picasso

Na razie nie instaluj żadnych antywirusów, w pierwszej kolejności posprzątaj sytem > potem będzie kompleksowa aktualizacja Windows > na szarym końcu antywirus.

Tak, to celowe, to zresztą starsza edycja. Aktualna wersja to 2015.

To jest nieinwazyjny skaner "trybu tylko do odczytu". To dopiero napisanie i uruchomienie skryptu w tym programie robi modyfikacje.

Na przyszłość: proszę pliki wstawiaj jako załączniki forum. Jest mnóstwo obiektów adware, na dodatek adware przekonwertowało całą instalację Google Chrome z wersji bezpieczniejszej "stabilnej" do "development" (brak blokad, otwarcie na modyfikacje adware) i będzie wymagana kompleksowa reinstalacja przeglądarki. Wykonaj następujące działania: 1. Przez Panel sterowania odinstaluj adware i programy mające adware w instalatorze: Badoo Desktop, KMP Service, SW-Sustainer 1.80, The AdBlocker, YTD Video Downloader 4.8.6. Ponasto odinstaluj Google Chrome, a przy instalacji zaznacz Usuń także dane przeglądarki. Resztę doczyszczą poniższe działania. Nie instaluj na razie nowej wersji Google. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61120 2014-03-29] (StdLib) S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 TBPanel; No ImagePath S3 TunngleService; C:\Program Files (x86)\Tunngle\TnglCtrl.exe [X] S3 WacHidRouter; system32\DRIVERS\wachidrouter.sys [X] S3 wacomrouterfilter; system32\DRIVERS\wacomrouterfilter.sys [X] HKU\S-1-5-21-3724469618-242166347-3749715061-1000\...\Run: [NextLive] => C:\Windows\SysWOW64\rundll32.exe "C:\Users\Adam\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l AlternateShell: Task: {2230A824-E703-45E6-8DB4-DA0D0EE5D78E} - \{EF5A4249-FA3E-459D-BF87-2A8A47BF9F2A} No Task File Task: {5F484F85-E8D9-4C88-84EE-3F475C0BA202} - \SaveSense No Task File Task: {62FA799B-4B8E-48C7-8DAB-35BA3A6E3020} - \SaveSenseLiveUpdateTaskMachineCore No Task File Task: {69358E9A-D435-43EA-B30A-A83FAF18545F} - \{0E453262-998C-41F0-9929-DA8637582B95} No Task File Task: {80344E5A-0B27-49E4-BA12-A77523122466} - \SaveSenseLiveUpdateTaskMachineUA No Task File Task: {9065987E-F5C5-4267-9104-22E83E7DA102} - \Dealply No Task File Task: {944D61C2-CC19-4480-9A89-EFA290EFAA22} - \FoxTab No Task File Task: {9A9A2D1C-8A4A-498A-9B91-8AE9811246F3} - \{7A023EA5-ED84-454F-B3EF-C66ECEBE8C38} No Task File Task: {B561494C-F2F2-4FD7-A741-850511644226} - \{FDF7B1E1-F622-4A05-B0CC-DA8B6118E35E} No Task File Task: {C3D64719-97E7-4778-A216-C472DBB6192A} - \{B8B2F471-A228-481C-AC19-C142A2E33098} No Task File Task: {EB69CB1F-2C61-44BE-8FB8-5611D51D7FE8} - \{6D2E1E32-2367-4599-807E-91177668631D} No Task File Task: {EC49F268-7B91-47BA-AF69-C03168C75AE1} - \SW-Booster-S-5644911192 No Task File Task: C:\Windows\Tasks\Dealply.job => C:\Users\Adam\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\FoxTab.job => C:\Users\Adam\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\SaveSense.job => C:\Users\Adam\AppData\Roaming\SAVESE~1\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineCore.job => C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe Task: C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineUA.job => C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe Task: C:\Windows\Tasks\SW-Booster-S-5644911192.job => c:\programdata\appready software\sw-booster\SW-Booster.exe CustomCLSID: HKU\S-1-5-21-3724469618-242166347-3749715061-1000_Classes\CLSID\{092dfa86-5807-5a94-bf3b-5a53ba9e5308}\InprocServer32 -> C:\Program Files\TabletPlugins\npWacomTabletPlugin.dll No File HKU\S-1-5-21-3724469618-242166347-3749715061-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://badoo.com/startpage/ HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/ StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM-x32 -> DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchsun.info/?l=1&q={searchTerms}&pid=1089&r=2014/05/08&hid=9426933010642729756&lg=EN&cc=PL&unqvl=52 SearchScopes: HKLM-x32 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchsun.info/?l=1&q={searchTerms}&pid=1089&r=2014/05/08&hid=9426933010642729756&lg=EN&cc=PL&unqvl=52 SearchScopes: HKU\S-1-5-21-3724469618-242166347-3749715061-1000 -> {8A244612-A1F7-11E0-95C0-E71F4824019B} URL = http://badoo.com/startpage/?source=bsb&q={searchTerms} SearchScopes: HKU\S-1-5-21-3724469618-242166347-3749715061-1000 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchsun.info/?l=1&q={searchTerms}&pid=1089&r=2014/05/08&hid=9426933010642729756&lg=EN&cc=PL&unqvl=52 BHO: DDownSaVe -> {EDA8C5D6-9128-C3A7-059D-76FCAF63C667} -> C:\ProgramData\DDownSaVe\GNX_PrhFgS.x64.dll () BHO-x32: No Name -> {0f21b1e5-5afc-43c9-9c66-515046e92ec2} -> No File BHO-x32: No Name -> {EDA8C5D6-9128-C3A7-059D-76FCAF63C667} -> No File FF Plugin-x32: @esn.me/esnsonar,version=0.70.4 -> C:\Program Files (x86)\Battlelog Web Plugins\Sonar\0.70.4\npesnsonar.dll No File FF Plugin-x32: @esn/esnlaunch,version=2.3.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.3.0\npesnlaunch.dll No File FF Plugin-x32: @esn/npbattlelog,version=2.5.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.0\npbattlelog.dll No File FF Plugin-x32: @tools.updaterss.com/SaveSenseLive Update;version=3 -> C:\Program Files (x86)\SaveSenseLive\Update\1.3.23.0\npGoogleUpdate3.dll No File FF Plugin-x32: @tools.updaterss.com/SaveSenseLive Update;version=9 -> C:\Program Files (x86)\SaveSenseLive\Update\1.3.23.0\npGoogleUpdate3.dll No File FF Plugin HKU\S-1-5-21-3724469618-242166347-3749715061-1000: wacom.com/WacomTabletPlugin -> C:\Program Files\TabletPlugins\npWacomTabletPlugin.dll No File FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird FF HKLM-x32\...\Firefox\Extensions: [{23fcfd51-4958-4f00-80a3-ae97e717ed8b}] - C:\Program Files (x86)\DivX\DivX Plus Web Player\firefox\DivXHTML5 C:\Program Files (x86)\Google C:\ProgramData\c086bd6dc01d96f0 C:\ProgramData\BaItoSAveeeR C:\ProgramData\DIIgiSaveR C:\ProgramData\DDownSaVe C:\ProgramData\DownSaeve C:\ProgramData\ExstraSavingis C:\ProgramData\RanddomPRice C:\ProgramData\SHopiDrOOpp C:\ProgramData\SNT C:\ProgramData\Microsoft\Windows\Start Menu\Programs\INTERIA.PL C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PANDORATV C:\Users\Adam\AppData\Local\Google C:\Users\Adam\AppData\Local\Mobogenie C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HDPlayer C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SaveSense C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Lollipop C:\Users\Adam\AppData\Roaming\newnext.me C:\Users\Adam\AppData\Roaming\Wacom C:\Users\Administrator C:\Users\Gość C:\Users\UpdatusUser\Local\Google C:\Users\UpdatusUser\Desktop\*.lnk C:\Windows\System32\drivers\wStLibG64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Adam\AppData\Local CMD: dir /a C:\Users\Adam\AppData\LocalLow CMD: dir /a C:\Users\Adam\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Akcja wykonana i kończymy: 1. Zastosuj DelFix (pobrany GMER dokasuj ręcznie) oraz wyczyść foldery Przywracania systemu: KLIK. 2. Zainstaluj ochronę Malwarebytes Anti-Exploit (dostępna darmowa edycja). Antywirusa dobierz już na własną rękę jaki Ci pasuje.

Skoro kompleksowa reinstalacja IE nie pomogła w tej kwestii, to sprawdź czy nie bruździ antywirus. Tymczasowo odinstaluj Microsoft Security Essentials.

Porównaj co jest w moim poście a co w Twoim pliku. Wszystkie linie sklejone, prawie nic nie wykonane (z wyjątkiem pierwszej linii). Rób ponownie plik w Notatniku (z wyłączeniem piewszej linii "BHO") - wszystkie przejścia do nowej linii mają wyglądać jak w moim poście.

Drobne poprawki. Otwórz Notatnik i wklej: BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File FF Plugin: @mcafee.com/McAfeeMssPlugin -> C:\Program Files\McAfee Security Scan\3.8.141\npMcAfeeMss.dll No File RemoveDirectory: C:\FRST-OlderVersion RemoveDirectory: C:\Program Files\Java RemoveDirectory: C:\Program Files\MyFree Codec DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Zaprezentuj wynikowy fixlog.txt.

Poprawki po deinstalacjach: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM -> {52db1893-8a90-4192-aede-08e00b8f8473} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=102&systemid=473&v=a12627-321&apn_uid=1643527424044948&apn_dtid=BND101&o=APN10640&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope value is missing. SearchScopes: HKLM-x32 -> {52db1893-8a90-4192-aede-08e00b8f8473} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=102&systemid=473&v=a12627-321&apn_uid=1643527424044948&apn_dtid=BND101&o=APN10640&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKU\S-1-5-21-1426544918-4287153667-4002854426-1000 -> {52db1893-8a90-4192-aede-08e00b8f8473} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=102&systemid=473&v=a12627-321&apn_uid=1643527424044948&apn_dtid=BND101&o=APN10640&apn_ptnrs=AG1&q={searchTerms} BHO: GoSave -> {344cf3da-226d-44e5-a9fc-b35a6ef6fe73} -> C:\Program Files (x86)\GoSave\5pOe2lsmrw7F39.x64.dll () BHO-x32: ividi Helper Object -> {8B8B2E80-1444-451D-AC8E-EB9A847F3887} -> No File FF Plugin: @java.com/DTPlugin,version=10.9.2 -> C:\Windows\system32\npDeployJava1.dll (Oracle Corporation) FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.25.5\npGoogleUpdate3.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.25.5\npGoogleUpdate3.dll No File HKU\S-1-5-21-1426544918-4287153667-4002854426-1000\Software\Classes\.exe: exefile => HKU\S-1-5-21-1426544918-4287153667-4002854426-1000\Software\Classes\exefile: Task: {2DA53D18-A819-4A00-A39F-D1977031307A} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {6C876B64-63C3-4A04-95D6-0E4305EAB7DC} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {92DDBE32-1C6B-4F0E-A36D-1DBC6420748D} - \{7198BCD2-5516-44A3-9BE2-3D71D2AA22B5} No Task File Task: {E2E4E837-840B-4CFE-8AEC-CF92056ACEE7} - \{34FA21AB-A024-4E8B-9476-75E3B4E96B95} No Task File Task: {FED80F90-CB41-4F39-B1B0-2A7B0302B7FB} - System32\Tasks\GS_Booster-S-576482620 => c:\programdata\trusted publisher\gs_booster\GS_Booster.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GS_Booster-S-576482620.job => c:\programdata\trusted publisher\gs_booster\GS_Booster.exe S2 fc67e7a0; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\DeltaFix\DeltaFix.dll",serv S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 MSICDSetup; \??\F:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] C:\Program Files (x86)\DeltaFix C:\Program Files (x86)\Google C:\Program Files (x86)\GoSave C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Przyspiesz Komputer C:\Program Files (x86)\SafetySearch C:\ProgramData\f1677238ffda720a C:\ProgramData\GoSave C:\ProgramData\Trusted Publisher C:\Users\user\AppData\Local\Chromatic Browser C:\Users\user\AppData\Local\Comodo C:\Users\user\AppData\Local\Google C:\Users\user\AppData\Local\SafetySearch C:\Users\user\AppData\Local\Torch C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\user\AppData\Roaming\Solvusoft C:\Users\user\AppData\Roaming\VOPackage C:\Users\user\Downloads\*_www.dl4all.com.* C:\Users\user\Downloads\*msidcrl40*.* C:\Users\user\Downloads\Niepotwierdzony*.crdownload C:\Users\UpdatusUser\AppData\Local\Chromatic Browser C:\Users\UpdatusUser\AppData\Local\Comodo C:\Users\UpdatusUser\AppData\Local\Google C:\Users\UpdatusUser\AppData\Local\Torch C:\Users\Administrator C:\Users\HomeGroupUser$ C:\Users\Gość C:\Windows\system32\roboot64.exe C:\Windows\SysWOW64\GroupPolicy\GPT.INI Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{fc67e7a0} /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\user\AppData\Local CMD: dir /a C:\Users\user\AppData\LocalLow CMD: dir /a C:\Users\user\AppData\Roaming File: C:\Windows\system32\msidcrl40.dll File: C:\Windows\SysWOW64\msidcrl40.dll EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Nie został wykonany ten punkt, to nadal aktualne: 3. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się na czym stoimy. I jeszcze dodatkowa sprawa, mocno kombinowałeś z kopiami pliku msidcrl40.dll i to m.in. pobierając "cudowne" naprawiacze DLL nabawiłeś się infekcji adware. Opisz o co tu chodzi, po co ten plik był potrzebny, jakie były błędy. Obecnie w systemie są poniższe pliki, nie wiadomo czy to poprawne pliki: 2014-11-06 23:18 - 2014-11-06 23:18 - 00013312 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msidcrl40.dll 2014-11-06 23:10 - 2014-11-06 23:05 - 00737280 _____ (Microsoft Corp.) C:\Windows\system32\msidcrl40.dll .

Mam pytanie: czy te przekierowania występują tylko w Operze czy może w innych przeglądarkach także? Były na dysku szczątki Firefox (usuwałam skryptem), w systemie jest Internet Explorer - czy w nich również ujawniał się problem?

To wariant Urausy a nie Weelsof. Infekcja uruchamia się poprzez Shell bieżącego użytkownika, dlatego działa tylko interfejs cmd. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-2025429265-2111687655-1957994488-1003\...\Winlogon: [shell] C:\Documents and Settings\Feliks\Dane aplikacji\Other.res [172544 2010-12-09] (Symantec Corporation) HKU\S-1-5-21-2025429265-2111687655-1957994488-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\...\Policies\Explorer: [NoCDBurning] 0 HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" AV: AVG Anti-Virus Free Edition 2012 (Disabled - Up to date) {17DDD097-36FF-435F-9E1B-52D74245D6BF} C:\Documents and Settings\Feliks\Dane aplikacjiprivacy.xml C:\Documents and Settings\Feliks\Dane aplikacjiProductTweaks.xml C:\Documents and Settings\Feliks\Dane aplikacjiuser_gensett.xml C:\Documents and Settings\Feliks\Dane aplikacji\Other.res C:\Documents and Settings\Feliks\Ustawienia lokalne\Dane aplikacji\Google\Chrome Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. System zostanie odblokowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj stare wersje Java (przyczyna infekcji) Java 7 Update 7, Java™ 6 Update 18 oraz zbędniki McAfee Security Scan Plus, MyFreeCodec. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Na koniec: 1. Odinstaluj w prawidłowy sposób ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę i OK: C:\Users\Maciej\Downloads\ComboFix.exe /uninstall 2. Następnie zastosuj DelFix, a pobrany GMER ręcznie usuń. 3. Zaktualizuj Java 8 Update 20 (64-bit) do najnowszej wersji: KLIK.

Jeszcze wyczyść foldery Temp. Otwórz Notatnik i wklej w nim: CloseProcesses: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Przedstaw wynikowy fixlog.txt.

W przeglądarce Opera nie widać nic podejrzanego, jest zainstalowane tylko jedno niedomyślne rozszerzenie, które wygląda na poprawne: Gmail on speed dial. W jakich okolicznościach występują te przekierowania i gdzie? Dostarcz zrzuty ekranu. .

Ostatnie posty usuwam. Przecież nie prosiłam o plik C:\Windows\Logs\CBS\CBS.LOG, tylko o plik C:\Windows\Logs\CBS\Checksur.log (załączony jako pierwszy). Nie był potrzebny ten ogromny cały CBS.LOG, bo mam wszystkie dane potrzebne do kontynuacji. Checksur naprawił dwa błędy manifestów na trzy, trzeci nie rozwiązany z powodu braku pliku wymaganego do naprawy: Unavailable repair files: winsxs\manifests\x86_microsoft-windows-ie-versioninfo_31bf3856ad364e35_11.2.9600.16518_none_8552867d91b3e1d9.manifest Tu musisz poczekać trochę, bo muszę ten plik w identycznej wersji komponentu skołować z jednej z maszyn wirtualnych. To potrwa. .

Proszę czytaj uważniej instrukcje robienia raportów - sekcje "Drivers MD5" + "List BCD" nie miały być zaznaczone. Jeśli chodzi o logi, to nie widać nic szkodliwego w stanie czynnym na pierwszy rzut oka, ale w procesach jest na chodzie Opera. Problem jest w tym, iż żadne z narzędzi jej nie skanuje, więc na razie zawartość + konfiguracja przeglądarki nieznana i będę ręcznie pobierać dane. Na razie przeprowadź następujące działania: Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKU\S-1-5-21-2904215084-2210517827-2291890427-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll No File S0 gqos; C:\Windows\SysWOW64\drivers\djfkmx.sys [61440 2014-11-22] () [File not signed] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X] S0 vmci; system32\DRIVERS\vmci.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\_ProgramData2.exe C:\ProgramData\MFAData C:\ProgramData\Mozilla C:\Users\Maciej\AppData\Local\Mozilla C:\Users\Maciej\AppData\Roaming\Mozilla C:\Users\Default\AppData\Roaming\TuneUp Software C:\Windows\SysWOW64\drivers\djfkmx.sys Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Maciej\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Maciej\AppData\Roaming\Opera Software\Opera Stable\Preferences" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. .

Pokazałam Ci wyraźnie co masz uszkodzone - odczyt w SFC typu manifest is damaged (TRUE). Błąd nie został w ogóle naprawiony. Podane narzędzie, mimo nazwy i ogólnego przypisania do artykułu określonej tematyki, zajmuje się "weryfikacją poprawności magazynu usług" (m.in. manifestów) i służy do naprawy takich błędów, niezależnie od tego czy w ogóle z Windows Update jest coś nie tak. Proszę narzędzie uruchomić i podać log wynikowy.

Nie przychodzi mi do głowy nic innego niż całkowicie przeinstalować Internet Explorer. - Panel sterowania > Programy > Programy i funkcje > Wyświetl zainstalowane aktualizacje > w sekcji "Microsoft Windows" odinstaluj pozycję "Internet Explorer 11". To cofnie system do poprzedniej wersji IE10. - Następnie z Windows Update zainstaluj ponownie IE11 i wszystkie inne brakujące aktualizacje.

Te "cyfry" to jest kwestia konwersji na format pliku REG - w widoku regedit masz słowne czytelne ścieżki, to samo jednak w pliku REG jest zakodowane w hex. Tego Netmana będziemy re-weryfikować potem. Teraz czekam na to:

Nie pytałam w ogóle o spis uprawnień pobranych ręcznie, przecież to jest w ostatnim pliku Fixlog pobrane komendą ListPermissions i to znacznie dokładniej. Zupełnie inne pytanie padło: Czyli czy w głównym widoku Netman, a nie w podkluczu Parameters, widać te wartości po ostatnim imporcie: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Netman] "DisplayName"="@%SystemRoot%\\system32\\netman.dll,-109" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,79,00,73,00,74,00,65,00,6d,\ 00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,72,00,\ 69,00,63,00,74,00,65,00,64,00,00,00 "Description"="@%SystemRoot%\\system32\\netman.dll,-110" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000003 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,6e,00,73,00,69,00,\ 00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,00,6f,00,74,\ 00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,4c,00,6f,00,61,00,64,00,44,00,72,00,69,00,76,00,65,00,72,\ 00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,64,00,00,00,01,00,00,00,64,00,00,00,00,00,00,00,00,00,00,00

Zaznaczanie checkboxów nie ma znaczenia, to są opcje dla Scan a nie dla Fix, a to że plik nie powstał oznacza jakiś błąd. Czy na pewno w FRST uruchomiłeś opcję Fix?

Dwie sprawy: 1. Usługa się nie pojawia, bo z niewiadomych przyczyn import jest niekompletny, importuje tylko podklucz Parameters, cały główny klucz jest wyczyszczony na zero. Czy na pewno plik FIX.REG ma zawartość identyczną jak w moim poście? Czy na pewno w którymś programie zabezpieczającym nie masz włączonej ochrony rejestru przed zmianami / wirtualizacji nie dopuszczającej do zmian permanentnych? Spróbuj jeszcze zaimportować w inny sposób: przy wyłączonych wszystkich programach zabezpieczających Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z menu Plik > Importuj. Po akcji sprawdź czy w głównym widoku klucza pojawiły się jakieś wartości. 2. SFC wykrył nienaprawialne uszkodzenia manifestów: 2014-11-22 17:24:15, Info CSI 00000323 [sR] Cannot verify component files for Microsoft-Windows-Security-Processor-Native-Whitebox-ISV, Version = 6.1.7601.18332, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral, manifest is damaged (TRUE) Uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. Dostarcz wynikowy log C:\Windows\Logs\CBS\Checksur.log. By plik dało się wstawić w załącznik, należy zmienić ręcznie nazwę pliku z *.log na *.txt.

Brakuje trzeciego pliku FRST Shortcut. OTL też niekompletny (brak pliku Extras). Poza tym, skąd pobierałeś ten FRST? Na pewno nie z linka w przyklejonym, do którego kieruję w instrukcjach. Używasz potwornie starej wersji pozbawionej nowych skanów, poprawek i komend: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 31-08-2014 (ATTENTION: ====> FRST version is 83 days old and could be outdated) Najnowsza wersja FRST jest z dzisiaj. Wracaj do przyklejonego, pobierz najnowszą wersję i zrób trzy raporty FRST: KLIK.

Kolejne podejście, tym razem przeładowanie silnika IE poprzez reinstalację: Panel sterowania > Programy > Programy i funkcje > Włącz lub Wyłącz funkcje systemu Windows > odfajkuj pozycję Internet Explorer 11 > zresetuj system. Wróć ponownie do interfejsu Włącz lub Wyłącz funkcje systemu Windows, zaznacz go i zresetuj system. Podaj czy są zmiany.

Usuń za pomocą MBAM ten szczątkowy kluczyk.