picasso

Plik C:\delfix.txt możesz skasować z dysku. Zakładam, że trefna paczka z torrent już dawno zlikwidowana. Jak mówiłam, na wszelki wypadek zmieniłabym jednak hasła.

Zapewniam Cię, że raporty zostały dobrze sprawdzone. Różnica polega na tym, że w tamtym temacie infekcja samoczynnie wracała z powodu winy użytkownika (ręcznie uruchamiał scrackowany program przywracający infekcję), a jedno z podejść było nieudane ze względu na brak komendy zabijania procesów w skrypcie. Temat Chrome nie ma żadnego związku. Były tu wykonywane tylko poboczne nie związane z infekcją zasadniczą zadania czyszczące innej natury. Podobnie w temacie drugiego użytkownika, tam akcje Chrome związane z odpadkami adware. Na dysku powstał raport C:\delfix.txt zawierający wykaz operacji. DelFix usuwa z rejestru tylko wpisy powiązane z narzędziami skanerów, nie zajmuje się czyszczeniem rejestru w ogólnym wymiarze.

Tak, Fixlist powinien zniknąć po naprawie. Co się działo podczas uruchamiania opcji Fix z tego posta? Czy był jakiś błąd? Czy FRST i ten Fixlist na pewno są w tym samym folderze?

SFCFix - Automatyzacja napraw SFCFix Platforma: Windows Vista do Windows 10 32-bit i 64-bit Oficjalne autoryzowane linki pobierania: Pobierz SFCFix to narzędzie autorstwa niemiro z forum sysnative.com, automatyzujące naprawy SFC oraz DISM. Podczas skanu odczytuje m.in. raporty CBS.log oraz CheckSur.log (produkowany w Windows 7 i Vista przez Narzędzie analizy gotowości aktualizacji systemu, w nowszych systemach niedostępny, gdyż funkcjonalność została zintegrowana w DISM). Na systemach Windows 8 i nowszych wywołuje komendę DISM /Online /Cleanup-image /Restorehealth. Narzędzie działa w dwóch trybach: w pełni automatycznym oraz ręcznym (mocno inspirowanym narzędziem ComboFix). SFCFix jest w stanie rozwiązać wiele przypadków uszkodzeń, ale nie wszystkie. W tej sytuacji jest wymagana pomoc eksperta. Tryb automatyczny Po uruchomieniu narzędzie sprawdza dostępne aktualizacje. Następnie pojawi się ekran powitalny proszący o wciśnięcie jakiegolwiek klawisza, by kontynuować: Welcome to SFCFix! This program will attempt to detect & repair as many SFC and Windows Update corruptions as it can. When it completes, a logfile will open automatically, and will also be saved to your Desktop under the name of SFCFix.txt. If someone has instructed you to run SFCFix, you should copy and paste the contents of that logfile into your next reply to that helper. For those not currently being instructed in the use of SFCFix, in the event that not all detected corruptions could be repaired automatically, or your problems persist, you should seek further (and completely free) advice from sysnative.com Diagnostic times will be approximately 5-10 minutes, with an additional 10 minutes of processing time should corruptions be detected. Please close all open programs now before proceeding. Press any key to continue . . . Pojawi się ostrzeżenie punktujące, że narzędzie nie powinno być stosowane na zainfekowanym malware systemie. W przypadku obecnej infekcji należy zamknąć okno narzędzia, w przeciwnym wypadku kontynuacja przez wciśnięcie jakiegokolwiek klawisza. WARNING! This tool has been designed to fix file system and registry corruptions only. It has not been designed to work around the tricks and traps so often left in place by modern malware. Do not use this tool on an infected computer. If you are running this tool on a computer system with a known infection, please exit now and seek disinfection advice from a forum offering such a service. If you do not already have a preference for a particular forum, sysnative.com will offer such a service free of any charge. Press any key to continue . . . Wreszcie zawiadomienie o używaniu na własne ryzyko, potwierdzane wciśnięciem jakiegokolwiek klawisza: Disclaimer Please understand that the use of this tool is entirely at your own risk. Neither niemiro nor sysnative.com will be held responsible for any loss or damage caused as a result of the use or misuse of this program. If you do not agree to these terms, or if you wish not to continue for any other reason, please exit now. Otherwise press any key to continue . . . Rozpocznie się sprawdzanie systemu, co w zależności od napotkanych naruszeń może długo trwać: Welcome to SFCFix by niemiro and sysnative.com. Checking for updates . . . No new update is available at this time. Processing directive 1 of 1 (AutoAnalysis::) Checking store directories . . . Checking CBS.log . . . ----> W przypadku braku wykrycia naruszeń status wygląda następująco: Welcome to SFCFix by niemiro and sysnative.com. Checking for updates . . . No new update is available at this time. Processing directive 1 of 1 (AutoAnalysis::) Checking store directories . . . Checking CBS.log . . . Checking CBS.persist.log . . . Checking CheckSUR.log . . . Checking CheckSUR.persist.log . . . SUMMARY: CBS & SFC total detected corruption count: 0 CBS & SFC total unimportant corruption count: 0 CBS & SFC total fixed corruption count: 0 SURT total detected corruption count: 0 SURT total unimportant corruption count: 0 SURT total fixed corruption count: 0 Press any key to continue to explanation of summary . . . ... a wciśnięcie jakiegokolwiek klawisza wyświetla opis podsumowania, również zamykany dowolnym klawiszem: --- Displaying Message 1 of 1 --- No corruptions have been detected on this computer. Whilst this is a good thing, be aware that not all types of corruption can be detected by this tool. Therefore, if you are currently experiencing continued problems with your computer it is likely that you are going to need the assistance of a human analyst in order to find and fix them. If your problems persist, and you are currently being instructed by a helper, you should let them know about this development by sending them the logfile which will soon be generated and opened so that they can perform a manual fix. If you are not currently being instructed by a helper but still need assistance, you should seek free advice from your favourite forum or sysnative.com. Create a new thread and provide this logfile in the first post of that thread along with a complete description of the problems you were experiencing which led you to run this tool. * Press any key to continue . . . ----> W przypadku wykrycia naruszeń pojawi się zawiadomienie o wydłużeniu skanu i zostaną podjęte czynności korekcyjne, m.in. jest uruchamiany systemowy DISM: Welcome to SFCFix by niemiro and sysnative.com. Checking for updates . . . No new update is available at this time. Processing directive 1 of 1 (AutoAnalysis::) Checking store directories . . . Checking CBS.log . . . Checking CheckSUR.log . . . Checking CheckSUR.persist.log . . . Attempting repair . . . Stage 1 Stage 2 Stage 3 Due to the nature of your corruptions, scan times have been extended by approximately 15-20 minutes. Please be patient and allow the operation to complete. Deployment Image Servicing and Management tool Version: 6.3.9600.16384 Image Version: 6.3.9600.16384 [==========================100.0%==========================] Error: 0x80240021 DISM failed. No operation was performed. For more information, review the log file. The DISM log file can be found at C:\Windows\Logs\DISM\dism.log Wciśnięcie jakiegokolwiwk klawisza wyświetla podsumowanie. Tryb ręczny Tryb ręczny jest egzekwowany, gdy SFCFix nie potrafi samodzielnie naprawić usterki. Polega on na załadowaniu skryptu instruującego narzędzie co naprawić: specjalista prowadzący pomoc przygotowuje plik SFCFix.zip zawierający skopiowaną ze sprawnego systemu lub wyekstraktowaną z pobranych aktualizacji strukturę idealnie dopasowanych komponentów oraz skrypt tekstowy odpalający podmianę komponentów, a użytkownik przeciąga i upuszcza SFCFix.zip na ikonę SFCFix.exe. Opis budowy SFCFix.zip nie jest publiczny. Raporty Narzędzie tworzy raport SFCFix.txt na Pulpicie. Jego forma naśladuje log Narzędzia analizy gotowości aktualizacji systemu. Przykładowe raporty: FIXED - Usterki naprawione. CORRUPT - Wykryte uszkodzenia wymagające naprawy ręcznej. 2. Czynności wykonywane przez systemowy DISM (o ile był wywoływany przez narzędzie) można sprawdzić w raporcie C:\Windows\Logs\DISM\dism.log lub CBS.log. Przykład: Analiza tych raportów nie jest zadaniem dla początkujących użytkowników, gdyż wymaga ogromnej wiedzy o strukturze komponentów Windows.

Uruchamianie SFC z poziomu WinRE Skan SFC jest wykonalny także z poziomu środowiska zewnętrznego, co jest przydatne gdy nie można uruchomić Windows. Komenda w tym środowisku wymaga zastosowania dodatkowych przełączników /OFFBOOTDIR i /OFFWINDIR. Formuła komendy to: sfc /scannow /offbootdir=Y:\ /offwindir=Z:\windows Dodatkowo może się przydać komenda innego narzędzia (patrz na końcowy fragment tego posta): DISM /Image:Z: /Cleanup-Image /RevertPendingActions Y - Do podstawienia litera kierująca na partycję z plikami startowymi Windows Z - Do podstawienia litera kierująca na partycję z zainstalowanym Windows Uruchamianie WinRE Metody wejścia do WinRE na Windows 7 i Vista: Opis startu do środowiska WinRE na systemach Windows 7 i Vista Metody wejścia do WinRE na Windows 10 i 8/8.1: Spod uruchomionego systemu, co odpada gdy nie można się dostać do systemu lub są poważne uszkodzenia (np. konta). Na Windows 10: klik w ikonę Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz. Na Windows 8/81: z klawiatury + I > Zmień ustawienia komputera > Aktualizacja i odzyskiwanie (8.1) lub Ogólne (8) > i dalej jak w/w. Z poziomu DVD lub USB instalacyjnego Windows: zbootuj komputer z nośnika > na pierwszym ekranie klik w Dalej (Next) > na kolejnym wybierz Napraw komputer (Repair your computer) > wybierz pozycję Rozwiąż problemy (Thoubleshoot) > wybierz Opcje zaawansowane (Advanced options). Jeśli nie posiadasz nośnika, można go utworzyć na innym dostępnym komputerze z zainstalowanym systemem Windows 7 lub nowszym. Klucz produktu nie jest potrzebny, gdyż chodzi tu o wejście do opcji naprawczych a nie instalację systemu. Pobierz i uruchom Narzędzie do tworzenia nośnika Windows 10. Wybierz opcję Utwórz nośnik instalacyjny dla innego komputera. Wybierz język, wersję i architekturę (32-bit lub 64-bit) odpowiadającą parametrom poszkodowanego systemu, odznacz "Użyj opcji zalecanych dla tego komputera". Następnie zdecyduj czy ma być tworzony bootowalny nośnik USB, czy obraz ISO do późniejszego zgrania na DVD. Narzędzie pobierze Windows 10 i utworzy nośnik instalacyjny. Pomimo że jest to nośnik z Windows 10, można go użyć też na starszych systemach (ale bity muszą się zgadzać). Płyta nie uruchomi się jednak na bardzo starym sprzęcie. Uruchamianie SFC 1. Zastartuj do środowiska WinRE według powyższych wytycznych i wybierz opcję Wiersz polecenia (Command Prompt): Windows 10, Windows 8/8.1: Windows 7, Vista: 2. Sprawdź mapowanie dysków, konieczne do prawidłowego zdefiniowania liter partycji z plikami startowymi i z zainstalowanym Windows w poleceniu SFC. Najprostszy sposób to posłużenie się trikiem z Notatnikiem. W linii komend wpisz notepad i ENTER. W Notatniku z menu File / Plik wybierz Open / Otwórz i w oknie eksploratora po lewej kliknij w pozycję Komputer. Zostanie otworzony widok z listą wszystkich dysków twardych i wymiennych aktualnie dostępnych pod WinRE. W przykładzie: Zastrzeżone przez system (C:) - Partycja z plikami startowymi Windows. Litera C do zastosowania z przełącznikiem /OFFBOOTDIR. Dysk lokalny (D:) - Partycja z zainstalowanym Windows. Litera D do zastosowania z przełącznikami /OFFWINDIR i /SCANFILE oraz w komendzie DISM. Boot (X:) - Podmontowane wirtualnie WinRE. Do zignorowania. Wielu użytkowników sugeruje się słowem "Boot", przypisując mu znaczenie partycji z plikami startowymi naprawianego Windows. W przypadku gdy partycja z plikami startowymi i systemem jest wspólna, ta sama litera do zastosowania z /OFFBOOTDIR i /OFFWINDIR. 3. W linii komend wpisz wybrane polecenie podstawiając w kolorowe miejsca litery dysków pasujące do Twojego układu i ENTER. W przykładzie są to litery C i D. W przypadku kompleksowej naprawy: sfc /scannow /offbootdir=C:\ /offwindir=D:\windows W przypadku naprawy pojedynczego pliku: sfc /scanfile=D:\Windows\explorer.exe /offbootdir=C:\ /offwindir=D:\windows Czekaj cierpliwie na ukończenie skanu. SFC w tym trybie zwraca taki sam zestaw komunikatów jak spod Windows. Przeglądanie raportu CBS W tym scenariuszu wyniki skanu nie są dostępne, akcje nie są nagrywane do raportu CBS.log na dysku twardym. Użytkownicy na forum, wykonujący naprawę na własną rękę, sugerują się fragmentem komunikatu SFC opowiadającym o takiej możliwości i kopiują ten plik do analizy. To nie jest odpowiedni raport, wykaz z naprawy nie jest dostępny. Na systemach Windows 7 i Vista SFC zwraca mylący komunikat. W nowszych systemach dodano zdanie precyzujące, że logowanie nie jest obsługiwane: Details are included in the CBS.Log windir\Logs\CBS\CBS.log. For example C:\Windows\Logs\CBS\CBS.log. Note that logging is currently not supported in offline servicing scenarios. Problemy z wykonaniem polecenia Typowo błędy "Windows Resource Protection could not start the repair service" lub "Windows Resource Protection could not perform the requested operation" są zwracane w przypadku błędów składni polecenia, np. użyto gołe "sfc /scannow" bez parametrów /OFFBOOTDIR i /OFFWINDIR, zastosowano błędne litery dysków, etc. There is a system repair pending which requires reboot to complete. Restart Windows and run sfc again. Istnieje oczekująca naprawa systemu, której ukończenie wymaga ponownego rozruchu. Ponownie uruchom system Windows i ponownie uruchom program sfc. Uruchom w linii poleceń poniższą komendę, w kolorowe miejsce podstawiając literę partycji z zainstalowanym Windows pozyskaną w/w trikiem z Notatnikiem, i ENTER. W przykładzie jest to D. DISM /Image:D: /Cleanup-Image /RevertPendingActions DISM zawiadomi o wykonaniu operacji i planowanym wdrożeniu zmian przy kolejnym restarcie systemu: X:\Sources>DISM /Image:D: /Cleanup-Image /RevertPendingActions Deployment Image Servicing and Management tool Version: 6.3.9600.16384 Image Version: 6.3.9600.16384 The scratch directory size might be insufficient to perform this operation. This can cause unexpected behavior. Use the /ScratchDir option to point to a folder with sufficient scratch space. The recommended size is at least 1024 MB. Reverting pending actions from the image... The operation completed. Revert of pending actions will be attempted after the reboot. The operation completed successfully. X:\Sources> X:\Sources>DISM /Image:D: /Cleanup-Image /RevertPendingActions Wersja narzędzia do obsługi obrazu wdrażania i zarządzania nim: 6.1.7601.17514 Wersja obrazu: 6.1.7600.16385 Rozmiar katalogu zapasowego może być zbyt mały, aby wykonać operację. Może to spowodować nieoczekiwane zachowanie. Użyj opcji /ScratchDir, aby wskazać folder zawierający wystarczającą ilość miejsca na pliki tymczasowe. Zalecany rozmiar to co najmniej 1024 MB. Trwa wycofywanie oczekujących akcji z obrazu... Operacja została wykonana. Wszelkie próby przywrócenia oczekujących akcji zostaną wykonane po ponownym rozruchu. Operacja ukończona pomyślnie. X:\Sources> Zresetuj system. Powinien się pojawić komunikat typu "Odwracanie zmian". Ponów skan SFC spod Windows, a jeśli Windows nie jest dostępny z poziomu WinRE.

Uruchamianie SFC spod Windows Skan w trybie tylko do odczytu Komenda sprawdzania wszystkich plików objętych ochroną: sfc /verifyonly Komenda sprawdzania pojedynczego pliku, w kolorowe miejsce oczywiście należy podstawić pasującą do własnego przypadku ścieżkę dostępu: sfc /verifyfile=C:\Windows\explorer.exe Skan w trybie naprawy Komenda kompleksowej naprawy wszystkich plików objętych ochroną: sfc /scannow Komenda naprawy pojedynczego pliku, w kolorowe miejsce oczywiście należy podstawić pasującą do własnego przypadku ścieżkę dostępu: sfc /scanfile=C:\Windows\explorer.exe 1. Uruchom linię poleceń jako Administrator: Windows 10 i Windows 8/81: z klawiatury + X > z menu wybierz pozycję Wiersz polecenia (administrator) Windows 7 i Vista: Start > w polu szukania wpisz cmd > z prawokliku na wynik Uruchom jako administrator 2. Wpisz wybrane polecenie naprawcze i ENTER. Rozpocznie się skanowanie i naprawa, należy czekać cierpliwie dopóki ten proces nie zostanie ukończony (status 100%). C:\WINDOWS\system32>sfc /scannow Beginning system scan. This process will take some time. Beginning verification phase of system scan. Verification 20% complete. Rozpoczynanie skanowania systemu. Ten proces zajmie trochę czasu. Rozpoczynanie fazy weryfikacji w skanowaniu systemu. Weryfikowanie ukończone w 20%. Wyniki: Windows Resource Protection did not find any integrity violations. Funkcja Ochrona zasobów systemu Windows nie znalazła naruszeń integralności. Akcja: Narzędzie nie wykryło uszkodzonych lub brakujących plików i tu kończy się jego rola. Windows Resource Protection found corrupt files and successfully repaired them. Details are included in the CBS.Log windir\Logs\CBS\CBS.log. For example C:\Windows\Logs\CBS\CBS.log. Note that logging is currently not supported in offline servicing scenarios. Funkcja Ochrona zasobów systemu Windows odnalazła uszkodzone pliki i naprawiła je pomyślnie. Szczegóły znajdują się w pliku CBS.Log windir\Logs\CBS\CBS.log. Na przykład C:\Windows\Logs\CBS\CBS.log. Akcja: Należy przeglądnąć raport CBS.log, w celu sprawdzenia jakie pliki zostały naprawione. Funkcja Ochrona zasobów systemu Windows odnalazła uszkodzone pliki, ale nie może naprawić niektórych z tych plików. Szczegóły znajdują się w pliku CBS.Log windir\Logs\CBS\CBS.log. Na przykład C:\Windows\Logs\CBS\CBS.log. Akcja: Należy przeglądnąć raport CBS.log w celu zweryfikowania które pliki stanowią problem oraz czy na pewno jest to problem. Użytkownik początkujący może skorzystać z opisanego dalej narzędzia SFCFix, które może obejść niektóre ograniczenia SFC i mimo wszystko naprawić usterkę. W przypadku gdy zawiedzie, wymagana ręczna podmiana plików. Analiza CBS.log i dobór plików do zamiany to zadanie dla eksperta. Proszę nie próbować: - Szukać i pobierać plików do zamiany na Google. Nazwa pliku i jego wersja podstawowa to za mało danych. Jest wymagana identyczna wersja komponentu o określonej sumie kontrolnej. - Używać cudacznych programów wątpliwej reputacji typu DLLFixer. Można zaszkodzić sobie i pogłębić usterkę. Przeglądanie raportu CBS Narzędzie SFC nagrywa swoje operacje do zbiorczego pliku C:\Windows\Logs\CBS\CBS.log. Plik ten gromadzi rozmaite akcje, nie tylko aktywność SFC, dlatego jest wymagane przefiltrowanie danych. Wejścia związane z naprawami SFC są otagowane znacznikiem [sR]. Automatyczne fitrowanie wyników i tworzenie końcowego raportu tekstowego: 1. Uruchom linię poleceń jako Administrator: Windows 10 i Windows 8/81: z klawiatury + X > z menu wybierz pozycję Wiersz polecenia (administrator) Windows 7 i Vista: Start > w polu szukania wpisz cmd > z prawokliku na wynik Uruchom jako administrator 2. Wpisz poniższe polecenie i ENTER: findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\sfc.txt" 3. Na Pulpicie zostanie utworzony raport sfc.txt. Przedstaw go na forum korzystając z funkcji Załączniki. SFC uruchomione w trybie bez naprawy (/VERIFYFILE i /VERIFYONLY) ma mylące adnotacje "Repairing corrupted file", pomimo że nie odbyła się żadna naprawa. Problemy z wykonaniem polecenia Windows Resource Protection could not start the repair service. Funkcja Ochrona zasobów systemu Windows nie może uruchomić usługi naprawczej. Problemem jest niedziałanie kluczowej usługi Instalator modułów systemu Windows / Windows Modules Installer. Defekt usługi może występować na wielu poziomach: usługa jest wyłączona, usługa została usunięta z rejestru, brakuje powiązanych plików na dysku (lub ... są uszkodzone), występują poważne naruszenia komponentów. Wstępnie należy sprawdzić pierwszy wariant, tzn. wejść do przystawki services.msc i upewnić się, że Typ uruchomienia jest ustawiony na Ręczny: Jeśli w/w ustawienie jest poprawne lub nie można znaleźć tej usługi, diagnostyka problemu i naprawa może wymagać bardziej zaawansowanych czynności. Proszę się zgłosić na forum w celu otrzymania pomocy. Wymieniony błąd można obejść uruchamiając SFC spod WinRE (opis w następnym poście), gdyż w tym środowisku "usługa naprawcza" działa na innym poziomie. Niemniej i tak mogą być wymagane kolejne ręczne naprawy spod Windows. Windows Resource Protection could not perform the requested operation. Funkcja Ochrona zasobów systemu Windows nie może wykonać żądanej operacji. Ten błąd jest charakterystyczny dla uszkodzeń struktury plików i złych bloków dysku, choć nie są wykluczone inne scenariusze. Może pomóc uruchomienie systemu w Trybie awaryjnym i ponowienie komendy, a gdy to nie zadziała wywołanie komendy chkdsk /f /r sprawdzającej dysk pod kątem błędów i ponowienie akcji sfc. W przypadku braku rezultatów należy obejrzeć CBS.log i wyszukać problematyczne miejsce, by ewentualnie podjąć się ręcznej podmiany potencjalnie uszkodzonych komponentów. Analiza problemu wymaga pomocy eksperta. There is a system repair pending which requires reboot to complete. Restart Windows and run sfc again. Istnieje oczekująca naprawa systemu, której ukończenie wymaga ponownego rozruchu. Ponownie uruchom system Windows i ponownie uruchom program sfc. Należy dostosować się do komunikatu i zresetować system. W przypadku gdy powiadomienie to nie znika, pomimo wykonania restartu systemu, uruchom SFC spod WinRE (opis w następnym poście) i wywołaj polecenie DISM z przełącznikiem /RevertPendingActions. Polecenie to nie jest obsługiwane z poziomu uruchomionego systemu. Nie dotyczy systemu Vista. Narzędzie DISM jest zintegrowane w Windows 7 i nowszych, nie obsługuje serwisowania systemów Vista w tym kontekście.

SFC (System File Checker) Windows Vista do Windows 10 Uruchamianie SFC spod Windows Uruchamianie SFC z poziomu WinRE SFCFix - Automatyzacja napraw Aneks - Artykuły Microsoftu Ochrona zasobów systemu Windows / Windows Resource Protection (WRP) - Technologia zastępująca archaiczny mechanizm Windows File Protection (WFP) obecny w XP, która ogranicza dostęp do określonych ważkich systemowych plików, folderów i kluczy rejestru poprzez redukcję uprawnień dla Administratorów. Te zasoby mogą być modyfikowane jedynie przez usługę Instalator modułów systemu Windows / Windows Modules Installer (TrustedInstaller.exe). Systemy Vista i nowsze nie posługują się już katalogiem dllcache, zamiennie utylizując %Windir%\winsxs\Backup dla krytycznych plików systemowych. W przeciwieństwie do XP rozmiar tego cache oraz lista plików objętych ochroną są niemodyfikowalne. Mechanizm ten, choć unowocześniony i pracujący w oparciu o inną metodę, udostępnia narzędzie o tej samej nazwie SFC (System File Checker), które oczywiście działa w inny sposób i jest wzbogacone o nowe przełączniki. SFC umożliwia skan integralności wszystkich (lub wybranych) chronionych plików systemowych i ewentualne zastąpienie niepoprawnych / uszkodzonych plików wersjami firmy Microsoft. C:\WINDOWS\system32>sfc /? Microsoft (R) Windows (R) Resource Checker Version 6.0 Copyright (C) Microsoft Corporation. All rights reserved. Scans the integrity of all protected system files and replaces incorrect versions with correct Microsoft versions. SFC [/SCANNOW] [/VERIFYONLY] [/SCANFILE=<file>] [/VERIFYFILE=<file>] [/OFFWINDIR=<offline windows directory> /OFFBOOTDIR=<offline boot directory> [/OFFLOGFILE=<log file path>]] /SCANNOW Scans integrity of all protected system files and repairs files with problems when possible. /VERIFYONLY Scans integrity of all protected system files. No repair operation is performed. /SCANFILE Scans integrity of the referenced file, repairs file if problems are identified. Specify full path <file> /VERIFYFILE Verifies the integrity of the file with full path <file>. No repair operation is performed. /OFFBOOTDIR For offline repair, specify the location of the offline boot directory /OFFWINDIR For offline repair, specify the location of the offline windows directory /OFFLOGFILE For offline repair, optionally enable logging by specifying a log file path e.g. sfc /SCANNOW sfc /VERIFYFILE=c:\windows\system32\kernel32.dll sfc /SCANFILE=d:\windows\system32\kernel32.dll /OFFBOOTDIR=d:\ /OFFWINDIR=d:\windows sfc /SCANFILE=d:\windows\system32\kernel32.dll /OFFBOOTDIR=d:\ /OFFWINDIR=d:\windows /OFFLOGFILE=c:\log.txt sfc /VERIFYONLY C:\WINDOWS\system32> [Natywnie polskie systemy: Na Windows 10 i Windows 8/8.1 SFC nie jest spolszczone, w odróżnieniu od Windows 7 i Vista.] Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione.

Tak, jeśli się choć raz logowałeś gdzieś wpisując hasło.

Zadanie pomyślnie wykonane. Na zakończenie: 1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku folder C:\FRST oraz pobrany FRST i jego logi. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. W związku z nieznaną naturą cracka, sugeruję na wszelki wypadek pozmieniać hasła logowania w ważnych serwisach online, o ile w ogóle były używane podczas aktywności malware. Myślę, że problem infekcji jest rozwiązany, ale na wszelki wypadek zostawię temat otwarty do czasu potwierdzenia, iż "wlanconnect" nie wraca.

Ostatnia porcja zadań usuwających. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\KVRT_Data RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\Users\podpa\Downloads\FRST-OlderVersion CMD: del /q C:\Users\podpa\Downloads\73b1gibi.exe CMD: del /q C:\Users\podpa\Downloads\iwcy9thl.exe CMD: del /q C:\Users\podpa\Downloads\et0yfpd0.exe CMD: del /q C:\Users\podpa\Downloads\gm.zip CMD: del /q C:\Users\podpa\Downloads\KVRT.exe CMD: del /q C:\Users\podpa\Downloads\SPTD2inst-v204-x64.exe CMD: del /q C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Zaprezentuj wynikowy fixlog.txt.

Fixlog muszę zobaczyć. Skoro za duży na załącznik, to spróbuj użyć wklej.org. Jeśli nawet tam nie wejdzie, to do zip i shostuj gdzieś. EDIT: Plik dodałeś. Proszę już mi odpowiadaj w nowym poście. Fixlog jest duży, bo wydrukowałam w nim zawartość skryptu wlanconnect.vbs. Jego zawartość nie jest dla mnie czytelna. Są w nim masowe odwołania funkcyjne do konwersji znaków Unicode (a sprawdzając kody ChrW w tabeli Unicode wychodzą jakieś chińskie krzaki). Ten skrypt prawdopodobnie ma w zamiarze coś wysyłać w eter, jeśli weźmiemy dosłownie słowa "logssender". W każdym razie, wszystko zostało usunięte. Ale dodaj mi jeszcze nowy skan FRST Addition, gdyż na dysku powstało podejrzane (a uprzednio w ogóle nieobecne) zadanie Harmonogramu CreateExplorerShellUnelevatedTask.job.

Folder jest prawdopodobnie zablokowany przez szkodliwe procesy. Poprzednio podane linie to nie był skrypt do FRST, nie miałeś tego przetwarzać za pomocą FRST... Skrypty są podane w sposób, który jasno mówi że to skrypty. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: type C:\Users\podpa\AppData\Roaming\wlanconnect.vbs Startup: C:\Users\podpa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wlanconnect.lnk [2015-10-11] ShortcutTarget: wlanconnect.lnk -> C:\Users\podpa\AppData\Roaming\wlanconnect.vbs () RemoveDirectory: C:\Users\podpa\Documents\Universe Sandbox ² EmptyTemp: Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. EDIT: Proszę nie podmieniaj plików w poprzednim poście! Przywróciłam. Nowe dane = nowy post. Napisz nowy post i doczep ponownie pliki.

vs. Czyli masz scrackowaną grę, w przeciwnym wypadku nie wiem do jakiej aplikacji pijesz. I to wygląda na źródło infekcji - użytkownik w innym temacie też sugerował lewy torrent. Poproszę o link do tego torrenta podany oględnie (czyli na PW). Rzecz jasna trzeba będzie się tego definitywnie pozbyć i nie próbować tego znikąd już pobierać. W raportach FRST widzę poniższe elementy, czy to jedyne miejsce przetrzymywania? 2015-10-10 07:40 - 2015-10-10 07:40 - 00000000 ____D C:\Users\podpa\Documents\Universe Sandbox ² 2015-10-09 22:28 - 2015-10-09 22:28 - 00000000 ____D C:\Users\podpa\Desktop\Universe.Sandbox.2.Alpha.15.2 Oczywiście musisz zrobić nowy log FRST (bez Addition i Shortcut) pokazujący jakie zmiany nastąpiły.

Wiem do czego ma służyć plik. Pytam skąd był pobierany - pokaż dokładny link. Jakie aplikacje uruchamiałeś w tym zakresie czasowym?

PodpalaczTv, w sekcji "Pokaż przycisk strony startowej" proszę kliknij w Zmień i wymaż stamtąd adres mystartsearch.com. Masz owszem ustawione na "Nową kartę", ale to w tym drugim oknie zobaczysz, że jest więcej zapisane i jest tam adres zarchiwizowany. Twój spis aplikacji zainstalowanych znany już od pierwszego raportu FRST - w Addition widać wszystko z obrazka. Nie do końca o to nam tu chodziło. Był tu pobierany conajmniej jeden plik, który wg szukania na Google jest linkowany na serwisach hostingowych, więc zero gwarancji że jest to czysta sprawa: 2015-10-09 22:39 - 2015-01-03 14:31 - 01166142 _____ () C:\Users\podpa\Desktop\Shiginima Launcher SE v1.602.exe Skąd ten plik był pobierany, czy był uruchamiany? Czy coś podobnego było jeszcze pobierane? Przywracałeś ustawienia systemu, infekcja była conajmniej raz pomyślnie usunięta i samoistnie wróciła, co sugeruje że jest w systemie jakiś obiekt (prawdopodobnie nieświadomie uruchamiany przez Ciebie ręcznie), który to ładuje. Najbardziej podejrzane "pomoce do gier".

Nadal brak pliku FRST Shortcut. Co do GMER i błędu "Brak dysku", nie widać okna GMER i co na pasku postępu było w tym momencie skanowane. Ale ogólnie nie ma się czym przejmować, ten błąd to wynik nieistniejącej ścieżce w rejestrze, np. w kluczu MountPoints2 (to i tak będę czyścić), Setup lub innym. Podobne tematy: KLIK / KLIK. Ten system jest zainfekowany adware - w tle działa aktywna usługa, poza tym liczne odpadki po niekompletnym usuwaniu śmieci. Do przeprowadzenia będą następujące akcje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Documents and Settings\PRZOD1\Dane aplikacji\TSv\TSvr.exe [396944 2015-09-21] (tsvr.com) S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 filtertdidriver; system32\drivers\ewfiltertdidriver.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] U4 klkbdflt2; system32\DRIVERS\klkbdflt2.sys [X] S3 USBPNPA; system32\drivers\CM108.sys [X] HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.delta-homes.com/?type=hp&ts=1442818884&z=530a57f763044ef4b2c2835g6z9zdo7bcgdbdb8m2m&from=ient07021&uid=ADATAXSP800_02C19134500200001056 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1442818884&z=530a57f763044ef4b2c2835g6z9zdo7bcgdbdb8m2m&from=ient07021&uid=ADATAXSP800_02C19134500200001056&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=1442818884&z=530a57f763044ef4b2c2835g6z9zdo7bcgdbdb8m2m&from=ient07021&uid=ADATAXSP800_02C19134500200001056 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1442818884&z=530a57f763044ef4b2c2835g6z9zdo7bcgdbdb8m2m&from=ient07021&uid=ADATAXSP800_02C19134500200001056&q={searchTerms} HKU\S-1-5-21-1708537768-1425521274-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1708537768-1425521274-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=1442818884&z=530a57f763044ef4b2c2835g6z9zdo7bcgdbdb8m2m&from=ient07021&uid=ADATAXSP800_02C19134500200001056 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1442818884&z=530a57f763044ef4b2c2835g6z9zdo7bcgdbdb8m2m&from=ient07021&uid=ADATAXSP800_02C19134500200001056&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1442818884&z=530a57f763044ef4b2c2835g6z9zdo7bcgdbdb8m2m&from=ient07021&uid=ADATAXSP800_02C19134500200001056&q={searchTerms} SearchScopes: HKU\S-1-5-21-1708537768-1425521274-1801674531-1004 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1442818884&z=530a57f763044ef4b2c2835g6z9zdo7bcgdbdb8m2m&from=ient07021&uid=ADATAXSP800_02C19134500200001056&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1440235272&z=dc04bf7d238245b586b2a04gczfz4eao4cbw6geqae&from=cor&uid=ADATAXSP800_02C19134500200001056 FF HKLM\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Documents and Settings\PRZOD1\Dane aplikacji\Mozilla\Firefox\Profiles\kwlm5fyb.default\extensions\defsearchp@gmail.com FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Documents and Settings\PRZOD1\Dane aplikacji\Mozilla\Firefox\Profiles\kwlm5fyb.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Documents and Settings\PRZOD1\Dane aplikacji\Mozilla\Firefox\Profiles\kwlm5fyb.default\extensions\default_newtabff@gmail.com FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CHR HKLM\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - C:\Program Files\Adobe\Acrobat 11.0\Acrobat\Browser\WCChromeExtn\WCChromeExtn.crx [2014-05-08] C:\Documents and Settings\All Users\Dane aplikacji\3WinManPro3 C:\Documents and Settings\All Users\Dane aplikacji\UWinManProU C:\Documents and Settings\All Users\Dane aplikacji\update C:\Documents and Settings\PRZOD1\UserData C:\Documents and Settings\PRZOD1\Dane aplikacji\eCyber C:\Documents and Settings\PRZOD1\Dane aplikacji\Picexa Viewer C:\Documents and Settings\PRZOD1\Dane aplikacji\TSv C:\Program Files\MiniLite C:\Program Files\Picexa C:\Program Files\SFK C:\WINDOWS\pss\MyPC Backup.lnkStartup C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^PRZOD1^Menu Start^Programy^Autostart^MyPC Backup.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\390ebfb990ddcb4d3008f50886260f65" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: type C:\windows\system32\pl.html DisableService: Mobile Partner. RunOuc EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia AntiGameOrigin i Adblock Plus trzeba będzie ponownie zainstalować. Menu Historia > Wyczyść historię przeglądania 3. Uruchom AdwCleaner. Wybierz tylko opcję Skanuj (nie używaj jeszcze Usuń). Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), dostarcz brakujący Shortcut. Dołącz też plik fixlog.txt oraz log AdwCleaner.

DelFix jest używany na wszelki wypadek, gdyby użytkownik wcześniej stosował określony program i pozostały po nim mniej oczywiste wpisy (np. w rejestrze). Nie przedstawiłeś raportu DelFix, by było wiadomo czy rzeczywiście skasował tylko to co widziałeś. Skoro nie wiadomo jakie było źródło malware, nie wiadomo co zawierał skrypt, to lepiej podjąć akcje prewencyjne nawet na wyrost / niepotrzebnie, by nie mieć niespodzianki z jakimś wyciekiem danych. W temacie innego użytkownika pojawiła się informacja, że prawdopodobnie chodzi o torrent Universe Sandbox 2. Czy miałeś styczność z tą paczką, czy może z czymś innym?

To jest stary Fixlog z drugiego usuwania (post #8). Czy w ogóle wykonałeś ostatnie usuwanie w FRST (post #10)?

Sprawa pendrive rozwiązana. 1. Na tym systemie skasuj pobrany GMER, odinstaluj USBFix oraz zastosuj DelFix. 2. Prosiłam o dostarczenie logów FRST + GMER z systemu XP.

Fix FRST pomyślnie wykonany. Hitman wyszukał więcej szczątków adware, trochę ciasteczek i kilka innych "podejrzanych" rzeczy. Wyniki kierujące na katalog PunkBuster wyglądają na fałszywy alarm, a detekcja pliku FRST jest na 100% fałszywym alarmem. Kończymy: 1. W programie Hitman usuń wszystko, z wyjątkiem wspominanych wyników kierujących na katalog PunkBuster. 2. Zastosuj narzędzie DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. I musisz zadbać o zwolnienie większej ilości miejsca, bo jest drastycznie mało i system może "mulić" oraz zawieszać się: Drive c: (Nowy) (Fixed) (Total:146.48 GB) (Free:2.71 GB) NTFS ==>[dysk z komponentami startowymi (pozyskano z BCD)]

Tak, USBFix nie jest zdolny odczytać urządzenia. Sugerowałeś telefon jako źródło infekcji, ale jednak nie sądzę, by to on był źródłem. Koncepcja z torrentem zdaje się być trafniejsza. Wszystko zostało usunięte, kwarantannę Avast możesz po prostu opróżnić. Kończymy temat: 1. Napraw drobny błąd WMI z Dziennika zdarzeń stosując narzędzie Fix-it: KLIK. 2. Zastosuj DelFix (ale GMER trzeba dokasować ręcznie) oraz wyczyść foldery Przywracania systemu: KLIK. 3. W związku z tym, że nie wiadomo czym parało się malware, sugeruję zmienić hasła w ważnych serwisach (bank, poczta, serwisy społecznościowe).

Ostatni fix FRST został uruchomiony dwa razy, zamiast jednego podejścia, stąd wszystko "nie znaleziono". Prawie już kończymy: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\User\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\User\Desktop\Gmer.* CMD: del /q C:\Users\User\Downloads\b6wj0oll.exe CMD: del /q C:\Users\User\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Na wszelki wypadek przeprowadź skanowanie za pomocą Hitman Pro. Nic jeszcze nie usuwaj, tylko zaprezentuj wyniki.

Ogądany tu system nie jest zainfekowany. Pendrive musiał być podpinany do innego zainfekowanego systemu. Dane zostały ukryte przez infekcję za pomocą atrybutów "HS" = "ukryty systemowy". Różnica w widoczności zawartości pendrive spod dwóch systemów wynika zapewne z nietożsamej konfiguracji na tych systemach: Opcje folderów > Widok > Pokaż ukryte pliki i foldery (ma być zaznaczone) + Ukryj chronione pliki systemu operacyjnego (ma być odznaczone). Operacja leczenia sprowadza się więc tu do odkrycia danych na pendrive. Akcja: 1. Zakładam, że pendrive jest nadal podpięty i widoczny pod literą F. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: attrib /d /s -s -h F:\* Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f S3 gdrv; \??\C:\Windows\gdrv.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Drobnostka w Google Chrome. Zresetuj cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log USBFix z opcji Listing. Dołącz też plik fixlog.txt. Skan FRST z tego systemu nie jest mi już potrzebny, ale na wszelki wypadek dodaj logi z systemu XP.

Efekty reklamowe powinny ustąpić. Teraz będziemy cyzelować. Następna porcja zadań: 1. Nie odinstalowałeś starej dziurawej wersji Java 7 Update 51 - czy to dlatego, że Minecraft by Zyczu jej używa? Przy okazji sprawdź czy na pewno wszystkie gry widoczne jako "zainstalowane" są sprawne. Było dużo pustych skrótów od gier, które już usunęłam. 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3615056651-1230219370-3880529227-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\User\AppData\Local\Akamai\netsession_win.exe" FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] FF Plugin-x32: @richmediaplayer.com/nppluginrichmediaplayer -> C:\Program Files (x86)\Mozilla Firefox\plugins\nppluginrichmediaplayer.dll [brak pliku] Reg: reg delete HKLM\SOFTWARE\Google /f C:\Program Files\004 C:\Program Files (x86)\eef728a2-ecac-4e4a-8968-bcfde9bc0b6e C:\Program Files (x86)\Elaborate Bytes C:\Program Files (x86)\QuickTime C:\Program Files (x86)\Pando Networks C:\Program Files (x86)\Temp C:\ProgramData\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F} C:\ProgramData\Datamngr C:\ProgramData\InstallMate C:\ProgramData\Logs C:\ProgramData\Orbit C:\ProgramData\Supersoftware App C:\ProgramData\TEMP C:\ProgramData\TuneUp Software C:\Users\User\AppData\Local\proxy.log C:\Users\User\AppData\Local\4A Games C:\Users\User\AppData\Local\CEF C:\Users\User\AppData\Local\Chromium C:\Users\User\AppData\Local\CrashRpt C:\Users\User\AppData\Local\CRE C:\Users\User\AppData\Local\CSO C:\Users\User\AppData\Local\koyotesoftmoviestoolbarha C:\Users\User\AppData\Local\Opera Software C:\Users\User\AppData\Local\Radiocom C:\Users\User\AppData\Local\SniperV2 C:\Users\User\AppData\Local\The Witcher 2 C:\Users\User\AppData\LocalLow\CanvasProc C:\Users\User\AppData\LocalLow\Heroes and Generals C:\Users\User\AppData\LocalLow\koyotesoftmoviestoolbarha C:\Users\User\AppData\LocalLow\Protect C:\Users\User\AppData\LocalLow\splitscreen C:\Users\User\AppData\Roaming\0F1F1C2Y1H1P1C0I0T C:\Users\User\AppData\Roaming\Audacity C:\Users\User\AppData\Roaming\Radiocom C:\Users\User\AppData\Roaming\TuneUp Software C:\Users\User\AppData\Roaming\uTorrent C:\Users\User\AppData\Roaming\Wargaming.net Folder: C:\Windows\SysWOW64\GroupPolicy Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny plik fixlog.txt. Przedstaw go. 3. Widzę, że był uruchamiany AdwCleaner. Dostarcz logi z folderu C:\AdwCleaner.

W systemie jest trochę odpadków po uprzednio niepoprawnie odinstalowanych aplikacjach adware. Firefox zaś jest obecnie zainfekowany dwoma typami adware. Akcje do przeprowadzenia: 1. Przez Panel sterowania odinstaluj: - Adware/PUP: Ask Toolbar, FindWide.com, Instant Savings App, Rich Media Player - Stare wersje i zbędniki: Adobe Reader XI (11.0.12) - Polish, Akamai NetSession Interface, Badanie mające na celu poprawę produktów HP Deskjet 1510 series, Java 7 Update 51. Jeśli czegoś nie będzie widać lub nie będzie się dało odinstalować, kontynuuj dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia FF Session Restore: -> - funkcja włączona. FF Plugin: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelogx64.dll [brak pliku] FF Plugin-x32: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelog.dll [brak pliku] FF Plugin HKU\S-1-5-21-3615056651-1230219370-3880529227-1000: @tnt2ghost.com/Plugin -> C:\Users\User\AppData\Local\TNT2\2.0.0.1702\npTNT2ghost.dll Brak pliku FF Plugin HKU\S-1-5-21-3615056651-1230219370-3880529227-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll Brak pliku FF HKLM-x32\...\Firefox\Extensions: [{3DF4B26D-DB19-45DF-962A-6719D071245B}] - C:\Users\User\AppData\Local\Rich Media Player\BrowserExtensions\Firefox\{3DF4B26D-DB19-45DF-962A-6719D071245B} => nie znaleziono HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140815 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3615056651-1230219370-3880529227-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-3615056651-1230219370-3880529227-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKU\S-1-5-21-3615056651-1230219370-3880529227-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3615056651-1230219370-3880529227-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3615056651-1230219370-3880529227-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3615056651-1230219370-3880529227-1000 -> {7816E55A-7441-47E3-B23F-ACD83F2CBFA0} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=10809 SearchScopes: HKU\S-1-5-21-3615056651-1230219370-3880529227-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} Toolbar: HKLM - Brak nazwy - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKU\S-1-5-21-3615056651-1230219370-3880529227-1000 -> Brak nazwy - {5C1D9348-90F2-4664-9264-71BCC1D36ECC} - Brak pliku ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku CustomCLSID: HKU\S-1-5-21-3615056651-1230219370-3880529227-1000_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\User\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay => Brak pliku Task: {05F131C4-BD4B-477A-9E74-71EEA9352506} - System32\Tasks\{309AF848-96CF-4072-8837-64299466F41C} => pcalua.exe -a "D:\Program Files (x86)\Uninstaller.exe" -d "D:\Program Files (x86)" Task: {0FC1EC10-D32A-4F82-A696-F893D9B50B20} - System32\Tasks\{B0FB388C-72E7-4D27-8046-5B4F488FAF4B} => Chrome.exe http://ui.skype.com/ui/0/6.18.0.105/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {32625A6D-E125-4742-8560-9A82AF1BE2BF} - System32\Tasks\{6589C010-B69B-4904-817C-4058F9063959} => Chrome.exe http://ui.skype.com/ui/0/6.14.0.104/pl/abandoninstall?page=tsProgressBar= Task: {598F8AAD-79D1-417B-BB56-1C285B28B19A} - System32\Tasks\{EE444E1C-F7B7-400F-ABBF-5B28098719A1} => Chrome.exe http://ui.skype.com/ui/0/6.21.60.104/pl/abandoninstall?page=tsMain Task: {5C646611-6A50-413A-8F9A-11037BCF46A1} - System32\Tasks\Opera scheduled Autoupdate 1440176387 => C:\Program Files (x86)\Opera\launcher.exe Task: {BE9C3A56-8AF1-44BB-8DBE-55D8BC241C51} - System32\Tasks\{E3B3DF5D-7A93-4CCE-A4CF-8F187B9B1FD5} => pcalua.exe -a E:\BlackOutSaigon_Setup.exe -d E:\ Task: {EF3D21F6-EAF3-47BC-B3BE-F1E4FA096A5D} - System32\Tasks\{6B4FC012-53A5-456B-8697-8CA61650EC3B} => pcalua.exe -a C:\Users\User\Downloads\steering.exe -d C:\Users\User\Downloads IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe HKLM-x32\...\Run: [] => [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 X6va013; \??\C:\Windows\SysWOW64\Drivers\X6va013 [X] S3 X6va014; \??\C:\Windows\SysWOW64\Drivers\X6va014 [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox\cfg C:\Program Files (x86)\Mozilla Firefox\browser\defaults C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\Microsoft\Windows\GameExplorer\{BBFD4729-4D5A-4634-AF95-BFD979C2AFF6} C:\ProgramData\Microsoft\Windows\GameExplorer\{DB00C6ED-9096-45A7-BDAF-970D726B61FB} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crossfire Europe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Euro Truck Simulator 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gameforge Live C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MaxPayne3 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Metin2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rebellion C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reality Pump\Two Worlds\Two Worlds - Instrukcja (PDF).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TANK Ranger_NA C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Z8Games C:\Users\Public\Desktop\Diablo III.lnk C:\Users\Public\Desktop\Gameforge Live.lnk C:\Users\Public\Desktop\Opera.lnk C:\Users\User\AppData\Local\{*} C:\Users\User\AppData\Local\PMB Filer* C:\Users\User\AppData\Local\proxy.log C:\Users\User\AppData\Local\Google C:\Users\User\AppData\Local\Microsoft\Windows\GameExplorer\{51A0839E-889A-4159-B2EB-49D1B00F8CDD} C:\Users\User\AppData\Local\Microsoft\Windows\GameExplorer\{59B711E4-9C12-4566-91AF-4133038ED630} C:\Users\User\AppData\Local\Microsoft\Windows\GameExplorer\{CA5850AD-5810-4B67-AB5B-64ECFCF3A0E1} C:\Users\User\AppData\Local\Microsoft\Windows\GameExplorer\{F0B605E4-0DB2-4328-8592-C297B1A97814} C:\Users\User\AppData\LocalLow\{6EB4A4C0-6036-4D2E-B010-20707C4B62E8} C:\Users\User\AppData\Roaming\Opera Software C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\b15f30ab853b7d31\Diablo III.lnk C:\Users\User\Desktop\Continue Rich Media Player Installation.lnk C:\Users\User\Desktop\visit www.nosteam.ro.lnk C:\Users\User\Desktop\zdjecia taty\348 — skrót.lnk C:\Users\User\Desktop\TH\Play The Forest.lnk C:\Users\User\Desktop\Pulpit\Euro Truck Simulator 2.lnk C:\Users\User\Desktop\Pulpit\Google Chrome.lnk C:\Users\User\Desktop\Pulpit\Merc Elite.lnk C:\Users\User\Desktop\Pulpit\Uruchom Wiedźmin 2.lnk C:\Users\User\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\Users\User\Downloads\*.exe.part C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Folder: C:\Users\User\AppData\Local\CSO Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Pando Media Booster" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\uTorrent" /f CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\User\AppData\Local CMD: dir /a C:\Users\User\AppData\LocalLow CMD: dir /a C:\Users\User\AppData\Roaming Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. Menu Historia > Wyczyść historię przeglądania 4. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. 5. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.