picasso

Jeśli nie mam koncepcji ani czasu na przemyślenie sprawy, to nie udzielam odpowiedzi. Z poprzednich skanów nic nie wynika. Sprawdź jeszcze integralność plików systemowych: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj.

Podany tu log CheckSur nie wygląda na cały - brak sekcji "Summary". I poproszę o skopiowanie na Pulpit całego folderu C:\Windows\Logs\CBS, spakowanie do ZIP i shostowanie gdzieś do wglądu.

Zadania czyszczące zostały wykonane, więc możesz zakończyć te wątki. Na pozostały problem z długim startem przeglądarki nie mam pomysłu.

Są tu następujące punkty Przywracania systemu: ==================== Restore Points ========================= 25-02-2015 17:22:53 Zaplanowany punkt kontrolny 03-03-2015 12:47:56 Instalator modułów systemu Windows Czy 25 lutego występowały wszystkie omawiane tu problemy? Jeśli nie, zbootuj do środowiska zewmętrznego RE i uruchom Przywracanie do tego punktu.

DelFix wykonał co należy. Usuń z dysku plik C:\DelFix.txt. Z raportów nic nie wynika. Sprawdź jeszcze czy problemy występują na czystym rozruchu: KLIK.

kerpal, proszę nie rób tych podbitek pytajnikami, to jest spam i grozi to zamknięciem tematu. Post poleciał do kosza. Są tu uszkodzenia różnego pochodzenia: 1. Grupa uszkodzeń fde.dll + fdeploy.dll + gptext.dll + gpedit.dll wyprodukowana ręcznie Twoją ręką. To skutek instalacji tego badziewia, które podmienia oryginalne pliki innymi kopiami: gpedt.msc 1.0 (HKLM-x32\...\{10B9C608-BF7C-4CCF-A658-C01D969DCA21}_is1) (Version: - Richard) Ta grupa nie jest powiązana z innymi defektami. Odinstaluj to, teoretycznie powinny zostać przywrócone oryginały (tylko tych które wiążą się z gpedit). I nie próbuj już nigdy instalować "gpedit dla Home". To w ogóle nie działa i nie zmusisz edycji Home do obsługi czegoś do czego nie ma predyspozycji. Do czytania dlaczego jest to instalacja pozorowana: KLIK. 2. Reszta uszkodzeń wygląda już na pochodną błędów struktury dysku lub podobnych. Uszkodzonych plików jest więcej niż zakreślone. W grupie uszkodzeń są też manifesty i to prędzej jest kluczowe dla określonych dysfunkcji. Pod tym kątem uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. Gdy narzędzie ukończy skan, zaprezentuj plik C:\Windows\Logs\CBS\CheckSur.log. 2015-02-28 17:38:32, Info CSI 0000036e [sR] Cannot verify component files for 193559080290a87ac7702755c391fa7e, Version = 11.2.9600.17358, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral, manifest is damaged (TRUE) 2015-02-28 17:38:32, Info CSI 00000371 [sR] Cannot verify component files for 60d484ac4a4ecfdf120c5caf3caf4891, Version = 11.2.9600.17358, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral, manifest is damaged (TRUE) 2015-02-28 17:38:32, Info CSI 00000374 [sR] Cannot verify component files for 757f8d19b0b09a305f93c68de2c67f47, Version = 11.2.9600.17358, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral, manifest is damaged (TRUE) 2015-02-28 17:38:32, Info CSI 00000377 [sR] Cannot verify component files for 86956e9db0675f5fbd46a82fa94ef556, Version = 11.2.9600.17358, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral, manifest is damaged (TRUE) 2015-02-28 17:38:32, Info CSI 0000037a [sR] Cannot verify component files for a3198de60bf30c4608c673c45b85c6e5, Version = 11.2.9600.17358, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral, manifest is damaged (TRUE) Na razie pomijam pozostałe uszkodzenia, bo to wymaga ręcznej podmiany plików przy udziale identycznych kopii z mojego systemu. 2015-02-28 17:38:32, Info CSI 0000037c [sR] Cannot repair member file [l:38{19}]"diagtrackrunner.exe" of Microsoft-Windows-Application-Experience-Inventory, Version = 6.1.7601.18742, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-02-28 17:38:32, Info CSI 0000037e [sR] Cannot repair member file [l:30{15}]"inetcpl.cpl.mui" of Microsoft-Windows-IE-InternetControlPanel.Resources, Version = 11.2.9600.17633, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture = [l:10{5}]"en-US", VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-02-28 17:38:32, Info CSI 00000380 [sR] Cannot repair member file [l:16{8}]"mfps.dll" of Microsoft-Windows-MediaFoundation, Version = 6.1.7601.18640, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch Problem główny nie został rozwiązany wtedy. W poprzednim temacie zakreśliłam konkretne błędy z Dziennika zdarzeń mówiące: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Założyłeś tu nowy temat i co widać w Dzienniku zdarzeń? Te same błędy, konsekwentnie generowane na nowo. I proszę odczep się od wirusów. Błędy w Dzienniku zdarzeń mówią o uszkodzeniach struktury plików. Te wszystkie problemy z poprzedniego i aktualnego tematu krążą wokół tego samego (= uszkadzania plików) i wyglądają na skutki uboczne wad struktury plików. Podłoże tej usterki jest dla mnie nieznane, ale koncepcja wirusów to nie tu. Podałam w poprzednim temacie, by dokonać identyfikacji:

MBAM znalazł szczątki adware. DelFix wykonał zadanie. Skasuj z dysku plik C:\DelFix.txt. 1. Tu było adware, więc na początek przeczytaj czego unikać, bo są pewne rzeczy przed którymi nie uchroni żaden program zabezpieczający: KLIK. 2. Jeśli chodzi o instalowane dodatkowego oprogramowania zabezpieczającego, to antywirusa (Avast) już posiadasz i nie mam tu zastrzeżeń. Dodatkowe rozwiązania: Malwarebytes Anti-Exploit (w wersji darmowej ochrona przeglądarek oraz Java przed eksploitami / atakami), Online Armor (firewall, w wersji darmowej limitowana funkcjonalność), SandBoxie (wirtualne środowisko).

1. Uruchom AdwCleaner, tym razem wybierz dwie opcje pod rząd: Szukaj + Usuń. Gdy program ukończy czyszczenie adware: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj fixlog.txt.

Brak oznak infekcji oraz jawnych tropów, system był formatowany, toteż przenoszę do działu Hadware na diagnostykę. Co dostarczyć: KLIK.

Tak, chodzi o HitmanPro 3.7. Pozostałe to inne programy. I pytam ponownie czy to nadal występuje: "co do kasperskiego to: "Strona internetowa jest niedostępna"".

AvastSafe Price był poprzednio, obecnie go rzeczywiście brak. Widocznie usunięcie reinstalatora na poziomie rejestru (aswWebRepChromeSp.crx) zlikwidowało rozszerzenie. Wszystko wykonane. Teraz: Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.

Proszę trzymaj się zasad działu na temat formatowania szkodliwych linków - muszą być podane w formie nieaktywnej. Skorygowałam je. Nic w raportach oczywistego nie widać, poza jednym adresem startowym adware binkiland.com w Chrome. Aczkolwiek podejrzenia budzą poniższe niedawno instalowane rozszerzenia typu "download helper". Proszę porównaj z tym tematem: KLIK. W nim również był "Video download helper", tylko pod innym identyfikatorem, i to on produkował przekierowania. CHR Extension: (Video Download Helper) - C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfmncdagnglibjiglbmchedcmainibbh [2015-02-25] CHR Extension: (Download Helper) - C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Extensions\fkjlohfdjcjhmfcabomglnciodlnplhk [2015-02-25] CHR Extension: (Video download helper) - C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Extensions\mnkioblodjcgkdailhejgcocjkkoochj [2015-02-26] Na razie te działania do wykonania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR StartupUrls: Default -> "hxxp://binkiland.com/?f=7&a=bnk_ir_15_09&cd=2XzuyEtN2Y1L1QzuzytDyEzzzy0A0Bzyzy0A0D0DtByEzz0DtN0D0Tzu0StCtCyEzytN1L2XzutAtFyBtFyBtFtCtDtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StCtBtDyBzz0AzzyBtGzy0Bzy0EtG0AtA0ByCtG0B0FyCtBtGyDtDyC0C0FzytC0C0E0E0F0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2StByD0B0AyBtBtCyCtG0A0FyCyCtGyEtA0EzztGzyzztAtBtGzyyEyE0B0AzztB0D0EtDyD0C2Q&cr=200918247&ir=" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com StartMenuInternet: IEXPLORE.EXE - iexplore.exe StartMenuInternet: Google Chrome - chrome.exe Task: {24FF4938-41E6-4788-87C7-70A7B668BB2A} - System32\Tasks\{EF8CFFBE-8839-4E8E-832A-AC8273427129} => pcalua.exe -a C:\Users\Dorota\Downloads\flash-disinfector-.exe -d C:\Users\Dorota\Downloads C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\JvUiYLchmoo C:\ProgramData\Mozilla C:\Users\Dorota\AppData\Local\dsi1.dat C:\Users\Dorota\AppData\Local\dsi2.dat C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Dorota\AppData\Local\Mozilla C:\Users\Dorota\AppData\Roaming\Mozilla C:\Windows\system32\log RemoveDirectory: C:\Users\Dorota\Desktop\Stare dane programu Firefox Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > wyłącz wszystkie "Download Helpery". Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany.

Uruchomienie ComboFix naprawdę było zbędne - i jeszcze zdaje się, że ComboFix wyrzucił za dużo, cały folder C:\Windows\$msi31uninstall_kb893803v2$ poleciał z dysku. Ten folder wygląda na deinstalator Instalatora Windows. Temat zostaje przeniesiony do innego działu. Jawnej infekcji tu nie widzę, ale są jakieś polityki Google blokujące coś w przeglądarce. Dodatkowo: jest tu Asprate Tibia IP Changer - skąd on był pobierany? Są wersje tego changera będące keyloggerami. Na razie do wykonania te akcje: 1. Odistaluj stare dziurawe wersje Adobe Flash Player 10 Plugin, Adobe Flash Player 15 ActiveX, Java™ 6 Update 14. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1606980848-789336058-682003330-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1606980848-789336058-682003330-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKU\S-1-5-21-1606980848-789336058-682003330-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1606980848-789336058-682003330-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1404977115&from=tt4u&uid=SAMSUNGXSP6003H_0594J1FW206897&q={searchTerms} CustomCLSID: HKU\S-1-5-21-1606980848-789336058-682003330-1003_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-1606980848-789336058-682003330-1003_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-1606980848-789336058-682003330-1003_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll No File S2 NvNetworkService; "C:\Program Files\NVIDIA Corporation\NetService\NvNetworkService.exe" [X] S3 catchme; \??\C:\DOCUME~1\xXx\USTAWI~1\Temp\catchme.sys [X] S3 cpuz137; \??\C:\DOCUME~1\xXx\USTAWI~1\Temp\cpuz137\cpuz137_x32.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 XDva410; \??\C:\WINDOWS\system32\XDva410.sys [X] S3 XDva412; \??\C:\WINDOWS\system32\XDva412.sys [X] S3 XDva415; \??\C:\WINDOWS\system32\XDva415.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Menu Start\Programy\Lavalys C:\Documents and Settings\All Users\Menu Start\Programy\NVIDIA Corporation C:\Documents and Settings\xXx\Menu Start\Programs\Quake III Arena Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zastosuj narzędzie Google Software removal tool - wykonuje m.in. reset przeglądarki. 4. Posiadasz Google Chrome 40.0.2214.115. Jest nowsza wersja i ją zainstaluj: KLIK. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany.

Problem jest w tym, że jest to bardzo inwazyjny wirus, niszczy pliki wykonywalne na wszystkich partycjach. Leczenie z wirusa nawet po jego "zdeaktywowaniu" i tak się może równać formatowi (i jest to akcja ściśle zalecana), gdyż skutkiem czyszczenia plików z kodu wirusa są uszkodzenia plików o trudnym do przewidzenia zakresie. O ile uszkodzone programy można przeinstalować, to już z plikami Windows nie tak łatwo. Nie opłaca się czyścić systemu, który był formatowany ledwie w zeszłym miesiącu, i tak nie uzyska pierwotnej sprawności. Druga sprawa: robiłeś już kilka formatów, problem wraca = masz gdzieś zalążek wirusa i po formacie nie będąc świadomym uruchamiasz zawirusowany plik, który inicjuje infekcję od początku. Nadal rozglądaj się za płytą instalacyjną XP. W międzyczasie zadam instrukcje czyszczenia, ale od razu zastrzegam, że to nie daje gwarancji, a uszkodzeń w plikach Windows nie będę w stanie ani sprawdzić dokładnie (tysiące plików), ani ich naprawić bez udziału płyty instacyjnej XP. Działania wstępne: 1. Uruchom SalityKiller. Wykonaj nim skan do skutku - tyle razy uruchamiany, aż otrzymasz zwrot zero zaifekowanych. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S0 PxHelp20; System32\Drivers\PxHelp20.sys [X] HKU\S-1-5-21-1645522239-1958367476-839522115-1004\...\Run: [Free Hide IP] => C:\Program Files\FreeHideIP\FreeHideIP.exe HKU\S-1-5-21-1645522239-1958367476-839522115-1004\...\Run: [MyIPHide] => "C:\Program Files\Didsoft\My IP Hide\MIH.exe" Startup: C:\Documents and Settings\dzimek\Menu Start\Programy\Autostart\abp.lnk Startup: C:\Documents and Settings\dzimek\Menu Start\Programy\Autostart\OptimizerPro.lnk ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File BootExecute: autocheck autochk * aswBoot.exe /M:1109091d /dir:"C:\Program Files\AVAST Software\Avast" AlternateShell: ProxyServer: [s-1-5-21-1645522239-1958367476-839522115-1004] => 182.93.224.126:8080 HKU\S-1-5-21-1645522239-1958367476-839522115-1004\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220150223 C:\dmgp.pif C:\Documents and Settings\All Users\Dane aplikacji\{ea842ecf-8546-dfa8-ea84-42ecf854bb3e} C:\Documents and Settings\All Users\Dane aplikacji\edd61d10000031db C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\FreeHideIP C:\Documents and Settings\All Users\Dane aplikacji\Panda Security C:\Documents and Settings\All Users\Dane aplikacji\Skype C:\Documents and Settings\dzimek\Dane aplikacji\FreeHideIP C:\Documents and Settings\dzimek\Dane aplikacji\Innovative Solutions C:\Documents and Settings\dzimek\Dane aplikacji\My-Proxy C:\Documents and Settings\dzimek\Dane aplikacji\RHEng C:\Documents and Settings\dzimek\Dane aplikacji\Panda Security C:\Documents and Settings\dzimek\Dane aplikacji\uTorrent C:\Documents and Settings\dzimek\Pulpit\abp.lnk C:\Documents and Settings\dzimek\Ustawienia lokalne\Dane aplikacji\Innovative Solutions C:\WINDOWS\system32\CONFIG.TMP Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /ve /t REG_SZ /d @SYS:DoesNotExist /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} /v LowerFilters /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} /v UpperFilters /f CMD: netsh firewall reset CMD: dir /a C:\ CMD: dir /a D:\ CMD: dir /a E:\ EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Odinstaluj stary Adobe Flash Player 10 ActiveX. Następnie wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition + Shortcut, oraz GMER. Dołącz też plik fixlog.txt. Wszystkie pliki mają być w postaci załączników forum.

Zestaw raportów niekompletny - brak FRST Shortcut i GMER. Raporty umieszczone na serwisach zewnętrznych zamiast załączników forum. Ale to na razie sobie daruj. Temat przenoszę do działu diagnostyki infekcji. W systemie grasuje wirus Sality infekujący wszystkie wykonywalne na wszystkich dyskach. R3 amsint32; \??\C:\WINDOWS\system32\drivers\khrnq.sys [X] 2015-03-04 19:43 - 2015-03-04 19:44 - 00103140 ____C () C:\dmgp.pif Robiłeś już "3-4 formaty", do wykonania kolejny, tym razem porządnie i zgodnie z zasadami bezpieczeństwa przy wirusie Sality. Format może być nieskuteczny jeśli formatujesz tylko partycję C i robisz jakąś kopię zapasową instalek lub posiadasz zainfekowany pendrive, bądź inne urządzenie przenośne. Wirus Sality atakuje wszystkie dostępne dyski, tu są dwa z 3 partycjami: ==================== Drives ================================ Drive c: () (Fixed) (Total:9.77 GB) (Free:0.85 GB) NTFS ==>[Drive with boot components (Windows XP)] Drive d: (ENDRIU) (Fixed) (Total:7.45 GB) (Free:1.93 GB) FAT32 Drive e: () (Fixed) (Total:8.87 GB) (Free:8.69 GB) NTFS ==================== MBR & Partition Table ================== ======================================================== Disk: 0 (Size: 18.6 GB) (Disk ID: 8A5C8A5C) Partition 1: (Active) - (Size=9.8 GB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=8.9 GB) - (Type=OF Extended) ======================================================== Disk: 1 (Size: 7.5 GB) (Disk ID: 4E32EA25) Partition 1: (Not Active) - (Size=7.5 GB) - (Type=0B) ==================== End Of Log ============================

Podaj dodatkowe skany. Do Notatnika wklej: ListPermissions: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings ListPermissions: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Connections Reg: reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings" /s Reg: reg query "HKCU\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings" /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

1. Uruchom AdwCleaner ponownie, tym razem zastosuj kombinację Szukaj + Usuń. Gdy program ukończy czyszczenie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Computer\Desktop\Alte Firefox-Daten Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Źle zrozumiałam. Tak, NIS może źle reagować. Pobierz przy wyłączonym NIS, uruchom czyszczenie w programie i dostarcz log wynikowy.

Mnie się wydaje, że to jest jakiś problem po stronie Microsoftu. Dużo osób zgłasza podobną sprawę. Proponuję zastąpić ten gadżet innym o podobnej funkcji. Lista gażetów: Weather Gadgets.

Wszystko pomyślnie wykonane i podstawowy problem powinien być już rozwiązany. Ale jeszcze nie kończymy. Teraz: Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) - opcje prawdopodobnie będą po niemiecku zgodnie z Twoim systemowym locale. Dostarcz log z folderu C:\AdwCleaner.

Może to problem z .NET Framework. Sprawdź czy coś wniesie do sprawy zastosowanie Microsoft .NET Framework Repair Tool.

Zapomniałeś dołączyć plik C:\_Download\Fixlog.txt.

Akcja wykonana. Na koniec: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Nie jest to problem infekcji, a z podanych raportów nic nie wynika. Temat przenoszę do działu Sieci. Raporty obowiązujące w dziale: KLIK. Kto inne prawdopodobnie się tym zajmie, to nie jest moja specjalizacja.

Tak, zastosuj remover z poziomu Trybu awaryjnego.