picasso

Nic nie zostało wykonane, czyli powtarzasz całą akcję jak mówiłam:

Czy sprawdziłeś AVG? AVG ma silne związki z siecią.

Nie, nic nie powtarzaj, ja już wszystko uwzględniłam. I kolejne poprawki. Otwórz Notatnik i wklej w nim: Reg: reg load HKLM\Temp C:\FRST\Hives\SOFTWARE Reg: reg query HKLM\Temp\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /s Reg: reg unload HKLM\Temp Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine W Notatniku ma być wklejone tylko to co widać na szarym tle. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Mógłbyś sprawdzić czy coś zmieni przypisanie grupie Użytkownicy Pełnej kontroli (oryginalna lokalizacja %localappdata%\Temp ma przypisane konto użytkownika z Pełną kontrolą). Jeśli to nie pomoże, to jak mówiłam:

Temat przenoszę do właściwego działu diagnostyki infekcji. Po pierwsze dostarcz obowiązujące raporty: KLIK. Po drugie: objaśnij skąd podejrzenie keyloggera.

Wszystko wykonane i już kończymy: 1. Otwórz Notatnik i wklej w nim: S1 MpKsl1a3e1540; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{533730CB-5FD3-44AC-B89A-A078E53C6AEB}\MpKsl1a3e1540.sys [X] S1 MpKsl77fb44f3; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{533730CB-5FD3-44AC-B89A-A078E53C6AEB}\MpKsl77fb44f3.sys [X] S1 MpKsl8075f527; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{533730CB-5FD3-44AC-B89A-A078E53C6AEB}\MpKsl8075f527.sys [X] S1 MpKsl91df9533; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{533730CB-5FD3-44AC-B89A-A078E53C6AEB}\MpKsl91df9533.sys [X] S1 MpKsla4caadeb; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{533730CB-5FD3-44AC-B89A-A078E53C6AEB}\MpKsla4caadeb.sys [X] S3 StarOpen; No ImagePath RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\BB1\Desktop\Stare dane programu Firefox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Dopiero po jego przedstawieniu: 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. Cały system do aktualizacji: KLIK. Stan obecny: Platform: Microsoft® Windows Vista™ Home Premium Service Pack 1 (X86) OS Language: Polski (Polska) Internet Explorer Version 8 I podsuń do czytania materiał czego unikać, na co uważać: KLIK. .

Brak oznak infekcji, temat przenoszę do działu Windows XP, choć prawdopodobnie ten system ma kwalifikacje na diagnostykę w dziale Hwadware. Z raportów nic nie wynika, ale są tu dziwne punkty, tzn. ślady nie działania Usług kryptograficznych (zamiast odczytów "File is signed" po prostu sumy kontrolne MD5) oraz WMI (błąd poboru danych o punktach Przywracania systemu). ==================== Restore Points ========================= Could not list Restore Points. Check "winmgmt" service or repair WMI. Podaj log FRST pokazujący wszystkie usługi, tzn. odznacz pole Services, by wyłączyć białą listę i klik w Scan. Ponadto, sypało BSODami o różnych kodach błędu oraz były też błędy relatywne do woluminu dysku twardego, co może sugerować problem natury sprzętowej: System errors: ============= Error: (11/05/2014 08:28:56 AM) (Source: System Error) (EventID: 1003) (User: ) Description: Kod błędu 00000024, parametr 1 001902fe, parametr 2 a9b5be4c, parametr 3 a9b5bb48, parametr 4 f7337a38. Error: (10/31/2014 08:10:56 AM) (Source: 0) (EventID: 1) (User: ) Description: 0xC0000001HarddiskVolume2 Error: (10/28/2014 08:25:37 AM) (Source: System Error) (EventID: 1003) (User: ) Description: Kod błędu 0000000a, parametr 1 0000001b, parametr 2 00000002, parametr 3 00000000, parametr 4 80532131. Error: (10/20/2014 07:21:05 AM) (Source: System Error) (EventID: 1003) (User: ) Description: Kod błędu 00000050, parametr 1 a8fd555d, parametr 2 00000001, parametr 3 80576180, parametr 4 00000000. Error: (10/16/2014 07:12:00 AM) (Source: System Error) (EventID: 1003) (User: ) Description: Kod błędu 0000000a, parametr 1 a92b3a6d, parametr 2 00000002, parametr 3 00000001, parametr 4 80524b90. Error: (10/11/2014 09:46:37 AM) (Source: System Error) (EventID: 1003) (User: ) Description: Kod błędu 0000000a, parametr 1 3a000034, parametr 2 00000002, parametr 3 00000001, parametr 4 806e7a16. Error: (10/09/2014 07:13:21 AM) (Source: System Error) (EventID: 1003) (User: ) Description: Kod błędu 00000050, parametr 1 ffff449d, parametr 2 00000001, parametr 3 80576f2a, parametr 4 00000000. Error: (10/05/2014 11:27:08 PM) (Source: System Error) (EventID: 1003) (User: ) Description: Kod błędu 1000007f, parametr 1 00000008, parametr 2 80042000, parametr 3 00000000, parametr 4 00000000. Error: (10/06/2014 06:57:29 AM) (Source: 0) (EventID: 1) (User: ) Description: 0xC0000001HarddiskVolume2 Error: (09/24/2014 07:10:35 AM) (Source: System Error) (EventID: 1003) (User: ) Description: Kod błędu 1000008e, parametr 1 c0000005, parametr 2 aa1cc4a2, parametr 3 a97e770c, parametr 4 00000000. Skopiuj na Pulpit cały folder C:\Windows\Minidump, spakuj do ZIP, shostuj gdzieś i podaj link do paczki. .

madziola, źle wkleiłaś do Notatnika treść z posta, przekleiłaś również tagi formatujące forum, dlatego pierwsza komenda zabijania procesów si nie wykonała, ale rszta się upiekła i została przetworzona. I jeszcze drobne poprawki: 1. Otwórz Notatnik i wklwj w nim: BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File C:\Program Files\Mobogenie C:\Program Files\Temp C:\Program Files\VideoDownloadConverter C:\ProgramData\Malwarebytes C:\ProgramData\McAfee C:\ProgramData\Sun C:\Users\madziola\AppData\Local\genienext C:\Users\madziola\AppData\Local\Mobogenie C:\Users\madziola\AppData\Local\Pay-By-Ads C:\Users\madziola\AppData\LocalLow\Sun C:\Users\madziola\AppData\Roaming\Malwarebytes C:\Users\madziola\AppData\Roaming\newnext.me W Notatniku ma być wklejone tylko to co widać na szarym tle. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz logi z folderu C:\AdwCleaner.

Proszę przeczytaj czego unikać, skąd nie pobierać: KLIK. No cóż, adware znów się pojawiło w systemie. Poza tym, będę usuwać obiekty Firefox i Google Chrome, obie przeglądarki wyglądają na odinstalowane (ale z pozostawieniem profilów na dysku). I przechodzimy do czyszczenia systemu: 1. Przez Panel sterowania odinstaluj adware DiscountLocator, Optimizer Pro v3.2. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/default Task: {C11F0B9C-B0CB-4002-BAFA-9D3F2625E209} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe HKU\S-1-5-21-846750890-3381048881-3130427261-1001\...\Policies\Explorer: [NoDriveTypeAutoRun] 0x95000000 C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Opera C:\Program Files (x86)\Optimizer Pro C:\ProgramData\26a8f481a0ac6502 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2 C:\Users\pc\AppData\Local\{*} C:\Users\pc\AppData\Local\Google C:\Users\pc\AppData\Roaming\Mozilla C:\Users\pc\AppData\Roaming\Optimizer Pro C:\Users\pc\Documents\Optimizer Pro C:\windows\system32\SET*.tmp Reg:reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Nie wiadomo co się stało z wadliwymi komponentami IE10 (czy na pewno zostały zlikwidowane), ale skoro IE11 udało się zainstalować i działa, to zakończmy na tym. Końcowe kroki do wdrożenia: KLIK.

Brak oznak infekcji, tylko z Pulpitu skasuj skrót adware Continue HijackThis installation.lnk. Temat przenoszę na razie do działu Software, ale może i do Sieci wskoczy w zależności od odpowiedzi na to pytanie: Czy problem występuje tylko w Firefox? W tle jest uruchomiona Opera, czy tam są podobne objawy? .

Skrypt do FRST w ogóle nie został wykonany. Powtarzaj punkt 2 z poprzedniej instrukcji, dostarcz wynikowy fixlog.txt, a po tym zrób nowy log z FRST (bez Addition i Shortcut). Tu mi chodziło, iż jest to tak stara wersja (z 2006), zresztą instalowana na nowoczesnym Windows 8, że aż strach korzystać. Przeterminowane oprogramowanie ma luki zabezpieczeń i może być używane do infekowania systemu. Ten stary Adobe Reader to chodząca bomba zegarowa. Nie wiem dlaczego takie wersje zostały pobrane, bo w czasie gdy je pobierałaś były z pewnością nowsze dostępne pod tymi linkami... .

Czyli błąd jest całkowicie inny niż "Odmowa dostępu". Czy przypadkiem dysk C z Windows nie jest tam wyliczany dwa razy: pozycja C (SYSTEM) + C (BRAK)?

Nie, w Trybie awaryjnym miał być zastosowany tylko Norton Removal Tool. Reszta operacji (włączając w to log z FRST) w Trybie normalnym. Wszystko wygląda na wykonane. Czy po przeprowadzonych działaniach jest poprawa? I drobne poprawki. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-734105705-3626116736-685646401-1000\...\Run: [GoogleDriveSync] => "C:\Program Files (x86)\Google\Drive\googledrivesync.exe" /autostart StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Toolbar: HKCU - No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 Task: {2658CF9F-C69D-4694-ACA4-22BF2D49E36E} - System32\Tasks\Norton 360\Norton Error Analyzer => C:\Program Files (x86)\Norton 360\Engine\21.6.0.32\SymErr.exe [2014-01-30] (Symantec Corporation) Task: {A86F9031-DD5A-41B7-AB85-116375CB4A96} - System32\Tasks\Norton WSC Integration => C:\Program Files (x86)\Norton 360\Engine\21.6.0.32\WSCStub.exe [2014-09-21] (Symantec Corporation) Task: {EDAA73BD-FA3F-4259-A6DC-B954A5ADF79A} - System32\Tasks\Norton 360\Norton Error Processor => C:\Program Files (x86)\Norton 360\Engine\21.6.0.32\SymErr.exe [2014-01-30] (Symantec Corporation) RemoveDirectory: C:\ProgramData\Norton RemoveDirectory: C:\Users\dib\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\System32\Tasks\Norton 360 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. .

Akcja pomyślnie wykonana. Kończymy. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Wszystko wykonane. Kolejne poprawki. Otwórz Notatnik i wklej w nim: CloseProcesses: SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\Program Files (x86)\BrowseStudio C:\Program Files (x86)\savernet C:\ProgramData\374311380 C:\ProgramData\45b2954f6a0b4fc3 C:\ProgramData\ddc24aa9-6c5d-44d0-8c40-9bed83bb2ab7 C:\ProgramData\CheapCoupon C:\ProgramData\savernet C:\Users\bungar\AppData\Roaming\Systweak C:\Windows\msdownld.tmp CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\bungar\AppData\Local CMD: dir /a C:\Users\bungar\AppData\LocalLow CMD: dir /a C:\Users\bungar\AppData\Roaming EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Przedstaw wynikowy fixlog.txt. .

Odtwórz klucz usunięty przez AdwCleaner. Otwórz Notatnik i wklej w nim: Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /f Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /v 8358123696A4F79448550924160B9E4E /t REG_SZ /d C:\?WINDOWS\SysWOW64\msvcr71.dll /f Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Możliwe, iż infekcja zablokowała foldery usuwając wszystkie uprawnienia. Pokaż mi uprawnienia i zawartość folderów AVG, czyli otwórz Notatnik i wklej w nim: Folder: C:\Program Files (x86)\AVG Folder: C:\ProgramData\AVG ListPermissions: C:\Program Files (x86)\AVG ListPermissions: C:\Program Files (x86)\AVG\AVG PC TuneUp ListPermissions: C:\ProgramData\AVG Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Parametr /a = pokazywanie wszystkich atrybutów (czyli także HS), parametr /s = skan rekursywny uwzględniający rozwinięcie podfolderów. Są spacje w ścieżce, dlatego należy ująć całą ścieżkę w cudzysłów.

Nie wszystko jest w porządku. W systemie nadal jest adware, więc należy to doczyścić. Przeprowadź następujące działania: 1. Na początek deinstalacje: - Przez Panel sterowania odinstaluj starą niebezpieczną Java 6 Update 22. - Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware BonanzaDeals) > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 MaintainerSvc4.07.4104264; C:\ProgramData\398c0b96-ebd3-4f67-a5c7-1899a15c12be\maintainer.exe [123680 2014-11-11] () R1 {a3f28269-ad17-41a8-b032-3e0313ef8979}Gw; C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw.sys [52928 2014-06-19] (StdLib) R1 {a3f28269-ad17-41a8-b032-3e0313ef8979}w; C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w.sys [52928 2014-06-23] (StdLib) S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] AppInit_DLLs: c:\progra~2\bitguard\271832~1.68\{c16c1~1\bitguard.dll => c:\progra~2\bitguard\271832~1.68\{c16c1~1\bitguard.dll File Not Found Task: {2AC9DCD1-04DF-4B6F-87C8-F038D8DEB958} - System32\Tasks\{8E2AD033-553E-4C15-9C68-F860947658DB} => Firefox.exe http://ui.skype.com/ui/0/6.0.0.126/pl/abandoninstall?page=tsProgressBar Task: {F34BC672-FA10-40E4-8260-B9C908A9203B} - System32\Tasks\{86976A0B-9403-4687-8BB6-E512C68DF19F} => Firefox.exe http://ui.skype.com/ui/0/6.6.0.106/pl/go/help.faq.installer?LastError=1604 GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=128 HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=180&d=20140620 SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear BHO: Jump Flip -> {b630c560-975d-41a3-9a95-cbc23ad991e4} -> C:\Program Files\Jump Flip\JumpFlipBHO.dll (Jump Flip) Toolbar: HKLM - No Name - {48586425-6bb7-4f51-8dc6-38c88e3ebb58} - No File FF Plugin: @VideoDownloadConverter_4z.com/Plugin -> C:\Program Files\VideoDownloadConverter_4z\bar\1.bin\NP4zStub.dll No File FF Plugin: @VideoDownloadConverter_ScriptHelper.com/Plugin -> C:\Program Files\VideoDownloadConverter\npVDCPlugin.dll No File FF HKLM\...\Firefox\Extensions: [{C7AE725D-FA5C-4027-BB4C-787EF9F8248A}] - C:\Program Files\RelevantKnowledge\firefox C:\Program Files\Greener Web C:\Program Files\Jump Flip C:\ProgramData\398c0b96-ebd3-4f67-a5c7-1899a15c12be C:\Users\madziola\AppData\Local\Google\Chrome C:\Users\madziola\AppData\Local\Torpedo C:\Users\madziola\Downloads\*_Sciagnij.pl.exe C:\Users\madziola\Downloads\TorpedoSetup.exe C:\Users\madziola\Downloads\Torpedo C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw.sys C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: for /d %f in (C:\Users\madziola\AppData\Local\{*}) do rd /s /q "%f" CMD: dir /a "C:\Program Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\madziola\AppData\Local CMD: dir /a C:\Users\madziola\AppData\LocalLow CMD: dir /a C:\Users\madziola\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus i Ghostery) trzeba będzie potem przeinstalować. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Komenda cmd: dir /a /s "C:\Users\nazwa uzytkownika\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5"

Odznacz w Opcjach folderów Ukryj chronione pliki systemu operacyjnego, a pewnie zobaczysz te brakujące obiekty. I poproszę o log z USBFix z opcji Listing zrobiony przy podpiętym urządzeniu. .

Brakuje pliku FRST Shortcut. I dlaczego FSS został pobrany z innej strony niż domowa? Te narzędzia pobiera się tylko ze stron domowych, tylko tam gwarancja najnowszej dostępnej wersji. 2014-11-12 16:28 - 2014-11-12 16:28 - 00415232 _____ (Farbar) C:\Users\Gregor\Downloads\FSS_www.INSTALKI.pl.exe Tu jeszcze nie koniec napraw. ZeroAccess zdewastował Winsock oraz usługi Windows, są do usunięcia też inne odpadki. Zaś instalacje AVG konkretnie uszkodziłeś, nie działają wcale, tylko mnie dziwi, że AVG Remover nie był w stanie usunąć niektórych elementów. Do przeprowadzenia kolejne działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Winsock: Catalog5 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5 06 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5-x64 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5-x64 06 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" Task: {1A634002-A737-4D27-A600-6CC5806A047C} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\Windows\TEMP\{CBE2B3B2-C7B4-4E42-A141-B9F00CF7D24E}.exe Task: {1C96B53A-0A40-43E5-8867-0764CFE7E759} - System32\Tasks\{6A71A16E-6AB2-4768-A162-6C8BD6538585} => Firefox.exe http://ui.skype.com/ui/0/6.3.0.105/pl/abandoninstall?source=lightinstaller&page=tsProgressBar Task: {B397A0A3-C5D3-4FC0-9114-4E3A7E1AAC16} - System32\Tasks\{861CA96E-70DB-4152-A5B1-F0AF3F0432E3} => Firefox.exe http://ui.skype.com/ui/0/6.3.0.105/pl/abandoninstall?source=lightinstaller&page=tsProgressBar Task: {B3B0FC60-976C-41D2-96B9-3B5226C0EE2D} - System32\Tasks\{104AC7CE-EFE8-444E-959A-03A104099E48} => Firefox.exe http://ui.skype.com/ui/0/6.3.0.105/pl/abandoninstall?source=lightinstaller&page=tsBing Task: {C322016C-CDCD-49C5-9BCE-4C3861CB945A} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{A3CC968A-58FB-42A9-9589-FB6C05B630C0}.exe Task: {C55F4DF9-3E8A-47D6-B97D-E183441ABB14} - System32\Tasks\{0FEC809B-F74A-4283-914D-2428B424C43E} => D:\AfterFX.exe Task: {CB929F5D-E560-4264-B139-C7264E876C87} - System32\Tasks\{D2D9B148-468B-4019-8B9D-41FC44738BEE} => Firefox.exe http://ui.skype.com/ui/0/6.3.0.105/pl/abandoninstall?source=lightinstaller&page=tsProgressBar HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=128 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKCU - DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={3C153BBE-6337-4B1B-98EC-C681B1868B8B}&mid=42760d473b5647d0895099127fe0394e-f098aa263336bb89bd3031ed9a2eb476dabd5051&lang=pl&ds=xn011&pr=sa&d=2012-09-23 08:58:38&v=14.2.0.1&pid=avg&sg=0&sap=dsp&q={searchTerms} SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={3C153BBE-6337-4B1B-98EC-C681B1868B8B}&mid=42760d473b5647d0895099127fe0394e-f098aa263336bb89bd3031ed9a2eb476dabd5051&lang=pl&ds=xn011&pr=sa&d=2012-09-23 08:58:38&v=14.2.0.1&pid=avg&sg=0&sap=dsp&q={searchTerms} BHO-x32: AVG Security Toolbar -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> C:\Program Files (x86)\AVG Secure Search\18.1.9.799\AVG Secure Search_toolbar.dll No File BHO-x32: IEPluginBHO Class -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll No File Toolbar: HKLM-x32 - AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files (x86)\AVG Secure Search\18.1.9.799\AVG Secure Search_toolbar.dll No File Toolbar: HKU\S-1-5-21-2594288395-2575548641-1274416727-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Toolbar: HKU\S-1-5-21-2594288395-2575548641-1274416727-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab Handler-x32: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files (x86)\Common Files\AVG Secure Search\ViProtocolInstaller\18.1.9\ViProtocol.dll (AVG Secure Search) FF Plugin-x32: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\18.1.9\\npsitesafety.dll No File FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKLM-x32\...\Firefox\Extensions: [avg@toolbar] - C:\ProgramData\AVG Secure Search\FireFoxExt\18.1.9.799 FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\avg-secure-search.xml FF user.js: detected! => C:\Users\Gregor\AppData\Roaming\Mozilla\Firefox\Profiles\bcxsag28.default\user.js FF user.js: detected! => C:\Users\Gregor\AppData\Roaming\Mozilla\Firefox\Profiles\8lm0pfex.default-1354916507328\user.js C:\Program Files (x86)\AVG C:\Program Files (x86)\Common Files\AVG Secure Search C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\AVG Secure Search C:\ProgramData\MFAData C:\ProgramData\Temp C:\Users\Gregor\AppData\Local\Avg2015 C:\Users\Gregor\AppData\Local\Google\Chrome C:\Users\Gregor\AppData\Roaming\Systweak CMD: netsh winsock reset Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście po kolei wpisy AVG 2013 i AVG Security Toolbar > Dalej 3. Uruchom ServicesRepair i zresetuj system. 4. Zrób nowe logi: FRST z opcji Scan (zaznacz pola Addition i Shortcut) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. .

Proszę dostosuj się do zasad działu w kwestii obowiązujących tu raportów: KLIK. OTL (zresztą niekompletny - brak pliku Extras) jest przestarzały i sprawdzany tu tylko pobocznie. Dostarcz obowiązkowe raporty z FRST.

Rozumiem, że cały czas dręczy "0x80070490 - ERROR_NOT_FOUND". W takim układzie zrobię BAT publikujący hurtem sterowniki, tylko potrzebuję na to czasu, bo muszę wrócić do ogólnego kompletnego raportu CBS.LOG i z odpowiedniej sekcji zbudować listę sterowników.