picasso

Tak, o to chodziło. DelFix wykonał zadanie. Skasuj plik C:\DelFix.txt z dysku.

 

To tyle. Temat rozwiązany. Zamykam.

Są dwie sprawy rzucające się w oczy:

 

1. BitDefender nadal podejrzany. Dziennik zdarzeń ma nagrane błędy zawieszeń usług aplikacji:

 

System errors:

=============

Error: (02/25/2015 07:59:31 PM) (Source: Service Control Manager) (EventID: 7011) (User: )

Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji z usługi VSSERV.
 

Error: (02/25/2015 07:50:54 PM) (Source: Service Control Manager) (EventID: 7022) (User: )

Description: Usługa Bitdefender Virus Shield zawiesiła się podczas uruchamiania.
 

Error: (02/25/2015 07:44:43 PM) (Source: Service Control Manager) (EventID: 7034) (User: )

Description: Usługa Bitdefender Virus Shield niespodziewanie zakończyła pracę. Wystąpiło to razy: 1.
 

Error: (02/25/2015 07:29:06 AM) (Source: Service Control Manager) (EventID: 7022) (User: )

Description: Usługa Bitdefender Virus Shield zawiesiła się podczas uruchamiania.
 

Error: (02/24/2015 06:20:08 PM) (Source: Service Control Manager) (EventID: 7034) (User: )

Description: Usługa Bitdefender Virus Shield niespodziewanie zakończyła pracę. Wystąpiło to razy: 1.

 

Aczkolwiek jest możliwe powiązanie z:

 

2. Mało wolnego miejsca na dysku - to może być problem, zwłaszcza jeśli obszar jest sfragmentowany, co wydłuża operacje odczyt/zapis.

 

==================== Drives ================================
 

Drive c: () (Fixed) (Total:148.72 GB) (Free:8.77 GB) NTFS

 

Nie zwróciłam na to uwagi, temat startował z jeszcze gorszymi statystykami:

 

==================== Drives ================================
 

Drive c: () (Fixed) (Total:148.72 GB) (Free:4.97 GB) NTFS

 

Zacznij od sprzątania na dysku tworząc większą przestrzeń. Do analizy miejsca przydatny jest SpaceSniffer - należy go uruchomić za pomocą "Uruchom jako Administrator", by obliczył takie obszary jak "System Volume Information". Jeśli nie wniesie to nic do sprawy, zrób testową deinstalację BitDefender.

W systemie nie ma poprawnej kopii pliku wzcsvc.dll - ten plik ewentualnie dostarczę z własnej wirtualnej maszyny XP, gdy znajdę czas. I mnie się wydaje, że tu może być inny problem ogólny, spoza infekcji - coś za dużo niesygnowanych plików. FRST ma bardzo ograniczoną weryfikację, sprawdza tylko podstawową pulę, a możliwości spoza widoczności raportu jest tu multum. Może być znacznie więcej takich kwiatków w systemie. Czy posiadasz płytę Windows XP Home OEM SP3, którą można byłoby użyć do zapuszczenia polecenia sfc /scannow?

Proszę uważniej czytaj zasady działu i instrukcje tworzenia raportów. Tu jest zakaz podpinania się pod cudze wątki, temat wydzielony w osobny. Opcje "Drivers MD5" i "List BCD" nie miały być zaznaczone w skanie FRST.

 

 

ale muszę otworzyć pliki które zainfekowane są do każdego z folderów dołączyły pliki help_decrypt, żaden z plików które znajdują się w folderach nie jestem w stanie otworzyć od zdjęć po dokumenty

vs.

 

InternetURL: C:\ProgramData\HELP_DECRYPT.URL -> hxxp://paytoc4gtpn5czl2.torconnectpaycom/x7dmR

 

Mam bardzo złe wieści. Formuła plików wskazuje na infekcję CryptoWall 3.0 szyfrującą dane. Opis infekcji: KLIK. Niestety zaszyfrowanych dokumentów i zdjęć nie da się otworzyć (czyli odszyfrować), ani odzyskać ich poprawnej wersji sprzed infekcji bez uiszczenia opłaty cyberprzestępcom. Brak dekodera ze względu na awykonalność tego zadania. Poza tym, CryptoWall przy zastępowaniu plików szyfrowanymi wersjami wykonuje tzw. "bezpieczne usuwanie danych" nadpisując miejsca na dysku, by uniemożliwić zastosowanie programów do odzyskania danych. Jeśli nie miałeś kopii zapasowej zgranej gdzieś, dane zostały bezpowrotnie utracone.

Tu nie pomogą żadne skanery, antywirusy i inne triki - przy braku kopii zapasowej danych dokumenty przekształcone przez infekcję są do kosza. Jedyne co jestem w stanie zrobić, to usunąć pozostałe fragmenty infekcji i dodane pliki "HELP_DECRYPT" oraz naprawić inne problemy, bo tu jest dużo do roboty:

 

- Adware nie zostało dobrze wyczyszczone i nadal uruchamiają się różne szkodliwe elementy, w tym sterownik mogący kolidować z funkcjonowaniem sieci.

- System jest zmasakrowany instalacjami skanerów. W tle aktywnie działają różne skanery pozornie odinstalowane: stary McAfee z 2008 (wygląda na preintegrowany z systemem), VIPRE, YAC (Yet Another Cleaner). Próbując się ratować instalowałeś co popadnie (w tym stare i wątpliwe skanery) i tylko pogorszyłeś sytuację. Tu się działo mnóstwo, wielokrotne punkty Przywracania systemu, liczne (re)instalacje, nowe skanery dokładane (Avast, PC Tools Firewall, STOPZilla, SpyHunter, Spybot Search & Destroy, XoftSpy AntiVirus Pro).

- Szukając skanerów skorzystałeś z fałszywych opisów "usuwania infekcji" lub innych tendencyjnych materiałów sugerujących instalację: ParetoLogic XoftSpy, SpyHunter oraz YAC (Yet Another Cleaner). To wszystko to niepożądane obiekty, programy z czarnej listy, naciągacze! I ten YAC to bardzo inwazyjny program oznaczający kłopoty. Dla porównania do czego może doprowadzić jego obecność w systemie: KLIK, KLIK.

- Był używany ComboFix i na ten temat: KLIK. Ta próba to się chyba tu nawet nie udała, bo podstawowe warunki do uruchomienia programu nie zostały spełnione. Te liczne czynne komponenty skanerów równa się blokada.

- System nie jest w ogóle aktualizowany, krytyczny stan aktualizacji. Tu jest nieomal goła Vista - tylko SP1 i bardzo stary IE7:

 

Platform: Microsoft® Windows Vista™ Home Premium Service Pack 1 (X86) OS Language: Polski (Polska)

Internet Explorer Version 7 (Default browser: FF)

 

jednocześnie wyłącza mi karty sieciowe przez co nie mam dostepu do internetu

To wygląda na skutek niepoprawnie odinstalowanych skanerów.

 

 

 

---

Doczyszczanie systemu - jak mówię, z zaszyfrowanymi danymi nic się nie da zrobić. Działania do przeprowadzenia:

 

1. Deinstalacje:

 

----> Z poziomu Trybu normalnego: Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > po lewej stronie wybierz opcję Zarządzaj połączeniami sieciowymi > dla wszystkich widzialnych połączeń po kolei z prawokliku pobierz Właściwości > w pierwszej karcie Ogólne na liście używanych komponentów szukaj filtrów nazwanych podobnie do: Sunbelt / GFI / ThreatTrack NDIS IM Filter oraz innych mających konotacje nazewnicze z antywirusami. Jeśli cokolwiek znajdziesz, podświetl i odinstaluj, zresetuj system.

 

----> Z poziomu Trybu normalnego: Odinstaluj przez Panel sterowania (a nie Revo) Adobe Flash Player ActiveX, Adobe Reader 9 - Polish, Spybot - Search & Destroy, SpyHunter 4. Sprawdź też czy jest na dysku plik C:\Program Files\Elex-tech\YAC\uninstall.exe, a jeśli tak to go uruchom.

 

----> Z poziomu Trybu awaryjnego: Zastosuj specjalne narzędzie czyszczące McAfee Consumer Product Removal Tool + VIPRE Uninstaller.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R1 {dcd044e6-adb7-46c3-8ece-3d3a0a33bf3a}Gt; C:\Windows\System32\drivers\{dcd044e6-adb7-46c3-8ece-3d3a0a33bf3a}Gt.sys [55832 2015-02-12] (StdLib)
U5 AppMgmt; C:\Windows\system32\svchost.exe [21504 2008-01-21] (Microsoft Corporation)
R1 MpKsl4a29a79b; \??\C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{A39BF855-FF62-47C3-9664-1696E5D26819}\MpKsl4a29a79b.sys [X]
R1 MpKslee3c09ff; \??\C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{A39BF855-FF62-47C3-9664-1696E5D26819}\MpKslee3c09ff.sys [X]
R1 MpKsleeea4502; \??\C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{A39BF855-FF62-47C3-9664-1696E5D26819}\MpKsleeea4502.sys [X]
S2 SBAMSvc; "C:\Program Files\ParetoLogic\XoftSpy AntiVirus Pro\SBAMSvc.exe" [X]
S2 sz7; "C:\Program Files\STOPzilla\SZServer.exe" [X]
Task: {2DFE621D-6BB2-4A2E-A9C1-A2E0C29ACC1C} - System32\Tasks\ef7378cb-c2b1-4f9c-9903-06f9fc5c9bbf-10_user => C:\Program Files\SavePass 1.1\ef7378cb-c2b1-4f9c-9903-06f9fc5c9bbf-10.exe 
Task: {2E9060F0-D426-406A-8F65-183B46132D79} - System32\Tasks\c3209984-b1bb-4eb9-9882-8a64a02095f0-10_user => C:\Program Files\HQCinema Pro 2.1V13.02\c3209984-b1bb-4eb9-9882-8a64a02095f0-10.exe 
Task: {8718603D-3A10-4F14-A0B2-DC4BD6F95190} - System32\Tasks\ef7378cb-c2b1-4f9c-9903-06f9fc5c9bbf-5_user => C:\Program Files\SavePass 1.1\ef7378cb-c2b1-4f9c-9903-06f9fc5c9bbf-5.exe 
Task: {B627CA3B-2E44-468F-BB1A-291D3161B771} - System32\Tasks\c3209984-b1bb-4eb9-9882-8a64a02095f0-5_user => C:\Program Files\HQCinema Pro 2.1V13.02\c3209984-b1bb-4eb9-9882-8a64a02095f0-5.exe 
Task: {F8906555-74C0-46AE-A9A2-FD2C436E9B7E} - \Super Optimizer Schedule No Task File 
Task: C:\Windows\Tasks\c3209984-b1bb-4eb9-9882-8a64a02095f0-10_user.job => C:\Program Files\HQCinema Pro 2.1V13.02\c3209984-b1bb-4eb9-9882-8a64a02095f0-10.exe 
Task: C:\Windows\Tasks\c3209984-b1bb-4eb9-9882-8a64a02095f0-5_user.job => C:\Program Files\HQCinema Pro 2.1V13.02\c3209984-b1bb-4eb9-9882-8a64a02095f0-5.exe 
Task: C:\Windows\Tasks\ef7378cb-c2b1-4f9c-9903-06f9fc5c9bbf-10_user.job => C:\Program Files\SavePass 1.1\ef7378cb-c2b1-4f9c-9903-06f9fc5c9bbf-10.exe 
Task: C:\Windows\Tasks\ef7378cb-c2b1-4f9c-9903-06f9fc5c9bbf-5_user.job => C:\Program Files\SavePass 1.1\ef7378cb-c2b1-4f9c-9903-06f9fc5c9bbf-5.exe 
Task: C:\Windows\Tasks\XVJ.job => C:\Users\NOWAK\AppData\Roaming\XVJ.exe 
HKLM\...\Run: [ConvertAd] => C:\Users\NOWAK-LP\AppData\Local\ConvertAd\ConvertAd.exe
HKU\S-1-5-21-84699557-792703091-1178954015-1004\...\MountPoints2: {ad9050df-7f84-11e4-af95-00265eb03406} - F:\AutoRun.exe
Startup: C:\Users\NOWAK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\superpc_soft_partner.lnk
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.







HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
CMD: del /q /s C:\HELP_DECRYPT.*
C:\Program Files\0e8c68e9-f8d3-4eb3-991c-fefcdb824873
C:\Program Files\112dced7-7f86-4c9c-921d-bf3e561afa0a
C:\Program Files\HQCinema Pro 2.1V13.02
C:\Program Files\Mozilla Firefox\plugins
C:\Program Files\predm
C:\Program Files\STOPzilla
C:\ProgramData\{*}.log
C:\ProgramData\{51d3a777-e1d1-7821-51d3-3a777e1d9ddf}
C:\ProgramData\64edc3dc0000124c
C:\ProgramData\AVAST Software
C:\ProgramData\ParetoLogic
C:\ProgramData\STOPzilla!
C:\ProgramData\Temp
C:\ProgramData\XoftSpy AntiVirus Pro
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDF Editor 4.0
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\STOPzilla
C:\Users\NOWAK\AppData\Local\globalUpdate
C:\Users\NOWAK\AppData\Local\gmsd_pl_49
C:\Users\NOWAK\AppData\Local\gmsd_pl_55
C:\Users\NOWAK\AppData\Local\SmartWeb
C:\Users\NOWAK\AppData\Local\Temp{81FA4E6A-843F-4AFC-BC82-69FAB51A72EA}
C:\Users\NOWAK\AppData\LocalLow\SmartWeb
C:\Users\NOWAK\AppData\Roaming\AnyProtectEx
C:\Users\NOWAK\AppData\Roaming\eCyber
C:\Users\NOWAK\AppData\Roaming\Elex-tech
C:\Users\NOWAK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AnyProtect PC Backup
C:\Users\NOWAK\AppData\Roaming\PCToolsFirewallPlus
C:\Users\NOWAK\AppData\Roaming\WinZipper
C:\Users\NOWAK\Desktop\Continue *.lnk
C:\Users\NOWAK-LP\AppData\Local\nsm4664.tmp
C:\Users\NOWAK-LP\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\NOWAK-LP\AppData\Local\Internet Speed Checker
C:\Users\NOWAK-LP\AppData\Local\Microsoft\Silverlight\OutOfBrowser
C:\Users\NOWAK-LP\AppData\Roaming\pdfforge
C:\Users\NOWAK-LP\AppData\Local\webkit
C:\Users\NOWAK-LP\AppData\Roaming\aps.uninstall.scan.results
C:\Users\NOWAK-LP\AppData\Roaming\ap_logs
C:\Users\NOWAK-LP\AppData\Roaming\eCyber
C:\Users\NOWAK-LP\AppData\Roaming\Elex-tech
C:\Users\NOWAK-LP\AppData\Roaming\PCToolsFirewallPlus
C:\Users\NOWAK-LP\AppData\Roaming\WinZipper
C:\Users\NOWAK-LP\Desktop\Continue *.lnk
C:\Users\NOWAK-LP\Documents\PCSpeedUp
C:\Users\NOWAK-LP\Downloads\fwinstall.exe
C:\Users\NOWAK-LP\Downloads\Silverlight*.exe
C:\Users\NOWAK-LP\Downloads\Spybot*.exe
C:\Users\NOWAK-LP\Downloads\SpyHunter*.*
C:\Users\NOWAK-LP\Downloads\STOPzillaPRO_Downloader.exe
C:\Users\NOWAK-LP\Downloads\XoftSpy_AV_Setup.exe
C:\Windows\AF54923662584AC6A0435B5B89C6EB61.TMP
C:\Windows\patsearch.bin
C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\Windows\system32\2015-*.log
C:\Windows\system32\OptimizerMonitorOff.ini
C:\Windows\system32\Drivers\{dcd044e6-adb7-46c3-8ece-3d3a0a33bf3a}Gt.sys
C:\Windows\system32\Drivers\Msft_Kernel_webTinst_01009.Wdf
C:\Windows\system32\Drivers\VDD
C:\Windows\system32\vbox
Reg: reg delete HKCU\Software\InstalledBrowserExtensions /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ConvertAd /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\gmsd_pl_55_is1 /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\IGS /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\igsc /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\iSafe /f
Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SavePass 1.1" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SmartWeb /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\VOPackage /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\WindowsMangerProtect /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\winzipper /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\WordProser_1.10.0.6 /f
Reg: reg delete HKCU\Software\Mozilla\Extends /f
Reg: reg delete HKCU\Software\ParetoLogic /f
Reg: reg delete "HKCU\Software\Speedchecker Limited" /f
Reg: reg delete HKLM\SOFTWARE\Elex-tech /f
Reg: reg delete HKLM\SOFTWARE\GAMESDESKTOP /f
Reg: reg delete HKLM\SOFTWARE\hdcode /f
Reg: reg delete HKLM\SOFTWARE\InstalledBrowserExtensions /f
Reg: reg delete HKLM\SOFTWARE\ParetoLogic /f
Reg: reg delete "HKLM\SOFTWARE\Speedchecker Limited" /f
Reg: reg delete HKLM\SOFTWARE\Tutorials /f
Reg: reg delete HKLM\SOFTWARE\winzipersvc /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_pl_55" /f
EmptyTemp:

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (AdBlock for Firefox i Ghostery) i trzeba będzie przeinstalować.

 

4. Wyczyść Google Chrome:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, używane rozszerzenia zostaną wyłączone (włącz ręcznie).
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

5. Są tu dwa konta w systemie:

 

==================== Accounts: =============================
 

NOWAK (S-1-5-21-84699557-792703091-1178954015-1003 - Administrator - Enabled) => C:\Users\NOWAK

NOWAK-LP (S-1-5-21-84699557-792703091-1178954015-1004 - Administrator - Enabled) => C:\Users\NOWAK-LP

 

Dotychczas były sprawdzane raporty z konta NOWAK-LP, wymagane ze wszystkich kont.

- Jeśli konto "NOWAK" nie jest używane, to je usuń via Panel sterowania (zaznaczając, by skasowano dane użytkownika).

- Jeśli oba są w użyciu, zaloguj się po kolei na każde poprzez pełny restart komputera (a nie opcje Wyloguj / Przełącz użytkownika) i na każdym zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały po dwa logi.

Dołącz też plik fixlog.txt. Podsumuj co się obecnie dzieje w systemie.

ESET Uninstaller i tak do zastosowania jako poprawka, na wypadek gdyby normalna deinstalacja coś ominęła. Ty cały czas oceniasz tylko usługi programowe, a nie sterowniki i wpięcia na urządzeniach. Ale ESET Trial Reset to crack ESET poza obszarem zainteresowań narzędzia firmowego ESET - ta usługa jest załączona do usunięcia w skrypcie FRST.

2 sprawa zrobiłem pełne skanowanie Gmerem ale musiałem przerwać po około 2 h, włączanie laptopa z 1 minuty wydłużyło się nawet do 5-6 min, czyżby coś Gmer pomodził w systemie? (taka sama sytuacja na kompie u teścia włączanie trwa masakrycznie długo).

Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Gdy "Bieżący tryb transferu: Tryb PIO" > prawoklik na kanał IDE i odinstaluj > restart systemu > Windows przebuduje kanał asygnując szybszy transfer.

FRST wykonał ten fixlist.txt chyba w 2 sekundy - to tak szybko miało iść...? Wpis Yontoo zniknął.

W sprzyjających okolicznościach i w zależności od użytych komend Fix może wejść jak burza. Czasem FRST się na czymś wiesza (trudno przewidzieć na czym) i stosuję ostrzeżenia dla użytkowników, by nie przerywali pracy. Wpis Yontoo zniknął, gdyż załączyłam w skrypcie komendę usuwania klucza Yontoo z Uninstall.

 

 

Google Chrome nie widzę w ogóle w Dodaj/Usuń programy.

Skutek podania starych logów FRST. Wg FRST wpis na liście wcześniej był, obecnie już nie ma (czyli odinstalowałeś), ale ostał się ukryty updater. Podobnie z Firefox: otrzymałam logi pokazujące, że go brak i cięłam w skrypcie FRST klucze Mozilla, a tu się okazuje że Firefox w międzyczasie został doinstalowany i moja operacja uszkodziła określone fragmenty. Z tym że MozillaPlugins nie były istotne, klucze wtyczek i tak się przebudowują, o ile działa soft który je wprowadził.

 

 

ESET NOD32 Antyvirus ma tylko opcję "zmień". Usługi ESETA wyłączyłem, są tam trzy: ESET HTTP Server, ESET Service, ESET Trial Reset.

Czy po kliku w Zmień pokazuje się okno ESET podające do wyboru kolejne opcje, a wśród nich deinstalację? I deinstalacja jest możliwa tylko w Trybie normalnym, w awaryjnym nie działa usługa Instalatora Windows. A wyłączenie usług ESET to stanowczo za mało, w tle pracują jeszcze nadrzędne sterowniki, które nie są dostępne do manipulacji z poziomu przystawki services.msc czy msconfig.

 

 

Pliki Windows pomyślnie podstawione, obecnie już stoi odczyt sygnatury cyfrowej dla kluczowego:

 

C:\WINDOWS\system32\rpcss.dll => File is digitally signed

 

Ale to nie koniec - nie wiem jak to się stało, ale przegapiłam trzeci niesygnowany plik z system32 od usługi WZCSVC. Na razie omijam niepodpisany cyfrowo od Office. Kolejna porcja czynności:

 

1. Z poziomu Trybu awaryjnego zastosuj ESET Uninstaller.

 

2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście szczątek Google Update Helper > Dalej.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
S4 .EsetTrialReset; C:\WINDOWS\system32\regedt32.exe /s C:\WINDOWS\esettrialreset.reg
HKLM\...\Run: [userFaultCheck] => %systemroot%\system32\dumprep 0 -u
FF Plugin: @java.com/DTPlugin,version=10.11.2 -> C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
C:\Documents and Settings\KaMiLa\Ustawienia lokalne\Dane aplikacji\Google
C:\Program Files\Google
C:\Program Files\PDFCreator
C:\WINDOWS\esettrialreset.reg
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BrowserChoice" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\egui" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UserFaultCheck" /f
CMD: regsvr32 /u /s "C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll"
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Tym razem może być dłużej. Nastąpi restart i powstanie kolejny fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). W polu Search wklej wzcsvc.dll, klik w Search Files i ten log też dostarcz. Dołącz również plik fixlog.txt.

Detekcja FRST w AVG to fałszywy alarm, nie tylko AVG tak ma. Do zignorowania.

 

Problemy się rozmnożyły. Nowa usterka to uszkodzenie systemu Usług kryptograficznych (baza catroot lub catroot2), w logu FRST masowy odczyt File not signed (brak podpisu cyfrowego) wszystkich usług i sterowników Microsoftu. Dodatkowo, tu jeszcze jest niepoprawnie odinstalowany SpywareDoctor (w tle uruchomione komponenty), tym się zajmę potem. Na razie do wdrożenia następujące działania:

 

 

1. Uruchom narzędzie Fix It 50202: KLIK. Narzędzie działa na XP. Zaznacz tryb agresywny, który m.in. zawiera reset bazy catroot2.

 

2. Deinstalacje do przeprowadzenia:

 

----> Tak jak mówiłam, AVG Web TuneUp został uszkodzony (część komponentów usunięta, nadal działa w tle sterownik i na liście programów martwy wpis). W obecnym stanie raczej będzie trudno go odinstalować. Zrób co następuje: zainstaluj nakładkowo ten program stąd: KLIK. Po nakładkowej instalacji odinstaluj go przez Dodaj/Usuń programy.

 

----> Przez Dodaj/Usuń programy odinstaluj stare dziurawe wersje: Adobe AIR, Adobe Reader X (10.1.11) - Polish, Adobe Shockwave Player 11.5, Gadu-Gadu 10, Gadu-Gadu 7.7, J2SE Runtime Environment 5.0 Update 4, Java 7 Update 71, Java SE Development Kit 7 Update 71, Java™ 6 Update 31, JavaFX 2.1.1, OpenOffice.org 3.2 (nie współpracuje z najnowszymi bezpiecznymi Java, dostępna nowsza seria 4.x), Opera 12.14 (najnowsza z tej serii to Opera 12.17 zawierająca łatę na krytyczną lukę Heartbleed), Safari (dziurawa porzucona przeglądarka), Tibia Multi IP Changer (to jest szkodnik!), TVUPlayer 2.4.8.2 (nie działa już, zamknięto sieć w której działał).

 

3. Wg FRST Shortcut jest ogromna ilość pustych skrótów w Menu Start i innych miejscach. Nie miałam siły tego przewertować - w skrypcie FRST adresuję tylko obszar Quick Launch. Przejrzyj i pousuwaj martwe skróty z innych miejsc. Chodzi o foldery na Pulpicie oraz te lokalizacje:

 

D:\Documents and Settings\All Users\Menu Start\Programy

D:\Documents and Settings\Kuba i Michał\Menu Start\Programy

 

4. Do usunięcia pozostałe puste wpisy i różne śmieci. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
StartMenuInternet: (HKLM) Opera - D:\Program Files\Opera\Opera.exe http://www.dosearches.com/?utm_source=b&utm_medium=smt&utm_campaign=eXQ&utm_content=sc&from=smt&uid=SAMSUNGXHD252HJ_S17HJ1KQA00137&ts=1381579882
ProxyServer: [.DEFAULT] => 203.160.1.94:80
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141118
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKU\S-1-5-21-1078081533-299502267-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
SearchScopes: HKLM -> URL http://startsear.ch/?aff=2&src=sp&cf=b365d94a-2514-11e2-be72-00e04c100ab8&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1078081533-299502267-839522115-1003 -> URL http://startsear.ch/?aff=2&src=sp&cf=b365d94a-2514-11e2-be72-00e04c100ab8&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1078081533-299502267-839522115-1003 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={3183B199-3464-49BF-A85F-F7D21EEA8723}&mid=e9e8e12cc64447d08430d1a90af4e34b-0d067dae5e7e84af70bb79418a28c71df2b2738c&lang=pl&ds=AVG&coid=avgtbavg&cmpid=1214tb&pr=fr&d=2014-11-06 18:15:46&v=4.0.5.7&pid=wtu&sg=&sap=dsp&q={searchTerms}
Toolbar: HKLM - No Name - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - No File
Toolbar: HKU\S-1-5-21-1078081533-299502267-839522115-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
FF Plugin: @gamersfirst.com/LiveLauncher -> H:\Program Files\GamersFirst\LIVE!\nplivelauncher.dll No File
FF Plugin: @videolan.org/vlc,version=2.1.3 -> D:\Program Files\VideoLAN\VLC\npvlc.dll No File
FF HKLM\...\Firefox\Extensions: [{cb84136f-9c44-433a-9048-c5cd9df1dc16}] - H:\Program Files\Spyware Doctor\BDT\FireFox
FF HKLM\...\Firefox\Extensions: [{00ADD29A-66F4-4f22-BCC0-4C1D29DA647B}] - D:\Program Files\LG Electronics\LG PC Suite IV\LinkAir\{00ADD29A-66F4-4f22-BCC0-4C1D29DA647B}
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - D:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF HKLM\...\Firefox\Extensions: [FFPDFArchitectConverter@pdfarchitect.com] - D:\Program Files\PDF Architect\FFPDFArchitectExt
FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - D:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird
CustomCLSID: HKU\S-1-5-21-1078081533-299502267-839522115-1003_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
D:\Documents and Settings\All Users\Dane aplikacji\TEMP
D:\Program Files\Mozilla Firefoxavg-secure-search.xml
D:\Program Files\Mozilla Firefox\extensions
D:\Program Files\Mozilla Firefox\plugins
D:\Documents and Settings\bot\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Tibia.lnk
D:\Documents and Settings\Kuba i Michał\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Check PC For Errors.lnk
D:\Documents and Settings\Kuba i Michał\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Chromium.lnk
D:\Documents and Settings\Kuba i Michał\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\FlashGet 2.0.lnk
D:\Documents and Settings\Kuba i Michał\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Nero StartSmart.lnk
D:\Documents and Settings\Kuba i Michał\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\ots24.net Galaxia.lnk
D:\Documents and Settings\Kuba i Michał\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\SjBoy ChingLish.lnk
D:\Documents and Settings\Kuba i Michał\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Tibia.lnk
D:\Documents and Settings\Kuba i Michał\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Xfire.lnk
D:\Documents and Settings\Kuba i Michał\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences
D:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
D:\WINDOWS\pss\20Dollars2Surf.lnkCommon Startup
D:\WINDOWS\pss\BlueSoleil.lnkCommon Startup
D:\WINDOWS\pss\BTTray.lnkCommon Startup
D:\WINDOWS\pss\Game Alarm.lnkStartup
D:\WINDOWS\pss\McAfee Security Scan Plus.lnkCommon Startup
D:\WINDOWS\pss\runjar.batStartup
D:\WINDOWS\pss\OpenOffice.org 3.2.lnkStartup
D:\WINDOWS\pss\Xfire.lnkStartup
Hosts:
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^All Users^Menu Start^Programy^Autostart^20Dollars2Surf.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^All Users^Menu Start^Programy^Autostart^BlueSoleil.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^All Users^Menu Start^Programy^Autostart^BTTray.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^All Users^Menu Start^Programy^Autostart^McAfee Security Scan Plus.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^Kuba i Michał^Menu Start^Programy^Autostart^Game Alarm.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^Kuba i Michał^Menu Start^Programy^Autostart^OpenOffice.org 3.2.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^Kuba i Michał^Menu Start^Programy^Autostart^runjar.bat" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^Kuba i Michał^Menu Start^Programy^Autostart^tmonitor.exe" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^Kuba i Michał^Menu Start^Programy^Autostart^WinCE3.exe" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\D:^Documents and Settings^Kuba i Michał^Menu Start^Programy^Autostart^Xfire.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AlcoholAutomount" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BtTray" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IPLA!" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KernelFaultCheck" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LG LinkAir" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RDReminder" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

5. Firefox był mocno zabrudzony. Wyczyść go konkretniej: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować.

 

6. W Google Chrome:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

7. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition + Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt. Wypowiedz się czy tytułowy problem "System wolno działa mimo niskiego użycia CPU" nadal ma miejsce, bo to nie zostało sformułowane na tamtym forum.

Jak mówię, w Google Chrome nie widać nic konkretnego. Opisz jak wyglądają te reklamy - jakie adresy przekierowań, jaka treść reklam. Dodaj też skan dostosowany - do Notatnika wklej:

 

Folder: C:\Program Files (x86)\Google\Chrome\Application\40.0.2214.115
CMD: type "C:\Program Files (x86)\Google\Chrome\Application\40.0.2214.115\Extensions\external_extensions.json"
CMD: type "C:\Program Files (x86)\Google\Chrome\Application\40.0.2214.115\PepperFlash\manifest.json"
CMD: type "C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Preferences"
CMD: type "C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences"

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

ESET i adware było wzmiankowane w ramach ogólnego podsumowania co widzę, a nie jako wskazówka, że masz się zabierać za deinstalację. Tu jest ścisła kolejność zadań, każdy krok ma określone następstwa i rozpisuję szczegółowe instrukcje. Yontoo nie możesz odinstalować, bo uszkodziłeś go skanerami (zawsze należy deinstalować w pierwszej kolejności przed użyciem skanerów), BrowserProtect i Delta nie widnieją zaś na liście zainstalowanych, są/były w innych miejscach. Nie zauważyłam, że podane tu logi są stare - FRST pochodzi sprzed wielu dni (22 luty), na dodatek został zrobiony przed usuwaniem MBAM (23 luty), który zmienił to co widać w FRST. Temat powstał 26 lutego, dane mam zupełnie nieadekwatne i muszę się gimnastykować z nanoszeniem poprawki na zmiany poczynione przez skanery. Ale jest pewne, że w chwili obecnej pliki Windows są zmodyfikowane, bo skan FRST Search to potwierdza.

 

 

Działania do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
Replace: C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\rpcss.dll C:\WINDOWS\system32\rpcss.dll
Replace: C:\WINDOWS\system32\dllcache\imapi.exe C:\WINDOWS\system32\imapi.exe
S4 BrowserProtect; C:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect\2.6.1095.52\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [0 2013-02-11] () 
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 HWiNFO32; \??\C:\DOCUME~1\KaMiLa\USTAWI~1\Temp\HWiNFO32.SYS [X]
S3 RT80x86; system32\DRIVERS\RT2860.sys [X]
HKLM\...\Run: [userFaultCheck] => %systemroot%\system32\dumprep 0 -u
ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File
CustomCLSID: HKU\S-1-5-21-1123561945-776561741-1801674531-1004_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Documents and Settings\KaMiLa\Dane aplikacji\GG\ggdrive\ggdrive-menu.dll No File
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKU\S-1-5-21-1123561945-776561741-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.delta-search.com/?affID=119370&babsrc=NT_ss&mntrId=80c1e2a600000000000000b08c069ac4" 
SearchScopes: HKU\S-1-5-21-1123561945-776561741-1801674531-1004 -> {F10D8717-BF7A-4144-9CA6-E4AE455F60B4} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=57C20B5C-425A-4691-B7EB-B63C4AB36C04&apn_sauid=D13AA595-CBAC-4E16-834E-B02F7B260CEB
BHO: delta Helper Object -> {C1AF5FA5-852C-4C90-812E-A7F75E011D87} -> C:\Program Files\Delta\delta\1.8.10.0\bh\delta.dll (Delta-search.com)
Toolbar: HKLM - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files\Delta\delta\1.8.10.0\deltaTlbr.dll (Delta-search.com)
Toolbar: HKU\S-1-5-21-1123561945-776561741-1801674531-1004 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
C:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect
C:\Documents and Settings\KaMiLa\Dane aplikacji\DSite
C:\Documents and Settings\KaMiLa\Dane aplikacji\PDF Creator Packages
C:\Documents and Settings\KaMiLa\Menu Start\Programy\BrowserProtect
C:\Documents and Settings\KaMiLa\Menu Start\Programy\eGames
C:\Program Files\GUT2.tmp
C:\Program Files\GUM1.tmp
C:\Program Files\Delta
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\DSite /f
Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\PDF Creator Packages" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B} /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
CMD: dir /a D:\

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Sprawdź czy jesteś w stanie odinstalować przez Dodaj/Usuń programy stare wersje: Adobe Flash Player 11 ActiveX, ESET NOD32 Antivirus, Google Chrome, Java 7 Update 11.

 

3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się jakie problemy notujesz.

DelFix usunął już pierwszą partię skanerów, jeśli czegoś nie dokasował (mam na myśli GMER), to już ręcznie usuń. Natomiast programy Malwarebytes Anti-malware i Hitman Pro są innego typu, możesz sobie je zostawić do skanów na żądanie. MBAM jest darmowy i nie wygasa funkcjonalność usuwania, natomiast Hitman umożliwia usuwanie tylko przez okres miesiąca, po czym możliwy tylko skan bez usuwania.

To wszystko z mojej strony. Czy są jeszcze jakieś problemy?

Nie podałaś w czym antywirus widzi "HackTool" - w jakiej ścieżce dostępu. Sama nazwa nie jest decydująca, na razie jednak to nie wydaje się powiązane. "HackTool" to zwykle są jakieś cracki bądź programy do manipulacji z aktywacją aplikacji, podglądu kluczy seryjnych i podobne zjawiska.

 

Problem reklam: której przeglądarki dotyczy? W Firefox widzę adware Ultimate Finder, natomiast nic jawnego w Chrome, IE i Operze. Działania wstępne do przeprowadzenia:

 

1. Odinstaluj ten stary Mozilla Firefox 14.0.1 (x86 pl). Przy deinstalacji zaznacz usuwanie danych użytkownika.

 

2. Napraw niepoprawnie wyczyszczony przez AdwCleaner specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R1 avgtp; C:\Windows\system32\drivers\avgtpx64.sys [50976 2014-08-26] (AVG Technologies)
HKU\S-1-5-21-155114027-604867907-1247271619-1001\...\Run: [AVG-Secure-Search-Update_0214c] => C:\Users\User\AppData\Roaming\AVG 0214c Campaign\AVG-Secure-Search-Update-0214c.exe /PROMPT /mid=3250adef902847d29f39d16f640efbf2-3346178eb27f82f138d823ed14bf97d88af1305e /CMPID=0214c
HKU\S-1-5-21-155114027-604867907-1247271619-1001\...\MountPoints2: {e2a10e0e-3820-11e4-bbad-e936d8a2b748} - G:\Startme.exe
HKUHKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
URLSearchHook: HKLM-x32 - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D}
S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X]
S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X]
C:\Windows\system32\drivers\avgtpx64.sys
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują. Uzupełnij informację o "HackTool", gdzie on jest widziany.

A ja mówię, że masz kliknąć prawym na pozycję "Podstawowy kanał IDE" w drzewku menedżera i nie wybierać już Właściwości tylko opcję Odinstaluj.

Ale gdzie Ty klikasz prawym: na tło tego okna Właściwości czy na pozycję "Podstawowy kanał IDE" w drzewku menedżera? Chodzi o to drugie.

Brakuje trzeciego pliku FRST Shortcut. I nie musisz zmieniać nazw plików...

 

 

Mam problem z Roll Around ads w wyszukiwarce Chrome i Mozilla Firefox. Za każdym razem pierwsze wyniki wyszukiwania to 5 stron z www.poland.com.

W raporcie widać rozszerzenie Roll Around w Firefox, natomiast nic nie widać w Google Chrome. Będę analizować skąd to się ładuje w Chrome.

 

 

Mogę dodać jeszcze że menadżerze zadań, w zakładce procesy, mam uruchomionych z 10 google chrome

Czy Google Chrome było uruchomione celowo? Jeśli tak, wielokrotność procesu nie jest nienaturalna, Chrome rozdziela karty do osobnych procesów.

 

 

Działania wstępne:

 

1. Odinstaluj stare wersje: Acrobat.com, Adobe AIR, Adobe Shockwave Player 12.0, COMODO Internet Security, Java 7 Update 25 (64-bit), Java 7 Update 67.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {17E796AE-A873-4CB1-AE49-792555A11AFC} - System32\Tasks\AutoKMSDaily => C:\Windows\AutoKMS.exe
Task: {7BB6AB17-3C70-45EC-9DD0-96D2CCB08D46} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS.exe
Task: {886F41D5-7666-49F8-B290-D6C08A1ED109} - System32\Tasks\SYSTEM => C:\ProgramData\wmc.exe 
Task: C:\Windows\Tasks\AutoKMS.job => C:\Windows\AutoKMS.exe
Task: C:\Windows\Tasks\AutoKMSDaily.job => C:\Windows\AutoKMS.exe
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-3329155505-2909789684-2895368762-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKU\S-1-5-21-3329155505-2909789684-2895368762-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchScopes: HKU\S-1-5-21-3329155505-2909789684-2895368762-1000 -> {2519C1CB-D792-4A32-8FDF-2C112621E215} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=ASRK
SearchScopes: HKU\S-1-5-21-3329155505-2909789684-2895368762-1000 -> {80E22877-9DB0-437c-BAF5-A0CA6656A5C4} URL = http://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=5480255188&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3329155505-2909789684-2895368762-1000 -> {A8C2A241-9F41-45D6-9281-5227D7803A48} URL = http://www.idg.pl?q={searchTerms}
C:\ProgramData\.windows.sys
C:\ProgramData\Temp
C:\Users\user\AppData\Local\user_data.ini
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: type "C:\Program Files (x86)\Google\Chrome\Application\40.0.2214.115\Extensions\external_extensions.json"
CMD: type "C:\Program Files (x86)\Google\Chrome\Application\40.0.2214.115\PepperFlash\manifest.json"
CMD: type "C:\Users\user\AppData\Local\Google\Chrome\User Data\Profile 1\Preferences"
CMD: type "C:\Users\user\AppData\Local\Google\Chrome\User Data\Profile 1\Secure Preferences"
Folder: C:\Program Files (x86)\Google\Chrome\Application\40.0.2214.115
EmptyTemp:

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Ostrzeżemnie na wypadek, gdybyś ominął deinstalację COMODO powyżej: musi zostać wyłączony, gdyż zablokuje FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie odinstalować.

 

4. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstał brakujący log. Dołącz też plik fixlog.txt. Potwierdź ustąpienie "Roll Around ads" z Firefox, Chrome nadal w trakcie analizy.

Infekcja jest prawdopodobnie w pliku systemowym rpcss.dll, nie jest podpisany cyfrowo, a jego suma kontrolna jest unikatowa (b81b8dd052af396b3ef36e73b9d179c9):

 

R2 DcomLaunch; C:\WINDOWS\system32\rpcss.dll [401408 2009-02-09] (Microsoft Corporation) [File not signed]

S3 ImapiService; C:\WINDOWS\system32\imapi.exe [150528 2008-04-15] (Microsoft Corporation) [File not signed]

R2 RpcSs; C:\WINDOWS\system32\rpcss.dll [401408 2009-02-09] (Microsoft Corporation) [File not signed]

 

Inne problemy:

- Strasznie archaiczna wersja ESET z 2009, na dodatek scrackowana.

- Adware (BrowserProtect, Delta, Yoonto), ale siedzi ono w systemie od lat, to stare aplikacje już nie występuje w świeżych miotach adware.

 

 

Druga:

"SerialKeys" - ścieżka do tego - C:\WINDOWS\System32\skeys.exe

To poprawna usługa od Microsoft Serial Keys Utility (SKeys):

 

S2 SerialKeys; C:\WINDOWS\system32\skeys.exe [26112 2008-04-15] (Microsoft Corporation)

 

Nie wiem czemu ikonka dysku D:\ wygląda jak ikonka modemu.

Prawdopodobnie w root dysku jest ukryty nieszkodliwy plik autorun.inf związany z tym procesem: KLIK.

 

 

 

Na początek poproszę o spis kopii plików Microsoftu oznaczonych jako niesygnowane. Uruchom FRST, w polu Search wklej:

 

rpcss.dll;imapi.exe

 

Klik w Search Files i dostarcz wynikowy log.

Fix pomyślnie wykonany. Na wszelki wypadek zrób jeszcze skan za pomocą Malwarebytes Anti-Malware (odznacz trial przy instalacji). Jeśli cokolwiek wykryje, dostarcz raport wynikowy.

W tej sytuacji ponów działania, ale skrypt do FRST ma mieć już inną postać:

 

RemoveDirectory: C:\AdwCleaner
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

Masz usunąć ten na którym jest wykryty Tryb PIO.

jamakaci, proszę przeczytać zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki, załóż własny temat. Po drugie brak jakichkolwiek obowiązkowych logów, dostarcz je we własnym nowym temacie.

Poprawki:

 

1. W AdwCleaner zastosuj sekwencję Szukaj + Usuń. Gdy program ukończy czyszczenie:

 

2. Do Notatnika wklej:

 

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files\Smart File Advisor
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

Raportu AdwCleaner brak, bo nie prosiłam już o niego i w skrypcie FRST zadałam usuwanie całego katalogu C:\AdwCleaner z logami i kwarantanną. Coś tu się jednak nie zgadza, FRST nie znalazł tego folderu, więc on musiał zostać usunięty w inny sposób - czy przypadkiem nie pomyliłeś się i użyłeś w AdwCleaner opcję Odinstaluj zamiast Usuń?

DelFix wykonał co należy. Możesz skasować plik C:\Delfix.txt z dysku.

 

Temat rozwiązany. Zamykam.

Tryb PIO: prawoklik na ten kanał IDE i odinstaluj > restart systemu > Windows przebuduje kanał i Windows powinien znacznie przyśpieszyć.

 

DelFix pomyślnie wykonał zadanie. Możesz skasować plik C:\Delfix.txt.