picasso

Potwierdzam wykonanie DelFix. Możesz skasować plik C:\DelFix.txt. Oczywiście prefs.js z Pulpitu do śmieci. Temat rozwiązany. Zamykam.

Nowe logi FRST nie były potrzebne (usuwam), gdyż w nich już brak zmian, tylko plik Fixlog. Wszystko wykonane i kończymy: 1. Skasuj ręcznie pobrany GMER. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść wszystkie punkty Przywracania systemu i zrób ręcznie nowy punkt z bieżącej dobrej sytuacji: KLIK. 3. Możesz przywrócić COMODO lub co tam wybierzesz. Jeśli zaś chodzi o to: Do wglądu ten artykuł: KLIK. Podsuń bratu. Dzięki!

Hmmm, nie wiem co się stało, ale wyraźnie szkody większe i brakuje mnóstwa domyślnych skrótów Windows (plus kilku skrótów niedomyślnych programów, ale to bez znaczenia). Przesyłam domyślne elementy z systemu Windows 7. Wszystko z tej paczki wstaw sobie do ścieżki: C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programy Pozostałe czynności końcowe już podałam.

Tak, jest w systemie aktywne adware, niejaki "Term Tutor". Przeprowadź następujące operacje: 1. Przez Panel sterowania odinstaluj adware Term Tutor. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] HKLM-x32\...\Run: [fst_de_6] => [X] HKU\S-1-5-21-857324733-421609195-1616938436-1000\...\Run: [DT Emphelungstool] => "C:\Users\tad\AppData\Local\Deutsche Telekom\Empfehlungstool\DTEmpfehlungstool.exe" 2 HKU\S-1-5-21-857324733-421609195-1616938436-1000\...\Run: [browser Extensions] => "C:\Users\tad\AppData\Roaming\Browser Extensions\CouponsHelper.exe" HKU\S-1-5-21-857324733-421609195-1616938436-1000\...\RunOnce: [Application Restart #0] => C:\Users\tad\AppData\Local\Pokki\Engine\pokki.exe --disable-internal-flash --noerrdialogs --no-message-box --disable-extensions --disable-web-security --disable-web-resources --disable-client-side-ph (the data entry has 536 more characters). ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => No File BootExecute: autocheck autochk * aswBoot.exe /M:c9928bd19 /wow /dir:"C:\Program Files\AVAST Software\Avast" HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/pl-pl/?pc=UP97&ocid=UP97DHP HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.msn.com/?pc=AV01 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM-x32 - {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKCU - 8AEC04ACA3824DEE976FC1DCC4A23F9A URL = http://dts.search-results.com/sr?src=ieb&gct=ds&appid=394&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=0541516913024078&q={searchTerms} SearchScopes: HKCU - {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKCU - {F07D5355-9070-41C4-8836-0BD632C940B4} URL = http://speedial.com/results.php?f=4&q={searchTerms}&a=spd_ir_14_19_ff&cd=2XzuyEtN2Y1L1QzutBtBtBtAyE0D0AtA0D0DyBtBtBtA0AyCtN0D0Tzu0SzzyDzytN1L2XzutBtFtBtDtFzytFtCtN1L1CzutCyEtDtAtDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyB0ByDyEtD0Ezy0BtGtB0AtCzytGyE0AtC0BtG0DyCtAyEtGtDyE0AtDzyyBtBzy0D0C0Czz2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyB0A0EtAzyyDtC0CtG0AtDyBzytG0DyB0FyDtGzzzy0FyBtGtByB0DtC0CzztC0AtCyCtA0D2Q&cr=717292320&ir= FF HKLM-x32\...\Firefox\Extensions: [termtutor@termtutor.com] - C:\Program Files (x86)\Mozilla Firefox\extensions\termtutor@termtutor.com CHR HomePage: Default -> hxxp://de.search.yahoo.com/?type=937811&fr=spigot-yhp-ch CHR StartupUrls: Default -> "hxxp://de.search.yahoo.com/?type=937811&fr=spigot-yhp-ch", "hxxp://www.msn.com/?pc=AV01" CHR Extension: (Bing) - C:\Users\tad\AppData\Local\Google\Chrome\User Data\Default\Extensions\fcfenmboojpjinhpgggodefccipikbpd [2014-10-22] CHR HKCU\SOFTWARE\Policies\Google: Policy restriction CustomCLSID: HKU\S-1-5-21-857324733-421609195-1616938436-1000_Classes\CLSID\{A75BE48D-BF58-4A8B-B96C-F9A09DFB9844}\InprocServer32 -> %LOCALAPPDATA%\Pokki\ocdeskband_0.dll No File Task: {26BDA604-7D75-469E-8B6C-19420BBA6C5B} - System32\Tasks\{D1214508-7F77-4F52-8DD4-FBC620886435} => Firefox.exe http://ui.skype.com/ui/0/6.5.0.158/pl/abandoninstall?page=tsProgressBar Task: {2C9FB589-871A-4321-9723-2D616F1100D2} - \923e656c-7931-4c44-9b19-6d3c00ebfbd9-3 No Task File Task: {6684E26F-2B34-4350-A34A-6B2E1977F333} - \923e656c-7931-4c44-9b19-6d3c00ebfbd9-5 No Task File Task: {753E7B92-960F-4FE9-82DE-569F469733EE} - \14ecb001-f416-4a5e-b100-cc6e315349af-3 No Task File Task: {93EDAA36-0293-4848-8554-BA3951F1F773} - System32\Tasks\{FE028F2A-ACC2-43B6-8243-869ABE596ED4} => Firefox.exe http://ui.skype.com/ui/0/6.21.80.104/pl/abandoninstall?page=tsMain Task: {B246DCC5-F005-4E1A-8F69-74508A4140B0} - \14ecb001-f416-4a5e-b100-cc6e315349af-5 No Task File C:\Program Files\TermTutor C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\TermTutor C:\Users\tad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dragons of Atlantis.lnk C:\Users\tad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk C:\Users\tad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pirate Storm.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YTD Video Downloader C:\ProgramData\TEMP C:\Users\Public\AlexaNSISPlugin.4516.dll C:\Users\Public\Desktop\YTD Video Downloader.lnk C:\Users\tad\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\tad\AppData\Roaming\GoldenGate C:\Users\tad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\tad\Desktop\Continue Download Manager 2 Installation.lnk C:\Users\tad\Downloads\Adblock Plus 1.1*.exe C:\Users\tad\Downloads\AdwCleaner*.exe C:\Users\tad\Downloads\IDM2*.exe C:\Windows\System32\drivers\ttnfd.sys Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{1a413f37-ed88-4fec-9666-5c48dc4b7bb7} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Image Editor Packages" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\tad\AppData\Local CMD: dir /a C:\Users\tad\AppData\LocalLow CMD: dir /a C:\Users\tad\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Specjalny skrót Internet Explorer jest uszkodzony: Shortcut: C:\Users\tad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\tad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Wyczyść przeglądarki, procesy nie naruszą zakładek i haseł: - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. - Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). .

Finalizujemy sprawy: 1. Skasuj z Pulpitu foldery Aanaliza + Stare dane programu Firefox. Następnie zastosuj DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. I zaktualizuj wersję Java 7 Update 55.

Temat przenoszę, na razie do działu Windows, być może i do Sieci potem przejdzie. Brak oznak infekcji. Do usunięcia tylko puste / szczątkowe wpisy, ale to nie ma żadnego znaczenia pod kątem problemów. W spoilerze te drobnostki. O jakich błędach mowa? Jeśli chodzi o spowolnienie, to wstępnie do wdrożenia klasyczne procedury: 1. Deinstalacja zbędnego oprogramowania zintegrowanego z ACER, co utnie kilka procesów. Jeśli z czegoś korzystasz = omiń. ==================== Installed Programs ====================== Acer Registration (Version: 1.04.3506 - Acer Incorporated) Acer ScreenSaver (Version: 20.11.1107.0952 - Acer Incorporated) Acer Updater (Version: 1.02.3501 - Acer Incorporated) Acer VCM (Version: 4.05.3501 - Acer Incorporated) ----> http://acer-au.custhelp.com/app/answers/detail/a_id/3178/~/what-is-the-acer-vcm-software-and-what-does-it-do%3F eBay Worldwide (Version: 2.2.0409 - OEM) MyWinLocker Suite (Version: 4.0.14.19 - Egis Technology Inc.) ----> http://us.acer.com/ac/en/US/content/mywinlocker Norton Online Backup (Version: 2.1.17869 - Symantec Corporation) Welcome Center (Version: 1.02.3507 - Acer Incorporated) Windows Live Essentials (Version: 15.4.3538.0513 - Microsoft Corporation) 2. Test z czystym rozruchem: KLIK. 3. Przy braku rezultatów testowa deinstalacja Avast, by się upewnić, iż nie tworzy problemów. .

jaroasta, do uzupełniania posta, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, a nie post pod postem. Napisałeś kilka w serii. Wszystkie skleiłam. Jak już zostało powiedziane dwukrotnie wcześniej, wszystko jest w porządku, to nie są wirusy tylko głównie obiekty systemowe. Precyzując dokładniej: Pliki desktop.ini już omówiłam. Pliki thumbs.db to pliki buforowania miniatur. Można je usuwać, ale i tak mogą się odtworzyć. Folder $Recycle.Bin to folder Kosza, prawdziwy. To co jest na Pulpicie to tylko wirtualny skrót. Każdy dysk ma swój własny folder Kosza. Folder Boot (krytyczny) jest niezbędny, by system w ogóle się uruchamiał. Folder ProgramData jest związany z konfiguracją programów Microsoftu oraz innych instalowanych w systemie. Folder System Volume Information (krytyczny) jest związany z systemowym cieniowaniem woluminu i m.in. Przywracaniem systemu. Folder jest powielony na każdym dostępnym dysku. Folder UserGuidePDF nie jest składnikiem systemu, dodał go jakiś program. Z wyjątkiem plików thumbs.db i UserGuidePDF, nie wolno naruszyć tych komponentów, to oznaczałoby uszkodzenie systemu. Czasem robi się usuwanie Kosza metodą bezpośredniego usuwania folderu $Recycle.Bin (system i tak go zregeneruje od nowa), ale to służy przypadkom uszkodzenia Kosza. W normalnych okolicznościach z Koszem działa się via Pulpit. Rozumiem, iż w Opcjach folderów zaznaczyłeś Ukryj chronione pliki systemu operacyjnego. To jest domyślna konfiguracja, tych obiektów nie powinno być widać, by właśnie nikt nie uszkodził czegoś. Zostaw tę opcję w takim stanie i nic już nie grzeb. .

Uszkodzenia rejestru to pochodna innych mechanizmów niż infekcje, choć czasami mogą one sprzyjać temu. Temat przenoszę i to do działu Hardware, ponieważ w Dzienniku zdarzeń są powiadomienia na temat bad sectorów jednego z dysków (co jak najbardziej wyjaśniałoby pierwotne zamulenie oraz wywalenie rejestru): System errors: ============= Error: (10/20/2014 07:42:58 PM) (Source: disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk1\DR1 wystąpił zły blok. Jest tu więcej niż jeden dysk twardy, więc precyzyjna identyfikacja czym jest \Device\Harddisk1\DR1 na podstawie tego tematu: KLIK. ==================== MBR & Partition Table ================== Disk: 0 (Size: 111.8 GB) (Disk ID: CA10CA10) Partition 1: (Not Active) - (Size=111.8 GB) - (Type=07 NTFS) ======================================================== Disk: 1 (MBR Code: Windows 7 or Vista) (Size: 233.8 GB) (Disk ID: B9E6B9E6) Partition 1: (Active) - (Size=119.3 GB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=114.5 GB) - (Type=07 NTFS) ======================================================== Disk: 2 (MBR Code: Windows 7 or Vista) (Size: 465.8 GB) (Disk ID: 5673630D) Partition 1: (Not Active) - (Size=465.8 GB) - (Type=07 NTFS) ======================================================== Disk: 3 (MBR Code: Windows 7 or Vista) (Size: 465.8 GB) (Disk ID: 5673630C) Partition 1: (Not Active) - (Size=465.8 GB) - (Type=07 NTFS) I dostarcz materiały sprzętowe: KLIK.

Przeglądnij ten materiał: KLIK. Fix do FRST uruchamiałeś dwa razy, nie należy tego robić, bo skrypt jest jednorazowego użytku i nie przetworzy ponownie już usuniętych wpisów (co tu zaistniało). Czy był jakiś błąd w FRST? Poza tym zawirowaniem wszystko wykonane pomyślnie. Kończymy: 1. Skasuj pobrany GMER oraz z Pulpitu folder Stare dane programu Firefox. Następnie zastosuj DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK.

Skoro wszystko już dobrze, to o ile nie wykonałaś już samodzielnie kroków końcowych, do wdrożenia zastosowanie DelFix, czyszczenie folderów Przywracania systemu i porównanie co obecnie wymaga aktualizacji: KLIK. Temat rozwiązany. Zamykam.

Brakuje pliku fixlog.txt powstałego podczas uruchamiania skryptu. Dostarcz. Nie powtarzaj przypadkiem tego skryptu, masz podać log już utworzony na dysku.

Dzięki za plik prefs.js, pobrałam więc link usuwam. Zadane operacje pomyślnie wykonane. Zostały już tylko czynności końcowe, ale przed tym należy wyjaśnić: Czy klawisz przyciskasz dostatecznie szybko (już na ekranie BIOS-podobnym) i sekwencyjnie (nie tylko raz)? Czy na pewno ten komputer nie ma wyasygnowanego innego klawisza funkcyjnego wchodzenia do awaryjnego? .

Temat przenoszę do działu Windows. Brak oznak infekcji. Rozpocznij od deinstalacji zbędnych ASUSowych integracji (tych z których nie korzystasz), w tym starego Nortona (najsilniejszy podejrzany dla wydłużania startu): ==================== Installed Programs ====================== ASUS Data Security Manager (Version: 1.00.0011 - ASUS) ----> asusowy szyfrator danych ASUS FancyStart (Version: 1.0.4 - ASUSTeK Computer Inc.) ----> wymiana grafiki ekranu bootowania ASUS LifeFrame3 (Version: 3.0.19 - ASUS) ----> zrzuter ekranu / edytor powiązany z kamerą ASUS Live Update (Version: 2.5.7 - ASUS) ----> autoaktualizacja sterowników/BIOS ASUS MultiFrame (Version: 1.0.0018 - ) ----> system dzielenia okien ASUS Power4Gear Hybrid (Version: 1.1.13 - ASUS) ----> tweaker zasilania ASUS SmartLogon (Version: 1.0.0006 - ASUS) ----> logowanie do komputera za pomocą rozpoznawania twarzy ASUS Splendid Video Enhancement Technology (Version: 1.02.0025 - ASUS) ----> asusowe "poprawianie" jakości obrazu ASUS Virtual Camera (Version: 1.0.14 - asus) ----> dostęp więcej niż jednej aplikacji równolegle do kamery Asus_Camera_ScreenSaver (Version: 2.0.0008 - ASUS)) Norton Internet Security (Version: 16.8.3.6 - Symantec Corporation) Po deinstalacjach zdaj relację czy jest jakaś poprawa. .

Temat przenoszę do działu Windows. Brak oznak czynnej infekcji. Wprawdzie są rozmaite szczątki adware, ale to nieaktywne odpadki i nie mogą być przyczyną problemu. W spoilerze doczyszczanie tych śmieci. 1. Jeśli rozpatrzymy sprawę pod kątem software nie podejrzewając jeszcze sprzętu, rzuca się w oczy niestety oprogramowanie zabezpieczające, czyli Kaspersky Anti-Virus 2013. Oprogramowanie rozgałęzione i ingerencyjne, na forum niejednokrotnie występowało w takich kontekstach (podobnie zresztą jak inne antywirusy). Wstępnie wyłącz wszystkie osłony i sprawdź czy jest notowana poprawa, choć test nie jest do końca wiarygodny. Pewniejsza jest testowa deinstalacja odcinająca wszystkie czynności. 2. Druga sprawa to brak jakichkolwiek aktualizacji, łysy Windows 7 bez SP1 + IE11 i reszty łat: Platform: Windows 7 Ultimate (X64) OS Language: Angielski (Stany Zjednoczone) Internet Explorer Version 8 Toteż kolejny krok to wykonanie pełnej aktualizacji systemu. Może być ona nie bez znaczenia. .

No cóż, stawiany nowy system, niestety podczas owej "instalacji kilku podstawowych aplikacji" wdarło się adware. Było jakieś czyszczenie wdrażane, bo adware w szczątkach, choć jest nadal uruchomiona usługa protekcyjna IePluginServices. Aczkolwiek ja wątpię, by to była podstawowa przyczyna zamulenia, zwracają tu uwagę rzeczy ciężeszgo kalibru: mocarna instalacja Avast Internet Security oraz ślady obniżenia transferu dysku. Wstępnie przeprowadź następujące działania: 1. W Dzienniku zdarzeń są błędy charakterystyczne dla obniżenia transferu dysku: System errors: ============= Error: (10/22/2014 08:55:06 PM) (Source: 0) (EventID: 9) (User: ) Description: \Device\Ide\IdePort2 Zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Przez Dodaj/Usuń programy odinstaluj adware AdvanceElite. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 IePluginServices; D:\Documents and Settings\All Users\Dane aplikacji\IePluginServices\PluginService.exe [705416 2014-09-24] (Cherished Technololgy LIMITED) CHR HomePage: Default -> hxxp://www.sweet-page.com/?type=hp&ts=1413914318&from=cor&uid=HitachiXHTS541612J9SA00_SB2D41E4D1LXYED1LXYEX HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1413914318&from=cor&uid=HitachiXHTS541612J9SA00_SB2D41E4D1LXYED1LXYEX&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1413914318&from=cor&uid=HitachiXHTS541612J9SA00_SB2D41E4D1LXYED1LXYEX&q={searchTerms} ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File D:\Documents and Settings\All Users\Dane aplikacji\IePluginServices D:\Documents and Settings\All Users\Dane aplikacji\Norton D:\Documents and Settings\All Users\Dane aplikacji\NortonInstaller D:\Documents and Settings\aneta\Dane aplikacji\sweet-page D:\Program Files\AdvanceElite D:\Program Files\GUT8B.tmp D:\Program Files\GUM8A.tmp D:\Program Files\SupTab D:\WINDOWS\SET*.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się na czym stoimy. .

Proszę przeczytaj zasady działu, przecież dostarczony niekompletny zestaw obowiązkowych logów. Brak obowiązkowych raportów z FRST i GMER, OTL też niecały (brak pliku Extras). Uzupełnij. Na temat używania ComboFix KLIK. I skoro już go uruchamiałeś, to przedstaw plik C:\ComboFix.txt utworzony wtedy przez narzędzie. Nie uruchamiaj ComboFix ponownie, chodzi o wcześniejszy log.

Zablokowany menedżer zadań i regedit oraz uszkodzony Tryb awaryjny to również sprawka Sality. Niestety wirus Sality jest okropną infekcją, atakuje wszystkie pliki wykonywalne (systemowe / zainstalowane programy / pobrane instalki) na wszystkich dostępnych dyskach. Zwykle infekcja kończy się formatem dysku. Czyszczenie spod zainfekowanego systemu jest mało skuteczne, a nawet jeśli uda się, skutkiem ubocznym mogą być uszkodzenia plików nienaprawialne inaczej niż poprzez reinstalację czegoś, o trudnym do wykrycia zakresie. I tak sugerowany format. Na dokładkę tu system zainfekowany dodatkowymi rzeczami: keylogger do Tibia (z co dopiero doinstalowanych trefnych dodatków do Tibia) i adware. Całość "chroniona" przestarzałym ESET prującym na silniku z 2009. Ponadto, log sugeruje, że system był co dopiero reinstalowany. Czy tak? I ja w takiej sytuacji sugeruję po prostu ponowny format, ale z tego dysku nie wolno skopiować żadnych plików wykonywalnych (instalek programów czy sterowników), po formacie wystarczy jeden zainfekowany plik i wszystko rozpocznie się od nowa. Jeśli jednak zdecydujesz się na czyszczenie, to podam oczywiście stosowne kroki, ale trzeba brać pod uwagę zasadność roboty. Tu szybciej pójdzie ponowny format, a wyniki końcowe będą znacznie lepsze. .

Temat przenoszę do działu Windows. Brak oznak czynnej infekcji. Są wprawdzie szczątki adware, ale to nie powinno mieć wpływu, poza tym wszystko wygląda "staro" (brak oznak, by to były świeże ślady). W spoilerze doczyszczanie. Moim zdaniem problemem jest tu jednak zbyt mało miejsca na dysku i to na obu partycjach, to jedna z typowych przyczyn spowolnienia: ==================== Drives ================================ Drive c: () (Fixed) (Total:39.97 GB) (Free:1.02 GB) NTFS ==>[Drive with boot components (obtained from BCD)] Drive d: () (Fixed) (Total:182.91 GB) (Free:0.58 GB) NTFS ==================== MBR & Partition Table ================== Disk: 0 (MBR Code: Windows 7 or 8) (Size: 232.9 GB) (Disk ID: 97BA8013) Partition 1: (Not Active) - (Size=10 GB) - (Type=27) Partition 2: (Active) - (Size=40 GB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=182.9 GB) - (Type=07 NTFS) I jeszcze nie wiadomo w jakim stanie fragmentacji te skraweczki są, a im większy rozrzut danych, tym mozolniej system odczytuje je. Tak niski próg wolnego jest niezdrowy i produkuje rozmaite trudności, nie ma zapasu na instalacje / operacje cieniowania i inne procesy. Na dodatek to może być przyczyna masowych błędów aktualizacji odnotowanych w Dzienniku zdarzeń, które niestety również wymagają określonego progu wolnego miejsca. Po wykonaniu skryptu ze spoilera, który adresuje czyszczenie lokalizacji tymczasowych, nieco statystyki się polepszą (tylko dla C), ale to będzie niestety chwilowe i problem wróci ponownie. Partycja asygnowana dla systemu 64-bit (który z natury konsumuje więcej niż 32-bit) zdaje się być po prostu za mała. By uniknąć problemów w przyszłości, sugerowane jest powiększenie partycji C. Tylko i to jest tu problemem, bo mimo że wg wyciągu jest tylko jeden dysk twardy podzielony na trzy partycje (ukryta Recovery + C z Windows + jakaś trzecia), to D również ma fatalne statystyki, jeszcze mniej wolnego na C. Proponuję rozpocząć od analizy SpaceSniffer (z prawokliku "Uruchom jako Administrator", by obliczył zablokowane obszary). Przestudiuj wyniki z partycji C i D co i skąd można wyrzucić. .

Log z FRST zrobiony niezgodnie z instrukcją, sekcje Drivers MD5 + List BCD nie miały być zaznaczona. I wymagane czyszczące akcje poprawkowe: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-1280555722-776893358-3389123905-1000\Software\Classes\.exe: => FF HKLM-x32\...\Firefox\Extensions: [{C7AE725D-FA5C-4027-BB4C-787EF9F8248A}] - C:\Program Files (x86)\RelevantKnowledge\firefox S1 MpKsl41d8fba6; C:\Windows\system32\MpEngineStore\MpKsl41d8fba6.sys [45352 2014-10-20] (Microsoft Corporation) S3 ALSysIO; \??\C:\Users\Przemek\AppData\Local\Temp\ALSysIO64.sys [X] C:\Users\Przemek\AppData\Roaming\Mozilla C:\Windows\system32\rlls64.dll C:\Windows\system32\MpEngineStore\MpKsl41d8fba6.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go oraz logi z folderu C:\AdwCleaner. 2. W systemie są dwa konta: ========================= Accounts: ========================== Przemek (S-1-5-21-1280555722-776893358-3389123905-1000 - Administrator - Enabled) => C:\Users\Przemek Rodzina (S-1-5-21-1280555722-776893358-3389123905-1004 - Limited - Enabled) => C:\Users\Rodzina Dostarczone zostały logi z administracyjnego konta Przemek, wymagane osobne logi również z konta limitowanego Rodzina. Nie używaj opcji "Przełącz użytkownika" lub "Wyloguj", lecz zresetuj system i zaloguj się na to limitowane konto. Uruchom FRST przez dwuklik (nie używaj opcji "Uruchom jako Administrator") i zrób nowe logi FRST (główny FRST.txt + Addition.txt, Shortcut za to zbędny) .

Nie wiem jakim cudem nie zauważyłam raportu AdwCleaner w pierwszym poście.... Mogłabym przysiąc, że go tam nie było. Wszystko wykonane. Drobne poprawki końcowe. Otwórz Notatnik i wklej w nim: CloseProcesses: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\Avg_Update_0914av RemoveDirectory: C:\ProgramData\MFAData RemoveDirectory: C:\Users\Tosia\AppData\Local\Avg2014 RemoveDirectory: C:\Users\Tosia\AppData\Local\Avg2015 RemoveDirectory: C:\Users\Tosia\AppData\Local\MFAData RemoveDirectory: C:\Users\Tosia\AppData\Roaming\TuneUp Software DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Dostarcz wynikowy fixlog.txt. PS. Jeśli chodzi o Operę 12.17, to zaznaczę, że za jakiś czas może być ona mniej użytkowa na określonych stronach internetowych. Nie patrząc daleko: wszystkie fora IPB, które zaktualizują do zbliżającego się IPB 4 (na razie wersja rozwojowa). IPB 4 ma zintegrowany CKEditor 4, który usunął kompatybilność z tą starą Operą.

Kuba, ostatni post usuwam. Proszę o cierpliwość w zasadach działu, gdyż nie zawsze tu mogę być. Mam sporo osobistych kłopotów i nie mogę grasować 24/7. Poprzednie zadania pomyślnie wykonane. Czynności końcowe: 1. Ten brakujący skrót Internet Explorer odtwórz ręcznie: W pasku adresów eksploratora wklej ścieżkę C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na tło folderu > Nowy > Skrót > jako cel wskaż ścieżkę C:\Program Files\Internet Explorer\iexplore.exe, a jako nazwę Internet Explorer (No Add-ons). Gdy utworzysz ten skrót (powinien w folderze pokazać się pod polską nazwą), prawoklik nań > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 2. Skasuj ręcznie folder C:\Users\Łukasz\Desktop\FRST i pobrany GMER. Popraw za pomocą DelFix. 3. Napraw błąd WMI numer 10 narzędziem Fix-it: KLIK. 4. Wyczyść foldery Przywracania systemu: KLIK. .

W pierwszym zestawie raportów były widoczne odpadkowe obiekty adware. W nowych raportach nic już nie widać, bo w międzaczasie użyłeś AdwCleaner. Do przeprowadzenia jednak akcje kosmetyczne: 1. Odinstaluj stare dziurawe wersje i zbędniki: Adobe Flash Player 13 ActiveX, Adobe Flash Player 13 Plugin, Adobe Reader 9.5.3 - Polish, Java 7 Update 55, Java™ 6 Update 24, Java™ 6 Update 37, McAfee Security Scan Plus, ParetoLogic Data Recovery. A firma Paretologic nie jest zbyt godna zaufania. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: ProxyServer: 201.76.113.14:8080 HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1407352865&from=cor&uid=HitachiXHTS725050A9A364_100508PCK400VLHR107JX" FF NetworkProxy: "type", 0 FF HKLM-x32\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF Extension: HP Smart Web Printing - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2010-10-29] FF HKCU\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab ShellExecuteHooks-x32: - UPB:{B5A7F190-DDA6-4420-B3BA-52453494E6CD} - No File [ ] Task: {AA9B67B3-1491-4A76-ACD9-F7D55380CB51} - System32\Tasks\ParetoLogic Update Version2 => C:\Program Files (x86)\Common Files\ParetoLogic\UUS2\Pareto_Update.exe Task: {DE26AFDC-462E-4EB8-861A-7077D5A53E57} - System32\Tasks\ParetoLogic Registration => Rundll32.exe "C:\Program Files (x86)\Common Files\ParetoLogic\UUS2\UUS.dll" RunUns U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Home^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^uyqfmuncfpwcgmsmglj.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\My Faster PC" /f C:\Program Files (x86)\mozilla firefox\plugins C:\Users\Home\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Home\AppData\Roaming\settings.ini C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\pss\uyqfmuncfpwcgmsmglj.lnk.Startup EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Operacja pomyślnie wykonana. Jeszcze drobne poprawki, już z poziomu trybu normalnego: 1. W Google Chrome jest podejrzane rozszerzenie Youtube Downloader o unikatowym identyfikatorze (Twój temat jest jedynym na Google pokazującym takie ID). Odinstaluj to w opcjach Google. CHR Extension: ( Youtube Downloader) - C:\Users\DOMOWY\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgmhglgmgjgainopbegbdenjppcmjcpj [2014-06-16] 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-339540346-3109504209-938711790-1001\...\Policies\Explorer: [HideSCAPower] 0 CMD: netsh advfirewall reset RemoveDirectory: C:\Users\DOMOWY\Desktop\FRST-OlderVersion DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Dzięki za prefs.js - pobrałam, link usuwam więc. Wszystko pomyślnie wykonane. Poprawki. Wymagane aż dwa skrypty do FRST, gdyż wypięcie Dr. Web z Dziennika zdarzeń wymaga tymczasowego wyłączenia usługi Dziennik zdarzeń: 1. Otwórz Notatnik i wklej w nim: BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File FF Plugin: @java.com/DTPlugin,version=1.6.0_37 -> C:\WINDOWS\system32\npdeployJava1.dll (Sun Microsystems, Inc.) S3 EpmShd; \??\C:\WINDOWS\system32\Drivers\epm-shd.sys [X] RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Doctor Web RemoveDirectory: C:\Documents and Settings\Urszula\Doctor Web RemoveDirectory: C:\Documents and Settings\Urszula\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\Documents and Settings\Urszula\Ustawienia lokalne\Dane aplikacji\cache RemoveDirectory: C:\Documents and Settings\Urszula\Ustawienia lokalne\Dane aplikacji\ESET RemoveDirectory: C:\Documents and Settings\Urszula\Ustawienia lokalne\Dane aplikacji\Opera RemoveDirectory: C:\Documents and Settings\Urszula\Ustawienia lokalne\Dane aplikacji\vdownloader RemoveDirectory: C:\Documents and Settings\Urszula\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files RemoveDirectory: C:\Program Files\ESET RemoveDirectory: C:\Program Files\Opera CMD: sc config Eventlog start= disabled Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Zachowaj wynikowy fixlog.txt. 2. Otwórz Notatnik i wklej w nim: C:\WINDOWS\system32\config\Doctor Web.evt C:\WINDOWS\system32\config\Doctor W.evt RemoveDirectory: C:\FRST\Quarantine CMD: sc config Eventlog start= auto Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Powstanie kolejny fixlog.txt. 3. Przedstaw oba pliki fixlog.txt. .

Wszystko wykonane. Jeszcze drobna poprawka. Otwórz Notatnik i wklej w nim: S2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe -service [X] DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Potencjalną przyczyną może być McAfee - jest to rozbudowane oprogramowanie inicjujące się przy udziale wielu usług / sterowników. .