picasso

Od kiedy występująte przekierowania? Na razie wykonaj co zadane i zobaczymy.

Brak oznak infekcji. Temat przenoszę do działu Sieci. Zasady działu: KLIK. PS. W Dzienniku zdarzeń błędy uszkodzonej struktury plików: System errors: ============= Error: (03/04/2015 10:03:27 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie \Device\HarddiskVolume1.

Potrzebuję nakreślenie tła, a skoro chodzi o jakieś prywatne sprawy, to oczywiście PW zdaje się odpowiednią metodą. Poza tym, sprecyzuj czy obecnie występują jakieś konkretne problemy.

Proszę nie omijać zasad działu i dostarczyć pozostałe obowiązkowe raporty: KLIK.

Ujmij ścieżkę w cudzysłów: "C:\Users\Joanna\Start Menu\Programs\SpyHunter\Uninstall.lnk"

Cleaning (= czyszczenie, usuwanie). Uninstall to przecież deinstalacja.

Kończymy: Skasuj pobrane skanery z folderu C:\_Download. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Zadanie wykonane. Na wszelki wypadek zrób jeszcze skan za pomocą Malwarebytes Anti-Malware. O ile coś wykryje, dostarcz raport.

Nie wiem o co chodzi, skoro nie były wykonywane żadne ingerencje (usuwanie czegokolwiek). To wygląda na zbieg okoliczności. Podtrzymuję, byś dostarczył dane sprzętowe. Skoro był uruchamiany GMER, to na wszelki wypadek sprawdź transfer dysku. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

Co masz na myśli z niedziałającą stroną? Strona modelu ze skanerem oprogramowania się otwiera: KLIK. A ten sterownik który podałam nadal aktualny, dokładnie ten sam jest listowany dla Twojego modelu: KLIK

Ogólny aktualizator Intela nie nadaje się, jest tu dostosowany wariant HP. Nie podałeś konkretnie HP Pavilion dv6-?, ale wersja sterowników wyglądająca na pasującą do Twojego układu to: Sterownik karty graficznej AMD High-Definition Na stronie HP jest też dostępne ogólne narzędzie do automatycznego wyszukiwania aktualizacji.

1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. System do aktualizacji, obecny stan (brak SP1, IE11 i reszty): Platform: Windows 7 Ultimate (X64) OS Language: Polski (Polska) Internet Explorer Version 8 (Default browser: IE)

Jeśli nie mam koncepcji ani czasu na przemyślenie sprawy, to nie udzielam odpowiedzi. Z poprzednich skanów nic nie wynika. Sprawdź jeszcze integralność plików systemowych: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj.

Podany tu log CheckSur nie wygląda na cały - brak sekcji "Summary". I poproszę o skopiowanie na Pulpit całego folderu C:\Windows\Logs\CBS, spakowanie do ZIP i shostowanie gdzieś do wglądu.

Zadania czyszczące zostały wykonane, więc możesz zakończyć te wątki. Na pozostały problem z długim startem przeglądarki nie mam pomysłu.

Są tu następujące punkty Przywracania systemu: ==================== Restore Points ========================= 25-02-2015 17:22:53 Zaplanowany punkt kontrolny 03-03-2015 12:47:56 Instalator modułów systemu Windows Czy 25 lutego występowały wszystkie omawiane tu problemy? Jeśli nie, zbootuj do środowiska zewmętrznego RE i uruchom Przywracanie do tego punktu.

DelFix wykonał co należy. Usuń z dysku plik C:\DelFix.txt. Z raportów nic nie wynika. Sprawdź jeszcze czy problemy występują na czystym rozruchu: KLIK.

kerpal, proszę nie rób tych podbitek pytajnikami, to jest spam i grozi to zamknięciem tematu. Post poleciał do kosza. Są tu uszkodzenia różnego pochodzenia: 1. Grupa uszkodzeń fde.dll + fdeploy.dll + gptext.dll + gpedit.dll wyprodukowana ręcznie Twoją ręką. To skutek instalacji tego badziewia, które podmienia oryginalne pliki innymi kopiami: gpedt.msc 1.0 (HKLM-x32\...\{10B9C608-BF7C-4CCF-A658-C01D969DCA21}_is1) (Version: - Richard) Ta grupa nie jest powiązana z innymi defektami. Odinstaluj to, teoretycznie powinny zostać przywrócone oryginały (tylko tych które wiążą się z gpedit). I nie próbuj już nigdy instalować "gpedit dla Home". To w ogóle nie działa i nie zmusisz edycji Home do obsługi czegoś do czego nie ma predyspozycji. Do czytania dlaczego jest to instalacja pozorowana: KLIK. 2. Reszta uszkodzeń wygląda już na pochodną błędów struktury dysku lub podobnych. Uszkodzonych plików jest więcej niż zakreślone. W grupie uszkodzeń są też manifesty i to prędzej jest kluczowe dla określonych dysfunkcji. Pod tym kątem uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. Gdy narzędzie ukończy skan, zaprezentuj plik C:\Windows\Logs\CBS\CheckSur.log. 2015-02-28 17:38:32, Info CSI 0000036e [sR] Cannot verify component files for 193559080290a87ac7702755c391fa7e, Version = 11.2.9600.17358, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral, manifest is damaged (TRUE) 2015-02-28 17:38:32, Info CSI 00000371 [sR] Cannot verify component files for 60d484ac4a4ecfdf120c5caf3caf4891, Version = 11.2.9600.17358, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral, manifest is damaged (TRUE) 2015-02-28 17:38:32, Info CSI 00000374 [sR] Cannot verify component files for 757f8d19b0b09a305f93c68de2c67f47, Version = 11.2.9600.17358, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral, manifest is damaged (TRUE) 2015-02-28 17:38:32, Info CSI 00000377 [sR] Cannot verify component files for 86956e9db0675f5fbd46a82fa94ef556, Version = 11.2.9600.17358, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral, manifest is damaged (TRUE) 2015-02-28 17:38:32, Info CSI 0000037a [sR] Cannot verify component files for a3198de60bf30c4608c673c45b85c6e5, Version = 11.2.9600.17358, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral, manifest is damaged (TRUE) Na razie pomijam pozostałe uszkodzenia, bo to wymaga ręcznej podmiany plików przy udziale identycznych kopii z mojego systemu. 2015-02-28 17:38:32, Info CSI 0000037c [sR] Cannot repair member file [l:38{19}]"diagtrackrunner.exe" of Microsoft-Windows-Application-Experience-Inventory, Version = 6.1.7601.18742, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-02-28 17:38:32, Info CSI 0000037e [sR] Cannot repair member file [l:30{15}]"inetcpl.cpl.mui" of Microsoft-Windows-IE-InternetControlPanel.Resources, Version = 11.2.9600.17633, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture = [l:10{5}]"en-US", VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-02-28 17:38:32, Info CSI 00000380 [sR] Cannot repair member file [l:16{8}]"mfps.dll" of Microsoft-Windows-MediaFoundation, Version = 6.1.7601.18640, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch Problem główny nie został rozwiązany wtedy. W poprzednim temacie zakreśliłam konkretne błędy z Dziennika zdarzeń mówiące: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Założyłeś tu nowy temat i co widać w Dzienniku zdarzeń? Te same błędy, konsekwentnie generowane na nowo. I proszę odczep się od wirusów. Błędy w Dzienniku zdarzeń mówią o uszkodzeniach struktury plików. Te wszystkie problemy z poprzedniego i aktualnego tematu krążą wokół tego samego (= uszkadzania plików) i wyglądają na skutki uboczne wad struktury plików. Podłoże tej usterki jest dla mnie nieznane, ale koncepcja wirusów to nie tu. Podałam w poprzednim temacie, by dokonać identyfikacji:

MBAM znalazł szczątki adware. DelFix wykonał zadanie. Skasuj z dysku plik C:\DelFix.txt. 1. Tu było adware, więc na początek przeczytaj czego unikać, bo są pewne rzeczy przed którymi nie uchroni żaden program zabezpieczający: KLIK. 2. Jeśli chodzi o instalowane dodatkowego oprogramowania zabezpieczającego, to antywirusa (Avast) już posiadasz i nie mam tu zastrzeżeń. Dodatkowe rozwiązania: Malwarebytes Anti-Exploit (w wersji darmowej ochrona przeglądarek oraz Java przed eksploitami / atakami), Online Armor (firewall, w wersji darmowej limitowana funkcjonalność), SandBoxie (wirtualne środowisko).

1. Uruchom AdwCleaner, tym razem wybierz dwie opcje pod rząd: Szukaj + Usuń. Gdy program ukończy czyszczenie adware: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj fixlog.txt.

Brak oznak infekcji oraz jawnych tropów, system był formatowany, toteż przenoszę do działu Hadware na diagnostykę. Co dostarczyć: KLIK.

Tak, chodzi o HitmanPro 3.7. Pozostałe to inne programy. I pytam ponownie czy to nadal występuje: "co do kasperskiego to: "Strona internetowa jest niedostępna"".

AvastSafe Price był poprzednio, obecnie go rzeczywiście brak. Widocznie usunięcie reinstalatora na poziomie rejestru (aswWebRepChromeSp.crx) zlikwidowało rozszerzenie. Wszystko wykonane. Teraz: Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.

Proszę trzymaj się zasad działu na temat formatowania szkodliwych linków - muszą być podane w formie nieaktywnej. Skorygowałam je. Nic w raportach oczywistego nie widać, poza jednym adresem startowym adware binkiland.com w Chrome. Aczkolwiek podejrzenia budzą poniższe niedawno instalowane rozszerzenia typu "download helper". Proszę porównaj z tym tematem: KLIK. W nim również był "Video download helper", tylko pod innym identyfikatorem, i to on produkował przekierowania. CHR Extension: (Video Download Helper) - C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfmncdagnglibjiglbmchedcmainibbh [2015-02-25] CHR Extension: (Download Helper) - C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Extensions\fkjlohfdjcjhmfcabomglnciodlnplhk [2015-02-25] CHR Extension: (Video download helper) - C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Extensions\mnkioblodjcgkdailhejgcocjkkoochj [2015-02-26] Na razie te działania do wykonania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR StartupUrls: Default -> "hxxp://binkiland.com/?f=7&a=bnk_ir_15_09&cd=2XzuyEtN2Y1L1QzuzytDyEzzzy0A0Bzyzy0A0D0DtByEzz0DtN0D0Tzu0StCtCyEzytN1L2XzutAtFyBtFyBtFtCtDtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StCtBtDyBzz0AzzyBtGzy0Bzy0EtG0AtA0ByCtG0B0FyCtBtGyDtDyC0C0FzytC0C0E0E0F0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2StByD0B0AyBtBtCyCtG0A0FyCyCtGyEtA0EzztGzyzztAtBtGzyyEyE0B0AzztB0D0EtDyD0C2Q&cr=200918247&ir=" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com StartMenuInternet: IEXPLORE.EXE - iexplore.exe StartMenuInternet: Google Chrome - chrome.exe Task: {24FF4938-41E6-4788-87C7-70A7B668BB2A} - System32\Tasks\{EF8CFFBE-8839-4E8E-832A-AC8273427129} => pcalua.exe -a C:\Users\Dorota\Downloads\flash-disinfector-.exe -d C:\Users\Dorota\Downloads C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\JvUiYLchmoo C:\ProgramData\Mozilla C:\Users\Dorota\AppData\Local\dsi1.dat C:\Users\Dorota\AppData\Local\dsi2.dat C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Dorota\AppData\Local\Mozilla C:\Users\Dorota\AppData\Roaming\Mozilla C:\Windows\system32\log RemoveDirectory: C:\Users\Dorota\Desktop\Stare dane programu Firefox Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > wyłącz wszystkie "Download Helpery". Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany.

Uruchomienie ComboFix naprawdę było zbędne - i jeszcze zdaje się, że ComboFix wyrzucił za dużo, cały folder C:\Windows\$msi31uninstall_kb893803v2$ poleciał z dysku. Ten folder wygląda na deinstalator Instalatora Windows. Temat zostaje przeniesiony do innego działu. Jawnej infekcji tu nie widzę, ale są jakieś polityki Google blokujące coś w przeglądarce. Dodatkowo: jest tu Asprate Tibia IP Changer - skąd on był pobierany? Są wersje tego changera będące keyloggerami. Na razie do wykonania te akcje: 1. Odistaluj stare dziurawe wersje Adobe Flash Player 10 Plugin, Adobe Flash Player 15 ActiveX, Java™ 6 Update 14. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1606980848-789336058-682003330-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1606980848-789336058-682003330-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKU\S-1-5-21-1606980848-789336058-682003330-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1606980848-789336058-682003330-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1404977115&from=tt4u&uid=SAMSUNGXSP6003H_0594J1FW206897&q={searchTerms} CustomCLSID: HKU\S-1-5-21-1606980848-789336058-682003330-1003_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-1606980848-789336058-682003330-1003_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-1606980848-789336058-682003330-1003_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll No File S2 NvNetworkService; "C:\Program Files\NVIDIA Corporation\NetService\NvNetworkService.exe" [X] S3 catchme; \??\C:\DOCUME~1\xXx\USTAWI~1\Temp\catchme.sys [X] S3 cpuz137; \??\C:\DOCUME~1\xXx\USTAWI~1\Temp\cpuz137\cpuz137_x32.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 XDva410; \??\C:\WINDOWS\system32\XDva410.sys [X] S3 XDva412; \??\C:\WINDOWS\system32\XDva412.sys [X] S3 XDva415; \??\C:\WINDOWS\system32\XDva415.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Menu Start\Programy\Lavalys C:\Documents and Settings\All Users\Menu Start\Programy\NVIDIA Corporation C:\Documents and Settings\xXx\Menu Start\Programs\Quake III Arena Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zastosuj narzędzie Google Software removal tool - wykonuje m.in. reset przeglądarki. 4. Posiadasz Google Chrome 40.0.2214.115. Jest nowsza wersja i ją zainstaluj: KLIK. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany.