picasso

Powtarzaj zadanie, gdyż żadna z komend się nie wykonała. Źle wkleiłeś zawartość posta do Notatnika, wszystkie ukośniki wyzerowane, np. zamiast C:\Program Files (x86)\AVG jest CProgram Files (x86)AVG.

Fix wykonany, możesz przejść dalej.

Temat przenoszę do działu Windows. W ogóle nie poinformowałeś, że temat powielony na innych forach: http://forum.dobreprogramy.pl/po-podłączeniu-pendrive-bluescreen-proszę-o-sprawdzenie-logów-t488860/ http://forum.pclab.pl/topic/1004524-Po-podłączeniu-pendrive-bluescreen-proszę-o-sprawdzenie-logów/ Zasady tutejszego działu wyraźnie adresują takie przypadki. Na przyszłość decyduj gdzie zakładasz temat, bo w tym samym czasie zakładanie tematów na różnych forach mija się z celem (każdy plecie co innego na temat logów, które nawet nie są meritum głównego problemu, skrypty krzyżują się). Przed zamknięciem tematu komentarze: - Na przyszłość proszę nie używaj hostingu wklej.to. Ten szczególny hosting rozkodowuje znaki. Jeśli już jakiś serwis wklejowy to prędzej wklej.org. - Nie zostało wyjaśnione, że podane tam akcje i skrypty mają się nijak do zdarzenia. Zadali "kosmetykę" i tyle. Przy okazji: nie wiadomo co było w folderze C:\Program Files (x86)\Programy - jeśli to był jakiś Twój folder, przetworzenie go spowodowało usunięcie poprawnych danych. - Problem zasadniczy: to nie jest problem infekcji, prędzej problem sprzętowy, ale z podanych tu logów nic w ogóle nie można wywnioskować, bo to nie są logi orientowane pod takie problemy. Jeśli nadal chcesz dochodzić do tego co mogło ew. być przyczyną, zdebuguj pliki DMP wg punktu 5 w ogłoszeniu: https://www.fixitpc.pl/forum-7/announcement-4-zakładanie-tematu-pomocne-raporty-i-informacje/ .

Proszę dostosuj się do zasad działu: KLIK. Czyli podaj obowiązujące tu raporty oraz link do forum gdzie temat poprzednio przetwarzano. Prócz obowiązkowych logów dodaj jeszcze USBFix z opcji Listing. "Przeciętna", bo proponowano format? Przy infekcjach w wykonywalnych, nawet jeżeli zostanie system "wyczyszczony", i tak jest zalecany kompleksowy format, gdyż uszkodzenia po infekcji są trudne do stwierdzenia (leczenie plików może oznaczać trwałe ich uszkodzenie). Tu na dodatek system świeżo po formacie, nie wiem dlaczego podejmowałeś się próby leczenia zamiast po prostu zrobić format ponownie, próby leczenia zajmują czas, a docelowy system i tak może nie uzyskać poprzedniej sprawności. Płyta DVD jest "tylko do odczytu", więc tam nie powinno być infekcji. Jeśli chodzi o skan dysków zewnętrznych, to masz w artykule dokładne dane jaki przełącznik narzędzia za to odpowiada: Czyli w linii komend cmd wpisujesz: "ścieżka dostępu do salitykiller.exe" -r -v -l C:\log.txt Jednakże SalityKiller to jest ograniczone narzędzie. Tu były na forum tematy, że po użyciu SalityKiller dokładny skan dysku antywirusem i tak wykazał zainfekowane pliki. .

Akcje wykonane pomyślnie. Kończymy: Usuń ręcznie pobrany GMER, narzędzia z F:\naprawa oraz folder Stare dane programu Firefox z Pulpitu. Następnie zastusuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

W której przeglądarce są reklamy? Poproszę o nowe raporty z FRST.

Adware "antmarkantcom" jest tylko w Firefox na koncie Ewa. Przeprowadź następujące działania będąc zalogowanym na koncie Ewa: 1. Odinstalowałeś AVG 2015, zapomniałeś odinstalować AVG TuneUp. Toteż odinstaluj ten element oraz Qtrax Player. O ile się da (są syndromy w logu uszkodzenia tych instalacji, prawdopodobnie zrobił to AdwCleaner). 2. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: R1 avgtp; C:\Windows\system32\drivers\avgtpx86.sys [42784 2014-10-28] (AVG Technologies) S2 vToolbarUpdater18.1.10; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\18.1.10\ToolbarUpdater.exe [X] S2 SPDRIVER_1.37.0.1375; \??\C:\Program Files\ShopperPro\JSDriver\1.37.0.1375\jsdrv.sys [X] Task: {2DEADA5F-4BB0-4572-A3D7-A5084F2C6CD5} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{B44AC835-685B-455D-A08A-B5F9C9419E29}.exe Task: {8D4BD2C2-5DD1-463D-8044-0229B63638CF} - \SPBIW_UpdateTask_Time_313139343231302d3437415a556c2a3223346c41 No Task File Task: {B2BFE8A4-BA68-4B35-9A57-62AB2675FB5F} - System32\Tasks\UNELEVATE_7673 => C:\Program Files\ShopperPro\JSDriver\1.37.0.1375\jsdrv.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{B44AC835-685B-455D-A08A-B5F9C9419E29}.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction SearchScopes: HKLM - DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = BHO: No Name -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} -> No File Handler: skypec2c - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File C:\$AVG C:\Program Files\AVG Web TuneUp C:\Program Files\Google C:\Program Files\mozilla firefox\browser\searchplugins\wtu-secure-search.xml C:\ProgramData\AVAST Software C:\ProgramData\AVG Web TuneUp C:\ProgramData\AVG2015 C:\ProgramData\MFAData C:\ProgramData\TEMP C:\Users\Ewa\AppData\Local\AVG Web TuneUp C:\Users\Ewa\AppData\Local\Avg2015 C:\Users\Ewa\AppData\Local\Google C:\Users\Ewa\AppData\Local\MFAData C:\Users\Ewa\AppData\Roaming\AVG2015 C:\Users\Ewa\AppData\Roaming\TuneUp Software C:\Windows\system32\drivers\avgtpx86.sys Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main" /v Default_Page_URL /f Reg: reg delete "HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f Reg: reg delete "HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main" /v Default_Page_URL /f Reg: reg delete "HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f Reg: reg delete "HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main" /v Default_Page_URL /f Reg: reg delete "HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Widzę adware w Firefox, ale zanim przejdę do czyszcze poproszę o kompleksowy wgląd do sprawy. W systemie są dwa konta: ========================= Accounts: ========================== Ewa (S-1-5-21-2846243105-2044209956-1520485455-1000 - Administrator - Enabled) => C:\Users\Ewa konto (S-1-5-21-2846243105-2044209956-1520485455-1003 - Administrator - Enabled) => C:\Users\konto Zostały dostarczone raporty z konta Ewa. Poproszę jeszcze o logi z profilu konto, choć wygląda ono na świeżo utworzone. Zaloguj się na nie poprzez pełny restart komputera (a nie opcję Wyloguj lub Przełącz użytkownika) i zrób raporty FRST - dwa, głóny FRST.txt i Addition.txt, Shortcut nie jest potrzebny po raz drugi. .

Skoro po deaktywacji jest "spokojniej", to czy na pewno dobrze sprawdziłeś opcje konfiguracyjne pod kątem akcji startowanych w trakcie bezczynności? Oczywiście możesz spróbować zamiany AVG na ESET (byle nie crackowany tylko legalny). Trudno mi naprowadzić na konkretnego antywirusa, bo w zasadzie każdy z nich jest bardzo inwazyjny (ładowanie przy udziale grupy sterowników / mechanizmy filtrowania sieci) i może na określonych konfiguracjach produkować problemy. Nigdy nie wiadomo, aż do momentu instalacji, co się wydarzy na konkretnym komputerze. Dlatego też w większości tematów na forum przy zgłaszanych problemach z wolnym uruchamianiem i pracą systemu czy dysfunkcją sieci pierwsza moja sugestia to sprawdzenie jak wygląda sytuacja bez tego konkretnego antywirusa.

Temat przenoszę do działu Sieci. Brak oznak infekcji. W spoilerze tylko doczyszczanie wpisów pustych i Temp oraz usunięcie sterowników Tages (błędy ładowania notowane w Dzienniku zdarzeń), ale to nie ma związku ze sprawą: W Dzienniku zdarzeń notuję następujący błąd: System errors: ============= Error: (11/09/2014 04:51:36 PM) (Source: Service Control Manager) (EventID: 7024) (User: ) Description: Usługa HomeGroup Listener zakończyła działanie; wystąpił specyficzny dla niej błąd %%-2147023143. Błąd ten może wynikać z dysfunkcji usług Zapory systemu. Dodaj log z Farbar Service Scanner. .

1. Sprawdź transfer dysku, czy przypadkiem nie obniżył się z DMA do PIO: KLIK. 2. Wyłącz zbędne wpisy ze startu. Uruchom Autoruns i w karcie Logon odznacz: HKLM\...\Run: [Windows Defender] => C:\Program Files\Windows Defender\MSASCui.exe [1008184 2008-01-21] (Microsoft Corporation) HKLM\...\Run: [CLMLServer] => C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe [104936 2008-07-19] (CyberLink) HKLM\...\Run: [P2Go_Menu] => C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe [210216 2008-06-14] (CyberLink Corp.) HKLM\...\Run: [AmIcoSinglun] => C:\Program Files\AmIcoSingLun\AmIcoSinglun.exe [237568 2008-09-30] (AlcorMicro Co., Ltd.) HKLM\...\Run: [Adobe ARM] => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated) HKLM\...\Run: [HP Software Update] => C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe [96056 2013-05-30] (Hewlett-Packard) HKU\S-1-5-21-221829018-2594616874-4046559263-1000\...\Run: [LightScribe Control Panel] => C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe [2363392 2008-06-09] (Hewlett-Packard Company) HKU\S-1-5-21-221829018-2594616874-4046559263-1000\...\Run: [ehTray.exe] => C:\Windows\ehome\ehTray.exe [125952 2008-01-21] (Microsoft Corporation) HKU\S-1-5-21-221829018-2594616874-4046559263-1000\...\Run: [GG] => C:\Users\Majka\AppData\Local\GG\Application\gghub.exe [4023360 2014-09-05] (GG Network S.A.) W karcie Services odznacz: AdobeARMservice, WinDefend. By widzieć wszystkie pozycje, należy włączyć pokazywanie wpisów Microsoftu. 3. Fix nie wykonał się w całości, nie wiadomo dlaczego. Poprawka. Otwórz Notatnik i wklej w nim: S3 ABndis; system32\DRIVERS\abndis.sys [X] S3 ABndisMP; system32\DRIVERS\abndis.sys [X] BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File C:\aaw7boot.log C:\Program Files\AVG C:\Program Files\mozilla firefox\plugins C:\Program Files\Mozilla Firefoxavg-secure-search.xml C:\ProgramData\MFAData C:\ProgramData\Lavasoft C:\Users\Majka\AppData\Local\uninstall.tmp C:\Users\Majka\AppData\Roaming\0D1F1S1C1P0P1C1F1N1C1T1H2UtF1E1I C:\Users\Majka\AppData\Roaming\AVG9 C:\Users\Majka\AppData\Roaming\BabSolution C:\Users\Majka\AppData\Roaming\Babylon C:\Users\Majka\AppData\Roaming\BitComet C:\Users\Majka\AppData\Roaming\CometPlayer C:\Users\Majka\AppData\Roaming\systweak C:\Users\Majka\AppData\Roaming\Thinstall C:\Windows\System32\roboot.exe C:\Windows\system32\rp_rules.dat C:\Windows\system32\rp_stats.dat Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\AVG AntiVirus Free Edition Packages" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, opuść Tryb awaryjny. Przedstaw wynikowy fixlog.txt. .

Ostatnie pytanie, czy był uruchamiany antywirus, może coś przenosił do kwarantanny jak w tym temacie: KLIK? I nic więcej nie wymyślę dlaczego brakuje określonych folderów (z tego co mówisz tylko dwóch). Nic tu nie wskazuje, by była jakaś ogólna usterka. Sprawdzenie stanu dysku: KLIK. .

Temat przenoszę do działu Windows. Brak oznak infekcji. W spoilerze tylko drobne korekty, ale to nie ma związku z problemami. 1. Jeśli chodzi o ogólne spowolnienie systemu oraz stron i pobierania plików, to zwraca tu uwagę pakiet ESET Smart Security. Wiarygodny test: tymczasowa deinstalacja. 2. Przy okazji, proponuję pozbyć się niektórych zintegrowanych z ASUSem firmowych programów, jeśli nie korzystasz. To zredukuje ilość uruchamianych procesów. ==================== Installed Programs ====================== ASUS Data Security Manager (HKLM-x32\...\{FA2092C5-7979-412D-A962-6485274AE1EE}) (Version: 1.00.0013 - ASUS) ----> szyfrowanie danych, jeśli nigdy nie korzystałeś ASUS FancyStart (HKLM-x32\...\{F0DF4513-3C4C-4EB8-8012-2C5F70AF3988}) (Version: 1.0.6 - ASUSTeK Computer Inc.) ----> wymiana grafiki ekranu bootowania ASUS LifeFrame3 (HKLM-x32\...\{1DBD1F12-ED93-49C0-A7CC-56CBDE488158}) (Version: 3.0.20 - ASUS) ----> zrzuter ekranu / edytor powiązany z kamerą ASUS Live Update (HKLM-x32\...\{E657B243-9AD4-4ECC-BE81-4CCF8D667FD0}) (Version: 2.5.9 - ASUS) ----> autoaktualizacja sterów/BIOS ASUS MultiFrame (HKLM-x32\...\{9D48531D-2135-49FC-BC29-ACCDA5396A76}) (Version: 1.0.0019 - ASUS) ----> system dzielenia okien ASUS Power4Gear Hybrid (HKLM\...\{91EFE3A1-585E-4F66-B5F6-F118F56C4C47}) (Version: 1.1.26 - ASUS) ----> tweaker zasilania ASUS SmartLogon (HKLM-x32\...\{64452561-169F-4A36-A2FF-B5E118EC65F5}) (Version: 1.0.0007 - ASUS) ----> logowanie do komputera za pomocą rozpoznawania twarzy ASUS Splendid Video Enhancement Technology (HKLM-x32\...\{0969AF05-4FF6-4C00-9406-43599238DE0D}) (Version: 1.02.0028 - ASUS) ----> "poprawianie" jakości obrazu ASUS Virtual Camera (HKLM-x32\...\{EC8BD21F-0CA0-4BBF-97D9-4A52B30041A1}) (Version: 1.0.18 - asus) ----> dostęp więcej niż jednej aplikacji równolegle do kamery ASUS_Screensaver (HKLM-x32\...\ASUS_Screensaver) (Version: - ) 3. Możesz także wyłączyć zbędne wpisy ze startu. W Autoruns: ----> W karcie Logon odznacz te pozycje: HKLM\...\Run: [bCSSync] => C:\Program Files\Microsoft Office\Office14\BCSSync.exe [112512 2010-03-13] (Microsoft Corporation) HKLM\...\Run: [Windows Mobile Device Center] => C:\Windows\WindowsMobile\wmdc.exe [660360 2007-05-31] (Microsoft Corporation) HKLM-x32\...\Run: [HP Software Update] => C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe [49208 2010-03-12] (Hewlett-Packard) HKLM-x32\...\Run: [APSDaemon] => C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe [59720 2013-04-21] (Apple Inc.) HKLM-x32\...\Run: [QuickTime Task] => C:\Program Files (x86)\QuickTime\QTTask.exe [421888 2013-05-01] (Apple Inc.) HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959176 2014-08-21] (Adobe Systems Incorporated) HKLM-x32\...\Run: [PDFPrint] => C:\Program Files (x86)\PDF24\pdf24.exe [191528 2014-07-04] (Geek Software GmbH) HKU\S-1-5-21-1451179296-2106293565-644611054-1000\...\Run: [ALLUpdate] => C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe [869888 2009-06-04] () Startup: C:\Users\ŁukiAsia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2010.lnk ----> W karcie Services odznacz pozycje AdobeARMservice, KMService (crack Office), SkypeUpdate, WinDefend. Ten ostatni widzialny po włączeniu pokazywania wpisów Microsoftu. ----> W karcie Scheduled Tasks wyłącz zadania Adobe, Apple, Google, HPCustParticipation, Skype. 4. Zresetuj system i podsumuj czy jest jakaś poprawa po w/w działaniach. .

Jak mówię, nic nie widzę, więc tylko doczyść szczątki programów (szczątki instalacji Wondershare oraz niepożądanego programu Systweak) i Tempy. Przy okazji sprawdzę czy w folderze Steam nie ma czegoś "dodatkowego". Z poziomu konta Paweł: Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {87AC9404-D465-4CE2-ACC9-220CECB5CD90} - System32\Tasks\ASP => C:\Program Files (x86)\RCP\systweakasp.exe HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2024800 2014-06-04] (Wondershare) HKU\S-1-5-21-2615021221-2235552605-2224125913-1000\...\Run: [MX Skype Recorder] => "C:\ProgramData\MXSkypeRecorder\MXSkypeRecorder.exe" /autorun HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141019 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141019 C:\Program Files (x86)\Common Files\Wondershare C:\Program Files\Wondershare C:\ProgramData\APN C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDF Editor 4.5 C:\Users\Kuba\AppData\Local\Wondershare C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PDF Editor 4.5 C:\Users\Kuba\AppData\Roaming\Wondershare C:\Users\Kuba\AppData\Roaming\Systweak C:\Users\Kuba\Downloads\*(*)-dp*.exe C:\Users\Kuba\Desktop\PDF Editor 4.5.lnk C:\Users\Tata\Desktop\PDF Editor 4.5.lnk C:\Users\Pawel\AppData\Local\Wondershare C:\Users\Public\Documents\Wondershare C:\Windows\C5C1C0F0D62F4DBF81D4D7EF397C228B.TMP C:\Windows\system32\roboot64.exe C:\Windows\system32\WSMonEditor.dll C:\Windows\SysWOW64\tmp*.tmp Folder: C:\Users\Pawel\AppData\Roaming\Steam EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. PS. Widzę na dysku pliki "Asystenta pobierania" dobrychprogramów. Czym to grozi: KLIK. Jeśli już musisz stamtąd pobierać, korzystaj z odnośników Linki bezpośrednie. .

Na przyszłość: nie wolno brać skryptów z innych tematów. One są unikatowe, przystosowane pod konkretny system i logi z niego, często w skryptach są rzeczy spoza tematu infekcji (jakieś poprawki związane z konkretnym systemem) i na skutek nieszczęśliwego zbiegu okoliczności można sobie coś uszkodzić. Na szczęście ten skrypt, który użyłeś, nic nie wykonał złego, bo nawet takich ścieżek nie było w Twoim systemie. Jedyne co ten skrypt zrobił, to wyczyszczenie Tempów oraz przesunięcie folderu C:\AdwCleaner w inne miejsce i nic poza tym. W niczym to oczywiście nie pomogło. Tu były dwie sprawy: reklamy oraz infekcja VBKlip (podałam link do opisu). Infekcja VBKlip owszem robi manipulacje na kontach bankowych, tu opis innego użytkownika jak to wygląda: KLIK. Infekcja została usunięta za pomocą skryptu FRST. Które z tych problemów są nadal aktualne po usuwaniu infekcji? Czy reklamy ustąpiły? Poprawki: 1. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > jeśli będzie widoczny wpis SpyHunter, zaznacz go i przejdź Dalej. Jeśli nie będzie widoczny, to i tak zajmie się nim poniższy skrypt. 2. Otwórz Notatnik i wklej w nim: S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [X] S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2014-11-12] () Task: {A95A490B-CCB2-4780-BEEA-D14183DC2595} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe [2014-11-12] (Enigma Software Group USA, LLC.) C:\Program Files\Enigma Software Group C:\Program Files\McAfee Security Scan C:\ProgramData\GpWPrgx C:\ProgramData\install_clap C:\ProgramData\Temp C:\Users\Patrycjusz\AppData\Local\nsn26D5.tmp C:\Users\Patrycjusz\AppData\Roaming\Enigma Software Group C:\Users\Patrycjusz\Start Menu\Programs\SpyHunter C:\Users\Patrycjusz\Desktop\Continue Google Chrome Installation.lnk C:\Users\Patrycjusz\Desktop\SpyHunter.lnk C:\Users\Patrycjusz\Downloads\*.partial C:\Windows\system32\Drivers\EsgScanner.sys C:\sh4ldr Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SpyHunter /f CMD: type C:\autoexec.bat Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. PS. Ad "zalecałeś" = jestem kobietą. .

Na razie zostaw tego SpyHuntera i leć dalej z instrukcjami.

Póki co, to ja tu nie widzę jawnych oznak infekcji (do czyszczenia będą tylko puste wpisy i odpadki programów), ale w systemie są trzy konta: ========================= Accounts: ========================== Kuba (S-1-5-21-2615021221-2235552605-2224125913-1001 - Administrator - Enabled) => C:\Users\Kuba Pawel (S-1-5-21-2615021221-2235552605-2224125913-1000 - Administrator - Enabled) => C:\Users\Pawel Tata (S-1-5-21-2615021221-2235552605-2224125913-1002 - Administrator - Enabled) => C:\Users\Tata Zostały dostarczone logi FRST z konta Pawel. Zaloguj się po kolei na pozostałe konta (poprzez pełny restart komputera a nie opcję Wyloguj czy Przełącz użytkownika) i zrób nowe raporty FRST z każdego (włącznie z plikiem Addition, Shortcut jednak zbędny). .

GMERa sobie darujmy. W systemie działa infekcja VBKlip/Banatrix. Ponadto, jest tu adware produkujące owe reklamy, a przeglądarka Google Chrome została przekonwertowana przez adware z wersji stabilnej do development i jest konieczna jej kompleksowa reinstalacja. Przeprowadź następujące działania: 1. Odinstaluj: Google Chrome, McAfee Security Scan Plus (instalacja sponsorowana nie związana z Twoim głównym pakietem antywirusowym McAfee LiveSafe - Internet Security) oraz wątpliwy skaner SpyHunter (program z czarnej listy, reklamiarz naciskający na instalację, po czym się okazuje, że należy uiszczać opłaty). Przy deinstalacji Google Chrome zaznacz Usuń także dane przeglądarki, resztę dokończy mój skrypt poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {498D567F-5D8C-4E5E-95E6-49A717284792} - System32\Tasks\SGK => C:\Users\Patrycjusz\AppData\Roaming\SGK.exe Task: {6D0780EB-CFD1-435C-B8DA-078D7543EDBF} - System32\Tasks\SYSTEM => C:\ProgramData\wms.exe [2014-09-14] (Microsoft® Corporation) Task: {A8BF89F8-CD9B-4200-9B2F-B1143FC3F519} - System32\Tasks\YWSZF => C:\Users\Patrycjusz\AppData\Roaming\YWSZF.exe Task: {D8E98C48-D958-4685-B27F-DB1EEC0CFAB4} - System32\Tasks\PETN Update => C:\Users\Patrycjusz\AppData\Local\PETN\petnupdate.exe Task: C:\Windows\Tasks\SGK.job => C:\Users\Patrycjusz\AppData\Roaming\SGK.exe Task: C:\Windows\Tasks\YWSZF.job => C:\Users\Patrycjusz\AppData\Roaming\YWSZF.exe GroupPolicy: Group Policy on Chrome detected HKU\S-1-5-21-1542458404-1444137664-256976008-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKCU - {D944BB61-2E34-4DBF-A683-47E505C587DC} URL = FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll (Microsoft Corporation) FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\.sys C:\ProgramData\wms.exe C:\ProgramData\InstaShare C:\Users\Patrycjusz\AppData\Local\Google C:\Users\Patrycjusz\AppData\Local\PETN C:\Users\Patrycjusz\AppData\Roaming\*.exe C:\Users\Patrycjusz\AppData\Roaming\SGK C:\Users\Patrycjusz\AppData\Roaming\YWSZF C:\Users\Patrycjusz\Downloads\SpyHunter-Installer.exe CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Patrycjusz\AppData\Local CMD: dir /a C:\Users\Patrycjusz\AppData\LocalLow CMD: dir /a C:\Users\Patrycjusz\AppData\Roaming Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz log z folderu C:\_OTL (używałeś jakiś skrypt do OTL - jaki i skąd?). By ten log z C:\_OTL dało się wstawić, trzeba zmienić mu rozszerzenie z *.LOG na *.TXT lub zapisać do nowego pliku TXT. Wypowiedz się czy są jeszcze jakieś problemy w systemie. .

Z tego wynika, że uszkodzenie (zdewastowana usługa Netman) masz już w kopii RollBack i ona do śmieci, bo przywracać będzie defekt. Ta brakujące usługa Netman musi być zaimportowana. Problem braku połączenia to osobna sprawa, która będzie diagnozowana, gdy przywrócisz usługę na miejsce.

Nie ma żadnych oznak, że wykonałeś poprzednie zadanie. Plik FIX.REG w ogóle nie został zaimportowany, w nowym logu FRST nie ma w ogóle pozycji Netman (czyli usługi Połączenia sieciowe). Powtarzaj zadanie. A jeśli przy imporcie napotkasz jakiś błąd, przepisz go wiernie. A wg raportu FRST Usługa zasad diagnostyki jest uruchomiona: R2 DPS; C:\Windows\system32\dps.dll [162816 2010-11-21] (Microsoft Corporation) Natomiast są w Dzienniku zdarzeń następujące błędy: System errors: ============= Error: (11/13/2014 06:18:33 PM) (Source: WMPNetworkSvc) (EventID: 14353) (User: ) Description: 00x80070005http://+:10243/WMPNSSv4/3574156340/ Error: (11/13/2014 06:17:32 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Dostawca grupy domowej zależy od usługi Publikacja zasobów odnajdowania funkcji, której nie można uruchomić z powodu następującego błędu: %%-2147024891 Error: (11/13/2014 06:17:32 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Publikacja zasobów odnajdowania funkcji zakończyła działanie; wystąpił następujący błąd: %%-2147024891 I ta usługa jest owszem w stanie zatrzymano: S2 FDResPub; C:\Windows\system32\fdrespub.dll [34816 2009-07-14] (Microsoft Corporation) Z tym, że nadal nie ma usługi Netman, więc na razie nic z tym nie robię. .

Temat przenoszę do innego działu, problem na urządzeniu nie wygląda na pochodną infekcji (choć usuwam z niego podejrzany ukryty plik K:\ba.exe). W spoilerze masz doczyszczanie systemu z adware, ale to nie ma związku z problemami z dyskiem. Zaznaczanie wszystkich plików, by obliczyć ich rozmiar, to zła metoda, tylko Właściwości dysku pokazują prawdę. Metoda zaznaczania nie oblicza elementów zalokowanych przez uprawnienia - tu np. folder Przywracania systemu (K:\System Volume Information). I owszem, wychodzi na to, że brak tu oznak ukrycia folderów użytkownika. Nie ma na urządzeniu nic więcej niż to: ################## | K:\ - Fixed drive (NTFS) | [09/06/2014 - 10:29:57 | SH | 0 Ko] - K:\.SBSettings.xml [17/07/2014 - 10:35:25 | HD] - K:\msdownld.tmp [21/04/2013 - 12:28:15 | N | 10176 Ko] - K:\BankpytanegzamPL2011luty (1).pdf [04/11/2013 - 19:35:22 | N | 860 Ko] - K:\mat_informator_10.pdf [16/02/2014 - 13:12:06 | A | 376029 Ko] - K:\grupowki.mp4 [19/02/2015 - 19:57:33 | A | 3741567 Ko] - K:\CZOLOWKA SKAZANI NA SZKOLE.mp4 [21/02/2015 - 04:29:54 | A | 411598 Ko] - K:\proba poloneza.mp4 [21/02/2015 - 04:31:13 | A | 3071294 Ko] - K:\czolowka TZ.mp4 [01/03/2015 - 13:29:08 | A | 778110 Ko] - K:\belgijka gotowa zsae.mp4 [01/03/2015 - 14:59:33 | A | 730657 Ko] - K:\balkanica wersja poprawiona.mp4 [01/03/2015 - 16:15:11 | A | 803645 Ko] - K:\poprawiny poprawione zsae.mp4 [01/03/2015 - 20:35:33 | A | 996747 Ko] - K:\chusteczka.mp4 [02/03/2015 - 15:28:11 | A | 1595623 Ko] - K:\poprawiny zabawa.mp4 [25/04/2014 - 10:19:39 | SHD] - K:\$RECYCLE.BIN [30/08/2011 - 16:52:24 | D] - K:\Przepisy z KFC, MCDonald`s i Pizza Hut [06/02/2012 - 13:00:00 | D] - K:\Nowy świat [03/06/2012 - 20:16:04 | D] - K:\czarnobyl [11/07/2012 - 18:50:35 | HD] - K:\$AVG [26/01/2014 - 19:17:08 | D] - K:\Klient AvalonMT2 [30/01/2014 - 17:41:53 | SHD] - K:\RECYCLER [04/03/2014 - 22:19:18 | D] - K:\instalki [14/06/2014 - 18:15:53 | D] - K:\aga [16/06/2014 - 11:15:12 | RD] - K:\Mp3 [02/07/2014 - 19:07:47 | D] - K:\Gitara [13/08/2014 - 18:05:17 | D] - K:\filmy [01/10/2014 - 21:23:42 | SHD] - K:\System Volume Information Ewentualnie jeszcze sprawdź czy coś nie wylądowało w Koszu urządzenia (są dwa foldery K:\$RECYCLE.BIN + K:\RECYCLER). Gdzie leżały te foldery, które zniknęły? Czy na pewno dane nie zostały skasowane przez kogoś? Czy nie uruchamiał się przypadkiem checkdisk naprawiający jakieś błędy na dysku? Czy dysk był sprawdzany pod kątem sprzętowym? I nic więcej nie jestem w stanie powiedzieć na temat znikających danych. .

Jest kolejny problem z kolejną usługą. Poproszę o raport z FRST, z tym że odznacz pole Services, by się pokazały wszystkie usługi Microsoftu. Ma powstać także plik Addition.

Fix wykonany. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Prewencja w 100% jest awykonalna, słabym ogniwem jest sam użytkownik. Kierowałam już do artykułu na co uważać i jakie ewentualnie zabezpieczenia są możliwe. Jeśli użytkownik korzystający z Twojego systemu znów ponowi nieodpowiednie kroki (nieuważne instalacje, pobieranie "downloderów", nie odznaczone opcje w instalatorach), będzie kolejny problem z adware. Adware zostało wyczyszczone, więc sprawność zależy od innych kwestii. Spróbuj powyłączać zbędne wpisy ze startu i zobaczymy czy jeszcze coś się nie polepszy: 1. Uruchom Autoruns i w karcie Logon odznacz: HKLM-x32\...\Run: [APSDaemon] => C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe [59720 2013-09-13] (Apple Inc.) HKLM-x32\...\Run: [iTunesHelper] => C:\Program Files (x86)\iTunes\iTunesHelper.exe [152392 2013-11-02] (Apple Inc.) HKLM-x32\...\Run: [sunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [256896 2014-05-07] (Oracle Corporation) HKU\S-1-5-21-846750890-3381048881-3130427261-1001\...\Run: [steam] => C:\Program Files (x86)\Steam\Steam.exe [1821888 2014-02-25] (Valve Corporation) HKU\S-1-5-21-846750890-3381048881-3130427261-1001\...\Run: [Facebook Update] => C:\Users\pc\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096 2014-02-15] (Facebook Inc.) HKU\S-1-5-21-846750890-3381048881-3130427261-1001\...\Run: [GG] => C:\Users\pc\AppData\Local\GG\Application\gghub.exe [4023360 2014-09-26] (GG Network S.A.) HKU\S-1-5-21-846750890-3381048881-3130427261-1001\...\Run: [EADM] => C:\Program Files (x86)\Origin\Origin.exe [3600216 2014-10-01] (Electronic Arts) HKU\S-1-5-21-846750890-3381048881-3130427261-1001\...\Run: [skype] => C:\Program Files (x86)\Skype\Phone\Skype.exe [21446272 2014-05-08] (Skype Technologies S.A.) HKU\S-1-5-21-846750890-3381048881-3130427261-1001\...\Run: [DAEMON Tools Lite] => C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe [3696912 2014-03-04] (Disc Soft Ltd) HKU\S-1-5-21-846750890-3381048881-3130427261-1001\...\Run: [uTorrent] => C:\Users\pc\AppData\Roaming\uTorrent\uTorrent.exe [1689168 2014-11-07] (BitTorrent Inc.) W karcie Services odznacz pozycje NAUpdate, SkypeUpdate. W karcie Scheduled Tasks odznacz zadania Apple, Facebook, Toshiba CommonNotifier i TOSHIBA Service Station. 2. Zresetuj system i podaj czy są jakieś wyraźniejsze zmiany. .

Temat przenoszę wstępnie do działu Windows, ale być może wyląduje i w dziale Hardware. Brak oznak infekcji i wątpliwe, by tu o infekcję chodziło skoro dysk był wielokrotnie formatowany: "Sterowniki niezgodne z Plug and Play" są obecne na każdym systemie Windows 7, więc sprecyzuj do czego tu w ogóle zmierzasz. Dodatkowo, nie wiadomo o co Ci chodzi w kwestii plików Temp i uprawnień Windows Search. Z podanych tu raportów nic nie wynika. O spowolnienie ogólne i mulenie przeglądarki to ewentualnie można podejrzewać pakiet G Data Internet Secutrity. W Dzienniku zdarzeń jest też taki oto błąd, nie wiem do czego go podpiąć: System errors: ============= Error: (11/12/2014 02:09:59 AM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Host usługi diagnostyki z powodu następującego błędu: %%1297 .

Usługa jest rzeczywiście zdewastowana. Rekonstruuj usługę: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Netman] "DisplayName"="@%SystemRoot%\\system32\\netman.dll,-109" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,79,00,73,00,74,00,65,00,6d,\ 00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,72,00,\ 69,00,63,00,74,00,65,00,64,00,00,00 "Description"="@%SystemRoot%\\system32\\netman.dll,-110" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000003 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,6e,00,73,00,69,00,\ 00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,00,6f,00,74,\ 00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,4c,00,6f,00,61,00,64,00,44,00,72,00,69,00,76,00,65,00,72,\ 00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,64,00,00,00,01,00,00,00,64,00,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Netman\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 6e,00,65,00,74,00,6d,00,61,00,6e,00,2e,00,64,00,6c,00,6c,00,00,00 "ServiceDllUnloadOnStop"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Zresetuj system. Podaj czy naprawa się udała. .