picasso

Wszystko zrobione. Programy antywirusowe zostały odblokowane. Log z FSS pokazuje jeszcze, że Windows Update jest zdeaktywowane. Drobne poprawki. Otwórz Notatnik i wklej w nim: S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] CMD: sc config wuauserv start= delayed-auto DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. .

W systemie są oznaki infekcji, a programów antywirusowych nie da się uruchomić, gdyż infekcja wprowadziła blokadę na poziomie polityk oprogramowania. Przypuszczalnie eksploit np. Java był przyczyną infekcji. Przeprowadź następujące operacje: 1. Na początek odinstaluj jeden z antywirusów, gdyż jest ich za dużo: AVG 2015 lub Avira Free Antivirus. Dodatkowo jeszcze odinstaluj starszą wersję Java 7 Update 60. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: AlternateDataStreams: C:\Windows:9EE977B70241662B HKLM Group Policy restriction on software: C:\Program Files (x86)\AVG HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Malwarebytes HKLM Group Policy restriction on software: C:\Program Files (x86)\AVG HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Avira HKLM Group Policy restriction on software: C:\Program Files (x86)\Avira HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\AVAST Software Task: {3FE03D29-0B8E-4C07-A4F8-7726ECC8262F} - \GPUP No Task File Task: {69C128BF-4DBC-4980-BC20-FD1FC06F078D} - System32\Tasks\EnergoTech Update => C:\ProgramData\EnergoTech\update12.exe Task: {F8F1D53E-5473-4F01-BF28-4D0358D11884} - System32\Tasks\Chrome Launcher => C:\Program Files (x86)\Techsnab\Chrome Launcher\chrome-links.exe Startup: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CurseClientStartup.ccip () ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File SearchScopes: HKCU - {52970FDE-1250-4AB9-A21B-6D2A4ECED1CB} URL = https://uk.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=282369&p={searchTerms} FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll (Microsoft Corporation) C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Comodo C:\ProgramData\*.log C:\ProgramData\YiggUhuy C:\Users\Piotrek\AppData\Local\*.log C:\Users\Piotrek\AppData\Local\69ff07055291669bb2b218.72821112 C:\Users\Piotrek\AppData\Local\kuphoqej C:\Users\Piotrek\Desktop\Programy\avast! Free Antivirus.lnk C:\Users\Piotrek\Desktop\Programy\Avira.lnk C:\Users\Piotrek\Desktop\Programy\Comodo Dragon.lnk C:\Users\Piotrek\Desktop\Programy\COMODO Firewall.lnk C:\Users\Piotrek\Desktop\Programy\GeekBuddy.lnk C:\Windows\avast5.ini C:\Windows\pss\Start GeekBuddy.lnk.CommonStartup C:\Windows\system32\log C:\Windows\SysWow64\avast5.ini RemoveDirectory: C:\Users\Piotrek\Downloads\FRST-OlderVersion Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Start GeekBuddy.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NetWorx" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PrivDogService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchProtection" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tvncontrol" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. .

Usuwanie via Fix oraz AdwCleaner wykonane pomyślnie. Zanim zadam czynności końcowe: Jak mówiłam, program jest uszkodzony (wygląda na częściowo odinstalowany), toteż zostaje usunięcie wpisów rejestru wykrytych przez Revo. Jednak przed tą akcją na wszelki wypadek utwórz ręcznie punkt Przywracania systemu.

Wirtualny napęd a sterownik do obsługi takowych to nie są tożsame rzeczy. I w ogłoszeniu jest przecież narzędzie SPTDinst, które służy do detekcji obecności tego sterownika. Ten sterownik SPTD (zresztą bardzo stary) i tak już wyłączyłam w skrypcie FRST przygotowując go do całkowitego usunięcia, co zostanie przeprowadzone w kolejnym skrypcie. Kolene poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S4 sptd; C:\Windows\System32\Drivers\sptd.sys [834544 2010-12-11] (Duplex Secure Ltd.) SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File FF Plugin-x32: @java.com/DTPlugin -> C:\Program Files (x86)\Java\jre6\bin\npDeployJava1.dll No File C:\Program Files (x86)\DownVision C:\Program Files (x86)\Mozilla Firefox.bak C:\Program Files (x86)\My Company Name C:\ProgramData\McAfee C:\ProgramData\Oracle C:\ProgramData\RegClean C:\ProgramData\Sun C:\ProgramData\Symantec C:\Users\Grzegorz\AppData\Local\APN C:\Users\Grzegorz\AppData\Local\Babylon C:\Users\Grzegorz\AppData\Local\cache C:\Users\Grzegorz\AppData\Local\Conduit C:\Users\Grzegorz\AppData\Local\CrashDumps C:\Users\Grzegorz\AppData\Local\DVDVideoSoft_Ltd C:\Users\Grzegorz\AppData\Local\genienext C:\Users\Grzegorz\AppData\Local\Macromedia C:\Users\Grzegorz\AppData\Local\Mobogenie C:\Users\Grzegorz\AppData\Local\WMTools Downloaded Files C:\Users\Grzegorz\AppData\LocalLow\Conduit C:\Users\Grzegorz\AppData\LocalLow\DVDVideoSoftTB C:\Users\Grzegorz\AppData\LocalLow\FunWebProducts C:\Users\Grzegorz\AppData\LocalLow\Macromedia C:\Users\Grzegorz\AppData\LocalLow\MyWebSearch C:\Users\Grzegorz\AppData\LocalLow\PriceGong C:\Users\Grzegorz\AppData\LocalLow\Softonic C:\Users\Grzegorz\AppData\LocalLow\Sun C:\Users\Grzegorz\AppData\LocalLow\Temp C:\Users\Grzegorz\AppData\LocalLow\Toolbar4 C:\Users\Grzegorz\AppData\Roaming\Download Manager C:\Users\Grzegorz\Downloads\FreeScreenVideoRecorder.exe C:\Windows\System32\Drivers\sptd.sys RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Users\Grzegorz\Desktop\Stare dane programu Firefox EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Przedstaw ten log. .

Zajmę się tym w skrypcie FRST (usunięcie folderu Kosza z dysku). W eksploratorze Windows > Widok > Opcje > Zmień opcje folderów i wyszukiwania > Widok > Użyj pól wyboru do zaznaczania elementów. Czy chodzi Ci o to, że klikasz na ekranie Startu w te pozycje i nie da się ich otworzyć? W Dzienniku zdarzeń powtarza się błąd procesu związanego z funkcjonowaniem aplikacji Modern UI: Application errors: ================== Error: (10/29/2014 03:50:33 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: wwahost.exe, wersja: 6.2.9200.16420, sygnatura czasowa: 0x505a90d6 Nazwa modułu powodującego błąd: KERNELBASE.dll, wersja: 6.2.9200.16864, sygnatura czasowa: 0x531d2be6 Kod wyjątku: 0x00000004 Przesunięcie błędu: 0x00010f22 Identyfikator procesu powodującego błąd: 0xc80 Godzina uruchomienia aplikacji powodującej błąd: 0xwwahost.exe0 Ścieżka aplikacji powodującej błąd: wwahost.exe1 Ścieżka modułu powodującego błąd: wwahost.exe2 Identyfikator raportu: wwahost.exe3 Pełna nazwa pakietu powodującego błąd: wwahost.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: wwahost.exe5 Wstępnie sprawdź czy coś pomoże zastosowanie diagnostyka Apps troubleshooter. Prawie wszystko zrobione. Firefoxa zamiast zresetować odinstalowałeś, tylko że przy deinstalacji nie zaznaczyłeś, by usuwać dane przeglądarki i w konsekwencji i tak cały profil Firefox z adware nadal jest na dysku. Wymagane poprawki: 1. W związku z tym, że odinstalowałeś Firefox, odinstaluj także Adobe Flash Player 15 Plugin. To wtyczka dla Firefox/Opera. Google Chrome ma własną wbudowaną. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\SupTab C:\Program Files (x86)\WinZipper C:\ProgramData\IePluginService C:\ProgramData\Norton C:\Users\grzegorz\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\grzegorz\AppData\Local\Mobogenie C:\Users\grzegorz\AppData\Local\Mozilla C:\Users\grzegorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\grzegorz\AppData\Roaming\Mozilla C:\Users\grzegorz\AppData\Roaming\PerformerSoft C:\Users\grzegorz\AppData\Roaming\systweak RemoveDirectory: C:\$RECYCLE.BIN Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SweetIM /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{953AA732-9AFB-49C9-84A4-7F96CA0A08DA} /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\grzegorz\AppData\Local CMD: dir /a C:\Users\grzegorz\AppData\LocalLow CMD: dir /a C:\Users\grzegorz\AppData\Roaming EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Na wszelki wypadek w Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

delta12345, proszę przeczytaj zasady działu: KLIK. OTL to przestarzałe narzędzie, logi sprawdzane tylko pobocznie, i tak niepełne (brak OTL Extras). Obowiązkowe są raporty z FRST i GMER. Uzupełnij.

Poprzednie akcje wykonane, ale .... pojawiło się nowe adware (czynna usługa maintainer.exe). Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 MaintainerSvc2.04.9173792; C:\ProgramData\0fd8dc4b-3fdb-4d7c-a6d4-ff64cff56cc4\maintainer.exe [123680 2014-10-29] () AppInit_DLLs: c:\progra~3\bitguard\271832~1.68\{c16c1~1\loader.dll => c:\progra~3\bitguard\271832~1.68\{c16c1~1\loader.dll File Not Found Task: {09F1EAB7-AFD0-4ED8-9AB8-F7B246116262} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2013-05-28] (Adobe Systems Incorporated) Task: {A76AF9F4-4BFA-474D-9594-CB9760134E73} - System32\Tasks\AdobeFlashPlayerUpdate => C:\Windows\SysWOW64\FlashPlayerUpdateService.exe [2013-05-28] (Adobe Systems Incorporated) Task: {D7AE03D5-6A10-4EE5-BBD0-859BA5480AF8} - System32\Tasks\AdobeFlashPlayerUpdate 2 => C:\Windows\SysWOW64\FlashPlayerUpdateService.exe [2013-05-28] (Adobe Systems Incorporated) Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe CHR Extension: (SweetPacks Chrome Extension) - C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\ogccgbmabaphcakpiclgcnmcnimhokcj [2013-10-05] SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File C:\Program Files (x86)\NetCrawl C:\Program Files (x86)\Opera C:\ProgramData\0fd8dc4b-3fdb-4d7c-a6d4-ff64cff56cc4 C:\ProgramData\Adobe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Codec Pack C:\Users\Tomek\AppData\Local\Opera C:\Users\Tomek\AppData\Roaming\Opera C:\Users\Tomek\AppData\Roaming\xplugin C:\Windows\SysWOW64\FlashPlayerUpdateService.exe C:\Windows\SysWOW64\Macromed Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\1778669968.portal.qtrax.com /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Tomek\AppData\Local CMD: dir /a C:\Users\Tomek\AppData\LocalLow CMD: dir /a C:\Users\Tomek\AppData\Roaming EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Powstanie kolejny fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. A ja widzę Twój avatar (w temacie i w profilu) i nic nie wskazuje, by zniknął... Czy także wyczyściłeś cache? .

W raportach nie widać nic podejrzanego. 1. Doczyść tylko drobne rzeczy: ----> Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. ----> Otwórz Notatnik i wklej w nim: CloseProcesses: SearchScopes: HKLM-x32 - DefaultScope value is missing. HKU\S-1-5-21-1137575165-3099178337-4115244329-1000\...\Run: [] => [X] R2 HPSLPSVC; C:\Users\IZA\AppData\Local\Temp\7zS61B4\hpslpsvc64.dll [1039360 2013-07-19] (Hewlett-Packard Co.) [File not signed] Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Dostarczone logi FRST z poziomu konta IZA, jest tu jeszcze drugie konto nasula. Na wszelki wypadek zaloguj się na to konto poprzez pełny reset komputera (nie przez Wyloguj lub Przełącz użytkownika) i zrób nowy log FRST (zaznacz pole Addition, ale nie Shortcut). ========================= Accounts: ========================== Administrator (S-1-5-21-1137575165-3099178337-4115244329-500 - Administrator - Disabled) Gość (S-1-5-21-1137575165-3099178337-4115244329-501 - Limited - Disabled) HomeGroupUser$ (S-1-5-21-1137575165-3099178337-4115244329-1002 - Limited - Enabled) IZA (S-1-5-21-1137575165-3099178337-4115244329-1000 - Administrator - Enabled) => C:\Users\IZA nasula (S-1-5-21-1137575165-3099178337-4115244329-1003 - Administrator - Enabled) => C:\Users\nasula To nie wygląda na skutki aktywności malware. Ikona znika po resecie, bo pewnie przestają działać usługi związane z Grupą domową, a później coś te usługi uaktywnia. By ikona przetała się pojawiać, należy zdeaktywować komponenty Grupy domowej, o ile nie korzystasz z tego (nie współdzielisz plików i drukarek w domowej sieci): 1. Otwórz eksplorator Windows w widoku Mój komputer. W bocznym panelu nawigacji powinna być pozycja Grupa domowa. Prawoklik na ten element > opcja Zmień ustawienia grupy domowej > Opuść grupę domową. Opcja może być niedostępna, jeśli komputer nie był wcześniej przyłączony do żadnej grupy tego typu. Następnie: 2. Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator. Na liście wyszukaj uługi Dostawca grupy domowej + Usługa nasłuchująca grup domowych, dwuklik na każdą, zatrzymaj je (o ile uruchomione) oraz Typ uruchomienia przestaw z Ręczny na Wyłączony. .

System nie jest zainfekowany per se, tylko nieczynne odpadki adware. Tu jest infekcja routera. Ten pierwszy adres IP jest szkodliwy, ukraiński: KLIK. Tcpip\Parameters: [DhcpNameServer] 91.207.7.105 8.8.8.8 Przeprowadź następujące działania: 1. Zaloguj się do routera: - Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 - Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: ShortcutWithArgument: C:\Users\komp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.portaldosites.com/?utm_source=b&utm_medium=prs&from=prs&uid=TOSHIBAXMK6475GSX_61HJF96ISXX61HJF96IS&ts=1364418673 ShortcutWithArgument: C:\Users\komp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.portaldosites.com/?utm_source=b&utm_medium=prs&from=prs&uid=TOSHIBAXMK6475GSX_61HJF96ISXX61HJF96IS&ts=1364418673 SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Task: {CACE5160-018A-4ECC-AFC4-CB782A04A6B1} - System32\Tasks\RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe Task: {D299E8CB-0686-46BD-9ABC-ED46A64931B4} - System32\Tasks\{F1EDAB2B-FA9D-4A42-9A0A-1D69801CCA03} => Chrome.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsProgressBar S3 cpuz134; \??\C:\Program Files (x86)\CPUID\PC Wizard 2010\pcwiz_x64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" C:\Program Files (x86)\mozilla firefox\plugins C:\Users\komp\AppData\Local\Temp*.html Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\desksvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Desk 365" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\lollipop" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {1576D38B-6EC4-41F9-A892-529D2A0FD3D0} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {1576D38B-6EC4-41F9-A892-529D2A0FD3D0} /f CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Proszę dostarcz te obowiązkowe logi, bo na razie nic nie jestem w stanie stwierdzić. A DAEMON Tools i podobne będziesz mógł potem zainstalować, ale to dopiero gdy sprawdzę system na podstawie wymaganych raportów. Raporty wstaw jako załączniki forum.

W raportach w ogóle nie widać przekierowania nowej karty IE. Zrób dodatkowe szukanie rejestru. Uruchom FRST i w polu Search wklep frazę dsrlte, klik w Search Registry i dostarcz wynikowy log. .

Tu było jawne malware manipulujące na kontach bankowych, udające "statystyki Microsoftu". Na tamtym forum temat zaczynał się z czynnym malware uruchamianym z wielokrotnych kopii via Autostart oraz Harmonogram zadań: ==================== Processes (Whitelisted) ================= () C:\ProgramData\WinSTAT\SYS.exe () C:\ProgramData\WinSTAT\data\winhost32.exe (Microsoft® Corporation) C:\ProgramData\WinSTAT\WinSTAT.exe (Microsoft® Corporation) C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\WinSTAT.exe ==================== Registry (Whitelisted) ================== HKLM-x32\...\Run: [Windows® Statistics Service] => C:\ProgramData\WinSTAT\WinSTAT.exe [1460224 2014-09-07] (Microsoft® Corporation) HKU\S-1-5-21-606281877-1479866930-3929170589-1000\...\Run: [Windows® Statistics Service] => C:\ProgramData\WinSTAT\WinSTAT.exe [1460224 2014-09-07] (Microsoft® Corporation) Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\WinSTAT.exe (Microsoft® Corporation) Startup: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WinSTAT.exe (Microsoft® Corporation) ==================== Scheduled Tasks (whitelisted) ============= Task: {80661CB9-B627-42DD-AEAA-F09D62EEFA9A} - System32\Tasks\WinSTAT => C:\ProgramData\WinSTAT\WinSTAT.exe [2014-09-07] (Microsoft® Corporation) Nie zostały te wpisy zauważone, dopiero ESET wychwycił komponenty "WinSTAT" i skasował szkodnika częściowo. Obecnie nadal jest w systemie to szkodliwe zadanie "WinSTAT", tylko już bez pliku (ale cały folder nadal na dysku): ==================== Scheduled Tasks (whitelisted) ============= Task: {80661CB9-B627-42DD-AEAA-F09D62EEFA9A} - System32\Tasks\WinSTAT => C:\ProgramData\WinSTAT\WinSTAT.exe Sprawa poboczna: Ten skrypt nie miał związku z malware omawianym powyżej. Zresztą skrypt i tak w ogóle nie został przetworzony (nie podałeś wynikowego fixlog.txt, ale widać, że nic nie zostało zrobione): dopiero MBAM dokasował tę wyszukiwarkę adware istartsurf.xml z Firefox, zaś Tempy nadal nie wyczyszczone. I tu nie koniec czyszczenia z adware: na koncie Tomek w Firefox jest nadal adware-przekierowanie nowej karty, zaś na koncie Mateusz skróty LNK przeglądarek są zmodyfikowane. Poprawkowe działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {80661CB9-B627-42DD-AEAA-F09D62EEFA9A} - System32\Tasks\WinSTAT => C:\ProgramData\WinSTAT\WinSTAT.exe ShortcutWithArgument: C:\Users\Mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1408122845&from=smt&uid=SAMSUNGXHD200HJ_S16KJDWQ806266 ShortcutWithArgument: C:\Users\Mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1408122845&from=smt&uid=SAMSUNGXHD200HJ_S16KJDWQ806266 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe FF Plugin-x32: @esn/npbattlelog,version=2.4.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.4.0\npbattlelog.dll No File FF Plugin HKCU: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File HKU\S-1-5-21-606281877-1479866930-3929170589-1000\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" BootExecute: autocheck autochk * sdnclean64.exe S3 MSICDSetup; \??\E:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] C:\ProgramData\WinSTAT C:\Windows\DEA314C409294250BC9298E4C105F28D.TMP RemoveDirectory: C:\Users\Administrator Folder: C:\Users\Tomek\AppData\Roaming\tor Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 3. W systemie są dwa czynne konta: ========================= Accounts: ========================== Mateusz (S-1-5-21-606281877-1479866930-3929170589-1003 - Administrator - Enabled) => C:\Users\Mateusz Tomek (S-1-5-21-606281877-1479866930-3929170589-1000 - Administrator - Enabled) => C:\Users\Tomek Dotychczas były sprawdzane raporty z konta Tomek. Wymagane raporty z obu kont. Po kolei zaloguj się na każde z nich poprzez pełny restart komputera (a nie opcję Wyloguj czy Przełącz użytkownika) i zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi na każdym koncie. Dołącz też plik fixlog.txt. .

OK, klucza rzeczywiście nie ma. Wszystko zrobione, kończymy: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. I przeczytaj na co uważać, skąd nie pobierać: KLIK. .

To jest ten sam Fixlog co wcześniej (runda numer 3). Na przyszłość: Fix niekoniecznie może być błyskawiczny, należy cierpliwie czekać. Jak mówiłam, zadania się wykonały i w nowych raportach brak oznak infekcji. Kończymy: 1. Jeszcze dokasowanie folderów usuniętych kont. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Users\Adusia . ^^ RemoveDirectory: C:\Users\Olusia DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw fixlog.txt i to zanim przejdziesz dalej (zostanie skasowany). 2. Usuń ręcznie folder C:\Users\Renia\Desktop\FRST. Zastosuj DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Poniższe aplikacje do aktualizacji: ==================== Installed Programs ====================== Adobe Reader X (10.1.12) MUI (HKLM\...\{AC76BA86-7AD7-FFFF-7B44-AA0000000001}) (Version: 10.1.12 - Adobe Systems Incorporated) Java 7 Update 17 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217017FF}) (Version: 7.0.170 - Oracle) Java™ 6 Update 30 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216027FF}) (Version: 6.0.300 - Oracle) Mozilla Thunderbird 9.0.1 (x86 pl) (HKLM\...\Mozilla Thunderbird 9.0.1 (x86 pl)) (Version: 9.0.1 - Mozilla) Opera Stable 20.0.1387.82 (HKLM\...\Opera 20.0.1387.82) (Version: 20.0.1387.82 - Opera Software ASA)

Te logi AdwCleaner z oznaczeniem "R" usuwam, nie są mi potrzebne, to wyniki z opcji "Szukaj". Prosiłam tylko o raporty z oznaczeniem "S", czyli z opcji "Usuń". Log AdwCleanerS6.txt już wcześniej podałeś, więc też likwiduję. Fix wykonany. Jeszcze na wszelki wypadek podaj mi skan na jeden z kluczy jakoby nie usuniętych (choć w nowym logu brak śladów). Otwórz Notatnik i wklej w nim: Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\windows\DiskDiagnostic\DiskDiagnostic" /s RemoveDirectory: C:\AdwCleaner Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

W systemie jest straszne śmietnisko (adware / Bitcoin miner i inne infekcje), a liczba sterowników adware ogłuszająca. System jest też w ogóle nie aktualizowany, działa w nim stary ESET Smart Security z przełomu 2010 / 2011, na dodatek zaprawiony "witaminą". Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 BitGuard; C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe [3780064 2013-11-18] () R2 IB Updater; C:\Program Files\IB Updater\ExtensionUpdaterService.exe [188760 2013-01-29] () [File not signed] R2 IBUpdaterService; C:\Windows\system32\dmwu.exe [2930992 2014-09-17] () R2 Update NetCrawl; C:\Program Files (x86)\NetCrawl\updateNetCrawl.exe [523552 2014-10-28] () R2 Util NetCrawl; C:\Program Files (x86)\NetCrawl\bin\utilNetCrawl.exe [523552 2014-10-29] () R2 Windows Internet Name Service; C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Windows Internet Name Service\wins.exe [2678272 2013-08-31] () [File not signed] R1 {0c6ad4fc-d56b-44cb-a06e-debba12bf68a}w64; C:\Windows\System32\drivers\{0c6ad4fc-d56b-44cb-a06e-debba12bf68a}w64.sys [48824 2014-10-18] (StdLib) R1 {1f1a6417-232f-4d66-b329-9186268a4e91}w64; C:\Windows\System32\drivers\{1f1a6417-232f-4d66-b329-9186268a4e91}w64.sys [48824 2014-10-16] (StdLib) R1 {3578bab3-f189-4578-b860-1ee0580e735d}w64; C:\Windows\System32\drivers\{3578bab3-f189-4578-b860-1ee0580e735d}w64.sys [48824 2014-10-12] (StdLib) R1 {38fc16c9-a7b4-4377-b565-cc5a76f2c89f}w64; C:\Windows\System32\drivers\{38fc16c9-a7b4-4377-b565-cc5a76f2c89f}w64.sys [48824 2014-10-11] (StdLib) R1 {3c9eada7-386c-4a04-ab1e-4eb122397ced}w64; C:\Windows\System32\drivers\{3c9eada7-386c-4a04-ab1e-4eb122397ced}w64.sys [48824 2014-10-21] (StdLib) R1 {44b76908-31ad-4fdd-90ce-abbdbb78f175}w64; C:\Windows\System32\drivers\{44b76908-31ad-4fdd-90ce-abbdbb78f175}w64.sys [48824 2014-10-15] (StdLib) R1 {57f143ae-1ecd-493d-9ddb-32c45a3cecd5}w64; C:\Windows\System32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}w64.sys [61112 2014-06-13] (StdLib) R1 {6191cc23-5db4-4079-aaac-546c45b08af1}w64; C:\Windows\System32\drivers\{6191cc23-5db4-4079-aaac-546c45b08af1}w64.sys [48824 2014-10-22] (StdLib) R1 {6fcd6092-9615-4f7f-8898-8df53980e5d2}w64; C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys [61112 2014-06-30] (StdLib) R1 {6fd9ae77-e80c-4df0-b53d-23fcb52b001a}w64; C:\Windows\System32\drivers\{6fd9ae77-e80c-4df0-b53d-23fcb52b001a}w64.sys [48824 2014-10-22] (StdLib) R1 {75d07d19-b619-45eb-aba7-fd8d77feb6b6}w64; C:\Windows\System32\drivers\{75d07d19-b619-45eb-aba7-fd8d77feb6b6}w64.sys [48824 2014-10-13] (StdLib) R1 {9cdb10b4-16db-41f0-b75d-2e3cfff0fbde}w64; C:\Windows\System32\drivers\{9cdb10b4-16db-41f0-b75d-2e3cfff0fbde}w64.sys [48824 2014-10-17] (StdLib) R1 {a00759f4-8f6e-4f04-880d-18a7306588c3}w64; C:\Windows\System32\drivers\{a00759f4-8f6e-4f04-880d-18a7306588c3}w64.sys [48824 2014-10-13] (StdLib) R1 {cfbbf934-a234-4282-8ef3-310abb84c3e4}w64; C:\Windows\System32\drivers\{cfbbf934-a234-4282-8ef3-310abb84c3e4}w64.sys [48824 2014-10-20] (StdLib) R1 {d025c1f1-c366-4b43-8131-ad1c8300487b}w64; C:\Windows\System32\drivers\{d025c1f1-c366-4b43-8131-ad1c8300487b}w64.sys [48824 2014-10-17] (StdLib) R1 {df8d93ab-56ab-414d-b711-87b0e2749bbd}w64; C:\Windows\System32\drivers\{df8d93ab-56ab-414d-b711-87b0e2749bbd}w64.sys [48824 2014-10-17] (StdLib) R1 {f0f5249d-53cc-459a-8755-4cd64b179fb4}w64; C:\Windows\System32\drivers\{f0f5249d-53cc-459a-8755-4cd64b179fb4}w64.sys [48824 2014-10-16] (StdLib) R1 {f916f162-d4e9-413b-95d2-589769dc98ff}w64; C:\Windows\System32\drivers\{f916f162-d4e9-413b-95d2-589769dc98ff}w64.sys [48824 2014-10-14] (StdLib) R1 {fe0c5df8-6353-4020-a876-2550aa3760cf}w64; C:\Windows\System32\drivers\{fe0c5df8-6353-4020-a876-2550aa3760cf}w64.sys [48824 2014-10-19] (StdLib) S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] Task: {938B6109-6153-4382-B9FB-93C104E75815} - System32\Tasks\CPU Grid Computing => C:\Windows\SysWOW64\dfrg\runner.exe [2013-09-19] () Task: {A1068DC6-A65E-4C71-9BE9-00FC07EFE2E9} - System32\Tasks\EPUpdater => C:\Users\Tomek\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-09-01] () Task: {B7A412C4-E867-491F-83D0-5C5CA54F7455} - System32\Tasks\Yahoo! Search => C:\Users\Tomek\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrlte.exe [2014-10-28] (Pay By Ads LTD) Task: {C32D564C-4688-4BB0-B118-4321FBEA0C16} - System32\Tasks\Yahoo! Search Updater => C:\Users\Tomek\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrsetup.exe [2014-10-28] (Pay By Ads LTD) HKU\S-1-5-21-742174934-4146700524-2055731102-1000\...\Run: [ChomikBox] => C:\Program Files (x86)\ChomikBox\ChomikBox.exe HKU\S-1-5-21-742174934-4146700524-2055731102-1000\...\Run: [Yahoo! Search] => C:\Users\Tomek\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrlte.exe [533352 2014-10-28] (Pay By Ads LTD) AppInit_DLLs: c:\progra~3\bitguard\271832~1.68\{c16c1~1\loader.dll => c:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\loader.dll [1958880 2013-11-18] () AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll File Not Found AppInit_DLLs-x32: c:\progra~3\bitguard\271832~1.68\{c16c1~1\bitguard.dll => c:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.dll [3618304 2013-11-18] () GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR Extension: (Search-Gol Toolbar) - C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\aipfmkinhleccnodemkoofnnofpbbpac [2013-10-14] CHR Extension: (IB Updater) - C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd [2013-01-15] CHR Extension: (NetCrawl) - C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\pfhnkainfgebjkhaoadlkjgjhhgpbohg [2014-09-17] CHR HKLM\...\Chrome\Extension: [dlnembnfbcpjnepmfjmngjenhhajpdfd] - C:\Program Files\IB Updater\source.crx [2013-01-15] CHR HKLM-x32\...\Chrome\Extension: [aipfmkinhleccnodemkoofnnofpbbpac] - C:\Users\Tomek\AppData\Roaming\BabSolution\CR\searchgol.crx [2013-10-14] CHR HKLM-x32\...\Chrome\Extension: [dlnembnfbcpjnepmfjmngjenhhajpdfd] - C:\Program Files\IB Updater\source.crx [2013-01-15] CHR HKLM-x32\...\Chrome\Extension: [fgfdfcbeamjnjdejakdidpniblllnbpg] - C:\Windows\SysWOW64\jmdp\pnte.crx [2013-01-15] CHR HKLM-x32\...\Chrome\Extension: [ogccgbmabaphcakpiclgcnmcnimhokcj] - C:\Windows\SysWOW64\mjcm\SweetNT.crx [2014-06-24] HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141024 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141024 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKCU - DefaultScope {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/?a=6PQVU5amIp&loc=skw&search={searchTerms}&i=26 SearchScopes: HKCU - ToolbarSearchProviderProgress {96bd48dd-741b-41ae-ac4a-aff96ba00f7e} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.max-start.com/?q={searchTerms}&babsrc=SP_ss_mib2&mntrId=269C1C75086B6ED9&affID=125032&tsp=5035 SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKCU - {96bd48dd-741b-41ae-ac4a-aff96ba00f7e} URL = http://www.bigseekpro.com/search/browser/crystalofficetetris/{100B4062-3056-42B4-873C-0ED829B46E4B}?q={searchTerms} SearchScopes: HKCU - {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/?a=6PQVU5amIp&loc=skw&search={searchTerms}&i=26 SearchScopes: HKCU - ŰźĆîZ§’2ąŢpv¨IÍá*X(Ž2s(ŰÎŔJşÔÓµť± vË°!×—(äĽ48иpatm6ęo^Mp`Ëő÷_iŁwľ!„Áű†x˘8€ŮjŔ˙ţ ´Ń;áa´[¦†8 ş~ŹRŮxśňÜ8'Ł-)x­ä­ URL = BHO: IB Updater -> {336D0C35-8A85-403a-B9D2-65C292C39087} -> C:\Program Files\IB Updater\Extension64.dll () BHO-x32: IB Updater -> {336D0C35-8A85-403a-B9D2-65C292C39087} -> C:\Program Files\IB Updater\Extension32.dll () BHO-x32: Incredibar.com Helper Object -> {6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} -> C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\bh\incredibar.dll (Montera Technologeis LTD) BHO-x32: NetCrawl -> {769a91da-209f-47fe-88b9-b0321b0982c8} -> C:\Program Files (x86)\NetCrawl\NetCrawlBHO.dll (NetCrawl) BHO-x32: searchgol Helper Object -> {8F547BDD-FCD4-48F8-A06F-573D6F404A3C} -> C:\Program Files (x86)\searchgol\searchgol\1.8.16.19\bh\searchgol.dll (Montera Technologeis LTD) BHO-x32: delta Helper Object -> {C1AF5FA5-852C-4C90-812E-A7F75E011D87} -> C:\Program Files (x86)\Delta\delta\1.8.10.0\bh\delta.dll (Delta-search.com) BHO-x32: BitAcceleratorBHO Class -> {CAC42510-9B41-42c1-9DCD-7282A2D07C61} -> C:\Program Files (x86)\BitAccelerator\BitAccelerator.dll (TODO: ) Toolbar: HKLM-x32 - xplugin - {DFEFCDEE-CF1A-4FC8-88AD-18272BE37E29} - C:\Users\Tomek\AppData\Roaming\xplugin\toolbar.dll () Toolbar: HKLM-x32 - Incredibar Toolbar - {F9639E4A-801B-4843-AEE3-03D9DA199E77} - C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\incredibarTlbr.dll (Montera Technologeis LTD) Toolbar: HKLM-x32 - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files (x86)\Delta\delta\1.8.10.0\deltaTlbr.dll (Delta-search.com) Toolbar: HKLM-x32 - searchgol Toolbar - {00078E95-3A4A-4137-8DE7-2824908D1C17} - C:\Program Files (x86)\searchgol\searchgol\1.8.16.19\searchgolTlbr.dll (Montera Technologeis LTD) C:\Program Files (x86)\BitAccelerator C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences C:\Users\Tomek\AppData\Local\Mozilla C:\Users\Tomek\AppData\Roaming\chrtmp C:\Users\Tomek\AppData\Roaming\Icy_Tower1.4.exe C:\Users\Tomek\AppData\Roaming\BabSolution C:\Users\Tomek\AppData\Roaming\Babylon C:\Users\Tomek\AppData\Roaming\File Scout C:\Users\Tomek\AppData\Roaming\Mozilla C:\Users\Tomek\AppData\Roaming\Software Informer C:\Users\Tomek\AppData\Roaming\Temp C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Qtrax Player.lnk C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\QTRAX C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard C:\Windows\system32\dmwu.exe C:\Windows\System32\drivers\{0c6ad4fc-d56b-44cb-a06e-debba12bf68a}w64.sys C:\Windows\System32\drivers\{1f1a6417-232f-4d66-b329-9186268a4e91}w64.sys C:\Windows\System32\drivers\{3578bab3-f189-4578-b860-1ee0580e735d}w64.sys C:\Windows\System32\drivers\{38fc16c9-a7b4-4377-b565-cc5a76f2c89f}w64.sys C:\Windows\System32\drivers\{3c9eada7-386c-4a04-ab1e-4eb122397ced}w64.sys C:\Windows\System32\drivers\{44b76908-31ad-4fdd-90ce-abbdbb78f175}w64.sys C:\Windows\System32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}w64.sys C:\Windows\System32\drivers\{6191cc23-5db4-4079-aaac-546c45b08af1}w64.sys C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys C:\Windows\System32\drivers\{6fd9ae77-e80c-4df0-b53d-23fcb52b001a}w64.sys C:\Windows\System32\drivers\{75d07d19-b619-45eb-aba7-fd8d77feb6b6}w64.sys C:\Windows\System32\drivers\{9cdb10b4-16db-41f0-b75d-2e3cfff0fbde}w64.sys C:\Windows\System32\drivers\{a00759f4-8f6e-4f04-880d-18a7306588c3}w64.sys C:\Windows\System32\drivers\{cfbbf934-a234-4282-8ef3-310abb84c3e4}w64.sys C:\Windows\System32\drivers\{d025c1f1-c366-4b43-8131-ad1c8300487b}w64.sys C:\Windows\System32\drivers\{df8d93ab-56ab-414d-b711-87b0e2749bbd}w64.sys C:\Windows\System32\drivers\{f0f5249d-53cc-459a-8755-4cd64b179fb4}w64.sys C:\Windows\System32\drivers\{f916f162-d4e9-413b-95d2-589769dc98ff}w64.sys C:\Windows\System32\drivers\{fe0c5df8-6353-4020-a876-2550aa3760cf}w64.sys C:\Windows\System32\tprb C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Windows Internet Name Service C:\Windows\SysWOW64\dfrg C:\Windows\SysWOW64\jmdp C:\Windows\SysWOW64\mjcm Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware: BitGuard, Delta toolbar, IB Updater 2.0.0.578, IB Updater Service, Incredibar Toolbar on IE, NetCrawl, Qtrax Player, Search-Gol Chrome Toolbar, searchgol toolbar, x-plugin-0, Yahoo! Search. - Starocie: Adobe Flash Player 11 ActiveX, Adobe Flash Player 11 Plugin, Adobe Reader X (10.1.4) - Polish, Codec Pack - All In 1 6.0.3.0, ESET Smart Security + crack TNod User & Password Finder, Opera 12.11. 3. Uruchom Google Chrome i sprawdź czy nadal widać jakieś przekierowania (przeglądarka resetowana skryptem FRST). 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txtr. .

Program nie tworzy żadnego raportu. Sprawdź czy coś wskórają te dwie akcje dodatkowe: 1. Wyłącz wtyczki Google Update, Silverlight, Unity, Windows Live Photo Gallery. FireFox: ======== FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF64_15_0_0_189.dll () FF Plugin: @java.com/DTPlugin,version=10.15.2 -> C:\Windows\system32\npDeployJava1.dll (Oracle Corporation) FF Plugin: @microsoft.com/GENUINE -> disabled No File FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.30514.0\npctrl.dll ( Microsoft Corporation) FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_15_0_0_189.dll () FF Plugin-x32: @java.com/DTPlugin,version=10.71.2 -> C:\Program Files (x86)\Java\jre7\bin\dtplugin\npDeployJava1.dll (Oracle Corporation) FF Plugin-x32: @java.com/JavaPlugin,version=10.71.2 -> C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF Plugin-x32: @microsoft.com/GENUINE -> disabled No File FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files (x86)\Microsoft Silverlight\5.1.30514.0\npctrl.dll ( Microsoft Corporation) FF Plugin-x32: @microsoft.com/WLPG,version=16.4.3528.0331 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation) FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.24.15\npGoogleUpdate3.dll (Google Inc.) FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.24.15\npGoogleUpdate3.dll (Google Inc.) FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF Plugin HKCU: @unity3d.com/UnityPlayer,version=1.0 -> C:\Users\Andrzej\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS) 2. Przetestuj akcelerację sprzętową: KLIK. .

Dużo kluczy relatywnych do bibliotek jscript.dll i jscript9.dll jest stratowanych. A ten błąd rejestracji modułu 0x80004005 to wygląda na uruchomienie w linii komend z ograniczonymi uprawnieniami (brak uprawnień administratorskich). 1. Otwórz Notatnik i wklej w nim: CMD: regsvr32 /s C:\Windows\system32\jscript.dll CMD: regsvr32 /s C:\Windows\System32\jscript9.dll CMD: C:\Windows\SysWow64\regsvr32.exe /s C:\Windows\SysWow64\jscript.dll CMD: C:\Windows\SysWow64\regsvr32.exe /s C:\Windows\SysWOW64\jscript9.dll Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart systemu. Przedstaw wynikowy fixlog.txt. 2. Zrób szukanie SystemLook na te same waruneki co poprzednio i dostarcz wynikowy log. .

Sylwak Nie, to nie są oznaki infekcji. Odczyt "unknown MBR code", gdyż jest tu komputer brandowany przez Hewlett-Packard z dostosowanym systemem Recovery i kod MBR jest zmodyfikowany przez producenta. Zaś fantomowy odczyt "Process (*** hidden *** )" jest charakterystyczny dla nieaktualizowanych systemów Vista. Stan po Recovery (do uzupełnienia będzie SP2, IE9 i reszta zaległości): Platform: Microsoft® Windows Vista™ Home Premium Service Pack 1 (X86) OS Language: Polski (Polska) Internet Explorer Version 7 Zrób nowy log FRST z opcji Scan. Ponadto pytanie: czy w Google Chrome jest włączona synchronizacja i ustawienia są po reinstalacji przeglądarki ładowane z serwera Google? DiskoG Nic nie wiadomo o Twoim systemie, ani o tej przeglądarce. Poproszę o raporty z FRST. A następnym razem załóż nowy własny temat i nie podpinaj się pod cudze wątki. .

Pełny restart systemu odładował multi-procesy msiexec odpowiedzialne za ów błąd "w użyciu". Teraz, gdy komunikat zniknął, ponów próbę z naprawą .NET.

W Checksur.log są błędy typu "Could Not Open file", ale nie jestem pewna czy to ma znaczenie w kontekście sprawy i na razie te błędy zostawiam: Checking Component Store (f) CSI Could Not Open file 0x0000045D winsxs\Manifests\x86_microsoft-windows-t..igbackend.resources_31bf3856ad364e35_6.1.7600.16385_pl-pl_8b78b555ebf15b14.manifest x86_microsoft-windows-t..igbackend.resources_31bf3856ad364e35_6.1.7600.16385_pl-pl_8b78b555ebf15b14 (f) CSI Repairing: CreateFile Failed 0x0000045D winsxs\Manifests\x86_microsoft-windows-t..igbackend.resources_31bf3856ad364e35_6.1.7600.16385_pl-pl_8b78b555ebf15b14.manifest x86_microsoft-windows-t..igbackend.resources_31bf3856ad364e35_6.1.7600.16385_pl-pl_8b78b555ebf15b14 (f) CSI Could Not Open file 0x0000045D winsxs\Manifests\x86_microsoft-windows-t..ied-chinese-quanpin_31bf3856ad364e35_6.1.7600.16385_none_f79af98021986eab.manifest x86_microsoft-windows-t..ied-chinese-quanpin_31bf3856ad364e35_6.1.7600.16385_none_f79af98021986eab (f) CSI Repairing: CreateFile Failed 0x0000045D winsxs\Manifests\x86_microsoft-windows-t..ied-chinese-quanpin_31bf3856ad364e35_6.1.7600.16385_none_f79af98021986eab.manifest x86_microsoft-windows-t..ied-chinese-quanpin_31bf3856ad364e35_6.1.7600.16385_none_f79af98021986eab (f) CSI Could Not Open file 0x0000045D winsxs\Manifests\x86_microsoft-windows-t..ied-chinese-zhengma_31bf3856ad364e35_6.1.7600.16385_none_632cd22f8aba00e7.manifest x86_microsoft-windows-t..ied-chinese-zhengma_31bf3856ad364e35_6.1.7600.16385_none_632cd22f8aba00e7 (f) CSI Repairing: CreateFile Failed 0x0000045D winsxs\Manifests\x86_microsoft-windows-t..ied-chinese-zhengma_31bf3856ad364e35_6.1.7600.16385_none_632cd22f8aba00e7.manifest x86_microsoft-windows-t..ied-chinese-zhengma_31bf3856ad364e35_6.1.7600.16385_none_632cd22f8aba00e7 Natomiast CBS.LOG ma nagrany konkretny błąd instalacji SP1, czyli stopowanie na aktualizacji sterowników: 2014-10-06 01:24:00, Info CBS DriverUpdateUninstallUpdates failed [hrESULT = 0x80070490 - ERROR_NOT_FOUND] 2014-10-06 01:24:00, Error CBS Doqe: Failed uninstalling driver updates [hrESULT = 0x80070490 - ERROR_NOT_FOUND] 2014-10-06 01:24:00, Info CBS Perf: Doqe: Uninstall ended. 2014-10-06 01:24:00, Info CBS Failed uninstalling driver updates [hrESULT = 0x80070490 - ERROR_NOT_FOUND] 2014-10-06 01:24:00, Error CBS Shtd: Failed while processing non-critical driver operations queue. [hrESULT = 0x80070490 - ERROR_NOT_FOUND] 2014-10-06 01:24:00, Info CBS Shtd: Rolling back KTM, because drivers failed. 2014-10-06 01:24:01, Info CBS Progress: UI message updated. Operation type: Service Pack. Stage: 1 out of 1. Temporary Rollback. Powyższą informację precyzyjnie rozwija setupapi.dev.log, który podaje który sterownik zgłasza opór: !!! sto: Failed to find driver update 'C:\Windows\WinSxS\amd64_netrndis.inf_31bf3856ad364e35_6.1.7600.17233_none_23eb772b5f5707c6\netrndis.inf' in Driver Store. Error = 0x00000490 Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej poniższą komendę i ENTER: pnputil -a C:\Windows\WinSxS\amd64_netrndis.inf_31bf3856ad364e35_6.1.7600.17233_none_23eb772b5f5707c6\netrndis.inf Jeśli zgłosi się prośba o instalację sterownika, potwierdź. Podaj zwrot z tej komendy, czy została ona pomyślnie przetworzona. .

Czy w menedżerze procesów jest widoczne jakiekolwiek wystąpienie msiexec? Czy ten komunikat występuje również po pełnym restarcie systemu?

Końcowe wyniki zgodnie z planem. Aczkolwiek skrypt był uruchomiony wiele razy, konkretnie aż trzy: Ran by Renia at 2014-10-28 23:10:56 Run:3 Skryptów nie należy powtarzać, są jednorazowe. Co się działo podczas pierwszego podejścia? Czy w folderze archiwum C:\FRST\Logs występują starsze pliki o modelu nazwy Fixlog_data_czas.txt?

Ja również nie widzę żadnych dziwnych rzeczy w kluczu ProfileList. Ale może być jeszcze inna przyczyna, czyli problem z hasłem. Mamy tu następujące konta: ========================= Accounts: ========================== admin (S-1-5-21-3702316430-553723284-2002759146-1000 - Administrator - Enabled) => C:\Users\admin Administrator (S-1-5-21-3702316430-553723284-2002759146-500 - Administrator - Disabled) => C:\Users\Administrator Gość (S-1-5-21-3702316430-553723284-2002759146-501 - Limited - Disabled) nauczyciel (S-1-5-21-3702316430-553723284-2002759146-1002 - Limited - Enabled) => C:\Users\nauczyciel vice (S-1-5-21-3702316430-553723284-2002759146-1004 - Limited - Enabled) => C:\Users\vice Po kolei dla wszystkich kont (w tym dla wyłączonego wbudowanego Administratora, który był aktywny wcześniej, gdyż na dysku występuje powiązany folder) wprowadź ponownie hasło i zapisz zmiany. Podaj czy "Other user" zniknął po tej operacji.

minekirek, tu nie ma zbyt dużego pola do manewru, dysk jest zapełniony po prostu kopiami zapasowymi systemu.... Samsung Recovery zostawiasz w spokoju, ewentualnie więc do usunięcia wybrane kopie obrazów utworzonych za pomocą systemowej opcji. Zarządzanie kopiami Windows w Panel sterowania > System i zabezpieczenia > Kopia zapasowa/Przywracanie: KLIK.