Skocz do zawartości
Nadchodzące zmiany w logowaniu

jessica

Użytkownicy
 Pokaż profil  Zobacz aktywność

  • Postów

    4 099

  • Dołączył

  • Ostatnia wizyta

 Typ zawartości 

Odpowiedzi opublikowane przez jessica

  1. Zaśmiecenie systemu po aktualizacji KMPlayera

    w Dział pomocy doraźnej

    Opublikowano

    W związku z tym pytanie, czy istnieje ryzyko, że jakieś hasła zostały wykradzione? Czy któryś z syfów instalowanych z KMP lub obecnych w systemie działa jak keylogger lub w jakiś sposób próbuje wykradać poufne dane?

    Nie sądzę, by tak było

     

    Otwórz Notatnik i wklej w nim:

     

    CustomCLSID: HKU\S-1-5-21-2165405877-3821843396-3701388017-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Part\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File

    CustomCLSID: HKU\S-1-5-21-2165405877-3821843396-3701388017-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Part\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll No File

    CustomCLSID: HKU\S-1-5-21-2165405877-3821843396-3701388017-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Part\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File

    CustomCLSID: HKU\S-1-5-21-2165405877-3821843396-3701388017-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Part\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File

    CustomCLSID: HKU\S-1-5-21-2165405877-3821843396-3701388017-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Part\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll No File

    CustomCLSID: HKU\S-1-5-21-2165405877-3821843396-3701388017-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Part\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll No File

    CustomCLSID: HKU\S-1-5-21-2165405877-3821843396-3701388017-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Part\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File

    Task: {B4019F47-1BEA-4F23-8BDA-5ACD145473A8} - System32\Tasks\{DD7E4D10-2B67-4988-89BE-8FA27BD96D59} => pcalua.exe -a C:\Users\Part\Desktop\Setup.exe -d C:\Users\Part\Desktop

    FirewallRules: [{543F3638-59A6-439A-A8EE-861141CB3682}] => (Allow) C:\Users\Part\AppData\Local\TNT2\2.0.0.2000\TNT2User.exe

    SearchScopes: HKU\S-1-5-21-2165405877-3821843396-3701388017-1000 -> {CE7E8A1C-6C85-431B-83C7-D36E3E92F81F} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=11467

    BHO-x32: Skype Browser Helper -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} -> C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll No File

    Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File

    Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File

    Toolbar: HKU\S-1-5-21-2165405877-3821843396-3701388017-1000 -> No Name - {00011268-E188-40DF-A514-835FCD78B1BF} -  No File

    Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll No File

    FF NewTab:

    FF DefaultSearchEngine: eShield Safe Web

    FF SelectedSearchEngine: eShield Safe Web

    FF Homepage: hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11467&guid={6E39E77A-A197-432C-B601-CE722C7A16FD}&i=

    FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [No File]

    CHR Extension: (eShield) - C:\Users\Part\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkmjljdbbgogihjcapfhgkonfmccbffp [2015-08-18]

    S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

    Uruchom FRST i kliknij przycisk Fix.

    Powstanie plik fixlog.txt.

    Daj ten log.

     

     

    Zrób nowe logi FRST - już bez Shortcut.

     

    jessi

  2. Powolny start systemu, wolna praca komputera, logi do sprawdzenia

    w Dział pomocy doraźnej

    Opublikowano

    Nie widzę tu żadnej infekcji.

     

    Kosmetyka:

    Otwórz Notatnik i wklej w nim:

     

    HKLM-x32\...\Run: [] => [X]
    C:\Users\Beata\Desktop\dzień matki i ojca\100 lat.lnk
    C:\Users\Beata\Desktop\dzień matki i ojca\Majowy zapach kwiatów.lnk
    C:\Users\Beata\Desktop\dzień matki i ojca\Melodia -Cudownych rodziców mam.lnk
    C:\Users\Beata\Desktop\dzień matki i ojca\Na stronach kalendarza.lnk
    C:\Users\Beata\Desktop\dzień matki i ojca\Słowa -Cudownych rodziców mam.lnk
    C:\Users\Beata\Desktop\dzień matki i ojca\Tata jest potrzebny.lnk
    C:\Users\Beata\Desktop\dzień matki i ojca\Tata umie zrobić wszystko.lnk
    C:\Users\Beata\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk
    C:\Users\Public\Desktop\Już w szkole, klasa 3, semestr 2.lnk
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
    Uruchom FRST i kliknij przycisk Fix.

     

    -----------

    Ok. 23 sierpnia wraca @Picasso, więc wtedy zgłoś swój temat w tym (lub podobnym, uaktualnionym) temacie: http://www.fixitpc.p...bez-odpowiedzi/
     

    jessi

  4. Moja poczta rozsyła spam

    w Dział pomocy doraźnej

    Opublikowano

    Od znajomych, którzy otrzymali spam dowiedziałam się, że wiadomości wysyłane są z mojego maila. Nie wiem, czy ma to jakieś znaczenie, ale w tym czasie komputer był wyłączony i nie miał dostępu do sieci.

    To nie Ty rozsyłasz spam, tylko ktoś z Twoich znajomych, kto miał Twój adres e-mailowy w książce adresowej; infekcja wykryła w jego książce adresowej Twój adres, i teraz z jego komputera rozsyła e-maile do innych, udając, że pochodzą z Twego komputera.

    Nic na to nie poradzisz. Możesz jedynie zmienić swój adres e-mailowy, i powiadomić wszystkich swoich znajomych, że nie rozsyłasz spamu, bo masz już inny adres/konto.

     

    W logach - nic ciekawego.

     

    jessi

  5. usunięcie istartsurf oraz protectwindowsmanager

    w Dział pomocy doraźnej

    Opublikowano

    nie widniejesz w temacie http://www.fixitpc.p...ieni-do-pomocy/jako osoba która może udzielać pomocy i trochę się obawiam.

     

    Tak, wiem, że nie mam uprawnień.

    Powinnam o tym uprzedzić, by Użytkownik mógł świadomie zdecydować, czy czekać kilka tygodni na @Picasso, czy zaryzykować i działać wg moich zaleceń. Ale wiem, że wielu Użytkowników potrzebuje szybszej pomocy niż po np. 3 tygodniach czekania, więc nie piszę, że nie mam uprawnień, wychodząc z założenia, że Użytkownik sam to odkryje, i potem dokona wyboru.

     

    Jeśli jest już OK, to możemy kończyć:

    Otwórz Notatnik i wklej w nim:

     

     

    DeleteQuarantine:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.

    przez SHIFT+DEL usuń pozostały folder C:\FRST.

     

    W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

     

    jessi

  7. Plik w autostarcie

    w Dział pomocy doraźnej

    Opublikowano

    Co do logów:

    Otwórz Notatnik i wklej w nim:

     

    C:\WINDOWS\65F1CF6331E0450B96F34A88BE7361A6.TMP
    S3 vmci; \SystemRoot\System32\drivers\vmci.sys [X]
    S3 VMnetAdapter; \SystemRoot\system32\DRIVERS\vmnetadapter.sys [X]
    SearchScopes: HKU\S-1-5-21-3326815062-3995382162-3647125834-1002 -> {7EF9427A-40C8-4670-8F22-77B4A92B561F} URL =
    Startup: C:\Users\Ikar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\csrss.vbs [2015-08-16] ()
    Startup: C:\Users\Ikar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe [2015-08-16] (Microsoft)
    C:\Users\Ikar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe
    C:\Users\Ikar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\csrss.vbs
    AppInit_DLLs-x32:  C:\PROGRA~2\Amazon\AMAZON~1\AMAZON~3.DLL => "C:\PROGRA~2\Amazon\AMAZON~1\AMAZON~3.DLL" File not found
    AppInit_DLLs:  C:\PROGRA~2\Amazon\AMAZON~1\AMAZON~2.DLL => C:\PROGRA~2\Amazon\AMAZON~1\AMAZON~2.DLL File not found
    HKU\S-1-5-21-3326815062-3995382162-3647125834-1002\...\Run: [csrss] => wscript.exe //B "C:\Users\Ikar\AppData\Local\Temp\csrss.vbs" <===== ATTENTION
    HKU\S-1-5-21-3326815062-3995382162-3647125834-1002\...\Run: [2d059fe3b8bce1556560e5f5ca3462c4] => C:\Users\Ikar\AppData\Local\Temp\svchost.exe [183808 2015-08-17] ({达式达谢达信方自伙丢怎种种份么频的信延) <===== ATTENTION
    HKLM-x32\...\Run: [2d059fe3b8bce1556560e5f5ca3462c4] => C:\Users\Ikar\AppData\Local\Temp\svchost.exe [183808 2015-08-17] ({达式达谢达信方自伙丢怎种种份么频的信延) <===== ATTENTION
    HKLM-x32\...\Run: [] => [X]
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
    Uruchom FRST i kliknij przycisk Fix.
    Powstanie plik fixlog.txt.
    Daj ten log.
     

    Czy mialeś kiedyś jakiś program, którego nazwa zaczynała się od "Magic ..."?

     

    jessi

  9. Brontok, pozostałości

    w Dział pomocy doraźnej

    Opublikowano

    W nowych logach nie widzę już obiektów BRONTOK'a.

     

    Could not list Devices. Check "winmgmt" service or repair WMI.

    Nie jest to jasne dla mnie, bo zwykle taki komunikat pojawia się w związku z nie działającym "Przywracaniem Systemu", a tu w logu widać, że są punkty przywracania.

     

    mpsdrv Service is not running.

    MpsSvc Service is not running.

     

    wscsvc Service is not running.

     

    wuauserv Service is not running.

     

    WinDefend Service is not running.

    Te usługi są wyłączone, ale nie są zniszczone.

    BRONTOK raczej ich wszystkich nie wyłączył, zwykle wyłącza tylko jedną.

    To do wyjaśnienia sprawy przez @Picasso.

     

    Ok. 23 sierpnia wraca @Picasso, więc wtedy zgłoś swój temat w tym (lub podobnym, uaktualnionym) temacie: http://www.fixitpc.p...bez-odpowiedzi/
     

     

    jessi

  10. Kilka minut pracy i zawieszenie

    w Dział pomocy doraźnej

    Opublikowano

    1) Otwórz Notatnik i wklej w nim:

     

    C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\14_POL.LNK
    C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\2 Stężenia(1).LNK
    C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\3 Roztwory wodne-2.LNK
    C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\5 Termochemia.LNK
    C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\6 Elektrochemia.LNK
    C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\ALGEBRA.LNK
    C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\Chemia 2.LNK
    C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\cwiczenie-8-BM.LNK
    C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\Instrukcje - Kompleksometria.LNK
    C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\Latwy sposob na rzucenie palenia.LNK
    C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\Nowy dokument sformatowany.LNK
    C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\Rar$DI00.032.LNK
    C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\Rar$DI00.861.LNK
    C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\Rar$DI75.794.LNK
    C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\sur.LNK
    C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\wyklad_15.LNK
    Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Rozmowa.lnk [2015-08-16]
    ShortcutTarget: Rozmowa.lnk -> C:\Program Files (x86)\Wirtualna Polska\System syntezy mowy\rozmowy.exe ()
    StandardProfile\AuthorizedApplications: [C:\Users\Admin\P-7-78-8964-9648-3874\windll.exe] =>
    C:\Users\Admin\P-7-78-8964-9648-3874
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
    Uruchom FRST i kliknij przycisk Fix.
    Powstanie plik fixlog.txt.
    Daj ten log.

     

    2)

    WinDefend Service is not running. Checking service configuration:
    Checking Start type: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.
    Checking ImagePath: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.
    Checking ServiceDll: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.

    Pobierz >>ESET ServicesRepair
    Kliknij prawym na pliku ServicesRepair i wybierz Uruchom jako administrator.

     

    3) Zrób nowy log FSS.

     

    ===================

    po wklejeniu zadanej komendy do notatnika i użyciu FRST komputer dalej zawiesza się definitywnie po 3 minutach.

     

    Ok. 23 sierpnia wraca @Picasso, więc wtedy zgłoś swój temat w tym (lub podobnym, uaktualnionym) temacie: http://www.fixitpc.p...bez-odpowiedzi/
     

    jessi
     

  11. usunięcie istartsurf oraz protectwindowsmanager

    w Dział pomocy doraźnej

    Opublikowano

    1) Jeszcze raz spróbuj odinstalować

    istartsurf uninstall (HKLM-x32\...\istartsurf uninstall) (Version:  - istartsurf) <==== ATTENTION

     

    2) Użyj >Adw-cleaner
    najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
    Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

     

    3) Otwórz Notatnik i wklej w nim:

     

    Task: {140C76B2-27DE-484D-8663-4696B84774DF} - System32\Tasks\{7302D5D2-5A6D-4626-8DB9-D4E6DA020BD5} => pcalua.exe -a C:\Users\ww\audio\Audigy_SupportPack_4_5\setup.exe -d C:\Users\ww\audio\Audigy_SupportPack_4_5
    Task: {9A204345-B267-4DC3-87B8-357A3CAE8238} - System32\Tasks\{052E3066-A1D6-409D-9936-4E773E3821C3} => pcalua.exe -a C:\Users\ww\AppData\Roaming\istartsurf\UninstallManager.exe -c  -ptid=cor
    Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
    Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
    Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
    AlternateDataStreams: C:\Windows:s8vj4g0sk4d1
    AlternateDataStreams: C:\Users\ww\Dane aplikacji:lv93ja32540f
    AlternateDataStreams: C:\Users\ww\AppData\Roaming:lv93ja32540f
    C:\ProgramData\flwjycbm.bab
    C:\ProgramData\SWinManProS
    C:\Users\ww\AppData\Roaming\istartsurf
    S1 atitray; \??\C:\Program Files (x86)\Ray Adams\ATI Tray Tools\atitray64.sys [X]
    S3 VGPU; System32\drivers\rdvgkmd.sys [X]
    R2 WindowsMangerProtect; C:\ProgramData\SWinManProS\ProtectWindowsManager.exe [708264 2015-08-16] (DTools LIMITED) <==== ATTENTION
    S2 Net Driver HPZ12; C:\Windows\system32\HPZinw12.dll [X]
    S2 Pml Driver HPZ12; C:\Windows\system32\HPZipm12.dll [X]
    HKU\S-1-5-21-1394974778-1380221434-1069446208-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hp&ts=1439751121&z=b2daa060b435af10c13595dgdz6c6t1mbwag7e5ofm&from=cor&uid=ST3500418AS_9VM651YHXXXX9VM651YH
    HKU\S-1-5-21-1394974778-1380221434-1069446208-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1439751121&z=b2daa060b435af10c13595dgdz6c6t1mbwag7e5ofm&from=cor&uid=ST3500418AS_9VM651YHXXXX9VM651YH
    SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1439751121&z=b2daa060b435af10c13595dgdz6c6t1mbwag7e5ofm&from=cor&uid=ST3500418AS_9VM651YHXXXX9VM651YH&q={searchTerms}
    SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1439751121&z=b2daa060b435af10c13595dgdz6c6t1mbwag7e5ofm&from=cor&uid=ST3500418AS_9VM651YHXXXX9VM651YH&q={searchTerms}
    SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1439751121&z=b2daa060b435af10c13595dgdz6c6t1mbwag7e5ofm&from=cor&uid=ST3500418AS_9VM651YHXXXX9VM651YH&q={searchTerms}
    SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1439751121&z=b2daa060b435af10c13595dgdz6c6t1mbwag7e5ofm&from=cor&uid=ST3500418AS_9VM651YHXXXX9VM651YH&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1394974778-1380221434-1069446208-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1439751121&z=b2daa060b435af10c13595dgdz6c6t1mbwag7e5ofm&from=cor&uid=ST3500418AS_9VM651YHXXXX9VM651YH&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1394974778-1380221434-1069446208-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1439751121&z=b2daa060b435af10c13595dgdz6c6t1mbwag7e5ofm&from=cor&uid=ST3500418AS_9VM651YHXXXX9VM651YH&q={searchTerms}
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1439751121&z=b2daa060b435af10c13595dgdz6c6t1mbwag7e5ofm&from=cor&uid=ST3500418AS_9VM651YHXXXX9VM651YH
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1439751121&z=b2daa060b435af10c13595dgdz6c6t1mbwag7e5ofm&from=cor&uid=ST3500418AS_9VM651YHXXXX9VM651YH
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hp&ts=1439751121&z=b2daa060b435af10c13595dgdz6c6t1mbwag7e5ofm&from=cor&uid=ST3500418AS_9VM651YHXXXX9VM651YH
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hp&ts=1439751121&z=b2daa060b435af10c13595dgdz6c6t1mbwag7e5ofm&from=cor&uid=ST3500418AS_9VM651YHXXXX9VM651YH
    GroupPolicyScripts: Group Policy detected <======= ATTENTION
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
    Uruchom FRST i kliknij przycisk Fix.

     

    4) Napisz, czy problem znikł?

     

    jessi

  12. Zawieszanie sie systemu na koncie z ograniczonymi uprawnieniami

    w Windows 7

    Opublikowano

    Nie widzę tu żadnej infekcji.

     

    Otwórz Notatnik i wklej w nim:

     

    2015-08-12 18:26 - 2015-08-12 18:26 - 00000000 ____D C:\Users\Public\Documents\Baidu Security
    2015-08-12 17:36 - 2015-08-12 17:36 - 00000000 ____D C:\ProgramData\Baidu
    2015-08-12 17:35 - 2015-08-12 17:35 - 00000000 ____D C:\Users\Public\Documents\Baidu
    2015-08-12 17:35 - 2015-08-12 17:35 - 00000000 ____D C:\ProgramData\Baidu Security
    2015-08-12 17:35 - 2015-08-12 17:35 - 00000000 ____D C:\Program Files (x86)\Baidu Security
    U3 BcmSqlStartupSvc; no ImagePath
    U2 CLKMSVC10_3A60B698; no ImagePath
    U2 CLKMSVC10_C3B3B687; no ImagePath
    U3 DfSdkS; no ImagePath
    U2 DriverService; no ImagePath
    U2 iATAgentService; no ImagePath
    U2 idealife Update Service; no ImagePath
    U3 IGRS; no ImagePath
    U2 IviRegMgr; no ImagePath
    U2 nvUpdatusService; no ImagePath
    U2 Oasis2Service; no ImagePath
    U2 PCCarerService; no ImagePath
    U2 ReadyComm.DirectRouter; no ImagePath
    U2 RichVideo; no ImagePath
    U2 RtLedService; no ImagePath
    U2 SeaPort; no ImagePath
    U2 SoftwareService; no ImagePath
    U3 SQLWriter; no ImagePath
    U2 Stereo Service; no ImagePath
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
    Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
    Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
    Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Baidu PC Faster 4.0.0.0" /f
    C:\Program Files (x86)\PC Faster
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OCCT\Ocbase.com.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OCCT\OCCT.lnk
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
    Uruchom FRST i kliknij przycisk Fix.

     

    Ok. 23 sierpnia wraca @Picasso, więc wtedy zgłoś swój temat w tym (lub podobnym, uaktualnionym) temacie: http://www.fixitpc.p...bez-odpowiedzi/
     

    jessi

  14. Windows Defender nie da się włączyć, windows 8.1 - 64bit

    w Dział pomocy doraźnej

    Opublikowano

    Nie widzę tu żadnej infekcji.

     

      Date: 2015-08-15 23:28:34.346
      Description: Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\services.exe) attempted to load \Device\HarddiskVolume4\Program Files\Windows Defender\NisSrv.exe that did not meet the Custom 3 / Antimalware signing level requirements.

      Date: 2015-08-15 23:21:12.080
      Description: Windows is unable to verify the image integrity of the file \Device\HarddiskVolume4\Program Files\Windows Defender\MsMpEng.exe because file hash could not be found on the system. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source.

    Nie wiem, o co tu chodzi.

     

    Ok. 23 sierpnia wraca @Picasso, więc wtedy zgłoś swój temat w tym (lub podobnym, uaktualnionym) temacie: http://www.fixitpc.p...bez-odpowiedzi/

     

    Może w międzyczasie zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).

     

    jessi
     

  15. Brontok, pozostałości

    w Dział pomocy doraźnej

    Opublikowano

    1) Otwórz Notatnik i wklej w nim:

     

    CMD: netsh advfirewall reset
    C:\Users\Mariusz\Music\Uruchom Wiedźmin 2.lnk
    C:\Users\Mariusz\Links\FV 2013.lnk
    C:\Users\Mariusz\Links\matin.lnk
    C:\Users\Mariusz\Links\ts3.lnk
    C:\Users\Mariusz\Desktop\Nieużywane\ (2).lnk
    C:\Users\Mariusz\Desktop\Nieużywane\ (3).lnk
    C:\Users\Mariusz\Desktop\Nieużywane\.lnk
    C:\Users\Mariusz\Desktop\Nieużywane\Action!.lnk
    C:\Users\Mariusz\Desktop\Nieużywane\Adobe Download Assistant.lnk
    C:\Users\Mariusz\Desktop\Nieużywane\Adobe Reader 9.lnk
    C:\Users\Mariusz\Desktop\Nieużywane\avast! Premier (2).lnk
    C:\Users\Mariusz\Desktop\Nieużywane\avast! Premier.lnk
    C:\Users\Mariusz\Desktop\Nieużywane\DAEMON Tools Lite.lnk
    C:\Users\Mariusz\Desktop\Nieużywane\LogMeIn Hamachi.lnk
    C:\Users\Mariusz\Desktop\Nieużywane\Mobogenie.lnk
    C:\Users\Mariusz\Desktop\Nieużywane\µTorrent.lnk
    C:\Users\Mariusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steam\Steam.lnk
    C:\Users\Mariusz\Desktop\Nieużywane\Symulator Farmy 2011 .lnk
    C:\Program Files (x86)\Mobogenie
    Task: {523A0AA1-6A41-493A-AE4A-B25368078F45} - System32\Tasks\{71F51CE1-3FAD-4991-82E2-0F5FC01A1B99} => pcalua.exe -a "C:\Program Files\AVAST Software\Avast\aswRunDll.exe" -c "C:\Program Files\AVAST Software\Avast\Setup\setiface.dll" RunSetup
    Task: {CC01BDE4-3D36-4BF7-945C-D96DD21125CE} - System32\Tasks\{F8AE7EB7-11AC-4B36-BCCA-219096F034A0} => pcalua.exe -a C:\Users\Mariusz\AppData\Roaming\.minecraft\Uninstall.exe
    HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1
    HKLM\...\Policies\Explorer: [HideSCAHealth] 1
    HKU\S-1-5-21-3923760505-3937785608-132173358-1000\...\Run: [AdobeBridge] => [X]
    Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
    Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
    Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
    BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} ->  No File
    BHO: Java Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File
    BHO-x32: Java Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File
    Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
    Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
    Toolbar: HKU\S-1-5-21-3923760505-3937785608-132173358-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
    S3 hdcorrer; \??\C:\Windows\system32\drivers\ngiodriver_x64 [X]
    C:\Users\Mariusz\AppData\Local\Bron.tok.A9.em.bin
    C:\Users\Mariusz\AppData\Local\Kosong.Bron.Tok.txt
    C:\Users\Mariusz\AppData\Local\Update.9.Bron.Tok.bin
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
    Uruchom FRST i kliknij przycisk Fix.
    Powstanie plik fixlog.txt.
    Daj ten log.

     

    2)

    mpsdrv Firewall Service is not running.
    MpsSvc Firewall Service is not running.

    Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).

     

    3) Zrób nowe logi FRST - już bez Shortcut.

     

    jessi

  16. Kilka minut pracy i zawieszenie

    w Dział pomocy doraźnej

    Opublikowano

    Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Rozmowa.lnk [2015-08-16]

    ShortcutTarget: Rozmowa.lnk -> C:\Program Files (x86)\Wirtualna Polska\System syntezy mowy\rozmowy.exe ()

    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Dtella.lnk [2015-08-16]

    ShortcutTarget: Dtella.lnk -> C:\Program Files (x86)\Dtella@MS\dtella.exe ()

    Znasz te powyższe?

     

    Masz co najmniej dwie infekcje.

     

    1) Otwórz Notatnik i wklej w nim:

     

     

    Task: {C7A88731-DAAA-4DD7-B0D6-841A66AE34CC} - System32\Tasks\{E3864EE3-D8EF-47AD-ADC5-DD7AD7735A5E} => pcalua.exe -a D:\programy\daemontools406.exe -d D:\programy

    HKLM\...\Policies\Explorer\Run: [17471024] => C:\ProgramData\msmoori.exe [89477120 2010-11-21] (Bronto Software)

    HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1

    HKLM\...\Policies\Explorer: [HideSCAHealth] 1

    C:\ProgramData\msmoori.exe

    S2 VSSS; C:\Users\Admin\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [103952704 2015-06-23] (Microsoft Corporation) [File not signed] <==== ATTENTION

    C:\Users\Admin\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

     

    2) Wejdź w Tryb Awaryjny (F8 przed startem Systemu).

     

    3) Uruchom FRST i kliknij przycisk Fix.

    Powstanie plik fixlog.txt.

    Daj ten log.

     

    4) Zrób nowe logi FRST.

     

    5) Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).

     

    jessi

  17. Vista x64 SP2 - svhost 50% procesora

    w Dział pomocy doraźnej

    Opublikowano

    W logach nie widzę niczego podejrzanego.

     

    Otwórz Notatnik i wklej w nim:

     

    Task: {01C0C527-D3CE-42DD-8A2B-DE34B4254581} - System32\Tasks\{BEF4124F-6B55-4B50-A214-0E20B8586B0E} => pcalua.exe -a C:\AGENT.m6\unins000.exe
    HKU\S-1-5-21-2554018869-3465991184-4273776038-1000\...\Run: [] => [X]
    HKU\S-1-5-21-2554018869-3465991184-4273776038-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.us.com/?guid={562A15FD-E62D-4B82-84BA-3C6F9F84BA6E}
    HKU\S-1-5-21-2554018869-3465991184-4273776038-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://search.us.com/?guid={562A15FD-E62D-4B82-84BA-3C6F9F84BA6E}
    Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
    Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
    Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
    SearchScopes: HKU\S-1-5-21-2554018869-3465991184-4273776038-1000 -> {804A6B79-F69E-4084-B60E-5834092BE6E5} URL = hxxp://search.us.com/serp?guid={562A15FD-E62D-4B82-84BA-3C6F9F84BA6E}&k={searchTerms}
    SearchScopes: HKU\S-1-5-21-2554018869-3465991184-4273776038-1000 -> {B8930126-2BF5-456A-86CC-F2DF240307B5} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=11433
    Toolbar: HKU\S-1-5-21-2554018869-3465991184-4273776038-1000 -> No Name - {A13C2648-91D4-4BF3-BC6D-0079707C4389} -  No File
    FF Plugin HKU\S-1-5-21-2554018869-3465991184-4273776038-1000: LWAPlugin15.8 -> C:\Users\Adam\AppData\Roaming\Mozilla\Plugins\npLWAPlugin15.8.dll No File
    FF Extension: Blur - C:\Users\Adam\AppData\Roaming\Mozilla\Firefox\Profiles\5rwq9ffk.default\Extensions\donottrackplus@abine.com.xpi [2015-07-14]
    S4 DrWebEngine; C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe [2665008 2014-05-10] (Doctor Web, Ltd.)
    C:\Program Files\Common Files\Doctor Web
    S3 DFUBTUSB; System32\Drivers\frmupgr.sys [X]
    S3 GDPkIcpt; \??\C:\Windows\system32\drivers\PktIcpt.sys [X]
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
    Uruchom FRST i kliknij przycisk Fix.

     

    jessi

  18. Wyskakujace reklamy "assist point"

    w Dział pomocy doraźnej

    Opublikowano

    1) Otwórz Notatnik i wklej w nim:

     

    Task: {002CF15D-DD0F-47F7-9926-F207192A1C84} - System32\Tasks\StPrsSW => C:\Users\Wioleta\AppData\Roaming\StPrsSW\stprss.exe
    C:\Users\Wioleta\AppData\Roaming\StPrsSW
    HKU\S-1-5-21-3281234712-2478978767-3473656501-1001\Software\Classes\.exe: exefile =>  <===== ATTENTION
    HKU\S-1-5-21-3281234712-2478978767-3473656501-1001\Software\Classes\exefile:  <===== ATTENTION
    S0 is3srv; SySWOW64\drivers\is3srv64.sys [X]
    S0 szkg5; SySWOW64\drivers\szkg64.sys [X]
    GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    CustomCLSID: HKU\S-1-5-21-3281234712-2478978767-3473656501-1001_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Wioleta\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File
    CustomCLSID: HKU\S-1-5-21-3281234712-2478978767-3473656501-1001_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Wioleta\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll No File
    CustomCLSID: HKU\S-1-5-21-3281234712-2478978767-3473656501-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Wioleta\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File
    CustomCLSID: HKU\S-1-5-21-3281234712-2478978767-3473656501-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Wioleta\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File
    CustomCLSID: HKU\S-1-5-21-3281234712-2478978767-3473656501-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Wioleta\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll No File
    CustomCLSID: HKU\S-1-5-21-3281234712-2478978767-3473656501-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Wioleta\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll No File
    CustomCLSID: HKU\S-1-5-21-3281234712-2478978767-3473656501-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Wioleta\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    HKU\S-1-5-21-3281234712-2478978767-3473656501-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=bl-bir-is__alt__ddc_dsssyc_bd_com
    HKU\S-1-5-21-3281234712-2478978767-3473656501-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=bl-bir-is__alt__ddc_dsssyc_bd_com
    SearchScopes: HKU\S-1-5-21-3281234712-2478978767-3473656501-1001 -> DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL =
    FF NewTab: hxxp://search.yahoo.com/?fr=hp-ddc-bd-tab&type=bl-bfr-is__alt__ddc_dsssyctab_bd_com
    FF SelectedSearchEngine: Yahoo Search!
    FF Homepage: hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=bl-bfr-is__alt__ddc_dsssyc_bd_com
    FF Keyword.URL: hxxp://search.yahoo.com/yhs/search?hspart=ddc&hsimp=yhs-ddc_bd&type=bl-bfr-is__alt__ddc_dss_bd_com&p={searchTerms}
    C:\Users\Wioleta\Downloads\yet_another_cleaner_sk_7449892.exe
    C:\ProgramData\c716fd70-872c-4aaa-a07f-e248365d7f56
    C:\ProgramData\MakeMarkerFile.exe
    C:\Users\EasySurvey\EasySurvey.exe
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
    Uruchom FRST i kliknij przycisk Fix.
    Powstanie plik fixlog.txt.
    Daj ten log.

     

    2) Uruchom FRST.
    W polu SEARCH wklej:

     

    Assist Point;
    c716fd70-872c-4aaa-a07f-e248365d7f56

    kliknij na przycisk "Search Registry".
    Raport z tego będzie tam, gdzie jest FRST.

     

    jessi

  19. Długi start systemu, "niewidzialność" flash playera

    w Windows XP

    Opublikowano

    Nie widzę tu żadnej infekcji.

     

    Kosmetyka:

    Otwórz Notatnik i wklej w nim:

     

    HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k

    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1428575234&from=cor&uid=WDCXWD800BB-00JHC0_WD-WCAM9A04904249042&q={searchTerms}

    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1428575234&from=cor&uid=WDCXWD800BB-00JHC0_WD-WCAM9A04904249042&q={searchTerms}

    Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f

    Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

    Uruchom FRST i kliknij przycisk Fix.

     

    -----------------------------------

     

     

    jessi

  21. Safe finder, websearch

    w Dział pomocy doraźnej

    Opublikowano

    Darmowy, można też pobrać z dobreprogramy .

    I znów zainstalować sobie jakiegoś szkodliwego śmiecia? Przecież na vortalu DobreProgramy do każdego programu doklejają różne szkodliwe śmieci.Trzymać się z dala od tego vortalu!

     

    ---------------------------------------

     

    Co do usunięcia OPERY:

    Otwórz Notatnik i wklej w nim:

     

    Task: {15D13CFE-BBDF-4D30-B085-3C0FA6A3BDE3} - System32\Tasks\Opera N Saturday => C:\Program Files (x86)\Opera\launcher.exe [2015-07-30] (Opera Software)

    Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Opera 31.0.1889.99" /f

    C:\Program Files (x86)\Opera

    Task: {711834FE-6D97-4370-A850-C1F87B5544AA} - System32\Tasks\Opera scheduled Autoupdate 1439548839 => C:\Program Files (x86)\Opera\launcher.exe [2015-07-30] (Opera Software)

    Task: {E9A69610-B8B9-4414-9A71-3BCFE89B5DAC} - System32\Tasks\Opera N Sunday => C:\Program Files (x86)\Opera\launcher.exe [2015-07-30] (Opera Software)

    C:\WINDOWS\System32\Tasks\Opera scheduled Autoupdate 1439548839

    C:\WINDOWS\System32\Tasks\Opera N Sunday

    C:\WINDOWS\System32\Tasks\Opera N Saturday

    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk

    C:\Users\Sylwik\AppData\Roaming\Shortcut

    C:\Program Files (x86)\Opera

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

    Uruchom FRST i kliknij przycisk Fix.

    Powstanie plik fixlog.txt.

    Daj ten log.

     

    jessi

  23. Czarny ekrann z 2-3 minuty po Zaproszeniu zanim pojawi się pulpit

    w Dział pomocy doraźnej

    Opublikowano

    W logach nie ma niczego podejrzanego.

     

    Kosmetyka:

    Otwórz Notatnik i wklej w nim:

     

    Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
    Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
    Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
    S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
    S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
    Uruchom FRST i kliknij przycisk Fix.

     

    Po pojawieniu się napisu Zapraszamy w Windows Vista mam z 2-3 minuty czarny ekran. Czy to wina czegoś zainstalowanego?

    Skoro to jest jeszcze przed pojawieniem się Pulpitu, to Programy nie mają z tym nic wspólnego.

     

    jessi

×
×
  • Dodaj nową pozycję...