picasso

Brak oznak czynnej infekcji ani jakichkolwiek śladów, by infekcja miała coś wspólnego z brakiem sieci. Do czyszczenia są tylko mini szczątki adware i wpisy puste, ale jest to bez znaczenia dla sprawy. W spoilerze doczyszczanie. Temat przenoszę na razie do działu Windows 8. Z podanych tu raportów nic konkretnego nie wynika. Jedyne co tu zostało odnotowane, to błędy w Dzienniku zdarzeń związane z AMD Quick Stream: System errors: ============= Error: (11/08/2014 07:04:59 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi AppEx Networks Accelerator LWF z powodu następującego błędu: %%31 Error: (11/08/2014 07:04:59 PM) (Source: APXACC) (EventID: 1003) (User: ) Description: The NDIS6 LWF initialization has failed. (0xC0000001) vs. ==================== Drivers (Whitelisted) ==================== S2 APXACC; C:\Windows\system32\DRIVERS\appexDrv.sys [199008 2012-06-23] (AppEx Networks Corporation) ==================== Installed Programs ====================== AMD Quick Stream (HKLM\...\{E9EED4AE-682B-4501-9574-D09A21717599}_is1) (Version: 3.3.26.0 - AppEx Networks) Nie znam tej aplikacji AMD, ale czy ona przypadkiem nie filtruje urządzeń sieciowych? Otwórz Panel sterowania i wejdź do spisu połączeń sieciowych, pobierz ich Właściwości i sprawdź co tam widać w karcie Ogólne podającej spis komponentów używanych przez dane połączenie, czy jest jakiś powiązany obiekt AMD do deinstalacji. Ponadto, można sprawdzić czy kompleksowa deinstalacja tego programu AMD coś pomoże. .

Przepisz dokładnie kopmunikat, który się pokazuje. Poza tym, dorzuć raporty z FRST.

Czy zmieniałeś ustawienia pamięci wirtualnej (próby "usunięcia" pagefile.sys)?

Jeśli Tempy były uprzednio migrowane przy udziale dialogu Zmiennych środowiskowych, a skutkuje to brakiem akceptacji określonych programów, to nie widzę sposobu, by to wykonać. I nie kombinowałabym po prostu z tym, zwłaszcza jeśli dysk E jest wolniejszy niż dysk C. Aczkolwiek mam pytanie: migracja na E była wykonana do podfolderu np. E:\Temp, czy wprost na root E:\? I jakie były uprawnienia owych przeniesionych katalogów Temp? PS. Usuń M:\Internet\FRST i zastosuj DelFix. .

Kończymy: 1. Z opisu wynika, że jeden z deinstalatorów adware posunął się za daleko. Zniknął cały folder User Pinned. Skróty uzupełnij sobie ręcznie po prostu przypinając ponownie do paska wybrane programy. Shortcut: C:\Users\Mikołaj\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Adobe Photoshop 7.0.lnk -> C:\Program Files (x86)\Adobe\Photoshop 7.0\Photoshop.exe (Adobe Systems, Incorporated) Shortcut: C:\Users\Mikołaj\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ashampoo Burning Studio 6 FREE.lnk -> C:\Program Files (x86)\Ashampoo\Ashampoo Burning Studio 6 FREE\burningstudio.exe (ashampoo Technology GmbH & Co. KG) Shortcut: C:\Users\Mikołaj\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) Shortcut: C:\Users\Mikołaj\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\IrfanView.lnk -> C:\Program Files (x86)\IrfanView\i_view32.exe (Irfan Skiljan) Shortcut: C:\Users\Mikołaj\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Microsoft Office Word 2007.lnk -> C:\Windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\wordicon.exe () Shortcut: C:\Users\Mikołaj\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera12.15 1748.lnk -> C:\Program Files (x86)\Opera\opera.exe (Opera Software) Shortcut: C:\Users\Mikołaj\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Pazera Free MOV to AVI Converter.lnk -> C:\Program Files (x86)\pazera-software\MOV_to_AVI_Converter\movtoavi.exe (Jacek Pazera) Shortcut: C:\Users\Mikołaj\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\PhotoFiltre 7.lnk -> C:\Program Files (x86)\PhotoFiltre 7\PhotoFiltre7.exe (Antonio Da Cruz) Shortcut: C:\Users\Mikołaj\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\RawTherapee4.0.11.79.lnk -> C:\Program Files\RawTherapee-4.0.11.79\rawtherapee.exe () Shortcut: C:\Users\Mikołaj\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Rozliczenie Roczne 2013.lnk -> C:\Rozliczenie Roczne 2013\Rok.exe (Usługi Informatyczne Andrzej Ciupiński) Shortcut: C:\Users\Mikołaj\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\VLC media player.lnk -> C:\Program Files\VideoLAN\VLC\vlc.exe (VideoLAN) Shortcut: C:\Users\Mikołaj\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Winamp.lnk -> C:\Program Files (x86)\Winamp\winamp.exe (Nullsoft) Shortcut: C:\Users\Mikołaj\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\µTorrent (2).lnk -> C:\Users\Mikołaj\AppData\Roaming\uTorrent\uTorrent.exe (BitTorrent Inc.) 2. Jeśli chodzi o edycję skrótu Internet explorer (bez dodatków), komunikat błędu sugeruje, że wykonałeś błędną edycję: "C:\Program Files\Internet Explorer\iexplore.exe -extoff" A ma być: "C:\Program Files\Internet Explorer\iexplore.exe" -extoff Jeżeli jednak poprawna edycja będzie niemożliwa, skasuj wadliwy skrót i wstaw mój: KLIK. 3. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Users\Mikołaj\AppData\Roaming\Opera DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Po jego pokazaniu: 4. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. .

1. Pliki podstawiłeś, więc teraz upewnij się, że poprzednio uruchamiane narzędzia nie zgłaszają już zastrzeżeń: - Uruchom "Narzędzie analizy gotowości aktualizacji systemu" - po ukończeniu skanu w świeżym pliku C:\Windows\Logs\CBS\Checksur.log powinno być zero zgłoszonych błędów. - Uruchom skan SFC - nie powinien się pokazać błąd "Funkcja Ochrona zasobów systemu Windows nie może wykonać żądanej operacji". 2. Ponów instalację SP1. W przypadku kolejnego błędu typu "0x80070490 - ERROR_NOT_FOUND" dostarczasz C:\Windows\inf\setupapi.dev.log. 3. To nadal aktualne: .

Jak mówiłam, oznak infekcji brak i tylko kosmetyka do wykonania (usunięcie wpisów pustych, starego rozszerzenia .NET Framework w Firefox oraz wyczyszczenie lokalizacji tymczasowych). Akcje wykonujesz będąc zalogowanym na koncie administracyjnym komodore: Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicyUsers\S-1-5-21-2694031699-52744628-1130330716-1002\User: Group Policy restriction detected S2 vToolbarUpdater3.2.0; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\3.2.0\ToolbarUpdater.exe [X] HKU\S-1-5-21-2694031699-52744628-1130330716-1000\...\Run: [] => [X] Task: {41FE3FE3-6851-439E-A5F1-70F29F6B9154} - System32\Tasks\e-pity2013_kwiecien => C:\Program Files\e-file\e-pity2013\Assets\signxml.exe Task: {EFF9019A-7152-424A-BE4F-7DF8C11D789A} - System32\Tasks\e-pity2013_styczen => C:\Program Files\e-file\e-pity2013\Assets\signxml.exe FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\ProgramData\*.bdinstall.bin C:\Program Files\Bitdefender C:\Users\Mateusz\Downloads\UnityWebPlayer*.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Jak rozumiem ten problem nadal występuje? .

AdwCleaner zawsze pobieraj ze strony domowej, którą podałam, z żadnych portali. To samo tyczy FRST i innych podobnych narzędzi. Jeśli chodzi o wersję AdwCleaner 4.100, to w momencie gdy pisałam post była starsza, w ten sam dzień zaktualizowali. 1. AdwCleaner wykrywa instalację Flv Player. Nie wyglądał mi ten program na adware (jest więcej niż jeden program o takiej nazwie wyświetlanej), ale na wszelki wypadek odinstaluj. Dopiero po deinstalacji zapuść AdwCleaner i wdróż opcję Usuń. 2. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f RemoveDirectory: C:\AdwCleaner DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Czy po restarcie systemu jest ten sam komunikat?

Z tym zoomem to chyba nie będę w stanie nic zrobić. Czy problem występował wcześniej? Podczas tej aktualizacji skin nie był w ogóle modyfikowany, tylko silnik forum.

Na początek o używanych programach: - SpyHunter to niepożądany wątpliwy program, który stosuje naciski reklamodawcze, by go zainstalować, po czym się okazuje, że nici z usuwania bez opłat. Z daleka od niego. - AdwCleaner nie został pobrany ze strony domowej tylko z pokątnego serwisu - skutki to pobranie wycofanej z użytku wersji z bugami: adwcleaner_4.002_www.INSTALKI.pl.exe. Proszę nie pobieraj takich programów z portali, które nie mają pozwolenia na hosting i nie nadążają za aktualizacjami. AdwCleaner ma swoją stronę domową gdzie zawsze jest najnowsza wersja, link w przyklejonym: KLIK. W Firefox jest adware easytoshop, ponadto przeglądarka Google Chrome została przekonwertowana przez adware do typu "development". W systemie są też inne śmieci. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj AVG Security Toolbar, Google Chrome, Winamp Toolbar. Usuwanie AVG Security Toolbar może zwrócić błąd, niestety wygląda na to, że była tu zła kolejność (najpierw AdwCleaneer zamiast poprawnej deinstalacji). Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki, a resztę dokasuje punkt 2. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {14D2B892-88B0-4AB2-9548-6FFE26E4EB81} - System32\Tasks\{DC3DBF1C-8AE9-47B3-BBF2-41161E14A24D} => C:\Program Files\Skype\Phone\Skype.exe Task: {1BF5E031-4433-4672-B35F-17FA0E9D9915} - \1c4a65ae-d51e-4630-92af-803b13515a45-1 No Task File Task: {27A30AB0-53FE-452B-9CB0-E8018E93B82D} - \globalUpdateUpdateTaskMachineUA No Task File Task: {3E770B73-6CC7-4549-ADD2-3D8BD205F401} - \1c4a65ae-d51e-4630-92af-803b13515a45-4 No Task File Task: {502924F9-EA64-4348-BA63-781CEEBF3E0A} - \1c4a65ae-d51e-4630-92af-803b13515a45-2 No Task File Task: {5F21142F-7ECC-42FB-82E0-8E894346CCFC} - System32\Tasks\Registration Trigger IBM Lotus Symphony Task => C:\Program Files\IBM\Lotus\Symphony\framework\rcp\rcplauncher.exe Task: {6AF669B9-0E78-4F73-AE1B-D6F028EE8EDB} - \1c4a65ae-d51e-4630-92af-803b13515a45-5_user No Task File Task: {6BAD32B9-A9F9-4187-815A-5791F926BCBA} - \1c4a65ae-d51e-4630-92af-803b13515a45-7 No Task File Task: {89A25111-7886-4259-BE6F-8D3E7405B218} - \1c4a65ae-d51e-4630-92af-803b13515a45-6 No Task File Task: {A74D61EC-82DB-400F-9313-C77F5125C511} - \globalUpdateUpdateTaskMachineCore No Task File Task: {C8BC0BCE-5515-4555-9365-C8B7C25E02DC} - \1c4a65ae-d51e-4630-92af-803b13515a45-11 No Task File Task: {FBE663AB-601A-478E-8E5F-88108CBCA15C} - \1c4a65ae-d51e-4630-92af-803b13515a45-5 No Task File S2 Update EnterDigital; "C:\Program Files\EnterDigital\updateEnterDigital.exe" [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S1 MpKsl4f5e237f; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{E8AECBA2-57A7-4ACF-908E-D0E25DA5E810}\MpKsl4f5e237f.sys [X] HKU\S-1-5-21-1579964985-3426180906-2269987189-1000\Software\Classes\.exe: exefile => HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141107 URLSearchHook: HKCU - (No Name) - {c2db4fe6-8409-45ce-8010-189a7b5cce86} - No File SearchScopes: HKLM - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = SearchScopes: HKLM - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://isearch.avg.com/search?cid={7B39E381-AF5D-4251-9093-EDED203DC7C1}&mid=547ed8b60b5e47d09317d1569676c6ce-cd057674818d3d359bd7fb4b61be906e948a228e&lang=pl&ds=xn011&pr=sa&d=2012-10-13 19:29:17&v=13.0.0.7&sap=dsp&q={searchTerms} SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = SearchScopes: HKCU - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 BHO: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File Toolbar: HKCU - No Name - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - No File Toolbar: HKCU - No Name - {C2DB4FE6-8409-45CE-8010-189A7B5CCE86} - No File CHR HKLM\SOFTWARE\Policies\Google: Policy restriction FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [avg@toolbar] - C:\ProgramData\AVG Secure Search\FireFoxExt\13.0.0.7 C:\Program Files\dealpeak C:\Program Files\Enigma Software Group C:\Program Files\globalUpdate C:\Program Files\Google C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\Program Files\MyFree Codec C:\Program Files\Yawtix C:\ProgramData\af605e765fe8a99d C:\ProgramData\dfed7653-07f4-44f2-abaa-a70c946c17c3 C:\ProgramData\AVG Secure Search C:\Users\BB1\AppData\Local\Google C:\Users\BB1\AppData\Roaming\systweak C:\Users\BB1\Desktop\Continue Firefox installation.lnk C:\Users\BB1\Desktop\Continue XviD installation.lnk C:\Users\BB1\Downloads\SpyHunter-installer.exe C:\Windows\455F074C814E4520B69B5584BD90400C.TMP C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Program Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\BB1\AppData\Local CMD: dir /a C:\Users\BB1\AppData\LocalLow CMD: dir /a C:\Users\BB1\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ae używane rozszerzenie trzea będzie przeinstalować (Adblock Plus, FEBE, LastPass). 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner. .

Proszę dostosuj się do zasad działu, przecież brak danych: KLIK. Dostarcz logi z FRST.

Pomimo tego punkty 1 do 4 nadal aktualne, trzeba doczyścić po adware. Oczekuję na końcowe dane.

Mam prośbę, która pomoże zweryfikować czy nadmiarowe wpisy Winsock w FRST mają być filtrowane. Proszę wyeksportuj mi klucz klasy Network. Pobierz ponownie FRST. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318} /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt.

Brakuje pliku Fixlog.txt, który utworzył FRST podczas usuwania. Dołącz. Jakie skróty konkretnie? Zrób mi jeszcze log FRST Shortcut.

Kupa nowych instalacji adware w systemie. Przeprowadź następujące czyszczenie: 1. Przez Panel sterowania odinstaluj adware GoHD, Techgile oraz stare wersje Adobe Reader 8 - Polish, Java 7 Update 45, Opera 12.16. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {3254b624-3dc6-470b-b41f-230aff035acc}Gw64; C:\Windows\System32\drivers\{3254b624-3dc6-470b-b41f-230aff035acc}Gw64.sys [48784 2014-11-07] (StdLib) S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-11-07] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-11-07] (globalUpdate) [File not signed] R2 MaintainerSvc4.29.2173613; C:\ProgramData\685d26dc-c30a-434b-bda2-3004e8743669\maintainer.exe [123632 2014-11-08] () R2 Update Techgile; C:\Program Files (x86)\Techgile\updateTechgile.exe [525552 2014-11-08] () R2 Util Techgile; C:\Program Files (x86)\Techgile\bin\utilTechgile.exe [525552 2014-11-08] () S2 Update PacFunction; "C:\Program Files (x86)\PacFunction\updatePacFunction.exe" [X] Task: {30BC145A-186D-4633-A856-18F7DECED0F9} - System32\Tasks\1a4bda0d-6432-4f29-ac70-d72a6eea055e-6 => C:\Program Files (x86)\GoHD\1a4bda0d-6432-4f29-ac70-d72a6eea055e-6.exe [2014-11-07] (InstallMoon) Task: {34365492-05ED-4EF6-B1E3-67A330E0CA2A} - \Torntv V9.0-updater No Task File Task: {54CD4D0B-8716-4E18-9154-433BB38E07EA} - System32\Tasks\{0E5B20B6-A149-4925-9D5C-14332C1EA78B} => Chrome.exe http://ui.skype.com/ui/0/6.5.0.158/en/abandoninstall?page=tsMain Task: {76714ED3-4E04-4997-8AE6-6ACD2FAAA87B} - \Torntv V9.0-chromeinstaller No Task File Task: {90B620CC-0B22-4554-A8B2-264E5F954DA2} - System32\Tasks\{61338BDD-E75D-499E-9569-A68C2A2601D1} => Chrome.exe http://ui.skype.com/ui/0/6.7.0.102/en/abandoninstall?page=tsMain Task: {9E810107-2821-47B7-BE56-D1F3C36AAD5F} - System32\Tasks\1a4bda0d-6432-4f29-ac70-d72a6eea055e-1 => C:\Program Files (x86)\GoHD\GoHD-codedownloader.exe [2014-11-07] (InstallMoon) Task: {A577FF09-47C7-4ECD-8238-DF022A888990} - \Torntv V9.0-firefoxinstaller No Task File Task: {A61D7521-5650-40E9-BDEF-4907C37BBA49} - System32\Tasks\1a4bda0d-6432-4f29-ac70-d72a6eea055e-4 => C:\Program Files (x86)\GoHD\1a4bda0d-6432-4f29-ac70-d72a6eea055e-4.exe [2014-11-07] (InstallMoon) Task: {A9F88AB4-1C86-49C8-ACE6-E0A1AAA64AB1} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-11-07] (globalUpdate) Task: {B018F981-ACCA-4D4B-8CC0-757E6F94C15C} - \Torntv V9.0-codedownloader No Task File Task: {BE751045-E29B-417C-82DE-F15519EB52BA} - System32\Tasks\1a4bda0d-6432-4f29-ac70-d72a6eea055e-7 => C:\Program Files (x86)\GoHD\1a4bda0d-6432-4f29-ac70-d72a6eea055e-7.exe [2014-11-07] (InstallMoon) Task: {CABA015D-3C72-4BC1-9B50-AD09525DA328} - \DSite No Task File Task: {D21394A3-8FC3-4775-8D63-94E66798550B} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-11-07] (globalUpdate) Task: {DC84CA0B-C2B8-4F6B-B053-E677A12DE7C6} - System32\Tasks\1a4bda0d-6432-4f29-ac70-d72a6eea055e-5 => C:\Program Files (x86)\GoHD\1a4bda0d-6432-4f29-ac70-d72a6eea055e-5.exe [2014-11-07] (InstallMoon) Task: {EF6F2690-7C92-4594-B140-FC53BF36E2C2} - System32\Tasks\1a4bda0d-6432-4f29-ac70-d72a6eea055e-11 => C:\Program Files (x86)\GoHD\1a4bda0d-6432-4f29-ac70-d72a6eea055e-11.exe [2014-11-07] (InstallMoon) Task: {EF70278F-3E55-41ED-B920-A5A75E4C6528} - \Torntv V9.0-enabler No Task File Task: {EF7B27F7-CD93-42D7-9054-9F368A11D344} - System32\Tasks\1a4bda0d-6432-4f29-ac70-d72a6eea055e-2 => C:\Program Files (x86)\GoHD\1a4bda0d-6432-4f29-ac70-d72a6eea055e-2.exe [2014-11-07] (InstallMoon) Task: C:\Windows\Tasks\1a4bda0d-6432-4f29-ac70-d72a6eea055e-1.job => C:\Program Files (x86)\GoHD\GoHD-codedownloader.exe Task: C:\Windows\Tasks\1a4bda0d-6432-4f29-ac70-d72a6eea055e-11.job => C:\Program Files (x86)\GoHD\1a4bda0d-6432-4f29-ac70-d72a6eea055e-11.exe Task: C:\Windows\Tasks\1a4bda0d-6432-4f29-ac70-d72a6eea055e-2.job => C:\Program Files (x86)\GoHD\1a4bda0d-6432-4f29-ac70-d72a6eea055e-2.exe Task: C:\Windows\Tasks\1a4bda0d-6432-4f29-ac70-d72a6eea055e-4.job => C:\Program Files (x86)\GoHD\1a4bda0d-6432-4f29-ac70-d72a6eea055e-4.exe Task: C:\Windows\Tasks\1a4bda0d-6432-4f29-ac70-d72a6eea055e-5.job => C:\Program Files (x86)\GoHD\1a4bda0d-6432-4f29-ac70-d72a6eea055e-5.exe Task: C:\Windows\Tasks\1a4bda0d-6432-4f29-ac70-d72a6eea055e-5_user.job => C:\Program Files (x86)\GoHD\1a4bda0d-6432-4f29-ac70-d72a6eea055e-5.exe Task: C:\Windows\Tasks\1a4bda0d-6432-4f29-ac70-d72a6eea055e-6.job => C:\Program Files (x86)\GoHD\1a4bda0d-6432-4f29-ac70-d72a6eea055e-6.exe Task: C:\Windows\Tasks\1a4bda0d-6432-4f29-ac70-d72a6eea055e-7.job => C:\Program Files (x86)\GoHD\1a4bda0d-6432-4f29-ac70-d72a6eea055e-7.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=128 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 - DefaultScope value is missing. BHO: GoHD -> {11111111-1111-1111-1111-110611211180} -> C:\Program Files (x86)\GoHD\GoHD-bho64.dll (InstallMoon) BHO-x32: GoHD -> {11111111-1111-1111-1111-110611211180} -> C:\Program Files (x86)\GoHD\GoHD-bho.dll (InstallMoon) BHO-x32: Techgile -> {7d2cbfb4-dfcd-4282-841a-c2a2a5299d7e} -> C:\Program Files (x86)\Techgile\Techgilebho.dll (Techgile) CHR Extension: (Techgile) - C:\Users\Mikołaj\AppData\Local\Google\Chrome\User Data\Default\Extensions\odimognccioelmebaecjhapdbcoaboao [2014-11-08] CHR HKLM-x32\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Users\Mikołaj\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [2014-03-16] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction C:\Program Files (x86)\c37bb6e6-80b8-411f-bc17-968f7b3724b2 C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\GoHD C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Techgile C:\ProgramData\685d26dc-c30a-434b-bda2-3004e8743669 C:\Users\Mikołaj\AppData\Local\globalUpdate C:\Users\Mikołaj\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Mikołaj\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Mikołaj\AppData\Local\Mozilla C:\Users\Mikołaj\AppData\Roaming\Mozilla C:\Users\Mikołaj\AppData\Roaming\systweak C:\Windows\system32\roboot64.exe C:\Windows\System32\drivers\{3254b624-3dc6-470b-b41f-230aff035acc}Gw64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. 4. W pasku adresów eksploratora wklej ścieżkę C:\Users\Mikołaj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Nic z tego, mimo naprawy checkdisk FRST nadal nie widzi tych plików. Sprawdź czy da radę ruszyć te babole za pomocą narzędzia opartego na silniku Linuksowym. Zbootuj z płyty Kaspersky Rescue Disk. Uruchom "File Manager", w lewym panelu kliknij w pozycję disks, wejdź w link do dysku systemowego i tu wykonaj operacje na ścieżkach analogicznych do tych w Windows: Usuń pliki: ...\Windows\winsxs\Manifests\x86_microsoft-windows-t..igbackend.resources_31bf3856ad364e35_6.1.7600.16385_pl-pl_8b78b555ebf15b14.manifest ...\Windows\winsxs\Manifests\x86_microsoft-windows-t..ied-chinese-quanpin_31bf3856ad364e35_6.1.7600.16385_none_f79af98021986eab.manifest ...\Windows\winsxs\Manifests\x86_microsoft-windows-t..ied-chinese-zhengma_31bf3856ad364e35_6.1.7600.16385_none_632cd22f8aba00e7.manifest Z katalogu ...\Temp przenieś zdrowe kopie plików do ...\Windows\winsxs\Manifests. .

Fix wykonany. Czy są zmiany w zachowaniu Firefox? Czy katalogi Temp wróciły w domyślne miejsce (C:\Users\JA\AppData\Local\Temp + C:\Windows\Temp), czy są może umieszczone na C w innym miejscu? Uruchom cmd jako Administrator, wklep komendę SET i ENTER, przeklej z okna spis Zmiennych środowiskowych. .

Zadania czyszczące wykonane i pod tym kątem to raczej koniec. Obecne problemy w systemie nie zdają się być pochodną infekcji. Kroki końcowe: 1. Otwórz Notatnik i wklej w nim: BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Gdy go zaprezentujesz (zostanie usunięty w punkcie 2): 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Natomiast, w Dzienniku zdarzeń były jeszcze błędy sterowników grafiki: System errors: ============= Error: (11/06/2014 04:46:06 PM) (Source: atikmdag) (EventID: 10261) (User: ) Description: Display is not active Error: (11/06/2014 04:46:06 PM) (Source: atikmdag) (EventID: 19468) (User: ) Description: CPLIB :: General - Invalid Parameter Plik sterownika zdaje się być owszem mocno stary: DRV:64bit: - [2009-08-18 02:48:48 | 006,037,504 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmdag.sys -- (atikmdag) Poszukaj na stronie producenta AMD czy jest aktualizacja pasująca do Twojego modelu karty. .

W systemie są trzy konta i wszystkie po kolei należy sprawdzić: ========================= Accounts: ========================== Adam (S-1-5-21-2694031699-52744628-1130330716-1001 - Limited - Enabled) => C:\Users\Adam komodore (S-1-5-21-2694031699-52744628-1130330716-1000 - Administrator - Enabled) => C:\Users\komodore Mateusz (S-1-5-21-2694031699-52744628-1130330716-1002 - Limited - Enabled) => C:\Users\Mateusz Logi FRST zostały zrobione z poziomu konta administracyjnego komodore. Potrzebne jeszcze logi z pozostałych limitowanych kont. Czyli dostarcz: - Z poziomu konta komodore wyprodukuj brakujący FRST Shortcut. - Zaloguj się po kolei na limitowane konta Adam i Mateusz poprzez pełny restart komputera (a nie opcje Wyloguj lub Przełącz użytkownika) i zrób logi FRST (główny + Addition, ale bez Shortcut). Na limitowanych kontach uruchom FRST przez dwuklik, nie używaj opcji "Uruchom jako Administrator" (zmieni kontekst konta). Wstępnie powiem, iż te sterowniki tStLib.sys i tStLibG.sys to część instalacji adware. Sterowniki zostały usunięte, w dostarczonych tu raportach brak oznak czynnej infekcji, do wdrożenia będzie tylko kosmetyka. Ten efekt ma więc inną przyczynę: Może AVG przykłada się do tego? .

Logi z DDS usuwam, nie są potrzebne (replika danych). Doczyść sobie szczątki adware z dysku oraz wyczyść lokalizacje tymczasowe: W Dzienniku zdarzeń powtarzają się błędy Firefox: Error: (11/07/2014 11:17:40 AM) (Source: Application Hang) (EventID: 1002) (User: ) Description: firefox.exe36.0.0.542185001cffa72fac43c0047C:\Program Files\Nightly\firefox.exe491aca1e-6667-11e4-9c37-406186026f83 Error: (11/07/2014 11:17:40 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: plugin-container.exe36.0.0.54215458c51emozalloc.dll36.0.0.54215458beb580000003000000000000144fc8801cffa7319248b20C:\Program Files\Nightly\plugin-container.exeC:\Program Files\Nightly\mozalloc.dll4d7ed0f2-6667-11e4-9c37-406186026f83 Przychodzą mi na myśl: 1. Interferencja Kaspersky Anti-Virus, on zresztą zdaje się być niedawno instalowany bądź aktualizowany (crackowany też). Na próbę wyłącz w Firefox w rozszerzeniach i wtyczkach wszystkie obiekty Kasperskiego oraz ogólnie osłony Kasperskiego i sprawdź czy wnosi to coś co sprawy. Test jest jednak częściowy, całkowite wyłączenie Kasperskiego jest niemożliwe z poziomu opcji (nadal czynne sterowniki). Pewność ostateczna to całkowita tymczasowa deinstalacja. 2. Lokalizacja i uprawnienia katalogów Temp. Czy katalogi były przekierowywane na inną ścieżkę? Co konkretnie masz na myśli? Jeśli jest włączony UAC, pytania o podnoszenie uprawnień są spodziewane. .

Tak jak mówiłam, usuwanie folderu C:\Users\MAX pogrubiło log wynikowy, folder wprawdzie odpadkowy, ale dużo w nim było elementów. Kiedy pobrałeś ten AdwCleaner? To jest wersja v4.002, którą wycofano z użytku ze względu na bugi i obecnie jest dostępna starsza wersja v3.311: KLIK. Pobierz tę starszą wersję i dostarcz log wynikowy opcji Szukaj.

"4 KB w uszkodzonych sektorach" = na wszelki wypadek załóż nowy temat w dziale Hardware z danymi do oceny stanu dysku: KLIK. Checkdisk namierzył te nieczytelne pliki (jednakże tylko 2 na 3 są wspominane) i jakoby zrobił korekcję nazw w indeksach. Powtórz teraz operację podmiany plików za pomocą FRST i dostarcz wynikowy fixlog.txt.

Przecież jest dokładny opis z obrazkami jak uruchomić narzędzie i skonfigurować oraz co dostarczyć: KLIK.

Te pliki są kompletnie nieczytelne i nie udała się ich podmiana. Zrób sprawdzanie dysku: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: chkdsk /f /r Zatwierdź uruchomienie przy następnym starcie i resetuj system, by checkdisk wykonał pracę. Wynik zostanie nagrany w Dzienniku zdarzeń w gałęzi Aplikacja w postaci rekordu z Wininit. Pobierz szczegóły tego rekordu, skopiuj i wklej do posta statystyki. .