picasso

Nic tu nie wskazuje na problem infekcji jako przyczyny tych zachowań. Pierwszy podejrzany z raportów to Kaspersky Internet Security. Na próbę go odinstaluj i podaj czy są jakieś widoczne zmiany w systemie. Jaki rodzaj reklam? Podaj dokładną ścieżkę dostępu do tego wadliwego pliku.

Nie wiem o co chodzi z tymi nieznajdowalnymi raportami. I wg raportu FRST wszystko wygląda na wykonane, aczkolwiek FRST tak jakby jeszcze nie dokończył zadań - figuruje wpis RunOnce relatywny do komendy EmptyTemp:. Pojawiły się też nowe dziwactwa takie jak zablokowanie usługi systemowej BFE oraz błędy WMI - prawdopodobnie to jest robota COMODO. Poprawki: 1. Otwórz Notatnik i wklej w nim: HKLM\...\RunOnce: [*EmptyTemp] => cmd /c rd /q/s C:\FRST\Temp Task: {0E87F5FE-3447-47E9-9C07-73A12B403A57} - No Task path Task: {177C1D35-E057-435F-B082-2BAC888EFF31} - No Task path RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Adam\AppData\Local\Temp RemoveDirectory: C:\Users\Adam\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Przedstaw raport z usuwania z folderu C:\AdwCleaner. Wypowiedz się czy w którejś z przeglądarek nadal występuje problem adware.

Przeprowadź jeszcze działania "kosmetyczne". Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: ipconfig /flushdns Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f S3 HTCAND32; System32\Drivers\ANDROIDUSB.sys [X] C:\Documents and Settings\All Users\FastPics.log C:\Documents and Settings\All Users\UpdaterLog.txt EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten log.

Jaki błąd zwraca próba włączenia Zapory (rozumiem, że mowa o systemowej)?

W poprzednim logu było widać, że fixlist siedzi niby w tym samym katalogu z którego działa FRST, ale sam fakt jego obecności świadczy że nie wykonał się Fix (Fixlist samoczynnie znika po udanej akcji): Running from C:\Users\Adam\Downloads ==================== One Month Created files and folders ======== 2015-06-26 23:06 - 2015-06-26 23:06 - 00006573 _____ C:\Users\Adam\Downloads\fixlist.txt Czy aktualnie FRST jest uruchamiany z C:\Users\Adam\Downloads? Jeśli nastąpił restart, to coś się wykonało. Zrób nowe raporty FRST (włącznie z Addition).

Brak Fixlog = nie wykonane zadanie, nie uruchomiono skryptu. Powtarzaj zadane kroki 2-6.

Usuwam z Twojego posta adresy a.akamaihd.net dodane przez aktywne malware. Akcje do przeprowadzenia: 1. Przez Panel sterowania odinstaluj adware Radio Canyon. Jeśli nie będzie ten wpis widoczny lub proces zwróci błąd, i tak zajmie się tym poniższy skrypt. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-10-16] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-10-16] (globalUpdate) [File not signed] Task: {0525CBFE-0670-48F0-ADE0-94734D97F55A} - System32\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-1 => C:\Program Files (x86)\Radio Canyon\Radio Canyon-codedownloader.exe Task: {1D01A273-B209-425D-8224-875024C71F2C} - System32\Tasks\mega_shop_helper_service => C:\Program Files (x86)\Mega Shop\mega_shop_helper_service.exe [2015-05-29] () Task: {241FB934-320A-4A99-B22F-9F9629F1C697} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-10-16] (globalUpdate) Task: {4B6064C0-2377-4828-8ED0-168FFAB01C90} - System32\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-2 => C:\Program Files (x86)\Radio Canyon\938419c4-1f97-4354-b67b-15660575ebdb-2.exe Task: {53770E2F-4060-40E0-B422-D30AF1AD59B6} - System32\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-5 => C:\Program Files (x86)\Radio Canyon\938419c4-1f97-4354-b67b-15660575ebdb-5.exe Task: {577A17B3-BEC3-411B-B90A-0FC8DA2705DC} - System32\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-4 => C:\Program Files (x86)\Radio Canyon\938419c4-1f97-4354-b67b-15660575ebdb-4.exe Task: {89A48B0C-EBAE-480E-92B7-11472FDEA4E2} - System32\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-11 => C:\Program Files (x86)\Radio Canyon\938419c4-1f97-4354-b67b-15660575ebdb-11.exe Task: {8A2C9C67-8343-472B-94D9-61E2D795F95B} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-10-16] (globalUpdate) Task: {992692C0-AA80-4427-9F7A-5B245F7AAEFC} - System32\Tasks\summer_games_notification_service => C:\Program Files (x86)\summer games\summer_games_notification_service.exe Task: {AB371284-BDA3-4581-95E1-14CB09BDCFFE} - System32\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-6 => C:\Program Files (x86)\Radio Canyon\938419c4-1f97-4354-b67b-15660575ebdb-6.exe Task: {CA755DA5-9663-4F79-B7BB-130275BA85A1} - System32\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-7 => C:\Program Files (x86)\Radio Canyon\938419c4-1f97-4354-b67b-15660575ebdb-7.exe Task: {CC25100C-CCA1-4750-9EDA-B6A504EECC25} - System32\Tasks\summer_games_updating_service => C:\Program Files (x86)\summer games\summer_games_updating_service.exe Task: {F47267E0-6028-4585-93A5-37CD01101483} - System32\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-5_user => C:\Program Files (x86)\Radio Canyon\938419c4-1f97-4354-b67b-15660575ebdb-5.exe Task: C:\Windows\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-1.job => C:\Program Files (x86)\Radio Canyon\Radio Canyon-codedownloader.exe Task: C:\Windows\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-11.job => C:\Program Files (x86)\Radio Canyon\938419c4-1f97-4354-b67b-15660575ebdb-11.exe Task: C:\Windows\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-2.job => C:\Program Files (x86)\Radio Canyon\938419c4-1f97-4354-b67b-15660575ebdb-2.exe Task: C:\Windows\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-4.job => C:\Program Files (x86)\Radio Canyon\938419c4-1f97-4354-b67b-15660575ebdb-4.exe Task: C:\Windows\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-5.job => C:\Program Files (x86)\Radio Canyon\938419c4-1f97-4354-b67b-15660575ebdb-5.exe Task: C:\Windows\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-5_user.job => C:\Program Files (x86)\Radio Canyon\938419c4-1f97-4354-b67b-15660575ebdb-5.exe Task: C:\Windows\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-6.job => C:\Program Files (x86)\Radio Canyon\938419c4-1f97-4354-b67b-15660575ebdb-6.exe Task: C:\Windows\Tasks\938419c4-1f97-4354-b67b-15660575ebdb-7.job => C:\Program Files (x86)\Radio Canyon\938419c4-1f97-4354-b67b-15660575ebdb-7.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\mega_shop_helper_service.job => C:\Program Files (x86)\Mega Shop\mega_shop_helper_service.exe Task: C:\Windows\Tasks\summer_games_notification_service.job => C:\Program Files (x86)\summer games\summer_games_notification_service.exeč/url='http:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='summer games' /appid='73143' /srcid='2913' /bic='6cfdb1f8d65d52b4fb07dd12e4db3dbe' /verifier='6226c1b668116e9f84a7ac3d1c582728' /installerversion='1.50.3.10' /statsdomain='http:/stats.buildomserv.com/data.gif?' /errorsdomain='http:/stats.buildomserv.com/data.gif?' /monetizationdomain='http:/logs.buildomserv.com/monetization.gif Task: C:\Windows\Tasks\summer_games_updating_service.job => C:\Program Files (x86)\summer games\summer_games_updating_service.exe­ /campid=2913 /verid=1 /url=http:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=summer_games_updating_service /funurl=http:/stats.buildomserv.com BHO: Radio Canyon -> {11111111-1111-1111-1111-110611081104} -> C:\Program Files (x86)\Radio Canyon\Radio Canyon-bho64.dll No File BHO-x32: Radio Canyon -> {11111111-1111-1111-1111-110611081104} -> C:\Program Files (x86)\Radio Canyon\Radio Canyon-bho.dll No File FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2014-10-16] (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2014-10-16] (globalUpdate) FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\my.cfg [2015-06-05] C:\Program Files (x86)\Mozilla Firefox\browser\defaults C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Mega Shop C:\Program Files (x86)\Radio Canyon C:\Program Files (x86)\summer games C:\Users\Adam\AppData\Local\globalUpdate C:\Users\Adam\AppData\Local\Google\Chrome\User Data\Default\Preferences DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Radio Canyon EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 4. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj ddehdnnhjimbggeeenghijehnpakijod, fjefgkhmchopegjeicnblodnidbammed, ghnomdcacenbmilgjigehppbamfndblo, Mega Shop, summer games Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Wyczyść Operę z adware: CTRL+SHIFT+E i z listy rozszerzeń za pomocą iksa odinstaluj adware: ddehdnnhjimbggeeenghijehnpakijod, fjefgkhmchopegjeicnblodnidbammed, ghnomdcacenbmilgjigehppbamfndblo, Mega Shop, summer games, Radio Canyon. 6. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy ustąpiły.

Wszystko zostało pomyślnie usunięte. Działania końcowe: 1. Zastosuj DelFix (GMER dokasuj ręcznie), następnie wyczyść foldery Przywracania systemu: KLIK. 2. W związku z tym, że nie wiem co ta infekcja ma konkretnie na celu, poza ewentualnym doładowaniem innych form malware, na wszelki wypadek pozmieniaj wszystkie ważne loginy (bank, poczta, etc.)

jessika Te polityki Safer nie są powiązane z żadnym adware tylko z inną infekcją. AdwCleaner w ogóle nie usuwa tych polityk. - Oba elementy to niepożądane instalacje typu PUP. O MediaGet2: KLIK. - Nie wszystko też co jest niepożądane jest flagowane przez FRST - FileViewPro nie był po prostu zgłoszony do detekcji. Wpisy typu "ATTENTION" (podpowiedzi dla mniej zaawansowanych lub nieuważnych pomocników) to jest praca grupowa, pomocnicy (w tym i ja) zgłaszają do bazy FRST programy. Jest oczywistym, że zanim ktoś to zgłosi w logu nie ma żadnych podpowiedzi. nonsens Ten J:\explorer.exe to jest wpis pozostawiony po infekcji z pendrive. Są tu do wykonania także inne działania na szczątki adware (m.in. dokasowanie fałszywych profilów Comodo i Google utworzonych przez adware Multiplug we wszystkich folderach kont, nawet tych które są wbudowane w system) oraz dodatkowe korekty. 1. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM -> {BE28C22E-F666-424d-B5FD-125C4AFEE34E} URL = http://search.myheritage.com?orig=ds&q={searchTerms} SearchScopes: HKU\S-1-5-21-1343024091-1450960922-725345543-1004 -> {BE28C22E-F666-424d-B5FD-125C4AFEE34E} URL = http://search.myheritage.com?orig=ds&q={searchTerms} FF Plugin: @divx.com/DivX Player Plugin,version=1.0.0 -> C:\Program Files\DivX\DivX Player\npDivxPlayerPlugin.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [fbphotozoom@installdaddy.com] - C:\Program Files\fbphotozoom\fbphotozoom13.xpi DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_45-windows-i586.cab DPF: {CAFEEFAC-0017-0000-0045-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_45-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_45-windows-i586.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Comodo C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\ASPNET\Ustawienia lokalne\Dane aplikacji\Comodo C:\Documents and Settings\ASPNET\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\Gość\Ustawienia lokalne\Dane aplikacji\Comodo C:\Documents and Settings\Gość\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\Pomocnik\Ustawienia lokalne\Dane aplikacji\Comodo C:\Documents and Settings\Pomocnik\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\Radek\Ustawienia lokalne\Dane aplikacji\setup.exe C:\Documents and Settings\Radek\Ustawienia lokalne\Dane aplikacji\Comodo C:\Documents and Settings\Radek\Ustawienia lokalne\Dane aplikacji\Google\Chrome SxS C:\Documents and Settings\SUPPORT_388945a0\Ustawienia lokalne\Dane aplikacji\Comodo C:\Documents and Settings\SUPPORT_388945a0\Ustawienia lokalne\Dane aplikacji\Google C:\Program Files\mozilla firefox\plugins C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh firewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Nadal w raporcie widać pasek typu adware/PUP "Family Toolbar" wprowadzony przez MyHeritage Family Tree Builder. Odinstaluj ten program w całości. Po deinstalacji sprawdź czy zniknął folder C:\Program Files\Family Toolbar - jeśli nie, wejdź do środka i sprawdź czy nie ma powiązanego deinstalatora. 3. Google Chrome było tu czyszczone w siłowy sposób niezgodny z technikami Google Chrome. Wykonaj jeszcze te akcje: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 5. Zainstaluj Internet Explorer 8: KLIK. 6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

To pokaż to zrzuty ekranu, mam nadzieję, że na nich widać pełne ścieżki dostępu do wykrytych obiektów malware. A nie jest to aby C:\Users\wangzhisong? Przepisz nazwę dokładnie.

Tak, ta sama infekcja co w przypadku reszty świeżych tematów, czyli usługa udająca inną usługę systemową związaną z cieniowaniem woluminów. U Ciebie jest dodatkowo jeszcze drugi element w Autostarcie (obzkjrtpvf.exe). Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: R2 VSSS; C:\Users\Anna\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [104008064 2015-06-23] (Microsoft Corporation) [File not signed] R4 AVGIDSHA; system32\DRIVERS\avgidsha.sys [X] R4 Avgrkx64; system32\DRIVERS\avgrkx64.sys [X] R4 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X] Startup: C:\Users\Anna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\g.lnk [2015-06-14] ShortcutTarget: g.lnk -> C:\Users\Anna\AppData\Roaming\obzkjrtpvf.exe () HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 Task: {63CF779D-5D23-483E-9D16-C19D4F011195} - System32\Tasks\SlimCleaner Plus (Scheduled Scan - Anna) => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe Task: C:\Windows\Tasks\SlimCleaner Plus (Scheduled Scan - Anna).job => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe C:\Program Files\Common Files\AV C:\ProgramData\AVG2015 C:\Users\Anna\AppData\Local\Avg C:\Users\Anna\AppData\Local\Avg2015 C:\Users\Anna\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe C:\Users\Default\AppData\Roaming\TuneUp Software EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Nadal siedząc w Trybie awaryjnym zastosuj AVG Remover. 3. Opuść Tryb awaryjny. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) + Farbar Service Scanner. Dołącz też plik fixlog.txt.

Zasady działu jakie raporty tu się dostarcza (FRST i GMER): KLIK. Przestarzały OTL nie jest tu brany pod uwagę.

Przeklej raporty ze skanerów co wykryły - chodzi o dane tekstowe a nie zdjęcia.

Nie widzę na razie sensu takich działań. A jeśli już krążysz wokół takich akcji, to pierwsza sprawa do weryfikacji to nie żadne przeładowanie całego Windowsa, tylko weryfikacja komponentów wtórnych - tzn. testowa deinstalacja ESET, by sprawdzić czy przypadkiem to nie on per se jest odpowiedzialny za zawieszenia.

Jeśli wykonasz reset do ustawień fabrycznych figurujący jako jeden z kroków w artykule, to na wszelki wypadek skopiuj aktualne ustawienia routera.

groovey, poproszę o ponowny log z FRST (włącznie z Addition).

Nie jestem w stanie stwierdzić dlaczego system się zacina podczas skanowania.

Czy ustawiłeś parę 8.8.8.8 + 8.8.4.4, tak by nie było replikacji 8.8.8.8 + 8.8.8.8? To jeden z zagrożonych modeli. Wykonaj aktualizację firmware: Jak zaktualizować oprogramowanie routera ADSL (dla TD-W8840T, TD-W8901G, TD-W8951ND oraz TD-W8961ND) Pobieranie firmware dla TD-W8961ND

Ta detekcja wygląda na fałszywy alarm (nie jest to rzeczywisty trojan): KLIK. NOD wykrywa w pamięci aktywność cracka Office: ==================== Scheduled Tasks (Whitelisted) ============= Task: {690810F5-6B80-4D15-B401-253C56989AF6} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-01-12] () Sprawdź czy są aktualizacje baz definicji ESET, a jeśli są to zaktualizuj program i podaj czy nadal jest ten "trojan" wykrywany. Nie zalecałam jeszcze żadnej akcji z Firefox. To co jest w spoilerze jest kierowane do jessiki, a "reset" tam wspominany to zamknięcie + ponowne uruchomienie Firefox (to aktualizuje dane w pliku extensions.ini). Zaś inny reset Firefox w rozumieniu utworzenia nowego profilu owszem miałam w planie po uzyskaniu danych co wykrywa ESET, wg tych kroków: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania

Skoro problem wrócił, to wskazuje na niezabezpieczenie routera. Test wykazujący dostęp od strony Internetu ponoć daje pozytywny rezultat. Ale czy na pewno zmieniłeś dane logowania do panelu? Druga sprawa: co to za model routera? Może się okazać konieczna aktualizacja firmware.

Nie zauważyłam, że masz archaiczną wersję Mozilla Firefox 12.0 (funkcja resetu jest od wersji 13). Firefox bardzo stary, więc w tej sytuacji zalecam całkowitą deinstalację (przy deinstalacji zaznacz usuwanie danych użytkownika), a po tym instalacja najnowszej wersji. Tak, logi muszą odbijać aktualną sytuację. To samo dotyczy się w/w akcji z Firefox.

Infekcja pomyślnie usunięta, teraz naprawa szkód z jej powodu: 1. Przywracanie systemu jest wyłączone: ==================== Restore Points ========================= ATTENTION: System Restore is disabled Wejdź w Panelu sterowania do opcji Przywracania systemu i zaznacz Ochronę dla dysku C. 2. Ponowna odbudowa skasowanej usługi Windows Defender. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system. Następnie zrób nowy log z Farbar Service Scanner.

Tylko Addition, Shortcut nie jest mi już potrzebny ponownie.

Zaznaczałam, że pliku nie ma, ale pozostał wpis startowy malware, więc nie szukaj tego na dysku. Adware zaś więcej niż jeden obiekt: FF Extension: Real Summer Sale - C:\Users\Ewa\AppData\Roaming\Mozilla\Firefox\Profiles\aa5nr8rp.default\Extensions\realsummersale1@realsummersale.com [2013-08-07] FF Extension: SmileysWeLove: Smileys for use with Facebook, GMail, and more - C:\Users\Ewa\AppData\Roaming\Mozilla\Firefox\Profiles\aa5nr8rp.default\Extensions\jid1-vW9nopuIAJiRHw@jetpack.xpi [2014-01-29] Czyli poprawki oraz korekta cześci błędów Usługi Protokół rozpoznawania nazw równorzędnych z Dziennika zdarzeń: 1. Odinstaluj przestarzałego i zbędnego Spybota. Sugeruję też pozbyć się starego preinstalowanego z systemem Norton Online Backup. 2. Konkretnie wyczyść Firefopx (proces likwiduje więcej niż może ujawnić to log z FRST): menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Otwórz Notatnik i wklej w nim: CreateRestorePoint: HKU\S-1-5-21-1842668911-658831082-982835230-1001\...\Run: [backUp4132664122] => C:\Users\Ewa\AppData\Roaming\BackUp4132664122.exe FF Plugin-x32: @java.com/JavaPlugin -> C:\Program Files (x86)\Java\jre1.8.0_40\bin\new_plugin\npjp2.dll No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh advfirewall reset C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking\idstore.* Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ma nastąpić restart systemu i powstanie kolejny plik fixlog.txt. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Zaznaczyłam, że chodzi mi tylko o dysk systemowy C (domyślne ustawienie systemu). Inne niesystemowe dyski wg uznania można lub i nie.