picasso

Problemem są m.in. zmodyfikowane skróty LNK, ale jest więcej śmieci i nadal uruchamiają się szkodliwe procesy. Przechodzimy do akcji czyszczenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 pihofyby; C:\Users\Computer\AppData\Roaming\03000200-1425400332-0500-0006-000700080009\jnsfE9D6.tmp [102912 2015-03-03] () [File not signed] R2 gixifiry; C:\Users\Computer\AppData\Roaming\03000200-1425400332-0500-0006-000700080009\nsu9357.tmpfs [X] Task: {3F5FEDE0-5EAC-40C9-98D1-188B7A336EFD} - \Run_Bobby_Browser No Task File Task: {44A26F4B-8FCE-444C-8985-8E04390D40CB} - System32\Tasks\Abelssoft\Updater scan => C:\Program Files (x86)\CHIP Updater\CHIPUpdater.exe Task: {A8542528-27A8-45FE-99A3-86323D638835} - System32\Tasks\{99CAF6A5-4855-4B15-B4AA-887BBAA86CEF} => pcalua.exe -a C:\_Download\wmp11-windowsxp-x86-DE-DE.exe -d C:\_Download Task: {E8A4BF29-7F70-4B39-829E-D116F7EBF7C9} - \gtaUpt No Task File ShortcutWithArgument: C:\Users\Computer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1425396749&from=amt&uid=SamsungXSSDX840XEVOX250GB_S1DBNSAF674590P ShortcutWithArgument: C:\Users\Computer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1425396749&from=amt&uid=SamsungXSSDX840XEVOX250GB_S1DBNSAF674590P ShortcutWithArgument: C:\Users\Computer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1425396749&from=amt&uid=SamsungXSSDX840XEVOX250GB_S1DBNSAF674590P ShortcutWithArgument: C:\Users\Computer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1425396749&from=amt&uid=SamsungXSSDX840XEVOX250GB_S1DBNSAF674590P CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ?type=hppp HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?trackid=sp-006 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ?type=hppp HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3993077788-801993031-1647673089-1000\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-3993077788-801993031-1647673089-1000\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?trackid=sp-006 HKU\S-1-5-21-3993077788-801993031-1647673089-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.com/?trackid=sp-006 SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3993077788-801993031-1647673089-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3993077788-801993031-1647673089-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=SamsungXSSDX840XEVOX250GB_S1DBNSAF674590P&ts=1425396786&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3993077788-801993031-1647673089-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=SamsungXSSDX840XEVOX250GB_S1DBNSAF674590P&ts=1425396786&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3993077788-801993031-1647673089-1000 -> {5E90F9D5-9EAF-4635-AABE-BF5C76212CC9} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=SamsungXSSDX840XEVOX250GB_S1DBNSAF674590P&ts=1425396786&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3993077788-801993031-1647673089-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=SamsungXSSDX840XEVOX250GB_S1DBNSAF674590P&ts=1425396786&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3993077788-801993031-1647673089-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - iexplore.exe StartMenuInternet: FIREFOX.EXE - firefox.exe FF HKLM-x32\...\Firefox\Extensions: [istart_ffnt@gmail.com] - C:\Users\Computer\AppData\Roaming\Mozilla\Firefox\Profiles\w9rjsaln.default\extensions\istart_ffnt@gmail.com C:\Program Files\shopperz C:\Program Files (x86)\Opera C:\Program Files (x86)\Round World C:\ProgramData\{e698de88-2a3a-27c3-e698-8de882a37a20} C:\ProgramData\IHProtectUpDate C:\ProgramData\LolliScan C:\ProgramData\WindowsMangerProtect C:\Users\Computer\KMSnano.exe C:\Users\Computer\AppData\Local\nsi975D.tmp C:\Users\Computer\AppData\Local\nsg3691.tmp C:\Users\Computer\AppData\Local\nsrB43E.tmp C:\Users\Computer\AppData\Roaming\03000200-1425400332-0500-0006-000700080009 C:\Users\Computer\AppData\Roaming\AnyProtectEx C:\Users\Computer\AppData\Roaming\mystartsearch C:\Users\Computer\AppData\Roaming\Opera Software C:\Users\Computer\AppData\Roaming\VOPackage C:\Users\Computer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Jak już zasugerowałam, to nie jest problem infekcji. Błędy wskazują na problem w obszarze .NET Framework 4.x. W systemie prócz natywnie wbudowanych są doinstalowane następujące obiekty: ==================== Installed Programs ====================== Microsoft .NET Framework 4.5.1 (Polski) (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1045) (Version: 4.5.50938 - Microsoft Corporation) Microsoft .NET Framework 4.5.2 (HKLM\...\{92FB6C44-E685-45AD-9B20-CADF4CABA132} - 1033) (Version: 4.5.51209 - Microsoft Corporation) Microsoft ASP.NET MVC 4 Runtime (HKLM\...\{3FE312D5-B862-40CE-8E4E-A6D8ABF62736}) (Version: 4.0.40804.0 - Microsoft Corporation) Microsoft Chart Controls for Microsoft .NET Framework 3.5 (KB2500170) (HKLM\...\{41785C66-90F2-40CE-8CB5-1C94BFC97280}) (Version: 3.5.30730.0 - Microsoft Corporation) Microsoft Visual Studio Tools for Applications 2.0 - ENU (HKLM\...\{AA4A4B2C-0465-3CF8-BA76-27A027D8ACAB}) (Version: 9.0.30729 - Microsoft Corporation) Microsoft Visual Studio Tools for Applications 2.0 Runtime (HKLM\...\{299C0434-4F4E-341F-A916-4E07AEB35E79}) (Version: 9.0.30729 - Microsoft Corporation) Microsoft WSE 3.0 Runtime (HKLM\...\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}) (Version: 3.0.5305.0 - Microsoft Corp.) 1. Na początek spróbuj zastosować Microsoft .NET Framework Repair Tool. Przy braku rezultatów: 2. Odinstaluj przez Panel sterowania wszystkie pozycje zakreślone powyżej. Następnie użyj .NET Framework Cleanup Tool. Po akcji uruchom Windows Update i uzupełnij brakującą instalację .NET Framework 4.x.

Temat przenoszę do działu Windows. To moim zdaniem nie jest problem infekcji. To nadal wskazuje na uszkodzone pliki i jeszcze wychodzi na to, że są uszkodzone pliki EVT Dziennika zdarzeń. Pod kątem Dziennika zdarzeń, operacja sprowadza się do usunięcia plików EVT i ich regeneracji. Akcja wymaga tymczasowego wyłączenia usługi Dziennik zdarzeń, więc są dwa etapy zadania: 1. Otwórz Notatnik i wklej w nim: CMD: sc config Eventlog start= disabled Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Zachowaj wynikowy fixlog.txt. 2. Otwórz Notatnik i wklej w nim: C:\WINDOWS\system32\config\*.evt CMD: sc config Eventlog start= auto Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Powstanie kolejny fixlog.txt. Przedstaw oba pliki fixlog.txt. To z kolei wskazuje na uszkodzone Zmienne środowiskowe. Panel sterowania > System > Zaawansowane > Zmienne środowiskowe > w sekcji Zmienne systemu sprawdź czy widnieje zmienna Path równa: %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem Jeśli w ogóle jej nie ma, opcją Nowa... utwórz. Jeśli jest, ale punktuje inny ciąg, zedytuj. Ale w której konsoli wklepałeś polecenie? Konsola Odzyskiwania uruchomiona z poziomu bootowalnej płyty nie udostępnia tej funkcji. sfc /scannow jest wykonalne tylko z poziomu działającego Windows. Jak rozumiem pożyczyłeś płytę Pro, a jest tu edycja Home. Proponuję inną akcję zamiennie: 1. Ściągnij pakiet SP3: KLIK. Pobrany plik o nazwie WindowsXP-KB936929-SP3-x86-PLK.exe zapisz bezpośrednio na dysku C. 2. Wyekstraktuj pakiet: Start > Uruchom > wklej komendę C:\WindowsXP-KB936929-SP3-x86-PLK.exe /x:C:\SP. Service Pack się rozpakuje do katalogu C:\SP. 3. Uruchom sprawdzanie plików: Start > Uruchom > sfc /scannow > gdy zostniesz poproszony o "płytę" / wskazanie ścieżki, nakieruj narzędzie na folder C:\SP\i386.

Fix wykonany. Kończąc czyszczenie systemu zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Zrób test z tymczasową deinstalacją Avira (tylko to odcina wszystkie czynności, w tym sterowniki programu), bo był jakiś problem z jej uruchomieniem i mogły nastąpić jakieś inne niekorzystne zmiany w składnikach. Podaj czy są zmiany w działaniu systemu.

Fix wykonany. Podejrzany: Kaspersky Internet Security 2012 (zresztą stara wersja). Na próbę go odinstaluj, następnie z poziomu Trybu awaryjnego zastosuj Kaspersky Remover.

Fix wykonany pomyślnie. Czy MBAM cokolwiek znalazł? Czy nadal są problemy z łączeniem stron? Teraz przeprowadź skanowanie za pomocą Hitman Pro i dostarcz wynikowy log.

Czy jest jakiś konkretny powód, bądź zachowanie w systemie wskazujące na pobyt infekcji? W dostarczonych tu raportach brak oznak infekcji, aczkolwiek nie został pokazany GMER.

Prawdopodobnie skasowany obiekt ZeroAccess stawia opór. Zbootuj płytę Kaspersky Rescue Disc. Z desktopu uruchom "File Manager" > Disks > przez SHIFT+DEL (omija "kosze") skasuj odpowiednik ścieżki C:\FRST.

Można sprawdzić ponownie jak się zachowa McAfee po reinstalacji, ale sugeruję porzucić ten trop. Trudno też doradzić zastępstwo, bo aż do momentu instalacji danego pakietu nie jest wiadome jak wpłynie na system. Konfiguracje są unikatowe. Widoczne elementy już korygował skrypt FRST. Będą jeszcze inne poprawki. 1. Otwórz Notatnik i wklej w nim: CHR HomePage: Default -> hxxp://websearch.webisawsome.info/?pid=1249&r=2014/02/22&hid=15417204159028078963&lg=EN&cc=PL&unqvl=49 CHR StartupUrls: Default -> "hxxp://websearch.webisawsome.info/?pid=1249&r=2014/02/22&hid=15417204159028078963&lg=EN&cc=PL&unqvl=49" HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] C:\Program Files (x86)\MyFree Codec C:\Program Files (x86)\WoebsaaVe C:\Program Files (x86)\YoutubeAdblocker C:\ProgramData\26513859ba0f54e0 C:\ProgramData\McAfee C:\ProgramData\WoebsaaVe C:\ProgramData\YoutubeAdblocker Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Prawie wszystko zrobione, z wyjątkiem usuwania kwarantanny FRST. Ponowne podejście: Otwórz Notatnik i wklej w nim: CloseProcesses: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Zaprezentuj wynikowy fixlog.txt.

Plik podstawiłam prawidłowo. SFC nie ma żadnych zastrzeżeń. Wszystko naprawione. Tylko kosmetyka końcowa na wpisy puste i czyszczenie Temp: Otwórz Notatnik i wklej: CloseProcesses: CreateRestorePoint: Task: {BA1AEDDC-BEA3-416D-8DD1-6B3D98C30F2D} - System32\Tasks\{5F724649-A5C8-4BAF-8E04-408EE1F4D744} => pcalua.exe -a F:\ap\Setup.exe -d F:\ap RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Kaspersky Rescue Disk 10.0 CMD: del /q C:\ProgramData\vqtvt8z.bbr CMD: del /q C:\Windows\system32\sfc.txt EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart - zaprezentuj wynikowy fixlog.txt.

1. Panel sterowania > Sieć i internet > Opcje internetowe > Połączenia > Ustawienia sieci LAN > zaznacz pole "Użyj skryptu automatycznej konfiguracji..." i wymaż stamtąd adres hxxp://127.0.0.1:8080/proxy.pac. Następnie przełącz z powrotem na "Automatycznie wykryj ustawienia". 2. Zresetuj system i zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

To proces aktualizatora nVidia. Możemy go wyłączyć. Heh, reset Winsock Protocol miałam zadań w kolejnym podejściu, dotychczas był bowiem naprawiany Winsock NameSpace. I jeszcze poprawki: 1. W związku z uruchamianiem GMER sprawdź transfer dysku. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Otwórz Notatnik i wklej w nim: S2 Bonjour Service; "C:\Program Files\Bonjour\mDNSResponder.exe" [X] Reg: reg delete HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete HKU\S-1-5-21-1177238915-1972579041-2147093213-1002\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete "HKU\S-1-5-21-1177238915-1972579041-2147093213-1002\Software\Microsoft\Internet Explorer\Main" /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Documents and Settings\Administrator\Doctor Web RemoveDirectory: C:\Documents and Settings\Administrator\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\Documents and Settings\All Users\Pulpit\CC Support RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\AVG Web TuneUp CMD: del /q "C:\Documents and Settings\Administrator\Pulpit\o7vrfm37.exe" CMD: sc stop nvUpdatusService CMD: sc config nvUpdatusService start= disabled Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Związku z infekcją nie widzę. Czy na pewno problem nie występował po instalacji Avira? A może po innej instalacji to się ujawniło? To systemowe urządzenie związane z protokołem IPv6, nie powiązane z "Andy" wcale. Na wielu systemach występuje w takim stanie "z wykrzyknikiem". ==================== Faulty Device Manager Devices ============= Name: Teredo Tunneling Pseudo-Interface Description: Karta tunelowania Teredo firmy Microsoft Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: Microsoft Service: tunnel Problem: : This device cannot start. (Code10) Resolution: Device failed to start. Click "Update Driver" to update the drivers for this device. On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Natomiast: nie widziałeś w menedżerze urządzeń VirtualBox? Zadałam usuwanie powiązanych plików i obecnie ujawniły się dwie wybrakowane usługi, czyli coś w Menedżerze być musiało. Pod tym kątem jeszcze drobna poprawka: Otórz Notatnik i wklej w nim: S1 VBoxDrv; system32\DRIVERS\VBoxDrv.sys [X] S1 VBoxUSBMon; system32\DRIVERS\VBoxUSBMon.sys [X] RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

1. AdwCleaner ciągle na dysku wykrywa stary zaśmiecony profil Firefox sprzed resetu. Reset Firefox miał usunąć profil... Skasuj ten cały folder: C:\Users\Fabian\AppData\Roaming\Mozilla\Firefox\Profiles\6odyhuug.default 2. Uruchom AdwCleaner ponownie, wybierz opcje Szukaj + Usuń. Gdy program ukończy czyszczenie: 3. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Doctor Web RemoveDirectory: C:\ProgramData\F-Secure RemoveDirectory: C:\ProgramData\Norton RemoveDirectory: C:\ProgramData\Symantec RemoveDirectory: C:\Users\Fabian\Doctor Web RemoveDirectory: C:\Users\Fabian\AppData\Local\F-Secure CMD: del /q C:\Users\Fabian\Downloads\u7jwwhzh.exe CMD: del /q C:\Users\Jarosław\Desktop\FRST.txt CMD: del /q C:\Users\Jarosław\Desktop\FRST64.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Fix FRST uruchomiłeś dwa razy - skrypty są jednorazowego użytku i nie wolno ich powtarzać. Komenda SFC się nie wykonała - błąd "Funkcja Ochrona zasobów systemu Windows nie może wykonać żądanej operacji". W związku z tym podstawię "na oko" plik, a jeśli system się uruchomi, ponownie uruchomimy SFC, by idealnie skorygował wersjonowanie komponentów. 1. Otwórz Notatnik i wklej w nim: CMD: copy /y C:\Windows\winsxs\amd64_microsoft-windows-winsrv_31bf3856ad364e35_6.1.7601.18043_none_14830bbdb30e2246\winsrv.dll C:\Windows\System32\winsrv.dll Plik zapisz pod nazwą fixlist.txt na pendrive. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Jeśli system się uruchomi, Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. 3. Dostarcz też raporty FRST zrobione spod Windows.

Ten "Browser Guardian" wygląda jak nowa wersja "Discount Dragon". Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {024881A3-6C32-4D08-9331-13DC44798FE5} - System32\Tasks\bench-sys => C:\Program Files (x86)\Bench\Updater\updater.exe [2014-10-14] () Task: {65C41EA5-025B-4D2C-920D-9B02CE552FF4} - System32\Tasks\bench-S-1-5-21-2823627820-2402141718-2385969324-1001 => C:\Program Files (x86)\Bench\Updater\updater.exe [2014-10-14] () Task: C:\WINDOWS\Tasks\bench-S-1-5-21-2823627820-2402141718-2385969324-1001.job => C:\Program Files (x86)\Bench\Updater\updater.exe Task: C:\WINDOWS\Tasks\bench-sys.job => C:\Program Files (x86)\Bench\Updater\updater.exe HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [bService64] => C:\Program Files (x86)\Bench\BService\1.1\bservice64.exe [110592 2014-08-20] () HKLM-x32\...\Run: [Wd] => C:\Program Files (x86)\Bench\Wd\wd.exe [98816 2014-12-02] () HKLM-x32\...\Run: [bench Communicator Watcher] => C:\Program Files (x86)\Bench\Proxy\pwdg.exe [123392 2014-11-12] () HKLM-x32\...\RunOnce: [browser Guardian-repairJob] => wscript.exe "C:\Users\Alessandra\AppData\Local\Browser Guardian\repair.js" "Browser Guardian-repairJob" HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-2823627820-2402141718-2385969324-1001\...\Run: [TornTv Downloader] => C:\Users\Alessandra\AppData\Roaming\TornTV.com\Torntv Downloader.exe /c=startup HKU\S-1-5-21-2823627820-2402141718-2385969324-1001\...\MountPoints2: {1f55b4ea-803f-11e4-be95-645a04aab07f} - "D:\DigitalFrameLite.exe" Startup: C:\Users\Alessandra\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TornTvDownloader.lnk ProxyServer: [s-1-5-21-2823627820-2402141718-2385969324-1001] => http=127.0.0.1:3128 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank BHO: Browser Guardian BHO -> {8EB46C6E-FBA0-4915-841F-48D7EE9EA777} -> C:\Program Files (x86)\Browser Guardian\FrameworkBHO64.dll () BHO-x32: Browser Guardian BHO -> {8EB46C6E-FBA0-4915-841F-48D7EE9EA777} -> C:\Program Files (x86)\Browser Guardian\FrameworkBHO.dll () CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-01-02] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" C:\Program Files (x86)\Bench C:\Users\Alessandra\AppData\Local\Browser Guardian C:\Users\Alessandra\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Alessandra\AppData\Local\proxy.log C:\Users\Alessandra\AppData\Roaming\IPIKMP.exe C:\Users\Alessandra\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Browser Guardian C:\Users\Alessandra\AppData\Roaming\TornTV.com C:\Users\Alessandra\Desktop\blogas\komputerowe cusie\McAfee LiveSafe – Internet Security.lnk C:\Users\Alessandra\Desktop\blogas\komputerowe cusie\Spotify.lnk C:\Users\Alessandra\Desktop\blogas\komputerowe cusie\WildTangent Games App - toshiba.lnk C:\Users\Alessandra\Desktop\drukarka i komp\McAfee Security Scan Plus.lnk C:\Users\Alessandra\Desktop\drukarka i komp\Steam.lnk C:\Users\Alessandra\Documents\Opera.lnk Hosts: CMD: type "C:\Users\Alessandra\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj sponsora Avast SafePrice oraz co tam podejrzanego widać Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Liczne kopie pliku są, ale nie jestem pewna którą podstawić, gdyż na moim systemie jest wersja komponentu nie występująca u Ciebie. Dlatego też na początek wyekzekwuję komendę sfc /scannow. 1. Otwórz Notatnik i wklej w nim: S2 Winmgmt; C:\PROGRA~3\vqtvt8z.faa [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] C:\Users\Art-Pol\AppData\Local\Temp CMD: sfc /scannow /offbootdir=Y:\ /offwindir=C:\Windows Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść na pendrive tam skąd uruchamiasz FRST. Uruchom FRST i kliknij w Fix. Na pendrive powstanie plik fixlog.txt. 2. Jeśli system się uruchomi, dostarcz pełne trzy raporty FRST zrobione spod Windows: KLIK. Dołącz też plik fixlog.txt.

Jeśli nikt jeszcze nie odpisał, a chcesz uzupełnić post, proszę stosuj funkcę Edytuj. Posty skleiłam. Zadania nareszcie wykonane. Tylko drobne poprawki zostały: Otwórz Notatnik i wklej w nim: BootExecute: autocheck autochk * sdnclean64.exe Handler: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - No File Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - No File RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\Windows\system32\log RemoveDirectory: C:\Windows\System32\Tasks\Safer-Networking DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking CMD: del /q C:\Users\dell\Downloads\7re4foq6.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W C:\Users\dell\Downloads powstanie kolejny plik fixlog.txt. Przedstaw ten plik. Nowe logi FRST nie są już potrzebne. Google Chrome ma technikę separacji kart do osobnych procesów. Konstrukcja ta ma na celu zapobiec zawieszeniu całej przeglądarki przy awarii jednej z kart. Im więcej kart, tym więcej procesów. Przykład z mojego systemu: przy jednej otworzonej karcie mam już 4 procesy chrome.

Jak to DelFix skasował antywirusa?! I DelFix miał usunąć folder C:\FRST. Pokaż proszę raport z narzędzia, czyli plik C:\DelFix.txt. Nie uruchamiaj DelFix ponownie, gdyż nadpisze poprzedni raport.

Program nie został odinstalowany, siłowe usuwanie jego komponentów z folderu to nie był dobry pomysł - to tylko pogrążyło sprawę. Pytałam co się dzieje podczas próby uruchomienia tego pliku: C:\Users\Joanna\Start Menu\Programs\SpyHunter\Uninstall.lnk Klawisz z flagą Windows + X > Uruchom > wklej tę ścieżkę i podaj co się pokazuje.

Zasady działu nie przeczytane: KLIK. Tu jest zakaz podpinania się pod cudze tematy - wydzielone w osobny. Zestaw obowiązkowych logów niekompletny - brak FRST Shortcut oraz GMER. Uzupełnij te dwa raporty.

Uwagi na temat (nie)dostarczonych materiałów: - Obrazka nie możesz dołączyć, bo plik jest w zabronionym tu nieskompresowanym formacie BMP. Zapisz plik np. jako PNG, a dołączy się bez problemu. - Log FRST Addition jest urwany. Nadal brakuje trzeciego obowiązkowego raportu FRST Shortcut. Ponadto, nazwy logów FRST wskazują, że je wyciągasz z katalogu C:\FRST\Logs - to jest archiwum starych logów, tam się nie grzebie, o ile nie będzie potrzebne porównanie starego raportu. Bieżące logi powstają tam skąd uruchamiano FRST, czyli w tym przypadku katalog Downloads / Pobrane. - ComboFix niestety już uruchomiłeś, dlaczego skoro mówiłam by tego nie robić? Dostarcz plik C:\ComboFix.txt, by było wiadome co program robił. Proszę o nowy zestaw raportów FRST - cały Addition i brakujący Shortcut.

Problemem jest brak tego pliku systemowego: C:\Windows\System32\winsrv.dll IS MISSING Poza tym, jest tu uszkodzona usługa Instrumentacji Windows Winmgmt - niepoprawnie wyczyszczono infekcję "policyjną". Na początek poproszę o spis ewentualnych kopii brakującego pliku: Uruchom FRST, w polu Search wklep winsrv.dll i klik w Search Files. Dostarcz wynikowy log.

cineq22, przecież nadal nie dołączyłeś obowiązkowego zestawu raportów. Konsekwentnie podajesz tylko główny raport FRST.txt, nadal brakuje plików FRST Addition i Shortcut. Wracaj do instrukcji tworzenia raportu FRST, popatrz na obrazek co ma być zaznaczone i dostarcz w końcu o co proszę: KLIK.