picasso

Instrukcja obrazkowa gdzie są opcje: KLIK. Tylko tu chodzi oczywioście o odwrotność, czyli włączenie funkcji a nie jej wyłączenie.

Działania do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 VSSS; C:\Users\Matti24a\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [98895424 2015-06-23] (Microsoft Corporation) [File not signed] S2 AntiVirMailService; C:\Program Files (x86)\Avira\AntiVir Desktop\avmailc7.exe [X] S2 AntiVirSchedulerService; "C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe" [X] S2 AntiVirService; "C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe" [X] S2 AntiVirWebService; C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe [X] HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKLM\...\Run: [installerLauncher] => "C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-4159-A75F-CFD0C7EA4FBF}\setuplauncher.exe" /run:"C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-41 (the data entry has 36 more characters). Task: {9A92D790-85D6-4EFF-A127-581114CE4915} - System32\Tasks\{520B5D5F-55BF-4452-B9CF-66CED3C82534} => pcalua.exe -a "D:\download\CH341SER Windows.EXE" -d D:\download Task: {A7B013D9-5B9A-4BFC-921C-135DB504EF5B} - System32\Tasks\{F826BDDD-2A1A-410E-BA01-78E673AF0A34} => pcalua.exe -a F:\download\plugins\ts3overlay\InstallHook.exe -d F:\download\plugins\ts3overlay HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\Program Files\*.exe C:\Program Files\kprocesshacker.sys C:\Program Files\Common Files\Bitdefender C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\1434299707.bdinstall.bin C:\ProgramData\bdch C:\ProgramData\BDLogging C:\Users\Matti24a\AppData\Local\Avg2015 C:\Users\Matti24a\AppData\Local\bdch C:\Users\Matti24a\AppData\Local\MFAData C:\Users\Matti24a\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe C:\Users\Matti24a\AppData\Roaming\QuickScan C:\Windows\SysWOW64\bdsandboxuiskin32.dll C:\Windows\system32\bdsandboxuiskin32.dll C:\Windows\system32\BDSandBoxUISkin.dll C:\Windows\system32\BDSandBoxUH.dll Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.

Skrypty są jednorazowe. Poprzednie są już nieaktualne. Nowe skrypty poprawkowe buduje się w oparciu o nowe raporty. Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S4 VSSS; C:\Users\Ola\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [105317504 2015-06-23] (Microsoft Corporation) [File not signed] C:\Users\Ola\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ma nastąpić restart. Powstanie kolejny fixlog.txt. 2. Infekcja skasowała usługę Windows Defender. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system. 3. Masz wyłączone Przywracanie systemu: ==================== Restore Points ========================= ATTENTION: System Restore is disabled Wejdź w Panelu sterowania do opcji Przywracania systemu i zaznacz Ochronę dla dysku C. 4. Przeinstaluj Avast: 5. Na koniec zrób nowy log FRST z opcji Scan (z Addition, ale bez Shortcut). Dołącz też plik fixlog.txt.

Oczywiście, to nadal aktualne. I po tym będą poprawki, bo w zmodyfikowanej wersji skryptu usługa malware została wyłączona, ale nie usunięta.

Spróbuj w Trybie awaryjnym wykonać zmodyfikowaną wersję skryptu: DisableService: VSSS HKLM-x32\...\Run: [TaskTray] => [X] Task: {3B1039D2-C7C9-4E40-B837-4EC757365118} - System32\Tasks\{6A8B768F-F083-40B1-836F-C0593A6F7036} => pcalua.exe -a C:\Windows\SysWOW64\Samsung_USB_Drivers\2\SSM_Uninstall.exe Task: {64D5FEE5-226B-4BB7-8F84-6534E66AE29E} - System32\Tasks\{E187F430-7B35-4A1A-AE6D-046292D2C464} => pcalua.exe -a C:\Windows\SysWOW64\Samsung_USB_Drivers\5\SSSDUninstall.exe Task: {6E8B6CAF-3F8C-4102-BFC2-C8D272673125} - System32\Tasks\{CBF18997-2AED-4BBC-A0A7-BDE79C1709B4} => C:\Program Files (x86)\Skype\\Phone\Skype.exe Task: {A8FD0B9A-7BD2-477D-9B7D-02CDDB7F7E8D} - System32\Tasks\{6BAB1883-5FF8-43B6-980F-F1E0700EC112} => pcalua.exe -a C:\Users\Ola\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor Task: {C2006566-8FF7-42F7-A069-E8E67E9E088C} - System32\Tasks\{F3BEEA16-6920-434F-ACB3-2A5D46C76928} => E:\Install.exe Task: {C78DD98D-4740-41A4-BC17-6E583F2E07AF} - System32\Tasks\{D8A5CD5D-4746-408A-88B5-E79D10FB5B11} => pcalua.exe -a E:\Setup.exe -d E:\ Task: {D0BB8E73-0E0C-41E3-A4EF-9949CC60F046} - System32\Tasks\{A562F978-FCA7-4A48-9546-50874C9FEB78} => Firefox.exe http://ui.skype.com/ui/0/5.3.0.120.259/pl/abandoninstall?source=lightinstaller&page=tsDownload&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:notoffered;systemlevelpresent Task: {F310FE67-9D68-401D-8F9A-3015F9025055} - System32\Tasks\{62B8DF6A-F8D0-4B3E-893E-CB533BFF500C} => C:\Program Files (x86)\Skype\\Phone\Skype.exe HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-1365672938-4047589735-543654078-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com BHO-x32: Winamp Toolbar Loader -> {4accc990-3dc7-4456-a734-5cb4b610a7f5} -> C:\Program Files (x86)\Winamp Toolbar\winamppltb.dll No File Toolbar: HKLM-x32 - Winamp Toolbar - {a0b1221c-a3ff-4f7c-a393-dc63af5301e9} - C:\Program Files (x86)\Winamp Toolbar\winamppltb.dll No File FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-1365672938-4047589735-543654078-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 C:\Program Files (x86)\mozilla firefox\plugins C:\Program Files\*.exe C:\Users\Ola\*.exe C:\Users\Ola\AppData\Roaming\obthqktxba.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reboot:

Na temat logów ogólnie: - Nazwy logów wskazują, że je wyciągasz z folderu C:\FRST\Logs. To jest archiwum starszych logów, bieżące powstają tam skąd uruchamiasz FRST i nie mają doczepionych suffiksów z datami. Tu niefortunnie FRST jest także uruchamiany z folderu C:\FRST. Przenieś go na Pulpit. - Posługujesz się starą wersją FRST "13-06-2015", najnowsza jest sprzed 3 dni. Pobierz ponownie FRST i zrób nowe raporty. Druga sprawa: logi nie udzielają żadnej odpowiedzi na temat przyczyn awarii ze startem. W Dzienniku zdarzeń widać owszem różne błędy, ale to nie powinno mieć związku z automatycznym resetem: System errors: ============= Error: (06/24/2015 09:17:36 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa Windows Update zawiesiła się podczas uruchamiania. Error: (06/24/2015 09:12:24 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (06/24/2015 09:12:24 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (06/24/2015 09:12:24 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (06/24/2015 09:12:24 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (06/24/2015 09:12:24 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (06/24/2015 09:12:24 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (06/24/2015 09:12:24 PM) (Source: PNRPSvc) (EventID: 102) (User: ) Description: 0x80630801 Error: (06/24/2015 09:12:24 PM) (Source: PNRPSvc) (EventID: 102) (User: ) Description: 0x80630801 Error: (06/24/2015 09:12:24 PM) (Source: PNRPSvc) (EventID: 102) (User: ) Description: 0x80630801 Do wyczyszczenia został jeszcze wpis startowy malware (ten plik BackUp4132664122.exe o który Cię pytano to był oczywisty szkodnik uruchamiany w starcie) oraz adware w Firefox.

Zrób standardowe raporty FRST (włącznie z Addition).

Pusty Fixlog oznacza, że Fixlist był także pusty (nie zapisałeś treści poprawnie w Notatniku)... Powtarzaj zadanie, tylko ze skryptu usuń pierwszą linię CloseProcesses:.

ganisz, przecież jest tylko jeden poradnik jak uruchomić FRST w WinRE. Jak wejść do WinRE już omawialiśmy, ale samo uruchomienie FRST w WinRE jest w pierwszym linku. I jak mówiłam: jeśli ta płyta którą posiadasz to DVD 32-bit, to musisz pobrać FRST 32-bit.

To jest przecież jawna infekcja: R2 VSSS; C:\Users\Matti24a\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [98895424 2015-06-23] (Microsoft Corporation) [File not signed] Wiadome już po samej nazwie systemowej usługi "VSSS" i lokalizacji pliku - taki twór nie istnieje w systemach Microsoftu. Ta usługa w oczywisty sposób próbuje wprowadzić w błąd nazwą, opisem procesu oraz "producentem" upodabniając się do usługi systemowej "VSS". matti24a, zanim przejdę do usuwania poproszę o świeży log z FRST.

W teorii wersja WinRE oraz zainstalowanego systemu powinny być zgodne. Ale jeśli nie są i tak da się zrobić log z FRST (tylko ważne, by bity FRST były zgodne z bitami WinRE), FRST zgłosi po prostu w logu, że jest niezgodność ze skanowanym systemem, ale ja umiem nanieść poprawki na taką rozbieżność.

Tak, już poprawiłam literówkę - źle zedytowałam wpis i zamiast mi zastąpić nazwy, skleiło je.

Kaja Zacznijmy od najważniejszej nie podanej tu informacji: dokładne przeklejenie wyniku ESET z jego raportu, wykazujące jak detekcja jest sformułowana (ścieżki dostępu), bo "wirus w pamięci operacyjnej" to tylko ogólnik i milion możliwości. jessika W spoilerze drobny komentarz:

Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 VSSS; C:\Users\Ola\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [105317504 2015-06-23] (Microsoft Corporation) [File not signed] HKLM-x32\...\Run: [TaskTray] => [X] Task: {3B1039D2-C7C9-4E40-B837-4EC757365118} - System32\Tasks\{6A8B768F-F083-40B1-836F-C0593A6F7036} => pcalua.exe -a C:\Windows\SysWOW64\Samsung_USB_Drivers\2\SSM_Uninstall.exe Task: {64D5FEE5-226B-4BB7-8F84-6534E66AE29E} - System32\Tasks\{E187F430-7B35-4A1A-AE6D-046292D2C464} => pcalua.exe -a C:\Windows\SysWOW64\Samsung_USB_Drivers\5\SSSDUninstall.exe Task: {6E8B6CAF-3F8C-4102-BFC2-C8D272673125} - System32\Tasks\{CBF18997-2AED-4BBC-A0A7-BDE79C1709B4} => C:\Program Files (x86)\Skype\\Phone\Skype.exe Task: {A8FD0B9A-7BD2-477D-9B7D-02CDDB7F7E8D} - System32\Tasks\{6BAB1883-5FF8-43B6-980F-F1E0700EC112} => pcalua.exe -a C:\Users\Ola\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor Task: {C2006566-8FF7-42F7-A069-E8E67E9E088C} - System32\Tasks\{F3BEEA16-6920-434F-ACB3-2A5D46C76928} => E:\Install.exe Task: {C78DD98D-4740-41A4-BC17-6E583F2E07AF} - System32\Tasks\{D8A5CD5D-4746-408A-88B5-E79D10FB5B11} => pcalua.exe -a E:\Setup.exe -d E:\ Task: {D0BB8E73-0E0C-41E3-A4EF-9949CC60F046} - System32\Tasks\{A562F978-FCA7-4A48-9546-50874C9FEB78} => Firefox.exe http://ui.skype.com/ui/0/5.3.0.120.259/pl/abandoninstall?source=lightinstaller&page=tsDownload&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:notoffered;systemlevelpresent Task: {F310FE67-9D68-401D-8F9A-3015F9025055} - System32\Tasks\{62B8DF6A-F8D0-4B3E-893E-CB533BFF500C} => C:\Program Files (x86)\Skype\\Phone\Skype.exe HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-1365672938-4047589735-543654078-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com BHO-x32: Winamp Toolbar Loader -> {4accc990-3dc7-4456-a734-5cb4b610a7f5} -> C:\Program Files (x86)\Winamp Toolbar\winamppltb.dll No File Toolbar: HKLM-x32 - Winamp Toolbar - {a0b1221c-a3ff-4f7c-a393-dc63af5301e9} - C:\Program Files (x86)\Winamp Toolbar\winamppltb.dll No File FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-1365672938-4047589735-543654078-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 C:\Program Files (x86)\mozilla firefox\plugins C:\Program Files\*.exe C:\Users\Ola\*.exe C:\Users\Ola\AppData\Roaming\obthqktxba.exe C:\Users\Ola\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Ola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) + Farbar Service Scanner. Dołącz też plik fixlog.txt. Podsumuj czy jest jakaś poprawa.

MARC Poproszę o nowy zestaw raportów FRST, mający udowodnić czy DhcpNameServer zostało zaktualizowane poprawnie. Tym razem zestaw logów ma być kompletny, tzn. także pliki Addition + Shortcut. Po sprawdzeniu kompletu będą jeszcze drobne rzeczy do wykonania, w tym czyszczenie cache (bufor DNS i cache przeglądarek). jessika Wartość DhcpNameServer jest automatycznie aktualizowana z routera - wystarczy restart komputera, by to odpalić. Fix.reg zbędny, on nawet nie utrzyma żadnych modyfikacji, bo Windows dynamicznie koryguje te wartości. I jeszcze z bazy Technet (KLIK):

Czy jesteś w stanie skombinować / pożyczyć od kogoś płytę instalacyjną DVD z Windows 7? Co to za model laptopa?

Log FRST nadal nie jest cały, obie dostarczone kopie FRST.txt są urwany w połowie. Poproszę o nowy log FRST.txt. Tak, system jest zainfekowany - usługa udająca "cieniowanie woluminu": S2 VSSS; C:\Users\Ola\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [105317504 2015-06-23] (Microsoft Corporation) [File not signed] ---- Processes - GMER 2.1 ---- Process C:\Users\Ola\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe (*** suspicious ***) @ C:\Users\Ola\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [2176] (Microsoft® Volume Shadow Copy Service/Microsoft Corporation)(2015-06-23 08:34:59) 0000000000400000 Przejdę do usuwania, gdy dostarczysz kompletny FRST.txt.

To nie jest problem infekcji, skoro Windows był już reinstalowany w całości, problem zdaje się być relatywny do sprzętu lub zainstalowanych sterowników. W Dzienniku zdarzeń jest nagrany kod BSOD typu THREAD_STUCK_IN_DEVICE_DRIVER: System errors: ============= Error: (06/23/2015 02:37:34 PM) (Source: BugCheck) (EventID: 1001) (User: ) Description: 0x000000ea (0xfffffa8002b72060, 0x0000000000000000, 0x0000000000000000, 0x0000000000000000)C:\Windows\MEMORY.DMP062315-23758-01 Temat przenoszę do stosowniejszego działu - Hardware. Dostarcz materiały wymagane działem (KLIK) oraz wyniki debugowania plików DMP (KLIK - punkt 5).

Tam jest tylko jeden poradnik jak wejść do WinRE (czyli opcji "Napraw komputer"): https://www.fixitpc.pl/topic/54-winre-metody-startu-opis-funkcji-naprawczych/ Mówisz, że F8 nie działa. Czy masz płytę instalacyjną DVD z Windows 7?

ganisz, na razie nic tu nie wskazuje, by usuwanie per se było przyczyną awarii. Wg Twojego opisu po użyciu Fixlist uruchomiła się jakaś procedura "naprawcza": Co było na tym ekranie? Jaka konkretnie treść? Czy to było sprawdzanie dysku pod kątem błędów czy inna forma naprawcza? Czy jesteś w stanie: - Wejść w Tryb awaryjny przez F8? - Wejść do środowiska WinRE, by zrobić log FRST z tego poziomu: KLIK?

malutka, podałaś tu dwa zestawy logów (na przyszłość: Shortcut też jest obowiązkowy), które pochodzą z dwóch różnych wersji FRST. Te jakoby "nowsze" z 19 czerwca są zrobione archaiczym FRST 30-08-2014 (!), pozbawionym licznych skanów i bugfiksów. Tak więc bardziej wiarygodne są te starsze logi z pierwszego posta. Przy czym, między tymi zestawami raportów i tak nie ma wybitnych różnic (poza tym, że w pierwszych są widoczne wpisy nie skanowane starszym FRST) W żadnych z logów nie ma oznak infekcji. Nic tu nie wskazuje, by o nią chodziło, a opis pachnie problemem sprzętowym. Temat przenoszę do działu sprzętowego. Dostarcz dane wymagane tych działem (KLIK).

jessika otrzymała taką propozycję ode mnie kilka miesięcy temu (końcowka sierpnia 2014) i odmówiła.

Przypominam, że forum na które się powołujesz, jest związane z oficjalnym supportem MBAM i Naathim pełni określoną rolę z tym związaną, pomoc w usuwaniu malware i moderacja w rozumieniu tu dyskutowanym jest tam drugorzędna (wg Ciebie pierwszoplanowa). Cytując ponownie: "Mamy nowy release programu (czyli MBAM) na głowie" = To nie są prace publiczne i żadnych postów na ten temat nie znajdziesz, bo to dane nie przeznaczone dla przeciętnego użytkownika. To czy on napisał jakiś post w widocznej dla Ciebie sekcji czy nie, nie może definiować tamtejszej rzeczywistej aktywności, bo to nie ta aktywność. Nie trzeba mnie też "pouczać", żem taka głupia i nie sprawdziłam sobie dat aktywności, bo mimo wszystko jestem jedyną widoczną osobą z polskiego środowiska, która ma określony dostęp do istotnych w środowisku malware forów (a nie lokalnych polskich tworów), gdzie się dzieją kluczowe rzeczy, i posiadam więcej informacji na temat aktywności i możliwości określonych jednostek. To prawda, że nie spodziewałam się, iż po chwili aktywności nastąpi jego niezapowiedziana nieobecność (tu na forum) i w tym kontekście czuję się nieswojo. Jednakże muszę stanowczo podkreślić, że podawane tu dane liczenia "ostatnim postem" to manipulacja.

jessika, Do prac nad programem i niepublicznych sekcji nie mają dostępu standardowi użytkownicy, nie są w stanie więc ocenić aktywności. A przy sprzątaniu tematów to każdego można złapać na tym, że omyłkowo pominął temat.

Z Moderatorni: Nie będę jednak ukrywać, że rozmija się to z moimi wyobrażeniami i nie zostałam przygotowana na nieobecność zaraz na wstępie.