Windows\System32\drivers\{fc8e6a5c-9413-4b64-b2fd-0aad0e9e50eb}Gw64.sys [48792 2014-10-17] (StdLib) R1 {fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}Gw64; C:\Windows\System32\drivers\{fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}Gw64.sys [48792 2014-10-13] (StdLib) R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [715656 2014-09-16] (Cherished Technololgy LIMITED) R2 MaintainerSvc7.71.837357; C:\ProgramData\66d59f5c-9429-4c86-9f63-c339daeaabaf\maintainer.exe [123680 2014-11-29] () R2 Update SmarterPower; C:\Program Files (x86)\SmarterPower\updateSmarterPower.exe [525600 2014-11-29] () R2 Util SmarterPower; C:\Program Files (x86)\SmarterPower\bin\utilSmarterPower.exe [525600 2014-11-29] () R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [528896 2014-09-16] (Fuyu LIMITED) [File not signed] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1410849486&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9DD832937&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1410849486&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9DD832937&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1410849486&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9DD832937&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1410849486&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9DD832937&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1410849486&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9DD832937 BHO-x32: SmarterPower 1.0.0.4 -> {bd7c9b62-a7d9-4405-be51-7fd633f08791} -> C:\Program Files (x86)\SmarterPower\SmarterPowerBHO.dll (SmarterPower) CustomCLSID: HKU\S-1-5-21-3068575985-1883321796-1181531582-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Laura\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File ShellIconOverlayIdentifiers: [sugarSyncBackedUp] -> {0C4A258A-3F3B-4FFF-80A7-9B3BEC139472} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File ShellIconOverlayIdentifiers: [sugarSyncPending] -> {62CCD8E3-9C21-41E1-B55E-1E26DFC68511} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File ShellIconOverlayIdentifiers: [sugarSyncRoot] -> {A759AFF6-5851-457D-A540-F4ECED148351} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File ShellIconOverlayIdentifiers: [sugarSyncShared] -> {1574C9EF-7D58-488F-B358-8B78C1538F51} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey Winlogon\Notify\igfxcui: igfxdev.dll [X] HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" C:\Program Files (x86)\SmarterPower C:\ProgramData\66d59f5c-9429-4c86-9f63-c339daeaabaf C:\ProgramData\IePluginServices C:\ProgramData\AVAST Software C:\ProgramData\McAfee C:\ProgramData\WindowsMangerProtect C:\Users\Laura\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Laura\AppData\Roaming\eCyber C:\Users\Laura\AppData\Roaming\Opera Software C:\Users\Laura\AppData\Roaming\WebExtend C:\Windows\System32\drivers\{06b330c2-0607-4547-8f68-86805edbaa23}Gw64.sys C:\Windows\System32\drivers\{24616444-765b-4b21-a0d9-3f0c17b29bfe}w64.sys C:\Windows\System32\drivers\{2f1ed632-8cc1-4969-916a-211c6b0412c1}Gw64.sys C:\Windows\System32\drivers\{397e3208-0393-47ca-9748-370b27e14021}Gw64.sys C:\Windows\System32\drivers\{4059f7a9-d023-4137-a1c8-01f0f6fe6110}Gw64.sys C:\Windows\System32\drivers\{4b6b588f-fe6d-43d5-96e6-6583434569cd}Gw64.sys C:\Windows\System32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw64.sys C:\Windows\System32\drivers\{651e31c1-db10-434b-a173-a9b0e6a15ce0}Gw64.sys C:\Windows\System32\drivers\{807699ff-a8ae-4ba9-8010-fe7f44646ff9}Gw64.sys C:\Windows\System32\drivers\{b52a596e-357b-4007-9a88-5592a17b1be9}Gw64.sys C:\Windows\System32\drivers\{b6d2616c-64d9-4cf8-b476-cbd886546a36}Gw64.sys C:\Windows\System32\drivers\{bf167862-9559-4b38-94c6-2e5edae3632c}Gw64.sys C:\Windows\System32\drivers\{e168bb47-74a7-440b-bf7d-d17153007d6b}Gw64.sys C:\Windows\System32\drivers\{efa349b9-003c-4506-9e55-957c1cff853c}Gw64.sys C:\Windows\System32\drivers\{efa349b9-003c-4506-9e55-957c1cff853c}w64.sys C:\Windows\System32\drivers\{fa50efa5-2c2a-4d8c-b58d-b9548ceccd2b}Gw64.sys C:\Windows\System32\drivers\{fc8e6a5c-9413-4b64-b2fd-0aad0e9e50eb}Gw64.sys C:\Windows\System32\drivers\{fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}Gw64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v mcui_exe /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Laura\AppData\Local CMD: dir /a C:\Users\Laura\AppData\LocalLow CMD: dir /a C:\Users\Laura\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .
  14. picasso
    W systemie są wprawdzie odpadki Bitcoin minera (co wyjaśniałoby wysokie obciążenie i "wycie"), ale to obiekt już nie ładowany, więc objawy nie są wynikiem infekcji. W Dzienniku zdarzeń jest powtarzający się błąd sugerujący trop sprzętowy: System errors: ============= Error: (11/29/2014 02:45:51 PM) (Source: atapi) (EventID: 11) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Ide\IdePort0. Temat przenoszę do działu Hardware na dalszą diagnostykę. Wymagane inne dane: KLIK. PS. O niektórych pozycjach należy zapomnieć raz na zawsze. Ad-Aware SE Personal to archaizm sprzed wielu lat i dziś w ogóle nieużytkowy, a RegClean-Pro to niepożądany program (klasyfikacja "PUP", reklamiarz i mało wiarygodne wyniki)! W spoilerze doczyszczanie systemu ze śmieci oraz wyłączenie usługi nVidia produkującej poniższe błędy: Application errors: ================== Error: (11/29/2014 02:11:15 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcNvVAD initialization failed [6] Error: (11/29/2014 02:11:15 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0] .
  15. picasso
    baobei, proszę podać konkretne dane wymagane działem, czyli obowiązkowe logi: KLIK. Dodatkowo, skoro jest tu problem z zaszyfrowanymi danymi proszę o odczyt z narzędzia ID Tool, który ma wbudowaną identyfikację infekcji szyfrujących. Owszem, może się okazać, że dane są niemożliwe do odszyfrowania. Obecnie grasują infekcje, które generują klucze dekrypcji na serwerach malware, w oparciu o mocne algorytmy szyfrowania, hasła są nie do złamania. Na razie nie wiadomo o jakim typie infekcji tu mowa.
  16. picasso
    Istotnie, są tu wysoce niepożądane elementy adware zainstalowane, które jak najbardziej mogą wyjaśniać obniżenie wydajności. Akcja: 1. Przez Panel sterowania odinstaluj adware Hold Page, Interenet Optimizer, sweet-page uninstall. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64; C:\Windows\System32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64.sys [48784 2014-10-08] (StdLib) R1 {f0087990-17d0-4537-ad91-6a7a9c5c1b37}Gw64; C:\Windows\System32\drivers\{f0087990-17d0-4537-ad91-6a7a9c5c1b37}Gw64.sys [48776 2014-11-27] (StdLib) R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [705416 2014-09-24] (Cherished Technololgy LIMITED) R2 Update Hold Page; C:\Program Files (x86)\Hold Page\updateHoldPage.exe [525552 2014-11-28] () R2 Util Hold Page; C:\Program Files (x86)\Hold Page\bin\utilHoldPage.exe [525552 2014-11-28] () AppInit_DLLs: C:\PROGRA~3\INTERE~1\INTERE~2.DLL => C:\ProgramData\Interenet Optimizer\InterenetOptimizer_x64.dll [4302848 2014-11-22] () AppInit_DLLs-x32: c:\progra~3\intere~1\intere~1.dll => c:\ProgramData\Interenet Optimizer\InterenetOptimizer.dll [4125696 2014-11-22] () ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX ShortcutWithArgument: C:\Users\Filip komp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX ShortcutWithArgument: C:\Users\Filip komp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX ShortcutWithArgument: C:\Users\Filip komp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX HKU\S-1-5-21-1183563886-1740424818-487961910-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX&q={searchTerms} SearchScopes: HKU\S-1-5-21-1183563886-1740424818-487961910-1001 -> DefaultScope {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} SearchScopes: HKU\S-1-5-21-1183563886-1740424818-487961910-1001 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\SupTab\SupTab.dll (Thinknice Co. Limited) BHO-x32: Hold Page 1.0.0.4 -> {6c14185e-4de6-4a79-985b-19f23fd1e638} -> C:\Program Files (x86)\Hold Page\HoldPagebho.dll (Hold Page) C:\Program Files (x86)\Hold Page C:\Program Files (x86)\SupTab C:\ProgramData\374311380 C:\ProgramData\IePluginServices C:\ProgramData\Interenet Optimizer C:\Users\Filip komp\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Filip komp\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\Filip komp\AppData\Roaming\SupTab C:\Users\Filip komp\AppData\Roaming\sweet-page C:\Users\Filip komp\Downloads\need-for-speed-most-wanted*.exe C:\Windows\System32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64.sys C:\Windows\System32\drivers\{f0087990-17d0-4537-ad91-6a7a9c5c1b37}Gw64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Filip komp\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Filip komp\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a "C:\Users\Filip komp\AppData\Local" CMD: dir /a "C:\Users\Filip komp\AppData\LocalLow" CMD: dir /a "C:\Users\Filip komp\AppData\Roaming" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .
  17. picasso
    Temat zostaje przeniesiony, na razie do działu Windows. Brak jakichkolwiek oznak infekcji. PS. Na przyszłość: brak trzeciego raportu FRST Shortcut, tu już nieistotne, gdyż problem jest w innym obszarze niż skróty LNK. Rzucają się w oczy dwie sprawy: 1. Na liście zainstalowanych oraz w Dzienniku zdarzeń są identyczne pozycje związane z AMD Quick Stream jak w tym temacie: KLIK. ==================== Installed Programs ====================== AMD Quick Stream (HKLM\...\{E9EED4AE-682B-4501-9574-D09A21717599}_is1) (Version: 3.4.4.2 - AppEx Networks) System errors: ============= Error: (11/29/2014 00:10:58 AM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi AppEx Networks Accelerator LWF z powodu następującego błędu: %%31 Error: (11/29/2014 00:10:58 AM) (Source: APXACC) (EventID: 1003) (User: ) Description: The NDIS6 LWF initialization has failed. (0xC0000001) 2. Jeśli AMD Quick Stream nie okaże się powiązany, weryfikacja czy komunikacji nie blokuje firewall ESET. Na próbę całkowicie odinstaluj ESET Endpoint Security i podaj jakie są rezultaty tej operacji oraz nowy log FRST (bez Addition i Shortcut) potwierdzający usunięcie sterowników ESET. .
  18. picasso
    W takiej sytuacji powstrzymałabym się z dalszymi działaniami i poczekałabym jeszcze, by potwierdzić, że usunięcie sterownika adware rzeczywiście rozwiązało problem. Gdyby jednak powtórzyła się historia ze sterownikiem ekranu, wtedy aktualizacja jest na tapecie.
  19. picasso
    Sprawdź czy błąd występuje po tymczasowej deaktywacji Norton Internet Security. Nie rozumiem, skąd tu "błąd składni". Czy na pewno plik ręcznie usuwasz a nie próbujesz go otwierać? .
  20. picasso
    To nie jest z kolei mój Fix tylko inny podany przez kogoś innego. Wyszło szydło z worka - temat był bezsensownie robiony równocześnie na dwóch forach, a mówię przecież w zasadach, że to jedna z podstawowych informacji, bo przetwarzanie tego samego tematu równocześnie mija się z celem i prowadzi do błędów. Proszę o link do alternatywnego tematu oraz dostarczenie drugiego "środkowego" pliku C:\FRST\Logs\Fixlog_data_czas.txt (między najstarszym a najnowszym).
  21. picasso
    Ten jeden klucz jest dokumentnie zablokowany po Fix, zgłosiłam to autorowi i czekam na odpowiedź. Natomiast w międzyczasie: 1. Przez SHIFT+DEL skasuj te katalogi z dysku, to falsyfikaty kont dorobione przez adware: C:\Users\Administrator C:\Users\Gość C:\Users\HomeGroupUser$ 2. W AdwCleaner zastosuj sekwencję Szukaj + Usuń. Pytam czy błąd sterownika ekranu występuje już po usunięciu sterownika adware, gdyż był tu przypadek na forum z podobnym sterownikiem grupy Sambreel generującym konflikt z graficznym. Z opisu mam rozumieć, że błąd sterownika ekranu jest nadal na miejscu? Jeśli tak, to efekt wskazuje na obszar sterowników graficznych i/lub sprzętu per se i temat przesunę do działu Hardware na dalszą diagnostykę. Wstępnie - zacznij od próby aktualizacji sterownika - sterownik jest stary (brandowanie ATI, obecnie AMD): DRV - [2009-08-18 03:48:06 | 004,994,560 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\atikmdag.sys -- (atikmdag) .
  22. picasso
    Fix wykonany, dokasuj jeszcze ten plik z dysku: C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\pt5exhs9.default\user.js. Ale co konkretnie się dzieje, jaki błąd? Widziałam ten błąd WMI numer 10 już wcześniej w Addition. To błąd który nie ma wpływu na system i może zostać zignorowany, jego likwidacja to pudrowanie Dziennika zdarzeń. Błąd zlikwiduje narzędzie Fix it z artykułu KB2545227. .
  23. picasso
    Zadania wykonane, poprawki: 1. Jeden z wpisów dziwnie wygląda po opcji Fix (choć Fix nie ruszał tego wejścia). Podaj dane o nim - otwórz Notatnik i wklej w nim: Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /s ListPermissions: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes ListPermissions: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} RemoveDirectory: C:\Users\Damian\AppData\Roaming\HpUpdate RemoveDirectory: C:\Users\Damian\Desktop\Stare dane programu Firefox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz Szukaj i dostarcz log z folderu C:\AdwCleaner. Pozostałe problemy z siecią mogą już wynikać z aktywności Kaspersky Internet Security. Oprogramowanie mocno ingerujące w aktywność sieciową. A co z "błędem sterownika ekranu"? .
  24. picasso
    Wdróż następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw.sys [52920 2014-04-28] (StdLib) HKLM\...\Run: [] => [X] HKLM\...\Run: [fst_pl_146] => [X] HKLM\...\Run: [t4pc_en_7] => [X] Task: {4C620EA0-3D2F-4B25-9B7B-1CC851A210CA} - \SW-Booster-S-2112667740 No Task File Task: C:\Windows\Tasks\SW-Booster-S-2112667740.job => c:\programdata\wideblue installer\sw-booster\SW-Booster.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction FF Extension: seave on - C:\Program Files\Mozilla Firefox\browser\extensions\anykyqhj@bbauogixyi.co.uk [2014-11-10] FF Extension: MySearch - C:\Program Files\Mozilla Firefox\browser\extensions\eao6ztgc@mojz-srxg.com [2014-11-10] FF Extension: save on - C:\Program Files\Mozilla Firefox\browser\extensions\oiq1-sppb@aayooeua.edu [2014-11-10] FF Extension: MySearch - C:\Program Files\Mozilla Firefox\browser\extensions\qbagwu@kpgxuth.edu [2014-11-10] FF Extension: Adblocker - C:\Program Files\Mozilla Firefox\browser\extensions\t1bjkd.fe@aaaolreyi-.net [2014-11-10] HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1404135934&from=smt&uid=395049983_1052451_48E04D95&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1404135934&from=smt&uid=395049983_1052451_48E04D95&q={searchTerms} HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction SearchScopes: HKLM -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.fastsearchings.info/?l=1&q={searchTerms}&pid=2145&r=2014/06/30&hid=13539960392910098093&lg=EN&cc=PL&unqvl=56 SearchScopes: HKU\S-1-5-21-927793373-3573720154-1526932553-1000 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.fastsearchings.info/?l=1&q={searchTerms}&pid=2145&r=2014/06/30&hid=13539960392910098093&lg=EN&cc=PL&unqvl=56 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk C:\ProgramData\TEMP C:\Users\Damian\AppData\Local\Google C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ROC_roc_ssl_v12" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TrustPortDiskProtectionWatchDog" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{4820778D-AB0D-6D18-C316-52A6A0E1D507} /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{c67abfdb} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Specjalny skrót IE jest uszkodzony: Shortcut: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się jak działa system. .
  25. picasso
    Temat przenoszę do działu diagnostyki infekcji. W systemie działa inwazyjny sterownik adware {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw.sys, który może wpływać negatywnie na system. Poza tym śmietnik adware w Firefox. Zanim podam instrukcje potrzebne solidne dane: Szkopuł w tym, że dostarczyłeś logi z kompletnie przeterminowanej wersji FRST (brak nowych komend, skanów i poprawek): Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 15-01-2014 03 (ATTENTION: ====> FRST version is 317 days old and could be outdated) FRST jest aktualizowany w tempie 1 lub 2 wersje na tydzień i zawsze musi być pobierany od nowa. Proszę pobrać najnowszy FRST z linka w przyklejonym: KLIK. I od nowa zrobić wszystkie skany, mają powstać 3 pliki a nie 2, brakuje pliku Shortcut. .
×
×
  • Dodaj nową pozycję...