picasso

Wszystko przetworzone pomyślnie. Skany AdwCleaner i MBAM już były prowadzone na początku, więc nie zalecam już powtarzania. Kończymy: Usuń pobrany FRST i jego logi z folderu Nowy folder na Pulpicie. Następnie jeszcze popraw DelFix, następnie wyczyść foldery Przywracania systemu oraz zainstaluj najnowsze wersje odinstalowanych aplikacji: KLIK.

Logi z przestarzałego OTL nie są w ogóle brane pod uwagę (usuwam). Brak za to trzeciego pliku FRST Shortcut, co akurat w tym przypadku nie jest aż tak istotne. A temat przenoszę do właściwego działu Windows, bo to nie jest sprawa infekcji. Który z punktów został wybrany, czy ten najstarszy? ==================== Punkty Przywracania systemu ========================= 20-10-2015 17:24:34 Punkt kontrolny systemu 20-10-2015 17:24:32 Instalacja niepodpisanego sterownika 17-10-2015 20:19:48 Przed Visio 20-10-2015 17:24:31 Installed Microsoft Office Visio Professional 2007 20-10-2015 17:24:28 Installed Diagram Designer 23-10-2015 21:05:13 Punkt kontrolny systemu 23-10-2015 21:05:13 Instalacja niepodpisanego sterownika 23-10-2015 21:05:13 Instalacja niepodpisanego sterownika 23-10-2015 21:05:13 Instalacja niepodpisanego sterownika 23-10-2015 21:05:12 Instalacja niepodpisanego sterownika 23-10-2015 21:05:12 Instalacja niepodpisanego sterownika 23-10-2015 21:05:11 Instalacja niepodpisanego sterownika 23-10-2015 21:05:11 Punkt kontrolny systemu 23-10-2015 21:05:10 Instalacja niepodpisanego sterownika 23-10-2015 14:14:13 Punkt kontrolny systemu 24-10-2015 17:52:42 Punkt kontrolny systemu 25-10-2015 19:05:57 Punkt kontrolny systemu 26-10-2015 19:06:45 Punkt kontrolny systemu 27-10-2015 21:26:12 Punkt kontrolny systemu 28-10-2015 21:38:33 Punkt kontrolny systemu 29-10-2015 22:26:23 Punkt kontrolny systemu 30-10-2015 22:43:31 Punkt kontrolny systemu 01-11-2015 00:06:27 Punkt kontrolny systemu 01-11-2015 19:01:03 Instalacja niepodpisanego sterownika 01-11-2015 20:50:11 Instalacja niepodpisanego sterownika 04-11-2015 20:07:26 Operacja przywracania Jak wyżej - z którego punktu był kopiowany plik SYSTEM? Na razie ustalmy który punkt Przywracania był użyty. Ale dodam, że widzę: - Masowe uszkodzenie polegające na oznaczeniu wszystkich usług / sterowników Microsoftu przez [brak podpisu cyfrowego]. To prawdopodobnie oznacza dodatkowe uszkodzenie bazy Usług kryptograficznych, tylko nie wiadomo której: catroot2 (to się da naprawić przez jej reset) lub catroot (to nie jest nienaprawialne w inny sposób niż przywrócenie poprzedniej wersji katalogu np. przy użyciu Przywracania systemu). Aczkolwiek wcale nie jest wykluczone, że brak podpisu może oznaczać jednak prawdziwe usdzkodzenie plików. - Uszkodzenia plików także są, conajmniej dwa wymieniane na komunikatach podczas próby uruchomienia OTL to pliki uszkodzone. Kto to wie ile jeszcze. - Stary COMODO Internet Security (sterowniki z 2012), który może mieć też jakiś wpływ. I będzie też utrudniał ewentualne naprawy. I tu może się skończyć na reinstalacji Windows. Jest bardzo dużo naruszeń.

Plik FRST Shortcut jest pusty. Ale te foldery w Koszu to normalna sprawa. Każdy Kosz zawiera podfolder o nazwie SID (Security Identifier) konta. W Twoim przypadku jest dopasowanie do następujących kont: Właściciel (S-1-5-21-854245398-1454471165-682003330-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Właściciel + filtrowane przez FRST konto wbudowane w system: Lokalne konto systemowe (S-1-5-18) Niezależnie od tego ile razy będziesz usuwać te foldery, one się zregenerują, bo tak jest skonstruowany Kosz systemowy (separuje Kosze względem użytkowników). Wspominasz jednak, że po usuwaniu tych podfolderów przestaje działać normalne opróżnianie, więc przeładuj Kosz raz a dobrze poprzez usunięcie odgórnego folderu. Po akcji w punkcie 2 poniżej folder RECYCLER będzie nieobecny tylko tymczasowo. Przy pierwszej próbie usuwania czegoś do Kosza folder RECYCLER z podfolderami SID kont się zregeneruje. I tak ma być. Plus inne drobne korekty, m.in. szczątki po odinstalowanym Comodo, wypięcie Dziennika zdarzeń Comodo będzie wymagać aż dwóch skryptów (konieczne tymczasowe wyłączenie Dziennika zdarzeń). Akcje do przeprowadzenia: 1. Deinstalacje: - Sugeruję odinstalować program wątpliwej reputacji Driver Booster 3.0 (od IObit). - Nadal widać ukryty wpis adware, o którym była mowa kilka razy. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis globalupdate Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku FF user.js: detected! => C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\1th1xarp.default-1438872568250\user.js [2015-09-26] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2012-09-04] [brak podpisu cyfrowego] Task: C:\WINDOWS\Tasks\SlimCleaner Plus (Scheduled Scan - Właściciel).job => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe AlternateDataStreams: C:\WINDOWS\system32\FlashPlayerApp.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\FlashPlayerInstaller.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\mpelocalmon.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\mpelocalui.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\PuranDC.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\PuranDefrag.dll:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\PuranDefragBT.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\PuranDefragS.exe:$CmdTcID AlternateDataStreams: C:\WINDOWS\system32\PuranFD.exe:$CmdTcID RemoveDirectory: C:\RECYCLER RemoveDirectory: C:\VTRoot C:\WINDOWS\pss\SmartWeb.lnkStartup Folder: C:\Dbz70C5E Folder: C:\Dbz0A5CD Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Właściciel^Menu Start^Programy^Autostart^SmartWeb.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RDReminder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SmartWeb" /f CMD: sc config AppMgmt start= disabled CMD: sc config Eventlog start= disabled EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart. Wynikowy fixlog.txt skopiuj w inne miejsce niż to skąd uruchamiasz FRST, bo kolejna akcja nadpisze go. 3. Otwórz Notatnik i wklej w nim: C:\WINDOWS\system32\config\COMODO I.evt CMD: sc config Eventlog start= auto Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Również nastąpi restart. Powstanie kolejny fixlog.txt. Dostarcz oba pliki fixlog.txt. Nowe skany FRST nie są mi potrzebne. Poproszę też o przesłanie mi tego pliku: C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\profiles.ini

Deinstalacja Firefox była niekompletna, odbyła się bez zaznaczenia opcji usuwającej profil z dysku, na dysku nadal folder Firefox z adware. Jeśli EasyCalendar samoistnie zniknął, a stało się to po zastosowaniu opcji Fix w FRST, to likwidacja odbyła się przez usunięcie polityk blokujących coś w Chrome. Poprawki. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Daniel\AppData\Local\Mozilla RemoveDirectory: C:\Users\Daniel\AppData\Roaming\Mozilla CMD: del /q C:\afxdrpog.sys CMD: del /q C:\Users\Daniel\Downloads\yde3cxoi.exe CMD: del /q C:\Windows\Minidump\*.dmp CMD: netsh advfirewall reset Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Plik zapisz pod nazwą fixlist.txt (zapis w UTF-8 nie jest potrzebny) i umieść obok narzędzia FRST. Wyłącz tymczasowo COMODO, by nie przeszkadzał. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. Przedstaw go. PS. Oczywiście odpowiedź w nowym poście.

Prawie wszystko zrobione. Nadal jednak są pewne błędy w Dzienniku zdarzeń: Dziennik System: ============= Error: (11/04/2015 11:07:22 PM) (Source: Service Control Manager) (EventID: 7026) (User: ) Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego: luafv Error: (11/04/2015 11:05:59 PM) (Source: Service Control Manager) (EventID: 7002) (User: ) Description: Usługa Intel Hardware Monitor zależy od grupy MS Transactions, a nie uruchomiono żadnego członka tej grupy. Pierwszy błąd nadal wymaga analizy, a drugi nie zniknął, gdyż deinstalacja "Intel Hardware Monitor" była niekompletna - została usługa, która próbuje się uruchamiać. Kolejna porcja czynności: Otwórz Notatnik i wklej w nim: S2 Intel Hardware Monitor; C:\Program Files (x86)\Intel\iWHMService\iWHMService.exe [57344 2008-11-16] () [brak podpisu cyfrowego] C:\Program Files (x86)\Intel\iWHMService CMD: copy /y "C:\Qoobox\Quarantine\C\program files (x86)\DFX\DFX.vir" "C:\Program Files (x86)\DFX\DFX.exe" Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\luafv /s File: C:\Windows\system32\drivers\luafv.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. Przedstaw go.

Brak danych: o jaką grę chodzi, skąd pochodzącą (pobrana "na lewo" czy originał), z jakiego nośnika instalator jest uruchamiany (płyta, bądź skopiowany materiał na dysk), jak wygląda struktura ścieżek z której uruchamiasz (czy jest podział na więcej katalogów).

To sugeruje któryś program w starcie. Na razie całkowity brak danych. Poproszę o raporty z FRST wykonane z poziomu Trybu awaryjnego.

Dostarcz dane sprzętowe, ktoś mam nadzieję oceni jaki jest stan dysku i czy nie kroi się tu aby większa awaria. Jeśli wyniki oceny będą dostatecznie pozytywne, zajmę się doczyszczaniem systemu z innych śmieci. Radzę też na wszelki wypadek zabezpieczyć cenne dane na jakimś zewnętrznym nośniku.

Czy po przeprowadzeniu punktu 1 jest jakaś poprawa? Checkdisk owszem namierzył naruszenia struktury, a w statystykach końcowych jest 4 KB w uszkodzonych sektorach. W związku z tym może się rysować ogólny problem z dyskiem twardym i przesuwam temat na diagnostykę Hardware. Dostarcz dane wymagane działem: KLIK.

Jest tu infekcja ładowana via AppInit_DLLs: AppInit_DLLs: C:\ProgramData\BluetoothPoint\Stockzap.dll => C:\ProgramData\BluetoothPoint\Stockzap.dll [518656 2015-10-25] () AppInit_DLLs-x32: C:\ProgramData\BluetoothPoint\Y--Lux.dll => C:\ProgramData\BluetoothPoint\Y--Lux.dll [320512 2015-10-25] () Będę też korygować różne błędy w Dzienniku zdarzeń (poprzez usunięcie niekompatybilnych sterowników) oraz usuwać puste wpisy i skróty. Dziennik System: ============= Error: (11/04/2015 01:15:51 PM) (Source: Service Control Manager) (EventID: 7026) (User: ) Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego: luafv Error: (11/04/2015 01:14:56 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi port_nt z powodu następującego błędu: %%1275 Error: (11/04/2015 01:14:56 PM) (Source: Application Popup) (EventID: 1060) (User: ) Description: Ładowanie sterownika \??\c:\windows\SysWow64\drivers\port_nt.sys zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. Error: (11/04/2015 01:14:21 PM) (Source: Service Control Manager) (EventID: 7002) (User: ) Description: Usługa Intel Hardware Monitor zależy od grupy MS Transactions, a nie uruchomiono żadnego członka tej grupy. Error: (11/04/2015 01:14:15 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi BluetoothPoint z powodu następującego błędu: %%2 Uruchomienie ComboFix nie było potrzebne. On na dodatek uszkodził pewne poprawne aplikacje: c:\program files (x86)\DFX\DFX.exe c:\users\Element\AppData\Roaming\dropf c:\users\Element\AppData\Roaming\dropf\dropf.xml c:\users\Element\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\3RVX.lnk Akcje do przeprowadzenia: 1. Odinstaluj stare wersje i inne: Adobe AIR, Adobe Flash Player 16 ActiveX, Adobe Flash Player 17 NPAPI, Adobe Reader 9.5.0 - Polish, BluetoothService (adware!), Intel Hardware Monitor, Java 8 Update 45, Opera 12.17, SpyHunter 4 (wątpliwy skaner!), Windows Media Player Firefox Plugin. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\BluetoothPoint\Stockzap.dll => C:\ProgramData\BluetoothPoint\Stockzap.dll [518656 2015-10-25] () AppInit_DLLs-x32: C:\ProgramData\BluetoothPoint\Y--Lux.dll => C:\ProgramData\BluetoothPoint\Y--Lux.dll [320512 2015-10-25] () S2 BluetoothPoint; C:\ProgramData\\BluetoothPoint\\BluetoothPoint.exe -f "C:\ProgramData\\BluetoothPoint\\BluetoothPoint.dat" -l -a S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 PortTalk; C:\Windows\System32\Drivers\PortTalk.sys [3567 2009-01-18] (Beyond Logic http://www.beyondlogic.org) [brak podpisu cyfrowego] S3 PortTalk; C:\Windows\SysWOW64\Drivers\PortTalk.sys [3567 2002-01-12] (Beyond Logic http://www.beyondlogic.org) [brak podpisu cyfrowego] S2 port_nt; c:\windows\SysWOW64\drivers\port_nt.sys [3608 2000-10-23] () [brak podpisu cyfrowego] Task: {8D4C3AFE-DACD-4CA0-AEED-C06557B7E1DF} - System32\Tasks\{A32184F2-00F7-45AF-B1C1-E273E0B12AAA} => pcalua.exe -a "D:\vuze downloads\BullZip PDF Printer 3.0.0.352 -LegalTorrents\BullzipPDFPrinter_3_0_0_352.exe" -d "D:\vuze downloads\BullZip PDF Printer 3.0.0.352 -LegalTorrents" HKLM\...\Run: [tvncontrol] => "C:\Program Files\TightVNC\tvnserver.exe" -controlservice -slave HKLM-x32\...\Run: [Resume copy] => copyfstq.exe /startup HKLM-x32\...\Run: [DFX] => C:\Program Files (x86)\DFX\DFX.exe -startup HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-1257552822-3971336646-2794152910-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1257552822-3971336646-2794152910-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-1257552822-3971336646-2794152910-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [brak pliku] C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\BluetoothPoint C:\ProgramData\COMODO C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\GameExplorer\{F73AE6C3-5504-4A84-8EDA-12124F837976} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Bridge CS3.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Device Central CS3.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Stock Photos CS3.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EaseUS Todo Backup Free 8.0 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HTC Home C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Projektuj i Kupuj 3D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Vista Anti-Lag C:\Users\Element\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\Element\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Microsoft Office Excel 2007.lnk C:\Users\Element\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DBF Viewer 2000 C:\Users\Element\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Smart Fortress 2012 C:\Users\Element\Documents\InsERT GT\sumeeko.lnk C:\Windows\System32\Drivers\PortTalk.sys C:\Windows\SysWOW64\Drivers\PortTalk.sys C:\Windows\SysWOW64\Drivers\port_nt.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adresy adware isearch.omiga-plus.com, do-search.com, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres adware delta-homes.com 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Element\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Wyczyść Dzienniki zdarzeń, by nagrały się tylko bieżące błędy: Start > w polu szukania wklep eventvwr.msc > z prawokliku Uruchom jako Administrator > rozwiń Dzienniki systemu Windows > z prawokliku opróżnij Aplikacja i System. Zresetuj system. 6. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

Aktualizacja do: Dziś wydano wersję FRST, która to umożliwia. Jeśli ktoś chce ominąć wbudowane tłumaczenia i pozyskać wszystko w języku angielskim, należy zmienić nazwę pliku FRST.exe / FRST64.exe dodając słowo English: FRSTEnglish.exe lub EnglishFRST.exe.

Temat przenoszę. Proszę zakładaj tematy w odpowiednich działach. "Dział pomocy doraźnej" służy tylko i wyłącznie do diagnostyki infekcji. Jeśli ten licznik jest widoczny w panelu Programy i funkcje, to nie jest to nawet licznik dostatecznie precyzyjny. Metodologia obliczeń działa na modelu "w przybliżeniu": KLIK. But wait, there's more. There's also the program size. Add/Remove Programs looks in your "Program Files" directory for directories whose names share at least two words in common with the DisplayName. The best match is assumed to be the directory that the program files are installed into. The sizes are added together and reported as the size of "Awesome Program for Windows". "Odchudzanie" polegałoby po prostu na deinstalacji tego pakietu. Ale sam mówisz, że korzystasz z aplikacji Nokia, to nie kombinuj.

Jest notowany problem z usługą Instrumentacji Windows: ==================== Punkty Przywracania systemu ========================= Niepowodzenie przy listowaniu punktów przywracania Sprawdź usługę "winmgmt" lub napraw WMI. Dziennik System: ============= Error: (11/02/2015 10:03:39 PM) (Source: Service Control Manager) (EventID: 7011) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji z usługi Winmgmt. Error: (11/02/2015 09:57:49 PM) (Source: DCOM) (EventID: 10010) (User: ) Description: {8BC3F05E-D86B-11D0-A075-00C04FB68820} Raporty nie podają żadnych innych wskazówek w czym może tkwić problem z uruchomieniem WMI. Rozpocznij od sprawdzenia dysku pod kątem błędów: 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: chkdsk /f /r Zatwierdź uruchomienie przy następnym starcie. Zresetuj system, powinien się uruchomić checkdisk. Wynik jego działań zostanie nagrany w Dzienniku zdarzeń: Start > w polu szukania wpisz eventvwr.msc > Dzienniki systemu Windows > Aplikacja > szukaj rekordu ze źródłem Wininit Pobierz szczegóły tego rekordu, skopiuj i wklej do posta. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj.

Czy DAEMON Tools Lite został odinstalowany? Pytam, gdyż widzę zmianę w raporcie inną niż podana, tzn. sterownik SPTD nie zniknął, lecz został zaktualizowany. "Ta platforma nie jest obsługiwana" - skąd był pobierany instalator? Sterowników powinieneś szukać na stronie ASUSa pod ten konkretny model, a nie Intel.

Wnioski tu się nasuwają takie, że chyba dodatkowo nie działa też system skróconych ścieżek 8+3, gdyż poprawnie je zastosowałam, a nie są "widziane". M.in. FRST powinien poprzednio wyszukać powiązany katalog, a to się nie stało. Wyszukiwanie FRST na ten konkretny plik jednak go znalazło. Toteż spróbuj pełnej ścieżki ujętem w cudzysłowie: Uruchom cmd jako Administrator i tym razem wklej to: RunDll32 "C:\Program Files (x86)\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\ctor.dll",LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{AF229311-D6FD-4ED5-A446-9C44B96380A9}\setup.exe" -l0x15 /remove Jeśli ta komenda się wykona, wywołaj kolejne dla pozostałych aplikacji Creative: RunDll32 "C:\Program Files (x86)\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\ctor.dll",LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{88B1984E-36F0-47B8-B8DC-728966807A9C}\setup.exe" -l0x15 /remove RunDll32 "C:\Program Files (x86)\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\ctor.dll",LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{63A317D0-60A6-43FC-848A-9FE4A53B29CE}\setup.exe" -l0x15 /remove

Ogólnie problemem tu były instalacje adware. MBAM wprawdzie usunął większość (nie dostarczyłeś raportu), ale i tak są wymagane poprawki. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj starsze wersje i zbędniki: Adobe Reader XI (11.0.13) - Polish, Adobe Shockwave Player 11.6, Google Talk Plugin (już nie działa), McAfee Security Scan Plus (sponsor). Ten McAfee jest doczepiany do instalacji Adobe. Więcej na ten temat: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {2AEAA61D-FA4D-468B-8BB2-A7E5E8BA7A4E} - System32\Tasks\ndfm8T1THqfToaLptk => C:\Users\BiM\AppData\Roaming\ndfm8T1THqfToaLptk.exe Task: {4F997A61-42EB-4FA8-83AD-AB79D55AE8DC} - System32\Tasks\{74C70AC5-7015-4ADF-AB6C-B2439852C353} => pcalua.exe -a "C:\Users\BiM\Desktop\CDM v2.08.30 WHQL Certified.exe" -d C:\Users\BiM\Desktop Task: {84FFE756-BDCD-4667-BAE8-D61BF8A9DD4B} - System32\Tasks\LN2oOlZTsv1EvO97 => C:\Users\BiM\AppData\Roaming\LN2oOlZTsv1EvO97.exe Task: {A1C8F226-6215-4AFC-B87E-2BF3BD05E515} - System32\Tasks\8xXtSQlKd3YOe => C:\Users\BiM\AppData\Roaming\8xXtSQlKd3YOe.exe Task: {C7DA26EB-0A86-40D1-8396-DE5CE66BB3E0} - System32\Tasks\qTnNzoDGbCHBMSlUvv5qR => C:\Users\BiM\AppData\Roaming\qTnNzoDGbCHBMSlUvv5qR.exe Task: C:\Windows\Tasks\8xXtSQlKd3YOe.job => C:\Users\BiM\AppData\Roaming\8xXtSQlKd3YOe.exe Task: C:\Windows\Tasks\LN2oOlZTsv1EvO97.job => C:\Users\BiM\AppData\Roaming\LN2oOlZTsv1EvO97.exe Task: C:\Windows\Tasks\ndfm8T1THqfToaLptk.job => C:\Users\BiM\AppData\Roaming\ndfm8T1THqfToaLptk.exe Task: C:\Windows\Tasks\qTnNzoDGbCHBMSlUvv5qR.job => C:\Users\BiM\AppData\Roaming\qTnNzoDGbCHBMSlUvv5qR.exe HKU\S-1-5-21-2884341647-173305695-508017251-1001\...\Run: [Power2GoExpress8] => NA S3 AvastVBoxSvc; "C:\Program Files\AVAST Software\Avast\ng\vbox\AvastVBoxSVC.exe" [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S2 VBoxAswDrv; \??\C:\Program Files\AVAST Software\Avast\ng\vbox\VBoxAswDrv.sys [X] FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF CHR HKU\S-1-5-21-2884341647-173305695-508017251-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bakijjialdiiboeaknfpmflphhmljfkd] - hxxps://clients2.google.com/service/update2/crx HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction HKU\S-1-5-21-2884341647-173305695-508017251-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKU\S-1-5-21-2884341647-173305695-508017251-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-2884341647-173305695-508017251-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKU\S-1-5-21-2884341647-173305695-508017251-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File CustomCLSID: HKU\S-1-5-21-2884341647-173305695-508017251-1001_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\BiM\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-2884341647-173305695-508017251-1001_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\BiM\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-2884341647-173305695-508017251-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\BiM\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-2884341647-173305695-508017251-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\BiM\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-2884341647-173305695-508017251-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\BiM\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => No File C:\Program Files (x86)\is.dat C:\Program Files (x86)\uik.dat C:\Program Files (x86)\3375cbb5-4f69-4ec7-af28-55c067ca4529 C:\Program Files (x86)\be3c4786-834f-4330-88da-6f9473809b1f C:\Program Files (x86)\globalUpdate C:\ProgramData\Temp C:\Users\BiM\AppData\Local\globalUpdate C:\Users\BiM\AppData\Roaming\8xXtSQlKd3YOe C:\Users\BiM\AppData\Roaming\LN2oOlZTsv1EvO97 C:\Users\BiM\AppData\Roaming\ndfm8T1THqfToaLptk C:\Users\BiM\AppData\Roaming\qTnNzoDGbCHBMSlUvv5qR C:\Users\BiM\Desktop\Skróty\McAfee Security Scan Plus.lnk C:\Users\BiM\Desktop\Skróty\Norton Internet Security.lnk C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan) na następującym ustawieniu: w sekcji Whitelist (Filtrowanie) odnacz pole Internet, nie zaznaczaj pól Addition i Shortcut. Dołącz też plik fixlog.txt oraz raport z MBAM pokazujący co wcześniej było usuwane.

Tytuł tematu zmieniam, temat przenoszę do działu XP. Z raportów nic nie wynika konkretnego. Sugestie: 1. Sprawdź czy system się szybciej uruchamia na tzw. "czystym rozruchu": KLIK. 2. Powielają się błędy usług PDAgent + PDEngine aplikacji PerfectDisk 12.5 Professional, więc być może to jeden z programów do odrzutu. Dziennik System: ============= Error: (10/28/2015 07:49:21 PM) (Source: Service Control Manager) (EventID: 7026) (User: ) Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego: PCIIde Error: (10/28/2015 07:49:02 PM) (Source: 0) (EventID: 1) (User: ) Description: 0xC0000001HarddiskVolume3 Error: (10/28/2015 07:47:55 PM) (Source: Service Control Manager) (EventID: 7006) (User: ) Description: Wywołanie ScRegSetValueExW dla Start nie powiodło się i wystąpił następujący błąd: %%5. Error: (10/27/2015 07:23:21 PM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa PDEngine niespodziewanie zakończyła pracę. Wystąpiło to razy: 2. Error: (10/27/2015 07:23:20 PM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa PDAgent niespodziewanie zakończyła pracę. Wystąpiło to razy: 2. Error: (10/27/2015 06:05:28 PM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa PDEngine niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. Error: (10/27/2015 06:05:27 PM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa PDAgent niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. Error: (10/27/2015 05:34:17 PM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa PDEngine niespodziewanie zakończyła pracę. Wystąpiło to razy: 2. Error: (10/27/2015 05:34:16 PM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa PDAgent niespodziewanie zakończyła pracę. Wystąpiło to razy: 2. Error: (10/27/2015 05:34:16 PM) (Source: Service Control Manager) (EventID: 7011) (User: ) Description: Limit czasu (30000 milisekund) podczas oczekiwania na odpowiedź transakcji z usługi . 3. Instalacja Outpost Firewall Pro 9.0 też może być nie bez znaczenia.

Kolejna porcja czynności: 1. "Avast SafePrice" powinien być w opcjach wtyczki avast! Online Security. Tu poglądowy obrazek z wyszukiwania Google: 2. W przystawce certmgr.msc skasuj pozycję cloudguard.me. To element dodany przez infekcję "DNS Unlocker". 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Logi uzupełnione. Kolejną odpowiedź już oczywiście umieszczaj w nowym poście. Czy to na pewno jedyny system do którego były podpinane pendrivy? Ten system nie ma oznak infekcji która modyfikuje urządzenia zewnętrzne. Są tu tylko źle wyczyszczone infekcje adware, nie powiązane kompletnie z problemem. Czegoś tu brakuje w opisie lub jest jakieś niedopowiedzenie. Jest niemożliwym, że nie pomógł format pendrive, jeśli były podpinane tylko pod tu widziany system wyglądający na czysty (czyli brak reloadera infekcji) Na razie doczyść adware widoczne w podanych raportach: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {db4225e9-90b8-4ca5-99da-da423e504d3d}Gw; C:\Windows\System32\drivers\{db4225e9-90b8-4ca5-99da-da423e504d3d}Gw.sys [43160 2014-12-19] (StdLib) S2 Update Faster Light; "C:\Program Files\Faster Light\updateFasterLight.exe" [X] Task: {A52FE5C9-07EB-47BC-9AC4-F675B8D559E4} - System32\Tasks\{D426F572-6FDB-4A32-8CE0-C8E61DB3DA57} => pcalua.exe -a C:\Users\Tasman\AppData\Roaming\do-search\UninstallManager.exe -c -ptid=cor CustomCLSID: HKU\S-1-5-21-3801550805-1027873224-2403691916-1000_Classes\CLSID\{0B4AA204-AB61-47E3-B5B4-27DCF375EBAC}\localserver32 -> "CDStart.exe" => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=1429806945&from=cor&uid=WDCXWD800JD-22MSA1_WD-WMAM9HN5690256902&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1429806945&from=cor&uid=WDCXWD800JD-22MSA1_WD-WMAM9HN5690256902&q={searchTerms} FF HKLM\...\Firefox\Extensions: [quick_searchff@gmail.com] - C:\Users\Tasman\AppData\Roaming\Mozilla\Firefox\Profiles\814s1pz1.default\extensions\quick_searchff@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Users\Tasman\AppData\Roaming\Mozilla\Firefox\Profiles\814s1pz1.default\extensions\sweetsearch@gmail.com => nie znaleziono C:\Windows\System32\drivers\{db4225e9-90b8-4ca5-99da-da423e504d3d}Gw.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Poproszę też o tymczasowe wyłączenie antywirusa, podpięcie pendrive (nie wchodź na te urządzenia) i zrobienie raportu USBFix z opcji Listing.

Adware widać w obu przeglądarkach: - Firefox: m.in. rozszerzenie Treasure Track oraz przekierowania coldsearch. - Google Chrome: polityki blokujące coś (prawdopodobnie wymuszanie instalacji rozszerzenia) oraz rozszerzenie EasyCalendar kojarzone z przemocową niechcianą instalacją i adware. Wstępnie następujące działania do przeprowadzenia: 1. Odinstaluj starsze wersje: Adobe Flash Player 18 NPAPI, Java 8 Update 60. Najnowsze zainstalujemy na szarym końcu. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKLM\...\Chrome\Extension: [oggihoncmelambjaefiboekididcaffe] - C:\Users\Daniel\AppData\Local\Google\Chrome\User Data\Default\Extensions\oggihoncmelambjaefiboekididcaffe.crx HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKLM -> DefaultScope - brak wartości HKU\S-1-5-21-1806367350-3854054699-814416073-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Daniel\AppData\Local\Akamai\netsession_win.exe" S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] Task: {22E0D0DE-C7EC-4030-B842-1F124722117F} - \882E83C2-451B-4139-8222-6882EE60E9F0 -> Brak pliku Task: {42D8D011-09EC-49D1-9257-663897D620DC} - System32\Tasks\{DE584B58-FB92-4BE3-878F-E194F25A56DB} => Chrome.exe Task: {7134F2D2-3F55-4A2E-9F7C-0BDA5F2EEE50} - \SPDriver -> Brak pliku Task: {A73B2644-86D5-4B7E-82B7-113EA8959A96} - \ShopperPro -> Brak pliku Task: {B1079BD4-A7FB-4BE0-A39C-B76B2C8C67D8} - \SPBIW_UpdateTask_Time_313939333834343139382d374a55414134502a576c4a5a -> Brak pliku Task: {BF11E042-E640-4DC2-8997-7AB403973D7D} - \SmartWeb Upgrade Trigger Task -> Brak pliku DisableService: PLAY INTERNET. RunOuc C:\$360Section C:\Program Files\13449b60-c1b6-4d87-883d-e495bae6e576 C:\Program Files\360 C:\Program Files\Opera C:\ProgramData\360Quarant C:\ProgramData\adb C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mirillis C:\Users\Daniel\AppData\Local\882E83C2-451B-4139-8222-6882EE60E9F0 C:\Users\Daniel\AppData\Local\CrashRpt C:\Users\Daniel\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\Daniel\AppData\Local\Opera Software C:\Users\Daniel\AppData\Roaming\GoldenGate C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Windows Explorer (2).lnk C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Windows Media Player (2).lnk C:\Users\Daniel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\帮5淘 C:\Users\Daniel\AppData\Roaming\Opera Software C:\Users\Daniel\AppData\Roaming\Shortcut C:\Users\Daniel\AppData\Roaming\Tibia C:\Users\Public\QiYi C:\Windows\system32\Drivers\etc\hp.bak Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Wyłącz COMODO, gdyż przeszkodzi FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj EasyCalendar. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Daniel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się dokładnie czy problemy nadal występują, a jeśli to w której przeglądarce. PS. Odpowiadasz mi już oczywiście w nowym poście, nie edytuj poprzedniego.

1. Wg raportów nie zostało wykonane czyszczenie Firefox, nadal widać stary profil z adware. Opcja Odśwież program Firefox tworzy nowy czysty profil. To nadal do wykonania. 2. Po wykonaniu w/w operacji zrób nowy raport FRST na następującym ustawieniu: odznacz pole Filtrowanie dla sekcji Internet, nie zaznaczaj pól Addition i Shortcut.

Wszystko wykonane. Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2615079214-517858906-3610730154-1000\...\Run: [Flvto Youtube Downloader] => "C:\Users\Marek\AppData\Local\Flvto Youtube Downloader\FlvtoYoutubeDownloader.exe" /minimize BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => Brak pliku FF Plugin: @java.com/DTPlugin,version=10.5.0 -> C:\Windows\system32\npDeployJava1.dll [2012-06-24] (Oracle Corporation) FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Mozilla Firefox (3.6.16)" /f CMD: del /q C:\dvmexp.idx RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Marek\AppData\Local\Flvto Youtube Downloader RemoveDirectory: C:\Users\Marek\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. Przedstaw go. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj, a po tym Usuń. Powstanie folder i dostarcz log wynikowy z folderu C:\AdwCleaner

Element, ale podane wcześniej czyszczenie systemu nadal aktualne. Dostarcz końcowe nowe raporty z FRST.

Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\ArenaHD DeleteKey: HKCU\Software\Crossbrowse DeleteKey: HKCU\Software\GlobalUpdate DeleteKey: HKCU\Software\HighDefAction DeleteKey: HKCU\Software\Kozaka DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\YorkNewCin DeleteKey: HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-21-4212178081-510564998-173580646-1001\Software\BabylonToolbar DeleteKey: HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-21-4212178081-510564998-173580646-1001\Software\DataMngr DeleteKey: HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-21-4212178081-510564998-173580646-1001\Software\SweetIM DeleteKey: HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\S-1-5-21-4212178081-510564998-173580646-1001\Software\vShare DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKLM\SOFTWARE\ArenaHD DeleteKey: HKLM\SOFTWARE\HighDefAction DeleteKey: HKLM\SOFTWARE\YorkNewCin DeleteKey: HKLM\SOFTWARE\Classes\Interface\{EAC7DE5C-9520-435D-91AA-4A02E4773CEA} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\amiupdaterExd DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\amiupdaterExi DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WarThunder sun DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WarThunder sat DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WarThunder24 DeleteKey: HKLM\SOFTWARE\Wow6432Node\AppDataLow\SOFTWARE\Crossrider DeleteKey: HKLM\SOFTWARE\Wow6432Node\AppDataLow\SOFTWARE\_CrossriderRegNamePlaceHolder_ DeleteKey: HKLM\SOFTWARE\Wow6432Node\ArenaHD DeleteKey: HKLM\SOFTWARE\Wow6432Node\Crossbrowse DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\GlobalUpdate DeleteKey: HKLM\SOFTWARE\Wow6432Node\HighDefAction DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\Kozaka DeleteKey: HKLM\SOFTWARE\Wow6432Node\NetTcpHandler DeleteKey: HKLM\SOFTWARE\Wow6432Node\NtSvcHandler DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SOFTWARE\Wow6432Node\YorkNewCin DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\dream.capture.1 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\dream.capture DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{117270FA-48AC-45BB-9171-B63D1B42A910} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{EAC7DE5C-9520-435D-91AA-4A02E4773CEA} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{B0660298-91AA-421F-BF0D-BFF6BB8BF3AE} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GLOBALUPDATE.EXE DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\NetTcpHandler DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro DeleteKey: HKU\S-1-5-18\Software\vShare DeleteKey: HKU\S-1-5-18\Software\AppDataLow\Software\_CrossriderRegNamePlaceHolder_ DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{043C5167-00BB-4324-AF7E-62013FAEDACF} DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{043C5167-00BB-4324-AF7E-62013FAEDACF} CMD: del /q C:\Users\Diana\daemonprocess.txt Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. Przedstaw go. 2. Uruchom Hitman Pro. Zrób tylko skan i dostarcz wyniki.

lachu88 Format nie jest konieczny, ale decyzja należy do Ciebie. Obecnie nie ma śladów czynnej infekcji i można po prostu doczyścić drobne odpadki oraz zaszyfrowane pliki. Zaszyfrowane pliki są także w różnych katalogach zainstalowanych aplikacji i ich usunięcie spowoduje pewne mniejsze ubytki (niekonieczne przekładające się na jednak na uszczerbek w działaniu, brak obrazka bądź odnośnika tekstowego nie jest kluczowy). Jeśli zdecydujesz, że doczyszczamy, to podejmę się tego. Za wiele tu nie wymyślę. Chk-Back działa na raczej prostej zasadzie: na podstawie identyfikacji nagłówków plików odciętych przez chkdsk stara się po prostu zmienić nazwy plików w FOUND na pierwotne. To niekoniecznie przekłada się na odzysk danych. Jak zaznaczałam, im bardziej uszkodzony materiał wyjściowy, tym gorsze rezultaty, tzn. pliki mogą być niekompletne (nieotwieralne lub np. obrazy pokazujące tylko kawałek). Stosowałeś różne programy do odzysku danych. Mógłbyś na pendrive sprawdzić jeszcze PhotoRec. PayDay Nazwa "CryptoLocker" (to jest inna linia szyfrująca) pojawia się w kontekście infekcji TeslaCrypt, gdyż TeslaCrypt może udawać infekcję CryptoLocker, co jest przedstawione dobrze w jednym z linków (securelist.com) podanych przez lachu88. Zostały podane raporty z FRST, które precyzyjnie pokazują jaki jest stan obecny. Infekcja nie jest czynna i nie ma jej śladów (są ślady innych śmieci). A czy są jakieś odpadki w konkretnych miejscach które podajesz, to widać w sekcjach "Files in the root of some directories" (obejmuje root, ProgramData, AppData, LocalAppdata, CommonFiles, ProgramFiles) oraz "Some content in TEMP" (tej nie widać w raporcie, bo nie wykryto żadnych plików wykonywalnych bezpośrednio w TEMP).