picasso

Pokłosie instalacji adware. Przypuszczalnie załatwił Cię plik stosujący technikę "downloadera" ze sponsorami: 2015-10-27 21:21 - 2015-10-27 21:21 - 01014928 _____ (Web Program Installer ) C:\Users\Fabian\Downloads\easy-display-manager.exe Obecnie widoczne tylko szczątki adware. Do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: SearchScopes: HKU\S-1-5-21-1656078074-662784795-2507075442-1001 -> DefaultScope {6E895921-1BC1-4729-90B3-68B9183EEB3E} URL = SearchScopes: HKU\S-1-5-21-1656078074-662784795-2507075442-1001 -> {6E895921-1BC1-4729-90B3-68B9183EEB3E} URL = BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1445978202&z=e68d9e8317f0816c944a11dg4z9z1w1t2mbm8t8z7w&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC02804 FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Fabian\AppData\Roaming\Mozilla\Firefox\Profiles\sh8sse2o.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Fabian\AppData\Roaming\Mozilla\Firefox\Profiles\sh8sse2o.default\extensions\deskCutv2@gmail.com => nie znaleziono HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" S2 KMSServerService; C:\WINDOWS\KMSServerService\KMS Server Service.exe [X] C:\$360Section C:\Program Files (x86)\360 C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\360Quarant C:\ProgramData\yWMiniProy C:\Users\Fabian\AppData\Roaming\istartsurf C:\Users\Fabian\Downloads\easy-display-manager.exe DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\istartsurf uninstall EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z przekierowań: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale zainstalowane rozszerzenia (Adblock Plus, NoScript, ReminderFox) trzeba będzie przeinstalować. Menu Historia > Wyczyść historię przeglądania 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. Nie jest to sperawa infekcji. Był używany ComboFix i jestem przekonana, że tylko system "potarmosił", a wyniki żadne. Na temat używania tej aplikacji: KLIK. Dodam też, że obecnie to jest dość słabe narzędzie w kontekście tego co jest aktualnie w obiegu. Rozpocznij od deinstalacji Bitdefender Antivirus Free Edition, który jak najbardziej zazębia się z objawami. To stara wersja na sterownikach z 2012/2013. Sugeruję się też pozbyć tego cudaka Driver Booster 2.4 od IOBit. Takie automaty do aktualizacji sterowników mogą pogorszyć sytuację, mogą zostać zainstalowane nie te wersje które są rzeczywiście wymagane. Tu na forum było wiele tematów, w których użytkownik się załatwił takim rodzajem automatów i trzeba było odkręcać stan systemu. Naturalna sprawa. Google Chrome ma architekturę separacji komponentów do osobnych procesów, co m.in. ma działanie prewencyjne, by awaria jednej karty nie spowodowała awarii całej przeglądarki. Uruchomienie programu "na czysto" to już więcej niż jeden proces, a im więcej kart otwierasz, tym procesy się mnożą. Przykład: na moim systemie Google Chrome z pustą kartą to już 3 procesy, a z 6 otwartymi kartami aż 11 procesów. Tak samo działa Internet Explorer i Opera, a wkrótce dołączy do nich i Firefox (Multiprocess Firefox).

Temat przenoszę do właściwego działu Windows. Oczywiście reinstalacja systemu przywraca integracje producenta, typowo ASUSowe programy oraz partnerskie oprogramowanie zabezpieczające. Jeśli chodzi o nakreślony problem, to rozpocznij od deinstalacji zintegrowanych McAfee LiveSafe – Internet Security oraz WebStorage (znany z generowania błędów przy nawigacji po folderach). Podaj rezultaty czy jest jakaś poprawa.

Nie wiem o co chodzi z brakiem resetu. Czyli za każdym razem musisz go robić ręcznie. Pierwszy Fix FRST wyłącza Dziennik zdarzeń, by móc usunąć odpadkowy Dziennik Comodo, więc mogą być tymczasowe skutki uboczne. Drugi Fix FRST ponownie włącza Dziennik zdarzeń i po resecie wszystko wraca do normy. Zgodnie z powyższym drugi Fix jest konieczny. Do wykonania.

Rozwiń o który dysk chodzi i czego nie widać. Obecnie wg raportu USBFix dysk J nie wykazuje żadnego ukrywania danych: J:\ - Fixed drive (NTFS) [02/03/2015 - 18:11:13 | A | 11846 Ko] - J:\Firefox 36.0 (x86 pl) - 2015-03-02.pcv [15/05/2015 - 12:50:10 | D] - J:\GMT-MAX.ORG_Grand_Theft_Auto_V_RePack_MAXAGENT [04/05/2015 - 20:04:38 | SHD] - J:\$RECYCLE.BIN [30/09/2012 - 06:33:15 | D] - J:\FL [02/03/2015 - 17:42:35 | D] - J:\Downloads [20/08/2015 - 20:27:25 | D] - J:\FILMS Natomiast infekcja w systemie owszem jest, usługa udająca obiekt Microsoftu: R2 Time; C:\ProgramData\Microsoft\Windows\Time\Time-svc.exe [10752 2015-05-29] (Microsoft) [brak podpisu cyfrowego] Dodatkowo, działa sponsorowany Bing. Sam system miernie zabezpieczony: brak jakichkolwiek aktualizacji (pakiet SP1, IE11 i reszta wydana po), zainstalowany bardzo stary ESET z komponentami z 2011. Wstępnie do wykonania następujące działanie: 1. Odinstaluj stare wersje: Adobe Flash Player 18 NPAPI, Adobe Reader 9.5.0 - Polish, ESET NOD32 Antivirus. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Time; C:\ProgramData\Microsoft\Windows\Time\Time-svc.exe [10752 2015-05-29] (Microsoft) [brak podpisu cyfrowego] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] HKU\S-1-5-21-2618943855-1042672543-875358389-1000\...\Run: [bingSvc] => C:\Users\admin\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-04-07] (© 2015 Microsoft Corporation) Task: {1DFF7F0B-6CE5-4D76-B0C6-455308FD3E85} - \SYSTEM -> Brak pliku Task: {611A5C28-37F5-407E-81B3-469A2EC5AB39} - System32\Tasks\{AA3930EC-DB94-4E40-898B-913D33BF1085} => pcalua.exe -a F:\PCM\Pro.Cycling.Manager.Le.Tour.de.France\PCM2012_Spolszczenie_v2.5.exe -d F:\PCM\Pro.Cycling.Manager.Le.Tour.de.France Task: {F89FFEAF-6B08-4AAE-9569-351C9553F3A5} - System32\Tasks\{1AB2E156-4A1F-428C-849F-78CB5B37BC66} => pcalua.exe -a "C:\Program Files (x86)\Xilisoft\Video Converter Ultimate\Uninstall.exe" FF Extension: Brak nazwy - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi [2015-10-08] [brak podpisu cyfrowego] C:\ProgramData\.sys C:\ProgramData\Microsoft\Windows\Time C:\ProgramData\TEMP C:\Users\admin\AppData\Local\Microsoft\BingSvc Folder: C:\Temp Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f CMD: netsh advfirewall reset CMD: type C:\Windows\System32\Tasks\{601F3C02-BA6D-493F-A32D-6B3136904479} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox ze śmieci: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia Adblock Plus i Video DownloadHelper trzeba będzie przeinstalować. Menu Historia > Wyczyść historię przeglądania 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

W systemie działa infekcja ładowana metodą AppInit_DLLs: AppInit_DLLs: C:\ProgramData\Itstock\Zamtraxfind.dll => C:\ProgramData\Itstock\Zamtraxfind.dll [883200 2015-09-14] () AppInit_DLLs-x32: C:\ProgramData\Itstock\Lamstock.dll => C:\ProgramData\Itstock\Lamstock.dll [738816 2015-09-14] () Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\Itstock\Zamtraxfind.dll => C:\ProgramData\Itstock\Zamtraxfind.dll [883200 2015-09-14] () AppInit_DLLs-x32: C:\ProgramData\Itstock\Lamstock.dll => C:\ProgramData\Itstock\Lamstock.dll [738816 2015-09-14] () ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku ShellIconOverlayIdentifiers: [baiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => Brak pliku SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku ProxyServer: [s-1-5-21-2585482010-961294686-2247796360-1000] => cerber:8080 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2585482010-961294686-2247796360-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2585482010-961294686-2247796360-1000\Software\Classes\.exe: exefile => HKU\S-1-5-21-2585482010-961294686-2247796360-1000\Software\Classes\exefile: Task: {D5C06C3A-756F-401D-8E9A-EF3831C2CDFB} - \Desk 365 RunAsStdUser -> Brak pliku Task: {DDFA0D7D-7BC4-43C1-A082-4E0A2BF78D63} - System32\Tasks\060184C3-9766-46a0-B258-F4518A0B2633 => Cscript.exe "C:\ProgramData\Baidu Security\Duplicaterecord.js" Task: {F59E3970-7688-482C-944B-1A8EADEA57C0} - \AmiUpdXp -> Brak pliku S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] S1 epp64; \??\C:\EEK\bin\epp64.sys [X] S0 is3srv; SySWOW64\drivers\is3srv64.sys [X] S0 szkg5; SySWOW64\drivers\szkg64.sys [X] C:\Program Files (x86)\360 C:\ProgramData\360Quarant C:\ProgramData\AVAST Software C:\ProgramData\Itstock C:\Windows\system32\log C:\Windows\Tasks\360Disabled Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\annapcpro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problem rozwiązany.

Logi z przestarzałego OTL nie są tu brane pod uwagę, usuwam je. Brakuje trzeciego pliku FRST Shortcut. Poza tym, zrób też log USBFix z opcji Listing przy podpiętym dysku przenośnym.

Tak, tym razem akcja pomyślnie wykonana. Czy obecnie odkryte dane na pendrive są w całości, niczego nie brakuje?

Oczywiście interferencja zewnętrznego rozszerzenia ingerującego w tryb transferu danych jest poza zasięgiem napraw po stronie forum. W kwestii logowania nic się nie zmieniło. Zmiany to dopiero nadejdą za jakiś czas, gdy zostanie wykonana aktualizacja do IPB4 (radykalna zmiana). Niemniej do tego daleka droga, jest zbyt dużo bugów i oczekuję na jakąś solidniejszą wersję końcową.

Mnie chodzi o użycie plików świeżo pobranych nie pochodzących z tego dysku, gdyż dane zapisane wcześniej i występujące na dysku poddanym awarii są wątpliwe, nie wiadomo czy uszkodzeń nie ma także i w kopii. System weryfikacji SFC szuka wg kolejności: katalog C:\Windows\system32\dllcache, sieciowa ścieżka instalacyjna, CD instalacyjne XP. Można więc spróbować tymczasowo zmienić wartość definiującą lokalizację folderu dllcache. Za to odpowiada wartość SFCDllCacheDir, domyślnie nieobecna. Import do rejestru ustawiający C:\SP\i386: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "SFCDllCacheDir"=hex(2):43,00,3a,00,5c,00,53,00,50,00,5c,00,69,00,33,00,38,00,\ 36,00,00,00 Po akcji usunięcie wartości: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "SFCDllCacheDir"=- Pomiędzy importami na wszelki wypadek restarty systemu.

Niestety akcja nie została wykonana na jednym z pendrive. Jak mówiłam: W międzyczasie nastąpiło przepinanie pendrive (podpięcie dwóch równocześnie), co zmieniło liternictwo i obecnie ten który był widziany we wcześniejszym raporcie UsbFix Listing 2 TAZ.txt pod literą F jest już pod literą G. Nie wypinaj na razie pendrive, trzymam się obecnego liternictwa. Poprawka: Otwórz Notatnik i wklej w nim: RemoveDirectory: G:\System Volume Information CMD: attrib /d /s -s -h G:\* CMD: del /q G:\Team.vbs Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

BITS tu owszem nie działa, stan "Zatrzymano": S2 BITS; C:\WINDOWS\system32\qmgr.dll [409088 2008-04-14] (Microsoft Corporation) [brak podpisu cyfrowego] W związku z błędem narzędzia Fix-it przejdź do kolejnych operacji rozpisanych w punktach 2 i 3, gdyż one mogą wpłynąć na naprawę usług na innej płaszczyźnie. Po ich wykonaniu powtórz akcję z narzędziem Fix-it.

Akcja pomyślnie wykonana. Kończymy: 1. Usuń używane narzędzia za pomocą DelFix. Pobrany GMER i jego log skasuj ręcznie. 2. Wyczyść foldery Przywracania systemu, oraz zainstaluj najnowsze wersje odinstalowanych produktów Adobe: KLIK.

W tej sytuacji nie rozumiem widzianego stanu urządzeń. Czyszczenie a następnie przywracanie wyczyszczonej Historii jest ze sobą sprzeczne. Jeśli nie chcesz czyścić całej Historii, to musisz ją przejrzeć ręcznie i pousuwać wszystkie nieznane / podejrzane adresy. Nie o to chodziło. Nazwy plików utworzonych przez USBFix były wyliczane tylko i wyłącznie jako wskazówka do której litery pendrive się odnoszę (czyli F). Pliki w Notatniku miały być utworzone od zera. Nie wiadomo co naprawdę zrobiłeś, ale opis wskazuje, że to się nie miało prawa wykonać. A dostarczony log USBFix został zrobiony bez podpiętych pendrivów, więc jest bezużyteczny. Powtarzaj całe zadanie, Fixy FRST oraz log USBFix mają być robione przy podpiętych urządzeniach. Skan FRST nie jest mi już potrzebny.

Brak zmian w kwestii masowego "Braku podpisu cyfrowego". Dodatkowo pojawiła się usterka Repozytorium WMI: Dziennik Aplikacja: ================== Error: (11/06/2015 12:28:46 AM) (Source: WinMgmt) (EventID: 4) (User: ) Description: Nie udało się załadować pliku MOF C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V4.0.30319\CLR.MOF w czasie odzyskiwania pliku składu. Error: (11/06/2015 12:28:44 AM) (Source: WinMgmt) (EventID: 4) (User: ) Description: Nie udało się załadować pliku MOF C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V4.0.30319\ASPNET.MOF w czasie odzyskiwania pliku składu. Error: (11/06/2015 12:28:43 AM) (Source: WinMgmt) (EventID: 4) (User: ) Description: Nie udało się załadować pliku MOF C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V4.0.30319\MOF\SERVICEMODEL.MOF w czasie odzyskiwania pliku składu. Error: (11/06/2015 12:28:30 AM) (Source: WinMgmt) (EventID: 4) (User: ) Description: Nie udało się załadować pliku MOF C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\CLR.MOF w czasie odzyskiwania pliku składu. Error: (11/06/2015 12:28:30 AM) (Source: WinMgmt) (EventID: 4) (User: ) Description: Nie udało się załadować pliku MOF C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\ASPNET.MOF w czasie odzyskiwania pliku składu. Error: (11/06/2015 12:28:29 AM) (Source: WinMgmt) (EventID: 4) (User: ) Description: Nie udało się załadować pliku MOF C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.0\WINDOWS COMMUNICATION FOUNDATION\SERVICEMODEL.MOF w czasie odzyskiwania pliku składu. Error: (11/06/2015 12:28:29 AM) (Source: WinMgmt) (EventID: 4) (User: ) Description: Nie udało się załadować pliku MOF C:\7BE7807CC2BD0AA00FA01DB8\I386\LICWMI.MOF w czasie odzyskiwania pliku składu. Error: (11/06/2015 12:19:04 AM) (Source: WinMgmt) (EventID: 28) (User: ) Description: Moduł WinMgmt nie może zainicjować części podstawowych. Powodem mogą być: źle zainstalowana wersja modułu WinMgmt, awaria uaktualnienia repozytorium modułu WinMgmt, za mało miejsca na dysku lub za mało pamięci. Error: (11/05/2015 09:42:26 PM) (Source: WinMgmt) (EventID: 4) (User: ) Description: Nie udało się załadować pliku MOF C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V4.0.30319\CLR.MOF w czasie odzyskiwania pliku składu. Nadal aktualna kwestia uszkodzonych plików. Były zgłaszane dwa przy próbie uruchamia OTL, ale nie wiadomo czy Przywracanie systemu to skorygowało, oraz ile uszkodzeń tak naprawdę jest. Obecnie w raporcie FRST widać dodatkowe uszkodzone pliki (brak sygnatury MS). Z tym że raport FRST jest bardzo mocno ograniczony i na jego podstawie nie da się stwierdzić gdzie jeszcze są uszkodzenia. S3 aec; C:\WINDOWS\System32\drivers\aec.sys [142592 2008-04-13] () [brak podpisu cyfrowego] S2 Alerter; C:\WINDOWS\system32\alrsvc.dll [17408 2008-04-14] () [brak podpisu cyfrowego] S2 HidServ; C:\WINDOWS\System32\hidserv.dll [0 2008-04-14] () S2 dmserver; C:\WINDOWS\System32\dmserver.dll [24064 2008-04-14] () [brak podpisu cyfrowego] S3 kmixer; C:\WINDOWS\System32\drivers\kmixer.sys [172416 2008-04-14] () [brak podpisu cyfrowego] S3 Parport; C:\WINDOWS\System32\DRIVERS\parport.sys [80256 2008-04-14] () [brak podpisu cyfrowego] S2 Schedule; C:\WINDOWS\system32\schedsvc.dll [193536 2008-04-14] () [brak podpisu cyfrowego] S2 WebClient; C:\WINDOWS\System32\webclnt.dll [68096 2008-04-14] () [brak podpisu cyfrowego] Name: Microsoft Kernel Acoustic Echo Canceller Description: Microsoft Kernel Acoustic Echo Canceller Class Guid: {4D36E96C-E325-11CE-BFC1-08002BE10318} Manufacturer: Microsoft Service: aec Problem: : Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39) Resolution: Reasons for this error include a driver that is not present; a binary file that is corrupt; a file I/O problem, or a driver that references an entry point in another binary file that could not be loaded. Uninstall the driver, and then click "Scan for hardware changes" to reinstall or upgrade the driver. Name: Syntezator tablicy dźwięków WAVE Microsoft Kernel GS Description: Syntezator tablicy dźwięków WAVE Microsoft Kernel GS Class Guid: {4D36E96C-E325-11CE-BFC1-08002BE10318} Manufacturer: Microsoft Service: swmidi Problem: : Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39) Resolution: Reasons for this error include a driver that is not present; a binary file that is corrupt; a file I/O problem, or a driver that references an entry point in another binary file that could not be loaded. Uninstall the driver, and then click "Scan for hardware changes" to reinstall or upgrade the driver. Name: Microsoft Kernel Wave Audio Mixer Description: Microsoft Kernel Wave Audio Mixer Class Guid: {4D36E96C-E325-11CE-BFC1-08002BE10318} Manufacturer: Microsoft Service: kmixer Problem: : Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39) Resolution: Reasons for this error include a driver that is not present; a binary file that is corrupt; a file I/O problem, or a driver that references an entry point in another binary file that could not be loaded. Uninstall the driver, and then click "Scan for hardware changes" to reinstall or upgrade the driver. Mam szczere wątpliwości czy warto bawić się sztukowane naprawy, w pewnych scenariuszach należy po prostu podjąć bardziej racjonalną decyzję. W Twojej sytuacji lepiej byłoby przeinstalować system na czysto. Jeśli brniesz w próby reanimacji "trupa", to wstępna próba naprawy powyższych naruszeń: 1. Próba naprawy braku podpisów cyfrowych. Uruchom narzędzie Fix It 50202: KLIK. Narzędzie działa na XP. Zaznacz tryb agresywny - w jego skład wchodzi reset bazy catroot2. Po akcji zresetuj system. 2. Próba naprawy uszkodzonych plików: Ściągnij pakiet SP3: KLIK. Pobrany plik o nazwie WindowsXP-KB936929-SP3-x86-PLK.exe zapisz bezpośrednio na dysku C. Wyekstraktuj pakiet: Start > Uruchom > wklej komendę C:\WindowsXP-KB936929-SP3-x86-PLK.exe /x:C:\SP. Service Pack się rozpakuje do katalogu C:\SP. Uruchom sprawdzanie plików: Start > Uruchom > sfc /scannow > gdy zostaniesz poproszony o "płytę" / wskazanie ścieżki, nakieruj narzędzie na folder C:\SP\i386. 3. Siłowy reset repozytorium, przy okazji usunięcie odpadkowych zadań Comodo. Otwórz Notatnik i wklej w nim: Task: C:\WINDOWS\Tasks\CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805}.job => C:\DOCUME~1\Broda99\USTAWI~1\Temp\cisA.exe Task: C:\WINDOWS\Tasks\CIS_{81EFDD93-DBBE-415B-BE6E-49B9664E3E82}.job => C:\DOCUME~1\Broda99\USTAWI~1\Temp\cisA.exe CMD: net stop winmgmt RemoveDirectory: C:\WINDOWS\system32\wbem\Repository CMD: net start winmgmt CMD: rundll32.exe setupapi,InstallHinfSection WBEM 132 %windir%\inf\wbemoc.inf Reboot: Plik zapisz pod nazwą fixlist.txt, w FRST opcja Napraw, nastąpi restart. 4. Wyczyść Dzienniki zdarzeń, by nagrały się tylko bieżące błędy. Start > Uruchom > eventvwr.msc > opróżnij gałęzie Aplikacja i SYSTEM. Zresetuj system. 5. Zrób nowy log FRST z Addition. Dodaj też fixlog.txt wyprodukowany w punkcie 3. Podsumuj co nadal nie działa, zgłasza błędy, etc.

Przekierowania Ask nadal są widoczne w Google Chrome. Zostanie więc to zadane w skrypcie FRST, który odpali reset przeglądarki. 1. Otwórz Notatnik i wklej: CHR HomePage: Default -> search.ask.com/?gct=hp CHR DefaultSearchURL: Default -> hxxp://www.search.ask.com/web?q={searchTerms} CHR DefaultSearchKeyword: Default -> search.ask.com CHR DefaultSuggestURL: Default -> hxxp://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms} Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Zapomniałeś zrobić nowy skan FRST. Jeśli ciąg zdarzeń wyglądał następująco: format pendrive > ponowne posłużenie się nim w punkcie ksero (czyli reinfekcja), to by wyjaśniało dlaczego "formaty nie pomógł". W przeciwnym wypadku nie potrafię wyjaśnić zdarzenia. I niestety sytuacja może się powtórzyć przy kolejnym korzystaniu z publicznych ksero. Nie można temu zapobiec, urządzenie musiałoby chodzić w trybie zablokowanego zapisu, co czyni go po prostu bezużytecznym do przenoszenia danych. Chodziło o kompletne wyczyszczenie całej Historii, gdyż adware działało znacznie wcześniej niż "ostatnia godzina". Wątpię, by zdarzenia były powiązane, gdyż w tym systemie nie ma śladów czynnej infekcji z pendrive. Bardziej prawdopodobny zdaje się być wpływ adware: rozszerzenie Default NewTab (już usunięte poprzez reset Firefox) oraz globalnie aktywny sterownik StdLib (już usunięty za pomocą Fix FRST), który jest znany z interferencji na sieć. Wracając do wątku czyszczenia pendrive, to właściwe mało co na nich widać. Na obu pendrive pliki osobiste są ukryte, tylko na jednym z nich jest jakiś stary plik sugerujący infekcję (Team.vbs), poza tym nie ma innych śladów. Zadaniem będzie więc proste odkrycie danych przez zdjęcie im atrybutów "H". Zakładam, że pendrive są pod tymi samymi literami (czyli F) które pokazywał USBFix, w przeciwnym wypadku nanieś ręczną korektę na liternictwo: 1. Akcja dla pendrive widzianego w raporcie UsbFix Listing 1 TAZ.txt. Otwórz Notatnik i wklej w nim: CMD: attrib -h F:\* Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie nastąpi restart. 2. Akcja dla pendrive widzianego w raporcie UsbFix Listing 2 TAZ.txt. Otwórz Notatnik i wklej w nim: RemoveDirectory: F:\System Volume Information CMD: attrib /d /s -s -h F:\* CMD: del /q F:\Team.vbs Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie nastąpi restart. 3. Zrób nowe logi: USBFix z opcji Listing pokazujący oba pendrivy oraz log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

Fix wykonany, ale ostatni log FRST twierdził, że ustawienia Google Chrome były zmodyfikowane. Poproszę o nowy log FRST (bez Addition i Shortcut) przedstawiający czy aby coś się nie zmieniło.

Operacja pomyślnie przeprowadzona. Teraz jeszcze na wszelki wypadek: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Nie wiem dlaczego nie nastąpił reset w obu przypadkach. Na dodatek w drugim podejściu w ogóle nie został skasowany dziennik Comodo. Powtórz zadanie z poziomu Trybu awaryjnego stosując następujące pliki Fixlist, po zastosowaniu każdego ma nastąpić automatyczny restart: CMD: sc config Eventlog start= disabled C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reboot: C:\WINDOWS\system32\config\COMODO I.evt CMD: sc config Eventlog start= auto Reboot: Oba wynikowe fixlog.txt dostarcz do wglądu. Dodaj mi też ten plik: C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\1th1xarp.default-1438872568250\extensions.ini Tym się zajmę potem, pewnie uprawnienia tych folderów są problemem (konto SYSTEM z dostępem). To nie są foldery infekcji, tylko pochodna prób instalacji któregoś programu. Prawdopodobnie AVG: Wypróbuj narzędzia podawanego w oficjalnej bazie wiedzy AVG: KLIK.

"Przykładowe narzędzia" tam podane to wszystko czym dysponujemy. Jeśli TeslaDecoder nie zdoła zająć się plikami *.ecc (brak klucza prywatnego na dysku, co nie jest wykluczone przy tym wariancie): Jedyna możliwość to wyszukiwanie nieszyfrowanych wcześniejszych wersji plików, aczkolwiek to prawdopodobnie skończy się niepowodzeniem. Infekcja usuwa wszystkie punkty Przywracania systemu. Zostaje próba z narzędziami do odzyskiwania danych (np. TestDisk). Ale nawet jeśli infekcja TeslaCrypt nie zastosowała tzw. "bezpiecznego usuwania danych" uniemożliwiającego skorzystanie z tej drogi, "pełzająca przez długie tygodnie infekcja" oznacza potencjalnie bardzo marne wyniki wyszukiwania, gdyż były wykonywane liczne zapisy na dysku skutecznie odcinające tę drogę.

Spróbuj cofnąć się dalej niż ta świeża data. I dopiero po cofnięciu się: ... deinstalacja Comodo. Odwrotna kolejność spowoduje przywrócenie komponentów Comodo (uszkodzony program). I po tym nowe raporty FRST (włącznie z Addition), ze wskazaniem który punkt użyto oraz czy są jakieś zmiany. Nawet "od kolegi" nie daje takich objawów jak w raporcie. Wiele modyfikowanych sztucznie systemów XP ma podpisy cyfrowe Microsoftu, tylko niektóre pliki mogą tego nie posiadać, tzn. te ręcznie zmodyfikowane, ale nie taka masówka na praktycznie wszystkich jak leci. To jest na pewno uszkodzenie, tylko jeszcze nie jest pewne gdzie, podejrzenie wstępne to Catroot / Catroot2. Czekam na wyniki kolejnej operacji Przywracania systemu, czy ona aby nie zmieni odczytu. Plik Shortcuts nie służy tylko do diagnostyki przejęcia skrótów przez hijackery. Na jego podstawie można wyłowić także masę innych nieprawidłowości (choćby uszkodzone definicje folderów Shell czy uszkodzone zwrotne linki symboliczne). Ale w tym przypadku nie wniesie on do sprawy zbyt wiele, bo są uszkodzenia innej natury.

Wszystko wykonane. Drobne poprawki, bo widzę że odinstalowałeś też BitComet, a świński Ask zdążył zmodyfikować ustawienia Google Chrome. 1. W Google Chrome: Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres search.ask.com. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy search.ask.com. 2. Otwórz Notatnik i wklej: SearchScopes: HKU\S-1-5-21-1179075916-1230099672-3418183226-1002 -> DefaultScope {1FCBD2D4-46A8-43F1-BA26-BB31D770E6DF} URL = SearchScopes: HKU\S-1-5-21-1179075916-1230099672-3418183226-1002 -> {1FCBD2D4-46A8-43F1-BA26-BB31D770E6DF} URL = BHO-x32: BitComet Helper -> {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} -> C:\Users\Admin\Desktop\moje\BitComet\tools\BitCometBHO_1.5.4.11.dll => Brak pliku S3 BITCOMET_HELPER_SERVICE; C:\Users\Admin\Desktop\moje\BitComet\tools\BitCometService.exe -service [X] RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Nie za wiele tu widać, ale owszem jest aktywny niepożądany program typu "PUP" marki Ask zainstalowany jako ... "bonus" pakietu AVG (sic!). Rozpocznijmy od pozbycia się tego śmiecia i zobaczymy co z tego wyniknie: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje i śmieci: Adobe Flash Player 16 PPAPI, Adobe Reader X (10.1.0) - Polish, AVG SafeGuard by Ask, Bing Bar. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-1179075916-1230099672-3418183226-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130856772130111010&GUID=F7B0D5F2-006D-4E69-A7CE-BD801FCBECDA Task: {2A024ED5-9741-4D90-9266-74D9E8DF7700} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe Task: {AAA66222-977B-4000-8D87-BB4CF8CC6042} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2015-08-17] (Lenovo) C:\Program Files (x86)\AskPartnerNetwork C:\ProgramData\AskPartnerNetwork C:\ProgramData\APN C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Longman Reg: reg delete HKLM\SOFTWARE\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany.

Tak, tym razem Firefox dobrze wyczyszczony. Drobniutkie korekty końcowe. Otwórz Notatnik i wklej w nim: Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\Opera /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeARMservice" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeFlashPlayerUpdateSvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\McComponentHostService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\aliim " /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Green Christmas Tree" /f CMD: del /q C:\Users\user\Downloads\irbzj907.exe CMD: del /q C:\Users\user\Downloads\l6202q49.exe RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\user\Desktop\Old Firefox Data Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Dostarcz wynikowy fixlog.txt.