picasso

Wszystko wykonane. Finalizujemy temat: 1. Zastosuj DelFix. GMER ręcznie usuń z dysku. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj te programy: ==================== Installed Programs ====================== Adobe Reader XI (11.0.05) - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.05 - Adobe Systems Incorporated) Java 7 Update 45 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86417045FF}) (Version: 7.0.450 - Oracle) Java 7 Update 45 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217045FF}) (Version: 7.0.450 - Oracle) .

Na przyszłość: treść ma być kopiowana bezpośrednio między przeglądarką a Notatnikiem, proszę nie kopiuj via Outlook oraz inne zewnętrzne programy. Znów błędy, ale tym razem się upiekło, FRST zdołał przetworzyć wszystko mimo przełamania linii. Kolejne zadanie do wykonania: Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Przedstaw ten log. .

Temat przeoszę do działu Windows. Brak oznak infekcji. A cały opis problemu zasaniczego mało dokładny i z logów nic konkretnego nie wynika. Na szybko sugestie: 1. Wspominasz o pingu. Jedna z ostatnich instalacji to NetLimiter 4 instalująca sterownik ingerujący w sieć. Tak więc czy problem był już przed jego instalają czy dopiero po? R2 nldrv; C:\Program Files\Locktime Software\NetLimiter 4\nldrv.sys [111024 2014-09-15] (Locktime Software) 2. W Dzienniku zdarzeń są nasępujące błędy: System errors: ============= Error: (10/13/2014 08:06:38 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (10/13/2014 08:06:38 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (10/13/2014 08:06:38 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (10/13/2014 08:06:38 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (10/13/2014 08:06:38 PM) (Source: PNRPSvc) (EventID: 102) (User: ) Description: 0x80630801 Error: (10/13/2014 08:06:38 PM) (Source: PNRPSvc) (EventID: 102) (User: ) Description: 0x80630801 Cytuję siebie z innego tematu jaką procedurę należy wdrożyć: .

Braveza, powiedz mi jak Ty te pliki robisz i za pomocą jakiej przeglądarki przeklejasz z posta do Notatnika? Znowu błędy i przełamania linii lub ich sklejenie. Przykładowo w moim pliku były dwie osobne linie: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKCU\SOFTWARE\Policies\Google: Policy restriction A u Ciebie po wklejeniu sieczka, przerobione dwie linie na jedną: GroupPolicy: Group Policy on Chrome detected restriction I znów się nie wszystko wykonało. Wymagana jeszcze jedna poprawka. Otwórz Notatnik i wklej w nim: GroupPolicy: Group Policy on Chrome detected CHR HKCU\SOFTWARE\Policies\Google: Policy restriction RemoveDirectory: C:\Users\User\AppData\Local\Google\Chrome RemoveDirectory: C:\FRST\Quarantine Są tu 4 linie i przejścia donowej linii mają być identyczne w Notatniku Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Skrypt pomyślnie przetworzony, możesz przejść dalej.

Braveza, plik Fixlist został źle zrobiony w Notatniku, zniekształcone przejścia do nowej linii, wszystko pomieszane. Tym sposobem FRST w ogóle nie przetworzył połowy rzeczy planowanych do usunięcia. Zawartość przeklejona do Notatnika ma wyglądać identycznie jak w moim poście. Powtórka: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {2f1ed632-8cc1-4969-916a-211c6b0412c1}Gw64; C:\Windows\System32\drivers\{2f1ed632-8cc1-4969-916a-211c6b0412c1}Gw64.sys [48792 2014-10-13] (StdLib) GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKCU\SOFTWARE\Policies\Google: Policy restriction HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1408612740&from=cor&uid=3219913727_198313_CAAD1289&q={searchTerms} C:\Program Files\Enigma Software Group C:\Program Files\McAfee Security Scan C:\Program Files (x86)\Desk 365 C:\Program Files (x86)\SmarterPower C:\Program Files (x86)\WinZipper C:\ProgramData\AVAST Software C:\ProgramData\McAfee C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper C:\Users\User\AppData\Local\cache C:\Users\User\AppData\Local\Google\Chrome C:\Users\User\AppData\LocalLow\uTorrentControl_v6 C:\Users\User\AppData\Roaming\Desk 365 C:\Users\User\AppData\Roaming\WinZipper C:\Users\User\Downloads\yet_another_cleaner_sk_6144925.exe C:\Windows\System32\drivers\{2f1ed632-8cc1-4969-916a-211c6b0412c1}Gw64.sys DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Search DeleteKey: HKLM\SOFTWARE\Google\Chrome EmptyTemp: Przejścia do nowej linii mają być identyczne w Notatniku jak w poście Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie kolejny plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Jest tu większa ilość adware, nie tylko SmarterPower. Ponadto, próbując się ratować zostało doinstalowanych więcej śmieci, czyli wątpliwe skanery-naciągacze SpyHunter i YAC. Był stosowany DelFix - w jakim celu, skoro to usuwacz narzędzi czyszczących a nie adware? Przeprowadź następujące akcje: 1. Przez Panel sterowania odinstaluj: McAfee Security Scan Plus, SecretSauce, SpyHunter, WinZipper, YAC(Yet Another Cleaner!), Yahoo! Search. Jeśli czegoś nie będzie się dało odinstalować, lub nie będzie widoczne, nie szkodzi = kontynuuj z resztą zadań. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {5eeb83d0-96ea-4249-942c-beead6847053}w64; C:\Windows\System32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}w64.sys [44696 2014-09-15] (StdLib) R1 {b52a596e-357b-4007-9a88-5592a17b1be9}w64; C:\Windows\System32\drivers\{b52a596e-357b-4007-9a88-5592a17b1be9}w64.sys [48792 2014-10-12] (StdLib) R1 {fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}Gw64; C:\Windows\System32\drivers\{fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}Gw64.sys [48792 2014-10-13] (StdLib) R1 {fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}w64; C:\Windows\System32\drivers\{fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}w64.sys [48792 2014-10-13] (StdLib) R2 Update SmarterPower; C:\Program Files (x86)\SmarterPower\updateSmarterPower.exe [522488 2014-10-13] () R2 Util SmarterPower; C:\Program Files (x86)\SmarterPower\bin\utilSmarterPower.exe [522488 2014-10-13] () U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2013-07-11] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S2 desksvc; C:\Program Files (x86)\Desk 365\deskSvc.exe [X] S2 Update ClearThink; "C:\Program Files (x86)\ClearThink\updateClearThink.exe" [X] S2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [X] Task: {0BAFA5E8-CA98-4FE5-B36A-2B1E459FD723} - \BackgroundContainer Startup Task No Task File Task: {2C5642C5-14A1-44F1-B345-0F5AD03C5770} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe Task: {AF143EB9-D5BA-47F7-A084-AD576B514ABC} - System32\Tasks\Yahoo! Search => C:\Users\User\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.12.4\dsrlte.exe [2014-10-12] (Pay By Ads LTD) Task: {C49A9586-795F-482B-B6A1-16670F179AAE} - System32\Tasks\Yahoo! Search Udpater => C:\Users\User\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.12.4\dsrsetup.exe [2014-10-12] (Pay By Ads LTD) Task: {F7DD07AB-F8ED-4301-9B7C-DD7784A57F4C} - System32\Tasks\Optimizer Pro Schedule => C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe HKU\S-1-5-21-2436698491-710929886-1342722519-1000\...\Run: [Yahoo! Search] => C:\Users\User\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.12.4\dsrlte.exe [438632 2014-10-12] (Pay By Ads LTD) ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKCU\SOFTWARE\Policies\Google: Policy restriction HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1408612740&from=cor&uid=3219913727_198313_CAAD1289&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1408612740&from=cor&uid=3219913727_198313_CAAD1289&q={searchTerms} URLSearchHook: HKLM-x32 - (No Name) - {96f454ea-9d38-474f-b504-56193e00c1a5} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe BHO-x32: No Name -> {96f454ea-9d38-474f-b504-56193e00c1a5} -> No File BHO-x32: SmarterPower -> {bd7c9b62-a7d9-4405-be51-7fd633f08791} -> C:\Program Files (x86)\SmarterPower\SmarterPowerBHO.dll No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKLM-x32 - No Name - {96f454ea-9d38-474f-b504-56193e00c1a5} - No File C:\Program Files (x86)\Desk 365 C:\Program Files (x86)\SmarterPower C:\ProgramData\AVAST Software C:\ProgramData\TEMP C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper C:\Users\User\AppData\Local\Google\Chrome C:\Users\User\AppData\Local\Pay-By-Ads C:\Users\User\AppData\Roaming\service C:\Users\User\Downloads\SpyHunter-Installer.exe C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP C:\Windows\system32\log C:\Windows\System32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}w64.sys C:\Windows\System32\drivers\{b52a596e-357b-4007-9a88-5592a17b1be9}w64.sys C:\Windows\System32\drivers\{fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}Gw64.sys C:\Windows\System32\drivers\{fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}w64.sys DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome Folder: C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s CMD: type "C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\User\AppData\Local CMD: dir /a C:\Users\User\AppData\LocalLow CMD: dir /a C:\Users\User\AppData\Roaming CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Wszystko zrobione, z jednym wyjątkiem. Jest tu jakiś dziwny problem z Winsock. Log FRST pokazuje wpisy, których nie powinno być widać, a reset komendą "netsh winsock reset" nie zmienił tego odczytu. Na wszelki wypadek podaj mi skan kluczy Winsock. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\WinSock2 /s ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\WinSock2 ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\WinSock2\Parameters ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\AppId_Catalog ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5 ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\Protocol_Catalog9 ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries ListPermissions: HKLM\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000160 RemoveDirectory: C:\Users\Łukasz\Desktop\Stare dane programu Firefox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. .

Gładko poszło i finalizujemy sprawy: 1. Usuń folder C:\Users\Admin\Desktop\frst64 oraz popraw na za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. To tyle. Artykuł na co uważać już linkowałam.

llukasz1210, a co z czyszczeniem systemu? Proszę wykonaj je i dostarcz wynikowe logi jak wskazywałam. A po resecie Firefox powinien ustąpić błąd który zgłaszasz. Ten reset jest przewidziany pod kątem innych śmieci w preferencjach które widać w raporcie z FRST.

Ale pliki pochodzą z tej samej paczki? Te które zacytowałam mają i tak dziwne nazwy ze zniekształconą polską czcionką. Fix nie skończył. Nie wykonała się ostatnia komenda czyszczenia lokalizacji tymczasowych. 1. Toteż poprawka. Otwórz Notatnik i wklej w nim: CloseProcesses: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ma nastąpić restart. Pokaż wynikowy fixlog.txt. 2. Był uruchamiany GMER, toteż na wszelki wypadek zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. I opisz co się obecnie dzieje w systemie. .

A tak, jeśli zawieszenie, to owszem efekt się zgadza. Zapomniałam napisać, iż możesz jeszcze do tego Avasta doładować darmową wersję Malwarebytes Anti-Exploit, czyli ochronę przeglądarek oraz Java przed eksploitami / atakami.

Temat przenoszę do działu Windows. Podrzędne (nie związane z problemami) usuwanie adware i śmieci w spoilerze: 2014-10-12 18:22 - 2014-10-12 18:22 - 00855664 _____ (Microsoft Corporation) C:\Windows\system32\msvcr110_clr0400.dll Pozbądź się tego pliku ściągniętego z internetu, nawet nie wiadomo czy wstawiłeś poprawną wersję tzn. 64-bitową. W folderze system32 nie można sobie wstawiać plików 32-bit. Ponadto, takie pobieranie plików z netu i uzupełnianie na systemach Vista i nowszych to zła metoda. Tym sposobem można namieszać, w nowych systemach wersjonowanie komponentów ma duże znaczenie i niezgodności mogą powodować problemy. Jeśli chodzi o błąd z plikiem MSVCR110_CLR0400.dll, to zacznij od reperacji / reinstalacji instalacji Microsoft .NET Framework 4.5.1. 1. Jeśli chodzi o VLC, to sprawdź Preferencje > Obraz > Wyjście > co jest ustawione i czy przestawienie opcji na coś innego zmienia postać rzeczy. 2. Ponadto, posiadasz kartę graficzną na sterownikach Intel i problem jest w różnych odtwarzaczach, więc sprawdź ten post: KLIK. DRV:64bit: - [2013-11-07 02:52:44 | 005,363,200 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\igdkmd64.sys -- (igfx) .

Komputer się nie zrestartował, bo być może przerwałeś operacje FRST nie czekając aż skończy. Z dostarczonego tu Fixlog wynika, że uruchomiłeś go aż dwa razy, bo to już runda numer 3 (powinna być to runda 2). Skrypt nie może być uruchamiany więcej niż raz, nie przetworzy ponownie tego co już usunięte. Pomijając to drobne zawirowanie, akcje pomyślnie ukończone. 1. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Antywirus już wymieniony, ale jeszcze została cała aktualizacja Windows do wykonania z Windows Update (SP3 + IE8 + reszta łat). Rundy z wyszukiwaniem aktualizacji należy powtórzyć tyle razy, aż uzyskasz zwrot o braku dostępnych aktualizacji. .

Wszystko zrobione. Poprawki: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\ProgramData\Babylon RemoveDirectory: C:\ProgramData\BitGuard RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\Users\Admin\AppData\Local\avgchrome RemoveDirectory: C:\Users\Admin\AppData\Local\cache RemoveDirectory: C:\Users\Admin\AppData\Local\genienext RemoveDirectory: C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ombmmloebnfnpehgjnmkcgoegfachobp RemoveDirectory: C:\Users\Admin\AppData\LocalLow\Delta RemoveDirectory: C:\Users\Admin\AppData\Roaming\0F1F1C2Y1H1P1C0I0T RemoveDirectory: C:\Users\Admin\AppData\Roaming\Babylon RemoveDirectory: C:\Users\Admin\AppData\Roaming\Mobogenie RemoveDirectory: C:\Users\Admin\Desktop\Stare dane programu Firefox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. Przedstaw go. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Dostarcz ten log. .

Mówiłam, iż w FRST sekcja "Drivers MD5" nie ma być zaznaczona. ComboFix nie usuwał nic związanego z tą infekcją. Natomiast zadane przeze mnie czynności pomyślnie wykonane. Poprawki. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-2000478354-842925246-725345543-1003\...\Run: [Akamai NetSession Interface] => "C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe" BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File FF Plugin: @java.com/DTPlugin,version=10.9.2 -> C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation) FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird S2 .EsetTrialReset; C:\WINDOWS\system32\regedt32.exe /s C:\WINDOWS\esettrialreset.reg RemoveDirectory: C:\Documents and Settings\User\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Qoobox EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Powstanie kolejny fixlog.txt. Przedstaw go. .

Oczywiście jeszcze dobierz jakieś oprogramowanie zabezpieczające, tu już zostawiam wolną rękę. Dodatkowy artykuł pod kątem tych rodzajów instalacji adware: KLIK. To tyle z mojej strony. Temat rozwiązany. Zamykam.

To stare wersje, więc należy je odinstalować przed instalacją najnowszych. Zresztą ten stary Adobe Reader chyba w ogóle tego wymaga (nie zaktualizuje nakładkowo linii 9.x do 11.x), a Java nie zastępuje starych wersji i się one rozmnażają na liście.

Czy chodzi o ten typ plików widocznych w OTL: [2014-10-12 19:56:13 | 000,605,002 | ---- | C] () -- C:\Documents and Settings\pip\Moje dokumenty\zdjŕcie2559.jpg [2014-10-12 19:56:13 | 000,532,627 | ---- | C] () -- C:\Documents and Settings\pip\Moje dokumenty\zdjŕcie2558.jpg [2014-10-12 19:56:13 | 000,501,367 | ---- | C] () -- C:\Documents and Settings\pip\Moje dokumenty\zdjŕcie2560.jpg [2014-10-12 19:56:13 | 000,484,206 | ---- | C] () -- C:\Documents and Settings\pip\Moje dokumenty\zdjŕcie2557.jpg [2014-10-12 19:56:13 | 000,459,370 | ---- | C] () -- C:\Documents and Settings\pip\Moje dokumenty\zdjŕcie2566.jpg [2014-10-12 19:56:13 | 000,457,061 | ---- | C] () -- C:\Documents and Settings\pip\Moje dokumenty\zdjŕcie2556.jpg [2014-10-12 19:56:13 | 000,418,208 | ---- | C] () -- C:\Documents and Settings\pip\Moje dokumenty\zdjŕcie2555.jpg [2014-10-12 19:56:13 | 000,381,914 | ---- | C] () -- C:\Documents and Settings\pip\Moje dokumenty\zdjŕcie2565.jpg [2014-10-12 19:56:13 | 000,344,884 | ---- | C] () -- C:\Documents and Settings\pip\Moje dokumenty\zdjŕcie2554.jpg Zwraca uwagę zdeformowana nazwa (zamiast polskiej czcionki uszkodzony znak). I ogólnie wątpię, by te pliki JPG to była infekcja. Opis mi się raczej kojarzy z uszkodzeniem plików i niemożnością przetworzenia ich w eksploratorze. W Dzienniku zdarzeń był też odnotowany taki oto błąd powłoki: Application errors: ================== Error: (10/12/2014 05:18:40 PM) (Source: Application Hang) (EventID: 1002) (User: ) Description: Aplikacja zawieszająca explorer.exe, wersja 6.0.2900.5512, moduł zawieszenia hungapp, wersja 0.0.0.0, adres zawieszenia 0x00000000. Nie ma śladów infekcji, ani widocznych oznak związanych z owymi plikami JPG. Do czyszczenia tylko stare małe odpadki i stare programy, nie powiązane z problemem: 1. Przez Dodaj/Usuń programy odinstaluj wtyczki: Adobe Flash Player 11 ActiveX, Adobe Flash Player 11 Plugin, Adobe Shockwave Player 12.0 oraz (o ile nie używasz wcale) starszy Mozilla Firefox 26.0. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1177238915-1364589140-2147126749-1004\...\Run: [MyCuteBuddy] => "C:\Program Files\My Cute Buddy\myCuteBuddy.exe" "file:///C:/Program Files/My Cute Buddy/Content/Cute Kitty/piticho.buddy" /m /u URLSearchHook: HKCU - (No Name) - {D8278076-BC68-4484-9233-6E7F1628B56C} - No File SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKCU - {F229FD27-478C-4721-B1B5-4FE8489C5C02} URL = http://www.search.ask.com/web?p2=^B7N^YYYYYY^YY^PL&gct=sb&itbv=12.5.1.1394&o=APN11293&tpid=CME-V7&apn_uid=F0F1FF53-5F25-4AFC-807E-FC61D70F5774&apn_ptnrs=^B7N&apn_dtid=^YYYYYY^YY^PL&apn_dbr=cr_30.0.1599.66&doi=2013-10-05&trgb=IE&q={searchTerms}&psv=barid%3D293522355910580848898306455903316070835%26cargo%3DCME-V7%26spr%3Da%26did%3D10714%26ppd%3D Toolbar: HKCU - No Name - {434D452D-5637-006A-76A7-7A786E7484D7} - No File Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File S2 ICM_UpdaterService; C:\Program Files\SAMSUNG\Samsung Networking Wizard\ICM_Service.exe [X] C:\Documents and Settings\All Users\Dane aplikacji\Iminent C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\SuperbApp C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\pip\Dane aplikacji\DigitalSite C:\Documents and Settings\pip\Dane aplikacji\Iminent C:\Documents and Settings\pip\Dane aplikacji\Mozilla\Firefox\profiles\extensions C:\Program Files\Mozilla Firefox\plugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Jeśli Firefox nie zostanie odinstalowany, wyczyść go ze śmieci: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Na koniec aktualizacje. Addition pokazywał następujące wersje: ==================== Installed Programs ====================== Adobe Reader 9.1 - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-A91000000001}) (Version: 9.1.0 - Adobe Systems Incorporated) Java 7 Update 21 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217021FF}) (Version: 7.0.210 - Oracle)

Skrypt FRST wykonany, ale zanim przejdziemy do finalizacji: Router nie jest w ogóle zabezpieczony i atak może się powtórzyć. Musisz go zabezpieczyć poprzez zablokowanie panelu zarządzania routerem od strony internetu: KLIK. "Po poprawnej konfiguracji urządzenia i uzyskaniu połączenia do internetu prosimy o sprawdzenie na urządzeniu czy w "Access Management"->"ACL" jest jako "Activated" i w zakładce "Interface" jest tylko LAN." .

Ale nie miałeś powtarzać skryptu w FRST. Skrypt był już wykonany przy pierwszym podejściu, jego powtarzanie nie miało sensu - skrypty są jednorazowe i nie przetworzą ponownie czegoś co już było usuwane. Miałeś tylko dokończyć to co nie zostało zrobione w pierwszej rundzie, czyli reset Firefox. Tym razem wykonany. Wszystko usunięte i możemy kończyć: 1. Otwórz Notatnik i wklej w nim: CMD: del /q C:\Users\Mati\Downloads\*(*)-dp*.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Adobe Flash Player Packages RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Mati\Desktop\Stare dane programu Firefox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt zanim przejdziesz do punktu 2 (plik zostanie skasowany). 2. Następnie usuń używane narzędzia za pomocą DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. .

Tylko logi FRST zostawiam, OTL podany raz wystarczy. Użycie Przywracania systemu odkręciło akcję z posta numer #2. Powtórz ten pierwszy podany skrypt do FRST i przedstaw wynikowy fixlog.txt. Jeśli zaś chodzi o usuwanie sterowników PC Tools zadane w poście numer #6, to nie rozumiem co się stało. Wg szukania w rejestrze nie było filtrów na urządzeniach. Jaki błąd zgłosił nie uruchamiający się system? Proszę spakuj do ZIP plik C:\FRST\Hives\SYSTEM, shostuj gdzieś i podaj do tego link. Obejrzę cały rejestr pod kątem tych sterowników PC Tools. .

Zadanie wykonane. Skasuj z dysku plik C:\DelFix.txt. Temat rozwiązany. Zamykam.

Przypominam, że zestaw obowiązujących raportów jest tu szerszy, również OTL i GMER są obowiązkowe. Problem adware pochodzi z uruchomienia tzw. "downloaderów", na dysku widać conajmniej jeden plik tego typu. Do czytania potem na co uważać: KLIK. C:\Users\Admin\Downloads\ToshibaTouchpadDisable_EnableUtility_downloader-I1IhNEv9m.exe W systemie jest zresztą więcej typów adware, nie tylko ów "RightSurf". Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-10-09] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-10-09] (globalUpdate) [File not signed] R2 Update RightSurf; C:\Program Files (x86)\RightSurf\updateRightSurf.exe [522528 2014-10-12] () R2 Util RightSurf; C:\Program Files (x86)\RightSurf\bin\utilRightSurf.exe [522528 2014-10-12] () ) R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61112 2014-04-18] (StdLib) R1 {b9a19c25-a741-47e5-91a2-0b62bef307ff}w64; C:\Windows\System32\drivers\{b9a19c25-a741-47e5-91a2-0b62bef307ff}w64.sys [61112 2014-04-24] (StdLib) Task: {6D4B5E92-518E-4251-8C4D-DD5C0D2ADAB9} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-10-09] (globalUpdate) Task: {6F88297E-477E-4B15-AF42-DA5EDFEBE233} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-10-09] (globalUpdate) Task: {C7A3732A-C63E-443F-B8CA-6F05C3B2D2BC} - System32\Tasks\YWDGNH => C:\Users\Admin\AppData\Roaming\YWDGNH.exe [2014-10-09] (Object Browser) Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\YWDGNH.job => C:\Users\Admin\AppData\Roaming\YWDGNH.exe HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.dalesearch.com/?babsrc=HP_ss&mntrId=4E4F001B9EEBA14D&affID=119357&tt=021013_dle&tsp=5023 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1412872737&from=smt&uid=TOSHIBAXMK2046GSX_48MMCCD6TXX48MMCCD6T&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1412872737&from=smt&uid=TOSHIBAXMK2046GSX_48MMCCD6TXX48MMCCD6T&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1412872737&from=smt&uid=TOSHIBAXMK2046GSX_48MMCCD6TXX48MMCCD6T&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1412872737&from=smt&uid=TOSHIBAXMK2046GSX_48MMCCD6TXX48MMCCD6T&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1412872737&from=smt&uid=TOSHIBAXMK2046GSX_48MMCCD6TXX48MMCCD6T SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.dalesearch.com/?q={searchTerms}&babsrc=SP_ss&mntrId=4E4F001B9EEBA14D&affID=119357&tt=021013_dle&tsp=5023 SearchScopes: HKCU - {EE36B910-E61C-46E5-8375-0A788BA8502E} URL = http://rts.dsrlte.com/?q={searchTerms}&r=316 GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Mobogenie3 C:\Program Files (x86)\RightSurf C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AppsHat C:\ProgramData\TEMP C:\ProgramData\Thunder Network C:\ProgramData\Xunlei C:\Users\Admin\AppData\Local\CrashRpt C:\Users\Admin\AppData\Local\globalUpdate C:\Users\Admin\AppData\Local\Lollipop C:\Users\Admin\AppData\Local\Mobogenie C:\Users\Admin\AppData\Roaming\*.exe C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Lollipop C:\Users\Admin\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384} C:\Users\Admin\AppData\Roaming\newnext.me C:\Users\Admin\Downloads\*downloader*.exe C:\Users\Admin\Downloads\*patch*.exe C:\Users\Admin\Documents\Mobogenie C:\Users\Public\Documents\GOOBZO C:\Users\Public\Documents\YTAHelper C:\Windows\System32\drivers\{b9a19c25-a741-47e5-91a2-0b62bef307ff}w64.sys C:\Windows\System32\drivers\wStLibG64.sys C:\Windows\SysWOW64\GroupPolicy\GPT.INI RemoveDirectory: C:\Users\Admin\Desktop\Stare dane programu Firefox DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Skype Packages DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Admin\AppData\Local CMD: dir /a C:\Users\Admin\AppData\LocalLow CMD: dir /a C:\Users\Admin\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Specjalny skrót Internet Explorer jest uszkodzony: Shortcut: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj adware Widget context Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .