picasso

EDIT: ślepota, FRST już je usunął w pierwszym podejściu. Wykreśliłam z Fixa duplikaty. Pendrive jak najbardziej wchodzi w grę. Potencjalne zagrożenie to zainfekowanie przez wirusa plików na pendrive.

Wszystko zrobione zgodnie z planem. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

1. Tak, te pliki BAT otwierają rosyjską stronę pagego.ru. Okazuje się, że także są zainfekowane skróty Thе Еldеr Sсrоlls V - Skyrim. Co więcej, wszystkie skróty kierujące do BAT okazują się być sztucznie dorobione przez infekcję, a nie jak pierwotnie sądziłam oryginały przekierowane na BAT. Otóż nazwy tych skrótów wyglądają "normalnie" tylko w pliku Shortcut.txt (zapisany w UTF-8) oraz w moim poście (forum również chodzi w UTF-8), ale już po wklejeniu do Fixlist (zapisany w ANSI) zostały przerobione na pytajniki. To oznacza, że nazwy zawierają falsyfikaty znaków dobrane z puli Unicode, graficznie odpowiadające określonym literom, ale nie będące nimi. C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\G??gl? ?hr?m?.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\??zill? Fir?f??.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\G??gl? ?hr?m?.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\L?un?h Int?rn?t ??pl?r?r ?r?ws?r.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\G??gl? ?hr?m?.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\??zill? Fir?f??.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Int?rn?t ??pl?r?r (N? ?dd-?ns).lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Int?rn?t ??pl?r?r.lnk C:\Users\Public\Desktop\G??gl? ?hr?m?.lnk Poprawki. Otwórz Notatnik i wklej w nim: Task: {0691E637-83ED-4867-B581-86184987CA74} - \Update Service for Torrent Search2 -> Brak pliku Task: {F9674D27-CED6-4653-9F83-69DE737658E8} - System32\Tasks\Update Service for Torrent Search => C:\Program Files\Torrent Search\aH8A6wF.exe Task: C:\Windows\Tasks\Update Service for Torrent Search.job => C:\Program Files\Torrent Search\aH8A6wF.exe C:\ProgramData\ntuser.pol C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda\The Elder Scrolls V - Skyrim\Тhе Еldеr Sсrоlls V - Skyrim.lnk C:\Users\Public\Desktop\Тhе Еldеr Sсrоlls V - Skyrim.lnk C:\Users\Admin\Downloads\Niepotwierdzony*.crdownload D:\Gry\The Elder Scrolls V - Skyrim\Launcher.bat CMD: dir /a "C:\Program Files\Google\Chrome\Application" CMD: dir /a "C:\Program Files\Internet Explorer" CMD: dir /a "C:\Program Files\Mozilla Firefox" CMD: dir /a "D:\Gry\The Elder Scrolls V - Skyrim" Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. Przedstaw go. 2. Niestety podejrzenie się sprawdziło. Wirus Ramnit jest aktywny. Wpis Userinit oraz plik ExplorerSrv.exe wróciły natychmiast po usunięciu. To oznacza, że sukcesywnie są niszczone pliki wykonywalne Windows i programów. Proszę zastartuj z płyty Kaspersky Rescue Disk i uruchom skaner antywirusowy. Jeśli skaner nie będzie w stanie czegoś wyleczyć, wyrzucaj pliki. Nie może zostać ani jeden zainfekowany. Domyślnie nie jest zapisywany raport w formie trwałej. Jeśli nie będziesz w stanie zapisać wyników w postacui TXT, porób zrzuty ekranu z karty Reports tak by było widać wszystko co zostało zaadresowane. 3. Po wszystkim zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition i Shortcut. Przedstaw także wyniki skanowania Kasperskym.

DelFix wykonał co należy. Skasuj z dysku plik C:\delfix.txt. Załóż nowy temat dla porządku.

Widać aktywne komponenty adware Torrent Search oraz odpadki po MyBrowser, a wszystkie skróty przeglądarek kierują na jakieś pliki BAT (to odpowiada opisowi z cmd i ruską stroną): Shortcut: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе Сhrоmе.lnk -> C:\Program Files\Google\Chrome\Application\chrome.bat () Shortcut: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk -> C:\Program Files\Internet Explorer\iexplore.bat () Shortcut: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk -> C:\Program Files\Google\Chrome\Application\chrome.bat () Shortcut: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Моzillа Firеfох.lnk -> C:\Program Files\Mozilla Firefox\firefox.bat () Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk -> C:\Program Files\Mozilla Firefox\firefox.bat () Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.lnk -> C:\Program Files\Google\Chrome\Application\chrome.bat () Shortcut: C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk -> C:\Program Files\Google\Chrome\Application\chrome.bat () Shortcut: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk -> C:\Program Files\Internet Explorer\iexplore.bat () ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk -> C:\Program Files\Internet Explorer\iexplore.bat () -> -extoff Ale mam znacznie gorsze wieści. Reklamy mogą być problemem podrzędnym. W systemie są ślady wirusa Ramnit, który atakuje wszystkie pliki wykonywalne na wszyskich dyskach. Wejście należne do wirusa to: HKLM\...\Winlogon: [userinit] c:\windows\system32\userinit.exe,,c:\program files\microsoft\desktoplayer.exe ... oraz ten plik: 2015-10-09 16:05 - 2015-11-08 00:49 - 00056320 _____ (SOFTWIN S.R.L.) C:\Windows\ExplorerSrv.exe Jeśli wirus jest aktywny, wejścia są nieusuwalne, tzn. cały czas wracają. Nie wiadomo na razie czy wirus jest rzeczywiście aktywny i spróbuję zaadresować wszystko co widzę, ale rekonstrukcja modyfikacji Userinit to będzie czerwony alarm. Infekcję Ramnit bardzo trudno ubić, to się zwykle kończy globalnym formatem. Wstępnie wykonaj następujące akcje: 1. Odinstaluj stare wersje i zbędniki: Adobe Flash Player 10 ActiveX, HP Customer Participation Program 14.0, Java 8 Update 20, Java 8 Update 60, Java SE Development Kit 8 Update 20. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: type "C:\Program Files\Google\Chrome\Application\chrome.bat" CMD: type "C:\Program Files\Internet Explorer\iexplore.bat" CMD: type "C:\Program Files\Mozilla Firefox\firefox.bat" CMD: type "D:\Gry\The Elder Scrolls V - Skyrim\Launcher.bat" CMD: type C:\ProgramData\ntuser.pol CMD: type C:\Windows\system32\GroupPolicy\Machine\registry.pol R1 swsedrvr_vt_1_10_0_25; system32\drivers\swsedrvr_vt_1_10_0_25.sys [X] HKLM\...\Run: [] => [X] HKLM\...\Winlogon: [userinit] c:\windows\system32\userinit.exe,,c:\program files\microsoft\desktoplayer.exe Task: {0FD70C32-99B2-42C4-AD94-7F292329F9BF} - System32\Tasks\Update Service for Torrent Search2 => C:\Program Files\Torrent Search\aH8A6wF.exe [2015-10-09] () Task: {C401C558-7A50-420D-9AA0-F41DADA9D9A1} - System32\Tasks\Rerun service for Torrent Search => C:\Users\Admin\AppData\Local\Temp\TorrentSearch_restartonfail_exe\ts_10051.exe [2015-11-07] (Company Inc.) Task: {D709D175-8215-4D7E-A87F-A1C6511FE329} - System32\Tasks\MyBrowser => C:\Program Files\MyBrowser\MyBrowser\Application\utility.exe Task: C:\Windows\Tasks\MyBrowser.job => C:\Program Files\MyBrowser\MyBrowser\Application\utility.exe Task: C:\Windows\Tasks\Rerun service for Torrent Search.job => C:\Users\Admin\AppData\Local\Temp\TorrentSearch_restartonfail_exe\ts_10051.exe Task: C:\Windows\Tasks\Update Service for Torrent Search2.job => C:\Program Files\Torrent Search\aH8A6wF.exe GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKU\S-1-5-21-4127351139-3218798602-2645746064-1000 -> {14EFDE6B-62CA-4401-AF62-15BE2616AE74} URL = hxxps://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=435371&p={searchTerms} BHO: TSearch -> {6E727987-C8EA-44DA-8749-310C0FBE3C3E} -> C:\Program Files\Torrent Search\IEEF\ojUkrz57aC.dll [2015-10-09] () FF Session Restore: -> [funkcja włączona] FF Extension: TSearch - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\90i9q7et.default\Extensions\{6E727987-C8EA-44DA-8749-310C0FBE3C3E} [2015-11-07] [brak podpisu cyfrowego] FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-4127351139-3218798602-2645746064-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 C:\Torrentex C:\Program Files\Google\Chrome\Application\chrome.bat C:\Program Files\Internet Explorer\iexplore.bat C:\Program Files\microsoft C:\Program Files\Mozilla Firefox\firefox.bat C:\Program Files\Torrent Search C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk C:\Users\Admin\AppData\Local\MyBrowser C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе Сhrоmе.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MyBrowser.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Моzillа Firеfох.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk C:\Users\Admin\Downloads\Torrentex C:\Windows\ExplorerSrv.exe Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\swsesrvc_1.10.0.25" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SMSetup" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Operacje tyczące przeglądarek: ----> Wszystkie skróty przeglądarek zostały usunięte, więc odtwórz sobie na Pulpicie, Pasku zadań i Menu Start skróty. ----> Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Torrent Search, o ile sam nie zniknie po użyciu skryptu FRST. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. ----> Obecnie brak ustawionej domyślnej przeglądarki. Wybraną ustaw jako domyślną. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonymi polami Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się które problemy nadal występują.

Malware nie ma co szukać, to nie jest przyczyna problemów. Do wyczyszczenia byłyby tylko drobniutkie szczątki adware i wpisy puste, co nie ma obecnie znaczenia i na razie akcji nie ma po co wykonać. Powód jest następujący: To jest usterka sprzętowa. W Dzienniku zdarzeń w kółko powtarza się błąd złych bloków dysku: Dziennik System: ============= Error: (11/07/2015 06:28:31 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Error: (11/07/2015 06:28:16 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Error: (11/07/2015 06:28:13 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Error: (11/07/2015 06:28:10 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Error: (11/07/2015 06:28:03 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Error: (11/07/2015 06:28:01 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Error: (11/07/2015 06:27:59 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Error: (11/07/2015 06:27:58 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Temat przenoszę do działu Hardware, kto inny będzie go prawdopodobnie prowadził, gdyż ja nie jestem specjalistą sprzętowym. Dostarcz dane wymagane działem: KLIK. I już na wszelki wypadek skopiuj cenne dane z tego dysku na jakiś zewnętrzny nośnik, bo trudno przewidzieć czy nie nastąpi niespodziewana utrata danych oraz co dalej będzie z dyskiem.

Jeśli chodzi o Fixy, to nie ma pożądanych zmian i dziennik Comodo nie został usunięty. I tu chyba jest jakiś ogólny problem grubszego kalibru, bo nie tylko Dziennik Comodo nie chce się usunąć, ale także i prosty folder starego rozszerzenia .NET Framework Assistant. Być może te dwa zjawiska łączą się z tym: Te katalogi na razie nie są istotne, bo one najprawdopodobniej zaczną się i tak tworzyć na nowo, usunę je na szarym końcu. Na razie trzeba zdefiniować o co tu chodzi. Pytaniem jest: czy zalecone narzędzie AVG coś zdziałało? Podaj mi spis uprawnień przykładowych obiektów. Otwórz Notatnik i wklej: ListPermissions: C:\ ListPermissions: C:\Dbz0A5CD ListPermissions: C:\MSIab77c.tmp ListPermissions: C:\Program Files ListPermissions: C:\Program Files\AVG ListPermissions: C:\WINDOWS ListPermissions: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension ListPermissions: C:\WINDOWS\system32 ListPermissions: C:\WINDOWS\system32\config\COMODO I.evt Zapisz jako fixlist.txt. W FRST opcja Napraw. Restartu nie będzie. Dostarcz wynikowy fixlog.txt.

Czynności do wykonania: 1. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Avast SafePrice. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > ustaw Google jako domyślną oraz skasuj z listy search.delta-homes.com (o ile będzie widoczny). 2. Uruchom AdwCleaner ponownie. Tym razem zastosuj kombinację opcji Skanuj + Usuń. Dostarcz wynikowy log.

Ostatnia porcja zadań: 1. Do Notatnika wklej: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{7D3C47ED-E0BE-4940-9DDA-A7A097AEBD88} Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID /v {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Dostarcz wynikowy fixlog.txt. Po potwierdzeniu jego zawartości: 2. Usuń F:\Farbar. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

W systemie działa szkodliwa usługa MustangService_2015_10_10. Tak, EasyCalendar jest również powodem reklam, a jego usuwanie jest zablokowane za pomocą polityk Google. Druga sprawa, jest tu zainstalowany crack KMSPico, który wygląda na uszkodzony, więc trzeba będzie go odinstalować. Akcje do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj zbędniki, starszą wersję i naruszony crack: Adobe Flash Player 19 NPAPI, Adobe Flash Player 19 PPAPI, Adobe Reader 9.5.0 - Polish, Driver Booster 3.0, GeekBuddy, KMSpico v9.1.3. Te instalacje Adobe Flash nie są potrzebne, posiadasz Google Chrome, które ma wbudowany własny i nie korzysta z wymienionych wcale. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: type C:\ProgramData\ntuser.pol CMD: type C:\WINDOWS\system32\GroupPolicy\Machine\registry.pol Folder: C:\WINDOWS\SysWOW64\GroupPolicy S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer22.exe [236816 2015-11-02] (MustangService) S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S3 WinRing0_1_2_0; \??\D:\Programy\Game Booster 3\Driver\WinRing0x64.sys [X] S2 X5XSEx_Pr143; \??\C:\Program Files (x86)\Free Ride Games\X5XSEx_Pr143.Sys [X] HKU\S-1-5-18\...\Run: [Exetender] => "C:\Program Files (x86)\Free Ride Games\GPlayer.exe" /runonstartup Task: {6DB627A7-88B1-42BD-BAAD-C0E978452BC3} - System32\Tasks\Game_Booster_AutoUpdate => D:\Programy\Game Booster 3\AutoUpdate.exe Task: {AB5E88A3-73B3-43FD-BE46-DCB36255D33A} - System32\Tasks\AutoPico Daily Restart => C:\Program Files\KMSpico\AutoPico.exe Task: {CE7621B1-39E6-4169-97EB-2F696E4E7D59} - System32\Tasks\{0702B832-8C50-4A4E-A39C-C1C132FBC554} => pcalua.exe -a "C:\Users\Admi\Downloads\ZOO TYCOON 2 - WYMARŁE GATUNKI.exe" -d C:\Users\Admi\Downloads GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1446069580&z=d3320df65dba55ead301d81g8zcz5q9eeq1t9wcb8e&from=amt&uid=hgstxhts545050a7e380_te85134n0tw4ur0tw4urx&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1446069580&z=d3320df65dba55ead301d81g8zcz5q9eeq1t9wcb8e&from=amt&uid=hgstxhts545050a7e380_te85134n0tw4ur0tw4urx&q={searchTerms} SearchScopes: HKU\S-1-5-21-3822102861-3475623652-1124612162-1001 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = hxxp://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo DPF: HKLM-x32 {6A060448-60F9-11D5-A6CD-0002B31F7455} ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku C:\Program Files (x86)\29e423e1-950b-4b90-8c8e-e184997f307f C:\Program Files (x86)\96a7bc03-abfe-4be7-8cf3-3818fdb269ec C:\Program Files (x86)\mbot_pl_014010129 C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\*.bdinstall.bin C:\ProgramData\TempMoudleSet C:\ProgramData\TEMP C:\Users\Admi\AppData\Local\Google\Chrome\User Data\Default\Extensions\oggihoncmelambjaefiboekididcaffe.crx C:\Users\Admi\AppData\Local\Mozilla C:\Users\Admi\AppData\Local\Opera Software C:\Users\Admi\AppData\Roaming\ClassicShell\Pinned\DAEMON Tools Lite.lnk C:\Users\Admi\AppData\Roaming\DAEMON Tools Lite C:\Users\Admi\AppData\Roaming\Mozilla C:\Users\Admi\AppData\Roaming\Opera Software C:\WINDOWS\Tasks\ImCleanDisabled C:\WINDOWS\system32\FxsTmp C:\WINDOWS\system32\log C:\WINDOWS\system32\Drivers\etc\hp.bak Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SFAUpdater /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Smart File Advisor" /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż przeszkodzi FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Zrób więc nowy log USBFix z opcji Listing przedstawiający co obecnie jest na urządzeniu.

Fix FRST pomyślnie wykonany. FRST nie znalazł plików *.tmp w dllcache, może samoistnie zniknęły w międzyczasie. Wyczyść punkty Przywracania systemu, by pozbyć się starych które są już niezdatne (zawierają uszkodzone kopie) i nagraj nowy z bieżącego stanu. Dalsze plany rozpisane. Nie twierdziłam, że nie da się naprawić, ale twierdzę nadal że wynikowy stan systemu po świeżej instalacji byłby lepszy. - Są pewne koszty tego "sztukowania". W XP mechanizmy auto-naprawcze są dość słabe. Były robione kilkukrotne operacje cofania, które nie przyniosły pełnych rezultatów, a mogły zdesynchronizować dane na linii rejestr pliki. Dodatkowo, wymiana plików była tu konieczna, a przy nieznanym zakresie naruszeń musiał zostać uruchomiony globalny system weryfikacji. SFC w XP jest bardzo ograniczony i żąda określonego materiału, tożsamy stan SP nie jest wystarczający (nie są uwzględnione łaty późniejsze, skonstruowanie materiału wiernie odpowiadającemu faktycznemu stanowi aktualizacji graniczy z cudem). Naprawa tu wykonana mogła zdegradować określone aktualizacje systemu. - Nie jest pewne czy nie ma więcej baboli podobnych do już rozwiązanego aspektu .NET Framework, tylko w przedziale aplikacji wtórnych. SFC interesuje się tylko limitowaną pulą plików w określonych katalogach. - Na horyzoncie grubsze porządki w aplikacjach. Nie wiem. Usterka główna jest bardzo podejrzana (masowe uszkodzenia plików), w rozumieniu że prędzej to pasuje do awarii w strukturze plików, aniżeli ingerencji programu zewnętrznego. Wykonałeś już na własną rękę diagnostykę chkdsk i MHDD, więc nic więcej tu raczej nie wymyślę. Natomiast Comodo (jak zaznaczałeś, na dodatek martwy) mógłby być powodem innych błędów oraz problemem podczas wdrażania napraw blokując wykonanie pewnych procesów.

Raport FRST wykazuje korzystne zmiany. Masowy odczyt "Brak podpisu cyfrowego" ustąpił (pozostały tylko te rekordy, które realnie nie mają certyfikatu), także uprzednio pozbawione sygnatury Microsoftu pliki nie są już widoczne. Zniknęły błędy Repozytorium. Prawdopodobnie pijesz do "CBS.LOG". XP posiada prymitywny pierwowzór SFC i nie generuje w ogóle takiego raportu tekstowego. Jedynie w Dzienniku zdarzeń można znaleźć określone selektywne operacje. Dzienniki zostały wyczyszczone w celu nagrania tylko aktualnych błędów, obecnie brak rekordów relatywnych do operacji SFC. To w nowoczesnych systemach (Vista i wyżej) występuje znacznie potężniejsze narzędzie SFC, działające w inny sposób i nagrywające wyniki do C:\Windows\Logs\CBS\CBS.LOG. Zapomniałam, że padnie pytanie o zależności, które trzeba potwierdzać. Powinien zostać dodany przełącznik "cichy": net stop winmgmt /t (w wersji anglojęzycznej /y). W związku z tym nie wykonało się zatrzymanie usługi i FRST przesuwał komponenty przy restarcie (nie doszłoby do tego), a sam folder Repository per se nie został usunięty. Ta sprawa jest już jednak zamknięta. Mówiłeś, że to "Windows od kolegi", nie wiadomo co było w nim zmodyfikowane, ale wygląda na to, że naprawa SFC uaktywniła komponent Indeksowania dysku: KLIK. Log FRST sugeruje także, że ten XP miał wycięty cały katalog dllcache, gdyż masowo powstały w nim pliki. Reinstalacja Microsoft .NET Framework 4 ze świeżego instalatora, by wstawić poprawne pliki. SFC tego nie adresuje, gdyż .NET nie jest natywnym komponentem systemu. Pozostałe błędy: Dziennik System: ============= Error: (11/06/2015 07:07:01 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi HP Support Solutions Framework Service z powodu następującego błędu: %%5 Error: (11/06/2015 07:07:01 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi cpuz135 z powodu następującego błędu: %%2001 Error: (11/06/2015 07:07:01 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Sterownik portu równoległego z powodu następującego błędu: %%1058 1. Błąd numer jeden to "Odmowa dostępu". Stan obecny usługi "Zatrzymana". Przeinstaluj aplikację HP Support Solutions Framework. S2 HPSupportSolutionsFrameworkService; C:\Program Files\Hp\Common\HPSupportSolutionsFrameworkService.exe [89840 2015-03-28] () [brak podpisu cyfrowego] 2. Błąd numer dwa tyczy starego sterownika, zresztą bez certyfikatu. Odinstaluj CPUID CPU-Z. S2 cpuz135; C:\WINDOWS\system32\drivers\cpuz135_x32.sys [21992 2011-09-21] () [brak podpisu cyfrowego] 3. Pozostałe poprawki - Fix do FRST: CMD: sc config Parport start= disabled HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = S3 PROCEXP151; \??\C:\WINDOWS\system32\Drivers\PROCEXP151.SYS [X] AlternateDataStreams: C:\WINDOWS:{DA6227CB-326B-4B4D-9A81-04B61F1538DD} C:\WINDOWS\system32\dllcache\*.tmp RemoveProxy: Zaprezentuj wynikowy Fixlog.txt. 4. Na dalszą metę: - Czas przewertować zainstalowane programy i pozbyć się starych wersji. Przede wszystkim usuń NVIDIA ForceWare Network Access Manager - to problematyczny firewall nVidia, paczka z 2006. Poza tym, widać stare wersje Adobe i Java (luki!). - W Firefox odinstaluj dodatek Flashget Downloader Extension - to stare rozszerzenie i nie jest podpisane cyfrowo. Wkrótce Firefox zablokuje uruchamianie niepodpisanych cyfrowo dodatków.

Przedstaw nowe raporty FRST (włącznie z Addition) obrazujące pomyślność deinstalacji.

Wykonałeś skrypt sprzed mojej edycji (usunęłam duplikaty HKU). Ale w sumie wyniki końcowe są prawie tożsame. 1. Poprawka. System 64-bit, ciągle zapominam, że AdwCleaner niepoprawnie przedstawia klucze 64-bitowe. Kolejny skrypt do FRST: DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro 2. Na zakończenie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Dostarczony obrazek klaruje problem poziomu sprzętowego. Temat przenoszę do działu Hardware. Dostarcz kompleksowe dane wymagane działem: KLIK.

Wszystko wykonane. Na zakończenie: 1. Usuń z Pulpitu folder FRST. Następnie zastosuj DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zastąp najnowszymi wersjami następujące programy: Adobe Reader 9.5.5 - Polish, Internet Explorer 10, Java 8 Update 60, OpenOffice.org 3.3. Pobieranie również w w/w linku.

GMER nic nie dodaje nowego sprawy. Czy jest jakaś poprawa w działaniu? Nie wątpię, że zrobił, bo wspominałeś o tym. Tylko trudno stwierdzić czy były to pożądane aktualizacje. Jeśli problemy "mulenia" nadal występują, wcale nie są wykluczone te instalacje "boostera" jako przyczyna.

Drobna poprawka, gdyż za późno zedytowałam komendę Reg (brak parametru /f), co powstrzymało dokończenie skryptu. Do Notatnika wklej: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Ma nastąpić restart. Powstanie kolejny fixlog.txt. Przedstaw go.

O kurcze, jakoś pominęłam wyniki z Shortcut, nie wkleiłam ich do skryptu. Poprawki. Otwórz Notatnik i wklej w nim: ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1445978202&z=e68d9e8317f0816c944a11dg4z9z1w1t2mbm8t8z7w&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC02804 ShortcutWithArgument: C:\Users\Fabian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1445978202&z=e68d9e8317f0816c944a11dg4z9z1w1t2mbm8t8z7w&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC02804 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1445978202&z=e68d9e8317f0816c944a11dg4z9z1w1t2mbm8t8z7w&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC02804 DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\UpdateStar DeleteKey: HKLM\SOFTWARE\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\FFPluginHp DeleteKey: HKLM\SOFTWARE\WdsManPro Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Spodziewałam się jakiś problemów. Ten błąd to kolejny dowód, że jest uszkodzona struktura systemu plików i to czego nie widać nie istnieje na dysku (GMER widzi nieistniejące obiekty, bo ma specjalny dostęp do struktury plików). Pomiń więc punkt 1 całkowicie, punkt 2 powinien skorygować to wszystko. Wynikowo powinny na dobre zniknąć wszystkie niewidoczne obiekty, powstanie ukryty folder FOUND.000 ze ścinkami wadliwych danych.

Wszystko zgodnie z planem. Na wszelki wypadek jeszcze: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log z folderu C:\AdwCleaner

To co widzisz to stan prezentowany właśnie w USBFix. Natomiast w GMER rzeczywiście widać więcej oraz pliki infekcji (to wygląda na pliki wirusa Sality). Z tym, że ukrycie folderów to prawdopodobnie nie jest robota infekcji, to może być uszkodzenie struktury plików. Typuję tę usterkę na podstawie tego, że GMER widzi podwójny katalog System Volume Information (Przywracania systemu), co w normalnych okolicznościach jest niemożliwe (nie mogą istnieć dwa foldery o identycznej nazwie), za to przy błędach struktury plików "duplikat" jest wykonalny. Wstępnie: 1. W GMER podświetl po kolei wszystkie pliki exe i scr, każdy poczęstuj opcją Usuń. 2. Następnie zrób sprawdzanie dysku pod kątem błędów. W Komputerze prawoklik na dysk J > Właściwości > Narzędzia > Sprawdzanie błędów > Sprawdź > zaznacz obie opcje i uruchom naprawę. 3. Po wykonaniu punktu 2 sprawdź czy są zmiany na urządzeniu. Jeśli tak, dostarcz nowy raport USBFix z opcji Listing. Wtedy będzie można usunąć stare foldery Koszy i System Volume Information. O ile nie zmasakruje ich checkdisk.

Na zakończenie: 1. Usuń z Pulpitu folder Stare dane programu Firefox. Odinstaluj USBFix, następnie zastosuj DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Do aktualizacji Adobe Reader XI oraz systemowy Internet Explorer (mimo, że z niego nie korzystasz). Pobieranie również w powyższym linku. Kwestia preferencji użytkownika. Avast jest w porządku. Nie widzę powodów do zmiany. Nie jestem pewna czy dobrze rozumiem "cienką widoczność czcionki", ale kojarzy mi się to z: Panel sterowania > Wygląd i personalizacja > Ekran > Dopasuj tekst ClearType > zaznaczone Włącz technologię ClearType

Jak mówię, wg USBFix nie ma widocznych oznak ukrywania danych, ani żadnych śladów infekcji tego typu na urządzeniu. Podaj o jakie foldery i w którym miejscu ścieżki dostępu chodzi (czy bezpośrednio w root dysku, czy w którymś podkatalogu). Zaprezentuj też zrzut ekranu z tego: