picasso

Temat przenoszę do działu Windows. Oznak infekcji brak. I na przyszłość: proszę informuj o zakładaniu tematu na innym forum, by było wiadome co się zmieniło. Uruchamiałeś skrypt o postaci: S0 tqwun; System32\drivers\welrpnt.sys [X] C:\Program Files\GUM4A58.tmp EmptyTemp: Platform: Microsoft Windows 7 Ultimate (X86) OS Language: Polski (Polska) Internet Explorer Version 8 Na początku ustalmy co to za Windows, skąd pochodzi, bo jest w ogóle nieaktualizowany, a pewne ślady wskazują, że nie jest oryginalny. Są ustawione jako domyślne ruskie przeglądarki Google i Yandex, modyfikacja charakterystyczna dla pewnych płyt pobranych z torrent. I nie wiadomo co jeszcze zmodyfikowane w systemie. Na razie widzę: 1. Uszkodzenia w systemie. Wiele usług Microsoftu ma oznaczenie File not signed (brak podpisu cyfrowego). To oznacza dysfunkcję Usług Kryptograficznych, bądź też inne uszkodzenie (pliki jako takie lub baza catroot). Również pliki User32.dll + userinit.exe nie są sygnowane, aczkolwiek to może być związane z próbami oszukania aktywacji... ========================== Services (Whitelisted) ================= R2 AudioEndpointBuilder; C:\Windows\System32\Audiosrv.dll [473088 2010-06-04] (Microsoft Corporation) [File not signed] R2 Audiosrv; C:\Windows\System32\Audiosrv.dll [473088 2010-06-04] (Microsoft Corporation) [File not signed] S3 AxInstSV; C:\Windows\System32\AxInstSV.dll [88064 2010-06-04] (Microsoft Corporation) [File not signed] R2 BFE; C:\Windows\System32\bfe.dll [494080 2010-06-04] (Microsoft Corporation) [File not signed] S3 BITS; C:\Windows\System32\qmgr.dll [584704 2010-06-04] (Microsoft Corporation) [File not signed] S3 Browser; C:\Windows\System32\browser.dll [102400 2010-06-04] (Microsoft Corporation) [File not signed] R2 Dhcp; C:\Windows\system32\dhcpcore.dll [254464 2010-06-04] (Microsoft Corporation) [File not signed] R2 Dnscache; C:\Windows\System32\dnsrslvr.dll [132608 2010-06-04] (Microsoft Corporation) [File not signed] S3 dot3svc; C:\Windows\System32\dot3svc.dll [214016 2010-06-04] (Microsoft Corporation) [File not signed] R2 DPS; C:\Windows\system32\dps.dll [143872 2010-06-04] (Microsoft Corporation) [File not signed] S3 ehRecvr; C:\Windows\ehome\ehRecvr.exe [556544 2010-06-04] (Microsoft Corporation) [File not signed] R2 eventlog; C:\Windows\System32\wevtsvc.dll [1086976 2010-06-04] (Microsoft Corporation) [File not signed] S3 FontCache; C:\Windows\system32\FntCache.dll [804864 2010-06-04] (Microsoft Corporation) [File not signed] R2 gpsvc; C:\Windows\System32\gpsvc.dll [592384 2010-06-04] (Microsoft Corporation) [File not signed] S3 HomeGroupListener; C:\Windows\system32\ListSvc.dll [194560 2010-06-04] (Microsoft Corporation) [File not signed] R3 HomeGroupProvider; C:\Windows\system32\provsvc.dll [165376 2010-06-04] (Microsoft Corporation) [File not signed] R2 IKEEXT; C:\Windows\System32\ikeext.dll [673280 2010-06-04] (Microsoft Corporation) [File not signed] R2 iphlpsvc; C:\Windows\System32\iphlpsvc.dll [499200 2010-06-04] (Microsoft Corporation) [File not signed] S4 LanmanServer; C:\Windows\system32\srvsvc.dll [168448 2010-06-04] (Microsoft Corporation) [File not signed] R2 LanmanWorkstation; C:\Windows\System32\wkssvc.dll [84480 2010-06-04] (Microsoft Corporation) [File not signed] S4 Mcx2Svc; C:\Windows\system32\Mcx2Svc.dll [68096 2010-06-04] (Microsoft Corporation) [File not signed] R2 NlaSvc; C:\Windows\System32\nlasvc.dll [242176 2010-06-04] (Microsoft Corporation) [File not signed] S3 pla; C:\Windows\system32\pla.dll [1508864 2010-06-04] (Microsoft Corporation) [File not signed] R2 PlugPlay; C:\Windows\system32\umpnpmgr.dll [293376 2010-06-04] (Microsoft Corporation) [File not signed] R2 Power; C:\Windows\system32\umpo.dll [119808 2010-06-04] (Microsoft Corporation) [File not signed] R2 ProfSvc; C:\Windows\system32\profsvc.dll [163840 2010-06-04] (Microsoft Corporation) [File not signed] S3 RasMan; C:\Windows\System32\rasmans.dll [285184 2010-06-04] (Microsoft Corporation) [File not signed] S4 SDRSVC; C:\Windows\System32\SDRSVC.dll [125952 2010-06-04] (Microsoft Corporation) [File not signed] S3 SessionEnv; C:\Windows\system32\sessenv.dll [114176 2010-06-04] (Microsoft Corporation) [File not signed] R2 ShellHWDetection; C:\Windows\System32\shsvcs.dll [328192 2010-06-04] (Microsoft Corporation) [File not signed] S3 Spooler; C:\Windows\System32\spoolsv.exe [316416 2010-06-04] (Microsoft Corporation) [File not signed] R2 StiSvc; C:\Windows\System32\wiaservc.dll [463360 2010-06-04] (Microsoft Corporation) [File not signed] S4 SysMain; C:\Windows\system32\sysmain.dll [1160192 2010-06-04] (Microsoft Corporation) [File not signed] S3 TermService; C:\Windows\System32\termsrv.dll [516608 2010-06-04] (Microsoft Corporation) [File not signed] R2 Themes; C:\Windows\system32\themeservice.dll [37376 2009-12-07] (Microsoft Corporation) [File not signed] S3 UmRdpService; C:\Windows\System32\umrdp.dll [171520 2010-06-04] (Microsoft Corporation) [File not signed] S3 vds; C:\Windows\System32\vds.exe [453120 2010-06-04] (Microsoft Corporation) [File not signed] S3 VSS; C:\Windows\system32\vssvc.exe [1025536 2010-06-04] (Microsoft Corporation) [File not signed] S3 WebClient; C:\Windows\System32\webclnt.dll [202240 2010-06-04] (Microsoft Corporation) [File not signed] R3 WinHttpAutoProxySvc; C:\Windows\system32\winhttp.dll [350208 2010-06-04] (Microsoft Corporation) [File not signed] S3 WinRM; C:\Windows\system32\WsmSvc.dll [1175040 2010-06-04] (Microsoft Corporation) [File not signed] R3 WMPNetworkSvc; C:\Program Files\Windows Media Player\wmpnetwk.exe [1121792 2010-06-04] (Microsoft Corporation) [File not signed] S3 WPDBusEnum; C:\Windows\system32\wpdbusenum.dll [85504 2010-06-04] (Microsoft Corporation) [File not signed] R2 wudfsvc; C:\Windows\System32\WUDFSvc.dll [67584 2010-06-04] (Microsoft Corporation) [File not signed] ==================== Bamital & volsnap Check ================= C:\Windows\system32\User32.dll [2009-07-14 01:24] - [2010-06-04 09:53] - 0808448 ____A (Microsoft Corporation) 3D7778DA786063D589EA56D928A39FB1 C:\Windows\system32\userinit.exe [2009-07-14 01:34] - [2010-06-04 09:51] - 0026624 ____A (Microsoft Corporation) A1C9C01C02AF6A2C81CAC34CD5E65F9B No cóż, takie defekty naprawia się poprzez Przywracanie systemu, tylko że tu kompletnie brak punktów. 2. Dodatkowo, jest tu pakiet zabezpieczeń 360 Total Security, który mógłby wydłużyć start. Ale to na razie sprawa podrzędna przy podejrzeniu pirackiej zmanipulowanej kopii z niejasnym defektem niesygnowanych plików. .

Temat porządkuję, posty sklejam. Log z FRST zrobiony niezgodnie z instrukcją, sekcje "Drivers MD5" i "List BCD" nie miały być zaznaczone. I temat zostaje przeniesiony do działu Windows. Proszę przeklej wprost z dziennika Avast dokładne ścieżki dostępu w czym zagrożenia zostały wykryte, bo nazwy nic nie mówią. Wątpliwe, by problem tworzyły infekcje, bo w systemie brak oznak czynnej infekcji, widać tylko martwe mikro ślady po adware. Tu raczej zwraca uwagę świeża aktualizacja sterowników nVidia (z dnia 19 października), przeładowany start oraz błędy usług Garmin + HP ProtectTools nagrane w Dzienniku zdarzeń: System errors: ============= Error: (10/27/2014 04:25:48 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: The Garmin Core Update Service service failed to start due to the following error: %%1053 Error: (10/27/2014 04:25:48 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: A timeout was reached (30000 milliseconds) while waiting for the Garmin Core Update Service service to connect. Error: (10/26/2014 01:47:57 PM) (Source: Service Control Manager) (EventID: 7011) (User: ) Description: A timeout (30000 milliseconds) was reached while waiting for a transaction response from the hpqwmiex service. 1. Na szybko usunięcie pustych wpisów, co w ogóle nie poprawi sytuacji, bo jak mówię to nieczynne obiekty. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {0AC84B8D-C29A-41AA-896B-182F9EEFCA51} - \5aa3d933-32c7-4b03-9bcf-13d56020c4b9-4 No Task File Task: {0FB1E323-CF6F-4A3C-B3D7-49BFE05E609F} - \5aa3d933-32c7-4b03-9bcf-13d56020c4b9-6 No Task File Task: {56D2E489-A0B4-4245-9726-A922F777D0DD} - \5aa3d933-32c7-4b03-9bcf-13d56020c4b9-2 No Task File Task: {657BF2F6-5E31-4E92-AE6B-75D59FA839AA} - \5aa3d933-32c7-4b03-9bcf-13d56020c4b9-7 No Task File Task: {B85C45D3-7A19-40F3-ABB8-956C3F77E4B9} - \5aa3d933-32c7-4b03-9bcf-13d56020c4b9-1 No Task File HKU\S-1-5-21-1593833016-2535897038-1932122431-1000\...\Run: [browser Extensions] => "C:\Users\user\AppData\Roaming\Browser Extensions\CouponsHelper.exe" HKLM-x32\...\Run: [] => [X] Winlogon\Notify\DeviceNP-x32: DeviceNP.dll [X] S3 dgderdrv; System32\drivers\dgderdrv.sys [X] StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKCU - {3023DAE5-E649-48B1-A0FF-5F2740EC6EC3} URL = https://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=198484&p={searchTerms} Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File FF HKLM-x32\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files (x86)\Hewlett-Packard\HP ProtectTools Security Manager\Bin\FirefoxExt C:\Windows\system32\Drivers\*.winsecurity Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{EE68B04B-ABF4-4E83-87FF-42AF4C3F1D5B} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Autoruns w karcie Logon odfajkuj poniższe wpisy: HKLM\...\Run: [HPPowerAssistant] => C:\Program Files\Hewlett-Packard\HP Power Assistant\HPPA_Main.exe [3488640 2012-03-14] (Hewlett-Packard Company) HKLM\...\Run: [HPWirelessAssistant] => C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWA_Main.exe [363064 2010-07-21] (Hewlett-Packard Company) HKLM\...\Run: [Windows Mobile Device Center] => C:\Windows\WindowsMobile\wmdc.exe [660360 2007-05-31] (Microsoft Corporation) HKLM\...\Run: [AdobeAAMUpdater-1.0] => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [472992 2013-03-21] (Adobe Systems Incorporated) HKLM\...\Run: [NvBackend] => C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe [2462536 2014-10-04] (NVIDIA Corporation) HKLM-x32\...\Run: [NUSB3MON] => c:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe [115048 2011-09-16] (Renesas Electronics Corporation) HKLM-x32\...\Run: [iMSS] => C:\Program Files (x86)\Intel\Intel® Management Engine Components\IMSS\PIconStartup.exe [111488 2012-10-25] (Intel Corporation) HKLM-x32\...\Run: [PDF Complete] => C:\Program Files (x86)\PDF Complete\pdfsty.exe [658424 2011-08-11] (PDF Complete Inc) HKLM-x32\...\Run: [File Sanitizer] => C:\Program Files (x86)\Hewlett-Packard\File Sanitizer\CoreShredder.exe [11268096 2010-05-06] (Hewlett-Packard) HKLM-x32\...\Run: [iAStorIcon] => C:\Program Files (x86)\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe [284696 2013-10-17] (Intel Corporation) HKLM-x32\...\Run: [KiesTrayAgent] => C:\Program Files (x86)\Samsung\Kies\KiesTrayAgent.exe [311616 2014-04-23] (Samsung Electronics Co., Ltd.) HKLM-x32\...\Run: [APSDaemon] => C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe [59720 2013-09-13] (Apple Inc.) HKLM-x32\...\Run: [QuickTime Task] => C:\Program Files (x86)\QuickTime\QTTask.exe [421888 2014-01-17] (Apple Inc.) HKLM-x32\...\Run: [HPUsageTrackingLEDM] => C:\Program Files (x86)\HP\HP UT LEDM\bin\hppusg.exe [30264 2009-08-04] (Hewlett-Packard Company) HKLM-x32\...\Run: [AdobeCEPServiceManager] => C:\Program Files (x86)\Common Files\Adobe\CEPServiceManager4\CEPServiceManager.exe [1039248 2013-03-13] (Adobe Systems Incorporated) HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959176 2014-08-21] (Adobe Systems Incorporated) HKLM-x32\...\Run: [sunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [507776 2014-10-07] (Oracle Corporation) HKU\S-1-5-21-1593833016-2535897038-1932122431-1000\...\Run: [Advanced SystemCare 7] => C:\Program Files (x86)\IObit\Advanced SystemCare 7\ASCTray.exe [2281248 2014-08-22] (IObit) HKU\S-1-5-21-1593833016-2535897038-1932122431-1000\...\Run: [KiesPDLR.exe] => C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe [845120 2014-04-23] (Samsung) HKU\S-1-5-21-1593833016-2535897038-1932122431-1000\...\Run: [KiesPreload] => C:\Program Files (x86)\Samsung\Kies\Kies.exe [1564992 2014-04-23] (Samsung) HKU\S-1-5-18\...\Run: [GarminExpressTrayApp] => C:\Program Files (x86)\Garmin\Express Tray\ExpressTray.exe [688984 2014-08-07] (Garmin Ltd or its subsidiaries) Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Bluetooth.lnk Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CodecPackUpdateChecker.lnk Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CodeMeter Control Center.lnk Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ImageBrowser EX Agent.lnk Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\MOTU Pedal Service.lnk Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EOS Utility.lnk W karcie Services odfajkuj AdobeARMservice, c2cautoupdatesvc, c2cpnrsvc, Garmin Core Update Service, hpqwmiex, hpsrv, HPSupportSolutionsFrameworkService, LiveUpdateSvc, NvNetworkService, NvStreamSvc, SkypeUpdate, WinDefend. By widzieć tę ostatnią pozycję, należy w menu włączyć pokazywanie wpisów Microsoftu. W karcie Scheduled Tasks odfajkuj zadania Adobe, Google, Garmin, IOBit, Opera. 2. Oinstaluj nieużywane programy. Sugeruję też pozbyć się wszystkiego od IOBit (Advanced SystemCare 7, IObit Uninstaller, Smart Defrag 3, Surfing Protection). Firma nie jest godna zaufania: KLIK. 3. Zresetuj system, zrób nowy log FRST z opcji Scan (bez Addition i Shortcut), dołącz też fixlog.txt i opisz co się dzieje. .

Ale ja się pytam czy po nawrocie problemu ponowna naprawa działa. Poprawki. Otwórz Notatnik i wklej w nim: CloseProcesses: FF HKLM-x32\...\Firefox\Extensions: [termtutor@termtutor.com] - C:\Program Files (x86)\Mozilla Firefox\extensions\termtutor@termtutor.com R1 ttnfd; system32\drivers\ttnfd.sys [X] S3 VGPU; No ImagePath RemoveDirectory: C:\Users\Browar\Desktop\FRST-OlderVersion RemoveDirectory: C:\Users\Browar\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Browar\Documents\PC Speed Maximizer DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Posty łączę i czyszczę. Proszę nie używaj opcji "Odpowiedz" zlokalizowanej przy każdym poście (to funkcja cytatu wstawiająca cały poprzedni post), lecz okno szybkiej odpowiedzi na spodzie tematu i "Napisz". Przypuszczalnie to był problem z obniżonym transferem dysku i Przywracanie systemu było zbędne. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Przywracanie systemu odkręca poprzednie działania, więc zadane operacje aktualne, z tym że one są poboczne i nie powinny mieć związku z problemami. Fix już wykonałeś, usuwanie Avira jeszcze do wdrożenia. A co do problemów sieciowych, to już założyłeś nowy temat w dziale Sieci. .

Temat przenoszę do działu Windows. Tu nie ma żadnych oznak infekcji i problemy nie wyglądają na jej pochodną. Do usunięcia tylko puste wpisy: Sugeruję też pozbyć się wszystkich produktów IOBit (Advanced SystemCare 7, Driver Booster, IObit Uninstaller, Surfing Protection). Firma nie jest godna zaufania, na sumieniu różne grzeszki: KLIK. Należy rozróżnić dwie rzeczy: aktualizacje baz i aktualizacje wersji. Określony komercyjny program może nie dawać możliwości darmowego upgradu do nowszej edycji. Przyczyny uszkodzeń plików nie są znane, przyczyn może być mnóstwo np. błędy na dysku, raptownie przerwana aktualizacja Windows Update (instalowanie w toku i komunikat "Nie wyłączaj komputera...", a wymuszono reset). I tu w Dzienniku zdarzeń dręczy takie oto błędy: System errors: ============= Error: (10/23/2014 08:35:44 AM) (Source: Disk) (EventID: 11) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Harddisk1\DR1. Z tym, że jest tu tylko jeden dysk twardy, którego numerowanie powinno być równe \Device\Harddisk0\DR0, co zresztą GMER sygnalizował: Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-2 SAMSUNG_HD642JJ rev.1AA01113 596,17GB Możliwe, iż błąd tyczy jakiegoś odpiętego dysku przenośnego. Identyfikacja czym jest \Device\Harddisk1\DR1 na podstawie tego tematu: KLIK. Co rozumiesz przez "po restarcie wszystko działa"? I podaj skan pod kątem poprawności plików: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. .

Dostarczyłeś logi FRST ze strasznie starej wersji, która nie ma określonych skanów i komend: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 21-07-2014 (ATTENTION: ====> FRST version is 95 days old and could be outdated) Pomijając, że HijackThis to archaizm, z pewnością przyczyną niemożnością uruchomienia go i jemu podobnych są infekcje, conajmniej dwie: robak Brontok oraz wirus Jeefo atakujący pliki wykonywalne na wszystkich dyskach. Widocznym elementem Jeefo jest poniższa usługa, ale to jedynie cząstka problemu, pliki systemu i programów są infekowane i psute. ==================== Services (Whitelisted) ================= R2 PowerManager; C:\Windows\svchost.exe [36352 2001-08-24] (Microsoft Corporation) [File not signed] Wstępne operacje: 1. Pobierz najnowszy FRST: KLIK. Jeśli nie da się z poziomu tego komputera, to skorzystaj z innego i za pomocą pendrive przenieś pobrany FRST. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 PowerManager; C:\Windows\svchost.exe [36352 2001-08-24] (Microsoft Corporation) [File not signed] HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [bron-Spizaetus] => C:\Windows\ShellNew\sempalong.exe [42675 2011-03-08] () HKLM-x32\...\Winlogon: [shell] Explorer.exe "C:\Windows\eksplorasi.exe" [42675 ] () HKU\S-1-5-21-2171216393-590708924-378717732-1000\...\Run: [Tok-Cirrhatus] => C:\Users\Damian\AppData\Local\smss.exe [42675 2011-03-08] () HKU\S-1-5-21-2171216393-590708924-378717732-1000\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-2171216393-590708924-378717732-1000\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-2171216393-590708924-378717732-1000\...\Policies\Explorer: [] HKU\S-1-5-21-2171216393-590708924-378717732-1000\...\Policies\Explorer: [NoFolderOptions] 1 HKU\S-1-5-21-2171216393-590708924-378717732-1000\...\MountPoints2: F - F:\Autorun.exe Startup: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif () ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt5] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt6] -> {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt7] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt8] -> {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers-x32: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers-x32: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers-x32: [DropboxExt3] -> {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers-x32: [DropboxExt4] -> {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers-x32: [DropboxExt5] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers-x32: [DropboxExt6] -> {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers-x32: [DropboxExt7] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers-x32: [DropboxExt8] -> {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} => No File Task: {10195F3A-9DAB-4D7B-A024-9C3B75D47462} - System32\Tasks\Seagate_Install_Launch => C:\Program Files (x86)\Seagate\Seagate Dashboard 2.0\Dashboard.exe StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM-x32 - DefaultScope value is missing. S3 OracleRemExecServiceV2; C:\Users\Damian\AppData\Local\Temp\\oraremservicev2\RemoteExecService.exe [X] Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Damian^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Empty.pif" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ALLUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bron-Spizaetus" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tok-Cirrhatus" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Uploader" /f CMD: for /d %f in (C:\Users\Damian\AppData\Local\*Bron*) do rd /s /q "%f" C:\Program Files (x86)\Temp C:\Users\Damian\AppData\Local\*.exe C:\Users\Damian\AppData\Local\*Bron* C:\Windows\eksplorasi.exe C:\Windows\svchost.exe C:\Windows\system32\Drivers\etc\hosts.new C:\Windows\pss\Empty.pif.Startup C:\Windows\ShellNew\sempalong.exe Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wykonaj skan za pomocą jeefogui.com. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Skrypt wykonałeś więcej niż raz i podany tu log pochodzi aż z trzeciej rundy, skrypt jest jednorazowy i nie przetworzy powtórnie tego samego. Proszę o dostarczenie właściwego, czyli pierwszego raportu z serii. Wejdź do folderu archiwum C:\FRST\Logs i wyszukaj najstarszy plik Fixlog_data_czas.txt. Nie sądzę, by to było potrzebne. Według opisu było tu tylko adware (reklamiarze), a nie trojany z predyspozycją łowienia danych. .

Poza tym co już omawialiśmy wcześniej, żadnych nowych niepokojących śladów. Przed reinstalacją systemu jeszcze wykonaj to: 1. Zastosuj DelFix, co powinno usunąć folder C:\FRST z kwarantanną. 2. Zainstaluj najnowszą wersję Avast. Wykonaj pełny skan wszystkich trzech partycji C:, D:, E:. Zgłoś się tu z wynikami co skaner wykrył. .

Pendrive jest zainfekowany Sality i będzie roznosił wirusa na każdy podpinany system. Czy ten pendrive był wpinany w inne komputery? Czy format systemu został wykonany? Jeśli tak, to zabezpiecz system przed wykonaniem autorun.inf Sality zlokalizowanym na pendrive poprzez Panda USB Vaccine i opcję Computer Vaccination. Następnie uściślij mi co się dzieje obecnie i co z pendrive.

Skrypt wykonany. Jakie są wyniki tej akcji:

Czy zabezpieczyłeś router poprzez wyłączenie dostępu do panelu zarządzania od strony internetu? Porównaj z tymi artykułami: KLIK, KLIK. Na obu systemach brak oznak infekcji. Do wyczyszczenia tylko wpisy puste / szczątki programów oraz cache (bufor DNS + cache przeglądarek): LAPTOP: 1. Odinstaluj starą wtyczkę Adobe Flash Player 12 ActiveX. A resztę zaktualizuj: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => No File BootExecute: autocheck autochk * sdnclean64.exe SearchScopes: HKLM-x32 - DefaultScope value is missing. BHO: No Name -> {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -> No File Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File FF Plugin-x32: @ogplanet.com/npOGPPlugin -> C:\Windows\system32\npOGPPlugin.dll No File S3 ATP; system32\DRIVERS\cmdatp.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] Task: {7E06FA46-7AFB-48D3-AD95-236C4D0CC3DB} - System32\Tasks\{A0FB272A-A40D-425C-A770-C013A6E0DDDB} => Chrome.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsMain Task: {C99E8B1F-AADD-4836-B7D2-22E6A300CF31} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe Task: C:\Windows\Tasks\AutoKMS.job => C:\Windows\AutoKMS\AutoKMS.exe C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\TEMP C:\Windows\system32\Drivers\48230029.sys C:\Windows\System32\Tasks\Safer-Networking CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. STACJONARNY: Dodatkowa uwaga: główną przeglądarką jest tu Opera beta. Jej zawartość jest kompletnie nieznana, gdyż żadne z narzędzi jej nie skanuje. Toteż pobiorę dane o niej w skrypcie poniżej. Otwórz Notatnik i wklej w nim: HKLM\...\Winlogon: [userinit] C:\Windows\SysWOW64\userinit.exe, ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File BootExecute: autocheck autochk * PCloudBroom64.exe \systemroot\system32\BroomData.bitPCloudBroom64.exe \systemroot\system32\BroomData.bit S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] C:\Program Files (x86)\mozilla firefox C:\Users\Boginie\AppData\Roaming\Mozilla C:\Users\Boginie\Downloads\*.tmp Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Folder: C:\Users\Bobek\AppData\Roaming\Opera Software\Opera Next\Extensions CMD: type "C:\Users\Bobek\AppData\Roaming\Opera Software\Opera Next\Preferences" Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaNext\shell\open\command" /s CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. .

Temat przesuwam do odpowiedniejszego działu, to nie jest problem infekcji. A z raportów nic kompletnie nie wynika. Nie zostało powiedziane jakie rodzaje URL / strony są u niej otwierane. Wstępne sugestie: 1. Są tu zainstalowane następujące wersje programów: ==================== Installed Programs ====================== Adobe Flash Player 15 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 15.0.0.152 - Adobe Systems Incorporated) Mozilla Firefox 32.0.3 (x86 pl) (HKLM-x32\...\Mozilla Firefox 32.0.3 (x86 pl)) (Version: 32.0.3 - Mozilla) Najnowszy Flash to wersja 15.0.0.189, również nowszy Firefox dostępny: KLIK. Zaktualizuj oba komponentry. 2. Wyłącz zbędne wtyczki w Firefox, to wszystko można zdeaktywować: FireFox: ======== FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files\Microsoft Silverlight\5.1.30514.0\npctrl.dll ( Microsoft Corporation) FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~1\MICROS~2\Office14\NPAUTHZ.DLL (Microsoft Corporation) FF Plugin-x32: @Google.com/GoogleEarthPlugin -> C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll (Google) FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI ipt;version=4.0.5 -> C:\Program Files (x86)\Intel\Intel® Management Engine Components\IPT\npIntelWebAPIIPT.dll (Intel Corporation) FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI updater -> C:\Program Files (x86)\Intel\Intel® Management Engine Components\IPT\npIntelWebAPIUpdater.dll (Intel Corporation) FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files (x86)\Microsoft Silverlight\5.1.30514.0\npctrl.dll ( Microsoft Corporation) FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~2\Office14\NPAUTHZ.DLL (Microsoft Corporation) FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~2\Office14\NPSPWRAP.DLL (Microsoft Corporation) FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.25.5\npGoogleUpdate3.dll (Google Inc.) FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.25.5\npGoogleUpdate3.dll (Google Inc.) FF Plugin-x32: @videolan.org/vlc,version=2.1.2 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll (VideoLAN) 3. Sprawdź akcelerację sprzętową: KLIK. .

Jest tu owszem adware Ask, ale to niekoniecznie główna przyczyna spowolnienia - problem równie dobrze może tworzyć program zabezpieczający Kaspersky Internet Security. Wstępnie wyczyś adware i zopbaczymy co się stanie: 1. Rozpocznij od poprawnych deinstalacji. Przez Panel sterowania odinstaluj adware, zbędniki i stare dziurawe aplikacje: Adobe Flash Player 10 ActiveX, Adobe Reader X (10.1.10) - Polish, Java™ 6 Update 18 (64-bit), Java™ 6 Update 22, McAfee Security Scan Plus, Search App by Ask. Zaktualizuj też OpenOffice.org 3.3, by mógł korzystać z najnowszej wersji Java 7. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Wypowiedz się czy jest jakaś poprawa. .

Problemy adware są wynikiem uruchomienia tzw. "downloaderów" portalowych, a przykład szkodliwego pliku poniżej. Więcej na ten temat: KLIK. Notabene: HDD Regenerator to nie jest polecany tu program. 2014-10-24 12:44 - 2014-10-24 12:44 - 00225464 _____ () C:\Users\Kamil\Downloads\HDDRegenerator_downloader-IeXp5SxIY.exe Folderu YouTube Accelerator nie da się usunąć, gdyż jest chroniony przez aktywne procesy, a dodatkowo jest wpięty w łańcuch sieciowy Winsock. Usunięcie "z ręki" grozi uszkodzeniem łańcucha i odcięciem od sieci. Akcja będzie podzielona na dwa etapy. Dodatkowo: w procesach działa Google Chrome, a w ogóle nie ma wejścia deinstalacji programu, przeglądarka wygląda na częściowo uszkodzoną. W systemie są też ślady instalacji Opera, ale zdaje się, że to rzeczywuiście odinstalowany program i będę usuwać powiązane obiekty. Wg Shortcut instalacja jest wybrakowana i nie ma na dysku plików wymaganych do jej przeprowadzenia (skierowanie na dysk F nawet nie wykryty jako istniejący): Shortcut: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FormatFactory\FormatFactory.lnk -> F:\pliki\FormatFactory\FormatFactory.exe (No File) Shortcut: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FormatFactory\Help.lnk -> F:\pliki\FormatFactory\FormatFactory.exe (No File) Shortcut: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FormatFactory\Uninstall.lnk -> F:\pliki\FormatFactory\uninst.exe (No File) Wg raportu nie ma tu żadnych sterowników związanych z emulacją. Przyczyna błędu programu jest więc inna, lecz trudno stwierdzić jaka. GMER jest fanaberyjny. Darujmy go sobie teraz. Pod kątem adware przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {972b8ad0-9d6f-4688-9227-759df6914df4}w64; C:\Windows\System32\drivers\{972b8ad0-9d6f-4688-9227-759df6914df4}w64.sys [48776 2014-10-24] (StdLib) R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [705416 2014-09-24] (Cherished Technololgy LIMITED) R2 YouTubeAcceleratorService; C:\Program Files (x86)\YouTube Accelerator\YouTubeAcceleratorService.exe [1510248 2014-10-24] (GOOBZO) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1413460407&from=cor&uid=ST3500418AS_6VMGGVAGXXXX6VMGGVAG&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1413460407&from=cor&uid=ST3500418AS_6VMGGVAGXXXX6VMGGVAG&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1413460407&from=cor&uid=ST3500418AS_6VMGGVAGXXXX6VMGGVAG&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1413460407&from=cor&uid=ST3500418AS_6VMGGVAGXXXX6VMGGVAG&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1413460407&from=cor&uid=ST3500418AS_6VMGGVAGXXXX6VMGGVAG Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Menedżer Realtek HD Audio.lnk Task: C:\WINDOWS\Tasks\Opera N.job => C:\Program Files (x86)\Opera\launcher.exe C:\Program Files (x86)\Apps Hat C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Opera C:\Program Files (x86)\Temp C:\Program Files (x86)\YTAHelper C:\ProgramData\374311380 C:\ProgramData\IePluginServices C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YouTube Accelerator C:\ProgramData\TEMP C:\ProgramData\WindowsMangerProtect C:\ProgramData\YTAHelper C:\Users\Kamil\AppData\Local\globalUpdate C:\Users\Kamil\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Kamil\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences C:\Users\Kamil\AppData\Local\Opera Software C:\Users\Kamil\AppData\Roaming\Opera Software C:\Users\Kamil\AppData\Roaming\Systweak C:\Users\Kamil\Downloads\*_downloader*.exe C:\Users\Public\Documents\GOOBZO C:\Users\Public\Documents\ShopperPro C:\Users\Public\Documents\YTAHelper C:\WINDOWS\system32\netcfg-*.txt C:\WINDOWS\system32\roboot64.exe C:\Windows\System32\drivers\{972b8ad0-9d6f-4688-9227-759df6914df4}w64.sys CMD: netsh winsock reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Kamil\AppData\Local CMD: dir /a C:\Users\Kamil\AppData\LocalLow CMD: dir /a C:\Users\Kamil\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. O ile przeglądarka Google Chrome ma pozostać, nadpisz ją nowym instalatorem. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Sality to wirus plików wykonywalnych atakujący wszystkie pliki tego rodzaju na wszystkich dyskach. Nie ma sensu czyścić z Sality systemu, który co dopiero był stawiany: masa czasu zejdzie, by w ogóle ubić wirusa, system i tak nie uzyska pierwotnej sprawności (po leczeniu mogą pozostać trwale uszkodzone pliki). Do wykonania będzie ponowny format i instalacja XP, tylko że należy się zastanowić dlaczego po pierwszym formacie wkradł się wirus. Prawdopodobnie: podpięty pendrive zainfekowany Sality lub formatowałeś tylko C, a wirus ostał się na pozostałych dyskach (wystarczy jede drobny plik z genem Sality omyłkowo uruchomiony po formacie i cykl zarażania rozpoczyna się od nowa). Są tu trzy partycje: ==================== Drives ================================ Drive c: () (Fixed) (Total:34.18 GB) (Free:23.35 GB) NTFS ==>[Drive with boot components (Windows XP)] Drive d: () (Fixed) (Total:74.52 GB) (Free:7.76 GB) NTFS Drive e: () (Fixed) (Total:40.34 GB) (Free:16.13 GB) NTFS Przy tym typie wirusa nie wystarczy format C, Sality pomija bariery podziałów na partycje i infekuje wszystkie dostępne pliki wykonywalne. W logu OTL widać też na każdym dysku w root ukryte pliki autorun.inf, które inicjują wirusa, zapewne są też luźne pliki wykonywalne Sality tam. O32 - AutoRun File - [2014-10-24 20:42:58 | 000,000,389 | RHS- | M] () - C:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2014-10-24 20:42:59 | 000,000,285 | RHS- | M] () - D:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2014-10-24 20:42:59 | 000,000,264 | RHS- | M] () - E:\autorun.inf -- [ NTFS ] Z tych partycji nie wolno skopiować żadnego pliku wykonywalnego (instalatory programów / sterowniki etc.) na zapas. .

Wszystko wykonane. Poprawki. Otwórz Notatnik i wklej w nim: S1 ttnfd; system32\drivers\ttnfd.sys [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\A6ADCE5D-859A-4E7E-B0B2-D07F8AB9237E RemoveDirectory: C:\Program Files\Enigma Software Group RemoveDirectory: C:\Program Files (x86)\A6ADCE5D-859A-4E7E-B0B2-D07F8AB9237E RemoveDirectory: C:\Program Files (x86)\Amazon RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\Kaspersky Lab RemoveDirectory: C:\ProgramData\YTD Video Downloader RemoveDirectory: C:\Users\tad\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\tad\AppData\Local\nsx297C.tmp DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Jeśli nie podaję, by przetwarzać w Trybie awaryjnym, to oznacza że nie jest to wymagane, a nawet może to przeszkodzić naprawie. Pomijając, że skrypt można uruchomić tylko raz i pierwsze podejście już wszystko załatwiło, jest tu dobry przykład w Twoich logach na niemożność wykonania określonej naprawy z poziomu Trybu awaryjnego. Pierwszy Fix zrobiony z poziomu Trybu normalnego pomyślnie przetworzył polecenie ipconfig /flushdns, ale to samo w Trybie awaryjnym już nie było zdolne się wykonać (w podstawowym Trybie awaryjnym nie działają usługi sieciowe): ========= ipconfig /flushdns ========= Konfiguracja IP systemu Windows Wystąpił błąd wewnętrzny: żądanie nie jest obsługiwane. Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. .

Lapka już oddałeś, ale skomentuję: Fix pomyślnie wykonany. AdwCleaner dokasował szczątki adware, z jednym wyjątkiem: Klucz Usunięto : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 To ogólny klucz związany z biblioteką msvcr71.dll. Klucz może być używany przez aplikacje poprawne oraz szkodliwe. Nie wiadomo co tak naprawdę wykrył AdwCleaner, bo brak tu zawartości klucza. Mogła zostać uszkodzona rejestracja MSI któregoś poprawanego programu (np. AMD Catalyst Center). Gdyby jakiś błąd związany z "Instalatorem Windows" się ujawnił, należy przeinstalować dany program figurujący na błędzie. .

Fixy pomyślnie przetworzone. Jeszcze drobne sprawy: Tak, to pusty skrót odpadek. Dodatkowo uruchom AdwCleaner, zastosuj Szukaj, a po tym Usuń i dostarcz wynikowy log z folderu C:\AdwCleaner. .

Wszystko pomyślnie wykonane. Jeszcze na wszelki wypadek: Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Przedstaw ten log.

Logi z DDS nie są obowiązkowe, usuwam. Tak, jest tu infekcja, działają w tle podrobione usługi Microsoftu oraz sterowniki adware, a dodatkowo jeszcze Bitcoin miner uruchamiany via Harmonogram zadań. Narzędzie ServicesRepair nie służy do naprawiania takich przypadków, program wybiórczo rekonstruuje uszkodzone usługi systemu, nie usuwa żadnych usług dodanych wtórnie przez infekcje. Widać uszkodzoną usługę Kopiowanie woluminów w tle (+ powiązany błąd w Dzienniku zdarzeń), która jest wymagana dla Przywracania systemu. Mam pytanie: czy to jest oryginalny nietweakowany Windows? Są w systemie blokady adresów walidacji aktywacji... S3 VSS; %systemroot%\system32\vssvc.exe [X] + Application errors: ================== Error: (10/25/2014 08:17:15 PM) (Source: VSS) (EventID: 13) (User: ) Description: {e579ab5f-1cc4-44b4-bed9-de0991ff0623}Coordinator0x80070002, Nie można odnaleźć określonego pliku. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {55685567-4840-4a91-962b-49a412e9485a}w64; C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys [61112 2014-05-26] (StdLib) R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys [61112 2014-05-19] (StdLib) R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}w64; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}w64.sys [61112 2014-05-19] (StdLib) S2 Windows Movie Codec; C:\Windows\WinMovieCodec.exe [7680 2014-06-19] (Microsoft) [File not signed] S2 Windows Update ; C:\Windows\WindowsUpdate.exe [7680 2014-06-19] (Microsoft) [File not signed] Task: {17988F42-006E-456D-A447-63DB65684126} - System32\Tasks\Math Problem Solver GPU => C:\Users\Windows 7\AppData\Local\Math Problem Solver\gpu\dummysleep.exe Task: {472EBA02-BF13-461D-AD56-798BE598FEAF} - System32\Tasks\Math Problem Solver Optimize => C:\Users\Windows 7\AppData\Local\Math Problem Solver\Optimize.exe [2014-01-20] () Task: {53B0D24A-B77F-4478-9CE2-3A48AC1534FE} - System32\Tasks\Math Problem Solver CPU => C:\Users\Windows 7\AppData\Local\Math Problem Solver\cpu\Solve.exe Task: {5F6692C2-7EB9-49AF-B323-2B2323A89E2B} - System32\Tasks\PITax reminder => C:\Program Files (x86)\PITax.pl\PITax.pl.exe Task: {D05FBDA7-EA90-4903-ABFE-686C5B4B44C8} - System32\Tasks\PITax rss checker => C:\Program Files (x86)\PITax.pl\PITax.pl.exe HKU\S-1-5-21-447586274-3820260448-2701099633-1000\...\Run: [speedUpMyComputer] => C:\Program Files (x86)\SmartTweak\SpeedUpMyComputer\SpeedUpMyComputer.exe /ot /as /ss HKU\S-1-5-21-447586274-3820260448-2701099633-1000\...\Run: [updateMyDrivers] => C:\Program Files (x86)\SmartTweak\UpdateMyDrivers\UpdateMyDrivers.exe /ot /as /ss HKU\S-1-5-21-447586274-3820260448-2701099633-1000\...\Run: [FixMyRegistry] => C:\Program Files (x86)\SmartTweak\FixMyRegistry\FixMyRegistry.exe /ot /as ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File C:\Users\Windows 7\AppData\Roaming\Mozilla C:\Windows\WinMovieCodec.exe C:\Windows\WinMovieCodec.log C:\Windows\WindowsUpdate.exe C:\Windows\WindowsUpdate.log C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}w64.sys Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\VSS /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Opuść Tryb awaryjny. Przez Panel sterowania odinstaluj Bitcoin minera Math Problem Solver. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Następnie uruchom FRST ponownie, w polu Search wklep vssvc.exe, klik w Search Files i dostarcz wynikowy log. Dołącz też plik fixlog.txt. .

Raport z DDS nie jest obowiązkowy. Tam w ogóle nie sprawdzono pliku FRST Shortcut, a adware Mystartsearch zmodyfikowało skróty LNK przeglądarek. Nie bez przyczyny jest to log obowiązkowy a nie opcjonalny tutaj na forum. Rozumiem, że konto syna to m-kol_000: ========================= Accounts: ========================== admin (S-1-5-21-564193530-946695896-3617906930-1002 - Administrator - Enabled) => C:\Users\admin m-kol_000 (S-1-5-21-564193530-946695896-3617906930-1010 - Administrator - Enabled) => C:\Users\m-kol_000.SKIMPK Jeśli chodzi o konta, to w momencie, gdy zgłosiłeś problem na koncie syna, wcale nie było wcześniej sprawdzania wszystkich profili. Opcja o tej nazwie w OTL nie zmienia kontekstu konta, tylko robi dodatkowy skan określonych folderów. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: ShortcutWithArgument: C:\Users\m-kol_000.SKIMPK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1413546517&from=amt&uid=WDCXWD10JPVX-80JC3T0_WD-WXB1A63A9421A9421 ShortcutWithArgument: C:\Users\m-kol_000.SKIMPK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1413546517&from=amt&uid=WDCXWD10JPVX-80JC3T0_WD-WXB1A63A9421A9421 ShortcutWithArgument: C:\Users\m-kol_000.SKIMPK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1413546517&from=amt&uid=WDCXWD10JPVX-80JC3T0_WD-WXB1A63A9421A9421 ShortcutWithArgument: C:\Users\m-kol_000.SKIMPK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1413546517&from=amt&uid=WDCXWD10JPVX-80JC3T0_WD-WXB1A63A9421A9421 ShortcutWithArgument: C:\Users\m-kol_000.SKIMPK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1413546517&from=amt&uid=WDCXWD10JPVX-80JC3T0_WD-WXB1A63A9421A9421 StartMenuInternet: IEXPLORE.EXE - iexplore.exe CustomCLSID: HKU\S-1-5-21-564193530-946695896-3617906930-1010_Classes\CLSID\{A75BE48D-BF58-4A8B-B96C-F9A09DFB9844}\InprocServer32 -> %LOCALAPPDATA%\Pokki\ocdeskband_0.dll No File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres mystartsearch.com, przestaw na "Otwórz stronę nowej karty". 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Shortcut, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Prawdopodobnie nie jesteś w stanie odinstalować tej pozycji, gdyż użyłeś MBAM. Zawsze zaczyna się od deinstalacji, po tym dopiero automaty. I problem przekierowań Mystartsearch nadal istnieje, gdyż są zmodyfikowane skróty LNK przeglądarek. Do wdrożenia poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89 ShortcutWithArgument: C:\Users\Renia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89 ShortcutWithArgument: C:\Users\Renia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89 ShortcutWithArgument: C:\Users\Renia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89 CHR StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe http://www.mystartsearch.com/?type=sc&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89 SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKCU - {3BD44F0E-0596-4008-AEE0-45D47E3A8F0E} URL = http://www.mystart.com/results.php?gen=ms&pr=manycam&id=manycam_ot&v=4_0&ent=ch_5007&q={searchTerms} AppInit_DLLs: c:\progra~2\pcperf~1\261339~1.144\{61d8b~1\pcpmngr.dll => c:\progra~2\pcperf~1\261339~1.144\{61d8b~1\pcpmngr.dll File Not Found HKLM\...\Run: [uVS11 Preload] => C:\Program Files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.135\psuser.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.99\psuser.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.79\psuser.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.145\psuser.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.123\psuser.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.153\psuser.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.165\psuser.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{BB6410D8-F879-4184-9C5C-6A02D16AE0B3}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.115\psuser.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{CA1073A2-5F3F-4445-8E5E-7109BDCEDDBE}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{D5A55D2D-C59D-42C3-A5BF-4C08EEE74339}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.111\psuser.dll No File C:\Program Files\Mozilla Firefox C:\Users\Renia\AppData\Roaming\Mozilla C:\Users\Renia\AppData\Roaming\mystartsearch C:\Windows\system32\sho*.tmp Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mystartsearch uninstall" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {D0A7DD4E-4406-4261-B505-BE774A5B9AA1} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W systemie są trzy konta: ========================= Accounts: ========================== Adusia . ^^ (S-1-5-21-2954293459-2226986906-1304803025-1167 - Limited - Enabled) => C:\Users\Adusia . ^^ Olusia (S-1-5-21-2954293459-2226986906-1304803025-1168 - Limited - Enabled) => C:\Users\Olusia Renia (S-1-5-21-2954293459-2226986906-1304803025-1000 - Administrator - Enabled) => C:\Users\Renia Każde musi zostać sprawdzone z osobna. Zaloguj się po kolei na każde konto poprzez pełny restart komputera (a nie Wyloguj czy Przełącz użytkownika) i na każdym zrób nowy log FRST z opcji Scan, przy czym tylko na koncie administracyjnym Renia zaznacz, by powstał ponownie Shortcut. Na kontach limitowanych Adusia . ^^ i Olusia uruchom FRST poprzez dwuklik, nie przez "Uruchom jako Administrator" (to zmieni kontekst konta). Doczącz też plik fixlog.txt. .

To dopytaj się i podaj więcej szczegółów. Jeśli dev-m to Twój osobisty wybór, to jest to Twój wybór. Ta szczególna wersja jest po prostu otwarta na adware: Wersje Development i Canary mają nielimitowane możliwości instalacji rozszerzeń, nie ma blokady która występuje w stabilnej wersji Chrome: dopuszczalne tylko rozszerzenia ze sklepu, automatyczne blokowanie rozszerzeń spoza oraz autoreset preferencji przeglądarki w przypadku wykrycia szkodliwych modyfikacji. Dlatego właśnie określone typy adware stosują sztuczkę podczas instalacji konwertując stabilną wersję do dev-m. Niedawno to wykryłam i zgłosiłam, w FRST już jest detekcja wersji development: CHR dev: Chrome dev build detected! Jeśli zainfekowane Chrome jest tego typu, prawdopodobnie odbyła się owa konwersja typu przeglądarki i czyszczenie przeglądarki mija się z celem, należy ją przeinstalować powracając do wersji stabilnej. .

Czy poprzedni krok z naprawą .NET Framework nie pomaga? Nabawiłeś się infekcji w międzyczasie, tzn. adware Term Tutor. Zacznij od deinstalacji tego śmiecia via Panel sterowania, po tym zrób nowy log z FRST (zaznacz też pole Addition). .