picasso

Na przyszłość wymagania działu: nie podałeś obowiązkowego raportu GMER oraz FRST Shortcut. W FRST brak oznak infekcji i nic jej nie poświadcza, opisywane problemy mogą mieć multum innych przyczyn. Temat nie ma kwalifikacji na pobyt w dziale diagnostyki malware i zostaje przeniesiony, na razie do działu Windows. Nawiasem mówiąc, to widziany tu system wygląda jak świeżo instalowany lub reperowany nakładkowo. Niemożność pobrania plików oraz uszkadzanie pobieranych plików mogą mieć następujące przyczyny: - Aktywność oprogramowania zabezpieczającego, szczególnie zapory. Tu jest podejrzany, tzn. pakiet AVG Internet Security 2015 (posiada firewall). Na próbę odinstaluj AVG 2015 całkowicie i sprawdź jakie to ma rezultaty. - Problemy ze sterownikami sieciowymi (przestarzałe). Możliwe też problemy po stronie routera. - Problemy sprzętowe, np. błędy dysku czy RAM. Diagnostyka tego rodzaju to w innym dziale, czyli Hardware. PS. Stosowałeś RootkitRevealer. To jest tak archaiczny program (z 2006!), że praktycznie nieużyteczny i mało wiarygodny w dniu dzisiejszym. I możesz usunąć tymczasową (zbędną już) usługę Sophos Anti-Rootkit 1.5.20: S3 MEMSWEEP2; C:\Windows\system32\431B.tmp [6144 2011-05-12] (Sophos Plc) [File not signed] Uruchom Autoruns, w karcie Drivers skasuj MEMSWEEP2. Następnie ręcznie z dysku skasuj pliki spełniające model maski: C:\Windows\system32\*.tmp. Nie wiem o co chodzi. Ale czy przypadkiem wracając do komputera nie wklepałeś nieumyślnie z klawiatury jakiejś kombinacji, która mogła być przypisana w skrótach programu jako jego start?

Na zakończenie usuń używane skanery z G:\Pobrane\Bezpieczeństwo. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. PS. Drobny komentarz na temat Opera 12.17. Za jakiś czas przeglądarka będzie nieużytkowa na forach IPB 4.x (czyli i tu). Ta stara wersja nie jest w ogóle już wspierana przez CKEditor 4 i edytor na forach przestanie się ładować.

W systemie widoczna aktywna infekcja - wimsmrh.exe + startup.cmd w starcie. Widzę też, że aktualnie Google Chrome jest odinstalowane, ale nadal na dysku profil przeglądarki i ten będę także usuwać. Działania do przeprowadzenia: 1. Przywracanie systemu jest wyłączone: ==================== Restore Points ========================= ATTENTION: System Restore is disabled Wejdź do konfiguracji Przywracania: KLIK. Zaznacz Ochronę dla dysku C. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2634006867-1565456641-1371084864-1000\...\Run: [GalaxyClient] => [X] HKU\S-1-5-21-2634006867-1565456641-1371084864-1000\...\RunOnce: [winmsr] => C:\Users\Bartek\AppData\Roaming\wimsmrh.exe [49152 2015-07-12] () Startup: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\startup.cmd [2015-05-24] () S0 atjr; System32\drivers\ujvifla.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 MSICDSetup; \??\F:\CDriver64.sys [X] S3 NTIOLib_1_0_3; \??\C:\Program Files (x86)\MSI\Super Charger\NTIOLib_X64.sys [X] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X] Task: {44EFD393-4F29-4673-A993-969119185F5C} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline No Task File Task: {677CFDAD-9A70-40A4-BDDA-6169CBA78EFE} - System32\Tasks\{52B0BC1F-24A4-4709-84AA-EE7B6D106E53} => pcalua.exe -a "C:\Users\Bartek\Desktop\MP3 Player Utilities 4.15\Setup.exe" -d "C:\Users\Bartek\Desktop\MP3 Player Utilities 4.15" Task: {C41C5F3E-281B-461A-835F-08542403DC42} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask No Task File Task: {F2D72A1B-BC3A-49F6-B85D-F1B5882DF1FC} - \Bidaily Synchronize Task[pr] No Task File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" Folder: C:\Users\Bartek\AppData\Roaming\chext Folder: C:\Users\Bartek\AppData\Roaming\chextensions Folder: C:\Windows\PolicyDefinitions Folder: C:\Windows\System32\GroupPolicy Folder: C:\Windows\SysWOW64\GroupPolicy C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Opera C:\Users\Bartek\AppData\Local\Google C:\Users\Bartek\AppData\Roaming\updatecheck.bat C:\Users\Bartek\AppData\Roaming\wimsmrh.exe C:\Users\Bartek\AppData\Roaming\chext C:\Users\Bartek\AppData\Roaming\chextensions C:\Users\Bartek\AppData\Roaming\IGC C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Windows\system32\log C:\Windows\SysWOW64\tmp*.tmp Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Na razie nie instaluj Google Chrome. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Mówiłam wyraźnie, by Fixlist zapisać w UTF-8. Nie zrobiłeś tego. Dlatego "chiński" wpis (wymagany UTF-8): C:\Users\Forma\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦 ... został przerobiony na pytajniki (ANSI): C:\Users\Forma\AppData\Local??????????????????? FRST więc tego nie przetworzył. Kolejne poprawki: 1. Uruchom AdwCleaner ponownie, lecz tym razem zastosuj po kolei opcje Szukaj + Usuń (nie pomyl tego z Odinstaluj). Gdy AdwCleaner ukończy czyszczenie: 2. Otwórz Notatnik i wklej w nim: C:\Users\Forma\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦 RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: del /q C:\Users\Forma\Downloads\delfix_1.010.exe CMD: del /q C:\Users\Forma\Downloads\ji6688gv.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

johhny95 Proszę przeczytać opis narzędzia ESET Uninstaller. ESET Uninstaller nie działa w Trybie normalnym (zwraca błąd, że jest uruchomiony w nieodpowiednim trybie). Warunkiem jego użycia jest Tryb awaryjny, gdyż tylko wtedy można zlikwidować sterowniki ESET (są nieaktywne). Kaja Zanim podam końcowe kroki poproszę jeszcze o nowe raporty z FRST (włącznie z Addition) mające potwierdzić stan końcowy systemu.

Brakuje pliku fixlog.txt z wynikami.

Możliwe, że na Twoim systemie w Trybie awaryjnym pendrive przestał być widoczny. Zależy to od rodzaju hardware, na niektórych konfiguracjach pendrive jest dostępny w takim trybie, na innych zaś nie. Czy na pewno obecnie są widoczne problemy? Dużo dziadostwa usunęłam za pomocą FRST. Jeśli jednak nadal "muli", to przed stawianiem systemu na nowo upewnij się, że nie ma tu wpływu ESET, bo po stawianiu systemu na nowo + ESET może się okazać, że zmian brak. Oprogramowanie zabezpieczające to typowy podejrzany w takich przypadkach. Testowo go odinstaluj i sprawdź rezultaty.

A mówiłam byś nie instalował jeszcze Google Chrome, bo czyszczenie nie zostało ukończone... Zadałam czyszczenie Opery, zdecydowałeś się postąpić inaczej deinstalując ją - niestety pozostał profil Opery na dysku z adware. Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-871434758-139634626-509111008-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.hotsearches.info/?pid=24437&r=2015/07/13&hid=5357072140474448722&lg=EN&cc=PL&unqvl=90 SearchScopes: HKLM-x32 -> DefaultScope {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.hotsearches.info/?l=1&q={searchTerms}&pid=24437&r=2015/07/13&hid=5357072140474448722&lg=EN&cc=PL&unqvl=90 SearchScopes: HKLM-x32 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.hotsearches.info/?l=1&q={searchTerms}&pid=24437&r=2015/07/13&hid=5357072140474448722&lg=EN&cc=PL&unqvl=90 SearchScopes: HKU\S-1-5-21-871434758-139634626-509111008-1000 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.hotsearches.info/?l=1&q={searchTerms}&pid=24437&r=2015/07/13&hid=5357072140474448722&lg=EN&cc=PL&unqvl=90 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} C:\Users\Forma\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦 C:\Users\Forma\AppData\Local\Opera Software C:\Users\Forma\AppData\Roaming\Opera Software C:\Users\Forma\AppData\Roaming\Microsoft\Reversed Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie używaj Usuń) i dostarcz log z folderu C:\AdwCleaner.

W związku z tym, że wykonałeś tamten post, przywracam go, bo teraz to już zupełnie wątek od czapy. Tak, instrukcje nie były tożsame i mają swoje konsekwencje. 1. Nie wiem czy wykonałeś już potem czyszczenie Google Chrome ręcznie wg moich wskazówek, bo log FRST nie jest aż tak precyzyjny, by to potwierdzić. Instrukcje były zadane, gdyż czyszczenie Google Chrome AdwCleaner lub Fix FRST to nie są dobre metody. W obecnej sytuacji mnie interesuje wykonanie tych trzech: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > sprawdź czy widać Filter Results - brak wpisu w FRST nie jest dowodem, że pozycji brak. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. 2. Kolejny Fixlist: HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = C:\Users\Piotr\AppData\Roaming\Opera Software C:\Users\Public\Documents\Baidu Przedstaw wynikowy fixlog.txt.

Wykonane. Skasuj z dysku plik C:\Delfix.txt. To tyle.

Plik FRST.txt nie jest oryginalny - zapisałeś go ponownie do nowego pliku i zostało utracone kodowanie UTF-8 na rzecz ANSI (utrata specjalnych znaków). Nie kombinuj z raportami, dostarczaj to co wyprodukuje FRST. Google Chrome zostało przekonwertowane przez adware z wersji stabilnej do developerskiej - jest konieczna reinstalacja od zera. Od adware więcej obiektów widdocznych. A procesor jest obciążony, bo w systemie grasuje Bitcoin miner w postaci fałszywego "Steam" odpalanego via Harmonogram zadań. Stosowałeś HijackThis i interesuje mnie co usuwałeś za jego pomocą - to przestarzały program niekompatybilny z systemem 64-bit (pokazuje fałszywe "braki")! Akcje do wdrożenia: 1. Deinstalacje: ----> Przez panel sterowania odinstaluj adware/PUP: AnySend, bestadblocker, CPU Miner, SG Miner, Setup. Przed deinstalacją Google Chrome zresetuj synchronizację (o ile włączona): KLIK. Zaś przy deinstalacji zaznacz opcję Usuń także dane przeglądarki. I na razie nie instaluj tej przeglądarki. ----> Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście ukryty wpis adware globalupdate Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S4 mailUpdate; C:\ProgramData\MailUpdate\mailUpdate.exe [820736 2015-07-10] (Skytech Co., Ltd.) [File not signed] R1 wsafd_1_10_0_19; C:\Windows\System32\drivers\wsafd_1_10_0_19.sys [61312 2015-06-16] (Word Surfer) S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] Task: {802C3B20-BFA1-40C0-947A-F03103E28F03} - System32\Tasks\vXP876ljsOm => C:\Users\Forma\AppData\Roaming\vXP876ljsOm.exe Task: {816184CE-16F4-41D0-8F6F-9A57B5408574} - System32\Tasks\Steam-S-1-8-22-9865GUI => C:\Users\Forma\AppData\Roaming\Microsoft\Reversed\steam.exe [2015-07-13] () Task: {8C09839F-6440-4FE6-8A0F-D018AEAEEDE9} - System32\Tasks\WordSurfer Auto Updater 1.10.0.19 Pending Update => C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe Task: {B61FCB50-C923-4B21-B098-A380100B9969} - System32\Tasks\WordSurfer Auto Updater 1.10.0.19 Core => C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe Task: {E169DCBC-7500-4CE3-B56A-133DD2DF9897} - System32\Tasks\SpeakMore => c:\programdata\{9d1cd31f-1db7-437a-9d1c-cd31f1db4c7c}\sevensetup.exe [2015-07-13] () Task: {F477CA07-D3A1-4B63-B688-E10C543039DB} - \SmartWeb Upgrade Trigger Task No Task File Task: C:\Windows\Tasks\SpeakMore.job => c:\programdata\{9d1cd31f-1db7-437a-9d1c-cd31f1db4c7c}\sevensetup.exe Task: C:\Windows\Tasks\vXP876ljsOm.job => C:\Users\Forma\AppData\Roaming\vXP876ljsOm.exe ShortcutWithArgument: C:\Users\Forma\Desktop\Opera.lnk -> C:\Users\Forma\AppData\Local\Programs\Opera\launcher.exe (Opera Software) -> hxxp://www.mystartsearch.com/?type=sc&ts=1436799223&z=e9875a49d823e609b5bfec5g2z8c1q8m4tetco7edm&from=cmi&uid=ST1000DM003-1ER162_Z4Y3XFPJXXXXZ4Y3XFPJ ShortcutWithArgument: C:\Users\Forma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1436799223&z=e9875a49d823e609b5bfec5g2z8c1q8m4tetco7edm&from=cmi&uid=ST1000DM003-1ER162_Z4Y3XFPJXXXXZ4Y3XFPJ ShortcutWithArgument: C:\Users\Forma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Users\Forma\AppData\Local\Programs\Opera\launcher.exe (Opera Software) -> hxxp://www.mystartsearch.com/?type=sc&ts=1436799223&z=e9875a49d823e609b5bfec5g2z8c1q8m4tetco7edm&from=cmi&uid=ST1000DM003-1ER162_Z4Y3XFPJXXXXZ4Y3XFPJ ShortcutWithArgument: C:\Users\Forma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1436799223&z=e9875a49d823e609b5bfec5g2z8c1q8m4tetco7edm&from=cmi&uid=ST1000DM003-1ER162_Z4Y3XFPJXXXXZ4Y3XFPJ ShortcutWithArgument: C:\Users\Forma\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1436799223&z=e9875a49d823e609b5bfec5g2z8c1q8m4tetco7edm&from=cmi&uid=ST1000DM003-1ER162_Z4Y3XFPJXXXXZ4Y3XFPJ CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-871434758-139634626-509111008-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = Toolbar: HKU\S-1-5-21-871434758-139634626-509111008-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File StartMenuInternet: IEXPLORE.EXE - iexplore.exe C:\Program Files (x86)\5e7a51f3-1bd9-4eae-aad0-38c415393cca C:\Program Files (x86)\ 1Button App for Chrome C:\Program Files (x86)\CCutThePricce C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Google\Chrome C:\ProgramData\{9d1cd31f-1db7-437a-9d1c-cd31f1db4c7c} C:\ProgramData\17927770879032528778 C:\ProgramData\MailUpdate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\Forma\AppData\Local\30175 C:\Users\Forma\AppData\Local\Google\Chrome C:\Users\Forma\AppData\Local\globalUpdate C:\Users\Forma\AppData\Local\SmartWeb C:\Users\Forma\AppData\Roaming\vXP876ljsOm C:\Users\Forma\AppData\Roaming\cpuminer C:\Users\Forma\AppData\Roaming\MailUpdate C:\Users\Forma\AppData\Roaming\Microsoft\Reversed\steam.exe C:\Users\Forma\Desktop\Continue Games Desktop.lnk C:\Users\Forma\Downloads\*(*)-dp*.exe C:\Windows\hgfs.sys C:\Windows\prleth.sys C:\Windows\pss\crossbrowse.lnk.Startup C:\Windows\pss\SmartWeb.lnk.Startup C:\Windows\system32\cpuminer-conf.json C:\Windows\System32\drivers\wsafd_1_10_0_19.sys C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Folder: C:\Users\Forma\AppData\Roaming\Microsoft\Reversed CMD: type C:\Windows\system32\Drivers\etc\hp.bak Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdatem" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gopibeko" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\IHProtect Service" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\mailUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\nilewohe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\vicoqudu" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\wsasvc_1.10.0.19" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\zejytose" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Operę z adware: CTRL+SHIFT+E i na liście Rozszerzeń za pomocą X zlikwiduj CinemaPlus-3.2cV13.07. 4. Zrób nowy log FRST z opcji Scan - zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się co się dzieje.

Akcja wykonana. Na zakończenie: Odinstaluj USBFix. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Zestaw logów niekompletny - brak obowiązkowych logów FRST Addition + Shortcut. Wracaj do instrukcji tworzenia raportów i dostarcz brakujące pliki: KLIK.

Sprecyzuj jakie problemy konkretnie w systemie są, że przymierzasz się do reinstalacji. Fix FRST usunął wprawdzie infekcję z systemu, ale nic nie wykonał na pendrive, bo nie znalazł w ogóle dysku "H:". Czy pendrive na pewno był podpięty podczas akcji? A folder "bez nazwy" utworzony przez infekcję cały czas na pendrive jest tylko go nie widzisz: [13/07/2015 - 14:05:22 | SHD] - H:\ Fix FRST miał go odkryć. To się nie wykonało. Włącz pokazywanie ukrytych systemowych plików: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odptaszkuj Ukryj chronione pliki systemu operacyjnego. Po tej akcji zaległy krok:

Tak, wiem że System Volume Information tam był (nie widziałeś go). To folder Przywracania systemu, tworzony na wszystkich dostępnych dyskach. Często Windows tworzy go także na urządzeniach USB typu pendrive, co nie ma dużego sensu ze względu na migracje urządzeń i naruszenia integralności tego folderu. Ten folder owszem możemy usunąć, tylko pewnie system go ponownie odtworzy przy kolejnym podpinaniu. Jeśli chcesz się go pozbyć tymczasowo, to: Otwórz Notatnik i wklej w nim: RemoveDirectory: K:\System Volume Information Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

A jaki powód wgrywania systemu od nowa? Poza tym, problem stanu pendrive, który notabene jest sprawny jako urządzenie, jest podrzędny w stosunku do tego co się dzieje w systemie - na pendrive nie ma nic szczególnego (skrót infekcji i ukryty folder "bez nazwy" w którym są dane). Opis tego zjawiska: KLIK. To czynna infekcja w systemie ma negatywny wpływ obecnie (a nie pendrive, tam są tylko skutki), m.in. zamulenie i blokada programów zabezpieczających, dodatkowo sterowniki adware są mocno inwazyjne, ich pobyt skutkuje problemami sieciowymi oraz konfliktami z innymi (np. na forum notowane błędy sterowników grafiki czy nawet BSOD). Akcje do wykonania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {255a824a-3cde-4dee-9785-284605606456}Gw; C:\Windows\System32\drivers\{255a824a-3cde-4dee-9785-284605606456}Gw.sys [43200 2014-10-28] (StdLib) R1 {71841b04-1cf8-4575-bb09-affe4c54c593}Gw; C:\Windows\System32\drivers\{71841b04-1cf8-4575-bb09-affe4c54c593}Gw.sys [43152 2015-03-16] (StdLib) R1 {b0c7827f-c845-429a-833b-c2a798fc4fc3}Gw; C:\Windows\System32\drivers\{b0c7827f-c845-429a-833b-c2a798fc4fc3}Gw.sys [43152 2014-10-25] (StdLib) R1 {f5d136d7-adc2-4c84-85b2-e564334ab0bc}Gw; C:\Windows\System32\drivers\{f5d136d7-adc2-4c84-85b2-e564334ab0bc}Gw.sys [43152 2014-10-24] (StdLib) R1 {fc7329ef-e953-454c-8e78-ed2cf0acb2ef}Gw; C:\Windows\System32\drivers\{fc7329ef-e953-454c-8e78-ed2cf0acb2ef}Gw.sys [43200 2014-10-31] (StdLib) R4 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X] R2 MaintainerSvc1.20.7247763; C:\ProgramData\d2446020-ddff-402b-b064-199d2ce66b2b\maintainer.exe [128232 2015-07-13] () R2 VSSS; C:\Users\Bartek\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [100135104 2015-06-23] (Microsoft Corporation) [File not signed] HKLM\...\RunOnce: [] => [X] HKU\S-1-5-21-3193886611-3762004184-2434545920-1000\...\CurrentVersion\Windows: [Load] C:\ProgramData\mscrzoj.exe Task: {84655EDB-A879-4D42-A5CD-7E38AA16DC35} - System32\Tasks\DLL-files.com Fixer_UPDATES => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe Task: {FAEABC3B-9CD4-4DF9-84B4-B0C9DB948128} - System32\Tasks\{057538BB-3AA7-4662-BE43-EBFDDB1FA145} => Firefox.exe http://ui.skype.com/ui/0/7.1.59.105/pl/abandoninstall?page=tsProgressBar Task: C:\Windows\Tasks\DLL-files.com Fixer_UPDATES.job => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Program Files\*.exe C:\ProgramData\mscrzoj.exe C:\ProgramData\d2446020-ddff-402b-b064-199d2ce66b2b C:\Users\Bartek\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe C:\Windows\System32\drivers\{255a824a-3cde-4dee-9785-284605606456}Gw.sys C:\Windows\System32\drivers\{71841b04-1cf8-4575-bb09-affe4c54c593}Gw.sys C:\Windows\System32\drivers\{b0c7827f-c845-429a-833b-c2a798fc4fc3}Gw.sys C:\Windows\System32\drivers\{f5d136d7-adc2-4c84-85b2-e564334ab0bc}Gw.sys C:\Windows\System32\drivers\{fc7329ef-e953-454c-8e78-ed2cf0acb2ef}Gw.sys H:\Removable Drive (16GB).lnk CMD: attrib /d /s -s -h H:\* CMD: netsh advfirewall reset Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows, Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Po akcji wejdź na pendrive. Powinien być widoczny folder "bez nazwy" - to do niego infekcja przesunęła wszystkie dane. Przenieś je poziom wyżej, a folder przez SHIFT+DEL (omija Kosz) skasuj. 3. Infekcja wyłączyła Przywracanie systemu: ==================== Restore Points ========================= ATTENTION: System Restore is disabled Wejdź do konfiguracji Przywracania: KLIK. Zaznacz Ochronę dla dysku C. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz USBFix z opcji Listing. Dołącz też plik fixlog.txt. Wypowiedz się jak działa system, gdyż po w/w usuwaniu powinien znacznie przyśpieszyć, powinna się też poprawić łączność sieciowa.

Na obu urządzeniach są nadal obiekty infekcji, tylko ich prawdopodobnie nie widzisz. Nawiasem mówiąc, tu jest opis jaka sztuczka socjotechniczna została zastosowana: KLIK. 1. Włącz pokazywanie ukrytych systemowych plików: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odptaszkuj Ukryj chronione pliki systemu operacyjnego. Po tej akcji na obu pendrive pojawią się foldery "bez nazwy" utworzone przez infekcję, do których infekcja przesuwa dane użytkownika. Wejdź do tych folderów, przenieś z nich poziom wyżej co ważne, a następnie oba foldery przez SHIFT+DEL skasuj. 2. Zrób nowy log USBFix z opcji Listing.

Zapomniałeś dodać ten log:

Poproszę o inny log z USBFix - z opcji Listing. Gdy go otrzymam, zajmę się usuwaniem omawianej infekcji oraz adware (kupa szkodliwych sterowników).

Skoro był na VirusTotal skanowany bardzo konkretny zainfekowany plik "Steam.exe_backup" (najwyraźniej pochodzący z dysku), to infekcja była jak najbardziej po stronie komputera (zainfekowany lokalny Steam). Logi przedstawione w pierwszym temacie są mocno zmanipulowane Przywracaniem systemu, więc nie wiadomo jaki obraz był pierwotnie. A nawet gdyby nie użyto Przywracania, FRST w ogóle nie skanuje katalogów Steam i jego plików, więc podmienione pliki aplikacji i tak nie byłyby odnotowane.

Log wskazuje na infekcję routera - widzę Cię na forum pod IP Netii, a z routera były po kolei pobierane adresy z Holandii i USA: KLIK / KLIK. Tcpip\Parameters: [DhcpNameServer] 185.56.30.189 8.8.8.8 Tcpip\Parameters: [DhcpNameServer] 207.182.150.116 8.8.8.8 Prócz tego w raporcie widać różne ślady po ingerencji adware. Akcje do przeprowadzenia: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Akcje "kosmetyczne". Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKLM-x32\...\Run: [Malwarebytes Anti-Exploit] => E:\Programy\Malwarebytes Anti-Exploit\mbae.exe Task: {0814FF4D-D090-46B4-AF2E-F968124E2658} - \Core Temp Autostart 8066_000 No Task File Task: {4B4019DD-AF9B-4FE3-8040-E33F537B791B} - \GoogleUpdateTaskMachineCore No Task File Task: {8482594D-2039-4EA2-9536-34C78FD567D7} - \GoogleUpdateTaskMachineUA No Task File Task: {CD28C0F4-735C-4476-A301-2BABAEAFA3D9} - \CCleanerSkipUAC No Task File Task: {FBD7E586-E959-4AA1-A94D-3E0959296D73} - System32\Tasks\BookKeep => c:\programdata\{58aefea8-2760-f298-58ae-efea8276faa0}\samsung_usb_driver_for_mobile_phones.exe-1435915449926.exe Task: C:\Windows\Tasks\BookKeep.job => c:\programdata\{58aefea8-2760-f298-58ae-efea8276faa0}\samsung_usb_driver_for_mobile_phones.exe-1435915449926.exe C:\Program Files (x86)\eyeCare Protect your vision C:\ProgramData\Malwarebytes Anti-Exploit C:\Users\8066_000\AppData\Local\Temp.dat C:\Users\8066_000\AppData\Local\Mozilla C:\Users\8066_000\AppData\Roaming\Mozilla Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W logu FRST nazwa jednego z rozszerzeń Google Chrome nie jest pobrana prawidłowo. Na wszelki wypadek wykonaj te akcje w Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują. Podaj też dokładny model posiadanego routera.

Od czasu Twojego tematu już dawno rozpracowałam o co chodzi z błędem 80096001 (TRUST_E_SYSTEM_ERROR) jako konsekwencją ingerencji tej starej wersji ZeroAccess. Generują go uszkodzone przez ZeroAccess uprawnienia w obrębie katalogu: C:\Windows\System32\config\systemprofile\AppData. Problem Windows Update jest notowany w Process Monitor w taki oto sposób: 19:38:55,9588240 svchost.exe 984 CreateFile C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\SystemCertificates\My\Certificates ACCESS DENIED Desired Access: Read Data/List Directory, Synchronize, Disposition: Open, Options: Directory, Synchronous IO Non-Alert, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a Żaden z podanych tu logów nie wykrywa tego rodzaju usterki. Dane należy pobrać ręcznie: Otwórz Notatnik i wklej w nim: ListPermissions: C:\Windows\System32\config\systemprofile\AppData ListPermissions: C:\Windows\System32\config\systemprofile\AppData\Local ListPermissions: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft ListPermissions: C:\Windows\System32\config\systemprofile\AppData\LocalLow ListPermissions: C:\Windows\System32\config\systemprofile\AppData\LocalLow\Microsoft ListPermissions: C:\Windows\System32\config\systemprofile\AppData\Roaming ListPermissions: C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft Folder: C:\Windows\System32\config\systemprofile\AppData Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. PS. A potem zajmę się innymi śmieciami widocznymi w raportach.

jessika Usunęłaś poprawne wpisy - zabezpieczenie wprowadzone przez CryptoPrevent: ==================== Installed Programs ====================== CryptoPrevent (HKLM\...\{5C5B24E7-4694-4049-A222-CCE7D3FAC63F}_is1) (Version: - Foolish IT LLC) HKLM Group Policy restriction on software: *.bmp*.pif HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*\*.jse HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*.js HKLM Group Policy restriction on software: *.ppt*.exe HKLM Group Policy restriction on software: *.jpeg*.com HKLM Group Policy restriction on software: %allusersprofile%\*.cmd HKLM Group Policy restriction on software: %userprofile%\AppData\*.bat HKLM Group Policy restriction on software: %userprofile%\AppData\Local\*.jse HKLM Group Policy restriction on software: *.pptx*.scr HKLM Group Policy restriction on software: *.jpg*.jse HKLM Group Policy restriction on software: *.wma*.cmd HKLM Group Policy restriction on software: %appdata%\*\*.pif HKLM Group Policy restriction on software: *.mp4*.jse HKLM Group Policy restriction on software: *.zip*.scr HKLM Group Policy restriction on software: *.pdf*.com HKLM Group Policy restriction on software: %programdata%\*.jse HKLM Group Policy restriction on software: vssadmin.exe HKLM Group Policy restriction on software: *.pptx*.cmd HKLM Group Policy restriction on software: *.wma*.bat HKLM Group Policy restriction on software: *.ppt*.cmd HKLM Group Policy restriction on software: *.bmp*.com HKLM Group Policy restriction on software: *.xls*.bat HKLM Group Policy restriction on software: *.xlsx*.bat HKLM Group Policy restriction on software: *.rtf*.js HKLM Group Policy restriction on software: *.7z*.scr HKLM Group Policy restriction on software: *.txt*.bat HKLM Group Policy restriction on software: *.wmv*.bat HKLM Group Policy restriction on software: *.divx*.pif HKLM Group Policy restriction on software: *.mp4*.com HKLM Group Policy restriction on software: %userprofile%\Appdata\Roaming\Microsoft\Windows\IEUpdate\*.exe HKLM Group Policy restriction on software: *.pub*.scr HKLM Group Policy restriction on software: *.docx*.scr HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*.pif HKLM Group Policy restriction on software: C:\Users\*.jse HKLM Group Policy restriction on software: *.avi*.bat HKLM Group Policy restriction on software: *.mp4*.pif HKLM Group Policy restriction on software: lsassw86s.exe HKLM Group Policy restriction on software: *.jpg*.cmd HKLM Group Policy restriction on software: *.pub*.js HKLM Group Policy restriction on software: *.xls*.jse HKLM Group Policy restriction on software: %appdata%\*.bat HKLM Group Policy restriction on software: *.jpeg*.js HKLM Group Policy restriction on software: %userprofile%\AppData\Local\*.com HKLM Group Policy restriction on software: *.docx*.exe HKLM Group Policy restriction on software: *.pptx*.pif HKLM Group Policy restriction on software: *.7z*.js HKLM Group Policy restriction on software: *.docx*.com HKLM Group Policy restriction on software: *.wav*.com HKLM Group Policy restriction on software: *.pptx*.bat HKLM Group Policy restriction on software: %userprofile%\*.bat HKLM Group Policy restriction on software: *.png*.pif HKLM Group Policy restriction on software: *.xls*.scr HKLM Group Policy restriction on software: *.pdf*.pif HKLM Group Policy restriction on software: *.wmv*.cmd HKLM Group Policy restriction on software: *.wma*.jse HKLM Group Policy restriction on software: *.wma*.com HKLM Group Policy restriction on software: *.ppt*.js HKLM Group Policy restriction on software: *.rtf*.com HKLM Group Policy restriction on software: *.divx*.exe HKLM Group Policy restriction on software: *.docx*.jse HKLM Group Policy restriction on software: %userprofile%\AppData\Local\*.js HKLM Group Policy restriction on software: *:\$Recycle.Bin HKLM Group Policy restriction on software: %allusersprofile%\*.js HKLM Group Policy restriction on software: *.wav*.pif HKLM Group Policy restriction on software: %appdata%\*.scr HKLM Group Policy restriction on software: %appdata%\*.pif HKLM Group Policy restriction on software: *.mp3*.js HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.scr HKLM Group Policy restriction on software: *.pdf*.js HKLM Group Policy restriction on software: *.xls*.com HKLM Group Policy restriction on software: *.ppt*.scr HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.js HKLM Group Policy restriction on software: %appdata%\*\*.js HKLM Group Policy restriction on software: *.wmv*.exe HKLM Group Policy restriction on software: *.wmv*.js HKLM Group Policy restriction on software: *.gif*.cmd HKLM Group Policy restriction on software: *.wav*.jse HKLM Group Policy restriction on software: %userprofile%\*.cmd HKLM Group Policy restriction on software: *.doc*.jse HKLM Group Policy restriction on software: *.wav*.scr HKLM Group Policy restriction on software: %userprofile%\AppData\Local\*.exe HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*\*.scr HKLM Group Policy restriction on software: %userprofile%\AppData\*.jse HKLM Group Policy restriction on software: *.gif*.scr HKLM Group Policy restriction on software: *.7z*.cmd HKLM Group Policy restriction on software: *.doc*.com HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.bat HKLM Group Policy restriction on software: %userprofile%\*.pif HKLM Group Policy restriction on software: *.rtf*.exe HKLM Group Policy restriction on software: %programdata%\*\svchost.exe HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*\*.exe HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*.js HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*.jse HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.exe HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*.cmd HKLM Group Policy restriction on software: *.doc*.exe HKLM Group Policy restriction on software: %userprofile%\AppData\Local\*.pif HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*.exe HKLM Group Policy restriction on software: *.rtf*.jse HKLM Group Policy restriction on software: *.xls*.cmd HKLM Group Policy restriction on software: %appdata%\*\*.bat HKLM Group Policy restriction on software: *.mp4*.bat HKLM Group Policy restriction on software: *.mp3*.bat HKLM Group Policy restriction on software: %userprofile%\AppData\*.js HKLM Group Policy restriction on software: *.txt*.com HKLM Group Policy restriction on software: *.ppt*.com HKLM Group Policy restriction on software: *.xlsx*.com HKLM Group Policy restriction on software: %appdata%\*.exe HKLM Group Policy restriction on software: %allusersprofile%\*.bat HKLM Group Policy restriction on software: *.doc*.js HKLM Group Policy restriction on software: *.pdf*.cmd HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*\*.cmd HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*\*.js HKLM Group Policy restriction on software: *.jpeg*.exe HKLM Group Policy restriction on software: *.mp3*.exe HKLM Group Policy restriction on software: *.zip*.cmd HKLM Group Policy restriction on software: *.7z*.jse HKLM Group Policy restriction on software: *.7z*.pif HKLM Group Policy restriction on software: *.doc*.pif HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*\*.com HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*.pif HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*\*.pif HKLM Group Policy restriction on software: %userprofile%\AppData\*.scr HKLM Group Policy restriction on software: *.pub*.com HKLM Group Policy restriction on software: %userprofile%\*.exe HKLM Group Policy restriction on software: %programdata%\*.cmd HKLM Group Policy restriction on software: *.xlsx*.jse HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*.exe HKLM Group Policy restriction on software: *.rar*.js HKLM Group Policy restriction on software: *.png*.exe HKLM Group Policy restriction on software: %programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.bat HKLM Group Policy restriction on software: *.rtf*.pif HKLM Group Policy restriction on software: %programdata%\*.com HKLM Group Policy restriction on software: *.xlsx*.exe HKLM Group Policy restriction on software: %userprofile%\*.com HKLM Group Policy restriction on software: %programdata%\*.bat HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*\*.scr HKLM Group Policy restriction on software: *.pdf*.exe HKLM Group Policy restriction on software: %appdata%\*.cmd HKLM Group Policy restriction on software: *.pub*.bat HKLM Group Policy restriction on software: *.rar*.scr HKLM Group Policy restriction on software: *.mp3*.cmd HKLM Group Policy restriction on software: ** HKLM Group Policy restriction on software: *.rtf*.bat HKLM Group Policy restriction on software: *.xlsx*.pif HKLM Group Policy restriction on software: *.rar*.exe HKLM Group Policy restriction on software: %userprofile%\*.scr HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*\*.exe HKLM Group Policy restriction on software: *.pptx*.com HKLM Group Policy restriction on software: *.jpeg*.bat HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*.scr HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*\*.cmd HKLM Group Policy restriction on software: *.bmp*.exe HKLM Group Policy restriction on software: *.bmp*.cmd HKLM Group Policy restriction on software: *.pptx*.exe HKLM Group Policy restriction on software: *.jpg*.scr HKLM Group Policy restriction on software: *.divx*.cmd HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.jse HKLM Group Policy restriction on software: *.pdf*.scr HKLM Group Policy restriction on software: cipher.exe HKLM Group Policy restriction on software: *.avi*.exe HKLM Group Policy restriction on software: *.jpg*.com HKLM Group Policy restriction on software: *.png*.bat HKLM Group Policy restriction on software: *.jpg*.pif HKLM Group Policy restriction on software: *.mp3*.scr HKLM Group Policy restriction on software: C:\Users\*.bat HKLM Group Policy restriction on software: *.zip*.pif HKLM Group Policy restriction on software: lsassvrtdbks.exe HKLM Group Policy restriction on software: *.rar*.com HKLM Group Policy restriction on software: %userprofile%\*.jse HKLM Group Policy restriction on software: *.mp3*.jse HKLM Group Policy restriction on software: %appdata%\*.js HKLM Group Policy restriction on software: %programdata%\*.exe HKLM Group Policy restriction on software: *.txt*.cmd HKLM Group Policy restriction on software: *.gif*.exe HKLM Group Policy restriction on software: %userprofile%\AppData\*.cmd HKLM Group Policy restriction on software: %allusersprofile%\*.exe HKLM Group Policy restriction on software: %appdata%\*.jse HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*.jse HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*\*.bat HKLM Group Policy restriction on software: *.ppt*.jse HKLM Group Policy restriction on software: %programdata%\*.scr HKLM Group Policy restriction on software: *.zip*.bat HKLM Group Policy restriction on software: *.xls*.pif HKLM Group Policy restriction on software: %appdata%\*\*.com HKLM Group Policy restriction on software: *.wmv*.pif HKLM Group Policy restriction on software: *.divx*.js HKLM Group Policy restriction on software: *.xlsx*.scr HKLM Group Policy restriction on software: *.xls*.js HKLM Group Policy restriction on software: %programfiles%\*\svchost.exe HKLM Group Policy restriction on software: *.wma*.scr HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*.com HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*\*.jse HKLM Group Policy restriction on software: *.7z*.com HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.com HKLM Group Policy restriction on software: *.txt*.exe HKLM Group Policy restriction on software: %allusersprofile%\*.com HKLM Group Policy restriction on software: *.png*.cmd HKLM Group Policy restriction on software: %userprofile%\AppData\*.com HKLM Group Policy restriction on software: %programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.exe HKLM Group Policy restriction on software: *.avi*.jse HKLM Group Policy restriction on software: *.bmp*.scr HKLM Group Policy restriction on software: scsvserv.exe HKLM Group Policy restriction on software: *.pub*.exe HKLM Group Policy restriction on software: *.docx*.pif HKLM Group Policy restriction on software: *.avi*.js HKLM Group Policy restriction on software: C:\Users\*.pif HKLM Group Policy restriction on software: %appdata%\*\*.scr HKLM Group Policy restriction on software: *.jpg*.js HKLM Group Policy restriction on software: *.bmp*.jse HKLM Group Policy restriction on software: *.7z*.bat HKLM Group Policy restriction on software: *.ppt*.bat HKLM Group Policy restriction on software: *.pdf*.bat HKLM Group Policy restriction on software: %programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.pif HKLM Group Policy restriction on software: %programdata%\*.pif HKLM Group Policy restriction on software: *.txt*.pif HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*.com HKLM Group Policy restriction on software: *.png*.com HKLM Group Policy restriction on software: *.mp4*.js HKLM Group Policy restriction on software: *.pdf*.jse HKLM Group Policy restriction on software: *.wmv*.jse HKLM Group Policy restriction on software: *.mp3*.pif HKLM Group Policy restriction on software: *.wma*.exe HKLM Group Policy restriction on software: *.bmp*.bat HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*.bat HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.cmd HKLM Group Policy restriction on software: *.doc*.cmd HKLM Group Policy restriction on software: *.jpeg*.jse HKLM Group Policy restriction on software: *.mp3*.com HKLM Group Policy restriction on software: %userprofile%\AppData\Local\*.scr HKLM Group Policy restriction on software: *.rar*.jse HKLM Group Policy restriction on software: %allusersprofile%\*.jse HKLM Group Policy restriction on software: *.jpg*.bat HKLM Group Policy restriction on software: *.gif*.pif HKLM Group Policy restriction on software: %programdata%\*.js HKLM Group Policy restriction on software: *.zip*.jse HKLM Group Policy restriction on software: %appdata%\*\*.exe HKLM Group Policy restriction on software: *.divx*.jse HKLM Group Policy restriction on software: *.jpeg*.scr HKLM Group Policy restriction on software: *.doc*.bat HKLM Group Policy restriction on software: *.rtf*.scr HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*\*.bat HKLM Group Policy restriction on software: *.wma*.js HKLM Group Policy restriction on software: *.wav*.js HKLM Group Policy restriction on software: *.wav*.exe HKLM Group Policy restriction on software: *.png*.js HKLM Group Policy restriction on software: %programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.cmd HKLM Group Policy restriction on software: *.gif*.jse HKLM Group Policy restriction on software: %userprofile%\AppData\*.exe HKLM Group Policy restriction on software: *.avi*.pif HKLM Group Policy restriction on software: *.wmv*.scr HKLM Group Policy restriction on software: C:\Users\*.js HKLM Group Policy restriction on software: *.mp4*.cmd HKLM Group Policy restriction on software: *.docx*.bat HKLM Group Policy restriction on software: *.png*.jse HKLM Group Policy restriction on software: *.wmv*.com HKLM Group Policy restriction on software: *.wav*.cmd HKLM Group Policy restriction on software: *.jpeg*.pif HKLM Group Policy restriction on software: *.avi*.com HKLM Group Policy restriction on software: *.docx*.js HKLM Group Policy restriction on software: *.pub*.cmd HKLM Group Policy restriction on software: *.avi*.scr HKLM Group Policy restriction on software: %allusersprofile%\*.scr HKLM Group Policy restriction on software: *.wav*.bat HKLM Group Policy restriction on software: *.txt*.jse HKLM Group Policy restriction on software: %userprofile%\*.js HKLM Group Policy restriction on software: %programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.scr HKLM Group Policy restriction on software: *.xls*.exe HKLM Group Policy restriction on software: *.pub*.pif HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*.bat HKLM Group Policy restriction on software: %programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.com HKLM Group Policy restriction on software: syskey.exe HKLM Group Policy restriction on software: *.doc*.scr HKLM Group Policy restriction on software: *.mp4*.scr HKLM Group Policy restriction on software: %programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.jse HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*\*.js HKLM Group Policy restriction on software: *.rar*.bat HKLM Group Policy restriction on software: *.avi*.cmd HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.pif HKLM Group Policy restriction on software: *.divx*.bat HKLM Group Policy restriction on software: *.gif*.js HKLM Group Policy restriction on software: *.mp4*.exe HKLM Group Policy restriction on software: %appdata%\*.com HKLM Group Policy restriction on software: *.xlsx*.cmd HKLM Group Policy restriction on software: *.rtf*.cmd HKLM Group Policy restriction on software: *.gif*.bat HKLM Group Policy restriction on software: *.divx*.com HKLM Group Policy restriction on software: %allusersprofile%\*.pif HKLM Group Policy restriction on software: *.png*.scr HKLM Group Policy restriction on software: *.txt*.scr HKLM Group Policy restriction on software: *.wma*.pif HKLM Group Policy restriction on software: *.rar*.cmd HKLM Group Policy restriction on software: C:\Users\*.cmd HKLM Group Policy restriction on software: %appdata%\*\*.jse HKLM Group Policy restriction on software: *.divx*.scr HKLM Group Policy restriction on software: *.txt*.js HKLM Group Policy restriction on software: *.pptx*.jse HKLM Group Policy restriction on software: %systemdrive%\*\svchost.exe HKLM Group Policy restriction on software: *.ppt*.pif HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*.cmd HKLM Group Policy restriction on software: *.pub*.jse HKLM Group Policy restriction on software: C:\Users\*.exe HKLM Group Policy restriction on software: *.jpg*.exe HKLM Group Policy restriction on software: *.gif*.com HKLM Group Policy restriction on software: %programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.js HKLM Group Policy restriction on software: %appdata%\*\*.cmd HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*.scr HKLM Group Policy restriction on software: *.7z*.exe HKLM Group Policy restriction on software: %userprofile%\AppData\Local\*.cmd HKLM Group Policy restriction on software: *.bmp*.js HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*\*.pif HKLM Group Policy restriction on software: *.jpeg*.cmd HKLM Group Policy restriction on software: *.xlsx*.js HKLM Group Policy restriction on software: *.docx*.cmd HKLM Group Policy restriction on software: *.rar*.pif HKLM Group Policy restriction on software: %userprofile%\AppData\Local\*.bat HKLM Group Policy restriction on software: C:\Users\*.scr HKLM Group Policy restriction on software: *.zip*.com HKLM Group Policy restriction on software: *.zip*.js HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*\*.com HKLM Group Policy restriction on software: *.zip*.exe HKLM Group Policy restriction on software: *.pptx*.js HKLM Group Policy restriction on software: %userprofile%\AppData\*.pif artus72 1. Uszkodzona konfiguracja CryptoPrevent: jeśli program tego nie odtworzy, przeładuj wszystko ręcznie. 2. Dalsze poprawki na szczątki adware (ClientConnect Ltd.) i inne. Pobierz ponownie FRST. Do Notatnika wklej: CustomCLSID: HKU\S-1-5-21-3698236117-931745765-820054799-1001_Classes\CLSID\{1BBF13E0-551E-42DD-91F4-1A547443FFDA}\InprocServer32 -> C:\Users\Artur\AppData\Local\Tbccint\Community Alerts\Alert.dll (ClientConnect Ltd.) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKU\S-1-5-21-3698236117-931745765-820054799-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3698236117-931745765-820054799-1001 -> {AFDBDDAA-5D3F-42EE-B79C-185A7020515B} URL = C:\Users\Artur\AppData\Local\Tbccint C:\Users\Artur\AppData\Roaming\21903 C:\Users\Artur\AppData\Roaming\Opera Software Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentyuj wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Zastosuj Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

To niepożądana strona, której celem jest promocja wątpliwego SpyHunter! Ten "usuwacz" tam linkowany to właśnie SpyHunter! Akcje do przeprowadzenia: 1. Przez Panel sterowania odinstaluj adware Filter Results. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = Task: {12190775-F808-4BCF-97E4-80FD0CCB6142} - System32\Tasks\{82755EDF-06E7-4E0B-BA3A-3C4747A74AB1} => pcalua.exe -a "D:\Program Files (x86)\Origin Games\Battlefield 4\pbsetup\pbsetup.exe" -d "d:\Program Files (x86)\Origin Games\Battlefield 4\pbsetup\" Task: {46E92FCE-3AD4-489E-AC9B-910EE04246AF} - System32\Tasks\{137ED739-9843-4330-91EB-E967832C2F5C} => pcalua.exe -a "D:\Program Files (x86)\Origin Games\Battlefield 3\pbsetup\pbsetup.exe" -d "d:\Program Files (x86)\Origin Games\Battlefield 3\pbsetup\" Task: {696A5BD8-981C-430C-AE54-0EE8099A00A3} - System32\Tasks\{DF5ADF64-D091-465B-AA36-D7B72AC621F8} => pcalua.exe -a "G:\Pobrane Opera\pbsetup\pbsetup\pbsetup.exe" -d "g:\Pobrane Opera\pbsetup\pbsetup\" S3 ALSysIO; \??\C:\Users\Piotr\AppData\Local\Temp\ALSysIO64.sys [X] C:\Program Files (x86)\Filter Results C:\Program Files (x86)\Common Files\f08cac26-e74f-49b4-9ff1-f081aa55e1b3 C:\ProgramData\f08cac26-e74f-49b4-9ff1-f081aa55e1b3 C:\Users\Piotr\AppData\Roaming\Opera Software C:\Users\Public\Documents\Baidu EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Filter Results Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. W systemie obecnie jest stara Opera 12.17 - FRST jej nie skanuje, więc sprawdź jej konfigurację ręcznie. A to co od Opery widać w FRST (adware też tam siedzi) to ścieżka nowszych wersji Opera 15+ i w całości ją usuwam. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też fixlog.txt. Wypowiedz się czy problemy ustąpiły we wszystkich przeglądarkach.

Nie jest wykluczone, że ESET nie jest tu optymalnym rozwiązaniem. Skoro tworzy problemy, nie instaluj go ponownie. Jeśli to są te same detekcje co poprzednio, to już mówiłam że przyczyną jest crack Office (nie jest to infekcja, ale wiadomo że nielegalne manipulacje). Możesz cracka wyłączyć lub usunąć na stałe posługując się Autoruns - w karcie Scheduled Tasks odznaczyć lub skasować zadanie o nazwie AutoKMS. Następnie reset komputera i ręczne usunięcie z dysku folderu C:\Windows\AutoKMS.