picasso

Skróty LNK Internet Explorer są zmodyfikowane. Ustawienia Google Chrome są zablokowanie na bazie polityk oprogramowania. Ponadto, uruchamia się szkodliwy klon jIxmRfR ze zintegrowanym adware, symulujący Chrome. Przejął skróty Google Chrome. Działania wstępne: 1. Deinstalacje: - Odinstaluj stare wersje, zbędne programy i adware: Adobe Flash Player 10 ActiveX, Adobe Shockwave Player 12.1, HP Customer Participation Program 13.0, Java 7 Update 55, Java 8 Update 25, qksee (adware), SpyHunter 4 (wątpliwy skaner), WinZip (adware). - Jeśli będzie jakiś problem z deinstalacją SpyHunter, skorzystaj z narzędzia SpyHunterCleaner. Narzędzie to możesz zastosować też w przypadku pomyślnej deinstalacji wstępnej, by ewentualnie doczyściło śmieci. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 jIxmRfR_protect; C:\ProgramData\jIxmRfR\protect\protect.exe [303016 2016-04-21] () [brak podpisu cyfrowego] S2 jIxmRfR_update; C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe [473000 2016-04-21] () [brak podpisu cyfrowego] S2 qkseeService; C:\Program Files (x86)\qksee\qkseeSvc.exe [706200 2016-04-08] () [brak podpisu cyfrowego] S2 yahoochromebase; C:\ProgramData\desktopfind\desktop264.exe [236728 2016-04-26] () [brak podpisu cyfrowego] S2 Update Deal Keeper; "C:\Program Files (x86)\Deal Keeper\updateDealKeeper.exe" [X] S2 Update webget; "C:\Program Files (x86)\webget\updatewebget.exe" [X] S2 Util webget; "C:\Program Files (x86)\webget\bin\utilwebget.exe" [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] Task: {1743F810-1A9C-471B-B74D-CA9966785846} - System32\Tasks\jIxmRfRBrowserUpdateCore => C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe [2016-04-21] () Task: {7A58338A-42A6-4E31-B1BC-FE5D4DFCF8F6} - System32\Tasks\{78EF3320-0F40-4E0E-90D0-D8F74DD11686} => pcalua.exe -a "D:\DIVIX\Battlefield 3\Uninstall.exe" Task: {BF64BA00-7BE6-4A0D-BAB3-9022CC73459F} - System32\Tasks\jIxmRfRBrowserUpdateUA => C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe [2016-04-21] () Task: {C56C7E10-6EB4-49AE-A3B6-0574F75276C7} - System32\Tasks\{1B431ECE-D3AB-4D8F-90E9-77EBB2811F6E} => pcalua.exe -a D:\sterowniki\Intel_RST_MB\iata_cd.exe -d D:\sterowniki\Intel_RST_MB Task: {CD413636-A128-4353-8B17-5E38313A3B34} - System32\Tasks\jIxmRfRCheckTask => C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe [2016-04-21] () Task: {EB31AB58-2C5B-4592-829F-6C4954BDBC8D} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\F5EE5C1372915DBD060FB9D94DD04E0C\Update\BrowserUpdate.exe [2016-04-08] (Tencent) Task: {F30DE50F-6E5C-447C-B745-900EC9A2ADB7} - \WinTaske -> Brak pliku HKLM-x32\...\Run: [] => [X] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR StartupUrls: Profile 4 -> "hxxp://www.nicesearches.com?type=hp&ts=1461584889&from=86490425&uid=wdcxwd5000azrx-00a8lb0_wd-wmc1u360611406114&z=f6f3d7335db344eabb810bbg1z4q2gew4b3zdbbbeb" CHR DefaultSearchURL: Profile 4 -> hxxp://gomovix.searchalgo.com/search/?category=web&s=rvds&q={searchTerms} CHR DefaultSearchKeyword: Profile 4 -> goMovix CHR DefaultSuggestURL: Profile 4 -> hxxp://sug.searchalgo.com/search/index_sg.php?q={searchTerms} CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-07-20] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3796836612-2775900645-2379586109-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131044291765428732&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131044291765428732&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.qone8.com/web/?type=ds&ts=1400942713&from=smt&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U360611406114&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://start.qone8.com/?type=hp&ts=1400942713&from=smt&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U360611406114 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.qone8.com/web/?type=ds&ts=1400942713&from=smt&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U360611406114&q={searchTerms} HKU\S-1-5-21-3796836612-2775900645-2379586109-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=128&systemid=488&v=a12834-364&apn_uid=1192091334964534&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=128&systemid=488&v=a12834-364&apn_uid=1192091334964534&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKU\S-1-5-21-3796836612-2775900645-2379586109-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-3796836612-2775900645-2379586109-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-3796836612-2775900645-2379586109-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.qone8.com/web/?type=ds&ts=1400942713&from=smt&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U360611406114&q={searchTerms} SearchScopes: HKU\S-1-5-21-3796836612-2775900645-2379586109-1000 -> {6C1813C9-A36D-40E9-AE97-7C47002F1EDB} URL = hxxp://q.search-simple.com/?affID=na&q={searchTerms}&r=101 SearchScopes: HKU\S-1-5-21-3796836612-2775900645-2379586109-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=128&systemid=488&v=a12834-364&apn_uid=1192091334964534&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} BHO-x32: Brak nazwy -> {dc264a72-fa75-4948-b881-ea8eff8e5dd2} -> Brak pliku CustomCLSID: HKU\S-1-5-21-3796836612-2775900645-2379586109-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\dom\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku ShortcutWithArgument: C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1400942713&from=smt&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U360611406114 ShortcutWithArgument: C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1400942713&from=smt&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U360611406114 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main C:\Program Files (x86)\jIxmRfR C:\Program Files (x86)\qksee C:\Program Files (x86)\QQBrowser C:\Program Files (x86)\SearchesToYesbnd C:\Program Files (x86)\WinZipper C:\ProgramData\desktopfind C:\ProgramData\ewinpe C:\ProgramData\jIxmRfR C:\ProgramData\Microsoft\Windows\GameExplorer\{5142FAD6-040E-4189-A180-ECBDB74C1643} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\qksee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk C:\Users\dom\AppData\Local\jIxmRfR C:\Users\dom\AppData\Local\Mozilla C:\Users\dom\AppData\Local\Google\Chrome\User Data\Default C:\Users\dom\AppData\Local\Microsoft\Windows\GameExplorer\{CF47B737-300F-442F-A760-E4049F394573} C:\Users\dom\AppData\Local\Microsoft\Windows\GameExplorer\{E488E077-E9C1-4B6B-B323-0D84F7A3E692} C:\Users\dom\AppData\Roaming\eCyber C:\Users\dom\AppData\Roaming\Mozilla C:\Users\dom\AppData\Roaming\qksee C:\Users\dom\AppData\Roaming\TSv C:\Users\dom\AppData\Roaming\WinZiper C:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\48499db33039e897\Google Chrome.lnk C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee.lnk C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Wolfenstein - The New Order.lnk C:\Users\dom\Downloads\sh-remover.exe C:\Users\dom\Downloads\SpyHunter-Installer.exe C:\Users\dom\Pictures\Microsoft Office\*.lnk C:\Users\dom\Pictures\Microsoft Office\Narzędzia pakietu Microsoft Office 2010\*.lnk C:\Users\Public\Desktop\qksee.lnk C:\Users\Public\Documents\jIxmRfR C:\Windows\system32\log C:\Windows\SysWOW64\pl.html CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj adware/PUP: EasyPDFCombine, goMovix (o ile już samodzielnie nie zniknie). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dodatkowo, uruchom FRST ponownie, w polu Szukaj wklej co poniżej, klik w Szukaj w rejestrze i dostarcz wynikowy log. jIxmRfR Dołącz też plik fixlog.txt.

Posługujesz się starą wersją FRST sprzed prawie pół roku. Od tego czasu multum wersji. Pobierz najnowszą z podanego przeze mnie przyklejonego tematu.

Komunikat mówi, że plik XP jest za stary, nie posiada funkcji wymaganej przez Operę. I wygląda na to, że Opera nie działa już na XP. Oficjalne wymagania to Windows 7 i nowsze. Opera 37 jest oparta na silniku Chromium 50 (od Google, ten sam co w Google Chrome). Google oficjalnie w kwietniu odcięło systemy XP i Vista, nie jest już możliwa instalacja na tych systemach, ostatnia działająca na tych systemach wersjach to któryś build 49.x. To właśnie wtedy wydano Google Chrome 50 oparte na Chromium 50, pozbawione obsługi XP i Vista. Wygląda na to, że w Chromium 50 wprowadzili jakieś "niekorzystne" dla XP zmiany i każda przeglądarka używająca tej samej wersji silnika będzie podobnie się zachowywać. EDIT: Sprawdź czy się uruchomi instalator wersji Opera 36.

Myślę, że nie ma sensu reinstalować, skoro naprawy zaszły już tak daleko. Resztę jestem w stanie naprawić, ale to wymaga po prostu więcej czasu (skompletowanie idealnych wersji komponentów do obu typów napraw). Nie jestem w stanie tego zrobić szybko, a teraz już wychodzę z domu i mnie nie będzie być może nawet do jutra, zaś jutro mam ważne spotkanie rodzinne.

Narzędzie wykryło 17 błędów, naprawiło 10 z nich. Brakuje niektórych komponentów naprawczych, by zlikwidować pozostałe odczyty. Ręczna próba naprawy tych rekordów z CheckSur oraz niepowtarzających się rekordów z wcześniejszego skanu SFC to już grubsza robota. Nie wiem kiedy będę mogła się tym zająć.

WMI w końcu naprawione, w Addition nie ma już komunikatu "Sprawdź usługę "winmgmt" lub napraw WMI", a z Dziennika zdarzeń zniknęły wszystkie poprzednie błędy WMI. Wprawdzie WmiDiag teraz zgłasza kilka błędów typu WBEM_E_NOT_FOUND, ale nie wiem czy brać to serio, gdyż wcześniejszy pobór danych poleceniem winmgmt /verifyrepository podawał "Repozytorium jest spójne". W Dzienniku zostały te błędy już innego typu: Dziennik Aplikacja: ================== Error: (05/07/2016 01:04:11 PM) (Source: Winlogon) (EventID: 4103) (User: ) Description: Aktywacja licencji systemu Windows nie powiodła się. Błąd 0x80070005. Error: (05/07/2016 12:52:38 PM) (Source: Windows Search Service) (EventID: 10021) (User: ) Description: Nie można uzyskać informacji rejestru licznika wydajności dla elementu WSearchIdxPi w wystąpieniu z powodu następującego błędu: Operacja ukończona pomyślnie. 0x0. Error: (05/07/2016 12:52:36 PM) (Source: Windows Search Service) (EventID: 3007) (User: ) Description: Nie można zainicjować monitorowania wydajności dla obiektu programu zbierającego, ponieważ liczniki nie są załadowane lub nie można otworzyć obiektu pamięci współużytkowanej. Wpływa to tylko na dostępność liczników monitora wydajności. Uruchom ponownie komputer. Kontekst: aplikacja , wykaz SystemIndex Error: (05/07/2016 12:52:36 PM) (Source: Windows Search Service) (EventID: 3006) (User: ) Description: Nie można zainicjować monitorowania wydajności dla usługi zbierającej, ponieważ liczniki nie są załadowane lub nie można otworzyć obiektu pamięci współużytkowanej. Wpływa to tylko na dostępność liczników monitora wydajności. Uruchom ponownie komputer. Pierwszy to wiadomo = crack aktywacji. Pozostałe próbowałam już naprawić przebudową liczników WSearchIdxPi, ale nie widzę efektów. Ten wątek zostawiam sobie na potem.

1. Uruchom ponownie AdwCleaner, po kolei wybierz opcje Skanuj + Usuń. Po czyszczeniu jeszcze przez SHIFT+DEL (omija Kosz) dokasuj te foldery z dysku: C:\Program Files (x86)\lavasoft C:\ProgramData\lavasoft C:\Users\Mikołaj\AppData\Roaming\lavasoft 2. Ręcznie usuń z folderu Downloads\fixit FRST i jego logi. Następnie Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. Wymień też Java najnowszą werją. To wszystko w zakresie czyszczenia systemu.

Wszystkie widoczne obiekty adware usunięte. Teraz uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Jeśli efekt nadal występuje, to zdecydowanie obstawiam klawiaturę. Wypadałoby sprawdzić jak się zachowuje inna klawiatura podpięta pod ten system.

Pomimo wyrzucenia niedomyślnych danych z klucza Svchost, WmiDiag nadal czepia się tej konfiguracji: .1764 12:24:07 (2) !! WARNING: WMI registry setup: ........................................................................................ INVALID HOSTING SETUP! .1765 12:24:07 (0) ** => The WMI service must be configured to run as a STANDALONE service host or .1766 12:24:07 (0) ** as a SHARED service host but the (SvcHost) configuration contains invalid information. I też mnie dziwią niektóre niepowiązane z WMI błędy w Dzienniku, niektórych nie powinno być po w/w naprawach. Kolejne podejście: 1. Do Notatnika wklej: CMD: rundll32 C:\WINDOWS\system32\wbem\WMIsvc.dll,MoveToShared Zapisz jako fixlist.txt tam gdzie siedzi FRST, w FRST klik w Napraw (Fix). Przedstaw fixlog.txt. 2. Wyczyść Dzienniki zdarzeń. Zresetuj system. Wygeneruj świeże logi: Addition oraz WmiDiag. To jest po to, by ograniczyć ładowanie określonych logów.

Wstępnie przeprowadź przebudowę wartości Config. Otwórz Notatnik i wklej w nim: Reg: reg export HKLM\SYSTEM\CurrentControlSet\Control\Network C:\Users\work\Desktop\backup.reg Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Network /v Config /f Reboot: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart systemu. Przedstaw wynikowy fixlog.txt. Wypowiedz się czy widzisz zmiany.

Ja miałam na myśli, że to zrobi podany skrypt FRST drukujący klucz Network z rejestru. A na analizę danych potrzebuję więcej czasu.

Przedstaw raport z FRST pokazujący jakie wtyczki są ładowane w Firefox oraz jakie ogólnie programy są aktywne w tle. Zresetuj wszystkie zmiany do poziomu domyślnego.

W wynikach nienaprawione rekordy, dwa typy: pliki DLL/MUI oraz manifesty. Pod kątem odczytów relatywnych do manifestów: Uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. Gdy skan ukończy się, przekopiuj plik C:\Windows\Logs\CBS\Checksur.log. Zmień mu ręcznie rozszerzenie z *.log na *.txt i dostarcz w załącznikach.

Jeśli chodzi o "brak implementacji usługi", to widzę że w kluczu svchost (we wszystkich kopiach rejestru) są dodane dziwne definicje, domyślnie brak takich elementów usługi winmgmt: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost] "winmgmt"=hex(7):77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\winmgmt] "CoInitializeSecurityParam"=dword:00000001 "CoInitializeSecurityAppID"="{8BC3F05E-D86B-11D0-A075-00C04FB68820}" "AuthenticationLevel"=dword:00000004 "ImpersonationLevel"=dword:00000002 "AuthenticationCapabilities"=dword:00003020 To odpowiada też temu zgłoszeniu z WmiDiag: .1095 12:35:48 (4) Reading registry (REG_MULTI_SZ) 'HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\winmgmt'. .1096 12:35:48 (2) !! WARNING: 'Windows Management Instrumentation' (WINMGMT) is running as a STANDALONE HOST SERVICE. Natomiast inne rzeczy z WmiDiag wyglądają na nieistotne. Do zignorowania wszystkie błędy WMI service DCOM setup i DCOM Security, mam identyczne odczyty na moim Windows 7 z nienaruszonym WMI. A ten odczyt nie wiem skąd generowany: ..133 12:35:47 (0) ** Verifying Auto-Recovery MOF files presence. ..134 12:35:47 (1) !! ERROR: (CheckMOFFilesPresence) : 0x1A8 - Wymagany jest obiekt. 'Autorecover MOFs' registry key is missing or is access denied. W Twoim rejestrze w kluczu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM jest wartość "Autorecover MOFs" z listą plików MOF i nie widzę też problemu z uprawnieniami... Spróbuj przywrócić elementy do stanu domyślnego. Przy okazji zadam też przebudowę liczników WSearchIdxPi (były błędy w Addition wcześniej, w rejestrze klucz WSearchIdxPi nie ma danych o licznikach) i likwidację błędów związanych z wyłączeniem usługi Serwer. 1. Wyczyść Dzienniki zdarzeń jak wcześniej podane: Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. Rozwiń gałąź Dzienniki systemu Windows i z prawokliku Wyczyść Aplikacja oraz System. 2. Do Notatnika wklej: Reg: reg delete HKLM\SOFTWARE\Classes\AppID\{8BC3F05E-D86B-11D0-A075-00C04FB68820} /v EndPoints /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost" /v winmgmt /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\winmgmt" /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\services\Winmgmt\Security /f CMD: lodctr C:\Windows\inf\wsearchidxpi\0000\idxcntrs.ini CMD: lodctr C:\Windows\inf\wsearchidxpi\0415\idxcntrs.ini CMD: winmgmt /resyncperf CMD: winmgmt /verifyrepository CMD: sc config LanmanServer start= auto Zapisz jako fixlist.txt tam gdzie siedzi FRST, w FRST klik w Napraw (Fix). Przedstaw fixlog.txt. 3. Wykonaj ręczny restart systemu. Zrób nowy log FRST Addition (i tylko Addition dostarcz) oraz log z WmiDiag.

Na XP zupełnie inny typ infekcji: robak sieciowy Brontok (owszem, pendrive to jedna z dróg) oraz infekcja w MBR (o ile to jest prawdziwy odczyt). A to co było tu w temacie to instalacje adware/PUP, nabyte podczas instalacji sponsorowanych i zatwierdzone przez Ciebie przez nieuwagę. Metodologia ogólna opisana tu: KLIK. Niestety, sytuacja zmieniła się na widzianym tu systemie. Brontoka przeniosłeś również na ten system, ale jak mówię, to jest zupełnie odrębna infekcja niż wcześniejsze. Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [bron-Spizaetus] => C:\Windows\ShellNew\ElnorB.exe [102400 2009-03-17] ( ) HKU\S-1-5-21-3047276897-3179028656-1573973646-1000\...\Run: [Tok-Cirrhatus] => C:\Users\Dominik\AppData\Local\smss.exe [102400 2009-03-17] ( ) HKU\S-1-5-21-3047276897-3179028656-1573973646-1000\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-3047276897-3179028656-1573973646-1000\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-3047276897-3179028656-1573973646-1000\...\Policies\Explorer: [NoFolderOptions] 1 Startup: C:\Users\Dominik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif [2009-03-17] ( ) C:\Users\Dominik\AppData\Local\*.* C:\Windows\ShellNew\ElnorB.exe CMD: for /d %f in (C:\Users\Dominik\AppData\Local\*bron*) do rd /s /q "%f" CMD: dir /a C:\Users\Dominik\AppData\Local CMD: dir /a C:\Users\Dominik\AppData\LocalLow CMD: dir /a C:\Users\Dominik\AppData\Roaming EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart systemu. Powstanie kolejny fixlog.txt. 2. Operacje związane z Google Chrome: Ustawienia > karta Ustawienia > Osoby > skasuj poprzedni profil z dysku, o ile widzisz w oknie więcej niż jeden. Uruchom instalator Google Chrome: KLIK. W zamiarze tu jest uzupełnienie brakującego wejścia deinstalacji w Panelu sterowania. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut. Dołącz też plik fixlog.txt.

Proszę dostarczyć oryginalne pliki FRST (FRST.txt, Addition.txt, Shortcut.txt) i brakujący GMER jako załączniki forum. Serwis wklej.to zepsuł formatowanie logów (usunięte wszystkie slesze).

Adware wcale nie usunęło się w pełni, inwazyjny "YouTube Accelerator" ostał się w Winsock (w stanie aktywnym). I jeszcze widzę aktywny sterownik po odinstalowanym już podejrzanym antywirusie firmy "UtilTool Ltd". Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: netsh winsock reset Task: {8041857F-53C3-4D27-80A6-AB03F82F7D83} - System32\Tasks\YTAUpdate => C:\PROGRA~2\YOUTUB~1\Updater.exe Task: {B077699F-4323-4CC7-BCE4-70E55E15F13D} - System32\Tasks\YTAUpdate_logon => C:\PROGRA~2\YOUTUB~1\Updater.exe HKU\S-1-5-21-1687086191-1766106099-2116064288-1000\...\Run: [GoobzoYouTubeAccelerator] => "C:\Program Files (x86)\YouTube Accelerator\YouTubeAccelerator.exe" /startup R1 netcontroller; C:\Windows\System32\drivers\netcontroller.sys [59336 2015-12-29] (UtilTool Ltd) S2 AV Scanning Service; C:/Program Files (x86)/UtilTool/Antivirus/AVScanningService.exe [X] S3 AVFSFilter; system32\DRIVERS\avfsfilter.sys [X] R4 SPDRIVER_1.42.1.10633; \??\C:\Program Files (x86)\ShopperPro3\JSDriver\1.42.1.10633\jsdrv.sys [X] S2 YouTubeAcceleratorService; C:\PROGRA~2\YOUTUB~1\YouTubeAcceleratorService.exe -start -scm [X] C:\Program Files (x86)\YouTube Accelerator C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YouTube Accelerator C:\Windows\system32\Archive.rar C:\Windows\System32\drivers\netcontroller.sys DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318} /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Wprawdzie wątpię, by to było powiązane, ale zacznij od wyczyszczenia systemu z adware: 1. Odinstaluj adware Shopper-Pro, YouTube Accelerator. Zresetuj system. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition.

Skoro system się w końcu uruchomił, to jak mówiłam wykonaj sfc /scannow spod Windows i dostarczasz filtrowany raport zrobiony wg instrukcji: KLIK.

Niestety, fazy z aktualizacją nie da się ominąć, jeśli system ma być zabezpieczony... Aktualizacje muszą się ukończyć w pełni. Przypuszczalnie po reinstalacji będzie podobna sytuacja. Windows 7 to już stary system i jest bardzo dużo łat do instalacji, nawet jeśli bazową instalacją jest Windows 7 ze zintegrowanym SP1.

Hmmm, powtórz proszę szukanie w FRST na winload.exe. I czy na pewno błąd wygląda identycznie jak w innym temacie:

Usuwaniem tych folderów zajmę się potem. Wykonaj w pierwszej kolejności zadane czynności.

Temat czyszczenia ukończony. Ostatnie kroki: 1. Przez SHIFT+DEL (omija Kosz) skasuj folder C:\Users\Pawcio\Desktop\123\frst. 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Oczywiście, adresowałam tylko te główne. Nie zapomnij dostarczyć w nowym temacie danych wymaganych zasadami działu. Zlinkuj też ten temat, by było wiadome co wcześniej robiono i skąd się wziął wątek.

Czyli zdaje się, że problem Updatusa samoczynnie się rozwiązał. Ostatni Fix FRST pomyślnie wykonany. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z folderu H:\AV FRST i jego logi, plus z Pulpitu folder Stare dane programu Firefox (już do niczego nie jest potrzebny). 2. Zastosuj DelFix, wyczyść foldery Przywracania systemu, oraz wymień Adobe Flash Player NPAPI + Java najnowszą wersją (o ile już tego nie zrobiłeś). Wszystkie akcje rozpisane w przyklejonym: KLIK. To wszystko.

Dziennik Aplikacja: ================== Error: (05/05/2016 12:28:07 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: csgo.exe, wersja: 0.0.0.0, sygnatura czasowa: 0x56da83c3 Nazwa modułu powodującego błąd: unknown, wersja: 0.0.0.0, sygnatura czasowa: 0x00000000 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x80000008 Identyfikator procesu powodującego błąd: 0x1598 Godzina uruchomienia aplikacji powodującej błąd: 0xcsgo.exe0 Ścieżka aplikacji powodującej błąd: csgo.exe1 Ścieżka modułu powodującego błąd: csgo.exe2 Identyfikator raportu: csgo.exe3 Temat przenoszę do stosowniejszego działu, bo nie jest to problem infekcji. Uruchomienie ComboFix było zbędne, nie służy do naprawy takich błędów. A z podanych raportów nic kompletnie nie wynika. Poproś moderatora mgrzeg, by ewentualnie przyjrzał się tematowi i zadał może jakieś zrzuty pamięci do analizy. PS. W spoilerze poboczne tematy - usuwanie programów i doczyszczanie elementów adware / wpisów szczątkowych, kompletnie bez związku z problemami.