picasso

DelFix wykonał robotę, możesz usunąć plik C:\DelFix.txt z dysku. To tyle. Temat rozwiązany. Zamykam.

Wszystko wykonane zgodnie z planem - czy jest poprawa w działaniu systemu? Poprawki. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Program Files (x86)\DiscountLocator RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\ProgramData\374311380 RemoveDirectory: C:\ProgramData\DiscountLocator RemoveDirectory: C:\Users\pc\AppData\Roaming\Mozilla DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy plik fixlog.txt.

Wszystkie linki symboliczne zamknięte i to już rozwiązane. Były modyfikacje, toteż podaj nowe raporty FRST (główny FRST.txt + Addition.txt). Ja jednak podejrzewam, że problem tworzy instalacja avast! Internet Security, a by się o tym przekonać testowa pełna deinstalacja. Co masz na myśli? W raportach w Dzienniku zdarzeń nie było żadnych błędów relatywnych do usług Zapory systemowej. I jest tu avast! Internet Security dysponujący własnym firewallem. Zewnętrzne firewalle deaktywują firewall systemowy, jest to normalne. Nie wiem co usunąłeś wcześniej, więc proponuję po prostu przeinstalować aplikację HP SimplePass: ==================== Installed Programs ====================== HP SimplePass (HKLM-x32\...\{4BACA3B8-F63A-44ED-9A8D-48B4D02AD268}) (Version: 6.0.100.276 - Hewlett-Packard) Trudno to objaśnić, metoda samodzielna prób i błędów. Nie uczestniczyłam w żadnych kursach, jeśli o to chodzi. .

Fix nie znalazł tych wpisów, czyli w jakiś sposób zostały już usunięte. Żadnych komend. Wejdź w link "KLIK" i tam masz opis narzędzia DelFix. .

Możesz skasować plik C:\DelFix.txt z dysku. Temat rozwiązany. Zamykam.

Tak jak w tamtym temacie, są masowe uszkodzenia uprawnień w gałęzi SYSTEM i to nie tylko usług natury sieciowej. W systemie brak kopii umożliwiającej odkręcenie tego bez bólu. Naprawa ręczna (przygotowanie pliku rekursywnie odtwarzające oryginalne uprawnienia) jest strasznie pracochłonna i tego z pewnością nie jestem w stanie zrobić szybko. Jeśli zależy Ci na czasie, to kwalifikuje się reinstalacja Windows... PS. Na temat używania ComboFix: KLIK. Zaś OTL to przestarzałe narzędzie, obecnie główny raport analityczny na forum to FRST. .

Logi są bardzo ograniczone. Co byłam w stanie, to już stwierdziłam, a skoro Ty nie zgłaszasz dodatkowych problemów, to nie mam czym się zajmować. Fix wykonany, więc zastosuj DelFix (GMER ręcznie dokasuj) i wyczyść foldery Przywrcania systemu: KLIK. .

Brak usługi Połączenia sieciowe tworzy ten problem. Podaj dane czy tu rzeczywiście są takie braki i jak szerokie. Uruchom SystemLook (jeśli posiadasz system 32-bit) lub SystemLook x64 (jeśli posiadasz system 64-bit) i do okna wklej: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netman :filefind netman.dll Klik w Look i przedstaw wynikowy raport. .

Normalnie poprzez Panel sterowania. A nowe wersje zainstalujesz z linków podanych w tym samym przyklejonym: KLIK.

Nie było restartu, bo takowy był zbędny i nie został zaplanowany przeze mnie w Fix. Zadania wykonane i kończymy: 1. Jeszcze jeden Fix, bo jakoś pominęłam dwie szczątkowe pozycje adware na liście zainstalowanych. Otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\LookThisUp /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\mystartsearch uninstall" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Usuń ręcznie C:\Users\KAROLINA\Desktop\raporty, log FIXITPC. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. Stare aplikacje były tu już częściowo usuwane. Został jeszcze ten babol: ==================== Installed Programs ====================== Gadu-Gadu 6.1 (HKLM-x32\...\Gadu-Gadu) (Version: - ) Kompletnie nieużytkowa (brak obsługi nowego protokołu GG), przestarzała i dziurawa wersja. Zainteresuj się nowoczesnym WTW (bardzo dobra obsługa GG): KLIK. .

Temat przenoszę do działu Windows. Brak oznak czynnej infekcji. Wszystko jest w porządku, "Pokaż procesy wszystkich użytkowników" pokazuje ten proces, tylko nie łączysz faktów, że to ten sam proces co poprzednio. Domyślnie Menedżer zadań otwiera się na niskich uprawnieniach i z kontekstu Twojego konta nie można pobrać danych o systemowych procesach, dopiero "Pokaż procesy wszystkich użytkowników" (elewacja uprawnień) jest w stanie uzupełnić dane. Porównawczo ten temat: KLIK. PS. Tylko kosmetyka do wdrożenia: 1. Usuń błąd WMI numer 10 za pomocą narzędzia Fix-it: KLIK. 2. Doczyść szczątkowe wpisy + Tempy. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 atillk64; \??\C:\Program Files (x86)\AMD\System Monitor\atillk64.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] S3 X6va025; \??\C:\Windows\SysWOW64\Drivers\X6va025 [X] Task: {C1152FA0-C07A-4D2F-94B7-F2F29823DE42} - System32\Tasks\Trigger KMS Activation => I:\office\AKtywator\TriggerKMS.exe C:\Users\Michał\AppData\Roaming\Mozilla\Firefox\Profiles\d8u797hc.default\Extensions\jid1-RYwhP9dQdGfXkQ@jetpack C:\Users\Michał\AppData\Roaming\Imminent C:\Users\Michał\AppData\Roaming\System32 C:\Users\Michał\AppData\Roaming\Thinstall Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IDMan" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Pokaż wynikowy fixlog.txt. .

W ramach ukończenia czyszczenia ze śmieci: 1. Jeszcze drobna poprawka. Otwórz Notatnik i wklej w nim: SearchScopes: HKCU - {BAE15EF7-12BD-4908-BA9A-05A2A837A029} URL = http://websearch.ask.com/redirect?client=ie&tb=NRO&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=&apn_uid=8D26E0C9-D07A-40FF-A222-9C1367609917&apn_sauid=F124F3C6-81FE-44C3-BDDC-1EA66CE3AEDE Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Usuń ręcznie pobrany FRST z C:\Users\Szymek\Desktop\Programy, zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. Cały system do aktualizacji, stan obecny (brak SP1, IE11 i rezty łat): Platform: Microsoft Windows 7 Home Premium (X86) OS Language: Polski (Polska) Internet Explorer Version 8 .

Zadania wykonane i kończymy: 1. Zapomniałam zadać do deinstalacji stare wersje Adobe Flash i Java: ==================== Installed Programs ====================== Adobe Flash Player 10 ActiveX (HKLM-x32\...\{922E8525-AC7E-4294-ACAA-43712D4423C0}) (Version: 10.0.22.87 - Adobe Systems, Inc.) ----> wtyczka dla IE Adobe Flash Player 14 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 14.0.0.145 - Adobe Systems Incorporated) ----> wtyczka dla Firefox Java 7 Update 45 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86417045FF}) (Version: 7.0.450 - Oracle) Java 7 Update 55 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217045FF}) (Version: 7.0.550 - Oracle) 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. W systemie jest obecnie pakiet Avast, nie ma potrzeby dodawania kolejnych antywirusów, to zresztą jest niezdrowe (nie może być w tle uruchomiony więcej niż jeden antywirus). .

DelFix wykonał zadanie, możesz skasować plik C:\DelFix.txt. Tak, sądzę że możesz logować się do banku. Tu resztą nie było w systemie trojanów tylko adware reklamodawcze.

Tak jest, tym razem Fix przetworzony. Jeszcze małe korekty do wdrożenia. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Common Files\mcafee RemoveDirectory: C:\Program Files\mcafee RemoveDirectory: C:\ProgramData\McAfee Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Nowy skan FRST nie jest mi potrzebny. .

Zrobione. Kończymy. Ręcznie usuń folder C:\temp skąd uruchamiany był FRST, następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Już prawie kończymy. Ostatnia poprawka. Otwórz Notatnik i wklej w nim: Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /f Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /v 6EF366F60DE3FBA418C64447F4A7ACAB /t REG_SZ /d C?\Windows\system32\msvcr71.dll /f Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /v 81DFCA9778DAB084880EFC47DDB9AB36 /t REG_SZ /d C?\Windows\system32\msvcr71.dll /f Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /v BE08307221881E2428983507D08B042D /t REG_SZ /d C?\Windows\system32\msvcr71.dll /f Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Nic nie zostało wykonane, czyli powtarzasz całą akcję jak mówiłam:

Czy sprawdziłeś AVG? AVG ma silne związki z siecią.

Nie, nic nie powtarzaj, ja już wszystko uwzględniłam. I kolejne poprawki. Otwórz Notatnik i wklej w nim: Reg: reg load HKLM\Temp C:\FRST\Hives\SOFTWARE Reg: reg query HKLM\Temp\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /s Reg: reg unload HKLM\Temp Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine W Notatniku ma być wklejone tylko to co widać na szarym tle. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Mógłbyś sprawdzić czy coś zmieni przypisanie grupie Użytkownicy Pełnej kontroli (oryginalna lokalizacja %localappdata%\Temp ma przypisane konto użytkownika z Pełną kontrolą). Jeśli to nie pomoże, to jak mówiłam:

Temat przenoszę do właściwego działu diagnostyki infekcji. Po pierwsze dostarcz obowiązujące raporty: KLIK. Po drugie: objaśnij skąd podejrzenie keyloggera.

Wszystko wykonane i już kończymy: 1. Otwórz Notatnik i wklej w nim: S1 MpKsl1a3e1540; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{533730CB-5FD3-44AC-B89A-A078E53C6AEB}\MpKsl1a3e1540.sys [X] S1 MpKsl77fb44f3; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{533730CB-5FD3-44AC-B89A-A078E53C6AEB}\MpKsl77fb44f3.sys [X] S1 MpKsl8075f527; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{533730CB-5FD3-44AC-B89A-A078E53C6AEB}\MpKsl8075f527.sys [X] S1 MpKsl91df9533; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{533730CB-5FD3-44AC-B89A-A078E53C6AEB}\MpKsl91df9533.sys [X] S1 MpKsla4caadeb; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{533730CB-5FD3-44AC-B89A-A078E53C6AEB}\MpKsla4caadeb.sys [X] S3 StarOpen; No ImagePath RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\BB1\Desktop\Stare dane programu Firefox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Dopiero po jego przedstawieniu: 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. Cały system do aktualizacji: KLIK. Stan obecny: Platform: Microsoft® Windows Vista™ Home Premium Service Pack 1 (X86) OS Language: Polski (Polska) Internet Explorer Version 8 I podsuń do czytania materiał czego unikać, na co uważać: KLIK. .

Brak oznak infekcji, temat przenoszę do działu Windows XP, choć prawdopodobnie ten system ma kwalifikacje na diagnostykę w dziale Hwadware. Z raportów nic nie wynika, ale są tu dziwne punkty, tzn. ślady nie działania Usług kryptograficznych (zamiast odczytów "File is signed" po prostu sumy kontrolne MD5) oraz WMI (błąd poboru danych o punktach Przywracania systemu). ==================== Restore Points ========================= Could not list Restore Points. Check "winmgmt" service or repair WMI. Podaj log FRST pokazujący wszystkie usługi, tzn. odznacz pole Services, by wyłączyć białą listę i klik w Scan. Ponadto, sypało BSODami o różnych kodach błędu oraz były też błędy relatywne do woluminu dysku twardego, co może sugerować problem natury sprzętowej: System errors: ============= Error: (11/05/2014 08:28:56 AM) (Source: System Error) (EventID: 1003) (User: ) Description: Kod błędu 00000024, parametr 1 001902fe, parametr 2 a9b5be4c, parametr 3 a9b5bb48, parametr 4 f7337a38. Error: (10/31/2014 08:10:56 AM) (Source: 0) (EventID: 1) (User: ) Description: 0xC0000001HarddiskVolume2 Error: (10/28/2014 08:25:37 AM) (Source: System Error) (EventID: 1003) (User: ) Description: Kod błędu 0000000a, parametr 1 0000001b, parametr 2 00000002, parametr 3 00000000, parametr 4 80532131. Error: (10/20/2014 07:21:05 AM) (Source: System Error) (EventID: 1003) (User: ) Description: Kod błędu 00000050, parametr 1 a8fd555d, parametr 2 00000001, parametr 3 80576180, parametr 4 00000000. Error: (10/16/2014 07:12:00 AM) (Source: System Error) (EventID: 1003) (User: ) Description: Kod błędu 0000000a, parametr 1 a92b3a6d, parametr 2 00000002, parametr 3 00000001, parametr 4 80524b90. Error: (10/11/2014 09:46:37 AM) (Source: System Error) (EventID: 1003) (User: ) Description: Kod błędu 0000000a, parametr 1 3a000034, parametr 2 00000002, parametr 3 00000001, parametr 4 806e7a16. Error: (10/09/2014 07:13:21 AM) (Source: System Error) (EventID: 1003) (User: ) Description: Kod błędu 00000050, parametr 1 ffff449d, parametr 2 00000001, parametr 3 80576f2a, parametr 4 00000000. Error: (10/05/2014 11:27:08 PM) (Source: System Error) (EventID: 1003) (User: ) Description: Kod błędu 1000007f, parametr 1 00000008, parametr 2 80042000, parametr 3 00000000, parametr 4 00000000. Error: (10/06/2014 06:57:29 AM) (Source: 0) (EventID: 1) (User: ) Description: 0xC0000001HarddiskVolume2 Error: (09/24/2014 07:10:35 AM) (Source: System Error) (EventID: 1003) (User: ) Description: Kod błędu 1000008e, parametr 1 c0000005, parametr 2 aa1cc4a2, parametr 3 a97e770c, parametr 4 00000000. Skopiuj na Pulpit cały folder C:\Windows\Minidump, spakuj do ZIP, shostuj gdzieś i podaj link do paczki. .

madziola, źle wkleiłaś do Notatnika treść z posta, przekleiłaś również tagi formatujące forum, dlatego pierwsza komenda zabijania procesów si nie wykonała, ale rszta się upiekła i została przetworzona. I jeszcze drobne poprawki: 1. Otwórz Notatnik i wklwj w nim: BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File C:\Program Files\Mobogenie C:\Program Files\Temp C:\Program Files\VideoDownloadConverter C:\ProgramData\Malwarebytes C:\ProgramData\McAfee C:\ProgramData\Sun C:\Users\madziola\AppData\Local\genienext C:\Users\madziola\AppData\Local\Mobogenie C:\Users\madziola\AppData\Local\Pay-By-Ads C:\Users\madziola\AppData\LocalLow\Sun C:\Users\madziola\AppData\Roaming\Malwarebytes C:\Users\madziola\AppData\Roaming\newnext.me W Notatniku ma być wklejone tylko to co widać na szarym tle. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz logi z folderu C:\AdwCleaner.