picasso

Fix pomyślnie wykonany. Teraz uruchom Hitman Pro, wykonaj skan, nic nie usuwaj jeszcze i dostarcz log wynikowy.

Fix pomyślnie wykonany. Na zakończenie: Usuń użyte narzędzia i ich logi z folderu D:\Service WOLFcom\Odrobaczanie. Następnie zastosuj DelFix. Jak najbardziej. Już zgłosiłam tę modyfikację autorowi FRST i nowa wersja FRST będzie pokazywać przekierowany update_url rozszerzeń. Od razu będzie oczywiste, że Google Chrome musi zostć przeinstalowane od zera.

Posty dla porządku skleiłam. Czekam jeszcze na GMER. Uzupełnij.

W systemie aktywne adware TermCoach, ponadto jest czynne proxy. Akcje do przeprowadzenia: 1. Przez Dodaj/Usuń programy odinstaluj: InetStat, McAfee Security Scan Plus, TermCoach 1.10.0.24. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 PrivoxyService; C:\Program Files\AFC Secure Net\privoxy.exe [371200 2015-08-06] (The Privoxy team - www.privoxy.org) [brak podpisu cyfrowego] S3 WPFFontCache_v0400; C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [X] HKU\S-1-5-21-117609710-261478967-527237240-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKU\S-1-5-21-117609710-261478967-527237240-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - e:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-09-06 C:\Documents and Settings\kamil1\Menu Start\Programy\Haali Media Splitter C:\Documents and Settings\kamil1\Menu Start\Programy\InetStat C:\Program Files\AFC Secure Net C:\Program Files\Download Updater CMD: type C:\WINDOWS\system32\Drivers\etc\hosts Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Nie wiem jak to się stało, ale forum obcięło mi link i jakaś kaszanka powstała, stąd to zwrotne przekierowanie. Link poprawiony w obu postach. PS. Fix FRST wykonany poprawnie. Możesz usunąć narzędzia i logi, w tym folder C:\FRST.

Wszystko wygląda dobrze. Google Chrome było kompletnie reinstalowane, więc problem z adware powinien zniknąć na dobre. Na koniec: Zastosuj DelFix, by skasować używane narzędzia. GMER dokasuj ręcznie, DelFix go nie wykryje.

Poproszę o raporty z FRST.

Infekcja pomyślnie usunięta. Teraz już poprawki. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1036782118-4070208372-3494369121-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Piotrek\AppData\Local\Akamai\netsession_win.exe" ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\Panda Security RemoveDirectory: C:\ProgramData\panda_url_filtering RemoveDirectory: C:\Users\Piotrek\AppData\Roaming\Panda Security RemoveDirectory: C:\Windows\system32\vbox RemoveDirectory: C:\Windows\SysWOW64\vbox CMD: del /q C:\Users\Piotrek\Downloads\5znyowp4.exe EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Powstanie kolejny fixlog.txt. Przedstaw go. Nowy skan FRST nie jest mi potrzebny.

Fix prawie wykonany. Była jedna literówka i jeszcze drobna poprawka. Do Notatnika wklej: Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Uninstall\Google Photos Backup" /f RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt. Ale narzędzie miało być uruchomione w trybie ręcznym a nie automatycznym: Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > ma się pojawić lista zainstalowanych programów, na której zaznaczasz daną pozycję Nie zauważyłam, że na obrazku były dwa komunikaty. Ten błąd świadczy, że wspominany na błędzie plik XP jest za stary - może brakuje jakiejś aktualizacji z Windows Update. To sprawdzisz potem. Na razie po prostu wyłącz wpis ze startu: Start > Uruchom > msconfig > w karcie Uruchamianie odptaszkuj Adobe ARM.

Fix pomyślnie wykonany. Czynności końcowe już zadałam. Temat rozwiązany. Zamykam.

Odinstalowałeś zestaw programów Apple związany z iTunes: Apple Application Support, Apple Mobile Device Support, Apple Software Update. Ten pierwszy jak widać był kluczowy dla iTunes i program nie chce się bez niego uruchomić. Reinstalacja iTunes na widoku. Doedytowałeś, już zrobione. Zainstaluj najnowszą wersję Java i sprawdź czy to pomoże: KLIK. Jeśli nie, zainstaluj tymczasowo starą wersję Java dopasowaną do Twojej wersji ArchiCAD 12 i ponów deinstalacje: KLIK. Gdyby się udało, ta stara Java dla bezpieczeństwa musi wylecieć. Fix FRST uruchomiłeś dwa razy, dlatego prawie wszystko figuruje jako "not found". Co się działo, że Fix uruchomiony podwójnie? Drobne poprawki: 1. Deinstalacje: ----> Zapomniałeś odinstalować stary Adobe Shockwave Player 11.5. ----> Odinstalowane Corel i Nero, zostały po nich ukryte komponenty. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście po kolei wpisy FontNav, PL, Update Manager, VBA, VCRedistSetup > Dalej. Program należy uruchomić tyle razy ile wpisów, nie da się zrobić akcji hurtowej. 2. Otwórz Notatnik i wklej: SearchScopes: HKU\S-1-5-21-1078081533-2139871995-725345543-1004 -> DefaultScope {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=GLSV5&o=10168&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^GL&apn_dtid=^YYYYYY^YY^PL&apn_uid=8AFF9162-2F10-4C8E-8A16-E64FC9ABEC8C&apn_sauid=E6672CEF-5FED-4389-91F5-8E9CB55938F5 SearchScopes: HKU\S-1-5-21-1078081533-2139871995-725345543-1004 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=GLSV5&o=10168&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^GL&apn_dtid=^YYYYYY^YY^PL&apn_uid=8AFF9162-2F10-4C8E-8A16-E64FC9ABEC8C&apn_sauid=E6672CEF-5FED-4389-91F5-8E9CB55938F5 Toolbar: HKU\S-1-5-21-1078081533-2139871995-725345543-1004 -> Brak nazwy - {D4027C7F-154A-4066-A1AD-4243D8127440} - Brak pliku DPF: {233C1507-6A77-46A4-9443-F871F945D258} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab DPF: {68282C51-9459-467B-95BF-3C0E89627E55} hxxp://www.mks.com.pl/skaner/SkanerOnline.cab DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-18Core.job => C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-18UA.job => C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe C:\Documents and Settings\All Users\Dane aplikacji\Nero C:\Documents and Settings\All Users\Dane aplikacji\Skype C:\Documents and Settings\All Users\Menu Start\Programy\OpenOffice.org 3.3 C:\Documents and Settings\CoolPizza\Dane aplikacji\Corel C:\Documents and Settings\CoolPizza\Ustawienia lokalne\Dane aplikacji\Mobogenie C:\Program Files\ALLPlayer C:\Program Files\Corel C:\Program Files\NAPI-PROJEKT C:\Program Files\Nero C:\Program Files\OpenOffice.org 3 C:\Program Files\PokerStars.EU C:\Program Files\SkanerOnline C:\Program Files\Common Files\Ahead C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google Reg: reg delete HKU\S-1-5-18\Software\MozillaPlugins /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run /f Reg: reg delete "HKU\S-1-5-18Software\Microsoft\Windows\CurrentVersion\Uninstall\Google Photos Backup" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstaje kolejny fixlog.txt. Przedstaw go.

Mam pytanie: co to za instalator, czy to jakiś trial / demo, czy pełna wersja aktywowana na kluczu, czy klucz jest wielokrotnego użytku? I w takim przypadku sugeruję bezpośredni kontakt z producentem programu. Co do reszty zadań (nie powiązanych w ogóle z powyższym), nie odpowiedziałeś na pytanie: Wszystko wykonane, zostały drobne poprawki: 1. Urządzenia ISATAP nie zostały zlikwidowane, mimo że Devcon nie zgłosił żadnego błędu. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako administrator > po kolei odinstaluj wszystkie Karty ISATAP. 2. Otwórz Notatnik i wklej w nim: S3 Lavasoft Kernexplorer; \??\C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys [X] Task: {33EB2684-2B4E-45C2-A041-A41184DB31A7} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Task: C:\Windows\Tasks\Ad-Aware Update (Weekly).job => C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {FBA9A0C9-CAD4-4D60-B28A-BF2F205C4B63} /f CMD: sc config CryptSvc start= auto CMD: sc start CryptSvc RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\OpenOffice.org 3 RemoveDirectory: C:\ProgramData\Lavasoft RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenOffice.org 3.0 RemoveDirectory: C:\Users\Dorota\Desktop\FRST-OlderVersion RemoveDirectory: C:\Users\Dorota\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. Przedstaw go. Nowy log FRST nie jest mi potrzebny.

kurde Sprawdź czy na nowym profilu Google Chrome po świeżej autoryzacji strony występuje ten sam problem. Nowy profil zakładasz tutaj: Ustawienia > sekcja Ustawienia > Osoby. Gedo To nieaktualne dane. Obecnie nie da się tego zrobić. Od wersji Google Chrome 45 wtyczki NPAPI nie są obsługiwane i obecnie jedyny Adobe Flash widoczny we wtyczkach Chrome to ten wbudowany PPAPI: %ProgramFiles%\Google\Chrome\Application\[wersja]\PepperFlash\pepflashplayer.dll. Wersje NPAPI (C:\Windows\system32\NPSWF32_wersja.dll) oraz zewnętrzne PPAPI (C:\Windows\system32\pepflashplayer32_wersja.dll) nie są wykrywane. gajowy Oryginalna treść tutaj. To tylko brak autoodtwarzania (stan "pauzy") dla określonego contentu, czyli głównie reklam w technice Adobe Flash (pośrednio chodzi tu też o aspekty malware). Technika click-to-play, użytkownik będzie widział to: Ale sam Adobe Flash ma się dobrze w Google Chrome. Nadal jest trwale zintegrowany z przeglądarką i kolportowany z najnowszą wersją. Dlatego wątpię, by to było powiązane. Mnie ten efekt wygląda jednak na uprawnienia piaskownicy.

Temat założony w nieodpowiednim dziale, przenoszę do działu Windows. To nie są problemy infekcji. Z raportów nic konkretnego nie wynika. Mogę jedynie skupić się na sugestiach: MSI 1. Jedna z ostatnich instalacji wykonana 8 października to aktualizacja sterowników nVidia. Problem może więc leżeć tu właśnie. Możesz zacząć od deinstalacji pomocniczego programu aktualizacyjnego NVIDIA GeForce Experience 2.5.14.5. To utnie kilka procesów startowych. 2. Można wyłączyć kilka rzeczy ze startu. W Autoruns poodznaczać następujące pozycje: - W karcie Logon: ALLUpdate, BCSSync, IAStorIcon, Sound Blaster Cinema, SUPER CHARGER, USB3MON, UpdReg, uTorrent. - W karcie Services: WinDefend (by widzieć ten wpis, należy w programie w menu włączyć pozywanie wpisów Microsoftu). - W karcie Scheduled Tasks: AutoKMS (crack Office), klcp_update (aktualizator K-Lite), a także wszystkie zadania Adobe i Google. Po akcjach restart Windows. 3. Są tu ślady, że była aktywowana rozszerzona wersja Microsoft Update (w odróżnieniu od podstawowego Windows Update skanuje też inne produkty MS). Ten rozszerzony skan może czasem powodować większe obciążenie usługi aktualizacji. Instrukcje przełączania na podstawowe Windows Update: KLIK. 4. Wreszcie: problem z dłuższym ładowaniem może tworzyć ESET. Jeśli żaden z powyższych kroków nie przyniesie poprawy, do wykonania testowa deinstalacja ESET. LENOVO 1. Możesz odinstalować AMD Quick Stream oraz dziwadło SlimDrivers, co odetnie ze startu niektóre pozycje. Ten ostatni tworzy zresztą błędy: Error: (10/19/2015 06:14:12 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: SlimDrivers.exe, wersja: 2.2.45206.63218, sygnatura czasowa: 0x54f08646 Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.23223, sygnatura czasowa: 0x56099ffa Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x0002e36b Identyfikator procesu powodującego błąd: 0x15c Godzina uruchomienia aplikacji powodującej błąd: 0xSlimDrivers.exe0 Ścieżka aplikacji powodującej błąd: SlimDrivers.exe1 Ścieżka modułu powodującego błąd: SlimDrivers.exe2 Identyfikator raportu: SlimDrivers.exe3 2. W Autoruns opcjonalnie do deaktywacji: - Karta Logon: Spotify Web Helper, Spotify, StartCCC - Karta Services: WinDefend - Karta Scheduled Tasks: ta sama sprawa z crackiem AutoKMS... 3. Przy braku wyników z powyższymi: cóż, tu się rzuca w oczy przede wszystkim ESET. Na próbę odinstaluj całkowicie, by potwierdzić czy ma coś wspólnego ze złym działaniem. PS. W spoilerze doczyszczanie odpadków adware i wpisów pustych, co nie ma nic wspólnego z tematem przewodnim i nie pomoże rozwiązać sprawy: HP 1. System kompletnie pozbawiony aktualizacji. Zacznij od dogrania wszystkich aktualizacji (SP1 + IE11 + reszta), co może wpłynąć na stan systemu. Platform: Windows 7 Ultimate (X64) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: Chrome) 2. Jeśli powyższa operacja nie przyniesie skutków, to sprawdzić testową deinstalację Avast.

Logi z przestarzałego OTL nie są tu już brane pod uwagę i je usuwam. Brakuje trzeciego raportu FRST Shortcut oraz GMER. W systemie widać aktywną usługę adware. Akcje do przeprowadzenia: 1. Odinstaluj stare wersje: Gadu-Gadu 7.7, Java 7 Update 80, Java™ 6 Update 23, JavaFX 2.1.0, OpenOffice.org 3.4.1. Na razie nie próbuj instalować nowej wersji Java. A nowsza wersja OpenOffice będzie instalowana potem. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdsManPro; C:\Documents and Settings\All Users\Dane aplikacji\SWdsManProS\WdsManPro.exe [442504 2015-09-24] (DTools LIMITED) S2 StarOpen; Brak ImagePath HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm HKU\S-1-5-21-790525478-1482476501-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-790525478-1482476501-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 SearchScopes: HKLM -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1443111768&z=b2bb97d6b2a6c48c33a04ceg6z3zfccg7g3g3w5b8w&from=cor&uid=SAMSUNGXHD502HJ_S20BJ1ZZ501164 StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox 4.0 Beta 8\firefox.exe hxxp://www.mystartsearch.com/?type=sc&ts=1443111768&z=b2bb97d6b2a6c48c33a04ceg6z3zfccg7g3g3w5b8w&from=cor&uid=SAMSUNGXHD502HJ_S20BJ1ZZ501164 FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\qxezjocr.default-1436398898468\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\qxezjocr.default-1436398898468\extensions\deskCutv2@gmail.com => nie znaleziono C:\Documents and Settings\Admin\Dane aplikacji\mystartsearch C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\ars.cache C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\census.cache C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\housecall.guid.cache C:\Documents and Settings\All Users\Dane aplikacji\SWdsManProS C:\Program Files\mozilla firefox\plugins C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: netsh firewall reset Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Dla pewności jeszcze odśwież Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 4. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pola Addition + Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt.

Wątpię, by ustanie połączeń było związane z operacją SUPERAntispyware, czy "Asystentem" (nie)dobrych. W systemie był program marki IOBit, deinstalowany w ten sam dzień w którym założyłeś temat. Najbardziej prawdopodobny scenariusz to właśnie ustanie połączeń po deinstalacji. ==================== Punkty Przywracania systemu ========================= 30-09-2015 12:13:54 Revo Uninstaller Pro's restore point - Driver Booster 2.4 O ile nadal jest dostępny komputer do operacji, pozbądź się tego Spybota i zrób nowe raporty FRST, to doczyścimy wpisy odpadkowe.

Nie nastąpił restart, gdyż komenda EmptyTemp: w ogóle się nie wykonała. Poprawki: 1. W Google Chrome: Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy skype.softonic.pl. 2. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DCFB5BFE-1F58-4B1D-96A7-3C7BBAE51B36} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{DCFB5BFE-1F58-4B1D-96A7-3C7BBAE51B36} DeleteKey: HKCU\Software\PRODUCTSETUP DisableService: ALG RemoveDirectory: C:\Documents and Settings\Admin\Dane aplikacji\RPEng RemoveDirectory: C:\Documents and Settings\Admin\Dane aplikacji\Sun RemoveDirectory: C:\FRST\Quarantine EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Ma nastąpić restart. Powstanie kolejny fixlog.txt. Pokaż go.

Czy wykonałeś poniższe zadanie i błąd COM Surrogate ustąpił? Fix FRST wykonany. Teraz uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Brak oznak czynnej infekcji. Jedyne co tu sugeruje, iż infekcja była, to te autoryzacje w Zaporze systemu Windows: FirewallRules: [TCP Query User{42EDCBCC-0923-4B95-9224-BCD7AF9A5FF2}C:\temp\update manager.exe] => (Allow) C:\temp\update manager.exe FirewallRules: [uDP Query User{42553257-DC2B-4478-971F-ED1E1B86C74B}C:\temp\update manager.exe] => (Allow) C:\temp\update manager.exe Folder nadal widzę na dysku i będę sprawdzać co w nim jest. Tylko kosmetyczne działania do przeprowadzenia, czyli usunięcie wpisów pustych i czyszczenie Tempów: 1. Odinstaluj stare wersje: Acrobat.com, Adobe AIR , Java 8 Update 45 (64-bit), Java 8 Update 45, MyFreeCodec (Samsunga). 2. W Google Chrome zresetuj cache wtyczek, by usunąć puste wpisy: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll Brak pliku ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll Brak pliku ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll Brak pliku ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll Brak pliku CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku Task: {36A37E29-380F-4500-A031-D1FD984D8162} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2949551511-373755211-1111318044-1000Core => C:\Users\BM\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {36B87246-4C68-42E8-A8F8-2BBC1778402A} - System32\Tasks\{2427C378-ACFA-482C-980A-C45639FF938D} => pcalua.exe -a C:\Users\BM\Downloads\googlemon(3).exe -d C:\Users\BM\Downloads Task: {3BB0515B-0D40-4DEF-B30C-3950F51E3670} - System32\Tasks\{D2DEBA73-4DDE-4B27-A5AE-D0CD4FCB13FE} => pcalua.exe -a C:\Users\BM\Downloads\irfanview_plugins_433_setup.exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: {402076D7-30B3-4036-B446-888B8AC648E0} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2949551511-373755211-1111318044-1000UA => C:\Users\BM\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {40FD1B00-D5DA-477A-B8A1-3D2C522C8F08} - System32\Tasks\{F02A48C8-95BA-4638-8442-3A514452DA07} => pcalua.exe -a C:\TEMP\GTAINSTALLER\SETUP.EXE -d C:\TEMP\GTAINSTALLER Task: {5538D342-15A1-45F5-9EE0-953D79052132} - System32\Tasks\{11F22A97-0946-4B63-8053-4C67FA6A3F68} => pcalua.exe -a "C:\Program Files (x86)\XFastUsb\Uninstall.exe" Task: {57EE4030-D9C5-44B8-A721-622AD663C4C3} - System32\Tasks\Paragon Archive name arc_030413000426092 => C:\Program Files (x86)\Paragon Software\Hard Disk Manager 12 Professional\program\scripts.exe Task: {6A654567-D747-4F86-B2BC-E6B92FCFF42E} - System32\Tasks\{D21F9D2B-A2EA-43E9-BEBA-71F8A3E3D51E} => pcalua.exe -a C:\Users\BM\Downloads\googlemon.exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: {9D860236-C50F-4264-BF00-FB5BE8567999} - System32\Tasks\Seagate_Install_Launch => C:\Program Files (x86)\Seagate\Seagate Dashboard 2.0\Dashboard.exe Task: {DA1FFED2-3F6C-47A1-83FC-854D51D899F0} - System32\Tasks\{809CE9AB-A60E-454E-A562-8A1D1ABE9F75} => pcalua.exe -a C:\Users\BM\Documents\dav2avimon-1.0\dav2avi\dhplayer.exe -d C:\Users\BM\Documents\dav2avimon-1.0\dav2avi Task: {EB253384-11D9-4157-B749-9C147F8BFD0F} - System32\Tasks\{B178E1C2-8559-4568-866E-4691DDD60A34} => pcalua.exe -a "C:\Users\BM\Downloads\Photodex ProShow Gold 5.0.3222\SetUp.exe" -d "C:\Users\BM\Downloads\Photodex ProShow Gold 5.0.3222" Task: {FD685241-F150-417E-9EE3-E4D05E6F18D9} - System32\Tasks\{A1626C9E-D588-4B84-ADD0-6EE42FAF1B4B} => pcalua.exe -a C:\Users\BM\Downloads\googlemon(1).exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: C:\Windows\Tasks\Paragon Archive name arc_030413000426092.job => C:\Program Files (x86)\Paragon Software\Hard Disk Manager 12 Professional\program\scripts.exe-Wno --alternate --graph --multiple C:/Program Files (x86)/Paragon Software/Hard Disk Manager 12 Professional/scripts/scr_030413000704947.psl C:\Program Files (x86)\mozilla firefox\plugins C:\Users\BM\AppData\Local\134e6589520e51682091c0.32666518 C:\Users\BM\AppData\Local\69ff07055291669bb2b218.72821112 Folder: C:\temp Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowy skan FRST nie jest mi potrzebny. 4. Za to na wszelki wypadek dorzuć szukanie rejestru na w/w delikwenta. Uruchom FRST, w polu Szukaj wklej co niżej podane, klik w Szukaj w rejestrze i dostarcz wynikowy log. update manager.exe

Przenoszę temat do odpowiedniejszego działu Vista. W logu widzę tylko te dwa foldery, przypuszczalnie utworzone przez nowe próby z instalacją, więc je usń ręcznie: 2015-10-15 18:35 - 2015-10-15 19:25 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Testy Liwona kategoria B 2015-10-15 18:31 - 2015-10-15 19:11 - 00000000 ____D C:\Program Files\Testy Liwona kategoria B Komunikat "program już jest zainstalowany" prawdopodobnie produkują dane Instalatora Windows relatywne do tego programu. Skorzystaj z tego narzędzia Microsoftu: KLIK. Uruchom je w dwóch trybach: - Automatyczny: Zaakceptuj > Wykryj problemy i automatycznie zastosuj poprawki (zalecane) > zweryfikuj czy cokolwiek zostało naprawione. - Ręczny: Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > sprawdź czy na liście widać pozycję tego programu > jeśli tak, zaznacz i Dalej. Jeśli nie, kończysz akcję. Widać aktywny w tle sterownik tStLibG pozostawiony po niedokładnym usuwaniu adware oraz bardzo stary Ad-aware działający wspólnie z Avastem. Te dwa czynniki mogą tworzyć niepożądany stan. Poza tym, jest notowany problem z Usługami kryptograficznymi Windows: UWAGA: => Nie wykonano weryfikacji podpisów cyfrowych plików. Usługa "Usługi kryptograficzne" nie jest uruchomiona. Ogólnie do przeprowadzenia następujące akcje: 1. Odinstaluj stare wersje: Ad-aware, Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Reader 8.1.0 - Polish, Bittorrent, Nowe Gadu-Gadu, OpenOffice.org 3.0. 2. Wyłącz zbędne wpisy ze startu. Uruchom Autoruns, w menu zaznacz pokazywanie wpisów Microsoftu, następnie odznacz następujące elementy: - W karcie Logon: APSDaemon, ehTray.exe, iTunesHelper, QuickTime Task, topi, Toshiba Registration, V0260Cfg.exe, Windows Defender, Windows Mobile-based device management, WMPNSCFG. - W karcie Services: UleadBurningHelper, WinDefend. 3. Pobierz DevCon. Pobrany plik Devcon.exe to archiwum, rozpakuj tak jak tradycyjny ZIP. Po rozpakowaniu z folderu i386 przekopiuj plik Devcon.exe do katalogu C:\Windows. W spoilerze doczyszczanie szczątków adware, wpisów pustych i zdefektowanych urządzeń ISATAP: 4. Napraw drobny błąd WMI wykonując działania z tego artykułu: KLIK. W skrócie: wklej do Notatnika skrypt MS, zapisz pod nazwą FIX.VBS, przenieść wprost na C:\, następnie Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę C:\FIX.VBS i ENTER. 5. Wyczyść Dzienniki zdarzeń, by nagrały się tylko bieżące błędy: Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. W sekcji Dzienniki systemu Windows z prawokliku opróżnij gałęzie Aplikacja i System. W sekcji Dzienniki aplikacji i usług > Microsoft > Windows > z prawokliku opróżnij CodeIntegrity. 6. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt ze spoilera. Wypowiedz się jak działa system, czy jest poprawa.

Temat przenoszę do odpowiedniejszego działu, na razie do Hardware *. Problemem nie jest infekcja, skan MBAM (odpadki po instalacji adware) nie ma związku z problemami. A logi FRST i GMER nie nadają się do diagnostyki dysku. Komunikaty wskazują na uszkodzenie tablicy partycji / systemu plików. I jedyne co z raportu FRST można podciągnąć pod sprawę, to w kółko mielone błędy złych bloków jakiegoś dysku - może to chodzi o ów zewnętrzny: Dziennik System: ============= Error: (10/19/2015 12:36:02 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk3\DR7 wystąpił zły blok. * Skoro to dysk z innego komputera i nastąpiła na nim niespodziewana utrata danych, to wypada zbadać kondycję sprzętową tego dysku. Dane wymagane działem Hardware: KLIK. Najwyraźniej raport z FRST był robiony, gdy dysk zewnętrzny nie był podpięty, gdyż FRST widzi tylko jeden dysk fizyczny, żadnego zewnętrznego tu nie widać: ==================== Dyski ================================ Drive c: () (Fixed) (Total:150.17 GB) (Free:97.11 GB) NTFS Drive d: () (Fixed) (Total:781.25 GB) (Free:733.45 GB) NTFS ==================== MBR & Tablica partycji ================== ======================================================== Disk: 0 (MBR Code: Windows 7 or 8) (Size: 931.5 GB) (Disk ID: F53373B5) Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=150.2 GB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=781.2 GB) - (Type=07 NTFS) Uruchom Autoruns, w karcie Scheduled Tasks odznacz wszystkie zadania typu GWX*. Druga sprawa, proces zaszedł już dość daleko, bo Windows 10 jest pobrany na dysku i oczekuje na instalację: 2015-10-18 17:56 - 2015-10-18 17:56 - 00000000 ___HD C:\$Windows.~BT Bez znaczenia. Akcja nastąpiła podczas skanowania Skrótów - otwórz plik Shortcut.txt i zrób szukanie na frazę "Brak pliku", są puste skróty odnoszące się do nieistniejących mapowań dysków G: i I:. PS. W spoilerze drobnostki (wpisy puste / odpadkowe) do usunięcia. Akcja kosmetyczna, nie mająca żadnego związku z powyższymi zgłoszeniami.

Nie podałeś raportu MBAM, ale można wnioskować, że była usuwana jakaś drobnostka, np. plik "downloadera". I ten skan nie ma związku z tym: Temat przenoszę do działu Windows. Problemem nie jest infekcja. Raporty nie dostarczają żadnych konkretów. A dużo już ze startu wyłączone via Menedżer zadań Windows 8. Sugestie: 1. Odinstaluj sterownik SPTD za pomocą narzędzia SPTDinst: KLIK. Obecnie w raportach nie widać żadnego powiązanego programu, który go używa. 2. Odinstaluj nieużywane firmowe programy, co ograniczy ilość uruchamianych procesów, np. Norton Online Backup. Przy okazji pozbądź się też starych wersji Adobe AIR, Adobe Flash Player 10 Plugin, Java 7 Update 45. 3. Upewnij się, że problemu nie tworzą programy zabezpieczające Avast, Malwarebytes Anti-Malware. Zacznij od deinstalacji MBAM. Jeśli nie będzie zmian, w ten sam sposób sprawdź Avast. Jak wyżej. Brak danych, raporty nie mówią nic. A Twój opis conajmniej nie jasny, nie wiadomo na czym polega ta "niemożność uruchomienia". Czy próbowałeś reinstalować urządzenie na poziomie Menedżera urządzeń oraz sterowniki Atheros? ==================== Zainstalowane programy ====================== Qualcomm Atheros Bluetooth Suite (64) (HKLM\...\{A84A4FB1-D703-48DB-89E0-68B6499D2801}) (Version: 8.0.1.306 - Qualcomm Atheros Communications) Qualcomm Atheros Client Installation Program (HKLM-x32\...\{28006915-2739-4EBE-B5E8-49B25D32EB33}) (Version: 10.0 - Qualcomm Atheros) HKLM\...\Policies\Explorer\Run: [btvStack] => C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe [132736 2013-09-25] (Atheros Communications) R2 AtherosSvc; C:\Program Files (x86)\Bluetooth Suite\adminservice.exe [312448 2013-09-25] (Windows ® Win 7 DDK provider) [brak podpisu cyfrowego] R2 ZAtheros Bt and Wlan Coex Agent; C:\Program Files (x86)\Bluetooth Suite\Ath_CoexAgent.exe [323584 2013-09-25] (Atheros) [brak podpisu cyfrowego] S3 BTATH_HID; C:\Windows\system32\DRIVERS\btath_hid.sys [223432 2013-09-25] (Qualcomm Atheros) S3 BTATH_LWFLT; C:\Windows\system32\DRIVERS\btath_lwflt.sys [77464 2013-09-25] (Qualcomm Atheros) PS. W spoilerze kosmetyka wpisów pustych. Akcja stricte podrzędna. Nie ma to żadnego związku z powyższymi problemami i nie pomoże ich rozwiązać.

Kolejna porcja poprawek: 1. Otwórz Notatnik i wklej w nim: AV: AVG Anti-Virus Free Edition 2012 (Enabled - Up to date) {5A2746B1-DEE9-F85A-FBCD-ADB11639C5F0} AS: AVG Anti-Virus Free Edition 2012 (Enabled - Up to date) {E146A755-F8D3-F7D4-C17D-96C36DBE8F4D} FF Plugin-x32: @java.com/DTPlugin,version=10.13.2 -> C:\Windows\SysWOW64\npDeployJava1.dll [2013-02-07] (Oracle Corporation) FF Plugin-x32: @java.com/JavaPlugin -> C:\Program Files (x86)\Java\jre1.8.0_60\bin\new_plugin\npjp2.dll [brak pliku] Task: {1966FCD6-7E60-4534-98FA-34AF1191310E} - System32\Tasks\RealCreateProcessScheduledTask345657592S-1-5-21-941783235-1361993633-579621791-1000 => D:\Program Files (x86)\Real\RealPlayer\update\realsched.exe Task: {28A8672D-E69C-445A-A024-94FD71870832} - System32\Tasks\RealCreateProcessScheduledTask543795585S-1-5-21-941783235-1361993633-579621791-1000 => D:\Program Files (x86)\Real\RealPlayer\update\realsched.exe Task: {50332993-9FE8-4D23-AD53-AB7A208F5AC8} - System32\Tasks\RealDownloaderRealUpgradeLogonTaskS-1-5-21-941783235-1361993633-579621791-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\realupgrade.exe Task: {67162F5D-8FB1-44C5-8D96-E526B5039B58} - System32\Tasks\RealCreateProcessScheduledTask2041772098S-1-5-21-941783235-1361993633-579621791-1000 => D:\Program Files (x86)\Real\RealPlayer\update\realsched.exe Task: {6EC8E776-E5BC-4F8C-9599-DC9179116C69} - System32\Tasks\RealDownloaderDownloaderScheduledTaskS-1-5-21-941783235-1361993633-579621791-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\recordingmanager.exe Task: {712F7D37-8CD6-40DD-89CA-CED1B2BA5048} - System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-941783235-1361993633-579621791-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {75CA2A62-D899-4E3F-9D74-1D26D4BF3187} - System32\Tasks\RealCreateProcessScheduledTask230475533S-1-5-21-941783235-1361993633-579621791-1000 => D:\Program Files (x86)\Real\RealPlayer\update\realsched.exe Task: {7DFEF630-CD14-4C50-B2EC-D049E577032F} - System32\Tasks\RealCreateProcessScheduledTask699993022S-1-5-21-941783235-1361993633-579621791-1000 => D:\Program Files (x86)\Real\RealPlayer\update\realsched.exe Task: {89B54FFE-5596-4D6E-9915-CF7D82244BF4} - System32\Tasks\RealCreateProcessScheduledTask239627160S-1-5-21-941783235-1361993633-579621791-1000 => D:\Program Files (x86)\Real\RealPlayer\update\realsched.exe Task: {98510A6F-0008-4E28-9ACC-C0FF0C02D95E} - System32\Tasks\RealCreateProcessScheduledTask454964201S-1-5-21-941783235-1361993633-579621791-1000 => D:\Program Files (x86)\Real\RealPlayer\update\realsched.exe Task: {B5DBB04F-BF38-4D7D-945D-C90F94378B8B} - System32\Tasks\RealCreateProcessScheduledTask996322100S-1-5-21-941783235-1361993633-579621791-1000 => D:\Program Files (x86)\Real\RealPlayer\update\realsched.exe Task: {D055BD29-DC5A-4D43-9AAC-3C54BD7B173E} - System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-941783235-1361993633-579621791-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {E9B84AA7-47A9-4CB1-A235-2D8827EBE1E8} - System32\Tasks\RealCreateProcessScheduledTask214125459S-1-5-21-941783235-1361993633-579621791-1000 => D:\Program Files (x86)\Real\RealPlayer\update\realsched.exe Task: {EE32974C-FA82-432A-8B69-B8833A99F716} - System32\Tasks\RealDownloaderRealUpgradeScheduledTaskS-1-5-21-941783235-1361993633-579621791-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\realupgrade.exe RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Google\Desktop\Install RemoveDirectory: C:\Program Files (x86)\Google\Desktop RemoveDirectory: C:\Program Files (x86)\Real RemoveDirectory: C:\ProgramData\Lavasoft RemoveDirectory: C:\ProgramData\Real RemoveDirectory: C:\Users\Kamil\AppData\Local\Avg2015 RemoveDirectory: C:\Users\Kamil\AppData\Roaming\Real RemoveDirectory: C:\Users\Kamil\AppData\Roaming\TuneUp Software RemoveDirectory: C:\Users\Kamil\Desktop\Stare dane programu Firefox CMD: del /q C:\aaw7boot.log CMD: del /q C:\Windows\SysWOW64\rp_stats.dat CMD: del /q C:\Windows\SysWOW64\rp_rules.dat Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Odbuduj usunięte przez ZeroAccess usługi Windows za pomocą ServicesRepair. Po akcji zresetuj system i zrób nowy log z Farbar Service Scanner.

Kończymy: 1. Był uruchamiany GMER. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. GMER dokasuj ręcznie.

Przetwarzam tematy, gdy jestem w stanie. Obecnie jestem znów jedyną osobą, która zajmuje się tym działem. Jeśli chodzi o ten drugi komputer: - Nie ma tu oznak czynnej infekcji, tylko szczątki w mapowaniu MountPoints2 oznajmiające, że kiedyś podpinano zainfekowane USB oraz instalacje adware (Ask Toolbar i Mobogenie). - Jest tu poważna usterka, czyli od dołu do góry usługi/sterowniki Windows oznaczone etykietą [brak podpisu cyfrowego]. To oznacza uszkodzenie bazy Usług kryptograficznych (catroot2 lub catroot). - ESET do deinstalacji niezależnie od tego czy ma cokolwiek wspólnego ze spowolnieniem. To koszmarnie stara wersja z 2008 i to jeszcze scrackowana! Fatamorgana z zabezpieczaniem, tak stary antywirus jest w ogóle nie odporny na bieżący infekcje. Poza tym, Dziennik zdarzeń jest upstrzony błędami tego typu: Dziennik System: ============= Error: (10/16/2015 10:01:02 AM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Eset Nod32 Boot z powodu następującego błędu: %%1053 Error: (10/16/2015 10:01:02 AM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Limit czasu (30000 milisekund) podczas oczekiwania na połączenie się z usługą Eset Nod32 Boot. Akcje do przeprowadzenia: 1. Był uruchamiany GMER. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Uruchom narzędzie Fix It 50202: KLIK. Narzędzie działa na XP. Zaznacz tryb agresywny - w jego skład wchodzi reset bazy catroot2. 3. Deinstalacje / aktualizacje: ----> Przez Dodaj/Usuń programy odinstaluj adware, wszystkie stare wersje i nieszczęsnego cracka: Adobe Shockwave Player 11.5, Ask Toolbar, ESET NOD32 Antivirus, Gadu-Gadu 10, Gadu-Gadu 7.7, Java™ 6 Update 22, Java™ 6 Update 3, Java™ 6 Update 5, Mobogenie, NOD32 v3.0.642 FiX1.2 by TemDono (31 days remaining forever up, OpenOffice.org 3.3, Skaner on-line mks_vir. ----> Zainstaluj najnowszą wersję OpenOffice 4.1.1: KLIK. Zaktualizuj Mozilla Thunderbird 24.6.0 do najnowszej wersji 38.3.0: KLIK. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKU\S-1-5-21-1078081533-2139871995-725345543-1004\...\Run: [PhoneDaemon] => F:\Iphone\Pc_Suite\iPhonePCSuite\PhoneDaemon.exe HKU\S-1-5-21-1078081533-2139871995-725345543-1004\...\Run: [LightShot] => C:\Documents and Settings\CoolPizza\Ustawienia lokalne\Dane aplikacji\Skillbrains\lightshot\Lightshot.exe HKU\S-1-5-21-1078081533-2139871995-725345543-1004\...\Policies\Explorer: [NoDriveAutoRun] 0xFFFFFFFF HKU\S-1-5-21-1078081533-2139871995-725345543-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1078081533-2139871995-725345543-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1078081533-2139871995-725345543-1004\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://www.gazeta.pl/0,0.html SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = hxxp://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} SearchScopes: HKU\S-1-5-21-1078081533-2139871995-725345543-1004 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1078081533-2139871995-725345543-1004 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = BHO: Brak nazwy -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> Brak pliku Handler: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - Brak pliku S3 HPFXBULK; system32\drivers\hpfxbulk.sys [X] S3 HPFXFAX; system32\drivers\hpfxfax.sys [X] C:\Documents and Settings\CoolPizza\Ustawienia lokalne\Dane aplikacji\updater.log C:\Program Files\GUM6F.tmp C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla\Firefox /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla\Firefox /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKU\S-1-5-18\Software\Mozilla /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh firewall reset CMD: net user ASPNET /delete EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 6. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Opisz czy jest poprawa w działaniu.