picasso

Fix FRST wykonany. On był dedykowany szczątkom po programach, nie miał w ogóle związku z innymi problemami. Jeśli chodzi o czyszczenie systemu, to już skończyliśmy. Potem zadam drobne czynności końcowe. W tym momencie chodzi mi o sprecyzowanie czy po pełnej deinstalacji ESET (był przed i po zgłoszeniu problemu) i nie instalując żadnych nowych antywirusów nadal występuje problem wolnych reakcji systemu.

Brak jakichkolwiek oznak infekcji. Efekt wolnego działania systemu (o ile to nie placebo, co sam podejrzewasz) i okresowego obciążenia dysku to prawdopodobnie efekt aktywności Kasperskiego.

Ale przecież miałeś wykonać to: Nie ma oznak w raportach FRST, że to wykonałeś, a dołączony wcześniej Fixlog jest stary niezależnie od tego że go tworzyłeś na nowo (ponowne wykonanie wcześniejszych nieaktualnych już instrukcji). Do zrobienia zacytowane instrukcje. Nie było tu przetwarzane nic powiązanego co pogłoby spowodować ten efekt. W nowych raportach nie ma też żadnych konkretów. Może zacznij od testowej deinstalacji ESET - jest to najbardziej podejrzany element pod kątem opisywanego efektu. Potem go najwyżej przywrócisz.

O ile problem nadal aktualny: Problemy przekierowań tworzy m.in. infekcja DNS Unlocker, która zmodyfikowała też serwery DNS. Natomiast problem zawieszenia systemu prawdopodobnie nie jest powiązany z infekcją i prędzej tu podejrzanym może być pakiet Kaspersky. Na razie jednak wyczyść infekcje: 1. Odinstaluj: - Adware/PUP: DNS Unlocker version 1.4, eShield Browser Security, KMPFaster, Money Viking, One System Care. - Mega-stare niebezpieczne wersje: Adobe Flash Player 10 ActiveX, Java™ 6 Update 17. Jeśli wystąpią jakieś błędy deinstalacji, kontynuuj. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0B1334AA-9F1E-4720-8F4F-9B77F4C6407D} - System32\Tasks\{D4204239-DF79-5F25-B828-5C83DD2F827F} => /s /n /i:"/rt" "C:\PROGRA~3\c6b01e15\aceb6889.dll" Task: {2F6C0C4B-EF3E-46B0-B9C3-2C4D1B08FE3B} - System32\Tasks\One System Care Task => C:\Program Files (x86)\OneSystemCare\SystemConsole.exe [2016-01-27] () Task: {4C652CF8-22F5-4467-BD97-81BE15689D8E} - System32\Tasks\DNSLOCKINGTON => dnslockington.exe Task: {571B8679-27AE-46FD-9285-278BFF9217FC} - System32\Tasks\One System CarePeriod => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe [2016-01-27] () Task: {94A3769E-30ED-43F8-841E-FF59B33AAC17} - System32\Tasks\{7F7D0F47-047A-0A05-7811-0A087D78110A} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand JABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAIgA7ACQAVwBhAHIAbgBpAG4AZwBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AJABzAGMAOwAkAFAAcgBvAGcA (dane wartości zawierają 9448 znaków więcej). Task: {C084F3EA-E16B-45F8-BF2F-24B65ABCCB6A} - System32\Tasks\One System Care Monitor => C:\Program Files (x86)\OneSystemCare\CleanupConsole.exe [2016-01-27] () Task: {D34C9F2A-F934-4ED7-98D2-11ED40A2C005} - System32\Tasks\simplitec Power Suite => C:\Program Files (x86)\simplitec\KMPFaster\PowerSuite.exe [2015-10-23] (simplitec GmbH) Task: {E9017999-91A3-4479-9FCE-59F59DD9E21D} - System32\Tasks\simplitec Power Suite (Tray) => C:\Program Files (x86)\simplitec\KMPFaster\ServiceProvider.exe [2015-10-23] (simplitec GmbH) Task: C:\windows\Tasks\One System CarePeriod.job => C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe Task: C:\windows\Tasks\simplitec Power Suite (Tray).job => C:\Program Files (x86)\simplitec\KMPFaster\ServiceProvider.exe Task: C:\windows\Tasks\simplitec Power Suite.job => C:\Program Files (x86)\simplitec\KMPFaster\PowerSuite.exe R2 Service Mgr MoneyViking; C:\ProgramData\ab36fac3-93dd-4505-9add-ad6d38d4b914\plugincontainer.exe [788192 2016-01-28] () R2 Update Mgr MoneyViking; C:\Program Files (x86)\Common Files\ab36fac3-93dd-4505-9add-ad6d38d4b914\updater.exe [641248 2016-01-28] () CustomCLSID: HKU\S-1-5-21-1581660641-4088170054-1556520515-1001_Classes\CLSID\{CD75E5D1-9F69-41D3-9143-F93FC71C617A}\InprocServer32 -> C:\Program Files (x86)\TNT2\2.0.0.2030\IEToolbar64.dll (Eshield) BHO-x32: Money Viking -> {c7c5384f-d9e9-4db1-8c72-135ecccbc571} -> C:\Program Files (x86)\Money Viking\Extensions\c7c5384f-d9e9-4db1-8c72-135ecccbc571.dll [2016-01-28] () Toolbar: HKLM - eShield - {CD75E5D1-9F69-41D3-9143-F93FC71C617A} - C:\Program Files (x86)\TNT2\2.0.0.2030\IEToolbar64.dll [2016-01-28] (Eshield) Toolbar: HKLM-x32 - eShield - {CD75E5D1-9F69-41D3-9143-F93FC71C617A} - C:\Program Files (x86)\TNT2\2.0.0.2030\IEToolbar.dll [2016-01-28] (Eshield) FF Plugin HKU\S-1-5-21-1581660641-4088170054-1556520515-1001: @tnt2npapi.com/Plugin -> C:\Users\Niagara\AppData\Local\TNT2\2.0.0.2030\npTNT2.dll [2016-01-28] (Eshield) CHR HKLM-x32\...\Chrome\Extension: [dkmjljdbbgogihjcapfhgkonfmccbffp] - hxxps://clients2.google.com/service/update2/crx HKU\S-1-5-21-1581660641-4088170054-1556520515-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11467&guid={875DB7BA-8ABD-4C59-ABC0-E126A2A99AE6}&i= HKU\S-1-5-21-1581660641-4088170054-1556520515-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11467&guid={875DB7BA-8ABD-4C59-ABC0-E126A2A99AE6}&i= SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1581660641-4088170054-1556520515-1001 -> DefaultScope {B9CCE2F6-10F9-43F4-BB85-BBEBE6A6AC2D} URL = hxxp://search.eshield.com/serp?guid={875DB7BA-8ABD-4C59-ABC0-E126A2A99AE6}&action=default_search&k={searchTerms} SearchScopes: HKU\S-1-5-21-1581660641-4088170054-1556520515-1001 -> {B9CCE2F6-10F9-43F4-BB85-BBEBE6A6AC2D} URL = hxxp://search.eshield.com/serp?guid={875DB7BA-8ABD-4C59-ABC0-E126A2A99AE6}&action=default_search&k={searchTerms} SearchScopes: HKU\S-1-5-21-1581660641-4088170054-1556520515-1001 -> {C0791B8C-147A-4862-9AA3-EE6A6C2B4004} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=11467 HKU\S-1-5-21-1581660641-4088170054-1556520515-1000\...\RunOnce: [sysOff] => C:\Windows\SysWOW64\SYSPREP\ClosespV.exe Tcpip\Parameters: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{25909239-A0D1-4F42-98B6-B30BCFE1D324}: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{5D3FB0C2-471F-49CA-BDAB-9986597A8FA3}: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{5D3FB0C2-471F-49CA-BDAB-9986597A8FA3}: [DhcpNameServer] 82.163.142.7 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bing Bar DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Default Manager C:\Program Files (x86)\DNS Unlocker C:\Program Files (x86)\OneSystemCare C:\Program Files (x86)\simplitec C:\Program Files (x86)\TNT2 C:\Program Files (x86)\Common Files\ab36fac3-93dd-4505-9add-ad6d38d4b914 C:\ProgramData\{09718002-712c-0} C:\ProgramData\{197f0084-512c-1} C:\ProgramData\c6b01e15 C:\ProgramData\ab36fac3-93dd-4505-9add-ad6d38d4b914 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Toshiba\Rejestracja gwarancji firmy Toshiba.lnk C:\Users\Niagara\AppData\Local\TNT2 C:\Users\Public\Desktop\Rejestracja gwarancji firmy Toshiba.lnk CMD: for /d %f in (C:\ProgramData\835c28b8-*) do rd /s /q "%f" CMD: for /d %f in (C:\ProgramData\d35a304c-*) do rd /s /q "%f" CMD: ipconfig /flushdns CMD: netsh advfirewall reset RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

O ile problem nadal aktualny: W podanym raporcie FRST zrobionym spod RE nie ma żadnych wskazówek co może być nie tak i co produkuje ten ekran logowania z uszkodzonymi fontami. Albo jest to uszkodzenie rejestru, albo element nie skanowany przez FRST. 1. Jeśli chodzi o analitykę problemu, dostarcz folder C:\FRST\Hives spakowany do ZIP. 2. Jeśli chodzi o rozwiązanie problemu, przy braku danych zostaje mi polecić użycie opcji Odśwież komputer dostępnej z poziomu RE. PS. Na przyszłość: został zaistalowany program SpyHunter - to skaner którego należy mocno unikać.

Wirus Ramnit infekuje pliki na wszystkich dostępnych dyskach. Niezbędny jest więc dogłębny skan antywirusowy wszystkich dysków po kolei. Wprawdzie zawiadamiasz, że pomyślnie użyłeś Symantec Ramnit Removal Tool, ale zakres jego działania nieznany. Są tu dwie partycje, czy obie zostały przeskanowane? ==================== Dyski ================================ Drive c: () (Fixed) (Total:345.48 GB) (Free:216.58 GB) NTFS Drive d: () (Fixed) (Total:585.94 GB) (Free:244.97 GB) NTFS A logi FRST nie nadają się do pełnej oceny stanu zainfekowania dysków wirusem Ramnit. One mogą tylko wykazać, czy jest wpis rozruchowy wirusa (tu już brak, wpis Userinit nie ma odnośnika do elementu Ramnit, choć został niepoprawnie zedytowany), ale nie są żadnym dowodem na to czy pliki zainfekowane Ramnit są na dysku. Od tego jest skan antywirusowy, jak już zaznaczyłam. Jeśli zaś chodzi o to co widać w raportach FRST, do wyczyszczenia byłyby tylko drobne śmieci. Temat stary, więc wypadałoby dodać świeży zestaw raportów z FRST wykonany zgodnie z instrukcjami tu na forum. Logi z FRST podane wcześniej wykonane na innych ustawieniach niż wskazane w przyklejonym temacie. Sekcje Lista BCD, MD5 sterowników i Pliki z 90 dni nie miały być zaznaczone.

Jeśli chodzi o czyszczenie systemu, to standardowe kroki do wykonania: Usuń z Pulpitu folder frst. Następnie użyj narzędzie DelFix, a po tym wyczyść foldery Przywracania systemu: KLIK.

Na razie ustalmy czy nastąpiła poprawa w działaniu systemu. Nie instaluj też żadnych nowych inwazyjnych programów (a takimi są m.in. antywirusy), dopóki nie ukończysz diagnostyki BSOD. PS. Fix FRST pomyślnie wykonany.

Router nie był/jest dostatecznie zabezpieczony. Instrukcje do wykonania: 1. Wykonaj aktualizację firmware: Jak zaktualizować oprogramowanie routera ADSL (dla TD-W8840T, TD-W8901G, TD-W8951ND oraz TD-W8961ND) Firmware dla TD-W8901G Po aktualizacji wdróż reset ustawień routera do ustawień fabrycznych, co powinno wyzerować ustawienia DNS wprowadzone przez hijackera. Następnie zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Odinstaluj Akamai NetSession Interface (zbędny "downloader" produktów Autodesk), Game Booster 3 (produkty IOBit nie są tu polecane), Java 8 Update 73, Java 8 Update 74 (stare wersje). 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {4bf99d86-1f37-4311-a79d-5136408f4421}Gw64; C:\Windows\System32\drivers\{4bf99d86-1f37-4311-a79d-5136408f4421}Gw64.sys [48784 2016-02-28] (StdLib) S3 catchme; \??\C:\ComboFix\catchme.sys [X] Task: {20A74FA4-81D2-4FE4-9D7A-5C9B89B4237C} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: {C0FC2055-B707-46F5-AFDC-CC14A67B6D2F} - System32\Tasks\{1FFF8A45-CDA3-45FB-A8A0-DA3B96305192} => pcalua.exe -a F:\Sims3SP01Setup.exe -d F:\ Task: {FCB78D4A-3B88-4B4D-995E-8BF3DCF01BF8} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-03-05] (AVAST Software) Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" HKLM\...\Run: [igfxTray] => "C:\Windows\system32\igfxtray.exe" HKLM-x32\...\Run: [] => [X] HKLM\...\Policies\Explorer: [RestrictRun] 0 HKU\S-1-5-21-318038007-921987228-2979523656-1000\...\Run: [bingSvc] => C:\Users\Kinia\AppData\Local\Microsoft\BingSvc\BingSvc.exe HKU\S-1-5-21-318038007-921987228-2979523656-1000\...\Policies\Explorer: [RestrictRun] 0 HKU\S-1-5-21-318038007-921987228-2979523656-1000\...\Policies\Explorer: [] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File CHR HKLM\SOFTWARE\Policies\Google: Restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction HKU\S-1-5-21-318038007-921987228-2979523656-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-318038007-921987228-2979523656-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-318038007-921987228-2979523656-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=SL5M&ocid=SL5MDHP&osmkt=pl-pl CHR HKU\S-1-5-21-318038007-921987228-2979523656-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [No File] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main C:\Program Files\Common Files\AV\avast! Antivirus C:\Program Files (x86)\GUTB1A3.tmp C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\AVAST Software C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LOL Recorder.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\Autodesk Design Review 2013.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\Content Service\Content Service — konsola konfiguracji.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Diablo III - Instrukcja.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Pomoc techniczna Blizzard.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Zarządzanie kontem Battle.net.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gnumeric C:\Users\Kinia\AppData\Local\cache C:\Users\Kinia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Kinia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Autodesk\Zainstaluj*.lnk C:\Users\Kinia\Dropbox\Studia\6 semestr\Ciepło\easyQuizzy.lnk C:\Windows\System32\drivers\{4bf99d86-1f37-4311-a79d-5136408f4421}Gw64.sys CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść przeglądarki ze szczątków adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone, ręcznie je aktywuj. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 5. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Kinia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 6. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Vista. To nie jest problem infekcji. Był tu używany ComboFix i na ten temat: KLIK. Co widać w raportach: zaniedbany system (różne śmieci/odpadki i stare programy), kompletnie nieaktualizowany (to ze względu na zgłaszane problemy na razie omijam), notowalne też naruszenie WMI: ==================== Punkty Przywracania systemu ========================= Niepowodzenie przy listowaniu punktów przywracania Sprawdź usługę "winmgmt" lub napraw WMI. ==================== Wadliwe urządzenia w Menedżerze urządzeń ============= Niepowodzenie przy listowaniu urządzeń. Sprawdź usługę "winmgmt" lub napraw WMI. Wstępnie: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system. 2. W kwestii zawieszania aplikacji największe podejrzenia budzi inwazyjny pakiet 360 Total Security, świeżo zresztą doinstalowany. O ile to wykonalne (zgłaszasz niejasny problem z deinstalacją), odinstaluj go, a także stare niebezpieczne wersje (zagrożenie infekcjami ransom i szyfrującymi dane) i zbędny niepolecany tu program IOBit: 360 Total Security, Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Flash Player 16 NPAPI, Adobe Media Player, Adobe Reader 8 - Polish, Adobe Reader 8.1.2 Security Update 1 (KB403742), Adobe Shockwave Player 11.5, Game Booster 3, Java� 6 Update 17, Real Alternative 1.9.0 Jeśli będzie problem z deinstalacją, nie kombinuj i opuść ten punkt. 3. W systemie jest aktywny bardzo stary (z 2010) i niepowiązany już z żadnym programem emulacyjnym sterownik SPTD. Usuń go posługując się narzędziem SPTDInst. 4. W spoilerze doczyszczanie śmieci (wpisy odpadkowe / puste i Tempy). Akcja podrzędna i nie pomoże rozwiązać problemu głównego. 5. Wyczyść Dzienniki zdarzeń: Start > w polu szukania wpisz evetvwr.msc > z prawokliku Uruchom jako Administrator. W sekcji Dzienniki systemu Windows z prawokliku wyczyść gałęzie Aplikacja i System. W sekcji Dzienniki aplikacji i usług > Microsoft > Windows > CodeIntegrity > z prawokliku wyczyść Operational. Po akcji zresetuj system, by nagrały się nowe błędy w Dzienniku zdarzeń. 6. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt ze spoilera. Podaj czy są jakieś zmiany.

To komunikat produkowany przez adware PriceFountain w Harmonogramie zadań. Przenoszę temat do działu Diagnostyki malware. Proszę dostarczyć raporty z FRST. I na razie daruj sobie próby formatowania zaznaczone w drugim Twoim temacie.

O ile problem nadal aktualny: SpyHunter to wątpliwy program, z daleka od tego "produktu". Jeśli chodzi o problem przekierowań, tworzą je szkodliwe rekordy proxy. Poza tym, odbyło się tu niedokładne usuwanie adware PriceFountain (częściowe usunięcie zadania z Harmonogramu, moduł z pamięci nie odładowany, folder na dysku też obecny). Tak swoją drogą, to jest to scrackowany Windows, świeże kombinacje z łamaniem aktywavji. Działania do przeprowadzenia: 1. Odinstaluj SpyHunter. Jeśli będzie problem z tym, skorzystaj z narzędzia SpyHunterCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {C3FCF024-57FF-48CD-B139-4B9DAF93FB1E} - \PawełAwakenersCardV2 -> No File Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> No File HKU\S-1-5-21-1971605308-2172589426-802125545-1000\...\Run: [AdobeBridge] => [X] ManualProxies: SearchScopes: HKLM-x32 -> DefaultScope value is missing CMD: netsh advfirewall reset RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Temp RemoveDirectory: C:\Users\Paweł\AppData\Local\AwakenersCard RemoveDirectory: C:\Users\Paweł\AppData\Local\Chromium RemoveDirectory: C:\Users\Paweł\Downloads\Torrentex RemoveDirectory: C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP C:\Users\Paweł\AppData\Roaming\*.* C:\Users\Paweł\Desktop\allegro.pl.URL C:\Users\Paweł\Desktop\Booking.UR C:\Users\Paweł\Downloads\*downloader*.exe C:\Users\Public\Desktop\SimpleDownloads.lnk Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę, na razie do działu Windows, ale może wylądować w Hardware. Problemy główne nie są z winy infekcji, choć owszem są tu ślady adware (w Harmonogramie zadań wpis adware PriceFountain i adware w Firefox), tylko że poziom ich ingerencji wyklucza przyczynę. 1. Jeśli chodzi o wolny system i nawigację między folderami, podejrzany jest pakiet Bitdefender Total Security 2015 używający multum wpisów rozruchowych oraz technikę rozszerzeń ShellIconOverlayIdentifiers (ikony nakładkowe na folderach). ShellIconOverlayIdentifiers może być jednym z powodów dziwnych zachowań folderów. Na próbę całkowicie odinstaluj ten pakiet. 2. W kwestii BSOD, do wykonania analiza plików DMP rozpisana w tym tutorialu: KLIK. 2016-04-13 10:11 - 2016-04-13 10:11 - 00287048 _____ C:\Windows\Minidump\041316-51714-01.dmp 2016-04-13 10:10 - 2016-04-13 10:10 - 609013962 _____ C:\Windows\MEMORY.DMP 3. W spoilerze doczyszczanie adware i wpisów pustych:

Temat posprzątany, zbędne logi usunięte i posty posklejane. Mam uwagę do drugiej porcji logów FRST - zrobione w późniejszym czasie niż pierwszy zestaw, w starcie jednak nadal ta sama "bezplikowa" infekcja DNS Unlocker uruchamiająca komendę PowerShell, jakoby wcześniej usuwana. Plus zmodyfikowane przez adware skróty oraz preferencje Google Chrome. Nie został sprawdzony Fixlog wynikowy co się działo, że obiekty nie zostały przetworzone. kuchum, w kwestii doczyszczania zrób świeże raporty FRST (wszystkie trzy), gdyż sporo czasu upłynęło.

Fixy pomyślnie przetworzone. Kończymy w standardowy sposób: Użyj narzędzie DelFix, następnie zaktualizuj Java 8 Update 73 do najnowszej wersji: KLIK.

Fix FRST pomyślnie wykonany. Zaś te komunikaty Winsock widoczne w logu FRST do zignorowania. Wpisy nie są uszkodzone, komunikat pochodzi z faktu że FRST zakłada iż użycie zmiennej %SystemRoot% jest stanem domyślnym, a Twoje wpisy używają zamiast zmiennej statycznej ścieżki C:\Windows. Na koniec: 1. Zastosuj DelFix. Następnie wyczyść foldery Przywracania systemu. Operacje opisane w tym temacie: KLIK. 2. Do wykonania kompleksowa aktualizacja Windows. Stan fatalny: brak SP1, IE11 i wielu innych łat, a także zablokowane aktualizowanie systemu. Do załadowania będzie około kilkaset aktualizacji. Platform: Windows 7 Home Premium (X64) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: FF)

Odgrzebując stary zaległy temat: Tak, identyfikator nadal w rejestrze, gdyż testowałam tylko deaktywację tego dostawcy, a nie jego permanentne usuwanie. Deaktywacja nie pomogła, więc mam silne wątpliwości czy usunięcie klas z dostawców logowania coś wskóra, ale na wszelki wypadek spróbuj: 1. Do Notatnika wklej: Reg: reg export "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{ACFC407B-266C-8504-8DAE-F3E276336E4B}" C:\Users\USER\Desktop\cred1.reg Reg: reg export "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters\{ACFC407B-266C-8504-8DAE-F3E276336E4B}" C:\Users\USER\Desktop\cred2.reg Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{ACFC407B-266C-8504-8DAE-F3E276336E4B}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters\{ACFC407B-266C-8504-8DAE-F3E276336E4B}" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Na Pulpicie USERa powinny też pojawić się dwa pliki cred1.reg + cred2.reg, będące kopią zapasową usuwanych wpisów. 2. Zresetuj system i podaj czy są zmiany.

1. Skoro usunięcie F-Secure (na razie nie potwierdzone jak bardzo kompletne) nie przyniosło skutku, odinstaluj także Avast. Następnie uruchom narzędzie Avast Uninstall Utility. 2. Został uruchomiony GMER, więc konieczna też weryfikacja czy transfer dysku nie obniżył się do PIO. Instrukcje w sekcji Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 3. Spróbuj uruchomić system w trybie normalnym. Niezależnie od tego czy operacja się uda, zrób nowe raporty FRST z opcji Skanuj (Scan), ponownie zaznacz pole Addition, by powstały dwa logi. Shortcut nie jest potrzebny.

Wszystko zrobione. Widzę, że Pandy też się pozbyłeś. Jeszcze drobne poprawki, ale aż dwa skrypty, gdyż usunięcie Dziennika zdarzeń wpiętego przez Pandę wymaga tymczasowego wyłączenia usługi Dziennik zdarzeń. 1. Otwórz Notatnik i wklej w nim: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AvastUI.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PSUAMain RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Documents and Settings\radeczek\Dane aplikacji\Panda Security RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Panda Security RemoveDirectory: C:\Program Files\Panda Security CMD: sc config Eventlog start= disabled Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. System może się dłużej uruchamiać oraz mogą się pojawić skutki uboczne w postaci np. odcięcia od sieci, ale to stan tymczasowy. Powstanie kolejny fixlog.txt. Skopiuj go do innego folderu, bo kolejne podejście go nadpisze. 2. Otwórz Notatnik i wklej w nim: C:\WINDOWS\system32\config\Nano.evt CMD: sc config Eventlog start= auto Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Powstanie kolejny fixlog.txt. 3. Przedstaw oba pliki fixlog.txt.

Zadania usuwające poprawnie wykonane. Minimalna poprawka. Otwórz Notatnik i wklej w nim: URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Wszystkie widoczne infekcje zostały pomyślnie usunięte. Jeśli masz problemy obecnie z płynnością, przyczyna jest inna, nie infekcja. 1. Wstępnie sprawdź czy na czystym rozruchu (redukcja uruchomionych usług) jest jakaś zmiana: KLIK. 2. Jest tu edycja Windows 8.1 (X64). Czy planujesz aktualizację do Windows 10? 3. Być może trzeba będzie kontynuuować diagnostykę w dziale Hardware. Nie wiem skąd informacje o "niebezpiecznym" VulcanInfo. To nowy składnik instalacji sterowników nVidia: KLIK, KLIK.

Chodziło tylko o dostarczenie pliku fixlog, reszta logów już została dodana w poprzednim poście i duplikaty usuwam. Przy przeklejaniu do Notatnika pomyłiłeś się i w pierwszej komendzie obciąłeś literkę: CloseProcesses:. Prawie wszystkie zadania wykonane. Kolejna porcja czynności: 1. Zamieszanie z profilami Firefox. Operacje nie zostały wykonane zgodnie z tym co zadałam. Miał być zresetowany bieżący profil oraz usunięty drugi. Natomiast został usunięty nie ten profil co zadałam i zmienił się bieżący który miał być resetowany. Do wykonania reset Firefox dla tego profilu: 2. Otwórz Notatnik i wklej w nim: S1 bsdriver; \??\C:\WINDOWS\system32\drivers\bsdriver.sys [X] S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] C:\spyhunter.fix C:\shldr.mbr C:\Program Files (x86)\Enigma Software Group C:\Users\Amelka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Amelka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\Amelka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee.lnk C:\WINDOWS\system32\Drivers\EsgScanner.sys CMD: fltmc instances Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Było tu też fałszywe Google Chrome. Poproszęjeszcze o szukanie w rejestrze na powiązany ciąg rejestru. Uruchom FRST, w polu Szukaj wklej co podane poniżej i klik w Szukaj w rejestrze. Dostarcz wynikowy log. eAHPeNhIUJ 4. Jak mówiłam, jest tu też uszkodzony plik Windows jscript9diag.dll. Uruchom sfc /scannow i dostarcz przefiltrowany raport: KLIK.

W tej sytuacji w punkcie 1 przejdź w Tryb awaryjny Windows i skorzystaj z narzędzia Avast Uninstall Utility.

AdwCleaner wykonał zadanie. Natomiast: Naprawa nie grzebała w tym obszarze (a usuwane obiekty o nazwie "SpaceSoundPro" to adware, a nie komponenty dźwiękowe). Klawisz z flagą Windows + X > Menedżer urządzeń > odinstaluj urządzenia związane z dźwiękiem i zresetuj komputer. Windows powinien przebudować je od nowa. Podaj czy pojawiły się pożądane zmiany.

Sponsorowane przekierowania Yahoo pochodzą z instalacji adware SafeFinder, po użyciu AdwCleaner nadal pozostały resztki - załadowany proces Quotenamron.exe. Nie za bardzo jednak rozumiem, do czego zmierzasz z Avastem - program jest tu w pełni zainstalowany (wpis na liście deinstalacji i kompletny majdan instalacyjny), wspólnie z Pandą. Czy mam rozumieć, że nie można go normalnie odinstalować? 1. Przez Dodaj/Usuń programy odinstaluj Avast lub Pandę. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: C:\Documents and Settings\All Users\Dane aplikacji\Quotenamron C:\Documents and Settings\All Users\Dane aplikacji\Quotenamrons C:\Documents and Settings\All Users\Dane aplikacji\DCHP C:\Documents and Settings\radeczek\Dane aplikacji\*.* C:\Program Files\Common Files\Icecom C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{916AA324-DE55-4493-AA14-214686A0C287} DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes SearchScopes: HKLM -> DefaultScope - brak wartości FF Plugin: @microsoft.com/WPF,version=3.5 -> C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

1. Uruchom AdwCleaner ponownie, tym razem wybierz po kolei opcje Skanuj + Usuń. Dostarcz wynikowy log z czyszczenia. 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: H:\AdwCleaner RemoveDirectory: H:\FRST\Quarantine RemoveDirectory: H:\Documents and Settings\Wojtek\Pulpit\Stare dane programu Firefox RemoveDirectory: H:\Program Files\Mozilla Firefox\extensions RemoveDirectory: H:\Program Files\Mozilla Firefox\plugins Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.