picasso

Tak, zadania miały być podzielone. Skoro pośpieszyłeś się i w DelFix zaznaczyłeś dodatkową opcję, nic się oczywiście nie stało. Na wszelki wypadek sprawdź jednak w oryginalnym interfejsie konfiguracji Przywracania czy program poprawnie usunął punkty.

Spodziewałam się tego. I nie zapomnij dostarczyć raportów ze skanera, by dało się ocenić zakres infekcji. Jeśli chodzi o wyniki skryptu: reset Zapory czyszczący autoryzacje Sality wykonany, większość folderów też usunięta, z wyjątkiem folderu Kosza F:\RECYCLER, co odpowiada komunikatowi ze zrzutu ekranu mówiącego o uszkodzonym Koszu. Pod kątem tego lewego folderu: 1. Start > w polu szukania wklep cmd > z prawokliku Uruchom jako Administrator > wklep komendę sprawdzania dysku: chkdsk F: /f /r 2. Gdy checkdisk ukończy pracę, kolejny skrypt do FRST. Otwórz Notatnik i wklej w nim: RemoveDirectory: F:\RECYCLER Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt oraz nowy log USBFix z opcji Listing. Tak, komenda EmptyTemp: czyści historię i cookies przeglądarki. Na przyszłość (choć mam nadzieję to nigdy nie nastąpi), SalityKiller uruchomiony z linii komend cmd z przełącznikami -v i -l: "ścieżka dostępu do salitykiller.exe" -v -l C:\log.txt Deinstalacja DAEMON Tools oraz Alcohol nie usuwa sterownika SPTD, on musi być potraktowany z osobna narzędziem SPTDinst. W momencie gdy robiłeś skan GMER sterownik SPTD był definitywnie czynny (w logu GMER czynności tego sterownika), notował go także FRST: ==================== Drivers (Whitelisted) ==================== R0 sptd; C:\Windows\System32\Drivers\sptd.sys [386680 2014-09-24] (Duplex Secure Ltd.) U3 a7yas93o; C:\Windows\System32\Drivers\a7yas93o.sys [0 ] (Advanced Micro Devices) Ale jak mówiłam, to już sobie darujmy. Możesz przywrócić instalację DAEMON. .

Końcowe kroki pod kątem czyszczenia: 1. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 2. Odinstaluj stare wersje Adobe i Java, zastąp najnowszymi, zaktualizuj też Google Chrome: KLIK. Wtyczka Adobe Flash całkowicie zbędna, używasz Google Chrome, które ma wbudowany własny wewnętrzny Flash. ==================== Installed Programs ====================== Adobe Flash Player 10 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 10.0.42.34 - Adobe Systems Incorporated) Adobe Reader X (10.1.12) MUI (HKLM-x32\...\{AC76BA86-7AD7-FFFF-7B44-AA0000000001}) (Version: 10.1.12 - Adobe Systems Incorporated) Google Chrome (HKLM-x32\...\Google Chrome) (Version: 30.0.1599.101 - Google Inc.) Java 7 Update 67 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217045FF}) (Version: 7.0.670 - Oracle) Skan FRST nie wykazuje żadnych dodatkowych elementów na tej partycji. Są tam tylko serwisowe narzędzia Lenovo i pliki rozruchowe Windows oraz plik pamięci wirtualnej i folder Przywracania systemu (System Volume Information), a 99% elementów jest datowana na rok 2013. vs. Sprawdzenie tej teorii poprzez tymczasową deinstalację programu, proste wyłączanie w opcjach nie znosi określonych aktywności pakietu. Jeśli po deinstalacji nic się nie zmieni, program po prostu przywrócisz. Oraz jeszcze zostaje sprawa tego błędu, który sugeruje aktualizację BIOS i/lub sterowników sprzętowych: System errors: ============= Error: (11/17/2014 01:15:34 AM) (Source: ACPI) (EventID: 13) (User: ) Description: : Kontroler osadzony nie odpowiedział przed upływem limitu czasu. Może to wskazywać, że wystąpił błąd w sprzęcie lub oprogramowaniu układowym kontrolera osadzonego albo że system BIOS uzyskuje dostęp do kontrolera osadzonego w niepoprawny sposób. Należy skontaktować się z producentem komputera w sprawie uaktualnionego systemu BIOS. W niektórych sytuacjach ten błąd może spowodować niepoprawne funkcjonowanie komputera. .

Wszystko wykonane. Kończymy: 1. Usuń ręcznie pobrany GMER oraz folder C:\Users\strona ogolna\Desktop\FRST. Następnie zastosuj DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zainstaluj najnowsze wersje Adobe Flash i Java: KLIK.

Na tamtym forum nawet nie zdefiniowali, że jest to Sality, a było to oczywiste po typie autoryzacji Zapory systemu (charakterystyczne pliki w Temp). GMER robiłeś w niewłaściwych warunkach - przy czynnym sterowniku SPTD. Ale to już pomiń. Dodatkowy aspekt tu się objawił, masz system 64-bit: Platform: Windows 7 Ultimate (X64) OS Language: Polski (Polska) Internet Explorer Version 8 Sality nie jest natywnie 64-bitową infekcją i na takim systemie może atakować tylko 32-bitowe pliki, czyli połowa systemu i niektóre programy bezpieczne. Jednakże problem z plikami 32-bit jest tu trudny do odgadnięcia. Wiem tylko tyle, że był uruchamiany SalityKiller i coś robił, ale co i gdzie to nie wiadomo (brak raportu z działań, gdyż SalityKiller był uruchamiany bez parametru nagrywającego log), również nie wiadomo czy na dysku systemowym są nadal jakieś trefne pliki. Z tym, że pliki systemowe i tak będą zamieniane nowszymi wersjami, gdyż system nie posiada żadnych aktualizacji i szykuje się gruba aktualizacja z Windows Update (SP1, IE11 i reszta łat). EDIT: Dostawiłeś OTL Extras i tam nadal widać nie wyczyszczone autoryzacje Zapory wytapetowane Sality. Poza tym nie widać innych oznak Sality, ale stan plików na dysku nie może być tym sposobem sprawdzony. Zalecenia na teraz: 1. Czyszczenie autoryzacji w Zaporze. Dodatkowo jeszcze do wyrzucenia są wielokrotne Kosze z dysków zewnętrznych oraz dorobione sztucznie katalogi autorun.inf (to ma skutki uboczne w postaci blokady etykiet). Zakładam, że mapowanie dysków jest identyczne jak w momencie zrobienia raportu USBFix. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: netsh advfirewall reset Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f RemoveDirectory: C:\Autorun.inf RemoveDirectory: D:\Autorun.inf RemoveDirectory: D:\msdownld.tmp RemoveDirectory: F:\Autorun.inf RemoveDirectory: F:\msdownld.tmp RemoveDirectory: F:\$RECYCLE.BIN RemoveDirectory: F:\Recycled RemoveDirectory: F:\RECYCLER RemoveDirectory: I:\Autorun.inf RemoveDirectory: I:\msdownld.tmp RemoveDirectory: I:\$RECYCLE.BIN RemoveDirectory: I:\RECYCLER EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Uruchom Kaspersky Virus Removal Tool - domyślnie program prowadzi skan ekspresowy, należy to zmienić w konfiguracji na pełny skan wszystkich elementów. Za jego pomocą wykonaj po kolei pełny skan każdej partycji z osobna - zadania podziel, najpierw jedna partycja i zapisujesz wyniki, potem następna. Zgłoś się tu z raportami skanu. .

Wszystko zrobione, więc kończymy. Skasuj ręcznie pobrane narzędzia z C:\Users\rambo\Downloads\FIXITPC, zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

AdwCleaner uszkodził instalację kasując ten klucz omyłkowo: Klucz Usunięto : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 Ten problem zgłaszałam autorowi już dawno temu, a bug wraca. W ostatnich tematach ręcznie odtwarzałam tego typu klucze z kopii zapasowej FRST. 1. Na początek pobór danych oraz także operacje na kluczach zgłaszanych w Dzienniku zdarzeń. Otwórz Notatnik i wklej w nim: Reg: reg load HKLM\Temp C:\FRST\Hives\SOFTWARE Reg: reg query HKLM\Temp\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /s Reg: reg unload HKLM\Temp Unlock: HKLM\SOFTWARE\Classes\AppID\{344ED43D-D086-4961-86A6-1106F4ACAD9B} Unlock: HKLM\SOFTWARE\Classes\CLSID\{C97FCC79-E628-407D-AE68-A06AD6D8B4D1} ListPermissions: HKLM\SOFTWARE\Classes\AppID\{344ED43D-D086-4961-86A6-1106F4ACAD9B} ListPermissions: HKLM\SOFTWARE\Classes\CLSID\{C97FCC79-E628-407D-AE68-A06AD6D8B4D1} Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 2. AdwCleaner również skasował z Google Chrome folder rozszerzenia Skype Click to Call. Ustawienia > karta Rozszerzenia > odinstaluj szczątek, o ile nadal widać. 3. Wyczyść Dziennik zdarzeń: Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator > w sekcji Dzienniki systemu Windows z prawokliku wyczyść gałęzie Aplikacja i System. 4. Zresetuj system. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition, dostarcz oba logi oraz plik fixlog.txt. .

Deinstalacja Returnil nie była potrzebna, program sam w sobie niewinny. Uruchomiłeś coś całkiem innego, objawy wskazują na jedno z dwóch: nieodznaczenie sponsora w którejś instalacji lub użycie portalowego "downloadera" częstującego "bonusami": KLIK. I wg logów czasowo bliżej instalacjom adware do Puran Defrag niż do Returnil, choć to może być mylne wrażenie. Ten Puran owszem od jakiegoś czasu nie ma czystego instalatora i jest wspierany przez adware (należy wszystkiemu "podziękować"). Inne podejrzenie to "Asystent pobierania" dobrychprogramów, widać że conajmniej raz w serwisie byłeś. Albo dałeś mi nieświeże raporty FRST, albo on się zrekonstruował. Wg FRST maintainer.exe hula w procesach: ========================== Services (Whitelisted) ================= R2 MaintainerSvc4.29.2173613; C:\ProgramData\685d26dc-c30a-434b-bda2-3004e8743669\maintainer.exe [123632 2014-11-19] () ==================== Loaded Modules (whitelisted) ============= 2014-11-18 14:30 - 2014-11-19 02:49 - 00123632 _____ () C:\ProgramData\685d26dc-c30a-434b-bda2-3004e8743669\maintainer.exe I nie tylko to - w systemie działa także aktywny sterownik adware Techgile ({1e3cbb53-e197-4e2a-92c5-00bc91f79189}Gw.sys) i to z pewnością on zaburza relacje sieciowe. Poza tym, adware wprowadziło także polityki Google Chrome. Składnik instalacji Kingsoft Antivirus 2012: R2 kisknl; C:\Windows\system32\drivers\kisknl.sys [165176 2014-11-17] (Kingsoft Corporation) Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {1e3cbb53-e197-4e2a-92c5-00bc91f79189}Gw; C:\Windows\System32\drivers\{1e3cbb53-e197-4e2a-92c5-00bc91f79189}Gw.sys [43152 2014-11-17] (StdLib) R2 MaintainerSvc4.29.2173613; C:\ProgramData\685d26dc-c30a-434b-bda2-3004e8743669\maintainer.exe [123632 2014-11-19] () GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction C:\Program Files\Temp C:\ProgramData\685d26dc-c30a-434b-bda2-3004e8743669 C:\ProgramData\Returnil C:\Users\rambo\AppData\Roaming\Returnil C:\Windows\System32\drivers\{1e3cbb53-e197-4e2a-92c5-00bc91f79189}Gw.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

Nareszcie, Dziennik zdarzeń naprawiony. Sprawny Dziennik nagrał poniższy błąd - będę to jeszcze diagnozować, a w kwestii reszty to już przechodzimy do cyzelowania. System errors: ============= Error: (11/19/2014 00:13:13 AM) (Source: DCOM) (EventID: 10016) (User: ZARZĄDZANIE NT) Description: właściwe dla aplikacjiLokalnyUruchom{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}ZARZĄDZANIE NTUSŁUGA LOKALNAS-1-5-19LocalHost (użycie LRPC) Error: (11/19/2014 00:13:08 AM) (Source: DCOM) (EventID: 10016) (User: ZARZĄDZANIE NT) Description: właściwe dla aplikacjiLokalnyUruchom{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}ZARZĄDZANIE NTSYSTEMS-1-5-18LocalHost (użycie LRPC) Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: ListPermissions: HKLM\SOFTWARE\Classes\AppID\{344ED43D-D086-4961-86A6-1106F4ACAD9B} ListPermissions: HKLM\SOFTWARE\Classes\CLSID\{C97FCC79-E628-407D-AE68-A06AD6D8B4D1} Reg: reg query HKLM\SOFTWARE\Classes\AppID\{344ED43D-D086-4961-86A6-1106F4ACAD9B} /s Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{C97FCC79-E628-407D-AE68-A06AD6D8B4D1} /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. przedstaw logi utworzone w folderze C:\AdwCleaner. .

Chyba polskie tłumaczenie tu zakłóca odbiór, owo "Usuwanie segmentu rekordów oddzielonego pliku" to po angielsku "Deleting orphan file record segment", czyli osierocony fragment pliku. To są dane już uszkodzone i niedostępne, które należy usunąć, więc przerywanie pracy checkdiska, by tego nie przetworzył, jest nielogiczne. Co do potencjalnej kopii danych kryjących się pod komunikatem "usuwanie segmentu rekordów oddzielonego pliku": kopiowanie danych które są nieczytelne i uszkodzone jest niezasadne, kopia zawierałaby błędy i tak wymagające korekty, taką kopię należało stworzyć o wiele wcześniej, gdy "oddzielony plik" nie był takowym. W sytuacji tzw. "oddzielonego pliku" checkdisk próbuje wyodrębniać utracone uszkodzone dane do nowych plików, które lądują w ukrytych folderach typu X:\FOUND.YYY (gdzie X to litera dysku dla którego zrobiono naprawę, a YYY to numery). Wyekstraktowane do tych folderów dane można odczytać narzędziami typu Chk-Back. Z tym, że kompletność wyodrębniania zależy od tego jak bardzo był uszkodzony materiał wyjściowy, częsta sytuacja to odzyskanie poszatkowanych danych. Po prostu konwersja zepsutego do sprawnego może być awykonalna. Tu przykładowe logi z pracy chkdsk: Oczywiście może się też zdarzyć, iż naprawa checkdisk będzie mieć gorsze rezultaty, np. niestartujący system lub jakieś drastyczniejsze ubytki, wszystko zależy od tego gdzie jest uszkodzenie i jaki ma ono zakres. Jak mówię: przerwałeś brutalnie operację naprawczą, system się po tym nie ładuje, co sugeruje kolejne uszkodzenia prawdopodobnie w strukturze systemu plików, więc zalecam wykonać operację do końca, tzn. sprawdzanie dysku i pozwolić naprawić błędy. Na wszelki wypadek, gdyż: "Narzędzie do naprawy systemu...." i tak egzekwuje chkdsk w trybie cichym. Opis funkcji: KLIK. I mógłbyś dorzuć log z FRST. W środowisku zewnętrznym mapowanie dysków może być inne niż spod Windows, wpływ na to ma m.in. widoczność ukrytych partycji. .

Problem stanowią wadliwe uprawnienia folderu C:\Windows\System32\LogFiles\WMI\RtBackup, brakuje konta SYSTEM, które musi mieć Pełną kontrolę. Akcja naprawcza: 1. Otwórz Notatnik i wklej w nim: CMD: icacls C:\Windows\System32\LogFiles\WMI\RtBackup /grant SYSTEM:F /T Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.System zostanie zresetowany. Powstanie kolejny fixlog.txt. 2. Zrób nowy skan FRST z zaznaczonym polem Addition i tylko ten plik mi dostarcz. Dołącz też plik fixlog.txt. .

Błąd 4201 usługi Dziennika kręci się wokół WMI. Zauważyłam już wcześniej, że jest coś nie tak z WMI, gdyż skan FRST w pewnych momentach nie mógł pobrać nazw rozszerzeń Firefox (funkcjonalność FRST bazuje na WMI). Sprawdzałam nawet w jednym ze skryptów stan usługi Winmgmt w rejestrze. Poproszę o kolejne dane. Otwórz Notatnik i wklej w nim: ListPermissions: C:\Windows\System32\LogFiles\WMI ListPermissions: C:\Windows\System32\LogFiles\WMI\RtBackup Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Mam wątpliwości czy usunięcie tego wpisu pomoże, no ale skoro chcesz to zrobić, to jedziemy. Jak mówiłam, Properties z "Odmową dostępu" jest normalne w kluczu Enum, bardzo wiele elementów posiada ten rodzaj uprawnień. Po prostu Twoje konto nie ma żadnego dostępu, ale Windows owszem ma, gdyż Pełną kontrolę ma konto SYSTEM. Usunięcie tego klucza jest banalnie proste. Wystarczy zmienić kontekst konta dla regedit. Uruchom regedit na uprawnieniu konta SYSTEM za pomocą Process Hacker: KLIK. W tak uruchomionym regedit klucz nie będzie w ogóle zablokowany, możliwy do skasowania od ręki.

Czy problem z procesem iexplore.exe ustąpił? Wszystko zrobione. Poprawki: 1. Otwórz Notatnik i wklej w nim: CustomCLSID: HKU\S-1-5-21-1440103629-4270272420-3639045120-1000_Classes\CLSID\{56FDF344-FD6D-11d0-958A-006097C9A090}\InprocServer32 -> C:\Users\strona ogolna\AppData\Roaming\moters\supna.dll No File FF user.js: detected! => C:\Users\strona ogolna\AppData\Roaming\Mozilla\Firefox\Profiles\u0ejhi95.default\user.js C:\Program Files (x86)\PC Tools C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\Program Files\HitmanPro C:\ProgramData\PC Tools C:\ProgramData\Spybot - Search & Destroy C:\Users\strona ogolna\AppData\Roaming\TestApp C:\Users\strona ogolna\Downloads\sdsetup.exe C:\Users\strona ogolna\Downloads\spybot-2.4.exe C:\Windows\system32\Drivers\PCTSD64.sys C:\Windows\System32\Tasks\Safer-Networking Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz wynikowe raporty z folderu C:\AdwCleaner. .

DelFix wykonał pracę. Możesz usunąć z dysku raport C:\DelFix.txt, a także pobrany GMER (o ile nadal jest na dysku). Temat rozwiązany. Zamykam.

Niestety jest bez zmian. 1. Zweryfikuj poprawność plików systemowych: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. 2. Jeszcze podaj mi co się pokazuje podczas próby ręcznego uruchomienia Dziennika: Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator > na liście wyszukaj usługę Dziennik zdarzeń > dwuklik i klik w przycisk Uruchom. Podaj jaki błąd występuje.

Objaśnij dlaczego przerwałeś tę operację, skoro checkdisk wykrył nieczytelne / błędne dane. Moim zdaniem należy w pierwszej kolejności dokończyć przerwany checkdisk, by wyeliminował błędy w systemie plików. Checkdisk wykonać po kolei dla wszystkich dysków. .

Wątpię, by to była rzeczywista infekcja, wygląda na fałszywy alarm. Nie widzę tu nic więcej do roboty w zakresie "infekcji". Skrypt kosmetyczny wykonany, więc kończymy: Zastosuj DelFix, wyczyść foldery Przywracania systemu i zaktualizuj Java 7 Update 67 do nowszej wersji linii 7: KLIK.

Miałeś pokazać tylko plik fixlog.txt. Nie prosiłam ponownie o nowe raporty FRST i je usuwam, gdyż ilość zmian nieomal nienotowalna. Gdy są potrzebne, wyraźnie to zaznaczam. Dziennik zdarzeń jakoby wygląda poprawnie na poziomie rejestru, może są uszkodzone pliki EVTX Dziennika. Spróbujmy je usunąć: 1. Przenieś FRST z folderu Pobrane do folderu C:\FRST. Otwórz Notatnik i wklej w nim: CMD: del /q C:\Windows\System32\winevt\Logs\*.evtx Plik zapisz pod nazwą fixlist.txt w folderze C:\FRST. 2. Skrypt nie będzie uruchamiany spod Windows. F8 > Napraw komputer > Wiersz polecenia > Uruchom zgodnie z opisem FRST: KLIK. Zamiast komendy X:\FRST64.exe wpisujesz komendę C:\FRST\FRST64.exe i ENTER. Po uruchomieniu FRST klik w Fix. W folderze C:\FRST powstanie świeży plik fixlog.txt. 3. Zastartuj do Windows. Zrób nowy log FRST z opcji Scan zaznaczając pole Addition, ale tylko plik Addition mi zaprezentuj. Dołącz też fixlog.txt. .

Skrypt wykonany pomyślnie, więc kończ sprawy. Usuń pobrane narzęzia z folderu D:\dysk H\internet, następnie zastosuj DelFix: KLIK.

A co z tym efektem:

Skrypt wykonany, czyszczenie systemu zakończone. Czy jest jakaś poprawa w działaniu systemu notowana po wyłączeniu usługi nVidia? A o reszcie już mówiłam. Skrypt FRST nie ma z tym związku, on nic nigdzie nie zapisywał (poza logiem wynikowym), było tylko usuwanie z rejestru i trwałe usunięcie dwóch folderów narzędzi. Skoro partycja System_DRV wykazuje zmiany, zaszły całkiem inne niepowiązane z moimi działaniami procesy. Wspominasz o 200MB wolnego, w pierwszym raporcie przed jakimikolwiek operacjami SYSTEM_DRV miało mniej, czyli 120MB: ==================== Drives ================================ Drive c: (Windows7_OS) (Fixed) (Total:111.21 GB) (Free:14.25 GB) NTFS ==>[system with boot components (obtained from reading drive)] Drive e: (SYSTEM_DRV) (Fixed) (Total:0.57 GB) (Free:0.12 GB) NTFS ==>[system with boot components (obtained from reading drive)] ==================== MBR & Partition Table ================== Disk: 0 (Size: 111.8 GB) (Disk ID: 4B243DA7) Partition 1: (Active) - (Size=587 MB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=111.2 GB) - (Type=07 NTFS) SYSTEM_DRV jest mini partycją serwisową Lenovo, która trzyma dostęp do środowiska naprawczego RE: KLIK. Partycja ta jest ustawiona jako aktywna, czyli bootuje Twój Windows, gdybyś coś z nią zrobił, system już nie zastartuje. Dla świętego spokoju możesz podać spis plików na tej partycji i zobaczymy przez co konkretnie miejsce jest zajęte. Otwórz Notatnik i wklej w nim: Folder: E:\ Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. .

W systemie jest dobry kandydat, czyli instalacja moters aktywnie ładująca w tle moduły określane przez GMER jako "podejrzane". Obiekt powstał w grupie innych elementów adware, których multum szczątków jest w systemie. ---- Processes - GMER 2.1 ---- Library C:\Users\strona ogolna\AppData\Roaming\moters\supna.dll (*** suspicious ***) @ C:\Windows\Explorer.EXE [1652](2014-10-07 20:27:50) 000007fef7310000 Library C:\Users\strona ogolna\AppData\Roaming\moters\supna.dll (*** suspicious ***) @ C:\Program Files\Internet Explorer\IEXPLORE.EXE [7788](2014-10-07 20:27:50) 000007fef7310000 ==================== Loaded Modules (whitelisted) ============= 2014-10-07 21:27 - 2014-10-07 21:27 - 00139264 _____ () C:\Users\strona ogolna\AppData\Roaming\moters\supna.dll 2014-10-07 21:27 - 2014-10-07 21:27 - 00117760 _____ () C:\Users\strona ogolna\AppData\Roaming\moters\mentste.dll ==================== Installed Programs ====================== moters (HKLM-x32\...\{c8730ca5-3f82-41cc-65e2-01b87600cd89}) (Version: 1.0.0 - ningsup) Żaden z programów nie wykrył powyższego. MBAM wykrył składnik instalacji PC Tools, czyli BrowserGuard. To nie jest istotne, ale i tak będziemy deinstalować określone skanery, którymi się posługiwałeś, bo to przeżytki / starocie słabo sprawdzające się obecnie. Na przyszłość pomiń instalację skanerów: PC Tools (SpywareDoctor i podobne) oraz SpyBot Search & Destroy. Firma PC Tools (przejęta przez Symantec) wycofała wszystkie produkty typu zabezpieczającego, a to co portale linkują to stare instalacje. Spybot zaś to lata świetności ma za sobą. Przeprowadź następujące działania: 1. Rozpocznij od poprawnych deinstalacji via Panel sterowania: - Ów podejrzany moters oraz posiadający w instalatorze adware YTD Video Downloader 4.8.6. - Stare wersje: Adobe Flash Player 13 ActiveX, Adobe Flash Player 13 Plugin, Browser Guard 4.0, Java 7 Update 67 (64-bit), Java 7 Update 67, PC Tools Spyware Doctor 9.1, Spybot - Search & Destroy. Na razie nie instaluj najnowszych wersji Adobe i Java, to wykonamy na szarym końcu. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {10ED41E6-56A9-49B8-9B91-DB53D22C0AD0} - \38d6cf61-3374-443f-aafb-f26c369089da-5 No Task File Task: {32506F30-4DF2-4BA1-91B0-747A2F353908} - \5d19c432-b462-4d53-bfa4-1b4553b2919f-11 No Task File Task: {4E2E592B-E7B2-4B99-91BC-49E234BBA825} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-5 No Task File Task: {51BFB665-A53C-40AB-91B6-96222EAA1DE1} - \5d19c432-b462-4d53-bfa4-1b4553b2919f-6 No Task File Task: {51FEC971-21F2-4323-95D8-F48F6FBE34DF} - \5d19c432-b462-4d53-bfa4-1b4553b2919f-5 No Task File Task: {5F2722D0-7134-449D-89DB-46AAC5282BF5} - \5d19c432-b462-4d53-bfa4-1b4553b2919f-1 No Task File Task: {5FEEB01D-A466-47AD-9C61-4AC104575F87} - \ShopperPro No Task File Task: {608AFDFE-45E8-456C-9F9A-14531E66457A} - System32\Tasks\CDCJ => C:\Users\strona ogolna\AppData\Roaming\CDCJ.exe Task: {68C7F1EA-9F7A-49F8-B67F-A0F5B745C04F} - \ShopperProJSUpd No Task File Task: {724C4306-5726-4F41-B0A7-7F9670312D2E} - \38d6cf61-3374-443f-aafb-f26c369089da-7 No Task File Task: {818ADB85-C0A4-49E0-A564-967B362EFEEC} - \38d6cf61-3374-443f-aafb-f26c369089da-6 No Task File Task: {89D19E81-1674-4C95-80E7-DA98CB713002} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-3 No Task File Task: {8B7952A5-3B9A-4AC9-B14E-57478F32ADFC} - \5d19c432-b462-4d53-bfa4-1b4553b2919f-4 No Task File Task: {8D931D4B-EC35-45B3-804C-5C6D58A8EDA7} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-7 No Task File Task: {8E3390E5-D0A7-4109-8FD3-9012CFA57BE4} - System32\Tasks\PLFNMXK => C:\Users\strona ogolna\AppData\Roaming\PLFNMXK.exe Task: {9F488B27-2D51-45FD-A0C4-4962A2DB478C} - \38d6cf61-3374-443f-aafb-f26c369089da-2 No Task File Task: {B86AD45D-AB3F-45D8-8BA2-28835A196D69} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-2 No Task File Task: {B9DD0C6A-5850-4F55-8384-9BD879184A15} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-4 No Task File Task: {C0F8BFF0-C302-4931-89E1-F9D0ECD087DE} - \38d6cf61-3374-443f-aafb-f26c369089da-11 No Task File Task: {C71E5AE4-F1A0-41E2-8544-4C3F0E44F8BE} - \38d6cf61-3374-443f-aafb-f26c369089da-4 No Task File Task: {C93178E7-5C01-48FB-9E8D-D630223D7FDC} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-1 No Task File Task: {CDD07EE8-8C6A-4D7B-9B31-FC314ABF713A} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-6 No Task File Task: {D6117D6A-0C32-4CEE-8AD7-6A2A7B622EAB} - \AmiUpdXp No Task File Task: {DD2DA169-F6FF-4F03-9FE4-C107ABE7C493} - \SPDriver No Task File Task: {DEE42854-D4F4-4514-830A-979D854357A6} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS.exe Task: {E8B88926-A459-470A-8A4E-1A7B52CBA1C1} - \5d19c432-b462-4d53-bfa4-1b4553b2919f-2 No Task File Task: {EE0F5446-CFAF-4319-946B-C5CACEFB129F} - \5d19c432-b462-4d53-bfa4-1b4553b2919f-7 No Task File Task: {F02B92FA-05C4-4024-BE81-723F9761FAB1} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-11 No Task File Task: {FBA692E0-2391-4AD5-9FE7-9043EC3231D3} - \38d6cf61-3374-443f-aafb-f26c369089da-1 No Task File Task: C:\Windows\Tasks\AutoKMS.job => C:\Windows\AutoKMS.exe Task: C:\Windows\Tasks\CDCJ.job => C:\Users\strona ogolna\AppData\Roaming\CDCJ.exe Task: C:\Windows\Tasks\PLFNMXK.job => C:\Users\strona ogolna\AppData\Roaming\PLFNMXK.exe BootExecute: PDBoot.exeautocheck autochk * sdnclean64.exe Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] C:\Program Files (x86)\globalUpdate C:\ProgramData\Temp C:\Users\strona ogolna\AppData\Local\9522 C:\Users\strona ogolna\AppData\Local\nscB2C.tmp C:\Users\strona ogolna\AppData\Local\globalUpdate C:\Users\strona ogolna\AppData\Roaming\moters Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PDAgent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PDEngine" /f CMD: type "C:\Users\strona ogolna\AppData\Roaming\Mozilla\Firefox\Profiles\u0ejhi95.default\user.js" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Zadania w większości wykonane, ale nadal jest problem z Dziennikiem zdarzeń. Kolejna porcja czynności. Otwórz Notatnik i wklej w nim: S3 ACDaemon; C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe [X] FF Plugin-x32: @java.com/DTPlugin,version=10.5.1 -> C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation) C:\Windows\SysWOW64\deployJava1.dll RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\MyFree Codec RemoveDirectory: C:\Users\Remek\Desktop\Stare dane programu Firefox ListPermissions: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Eventlog /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Winmgmt /s File: C:\Windows\system32\wevtsvc.dll Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Widzę, że skrypt stopuje na komendach Reg. Zrobiłam literówkę w jednej z komend (brak spacji). Powtórz skrypt z korektą: Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {4A8BEE02-05E0-4B87-95BF-D88D61B264E3} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {4A8BEE02-05E0-4B87-95BF-D88D61B264E3} /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg delete "HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f HKU\S-1-5-21-3670591184-648614672-2990897947-1002\...\RunOnce: [] => [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Jeśli i tym razem będą problemy, podam inne instrukcje, by wykonać te same zadania. .