picasso

Chodzi o Tryb awaryjny Windows: KLIK. A AVG wykrył kopię szkodnika w folderze Przywracania systemu (System Volume Information). Tym się na razie w ogóle nie zajmuj. Zawsze na końcu tematu podaję czyszczenie tych folderów wykonane najbardziej poprawną metodą (czyszczenie tam antywirusem to nie jest dobry pomysł).

Nie podałeś mi w jakiej ścieżce AVG wykrył "MalSign.Installcore.A51". A z raportu AdwCleaner widać gdzie zastopowało skrypt FRST. Zrób w Notatniku nowy skrypt fixlist.txt o takiej treści: DeleteKey: HKU\S-1-5-19\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B} DeleteKey: HKU\S-1-5-20\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B} DeleteKey: HKU\S-1-5-21-682003330-1383384898-2147005927-1005\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B} RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\apn RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_0215tb RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_0814av RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_1214tb RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_1215tb RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\d92f42d7691ad949 RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\SuperbApp RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\safeewebu RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\YoutubeAdblocker RemoveDirectory: C:\Documents and Settings\Mariush\Dane aplikacji\istartsurf RemoveDirectory: C:\Documents and Settings\Mariush\Moje dokumenty\Optimizer Pro RemoveDirectory: C:\Documents and Settings\Mariush\Ustawienia lokalne\Dane aplikacji\AVG Secure Search RemoveDirectory: C:\Documents and Settings\Mariush\Ustawienia lokalne\Dane aplikacji\torch RemoveDirectory: C:\Documents and Settings\Mariush\Ustawienia lokalne\Dane aplikacji\Comodo RemoveDirectory: C:\Documents and Settings\Mariush\Ustawienia lokalne\Dane aplikacji\Google\Chrome SxS RemoveDirectory: C:\Documents and Settings\UpdatusUser\Ustawienia lokalne\Dane aplikacji\torch RemoveDirectory: C:\Documents and Settings\UpdatusUser\Ustawienia lokalne\Dane aplikacji\Comodo RemoveDirectory: C:\Documents and Settings\UpdatusUser\Ustawienia lokalne\Dane aplikacji\Google RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\safeewebu RemoveDirectory: C:\Program Files\YoutubeAdblocker RemoveDirectory: C:\Program Files\safeewebu RemoveDirectory: C:\Program Files\YoutubeAdblocker RemoveDirectory: C:\Program Files\Optimizer Pro CMD: del /q C:\END Uruchom z poziomu Trybu awaryjnego Windows i dostarcz wynikowy fixlog.txt.

Sprawdź czy GMER wykona się z poziomu Trybu awaryjnego Windows. A Fix FRST pomyślnie wdrożony.

Shortcut.txt owszem brakuje, ale on tu nie wniesie nic do sprawy. Temat przenoszę do działu Windows. To nie jest problem infekcji. Tytułowy rpcnet.exe to jest część LoJack (systemu namierzania i odzyskiwania skradzionego laptopa): 2015-12-12 17:55 - 2015-12-12 17:55 - 00017408 _____ C:\WINDOWS\SysWOW64\rpcnetp.dll 2015-12-12 17:54 - 2015-12-12 17:54 - 00017408 ____N C:\WINDOWS\SysWOW64\rpcnetp.exe Library C:\WINDOWS\SysWOW64\rpcnet.exe (*** suspicious ***) @ C:\WINDOWS\SysWOW64\rpcnet.exe [6100] 00000000011d0000 Library C:\WINDOWS\SYSTEM32\rpcnet.dll (*** suspicious ***) @ C:\WINDOWS\SysWOW64\rpcnet.exe [6100] 000000006d260000 Library C:\WINDOWS\SYSTEM32\rpcnet.dll (*** suspicious ***) @ C:\WINDOWS\SysWOW64\svchost.exe [5852] 000000006d260000 Library C:\WINDOWS\SYSTEM32\rpcnet.dll (*** suspicious ***) @ C:\WINDOWS\SysWOW64\OpenWith.exe [2652] 000000006d260000 A z raportów nic nie wynika pod kątem problemu zasadniczego. Patrząc na ostatnie błędy z Dziennika zdarzeń: Dziennik Aplikacja: ================== Error: (12/12/2015 05:56:04 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: ZeroConfigService.exe, wersja: 16.1.0.0, sygnatura czasowa: 0x521e80f5 Nazwa modułu powodującego błąd: MurocApi.dll, wersja: 16.1.0.0, sygnatura czasowa: 0x521e7ff7 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x0000000000026570 Identyfikator procesu powodującego błąd: 0xa84 Godzina uruchomienia aplikacji powodującej błąd: 0xZeroConfigService.exe0 Ścieżka aplikacji powodującej błąd: ZeroConfigService.exe1 Ścieżka modułu powodującego błąd: ZeroConfigService.exe2 Identyfikator raportu: ZeroConfigService.exe3 Pełna nazwa pakietu powodującego błąd: ZeroConfigService.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: ZeroConfigService.exe5 Error: (12/12/2015 05:46:13 PM) (Source: ATIeRecord) (EventID: 16391) (User: ) Description: ATI EEU maximum number of session has been surpassed Error: (12/12/2015 05:45:19 PM) (Source: Application Hang) (EventID: 1002) (User: ) Description: Program explorer.exe w wersji 6.3.9600.17667 przestał współpracować z systemem Windows i został zamknięty. Aby sprawdzić, czy jest dostępnych więcej informacji na temat tego problemu, sprawdź historię problemu w aplecie Centrum akcji w Panelu sterowania. Identyfikator procesu: c04 Godzina rozpoczęcia: 01d134fb8aca9cde Godzina zakończenia: 0 Ścieżka aplikacji: C:\Windows\explorer.exe Identyfikator raportu: b9587f39-a0ef-11e5-bec3-6817297a4490 Pełna nazwa pakietu powodującego błąd: Identyfikator aplikacji względem pakietu powodującego błąd: Dziennik System: ============= Error: (12/12/2015 05:59:56 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa HP Network Devices Support zawiesiła się podczas uruchamiania. Error: (12/12/2015 05:56:10 PM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa Intel® PROSet/Wireless Zero Configuration Service niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. Sugestie: 1. Błędy "ATI EEU maximum number of session has been surpassed": Tu klaruje się główny problem ze sterownikami i/lub urządzeniem grafiki, co wyjaśniałoby te freezy. Zacząć od próby aktualizacji sterowników. 2. Błędy explorer.exe: przetestuj czy mają wpływ niedomyślne rozszerzenia powłoki. Uruchom ShellExView x64. W programie przez klik w kolumnę Company posortuj wszystkie niedomyślne wpisy (wyróżnione na różowym tle), by ułożyły się w jednym bloku. Z wciśniętym CTRL zaznacz wszystkie różowe > z prawokliku wyłącz wszystkie > restart systemu. 3. Wieszająca się usługa HP Network Devices Support: po prostu wyłącz w przystawce services.msc. PS. Do czyszczenia są także drobne puste wpisy (np. po odinstalowanym McAfee), ale nie mają żadnego znaczenia i na razie się tym nie zajmuję.

Niestety bardziej potrzebny jest plik z pierwszego podejścia, by się upewnić gdzie przerwało. W związku z tym zrób ponownie log AdwCleaner z opcji Skanuj. On potwierdzi ile się wykonało.

Nie wiem o co chodzi z tymi błędami ładowania plików - na pewno rozpakowałeś archiwa? W związku z tym wykonaj tę zaległą część:

Wprawdzie skrypt miał być uruchomiony z poziomu RE a nie trybu normalnego, ale zadanie wykonane. Teraz: 1. Usuń używane narzędzia za pomocą DelFix. 2. Na wszelki wypadek zrób jeszcze skan za pomocą Hitman Pro. Nic nie usuwaj, tylko podaj wyniki. By plik wszedł w załącznik, musi mieć rozszerzenie *.txt (po prostu zapisz ponownie do nowego pliku).

DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

Zastosuj ten skrypt w zamian: Replace: C:\Pliki\MpSvc.dll C:\Windows\winsxs\x86_security-malware-windows-defender_31bf3856ad364e35_6.1.7600.16385_none_579306edb982ae36\MpSvc.dll Replace: C:\Pliki\MpSvc.dll C:\Windows\winsxs\x86_security-malware-windows-defender_31bf3856ad364e35_6.1.7601.17514_none_59c41ab5b67131d0\MpSvc.dll Replace: C:\Pliki\MpSvc.dll C:\Program Files\Windows Defender\MpSvc.dll Przedstaw wynikowy Fixlog.txt.

Wszystko wykonane. Poproszę jeszcze o: Uruchom AdwCleaner. Wybierz opcję Skanuj (nic nie usuwaj) i dostarcz log wynikowy z folderu C:\AdwCleaner.

Tym razem poszło. Wszystko wykonane. Teraz jeszcze: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wyraźnie jest powiedziane w zasadach, by nie ponawiać skryptu na własną rękę, o ile nie zostaniesz poinstruowany, by tak zrobić. Skrypt leci ekspresem, zwłaszcza taki jak powyżej. 2 godziny to na pewno to nie jest poprawny czas wykonania. Przerwij działanie i dostarcz plik fixlog.txt - jest niekompletny, ale powinien mieć nagraną choć część zadań do momentu wystąpienia błędu. Nie wiadomo w jakiej ścieżce. Podaj dokładny wyciąg z dziennika AVG.

Wszystko zrobione. Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Materiał edukacyjny, by uniknąć podobnych problemów w przyszłości: KLIK.

Wszystko zrobione. Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Materiał edukacyjny, by uniknąć podobnych problemów w przyszłości: KLIK.

Obecnie konto nie ma w ogóle dostępu do własnych danych, uruchamia się z C:\Users\TEMP (zawartość goła i wesoła), więc już w tym momencie jest "brak danych". Dane konta są w katalogu C:\Users\user i to co próbuję tu zrobić, to właśnie przekierować katalogi. Ta operacja tylko linkuje katalog i nic z niego nie usuwa. Natmiast czy to się uda, to już inna sprawa. Jeśli się nie uda, konto jest dokumentnie uszkodzone. Na razie proszę wykonaj tylko to o czym mówię (Reprofiler + nowe logi FRST z poziomu konta Rodzice).

Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Poczytaj na co uważać, by uniknąć podobnych problemów: KLIK.

solmyr, tak się tu nie załatwia spraw. Wszystko musi być potwierdzone, bo coś mogło się nie usunąć w skrypcie lub wystąpiły nowe okoliczności. A poza tym są także do wykonania specjalne kroki końcowe. Wyraźnie prosiłam o:

Wszystko zrobione. Kończymy: 1. Mini fix. Otwórz Notatnik i wklej w nim: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "Registration .LNK" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Power2GoExpress8 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "mobilegeni daemon" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Poczytaj czego unikać: KLIK.

Drobne poprawki: 1. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > Prywatność > Wyczyść dane przeglądania > wybierz "Od samego początku" i zaznacz wszystkie pozycje z wyjątkiem haseł > Wyczyść dane przeglądania. 2. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKCU\Software\SweetLabs App Platform DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WarThunder sun DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WarThunder sat DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WarThunder24 DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{4E8B1900-34DE-E742-E6A7-606519AC19B7} DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Akcja: 1. Klawisz z flagą Windows + X > Programy i funkcje > Odinstaluj: Adobe AIR, Adobe Reader 8.1.0, Foxtab (adware), Pando Media Booster. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202 ShortcutWithArgument: C:\Users\Ewa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202 ShortcutWithArgument: C:\Users\Ewa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202 ShortcutWithArgument: C:\Users\Ewa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2327504602-676731766-3640145769-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202&q={searchTerms} HKU\S-1-5-21-2327504602-676731766-3640145769-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202&q={searchTerms} SearchScopes: HKU\S-1-5-21-2327504602-676731766-3640145769-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Toolbar: HKLM - Brak nazwy - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202 FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Ewa\AppData\Roaming\Mozilla\Firefox\Profiles\k5voscb5.default\extensions\default_newtabff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Ewa\AppData\Roaming\Mozilla\Firefox\Profiles\k5voscb5.default\extensions\yahooprotected@gmail.com StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202 CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202 CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202" CHR DefaultSearchURL: Default -> hxxp://www.yoursites123.com/web/?type=ds&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202&q={searchTerms} CHR DefaultSearchKeyword: Default -> yoursites123 StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449841938&z=7667727bff88ece2d1a980cg0z7z0tdb7z7gdtazez&from=ient07021&uid=ST1000LM024XHN-M101MBB_S2U5J9CD163202 R2 WdMan; C:\ProgramData\aWdMa\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-13] () S1 {5eeb83d0-96ea-4249-942c-beead6847053}Gw64; system32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw64.sys [X] S1 {a3f28269-ad17-41a8-b032-3e0313ef8979}Gw64; system32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw64.sys [X] S1 {a5c25b9e-3974-4e91-9864-34f9aca33ff3}Gw64; system32\drivers\{a5c25b9e-3974-4e91-9864-34f9aca33ff3}Gw64.sys [X] S2 Update Solution Real; "C:\Program Files (x86)\Solution Real\updateSolutionReal.exe" [X] S2 Util Solution Real; "C:\Program Files (x86)\Solution Real\bin\utilSolutionReal.exe" [X] HKU\S-1-5-21-2327504602-676731766-3640145769-1002\...\Run: [ChomikBox] => C:\Program Files (x86)\ChomikBox\chomikbox.exe Task: {ECBAC623-128D-4A22-9F2C-AEEC22DED856} - System32\Tasks\{0498070D-BAFC-4810-A897-941CA9DF4329} => pcalua.exe -a E:\setup.exe -d E:\ Task: {EDE3F314-82DA-4369-B7FD-FDB2816AB2C8} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2012-08-08] (Lenovo) DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe Reader Speed Launcher" /f RemoveDirectory: C:\Program Files\Enigma Software Group RemoveDirectory: C:\ProgramData\aWdMa RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Picexa RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sammy Suricate RemoveDirectory: C:\Users\Ewa\AppData\Roaming\Picexa Viewer C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Ewa\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Ewa\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\Ewa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk C:\Users\Ewa\Hopmon.lnk C:\Users\Jerzy\Desktop\Sammy Suricate.lnk C:\Users\UpdatusUser\Desktop\*.lnk C:\Windows\System32\Drivers\EsgScanner.sys C:\WINDOWS\SysWOW64\pl.html CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Pus trzeba będzie potem przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Wszystko pomyślnie zrobione, ale jeszcze poprawki: 1. W Google Chrome: - Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres yoursites123.com, przestaw na "Otwórz stronę nowej karty". - Ustawienia > karta Rozszerzenia > odinstaluj Ad.Block Plus. To podejrzane rozszerzenie, usunięte z Chrome Web Store (jakaś przyczyna musi być). 2. Ace Stream Media odinstalował się na pół gwizdka, pozostawiając po sobie AceWebExtension. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1525185845-3506830205-1325651090-1002\...\Run: [AceWebException] => C:\Users\Artur\AppData\Roaming\AceWebExtension\updater\ace_web_extension.exe [22824 2015-02-28] () S2 PicexaService; C:\Program Files (x86)\Picexa\PicexaSvc.exe [X] DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Picexa Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v AceUpdater /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v AceWebException /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Artur\AppData\Roaming\.ACEStream RemoveDirectory: C:\Users\Artur\AppData\Roaming\ACEStream RemoveDirectory: C:\Users\Artur\AppData\Roaming\AceWebExtension RemoveDirectory: C:\Users\Artur\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Nie dostarczyłeś pliku fixlog.txt. A te wyniki z AVG to nie są trojany: - Kilka ciasteczek śledzących. Wystarczy odwiedzić kilka stron / portali sponsorowanych reklamami i już mamy zestaw na dysku. - Uszkodzony instalator SkypeSetup.exe w Temp. Zadana została komenda EmptyTemp: w skrypcie FRST. - Autoryzacje w Zaporze systemowej od gry Need for Speed™ Rivals. To samo widoczne jest w FRST Addition: FirewallRules: [{896A60AA-CD24-4873-874F-8A8697D3C0B8}] => (Allow) C:\Program Files\Need for Speed Rivals\NFS14.exe FirewallRules: [{2A28967D-19CF-4BB1-B7BA-F4E2C51BA356}] => (Allow) C:\Program Files\Need for Speed Rivals\NFS14.exe FirewallRules: [{5691C7A5-FA57-48C9-8AD3-CF0459992AFF}] => (Allow) C:\Program Files\Need for Speed Rivals\NFS14_x86.exe FirewallRules: [{917068C4-575B-4F0E-9E58-5015B3E3190C}] => (Allow) C:\Program Files\Need for Speed Rivals\NFS14_x86.exe FirewallRules: [TCP Query User{E9E6CD04-68CA-4379-B9EB-52DDCDCF4C6C}C:\program files\need for speed rivals\nfs14.exe] => (Allow) C:\program files\need for speed rivals\nfs14.exe FirewallRules: [uDP Query User{1063A32F-E2F2-465F-B7F1-3CC5FD3F8D8B}C:\program files\need for speed rivals\nfs14.exe] => (Allow) C:\program files\need for speed rivals\nfs14.exe

1. Zacznij od poprawnej deinstalacji przez Dodaj/Usuń adware wykrytych w MBAM: Bonanza Deals, Foxtab. Od razu usuń też stary sfatygowany zestaw Mozilla Firefox 26.0 (x86 en-US) + Mozilla Maintenance Service. Jeśli Firefox ma tu wrócić, a obecnie jest w nim coś cennego, posłuż się MozBackup, by skopiować zakładki + hasła (i nic więcej!). 2. Po w/w akcji zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition i Shortcut.

Wszystkie zadania wyglądają na wykonane. Temat rozwiązany. Zamykam.

Procedura sprawdzania stanu transferu dysku po skanie GMER może być przeprowadzona w dowolnym momencie. Ale jakoś wątpię, by tu był problem tego typu, gdyż jest Windows 7, a opisywany stan to "trochę dłużej". Przy zdegradowabym transferze nie chodzi o "trochę", start wydłuża się o wiele minut (np. 5). Jeśli teraz notujesz wydłużenie startu, to prędzej podejrzane świeże instalacje programów zabezpieczających, tzn. Anvi Smart Defender, który jest skombinowany z Microsoft Security Essentials. Wszystko zrobione. Kończymy: 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Przez SHIFT+DEL (omija Kosz) skasuj folder deinstalatora Microsoftu C:\MATS + z Pobranych folder backups utworzony przez HijackThis. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Rodzicom podsunąć ten mateiał prewencyjny do czytania: KLIK.