picasso

Jedyne co mogę zrobić, to usunąć uruchamianie infekcji i zdjąć planszę z żądaniem okupu, czyli te elementy startowe: Startup: C:\Documents and Settings\Krzych\Menu Start\Programy\Autostart\bytor.bmp () Startup: C:\Documents and Settings\Krzych\Menu Start\Programy\Autostart\msiexec.exe (Disc Soft Ltd) Bardzo mi przykro, ale odszyfrowanie danych jest niemożliwe technicznie. Tutaj cytuję odpowiedź na temat "decode@india.com" od ekipy Kasperski z forum gdzie mam specjalny dostęp: Zostaje jako ratunek tylko i wyłącznie soft do odzyskiwania danych, by wyszukać poprzednią niezaszyfrowaną wersję pliku, np. TestDisk (z pominięciem ustępu o StopGpcode, bo to pod inną infekcję). O ile infekcja nie nadpisała miejsc na dysku, gdyż infekcje tego typu przewidują możliwość zastosowania tego rodzaju oprogramowania i nadpisują obszary, by nie dało się tego wykonać. Oczywiście próba ma być wykonana już po usunięciu elementów startowych infekcji. Czekam na Twoją reakcję czy mam przejść do tej fazy, na wypadek gdybyś myślał o formacie dysku (krzyżyk na danych). .

Wspominałam już o starej wersji przeglądarki. Nie pamiętam od której dokładnie wersji Chrome występuje ten reset, ale wygląda na to, że Twoja wersja 30.0.1599.101 jest jej pozbawiona. Opuść ten punkt i kontynuuj dalej.

Tak, to już koniec działań. Temat rozwiązany. Zamykam.

Tak jak mówiłam, jest w systemie adware, czynne rozszerzenia w Google Chrome (a wersja przeglądarki stara) oraz inne szczątki. Jednakże są to wiekowe odpadki datowane na rok 2013 (nie doczyszczone po prostu wcześniej), ponadto one są na innym niskim poziomie i nie mogą powodować tych efektów: Powyższe efekty niestety może wytwarzać coś wręcz przeciwnego niż infekcja, tzn. Norton Internet Security - jak już zaznaczałam, jest to bardzo inwazyjna instalacja. Ponadto, w Dzienniku zdarzeń są błędy sugerujące problemy z oprogramowaniem nVidia (usługę zgłaszającą błędy będę wyłączać) oraz sprzętowe: System errors: ============= Error: (11/17/2014 01:15:34 AM) (Source: ACPI) (EventID: 13) (User: ) Description: : Kontroler osadzony nie odpowiedział przed upływem limitu czasu. Może to wskazywać, że wystąpił błąd w sprzęcie lub oprogramowaniu układowym kontrolera osadzonego albo że system BIOS uzyskuje dostęp do kontrolera osadzonego w niepoprawny sposób. Należy skontaktować się z producentem komputera w sprawie uaktualnionego systemu BIOS. W niektórych sytuacjach ten błąd może spowodować niepoprawne funkcjonowanie komputera. Application errors: ================== Error: (11/16/2014 10:33:47 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcNvVAD initialization failed [6] Error: (11/16/2014 10:33:47 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0] Ubytek miejsca jest wyjaśniony, za mało miejsca w magazynie kopii cieniowych i system samoczynnie opróżnił starsze punkty Przywracania systemu. Odnotował to Dziennik zdarzeń: Error: (11/16/2014 10:33:14 PM) (Source: volsnap) (EventID: 25) (User: ) Description: Kopie w tle woluminu C: zostały usunięte, ponieważ nie można było powiększyć magazynu kopii w tle. Rozważ zmniejszenie obciążenia We/Wy w systemie lub wybierz wolumin magazynu kopii w tle, który nie jest kopiowany w tle. Jeśli chodzi o doczyszczanie śmieci i wpisów pustych oraz inne drobne korekty (włączając deaktywację problematycznej usługi nVidia), przeprowadź następujące działania: 1. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware Extended Protection, Lightning Newtab Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: ShortcutWithArgument: C:\Users\E531\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W ShortcutWithArgument: C:\Users\E531\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W ShortcutWithArgument: C:\Users\E531\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W ShortcutWithArgument: C:\Users\E531\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms} SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms} SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms} SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms} SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms} HKU\S-1-5-21-3670591184-648614672-2990897947-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3670591184-648614672-2990897947-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKU\S-1-5-21-3670591184-648614672-2990897947-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3670591184-648614672-2990897947-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.com/spbasic.htm HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.com/spbasic.htm HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.com/spbasic.htm HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,SearchURL = http://home.microsoft.com/access/autosearch.asp?p=%s HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm HKLM-x32\...\Run: [fst_pl_127] => [X] HKU\S-1-5-21-3670591184-648614672-2990897947-1002\...\RunOnce: [] => [X] S3 mdf16; C:\Users\E531\AppData\Local\Temp\mdf16.sys [20400 2014-01-30] () S3 mvd23; C:\Users\E531\AppData\Local\Temp\mvd23.sys [99248 2014-01-30] () S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] S2 WsysSvc; C:\ProgramData\eSafe\eGdpSvc.exe [X] U2 wuaserv; No ImagePath Task: {0CA8A32D-B428-4CF1-A290-9CD8B74DAB06} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {21325EC4-40A1-4AFD-8F0C-34486A6627BF} - System32\Tasks\{C8F5BEA8-3AB5-402D-9109-6D8265E603B9} => C:\Users\E531\Desktop\oko.exe Task: {5D134D70-348E-4123-9B8A-62E21CC1A44F} - System32\Tasks\{206CDF2C-0BF5-4B29-B5BE-685248D3FA2D} => F:\Microsoft Office\Office12\EXCEL.EXE Task: {75CCF3DB-843F-4431-94DE-EC75854E139E} - System32\Tasks\{9737F133-28EF-4F61-83A7-D29338A817A8} => C:\Users\E531\Desktop\oko.exe Task: {9AB6171C-9333-4D0E-A223-3B56123B027D} - System32\Tasks\{E87B8B75-C669-446A-94EF-23277B12A1AC} => F:\Microsoft Office\Office12\excelcnv.exe Task: {A3A33DA4-8FC5-4EFC-9E23-B2F657D1DA69} - System32\Tasks\{F266EFF3-A646-4D03-ADF5-2BE999CA18D2} => F:\Microsoft Office\Office12\excelcnv.exe Task: {ACA279F8-079F-41B6-9BA0-C0C9A4FADB59} - System32\Tasks\{97980ECF-2753-47F2-8202-A867E9C05864} => F:\Microsoft Office\Office12\EXCEL.EXE Task: {C7EA8C0F-9E46-438A-BAC5-99E18AE23267} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {EBEE5AA0-3738-4E43-9B6E-A1E83577C22C} - System32\Tasks\{5AE3A8FC-10DC-497F-A8FE-AEED80B14A44} => F:\Microsoft Office\Office12\EXCEL.EXE Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe CustomCLSID: HKU\S-1-5-21-3670591184-648614672-2990897947-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\E531\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File C:\ProgramData\eSafe C:\Users\E531\AppData\Local\freeSOFTtoday C:\Users\E531\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx C:\Users\E531\Downloads\DTLite4491-0356.exe Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\qone8 Browser Protecter" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WsysControl /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\qone8Software /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: sc config NvStreamSvc start= disabled EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. Odpowiadaj już w nowym poście, nie edytuj pierwszego posta. .

Kończymy. Zastosuj DelFix (GMER dokasuj ręcznie) i wyczyść foldery Przyracania systemu: KLIK.

Skan MBAM wykrył po prostu instalacje adware (wyglądają na szczątkowe) będące rezultatem działań podonych do tych: KLIK. Zanim przejdziemy do konkretów: Fałszywy alarm Nortona. Proszę wyłącz Nortona na czas pobierania programu i dostarcz raporty z FRST. OTL jest jednak zbyt przestarzały (nie posiada też wielu skanów obecnych w FRST) i jego odczyty są traktowane tylko jako uzupełniająca opinia. GMER jest fanaberyjny i może mu się nie podobać określone środowisko, np. działa tu potężna instalacja Norton oparta o inwazyjne sterowniki poziomu kernel. Co do brakujących 5GB: jest dużo mechanizmów w Windows, które powodują, że miejsce na dysku nie jest stałe i może być w określonych okolicznościach redukowane (np. Tempy, cieniowanie woluminu i punkty Przywracania systemu, zrzuty pamięci, etc.), więc jeśli nie posiadasz konkretów skąd ubyło, a nie zgłaszasz tu jawnego braku danych, nie widzę tu nic niepokojącego jeszcze. .

W skanie dostosowanym FRST było widoczne rozszerzenie adware w katalogu i preferencjach Opery: Jeśli tego nie widać w opcjach Rozszerzeń Opery, to albo jest to martwy szczątek, albo zaszły dodatkowe okoliczności i coś usuwałeś. Zakładam oczywiście, że poprawnie sprawdziłeś opcje Opery. Na wszelki wypadek będę resetować preferencje Opery. I poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\BonanzaDeals C:\Program Files (x86)\BonanzaDealsLive C:\Program Files (x86)\FTDownloader.com C:\Program Files (x86)\Mobogenie C:\Program Files (x86)\predm C:\Program Files (x86)\Temp C:\ProgramData\APN C:\ProgramData\AVG Security Toolbar C:\ProgramData\AVG2013 C:\ProgramData\Babylon C:\ProgramData\BonanzaDealsLive C:\ProgramData\boost_interprocess C:\ProgramData\install_clap C:\ProgramData\Temp C:\ProgramData\WindowsMangerProtect C:\Users\Samsung\AppData\Local\avgchrome C:\Users\Samsung\AppData\Local\BonanzaDealsLive C:\Users\Samsung\AppData\Local\cache C:\Users\Samsung\AppData\Local\Cool_Mirage C:\Users\Samsung\AppData\Local\CrashDumps C:\Users\Samsung\AppData\Local\CrashRpt C:\Users\Samsung\AppData\Local\Mobogenie C:\Users\Samsung\AppData\LocalLow\Delta C:\Users\Samsung\AppData\Roaming\Opera Software\Opera Stable\Extensions\lkdanligledioimheahflbepecbceang C:\Users\Samsung\AppData\Roaming\Opera Software\Opera Stable\Preferences Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz logi z folderu C:\AdwCleaner. .

Pokaż mi zrzut ekranu z okna włącznie z błędem, by było wiadomo jaki kod błędu jest na komunikacie.

Poprawki będą zalogowanym na koncie Justyna. Otwórz Notatnik i wklej w nim: CloseProcesses: SearchScopes: HKCU - DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={6CA96120-03AA-4CD4-B5EC-3A3A3BBB3C01}&mid=734426b7a65547d08159d16e55ca7cac-5e9ec83d3ac33e27890d98fe7f860460128f9bd7&lang=pl&ds=xn011&pr=sa&d=2012-09-30 09:32:43&v=17.0.1.12&pid=avg&sg=0&sap=dsp&q={searchTerms} SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={6CA96120-03AA-4CD4-B5EC-3A3A3BBB3C01}&mid=734426b7a65547d08159d16e55ca7cac-5e9ec83d3ac33e27890d98fe7f860460128f9bd7&lang=pl&ds=xn011&pr=sa&d=2012-09-30 09:32:43&v=17.0.1.12&pid=avg&sg=0&sap=dsp&q={searchTerms} HKU\S-1-5-21-2497160206-2615029055-3091190810-1001\...\Policies\system: [WallpaperStyle] 2 S4 sptd; System32\Drivers\sptd.sys [X] C:\Program Files\JAVA C:\Program Files (x86)\Ahead C:\Program Files (x86)\AVG C:\Program Files (x86)\Media Player Classic C:\Program Files (x86)\PhotoFiltre 7 C:\ProgramData\{*}.log C:\ProgramData\AVG10 C:\ProgramData\Avg_Update_0814tb C:\ProgramData\DAEMON Tools Lite C:\ProgramData\FarmFrenzy-PizzaParty C:\ProgramData\Gadu-Gadu 10 C:\ProgramData\MFAData C:\ProgramData\Nero C:\ProgramData\NortonInstaller C:\ProgramData\OpenFM C:\ProgramData\Sun C:\ProgramData\Symantec C:\ProgramData\Temp C:\ProgramData\YTD Video Downloader C:\Users\Justyna\AppData\Local\Google\Chrome C:\Users\justyna i darek\AppData\Local\*.txt C:\Users\justyna i darek\AppData\Local\tmpDSC05363.JPG C:\Users\justyna i darek\AppData\Local\cache C:\Users\justyna i darek\AppData\Local\Mozilla C:\Users\justyna i darek\AppData\Local\Symantec C:\Users\justyna i darek\AppData\Roaming\*.dll C:\Users\justyna i darek\AppData\Roaming\*.exe C:\Users\justyna i darek\AppData\Roaming\DAEMON Tools Lite C:\Users\justyna i darek\AppData\Roaming\Dati C:\Users\justyna i darek\AppData\Roaming\Eddu C:\Users\justyna i darek\AppData\Roaming\Edwebi C:\Users\justyna i darek\AppData\Roaming\ErrorLogs C:\Users\justyna i darek\AppData\Roaming\Gadu-Gadu 10 C:\Users\justyna i darek\AppData\Roaming\Goodgame C:\Users\justyna i darek\AppData\Roaming\install C:\Users\justyna i darek\AppData\Roaming\InstallDir C:\Users\justyna i darek\AppData\Roaming\instant C:\Users\justyna i darek\AppData\Roaming\Java C:\Users\justyna i darek\AppData\Roaming\justyna i dareklog.dat C:\Users\justyna i darek\AppData\Roaming\justyna i darekv1.23.0remote C:\Users\justyna i darek\AppData\Roaming\Nero C:\Users\justyna i darek\AppData\Roaming\ntsokrn.txt C:\Users\justyna i darek\AppData\Roaming\OpenFM C:\Users\justyna i darek\AppData\Roaming\PhotoFiltre 7 C:\Users\justyna i darek\AppData\Roaming\System C:\Users\justyna i darek\AppData\Roaming\x0liai0k C:\Users\justyna i darek\AppData\Roaming\Microsoft\kjdfhjiozeuj CMD: dir /a C:\Users\justyna\AppData\Local CMD: dir /a C:\Users\justyna\AppData\LocalLow CMD: dir /a C:\Users\justyna\AppData\Roaming CMD: dir /a C:\Users\justyna\AppData\Roaming\Microsoft Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

To co opisujesz to jest problem strumieni NTFS: KLIK. Może te paczki Synaptics miały omyłkowo spakowane pliki z doczepionymi już strumieniami. PS. Na przyszłość raporty w postaci oryginalnych plików dołączonych metodą załączników forum a nie spoilerów (możliwe zniekształcenia treści oraz parsowanie linków).

Brak danych na temat paczki i co ona właściwie zawierała, brak także danych jak dokładnie wyglądały te foldery w C:\ProgramData, bo na razie opis nic szczególnego nie mówi: - Niebieski kolor oznacza kompresję NTFS. - W C:\ProgramData różne typy programów (czyli nawet i poprawne) mogą tworzyć foldery zawierające liczby. Istotna jest sekwencja: Więc podaj co to były konkretnie za nazwy. I dostarcz raporty z FRST. Te typy wyników mnie nie interesują. Istotne są tylko wyniki o oznaczniu "Detected" / "Infected" lub coś brzmiącego podobnie. CTRL+F i szukaj rekordów tak oznaczonych, a jeśli takowych brak, to i brak wykrytych infekcji i log zbędny. A jeśli zupełnie nie umiesz sobie poradzić z tym, spakuj log do ZIP, na hosting i podaj link do tego. .

Fix wykonany. Teraz uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz log z folderu C:\AdwCleaner. Nie wiem co poprzednio usunąłeś. - Czy próbowałeś przeinstalować wszystkie urządzenia sieciowe na poziomie Menedżera urządzeń? - Czy uruchamiałeś diagnostykę wbudowaną do Vista? - Czy sprawdzałeś możliwości z tego artykułu: KLIK?

Potwierdzam wykonanie DelFix, skasuj z dysku log C:\DelFix.txt. Cytuję z mojego artykułu: .

Główny log z usuwania jest urwany. Nie istotne już, bo jest też podany log z opcji Szukaj pokazujący co było w niewidocznym fragmencie. Ostatni skrypt do FRST - otwórz Notatnik i wklej w nim: Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f RemoveDirectory: C:\AdwCleaner DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

GMER zrobiony w niewłaściwym środowisku - czynny sterownik SPTD. Dołączony log MBAM jest pusty - dostarcz pełny plik. W raportach widać opisywany efekt, multum poszkodowanych wpisów infekcji, ale jeden jest nadal czynny. Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [dndmwdd.exe] => "C:\Users\justyna i darek\AppData\Roaming\dndmwdd.exe" HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [M0JCOTNCMkY3NDQzMDNDRj] => C:\ProgramData\aqlgbtmh.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [RDUwMzMzMzE2QTU5ODNBNT] => C:\ProgramData\bryxirhy.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [84639553] => C:\ProgramData\wnvlsizt.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [MzY1QjcxRTE5NUNGM0VFRk] => C:\ProgramData\ichafcgt.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [KB7J65QX52UA] => C:\Users\justyna i darek\AppData\Roaming\OZDTD0GD.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [Ogu3FMdasw3tbhy6] => "C:\Users\justyna i darek\AppData\Roaming\dndmwdd.exe" HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [firefox] => C:\Users\justyna i darek\AppData\Roaming\Microsoft\00010ccc.tmp HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [sys] => C:\Users\justyna i darek\AppData\Roaming\7SHBPQBYL5.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [sYSTEM Tools] => C:\Users\justyna i darek\AppData\Roaming\pixels\admin523e2cdb4a0a46e78ba1e2037bb534de.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [Java Applet Launcher] => C:\Users\JUSTYN~1\AppData\Local\Temp\jd2launcher.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [windows] => C:\Users\justyna i darek\AppData\Roaming\winupdatex7.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [] => C:\ [0 ] () HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [udpqt] => C:\Users\justyna i darek\AppData\Roaming\Microsoft\jigtPFhx.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [Windows Update] => C:\Users\justyna i darek\AppData\Roaming\System\Windows Update.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [msnmsgr] => C:\Users\justyna i darek\AppData\Roaming\microsoft\StartUp.exe [55632 2009-06-10] (Microsoft Corporation) HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [VC7T408C46XT] => C:\Users\justyna i darek\AppData\Roaming\FLASH34.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [REU0OTQzRkMzNEI3RDkzOT] => C:\ProgramData\wajyvwcl.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [MSE] => C:\Users\justyna i darek\AppData\Local\Temp\javaw.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [bfbnlkcuf] => C:\Users\justyna i darek\AppData\Local\Temp\bmghmmg.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [Hylqlx] => C:\Users\justyna i darek\AppData\Roaming\Hylqlx.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [06a04cf] => C:\Users\justyna i darek\AppData\Roaming\Microsoft\06a04cf.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Policies\system: [WallpaperStyle] 2 HKU\S-1-5-18\...\Policies\system: [WallpaperStyle] 2 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie URLSearchHook: HKLM-x32 - (No Name) - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No File URLSearchHook: HKCU - (No Name) - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No File BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File BHO-x32: AOL Toolbar BHO -> {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} -> C:\Program Files (x86)\AOL\Pasek narzędzi AOL 5.0\aoltb.dll No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File BHO-x32: IEPluginBHO Class -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKLM-x32 - AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files (x86)\AOL\Pasek narzędzi AOL 5.0\aoltb.dll No File Toolbar: HKU\S-1-5-21-2497160206-2615029055-3091190810-1000 -> No Name - {DE9C389F-3316-41A7-809B-AA305ED9D922} - No File Toolbar: HKU\S-1-5-21-2497160206-2615029055-3091190810-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Task: {16539DC8-8710-41C8-973D-B0CE70934AD7} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{5DCA02B1-0B4F-444E-9654-39FDFE87EB72}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{5DCA02B1-0B4F-444E-9654-39FDFE87EB72}.exe DisableService: sptd S3 vzcmwezd; No ImagePath S3 ALSysIO; \??\C:\Users\JUSTYN~1\AppData\Local\Temp\ALSysIO64.sys [X] AlternateDataStreams: C:\Windows\Temp:temp AlternateDataStreams: C:\Users\justyna i darek\Local Settings:init C:\Program Files\AVAST Software C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 C:\ProgramData\Doctor Web C:\ProgramData\Norton C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YTD Video Downloader C:\Users\justyna i darek\Doctor Web C:\Users\justyna i darek\AppData\Local\Google\Chrome C:\Users\justyna i darek\AppData\Local\NPE C:\Users\justyna i darek\AppData\Roaming\microsoft\*.exe C:\Users\justyna i darek\AppData\Roaming\Mozilla C:\Users\justyna i darek\Nokia PC Suite 7\bkmrksync Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\&Wyszukiwarka na pasku narzędzi AOL" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\MenuExt\&Wyszukiwarka na pasku narzędzi AOL" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{1a413f37-ed88-4fec-9666-5c48dc4b7bb7} /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a "C:\Users\justyna i darek\AppData\Local" CMD: dir /a "C:\Users\justyna i darek\AppData\LocalLow" CMD: dir /a "C:\Users\justyna i darek\AppData\Roaming" CMD: dir /a "C:\Users\justyna i darek\AppData\Roaming\Microsoft" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W systemie są dwa konta: ========================= Accounts: ========================== Justyna (S-1-5-21-2497160206-2615029055-3091190810-1001 - Administrator - Enabled) => C:\Users\Justyna justyna i darek (S-1-5-21-2497160206-2615029055-3091190810-1000 - Administrator - Enabled) => C:\Users\justyna i darek Potrzebne raporty FRST ze wszystkich kont. Po kolei zaloguj się na każde poprzez pełny restart systemu (a nie opcję Wyloguj czy Przełącz użytkownika) i na każdym zrób po dwa raporty FRST (główny FRST oraz Addition.txt). Dołącz też plik fixlog.txt. .

Tak, w Firefox są rozszerzenia adware zamontowane. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: ProxyServer: [s-1-5-21-389930386-1937088484-1190560086-1000] => sbs2k:8080 HKU\S-1-5-21-389930386-1937088484-1190560086-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/?src01=dp220140829 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140829 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140829 CHR HomePage: Default -> www.wp.pl/?src01=dp220140829 CHR StartupUrls: Default -> "www.wp.pl/?src01=dp220140829" FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\awesomehp.xml C:\Program Files (x86)\globalUpdate C:\ProgramData\AVG C:\Users\httrh\AppData\Local\AVG C:\Users\httrh\AppData\Local\globalUpdate C:\Users\httrh\AppData\Local\Mobogenie C:\Users\httrh\AppData\Roaming\AVG C:\Users\httrh\AppData\Roaming\RHEng C:\Users\httrh\AppData\Roaming\OpenCandy C:\Users\httrh\AppData\Roaming\Opera Software C:\Users\httrh\AppData\Roaming\Systweak EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus i Hola Better Internet) trzeba będzie przeinstalować. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Tak. W moim poście jest zresztą komentarz spodni: "Aktualizacja: zbyt często pada pytanie czy dane są aktualne. Oczywiście, w przeciwnym wypadku dokonałabym edycji. //picasso" I wielkie dzięki za zainteresowanie.

Przecież omawialiśmy to: KLIK. Wejdź do Opcji folderów > Widok > zaznacz Ukryj chronione pliki systemu operacyjnego. .

Poproszę o raporty z FRST, które wykażą z jakim środowiskiem tu mamy do czynienia.

Wszystko wykonane, kończymy. Skasuj ręcznie pobrany GMER, zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. To tyle.

Usuń pobrane narzędzia z folderu D:\Torrenty. Następnie zastosuj DelFix, wyczyść foldery Przywracania systemu i zaktualizuj Javę: KLIK.

FRST pomyślnie usunął te dwa foldery, więc zastosuj teraz AVG Remover, a po tym powiedz czy nadal w Panelu sterowania widać pozycję AVG.

Poprawki. Otwórz Notatnik i wklej w nim: C:\Program Files\FindRight C:\Program Files\GUM204C.tmp C:\Program Files\GUT204D.tmp C:\ProgramData\AVG C:\ProgramData\Buena Vista Games C:\ProgramData\IePluginService C:\ProgramData\InstallMate C:\Users\Sławek\AppData\Local\cache C:\Users\Sławek\AppData\Local\Lollipop C:\Users\Sławek\AppData\Local\Mobogenie C:\Users\Sławek\AppData\Local\Opera Software C:\Users\Sławek\AppData\Local\SaveSenseLive C:\Users\Sławek\AppData\Roaming\AVG C:\Users\Sławek\AppData\Roaming\Opera Software C:\Users\Sławek\AppData\Roaming\QuickScan C:\Users\Sławek\AppData\Roaming\rmi C:\Users\Sławek\AppData\Roaming\temp.ini C:\Users\Sławek\AppData\Roaming\TMP RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Sławek\Desktop\FRST-OlderVersion RemoveDirectory: C:\Users\Sławek\Desktop\Stare dane programu Firefox CMD: netsh winsock reset Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Przedstaw wynikowy fixlog.txt. .

Zadaia wykonane, przechodzimy dalej, bo tu nie koniec operacji: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" HKLM-x32\...\Run: [tuto4pc_pl_21] => [X] CHR HomePage: Default -> hxxp://www.istartsurf.com/?type=hp&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX CHR StartupUrls: Default -> "hxxp://www.istartsurf.com/?type=hp&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX" C:\Users\Samsung\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Samsung\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Samsung\AppData\Roaming\0D0S1L2Z1P1B0T1P1B2Z C:\Users\Samsung\AppData\Roaming\0F1F1C2Y1H1P1C0I0T C:\Users\Samsung\AppData\Roaming\Bonanza C:\Users\Samsung\AppData\Roaming\DigitalSite C:\Users\Samsung\AppData\Roaming\DigitalSites C:\Users\Samsung\AppData\Roaming\UpdateBonanza Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{3CD242FD-3221-4896-B3F0-1AB473ED083A}" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Samsung\AppData\Local CMD: dir /a C:\Users\Samsung\AppData\LocalLow CMD: dir /a C:\Users\Samsung\AppData\Roaming EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Operacje w przeglądarkach: - Opera: wejdź do Rozszerzeń i odinstaluj adware TheHDvid-Codec V10. - Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Ten log AdwCleaner jest urwany - to na pewno cały log który się zapisał?