picasso

1. Pierwszy punkt: I właśnie o to chodzi - PIO to jest ta wada. O ile jeszcze tego nie zrobiłeś: z prawokliku odinstaluj kanał na którym jest PIO i zresetuj system, Windows przebuduje kanał i powinien znacznie przyśpieszyć. 2. Niestety infekcja się zregenerowała i wszystkie blokady są ponownie na miejscu. Powtórka. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe HKLM Group Policy restriction on software: C:\Program Files\Trend Micro HKLM Group Policy restriction on software: C:\Program Files\Common Files\Symantec Shared HKLM Group Policy restriction on software: C:\Program Files\AVAST Software HKLM Group Policy restriction on software: C:\Program Files\Trend Micro HKU\S-1-5-21-1547161642-117609710-725345543-1003\...\Run: [XegdUhfug] => regsvr32.exe "C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\XegdUhfug\XegdUhfug.dat" DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab DPF: {CAFEEFAC-0017-0000-0009-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab FF Plugin: @java.com/DTPlugin,version=10.9.2 -> C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation) S4 sptd; System32\Drivers\sptd.sys [X] C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\XegdUhfug C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\Macromedia C:\Program Files\Common Files\Java C:\Program Files\Java C:\Program Files\OpenOffice.ux.pl 3 C:\WINDOWS\system32\Adobe C:\WINDOWS\system32\Macromed EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows (loguj się na swoje konto amx, a nie na Administratora). Uruchom FRST i kliknij w Fix. System zostanie zresetowany, opuść Tryb awaryjny. Powstanie kolejny plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Poproszę o dodatkowe dane. Otwórz Notatnik i wklej w nim: Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts" /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy plik fixlog.txt.

Zasady działu: KLIK. Tu każdy ma mieć osobny wątek. I zanim przejdziemy dalej poproszę o dostarczenie obowiązkowych raportów z FRST, by było wiadome czy infekcja jest czynna.

Czy na pewno włączyłeś pokazywanie wpisów Microsoftu? Skrypt FRST wykonany, więc możesz już zastosować DelFix i wyczyścić foldery Przywracania systemu: KLIK.

Wszystko wygląda OK. 1. Jeszcze drobny skrypt usuwający mini szczątki po odinstalowanych programach. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [avast] => "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File Task: {3B46F584-8938-4091-82F7-163CD9B78984} - System32\Tasks\avast! Emergency Update => C:\Program Files\Alwil Software\Avast5\AvastEmUpdate.exe [2013-08-30] (AVAST Software) FF Plugin: @java.com/DTPlugin,version=10.40.2 -> C:\Windows\system32\npDeployJava1.dll (Oracle Corporation) FF Plugin-x32: @java.com/DTPlugin,version=10.40.2 -> C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation) C:\ProgramData\AVAST Software RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\ADMIN\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny plik fixlog.txt - przedstaw go. Dopiero po pokazaniu pliku fixlog.txt możesz przejść dalej: 2. Zastosuj Delfix i wyczyść foldery Przywracania systemu: KLIK. 3. Spróbuj czy najnowsza wersja Avast (poprzednio był stary) nie pogarsza zadawalającego obecnie stanu: KLIK. .

Mam dekoder, który jeden z użytkowników otrzymał od cyberprzestępców po uiszczeniu opłaty. Link przesyłam na PW. Nie wiemy czy narzędzie działa na innych komputerach. Daj mi znać jakie są rezultaty jego użycia. Aktualizacja w poście #16.

leliwka, proszę uzupełnij wymagane logi, by było wiadomo jaki jest ogólny bieżący stan systemu. Należy to robić za każdym razem, gdy pojawia się jakiś określony problem, logi z poprzednich tematów nie mogą być brane pod uwagę, bo mogło się coś w systemie zmienić.

Jest tu wariant infekcji ransomware, który modyfikuje systemową usługę Instrumentacji Windows (Winmgmt). Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Startup: C:\Documents and Settings\Młody\Menu Start\Programy\Autostart\program.lnk ShortcutTarget: program.lnk -> C:\Documents and Settings\All Users\Dane aplikacji\3E5836AE.cpp () S2 winmgmt; C:\DOCUME~1\ALLUSE~1\DANEAP~1\1DDC01E3.cpp [X] S3 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X] SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2052111302-1935655697-682003330-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre7\bin\ssv.dll No File BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre7\bin\jp2ssv.dll No File FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.23.9\npGoogleUpdate3.dll No File FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.23.9\npGoogleUpdate3.dll No File Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Blokada zniknie, więc opuść Tryb awaryjny. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Avast i kilka innych zostało zablokowanych w oparciu o restrykcje Safer nałożone poprzez infekcję. Prawdopodobnie winą był exploit Java, choć tu jest bardzo szerokie pole do popisu. Podglebie dla infekcji znakomite, dramatyczny ogólny status aktualizacji systemu (SP2 i IE6!) i niebezpieczne wersje różnych programów zainstalowane, w tym Java (bo też i stary OpenOffice.ux.pl 3.2 nie obsługuje nowych bezpieczniejszych). Dodatkowo, zdaje się że jest tu jakiś problem z dyskiem i strukturą plików na dysku. W raporcie FRST widać nazwy folderów kont z suffiksami charakterystycznymi dla tworzenia nowych, bo do oryginałów brak dostępu (m.in. mogą powodować to błędy dysku) oraz dziwowiska typu listowanie podwójnie tego samego katalogu: 2014-10-31 00:27 - 2014-11-15 00:32 - 00000000 ____D () C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\01e58235-010d-43b1-8340-277d43a75321 2014-10-31 00:27 - 2014-11-15 00:32 - 00000000 ____D () C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\01e58235-010d-43b1-8340-277d43a75321 Wdróż następujące działania: 1. Był uruchamiany GMER, toteż sprawdź transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Odinstaluj via Dodaj/Usuń programy stare wersje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 11 Plugin, Adobe Flash Player 9 ActiveX, Adobe Reader 9.1 - Polish, Adobe Shockwave Player 12.1, Java 7 Update 9, Java™ 6 Update 20, OpenOffice.ux.pl 3.2, SUPERAntiSpyware. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe HKLM Group Policy restriction on software: C:\Program Files\Trend Micro HKLM Group Policy restriction on software: C:\Program Files\Common Files\Symantec Shared HKLM Group Policy restriction on software: C:\Program Files\Trend Micro HKLM Group Policy restriction on software: C:\Program Files\AVAST Software HKU\S-1-5-21-1547161642-117609710-725345543-1003\...\Run: [XegdUhfug] => regsvr32.exe "C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\XegdUhfug\XegdUhfug.dat" HKU\S-1-5-21-1547161642-117609710-725345543-1003\...\Winlogon: [shell] C:\WINDOWS\EXPLORER.EXE [1033728 2004-08-03] (Microsoft Corporation) GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction DPF: {166B1BCA-3F9C-11CF-8075-444553540000} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab DPF: {33564D57-0000-0010-8000-00AA00389B71} http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB DPF: {41564D57-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/0/A/9/0A9F8B32-9F8C-4D74-A130-E4CAB36EB01F/wmvadvd.cab DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab S3 BlueletAudio; system32\DRIVERS\blueletaudio.sys [X] S3 BlueletSCOAudio; system32\DRIVERS\BlueletSCOAudio.sys [X] S3 BT; system32\DRIVERS\btnetdrv.sys [X] S3 BTHidEnum; system32\DRIVERS\vbtenum.sys [X] S0 BTHidMgr; System32\Drivers\BTHidMgr.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S1 cdrbsvsd; No ImagePath S3 VComm; system32\DRIVERS\VComm.sys [X] S3 VcommMgr; System32\Drivers\VcommMgr.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\01e58235-010d-43b1-8340-277d43a75321 C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Babylon C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\lI13602NbMlK13602 C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\TEMP C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\XegdUhfug C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\Ciqapo C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\DSite C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\DVDVideoSoft C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\Ebintu C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\Ekes C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\FaceGen C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\Kiobf C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\mystartsearch C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\NetMedia Providers C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\pdfforge C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\Xirrus C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\Ytixoz C:\Program Files\mozilla firefox\plugins Hosts: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B8B0FC8B-E69B-4215-AF1A-4BDFF20D794B} /f CMD: dir /a "C:\Documents and Settings" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Firefox ze śmieci i starych preferencji "przed-aktualizacyjnych": menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Podałam poprawny link, u mnie się otwiera bez problemu...

Wszystko zrobione. Kończymy: 1. Zapomniałam to dołączyć wcześniej, odinstaluj starą wtyczkę dla Internet Explorer Adobe Flash Player 11 ActiveX. 2. Usuń ręcznie folder C:\Users\Cypisek\Downloads\FRST, następnie zastosuj DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK.

Czy były jakieś problemy / błędy z uruchomieniem skryptu? On został uruchomiony aż trzy razy. Na przyszłość: skrypt jest "jednego podejścia", uruchomienie tylko raz, a w razie problemów zgłaszasz się na forum z opisem i nie powtarzasz. Niemniej zadania zostały pomyślnie wykonane. Poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files\Jotta C:\Program Files (x86)\GUM448E.tmp C:\Program Files (x86)\Temp C:\ProgramData\APN C:\ProgramData\BlueStacksSetup C:\ProgramData\MFAData C:\Users\Cypisek\AppData\Local\MFAData C:\Users\Cypisek\AppData\Roaming\TuneUp Software C:\Users\Cypisek\Downloads\Whats%20App%20PC.exe RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Cypisek\Desktop\Stare dane programu Firefox Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4}_is1 /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Przedstaw logi z folderu C:\AdwCleaner. .

Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki. Wydzielone w osobny temat. Zestaw obowiązkowych logów niekompletny, brak FRST Shortcut. Pomijam już, że pada tu też prośba o OTL i GMER. Przeprowadź następujące operacje: 1. Przez Panel sterowania odinstaluj adware Interenet Optimizer. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: BHO: SoftCoup -> {8fde9d68-add0-4f07-b80e-84449d5c6065} -> C:\ProgramData\SoftCoup\6H5kTcsoXQ2fbG.x64.dll () BHO-x32: SoftCoup -> {8fde9d68-add0-4f07-b80e-84449d5c6065} -> C:\ProgramData\SoftCoup\6H5kTcsoXQ2fbG.dll () CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-1153665968-2999873662-4185214043-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-1153665968-2999873662-4185214043-1000\...\Run: [Jotta] => "C:\Program Files\Jotta\jotta.exe" AlternateDataStreams: C:\ProgramData\Microsoft:eZcIVVfazFfNxOdD11Qlk2si AlternateDataStreams: C:\ProgramData\Microsoft:iomtxTUNeYqdXa7Pvr39u5xkJ AlternateDataStreams: C:\Users\Cypisek\AppData\Local\Temporary Internet Files:dih43SwfIX6bemIPe1pjhsq5 C:\ProgramData\374311380 C:\ProgramData\c5806f9710da70d3 C:\ProgramData\saveitkeep C:\ProgramData\Interenet Optimizer C:\ProgramData\SoftCoup C:\ProgramData\WildWestCoupon C:\Users\Cypisek\AppData\Local\Google C:\Users\Cypisek\AppData\Roaming\Google RemoveDirectory: C:\Users\Cypisek\Desktop\Stare dane programu Firefox Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Cypisek\AppData\Local CMD: dir /a C:\Users\Cypisek\AppData\LocalLow CMD: dir /a C:\Users\Cypisek\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox (ponownie, już to robiłeś, ale ze słabym skutkiem): menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, lecz Adblock Plus trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt. Wszystkie logi proszę podać w formie załączników forum. .

Możemy kończyć: 1. Usuń używane narzędzie, GMER skasuj ręcznie, a resztę załatwi DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK.

Czy router zabezpieczyłeś wg wskazówek (nowe hasło + blokada panelu od strony Internetu)? Wszystko wygląda na wykonane, z wyjątkiem komendy czyszczenia buforu DNS (zapomniałam, że to nie przejdzie w Trybie awaryjnym). Akcje poprawkowe: 1. Start > w polu szukania wklep cmd > z prawokliku Uruchom jako Administrator > wklep ipconfig /flushdns i ENTER. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz wynikowy log z folderu C:\AdwCleaner. .

Gładko poszło. Na wszelki wypadek uruchom jeszcze AdwCleaner, klik w Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner. Analiza raportów wymaga po prostu sporej wiedzy o systemie i infekcjach. Tu nie da rady podać "szybkiego samouczka": KLIK / KLIK. Natomiast sama obsługa narzędzia FRST jest w tutorialu: KLIK. Należy rozróżnić te dwie rzeczy i położyć stosowny nacisk na nadrzędny element, gdyż bez konkretnej wiedzy o Windows nie pomoże wkucie na blachę tutoriala FRST. To jest tylko narzędzie pomocnicze do szybszego przetwarzania danych, a kto to wie czy za jakiś czas nie zostanie zastąpione innym. .

Możesz wyeksportować do XML, ale w sumie nie jest to potrzebne, na zrzucie wszystko widać. Usuń wszystkie znaleziska. I prawdopodobnie się wyjaśniło dlaczego masz puste okna. Ten ostatni wpis Hijack.Zones pokazuje trefny klucz infekcji wykorzystujący znak Unicode podobny do "L" - ów klucz blokuje wyświetlanie określonych elementów. Omawiałam go np. w tym temacie: KLIK. Po usunięciu wykrytych infekcji za pomocą MBAM zresetuj system i ponów instalację Corel.

Sprawdź czy coś pomoże reset ustawień Internet Explorer: Opcje internetowe > Zaawansowane > Resetuj. Log z MBAM jest całkowicie pusty. Proszę ponownie zapisz wyniki.

GMERa sobie darujmy. Wracając do problemów: Komunikat błędu produkuje szczątkowy wpis adware Interenet Optimizer w AppInit_DLLs. W systemie są też szczątki innych obiektów adware (sweet-page i protektor ustawień). Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj adware Interenet Optimizer, WindowsMangerProtect20.0.0.1013 oraz zbędny McAfee Security Scan Plus. Ten McAfee to nie jest składnik Twoich głównych instalacji McAfee Internet Security + McAfee SiteAdvisor, lecz aplikacja przeszmuglowana jako sponsor instalacji Adobe Flash: KLIK. W przypadku błędów deinstalacji adware kontynuuj, i tak doczyszczę to poniższymi działaniami. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: AppInit_DLLs: C:\PROGRA~3\INTERE~1\INTERE~2.DLL => C:\PROGRA~3\INTERE~1\INTERE~2.DLL File Not Found Task: {8D4726ED-30CA-4BF3-8B96-9DD9A3BDD55C} - System32\Tasks\Update Service YourFileDownloader => C:\Program Files (x86)\YourFileDownloaderUpdater\YourFileDownloaderUpdater.exe R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [714208 2014-10-29] (Cherished Technololgy LIMITED) R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [488960 2014-10-29] (Fuyu LIMITED) [File not signed] S3 EagleX64; \??\C:\WINDOWS\system32\drivers\EagleX64.sys [X] ShellIconOverlayIdentifiers: [sugarSyncBackedUp] -> {0C4A258A-3F3B-4FFF-80A7-9B3BEC139472} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File ShellIconOverlayIdentifiers: [sugarSyncPending] -> {62CCD8E3-9C21-41E1-B55E-1E26DFC68511} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File ShellIconOverlayIdentifiers: [sugarSyncRoot] -> {A759AFF6-5851-457D-A540-F4ECED148351} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File ShellIconOverlayIdentifiers: [sugarSyncShared] -> {1574C9EF-7D58-488F-B358-8B78C1538F51} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1414602882&from=cor&uid=ST1000LM014-1EJ164_W380DWM2XXXXW380DWM2&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1414602882&from=cor&uid=ST1000LM014-1EJ164_W380DWM2XXXXW380DWM2&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1414602882&from=cor&uid=ST1000LM014-1EJ164_W380DWM2XXXXW380DWM2&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1414602882&from=cor&uid=ST1000LM014-1EJ164_W380DWM2XXXXW380DWM2&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1414602882&from=cor&uid=ST1000LM014-1EJ164_W380DWM2XXXXW380DWM2 SearchScopes: HKU\S-1-5-21-271407444-1818116929-1288510630-1002 -> {6B1865F2-14B8-4B97-8656-F7533F8989CE} URL = CHR HomePage: Default -> hxxp://www.sweet-page.com/?type=hp&ts=1414602882&from=cor&uid=ST1000LM014-1EJ164_W380DWM2XXXXW380DWM2 CHR StartupUrls: Default -> "hxxp://1337.dev1/" CHR DefaultSearchKeyword: Default -> sweet-page C:\ProgramData\374311380 C:\ProgramData\IePluginServices C:\ProgramData\Interenet Optimizer C:\ProgramData\WindowsMangerProtect C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{c632643} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WindowsMangerProtect /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Preferences" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy sweet-page (o ile nadal będzie widoczny). 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Są tu dwa typy infekcji: - Infekcja systemu - nadal czynne procesy adware, a w Google Chrome jest zainstalowane rozszerzenie PodoWeb. - Infekcja routera - poniższy adres wg Whois jest ukraiński: KLIK. Tcpip\Parameters: [DhcpNameServer] 91.207.7.105 8.8.8.8 Przeprowadź następujące działania: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 MaintainerSvc6.89.573444; C:\ProgramData\01e58235-010d-43b1-8340-277d43a75321\maintainer.exe [123632 2014-11-19] () R1 {9642e31c-2703-4a31-ba45-9e8dfb693e38}Gw64; C:\Windows\System32\drivers\{9642e31c-2703-4a31-ba45-9e8dfb693e38}Gw64.sys [48776 2014-11-15] (StdLib) R3 ALSysIO; \??\C:\Users\luq92\AppData\Local\Temp\ALSysIO64.sys [X] Task: {73FCDE78-655E-4C52-80B0-0982A8AB3877} - System32\Tasks\OZWDNTC => C:\Users\luq92\AppData\Roaming\OZWDNTC.exe Task: {B149163F-07D2-4555-8BD9-71F58B6821E8} - System32\Tasks\ZDBEDRP => C:\Users\luq92\AppData\Roaming\ZDBEDRP.exe [2014-11-15] (Object Browser) Task: C:\Windows\Tasks\OZWDNTC.job => C:\Users\luq92\AppData\Roaming\OZWDNTC.exe Task: C:\Windows\Tasks\ZDBEDRP.job => C:\Users\luq92\AppData\Roaming\ZDBEDRP.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe C:\Program Files (x86)\924d6389-cd3d-47c2-ad41-b00b91c76a09 C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\YouTube Accelerator C:\ProgramData\01e58235-010d-43b1-8340-277d43a75321 C:\ProgramData\APN C:\ProgramData\TEMP C:\Users\luq92\AppData\Local\CrashRpt C:\Users\luq92\AppData\Local\globalUpdate C:\Users\luq92\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\luq92\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\luq92\AppData\Roaming\*.exe C:\Users\luq92\AppData\Roaming\OZWDNTC C:\Users\luq92\AppData\Roaming\ZDBEDRP C:\Windows\System32\drivers\{9642e31c-2703-4a31-ba45-9e8dfb693e38}Gw64.sys CMD: ipconfig /flushdns CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\luq92\AppData\Local CMD: dir /a C:\Users\luq92\AppData\LocalLow CMD: dir /a C:\Users\luq92\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows, gdyż COMODO przeszkodzi pracy FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware PodoWeb Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (aktywuj ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Proszę przeczytaj zasady działu w kwestii obowiązujących raportów: KLIK. OTL to przestarzałe narzędzie sprawdzane tylko pobocznie. Dostarcz obowiązkowe logi z FRST i GMER. Był też używany AdwCleaner, więc proszę o logi z folderu C:\AdwCleaner.

Klucz został poprawnie odtworzony. Skoro nadal są błędy Corela, to czy na pewno tego nie było wcześniej? I w takiej sytuacji zostaje już reinstalacja programu. Kolejne działania: 1. Reinstalalacja CorelDRAW: W pierwszej kolejności odinstaluj program normalnie poprzez Panel sterowania. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > sprawdź czy na liście widać pozycje CorelDRAW, jeśli tak to podświetl i Dalej. Zainstaluj CorelDRAW. 2. W AdwCleaner zastosuj opcję Odinstaluj. 3. Zainstaluj Malwarebytes Anti-Malware (przy instalacji odznacz trial). Wykonaj pełny skan systemu, a jeśli coś zostanie wykryte, dostarcz raport. .

Te błędy DCOM nadal są w Dzienniku nagrywane, nie jest to jednak problem krytyczny i potem będę analizować sprawę. Jeśli chodzi o uszkodzenia wywołane AdwCleaner, otwórz Notatnik i wklej w nim: Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /f Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /v 9A3215C78A0344C498AC8A8CA7F1CC19 /t REG_SZ /d C?\Windows\SysWOW64\msvcr71.dll /f Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /v 21F1DBD139DE0C947ACC65BCED841885 /t REG_SZ /d "C:\Program Files (x86)\ASUS\ASUS LifeFrame3\msvcr71.dll" /f Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /s Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Pokaż wynikowy fixlog.txt, a także podaj czy nadal się uruchamia to okno CorelDRAW.

mispuchatek, proszę przeczytaj zasady działu co tu się podaje i jak się zachowuje: KLIK. Po pierwsze: jeśli nikt nie odpisał, a chcesz uzupełnić post, stosuj opcję Edytuj a nie post pod postem (skleiłam). Po drugie: zestaw obowiązkowych logów jest inny, OTL to przestarzałe narzędzie sprawdzane tylko pobocznie (i za jakiś czas w ogóle na forum już nie będzie analizowany). Dostarcz obowiązkowe raporty z FRST i GMER.

To Ty tego nie zrobiłeś wcześniej? Jeśli nie, to wdróż opcję, ale jeśli było to już wykonywane, powtarzanie jest bez sensu. I pokaż wynikowy plik C:\DelFix.txt.