picasso

Wszystko gładko poszło, infekcje nie są już czynne. Jest tu jeszcze jakiś problem z Dziennikiem zdarzeń oraz wymagane inne poprawki: 1. Zapomniałam załączyć do deinstalacji JavaFX 2.1.1 i MyFreeCodec (zbędnik Samsung Kies), więc odinstaluj. 2. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: S0 Lbd; system32\DRIVERS\Lbd.sys [X] Task: {615DE320-375D-4EDB-8DAE-2930E930388F} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Task: C:\Windows\Tasks\Ad-Aware Update (Weekly).job => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File DPF: HKLM-x32 {8AD9C840-044E-11D1-B3E9-00805F499D93} DPF: HKLM-x32 {CAFEEFAC-0017-0000-0067-ABCDEFFEDCBA} DPF: HKLM-x32 {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} C:\aaw7boot.log C:\Program Files\SkanerOnline C:\Program Files (x86)\Astroburn Toolbar C:\Program Files (x86)\FlashGet Network C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Java C:\Program Files (x86)\Lavasoft C:\Program Files (x86)\Opera C:\Program Files (x86)\SupTab C:\Program Files (x86)\Temp C:\Program Files (x86)\v9Soft C:\ProgramData\Ask C:\ProgramData\Astroburn Lite C:\ProgramData\boost_interprocess C:\ProgramData\Lavasoft C:\ProgramData\McAfee C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\Oracle C:\ProgramData\Partner C:\ProgramData\Sun C:\ProgramData\{*}.log C:\Users\Remek\AppData\Local\cache C:\Users\Remek\AppData\Local\genienext C:\Users\Remek\AppData\Local\globalUpdate C:\Users\Remek\AppData\Local\Opera Software C:\Users\Remek\AppData\Local\Sunbelt Software C:\Users\Remek\AppData\Local\uninst.tmp C:\Users\Remek\AppData\LocalLow\boost_interprocess C:\Users\Remek\AppData\LocalLow\facemoods.com C:\Users\Remek\AppData\LocalLow\Oracle C:\Users\Remek\AppData\LocalLow\Sun C:\Users\Remek\AppData\LocalLow\Temp C:\Users\Remek\AppData\Roaming\FlashGet C:\Users\Remek\AppData\Roaming\FlashGetBHO C:\Users\Remek\AppData\Roaming\Mozilla\Firefox\Profiles\sd9ervls.default C:\Users\Remek\AppData\Roaming\Opera Software C:\Users\Remek\AppData\Roaming\ISXX C:\Users\Remek\AppData\Roaming\NSUROF C:\Users\Remek\AppData\Roaming\RI C:\Users\Remek\AppData\Roaming\SELU C:\Users\Remek\AppData\Roaming\VIQHFUCG C:\Users\Remek\AppData\Roaming\WEMJ C:\Windows\SysWOW64\rp_rules.dat C:\Windows\SysWOW64\rp_stats.dat CMD: sc config Eventlog start= auto Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie kolejny plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Adres wyiksowałam, by nikt tam nie klikał. Z daleka od takich stron, które niby oferują rozwiązania błędów, ale trzeba jakiś "skaner" stamtąd ściągać. To typowe manipulacje, by przekonać do niepożądanych instalacji. Nazwa aplikacji powodującej błąd: iexplore.exe, wersja: 11.0.9600.17420, sygnatura czasowa: 0x545ad233 Nazwa modułu powodującego błąd: MSHTML.dll, wersja: 11.0.9600.17420, sygnatura czasowa: 0x545ae63c Błąd powoduje jeden z modułów Microsoftu, więc trudno tu cokolwiek powiedzieć na ten temat. Skoro obecnie IE chodzi poprawnie, nasuwa się: 1. Wg raportu 12 listopada odbyła się jakaś aktualizacja Windows, która zaaplikowała nowe wersje niektórych plików silnika IE (w tym ów wymieniany jako moduł powodujący błąd), więc być może to rozwiązało problem. ==================== One Month Created Files and Folders ======== 2014-11-12 10:07 - 2014-11-06 04:10 - 19781632 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll 2. Albo wyłączenie starych lub niekompatybilnych dodatków. Widzę, że manipulowałeś jakimś menedżerem i wyłączone są w IE rozszerzenia FlipAlbum / FlipViewer (to są straszne starocie i nie wykluczone, że mogą powodować problemy) i RealPlayer. Te wpisy i tak usunę. BHO: No Name -> Disabled:{3049C3E9-B461-4BC5-8870-4C09146192CA} -> No File BHO: No Name -> Disabled:{4401FDC3-7996-4774-8D2B-C1AE9CD6CC25} -> No File A ten błąd (nie powiązany z powyższym problemem IE) nadal występuje, ale to już omawialiśmy wiele razy: System errors: ============= Error: (11/18/2014 05:12:09 PM) (Source: Microsoft-Windows-Kernel-Processor-Power) (EventID: 6) (User: ZARZĄDZANIE NT) Description: Niektóre funkcje zarządzania energią procesora w czasie wydajności zostały wyłączone z powodu znanego problemu z oprogramowaniem układowym. Skontaktuj się z producentem komputera w celu uzyskania aktualizacji oprogramowania układowego. W raportach brak oznak infekcji. Tylko kosmetyka do wykonania (usunięcie pustych wpisów i czyszczenie Temp). Otwórz Notatnik i wklej w nim: CloseProcesses: S3 ASCAntivirusSrv; No ImagePath BootExecute: BHO: No Name -> Disabled:{3049C3E9-B461-4BC5-8870-4C09146192CA} -> No File BHO: No Name -> Disabled:{4401FDC3-7996-4774-8D2B-C1AE9CD6CC25} -> No File Toolbar: HKU\S-1-5-21-4045998331-1084192385-2102066057-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File C:\Program Files\mozilla firefox\plugins C:\ProgramData\PC1Data C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk C:\Users\Tadeusz\AppData\Roaming\Mozilla\Firefox\Profiles\ygqgnt9d.default-1407678463037\Extensions\adremoveext@adremoveext.net Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\${searchCLSID}" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\BBA405ADD7B17A75BFCF151CDA60224C" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f RemoveDirectory: C:\Users\Administrator EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. .

Potem będą do wdrożenia jeszcze drobniejsze korekty, obecnie nie jest to istotne. Widoczne składniki infekcji zostały usunięte, są w kwarantanie C:\FRST\Quarantine, ale nie zadaję usuwania jej (obiekty w niej nie mogą się już uruchomić i poczynić szkód), by ograniczyć zapisy na dysku. I próbuj TestDisk, by sprawdzić czy on w ogóle jest w stanie znaleźć niezaszyfrowane poprzednie wersje plików. Czy na koncie Krzych proste ponowne ustawienie tapety w opcjach Windows jest możliwe / likwiduje niebieskie tło? Jeśli chodzi o problem bad sectorów, to niezbędna jest diagnostyka sprzętowa dysku. W zależności od wyników tej operacji może się okazać, że będzie do przeprowadzenia radykalna operacja. Założ nowy temat w dziale Hardware podając wymagane dane: KLIK. Zlinkuj do tego tematu, by wiedzieli jaka jest geneza problemu. .

Temat przenoszę do działu Windows 7. Rozwiń ten temat. Dokładnie opisz co się dzieje i jakie są błędy. Po pierwsze: widzę że próbujesz edytować w gałęzi HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002. Jedyna jaką należy edytować to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet, czyli bieżąca używana przez system, która linkuje do stosownego klucza ControlSet00x, w tym przypadku prawdopodobnie ControlSet001. Edycja w CurrentControlSet automatycznie aktualizuje ControlSet001. Pozostałe kopie konfiguracyjne to Ostatnia poprawna konfiguracja (tu prawdopodobnie ControlSet002) oraz kopie typu Failed. Nie ma sensu edytować innych kopii konfiguacyjnych niż bieżąca CurrentControlSet. Po drugie: blokada Properties to normalny stan w kluczach Enum, ale w związku z powyższym (lokalizacja w alternatywnej kopii ControlSet002) nie ma sensu tego edytować, jest to nieużywana kopia nie mająca wpływu na zachowanie systemu, gdyż egzekwowana tylko w przypadku F8 > Ostatnia poprawna konfiguracja. Jeśli trzeba będzie usunąć jakieś zablokowane wpisy z gałęzi CurrentControlSet, wtedy podam jak. Na razie problem jest w ogóle niejasny i nie wiadomo co się dzieje z drukarką i czy obrana metoda naprawy jest właściwą.

Reczywiście, rozszerzenie adware w Operze nie było już obecne na tym etapie. Zadania wykonane, ale AdwCleaner się pomylił i skasował folder rozszerzenia Skype Click to Call z Google Chrome, więc Ustawienia > karta Rozszerzenia > odinstaluj odpadkowy wpis. I kończymy: 1. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 2. Rozważ aktualizację systemu do wersji Windows 8.1, stan obecny: Platform: Windows 8 (X64) OS Language: Polski (Polska) Internet Explorer Version 10

Jeśli chodzi o czyszczenie ze śmieci, to wiadome kroki końcowe: KLIK. W Autoruns w karcie Services wyłącz SkypeUpdate, w karcie Logon możesz odfajkować te pozycje: ==================== Registry (Whitelisted) ================== HKLM\...\Run: [smartMenu] => C:\Program Files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe [610872 2009-07-21] () HKLM-x32\...\Run: [HPCam_Menu] => c:\Program Files (x86)\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe [218408 2009-02-25] (CyberLink Corp.) HKLM-x32\...\Run: [updatePRCShortCut] => C:\Program Files (x86)\Hewlett-Packard\Recovery\MUITransfer\MUIStartMenu.exe [222504 2009-05-19] (CyberLink Corp.) HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe [35696 2009-02-27] (Adobe Systems Incorporated) HKLM-x32\...\Run: [HP Software Update] => C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe [54576 2009-11-18] (Hewlett-Packard) HKLM-x32\...\Run: [NeroCheck] => C:\Windows\SysWOW64\NeroCheck.exe [155648 2001-07-09] (Ahead Software Gmbh) HKLM-x32\...\Run: [GrooveMonitor] => C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation) Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk Zaś w karcie Scheduled Tasks te: ==================== Scheduled Tasks (whitelisted) ============= Task: {6C459576-2F9F-4ADF-BB87-DBFA7BFD2CDC} - System32\Tasks\HPCeeScheduleForjustyna i darek => C:\Program Files (x86)\hewlett-packard\sdp\ceement\HPCEE.exe [2009-05-26] (Hewlett-Packard) Task: {6F3E82CE-3F4F-4CBA-A059-B63C56F594B7} - System32\Tasks\CapUninst => c:\Program Files (x86)\Hewlett-Packard\Media\Live TV\Kernel\TV\CapUninst.exe [2009-07-24] (CL) Task: {8FA9A04F-2770-428C-9500-BBE862315F64} - System32\Tasks\DVDAgent => c:\Program Files (x86)\Hewlett-Packard\Media\DVD\DVDAgent.exe [2009-07-23] (CyberLink Corp.) Task: {9E9EFC31-286C-449F-BD57-710BFE369067} - System32\Tasks\CapSvcInst => c:\Program Files (x86)\Hewlett-Packard\Media\Live TV\Kernel\TV\CapSvcInst.exe [2009-07-24] (CL) Task: {A4EE0181-8FA5-4EFB-8FFB-C4F13F934366} - System32\Tasks\CLMLSvc => c:\Program Files (x86)\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe [2009-07-23] (CyberLink) Task: {A6839CC1-264B-4293-B88D-A5D34FD4C9CD} - System32\Tasks\CapSchedInst => c:\Program Files (x86)\Hewlett-Packard\Media\Live TV\Kernel\TV\CapSchedInst.exe [2009-07-24] (CL) Task: {EF3869C0-5033-40BE-9CCD-44223BABABC7} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HPSAObjUtilTask => C:\Program Files (x86)\Hewlett-Packard\HP Health Check\ActiveCheck\product_line\UtilTask.exe [2013-02-12] (Microsoft) Task: {F02C10F7-5933-465D-8622-785D40D3FB51} - System32\Tasks\TVAgent => c:\Program Files (x86)\Hewlett-Packard\Media\Live TV\TVAgent.exe [2009-07-24] (CyberLink Corp.) Task: C:\Windows\Tasks\HPCeeScheduleForjustyna i darek.job => C:\Program Files (x86)\hewlett-packard\sdp\ceement\HPCEE.exe Część z nich mogłaby zniknąć po deinstalacji określonych rzeczy. Jeśli chodzi o deinstalację, to można się pozbyć tego wszystkiego: ==================== Installed Programs ====================== Adobe Reader 9.1 - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-A91000000001}) (Version: 9.1.0 - Adobe Systems Incorporated) CyberLink DVD Suite (HKLM-x32\...\InstallShield_{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}) (Version: 6.0.3101 - CyberLink Corp.) HP Advisor (HKLM-x32\...\{B53E61D7-7C80-40DF-82D2-CF5390D6D20A}) (Version: 3.2.8946.3086 - Hewlett-Packard) HP Customer Experience Enhancements (HKLM-x32\...\{5B295588-59C1-4386-9F85-BB4BEDCB0D22}) (Version: 5.7.0.3036 - Hewlett-Packard) HP Customer Participation Program 14.0 (HKLM\...\HPExtendedCapabilities) (Version: 14.0 - HP) HP MediaSmart DVD (HKLM-x32\...\InstallShield_{DCCAD079-F92C-44DA-B258-624FC6517A5A}) (Version: 3.0.3123 - Hewlett-Packard) HP MediaSmart Internet TV (HKLM-x32\...\InstallShield_{E553760D-D7F7-48BF-BD8B-C7E23BA04CB5}) (Version: 3.0.1916 - Hewlett-Packard) HP MediaSmart Live TV (HKLM-x32\...\InstallShield_{67626E09-5366-4480-8F1E-93FADF50CA15}) (Version: 3.0.1924 - Hewlett-Packard) HP MediaSmart Movie Themes (HKLM-x32\...\InstallShield_{3023EBDA-BF1B-4831-B347-E5018555F26E}) (Version: 3.0.3102 - Hewlett-Packard) HP MediaSmart Music/Photo/Video (HKLM-x32\...\InstallShield_{B2EE25B9-5B00-4ACF-94F0-92433C28C39E}) (Version: 3.0.3123 - Hewlett-Packard) HP MediaSmart SmartMenu (HKLM\...\{88E60521-1E4E-4785-B9F1-1798A4BD0C30}) (Version: 3.0.30.1 - Hewlett-Packard) HP MediaSmart Webcam (HKLM-x32\...\InstallShield_{01FB4998-33C4-4431-85ED-079E3EEFE75D}) (Version: 3.0.1913 - Hewlett-Packard) HP Support Assistant (HKLM-x32\...\{4F46FDB9-B906-47BF-B3D5-C62E01B3C5EE}) (Version: 4.1.11.3 - Hewlett-Packard) HP Update (HKLM-x32\...\{74DC0593-6BC6-4001-AD5F-D810AFB68D86}) (Version: 5.002.002.002 - Hewlett-Packard) HP User Guides 0153 (HKLM-x32\...\{2EBA8202-FBD5-4004-81EA-BDC38C054CE2}) (Version: 1.01.0000 - Hewlett-Packard) LabelPrint (HKLM-x32\...\InstallShield_{C59C179C-668D-49A9-B6EA-0121CCFC1243}) (Version: 2.5.1913 - CyberLink Corp.) Power2Go (HKLM-x32\...\InstallShield_{40BF1E83-20EB-11D8-97C5-0009C5020658}) (Version: 6.0.3101 - CyberLink Corp.) PowerDirector (HKLM-x32\...\InstallShield_{CB099890-1D5F-11D5-9EA9-0050BAE317E1}) (Version: 7.0.3101 - CyberLink Corp.) Shop for HP Supplies (HKLM\...\Shop for HP Supplies) (Version: 14.0 - HP) Czyli głównie "pomoce", "uczestnictwo w supporcie" i instalacje multimedialne. Nie ruszam żadnych obiektów HP związanych z funkcjami sprzętowymi. .

Czy na pewno to log FRST po zaimportowaniu pliku FIX.REG i bez wykonania żadnych innych kombinacji jak cofanie systemu wstecz z trefnej kopii zapasowej? W logu FRST nadal brak usługi Netman.

Tak, w systemie są czynne infekcje, w tym Sathurbot ładowany metodą ShellIconOverlayIdentifiers. Ponadto są też liczne wpisy odpadkowe adware (m.in. przekierowania istartsurf.com). Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe ShellIconOverlayIdentifiers: [1SecureIconsProvider] -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\ProgramData\Microsoft\Secure\Icons\SecureIconsProvider.dll () HKU\S-1-5-21-553344540-897006182-1067068338-1000\...\Run: [iZsoft] => regsvr32.exe C:\Users\Remek\AppData\Local\IZsoft\Acrofx32.dll HKU\S-1-5-21-553344540-897006182-1067068338-1000\...\Run: [iksoft] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Remek\AppData\Local\Ugmedia\Acrofx32.dll HKU\S-1-5-21-553344540-897006182-1067068338-1000\...\Policies\Explorer: [Run] "C:\Users\Remek\AppData\Roaming\Microsoft\Windows\IEUpdate\esentutl.exe" Reg: reg query HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce HKU\S-1-5-18\...\RunOnce: [Application Restart #2] => C:\Windows\SysWOW64\calc.exe [776192 2010-11-20] (Microsoft Corporation) BootExecute: autocheck autochk * lsdelete S2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe -service [X] S3 KiesAllShare; C:\Program Files (x86)\Samsung\Kies\WiselinkPro\WiselinkPro.exe [X] S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 GPU-Z; \??\C:\Users\Remek\AppData\Local\Temp\GPU-Z.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] U3 tmlwf; No ImagePath U3 tmwfp; No ImagePath Task: {296C04A8-FA06-460F-B2CC-5B0F211837A2} - System32\Tasks\RI => C:\Users\Remek\AppData\Roaming\RI.exe Task: {2D7D7070-A6F2-4A0B-989D-929A5D843999} - \Security Center Update - 3469905027 No Task File Task: {44964D54-A3A5-4B7C-AB80-40A05E58AC04} - System32\Tasks\{0F5489D2-F6D9-40DF-A18E-F15B1A266CE5} => D:\gry\Total War Shogun 2\Shogun2.exe Task: {667C0599-BD1A-413B-A92C-A039A1E01175} - System32\Tasks\{7EAE4927-8A23-423A-B96D-79524BED8A8A} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=5.1.0.112.259&LastError=0 Task: {C8E21006-6E2E-4EF5-8CAD-EB6E1A9D8712} - System32\Tasks\SELU => C:\Users\Remek\AppData\Roaming\SELU.exe Task: {D418128A-7712-45F1-A1FA-FE8B62F98BEC} - System32\Tasks\ISXX => C:\Users\Remek\AppData\Roaming\ISXX.exe Task: {EEE16566-BFFE-429E-BE04-D8D0126A311F} - System32\Tasks\VIQHFUCG => C:\Users\Remek\AppData\Roaming\VIQHFUCG.exe Task: {EFBB96C5-C6BF-4C1F-994B-043B0553F2A0} - System32\Tasks\NSUROF => C:\Users\Remek\AppData\Roaming\NSUROF.exe Task: {F238DCBF-E828-4C73-9605-8B46CC7036E2} - System32\Tasks\WEMJ => C:\Users\Remek\AppData\Roaming\WEMJ.exe Task: {F2B5BCBC-30E7-416B-89CF-2B853CFB4634} - System32\Tasks\{8F931B67-8B77-405E-8DA2-3AE9B6C6FBF6} => D:\gry\Total War Shogun 2\Shogun2.exe Task: C:\Windows\Tasks\ISXX.job => C:\Users\Remek\AppData\Roaming\ISXX.exe Task: C:\Windows\Tasks\NSUROF.job => C:\Users\Remek\AppData\Roaming\NSUROF.exe Task: C:\Windows\Tasks\RI.job => C:\Users\Remek\AppData\Roaming\RI.exe Task: C:\Windows\Tasks\SELU.job => C:\Users\Remek\AppData\Roaming\SELU.exe Task: C:\Windows\Tasks\VIQHFUCG.job => C:\Users\Remek\AppData\Roaming\VIQHFUCG.exe Task: C:\Windows\Tasks\WEMJ.job => C:\Users\Remek\AppData\Roaming\WEMJ.exe ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKU\S-1-5-21-553344540-897006182-1067068338-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKU\S-1-5-21-553344540-897006182-1067068338-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> DefaultScope {0D7562AE-8EF6-416d-A838-AB665251703A} URL = http://start.facemoods.com/?a=ostpl&s={searchTerms}&f=4 SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> {0D7562AE-8EF6-416d-A838-AB665251703A} URL = http://start.facemoods.com/?a=ostpl&s={searchTerms}&f=4 SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> {5F970FDE-702B-4ef9-920C-5F2848A5AF26} URL = http://www.daemon-search.com/search/web?q={searchTerms} SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search/web?q={searchTerms} SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> {E8FA2325-7F80-4757-83C1-4DA099082835} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=F9A780BD-8EF8-4ACB-B625-28DB11D43D6E&apn_sauid=FCD22013-E420-4A72-ADE2-B432F89CD7DE BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File BHO-x32: No Name -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> No File Toolbar: HKLM - No Name - {EFEED92A-A33D-4873-BA8F-32BAA631E54D} - No File Toolbar: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab FF HKLM-x32\...\Firefox\Extensions: [{23fcfd51-4958-4f00-80a3-ae97e717ed8b}] - C:\Program Files (x86)\DivX\DivX Plus Web Player\firefox\DivXHTML5 FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Remek\AppData\Roaming\Mozilla\Firefox\Profiles\5xlcivj9.default-1341663662249\extensions\faststartff@gmail.com C:\Program Files (x86)\mozilla firefox\browser\searchplugins\istartsurf.xml C:\Program Files (x86)\mozilla firefox\extensions C:\Program Files (x86)\mozilla firefox\plugins C:\Program Files (x86)\hdvidcodec.com C:\ProgramData\*.dll C:\ProgramData\IePluginServices C:\ProgramData\Microsoft\Secure C:\ProgramData\Temp C:\ProgramData\WindowsMangerProtect C:\Users\Remek\AppData\Local\IZsoft C:\Users\Remek\AppData\Local\Mobogenie C:\Users\Remek\AppData\Local\Ugmedia C:\Users\Remek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\hdvidcodec.com C:\Users\Remek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\Remek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\Remek\AppData\Roaming\newnext.me C:\Users\Remek\AppData\Roaming\Temp C:\Users\Remek\AppData\Roaming\VOPackage C:\Users\Remek\AppData\Roaming\WebExtend C:\Users\Remek\AppData\Roaming\Zaboti C:\Users\Remek\AppData\Roaming\Microsoft\Windows\IEUpdate C:\Users\serwis\AppData\Roaming\Asus WebStorage C:\Windows\system32\Drivers\etc\hosts.txt Hosts: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\VOPackage /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Remek\AppData\Local CMD: dir /a C:\Users\Remek\AppData\LocalLow CMD: dir /a C:\Users\Remek\AppData\Roaming CMD: dir /a C:\Users\Remek\AppData\Roaming\Microsoft\Windows Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj stare wersje: Acrobat.com, Ad-Aware, Adobe Flash Player 10 ActiveX, Java 7 Update 67. 3. Wyczyść Firefox ze śmieci: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie potem przeinstalować. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Nie podałeś w czym Avast wykrył "Win32:Evo-gen [susp]" - podaj konkretną ścieżkę dostępu do pliku. W raportach nie widać żadnych oznak czynnej infekcji. 1. W ramach kosmetyki usuń mikro odpadki adware, inne puste wpisy i wyczyść Tempy. Otwórz Notatnik i wklej w nim: Task: {9081BA70-BEE2-497B-9617-D12EFB8A6537} - System32\Tasks\Installer_sense => C:\Users\user\AppData\Local\Installer\Installsense_32682\delay.exe Task: {C232B0D1-6CDD-4DD0-9525-5E7172D52384} - \Installer_iwebar No Task File Task: {E26C201D-2CDF-4DAD-85C5-1814DBD22839} - System32\Tasks\{D4AB1010-FAD8-4776-8815-331E79FF3F56} => Chrome.exe http://ui.skype.com/ui/0/6.18.0.106/pl/abandoninstall?page=tsProgressBar Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X] S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk C:\ProgramData\TEMP C:\Users\Public\Documents\ShopperPro Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. I pokaż też logi z folderu C:\AdwCleaner (był używany). 2. Specjalny skrót Internet Explorer jest uszkodzony: Shortcut: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff .

Czyli jest jednak "BRAK" - to właśnie ta pozycja powoduje ten błąd. Monitoring nie może być włączony dla dysku, który nie istnieje, nawet jeśli to stan "przejściowy". Wyłącz ochronę dla tego "BRAK", a pozycja powinna zniknąć z okna, zaś błąd ustąpić.

Bonifacy skorygowałam w skinie ten defekt pojawiający się przy stosowaniu opcji "Powiększaj tylko tekst".

Prosiłam również o główny zrzut ekranu okna z listą woluminów.

Jeśli chodzi o czyszczenie ze śmieci, to kończymy. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. - Co to dokładnie za model laptopa? - Czy połączenie kablowe na pewno działało wcześniej? - Co widzisz w Menedżerze urządzeń (w menu Widok włącz pokazywanie ukrytych urządzeń) - czy są jakieś urządzenia z wykrzyknikiem bądź pytajnikiem, czy w Kartach sieciowych jest w ogóle wykryte urządzenie związane z tym połączeniem? .

Akcja wykonana. Kończymy: 1. Nie zauważyłam, że po deinstalacjach ostał się wpis niebezpiecznej wersji Java™ 6 Update 22. Był jakiś problem z deinstalacją? Skorzystaj z JavaRA, by się tego pozbyć: KLIK. 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. Do aktualizacji cały system: KLIK. Stan obecny (brak SP1, IE11 i reszty łat): Platform: Windows 7 Ultimate (X64) OS Language: Polski (Polska) Internet Explorer Version 8

Drobne poprawki. Otwórz Notatnik i wklej w nim: Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {4A8BEE02-05E0-4B87-95BF-D88D61B264E3} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {4A8BEE02-05E0-4B87-95BF-D88D61B264E3} /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg delete "HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main"/f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f HKU\S-1-5-21-3670591184-648614672-2990897947-1002\...\RunOnce: [] => [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Ten rodzaj infekcji prawdopodobnie dostał się na komputer za pomocą e-mail ze szkodliwym załącznikiem. Czy przypominasz sobie coś w tym stylu? Przechodzimy do usuwania czynnej infekcji oraz odpadków adware. Operacje zapisu na dysku ograniczone do niezbędnego minimum jakie jest możliwe w tym przypadku, by ograniczyć zamazywanie miejsc. Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Startup: C:\Documents and Settings\Krzych\Menu Start\Programy\Autostart\bytor.bmp () Startup: C:\Documents and Settings\Krzych\Menu Start\Programy\Autostart\msiexec.exe (Disc Soft Ltd) C:\Documents and Settings\Krzych\Dane aplikacji\bytor.bmp C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\IBUpdaterService C:\Documents and Settings\Krzych\Dane aplikacji\Babylon C:\Documents and Settings\Krzych\Dane aplikacji\newnext.me C:\Documents and Settings\Krzych\Dane aplikacji\PerformerSoft C:\WINDOWS\DUMP*.tmp AppInit_DLLs: c:\docume~1\alluse~1\daneap~1\browse~1\261095~1.52\{c16c1~1\browse~1.dll => c:\docume~1\alluse~1\daneap~1\browse~1\261095~1.52\{c16c1~1\browse~1.dll File Not Found HKU\S-1-5-21-507921405-1078081533-725345543-1003\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141110 HKU\S-1-5-21-507921405-1078081533-725345543-1003\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.onet.pl/ HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141110 SearchScopes: HKCU - bProtectorDefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119816&babsrc=SP_ss&mntrId=84cfa29e00000000000000112fa872b0 Toolbar: HKU\S-1-5-21-507921405-1078081533-725345543-1003 -> DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll No File Toolbar: HKU\S-1-5-21-507921405-1078081533-725345543-1003 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File HKU\S-1-5-21-507921405-1078081533-725345543-1003\...\Run: [MSMSGS] => "C:\Program Files\Messenger\msmsgs.exe" /background HKU\S-1-5-21-507921405-1078081533-725345543-1003\...\MountPoints2: {cdf60b7b-78f7-11e2-bb14-00112fa872b0} - P:\SETUP.exe S2 avast! Firewall; "C:\Program Files\AVAST Software\Avast\afwServ.exe" [X] S1 aswKbd; \??\C:\WINDOWS\system32\drivers\aswKbd.sys [X] S3 CtClsFlt; system32\DRIVERS\CtClsFlt.sys [X] Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693} /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, plansza okupu powinna zniknąć. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W systemie są dwa czynne konta: ========================= Accounts: ========================== Gabi (S-1-5-21-507921405-1078081533-725345543-1004 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Gabi Krzych (S-1-5-21-507921405-1078081533-725345543-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Krzych Dotychczas było weryfikowane konto Krzych. Potrzebne sprawdzenie obu kont. Zaloguj się po kolei na każde poprzez pełny restart komputera (a nie opcję Wyloguj czy Prełącz użytkownika) i na każdym zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. PS. Dodam jeszcze, że klaruje się również problem sprzętowy. Dziennik zdarzeń notuje bad sektory na jednym z dysków: System errors: ============= Error: (11/17/2014 05:40:09 PM) (Source: 0) (EventID: 7) (User: ) Description: \Device\Harddisk2\D Gdy uporamy się z podstawową sprawą tutaj, wyślę Cię do działu Hardware na diagnostykę dysków twardych. .

Fix wykonany pomyślnie. Ostatni skrypt do FRST: C:\Users\justyna\AppData\Local\*.txt C:\Users\justyna\AppData\Roaming\PhotoFiltre 7 RemoveDirectory: C:\FRST\Quarantine Przedstaw wykonikowy fixlog.txt. Czy ten efekt nadal występuje? .

Jedyne co mogę zrobić, to usunąć uruchamianie infekcji i zdjąć planszę z żądaniem okupu, czyli te elementy startowe: Startup: C:\Documents and Settings\Krzych\Menu Start\Programy\Autostart\bytor.bmp () Startup: C:\Documents and Settings\Krzych\Menu Start\Programy\Autostart\msiexec.exe (Disc Soft Ltd) Bardzo mi przykro, ale odszyfrowanie danych jest niemożliwe technicznie. Tutaj cytuję odpowiedź na temat "decode@india.com" od ekipy Kasperski z forum gdzie mam specjalny dostęp: Zostaje jako ratunek tylko i wyłącznie soft do odzyskiwania danych, by wyszukać poprzednią niezaszyfrowaną wersję pliku, np. TestDisk (z pominięciem ustępu o StopGpcode, bo to pod inną infekcję). O ile infekcja nie nadpisała miejsc na dysku, gdyż infekcje tego typu przewidują możliwość zastosowania tego rodzaju oprogramowania i nadpisują obszary, by nie dało się tego wykonać. Oczywiście próba ma być wykonana już po usunięciu elementów startowych infekcji. Czekam na Twoją reakcję czy mam przejść do tej fazy, na wypadek gdybyś myślał o formacie dysku (krzyżyk na danych). .

Wspominałam już o starej wersji przeglądarki. Nie pamiętam od której dokładnie wersji Chrome występuje ten reset, ale wygląda na to, że Twoja wersja 30.0.1599.101 jest jej pozbawiona. Opuść ten punkt i kontynuuj dalej.

Tak, to już koniec działań. Temat rozwiązany. Zamykam.

Tak jak mówiłam, jest w systemie adware, czynne rozszerzenia w Google Chrome (a wersja przeglądarki stara) oraz inne szczątki. Jednakże są to wiekowe odpadki datowane na rok 2013 (nie doczyszczone po prostu wcześniej), ponadto one są na innym niskim poziomie i nie mogą powodować tych efektów: Powyższe efekty niestety może wytwarzać coś wręcz przeciwnego niż infekcja, tzn. Norton Internet Security - jak już zaznaczałam, jest to bardzo inwazyjna instalacja. Ponadto, w Dzienniku zdarzeń są błędy sugerujące problemy z oprogramowaniem nVidia (usługę zgłaszającą błędy będę wyłączać) oraz sprzętowe: System errors: ============= Error: (11/17/2014 01:15:34 AM) (Source: ACPI) (EventID: 13) (User: ) Description: : Kontroler osadzony nie odpowiedział przed upływem limitu czasu. Może to wskazywać, że wystąpił błąd w sprzęcie lub oprogramowaniu układowym kontrolera osadzonego albo że system BIOS uzyskuje dostęp do kontrolera osadzonego w niepoprawny sposób. Należy skontaktować się z producentem komputera w sprawie uaktualnionego systemu BIOS. W niektórych sytuacjach ten błąd może spowodować niepoprawne funkcjonowanie komputera. Application errors: ================== Error: (11/16/2014 10:33:47 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcNvVAD initialization failed [6] Error: (11/16/2014 10:33:47 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0] Ubytek miejsca jest wyjaśniony, za mało miejsca w magazynie kopii cieniowych i system samoczynnie opróżnił starsze punkty Przywracania systemu. Odnotował to Dziennik zdarzeń: Error: (11/16/2014 10:33:14 PM) (Source: volsnap) (EventID: 25) (User: ) Description: Kopie w tle woluminu C: zostały usunięte, ponieważ nie można było powiększyć magazynu kopii w tle. Rozważ zmniejszenie obciążenia We/Wy w systemie lub wybierz wolumin magazynu kopii w tle, który nie jest kopiowany w tle. Jeśli chodzi o doczyszczanie śmieci i wpisów pustych oraz inne drobne korekty (włączając deaktywację problematycznej usługi nVidia), przeprowadź następujące działania: 1. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware Extended Protection, Lightning Newtab Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: ShortcutWithArgument: C:\Users\E531\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W ShortcutWithArgument: C:\Users\E531\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W ShortcutWithArgument: C:\Users\E531\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W ShortcutWithArgument: C:\Users\E531\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms} SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms} SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms} SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms} SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms} HKU\S-1-5-21-3670591184-648614672-2990897947-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3670591184-648614672-2990897947-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKU\S-1-5-21-3670591184-648614672-2990897947-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3670591184-648614672-2990897947-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.com/spbasic.htm HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.com/spbasic.htm HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.com/spbasic.htm HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,SearchURL = http://home.microsoft.com/access/autosearch.asp?p=%s HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm HKLM-x32\...\Run: [fst_pl_127] => [X] HKU\S-1-5-21-3670591184-648614672-2990897947-1002\...\RunOnce: [] => [X] S3 mdf16; C:\Users\E531\AppData\Local\Temp\mdf16.sys [20400 2014-01-30] () S3 mvd23; C:\Users\E531\AppData\Local\Temp\mvd23.sys [99248 2014-01-30] () S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] S2 WsysSvc; C:\ProgramData\eSafe\eGdpSvc.exe [X] U2 wuaserv; No ImagePath Task: {0CA8A32D-B428-4CF1-A290-9CD8B74DAB06} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {21325EC4-40A1-4AFD-8F0C-34486A6627BF} - System32\Tasks\{C8F5BEA8-3AB5-402D-9109-6D8265E603B9} => C:\Users\E531\Desktop\oko.exe Task: {5D134D70-348E-4123-9B8A-62E21CC1A44F} - System32\Tasks\{206CDF2C-0BF5-4B29-B5BE-685248D3FA2D} => F:\Microsoft Office\Office12\EXCEL.EXE Task: {75CCF3DB-843F-4431-94DE-EC75854E139E} - System32\Tasks\{9737F133-28EF-4F61-83A7-D29338A817A8} => C:\Users\E531\Desktop\oko.exe Task: {9AB6171C-9333-4D0E-A223-3B56123B027D} - System32\Tasks\{E87B8B75-C669-446A-94EF-23277B12A1AC} => F:\Microsoft Office\Office12\excelcnv.exe Task: {A3A33DA4-8FC5-4EFC-9E23-B2F657D1DA69} - System32\Tasks\{F266EFF3-A646-4D03-ADF5-2BE999CA18D2} => F:\Microsoft Office\Office12\excelcnv.exe Task: {ACA279F8-079F-41B6-9BA0-C0C9A4FADB59} - System32\Tasks\{97980ECF-2753-47F2-8202-A867E9C05864} => F:\Microsoft Office\Office12\EXCEL.EXE Task: {C7EA8C0F-9E46-438A-BAC5-99E18AE23267} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {EBEE5AA0-3738-4E43-9B6E-A1E83577C22C} - System32\Tasks\{5AE3A8FC-10DC-497F-A8FE-AEED80B14A44} => F:\Microsoft Office\Office12\EXCEL.EXE Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe CustomCLSID: HKU\S-1-5-21-3670591184-648614672-2990897947-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\E531\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File C:\ProgramData\eSafe C:\Users\E531\AppData\Local\freeSOFTtoday C:\Users\E531\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx C:\Users\E531\Downloads\DTLite4491-0356.exe Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\qone8 Browser Protecter" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WsysControl /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\qone8Software /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: sc config NvStreamSvc start= disabled EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. Odpowiadaj już w nowym poście, nie edytuj pierwszego posta. .

Kończymy. Zastosuj DelFix (GMER dokasuj ręcznie) i wyczyść foldery Przyracania systemu: KLIK.

Skan MBAM wykrył po prostu instalacje adware (wyglądają na szczątkowe) będące rezultatem działań podonych do tych: KLIK. Zanim przejdziemy do konkretów: Fałszywy alarm Nortona. Proszę wyłącz Nortona na czas pobierania programu i dostarcz raporty z FRST. OTL jest jednak zbyt przestarzały (nie posiada też wielu skanów obecnych w FRST) i jego odczyty są traktowane tylko jako uzupełniająca opinia. GMER jest fanaberyjny i może mu się nie podobać określone środowisko, np. działa tu potężna instalacja Norton oparta o inwazyjne sterowniki poziomu kernel. Co do brakujących 5GB: jest dużo mechanizmów w Windows, które powodują, że miejsce na dysku nie jest stałe i może być w określonych okolicznościach redukowane (np. Tempy, cieniowanie woluminu i punkty Przywracania systemu, zrzuty pamięci, etc.), więc jeśli nie posiadasz konkretów skąd ubyło, a nie zgłaszasz tu jawnego braku danych, nie widzę tu nic niepokojącego jeszcze. .

W skanie dostosowanym FRST było widoczne rozszerzenie adware w katalogu i preferencjach Opery: Jeśli tego nie widać w opcjach Rozszerzeń Opery, to albo jest to martwy szczątek, albo zaszły dodatkowe okoliczności i coś usuwałeś. Zakładam oczywiście, że poprawnie sprawdziłeś opcje Opery. Na wszelki wypadek będę resetować preferencje Opery. I poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\BonanzaDeals C:\Program Files (x86)\BonanzaDealsLive C:\Program Files (x86)\FTDownloader.com C:\Program Files (x86)\Mobogenie C:\Program Files (x86)\predm C:\Program Files (x86)\Temp C:\ProgramData\APN C:\ProgramData\AVG Security Toolbar C:\ProgramData\AVG2013 C:\ProgramData\Babylon C:\ProgramData\BonanzaDealsLive C:\ProgramData\boost_interprocess C:\ProgramData\install_clap C:\ProgramData\Temp C:\ProgramData\WindowsMangerProtect C:\Users\Samsung\AppData\Local\avgchrome C:\Users\Samsung\AppData\Local\BonanzaDealsLive C:\Users\Samsung\AppData\Local\cache C:\Users\Samsung\AppData\Local\Cool_Mirage C:\Users\Samsung\AppData\Local\CrashDumps C:\Users\Samsung\AppData\Local\CrashRpt C:\Users\Samsung\AppData\Local\Mobogenie C:\Users\Samsung\AppData\LocalLow\Delta C:\Users\Samsung\AppData\Roaming\Opera Software\Opera Stable\Extensions\lkdanligledioimheahflbepecbceang C:\Users\Samsung\AppData\Roaming\Opera Software\Opera Stable\Preferences Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz logi z folderu C:\AdwCleaner. .

Pokaż mi zrzut ekranu z okna włącznie z błędem, by było wiadomo jaki kod błędu jest na komunikacie.