picasso

Jest tu mnóstwo nie usuniętych dobrze obiektów adware. Co więcej, adware przekonwertowało przeglądarkę Google Chrome z wersji stabilnej do developerskiej i konieczna całkowita reinstalacja przeglądarki od zera, gdyż obecna wersja nie ma blokady na adware, jest widoczne adware deal2deeaaliT oraz prawdopodobnie jest więcej niż widać (fantomowa ścieżka w preferencjach, FRST nie łapie takich elementów). Do przeprowadzenia następujące działania: 1. Przez Panel sterowania odinstaluj adware i poszkodowaną przeglądarkę: ChampionDeals, Google Chrome, IP Address, Shopping Helper Smartbar Engine, YooutubeAdBlocke. Przed deinstalacją Chrome możesz wyeksportować tylko i wyłącznie zakładki. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki, resztę doczyści mój skrypt poniżej. Na razie nie instaluj nowej wersji Chrome. 2. Posługujesz się starszym FRST, najnowszy jest z dzisiaj. Pobierz program ponownie z linka w przyklejonym: KLIK. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IHProtect Service; C:\Program Files (x86)\STab\ProtectService.exe [158864 2014-11-10] (TODO: ) S2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe -service [X] S2 Update Reverse Page; "C:\Program Files (x86)\Reverse Page\updateReversePage.exe" [X] Task: {0692A0E5-41A9-48BE-B48A-5FC0C1817E9D} - System32\Tasks\{F6E3395F-9ADD-4B8C-99B0-A451F74C383A} => pcalua.exe -a E:\FSetup.exe -d E:\ Task: {229AD8F5-8B6E-4A74-91A6-DA9E9EA32CEF} - System32\Tasks\{4FF4B804-14F2-4A66-A05C-35D7A4A1058C} => pcalua.exe -a C:\ProgramData\ChampionDeals\ChampionDeals.exe -c /progname=ChampionDeals /progver=3.4.2 /progpub=ChampionDeals /proguninstallurl=asdahjka.com /deleteappfolder=0 /VERYSILENT Task: {4F17FF95-BDD6-4474-ADE1-A8A8DFBE84BB} - System32\Tasks\{D3DC525C-F459-4827-AA74-0F29FF6235D6} => pcalua.exe -a C:\Users\zawias\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt Task: {54FF6882-C441-41C7-8788-49AEFE20A433} - System32\Tasks\Run_Bobby_Browser => C:\Users\zawias\AppData\Local\BoBrowser\Application\bobrowser.exe Task: {6269C19D-B12B-4E1F-ADA2-61964535918C} - System32\Tasks\XSVOYY => C:\Users\zawias\AppData\Roaming\XSVOYY.exe Task: {65211436-EF59-409F-9732-C0D61897E362} - System32\Tasks\{C0D82179-B214-49C8-94BA-FDE75E656EFA} => pcalua.exe -a C:\ProgramData\deaLpeak\WS6kDeonXdalcR.exe -c /s /n /i:"ExecuteCommands;UninstallCommands" "" Task: {E6B728E7-00FB-42FB-9906-9CB9214B96D8} - System32\Tasks\CGRMXE => C:\Users\zawias\AppData\Roaming\CGRMXE.exe Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\CGRMXE.job => C:\Users\zawias\AppData\Roaming\CGRMXE.exe Task: C:\Windows\Tasks\XSVOYY.job => C:\Users\zawias\AppData\Roaming\XSVOYY.exe HKLM\...\Run: [] => [X] Startup: C:\Users\zawias\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TornTvDownloader.lnk CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-157093298-1084357142-467351005-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omigaweb/?type=dspp&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omigaweb/?type=dspp&q={searchTerms} SearchScopes: HKLM-x32 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchoholic.info/?l=1&q={searchTerms}&pid=3650&r=2014/12/26&hid=6934257787264173893&lg=EN&cc=PL&unqvl=72 SearchScopes: HKU\S-1-5-21-157093298-1084357142-467351005-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-157093298-1084357142-467351005-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omigaweb/?type=dspp&q={searchTerms} SearchScopes: HKU\S-1-5-21-157093298-1084357142-467351005-1000 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchoholic.info/?l=1&q={searchTerms}&pid=3650&r=2014/12/26&hid=6934257787264173893&lg=EN&cc=PL&unqvl=72 BHO-x32: No Name -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> No File DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1419279347&from=ild&uid=WDCXWD7500BPVT-00HXZT3_WD-WX51A711254412544 C:\END C:\Program Files (x86)\ApptioU C:\Program Files (x86)\clasicnote C:\Program Files (x86)\cooupuonpEaik C:\Program Files (x86)\deal2deeaaliT C:\Program Files (x86)\dealester C:\Program Files (x86)\deaLpeak C:\Program Files (x86)\DizzyDing C:\Program Files (x86)\ESET C:\Program Files (x86)\ezLinkPreview C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Google C:\Program Files (x86)\GU Player C:\Program Files (x86)\Lights off! C:\Program Files (x86)\Online SpongeBob Games C:\Program Files (x86)\saVer beoox C:\Program Files (x86)\SaveerPro C:\Program Files (x86)\savveitkueep C:\Program Files (x86)\SooftCouuP C:\Program Files (x86)\STab C:\Program Files (x86)\Temp C:\Program Files (x86)\ver8SpeedChecker C:\Program Files (x86)\Wheretoget C:\Program Files (x86)\WowwCouapon C:\Program Files (x86)\YooutubeAdBlocke C:\ProgramData\{4230c405-4d60-6b1a-4230-0c4054d61015} C:\ProgramData\1078601655 C:\ProgramData\1374afa80000451b C:\ProgramData\18cde976000005a9 C:\ProgramData\61493b34e22a9fed C:\ProgramData\7010199393297670125 C:\ProgramData\c74a5aab00003619 C:\ProgramData\ChampionDeals C:\ProgramData\CouponFactory C:\ProgramData\DAEMON Tools Pro C:\ProgramData\deaLpeak C:\ProgramData\Google C:\ProgramData\IePluginServices C:\ProgramData\PC Tools C:\ProgramData\SooftCouuP C:\ProgramData\TEMP C:\ProgramData\uTDFjDJLaO C:\ProgramData\ZombieInvasion C:\shoplog C:\Users\zawias\AppData\Local\nsl1E66.tmp C:\Users\zawias\AppData\Local\nsx5D27.tmp C:\Users\zawias\AppData\Local\18765 C:\Users\zawias\AppData\Local\Google C:\Users\zawias\AppData\Local\mtt_de_4 C:\Users\zawias\AppData\Local\ZombieInvasion C:\Users\zawias\AppData\Roaming\appdataFr3.bin C:\Users\zawias\AppData\Roaming\CGRMXE C:\Users\zawias\AppData\Roaming\XSVOYY C:\Users\zawias\AppData\Roaming\AnyProtectEx C:\Users\zawias\AppData\Roaming\systweak C:\Users\zawias\AppData\Roaming\Taplika C:\Users\zawias\AppData\Roaming\TestApp C:\Users\zawias\AppData\Roaming\WSE_Taplika C:\Users\zawias\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9469243fe2b7cb05\BoBrowser.lnk C:\Users\zawias\Desktop\sd9setup.exe.lnk C:\Users\zawias\Downloads\sd9setup.exe C:\Users\zawias\Documents\Optimizer Pro Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\zawias\AppData\Local CMD: dir /a C:\Users\zawias\AppData\LocalLow CMD: dir /a C:\Users\zawias\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw niepoprawnie wyczyszczony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\zawias\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. To nie jest problem infekcji. Wygląda na to, że załatwiłeś się samodzielnie nieumiejętnie stosując program Chris PC-Lock. W raporcie widać startujący Chris PC-Lock oraz relatywne polityki blokujące dostęp do określonych funkcji: HKLM-x32\...\Run: [Chris PC-Lock] => C:\Program Files (x86)\Chris PC-Lock\PCLock.exe [486888 2014-07-07] (Chris P.C. srl) HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [DisableChangePassword] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [DisableLockWorkStation] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [HideFastUserSwitching] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\system: [DisableTaskMgr] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\Explorer: [NoChangeStartMenu] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\Explorer: [NoClose] 1 HKU\S-1-5-21-406146429-3267792464-4140239600-1001\...\Policies\Explorer: [NoLogOff] 1 Polityki oczywiście można usunąć za pomocą skryptu FRST, ale tego na razie nie zadaję, bo polityki wrócą, jeśli dana aplikacja jest skonfigurowana by je wprowadzić. Podstawowe pytanie: co zostało zrobione w Chris PC-Lock i czy jest możliwość odwrócić konfigurację? MBAM wykrył po prostu kolejne polityki. Jak mówię, to nie jest infekcja. Jakie?

W powyższym poście (nie edytuj już pierwszego posta) klik w Edytuj > Użyj pełnego edytora > doczep pliki. EDIT: Logi dodane. Odpowiadasz mi już w nowym poście, nie edytuj poprzedniego. To są logi z konta limitowanego: Ran by Tadeusz (ATTENTION: The logged in user is not administrator) on FERRARI on 11-02-2015 16:51:38 Proszę dodaj logi również z konta administracyjnego Admin. Zaloguj się na to konto poprzez pełny restart komputera (a nie opcję Wyloguj czy Przełącz użytkownika). ==================== Accounts: ============================= Admin (S-1-5-21-3550082035-2878343640-584771193-1000 - Administrator - Enabled) => C:\Users\Admin Tadeusz (S-1-5-21-3550082035-2878343640-584771193-1001 - Limited - Enabled) => C:\Users\Tadeusz

Mamy tu w systemie liczne infekcje typu adware, a sieć nie działa zapewne dlatego, że został uszkodzony łańcuch Winsock (wpięcia niepożądanych plików ColorMedia.dll i ColorMedia64.dll od adware FlashBeat). Zadania zostaną podzielone, na początek należy poprawnie odinstalować maksymalną ilość obiektów. Działania wstępne: 1. Przez Panel sterowania odinstaluj: - Adware: AnySend, ConvertAd, Facebook Social Plugin, FlashBeat, GamesDesktop 014.187, HDtubeV1.6V09.02, Health Alert, igsc, MyBestOffersToday 014.495, SmartWeb, Support PL 1.1, Techgile, webssearches uninstall, WinCheck, Word Proser 1.10.0.6, youtubeadblocker. - Zbędne programy: Carambis Driver Updater (można sobie nabroić tym programem) + Mozilla Firefox 4.0.1 (x86 de) (strasznie stary!). 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. 3. Zrób nowe logi FRST z opcji Scan, zaznacz ponownie pola Addition + Shortcut, by powstały trzy logi.

Do wglądu zasady działu - w tym dziale mogą udzielać pomocy tylko dwie osoby, przy czym jedna z nich jest nieobecna już od bardzo długiego czasu i zostaję tylko ja, a ja nie nie jestem w stanie warować tu 24/7. Ilość pobrań załączników o niczym nie świadczy, ani nawet nie udawadnia że ktoś je rzeczywiście otworzył, bo załączniki skanuje bot indeksujący Google. Nie podałeś w ogóle wyciągu ze skanera, by można było ocenić co właściwie zostało wykryte. Ale wątpię w "wirusy", raporty pokazują, że tu są inne typy obiektów, czyli adware/PUP oraz loggery danych. W systemie są następujące problemy: - Infekcje: keyloggery Tibia (instalowane własnoręcznie!), źle doczyszczona infekcja "policyjna" (a przyczyną stara wersja Java obecna w systemie), niepoprawnie usunięte adware (zamiast usuwać antywirusem należało w pierwszej kolejności poprawnie odinstalować) - Uszkodzony system Usług kryptograficznych Windows (wszystkie usługi / sterowniki Microsoftu są oznaczone jako niesygnowane. Do wykonania następujące działania: 1. Uruchom narzędzie Fix It 50202: KLIK. Narzędzie działa na XP. Zaznacz tryb agresywny, co resetuje bazę catroot2. 2. Przez Dodaj/Usuń programy odinstaluj: - Adware i szkodniki: App Lid, AppsHat Mobile Apps, awesomehp Browser Protecter, Download Updater (AOL LLC), holasearch toolbar on IE, SweetIM for Messenger 3.7, Torch, Tibia MULTI-ip changer (to jest szkodliwy changer!), unnm=Version Checker for Dealply, Update Manager for SweetPacks 1.1, Word Proser 1.10.0.4, Yontoo 1.10.03. - Stare wersje i zbędniki: Akamai NetSession Interface, Java 7 Update 71, Java™ 6 Update 39, McAfee Security Scan Plus, MyFreeCodec. Wpisy adware jak mówiłam są uszkodzone, ale Windows powinien zapytać czy usunąć puste wpisy. Jeśli czegoś nie będzie widać lub nie będzie się dało usunąć, nie szkodzi, kontynuuj. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINNT\Tasks\3693e6d1-ed3c-4a89-b8a7-7da19ffeb7bc.job => C:\Program Files\App Lid\3693e6d1-ed3c-4a89-b8a7-7da19ffeb7bc.exe Task: C:\WINNT\Tasks\f4b24499-295e-434d-91c2-67bbf6242b10-1.job => C:\Program Files\App Lid\App Lid-codedownloader.exe Task: C:\WINNT\Tasks\f4b24499-295e-434d-91c2-67bbf6242b10-11.job => C:\Program Files\App Lid\f4b24499-295e-434d-91c2-67bbf6242b10-11.exe Task: C:\WINNT\Tasks\f4b24499-295e-434d-91c2-67bbf6242b10-2.job => C:\Program Files\App Lid\f4b24499-295e-434d-91c2-67bbf6242b10-2.exe Winlogon\Notify\LogonInit: C:\Program Files\Common Files\logonInit.dll () HKU\S-1-5-21-1177238915-790525478-725345543-1003\...\Run: [Akamai NetSession Interface] => C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe [4673432 2014-10-29] (Akamai Technologies, Inc.) HKU\S-1-5-21-1177238915-790525478-725345543-1003\...\Winlogon: [shell] explorer.exe,C:\Documents and Settings\Maciek\Dane aplikacji\cache.dat HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKLM\...\Winlogon: [shell] Explorer.exe [x ] () IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe Startup: C:\Documents and Settings\Maciek\Menu Start\Programy\Autostart\Powiadomienia monitorowania tuszu - HP Deskjet 1050 J410 series.lnk Startup: C:\Documents and Settings\Rodzice\Menu Start\Programy\Autostart\OpenOffice.org 3.3.lnk ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKU\S-1-5-21-1177238915-790525478-725345543-1003\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1177238915-790525478-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.msn.com/?pc=AV01 HKU\S-1-5-21-1177238915-790525478-725345543-1003\Software\Microsoft\Internet Explorer\Main,Start Page Restore = http://search.conduit.com?SearchSource=10&ctid=CT2786678 URLSearchHook: HKU\S-1-5-21-1177238915-790525478-725345543-1003 - SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll No File BHO: No Name -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> No File BHO: App Lid -> {11111111-1111-1111-1111-110611571143} -> C:\Program Files\App Lid\App Lid-bho.dll (Lid) BHO: No Name -> {2c9837e0-bcf4-431e-a010-f2b058b60456} -> No File BHO: No Name -> {6962b2f8-db6d-48b3-9712-121f12833dde} -> No File BHO: No Name -> {6d2810e5-e77f-4aa6-aef8-634d0dd3377b} -> No File BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File BHO: No Name -> {DFF9B2DA-EF99-4B26-83CB-7058299999D8} -> No File BHO: No Name -> {F225A2E3-8EE1-4204-B7A0-F4C551578A87} -> No File Toolbar: HKLM - No Name - {C510DFFB-0AFE-484C-BA40-CED5B74C4EEF} - No File Toolbar: HKLM - No Name - {ec2bae47-25af-4ce9-9e78-10627a49c9ea} - No File DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_13-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0039-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_39-windows-i586.cab DPF: {CAFEEFAC-0017-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_07-windows-i586.cab DPF: {CAFEEFAC-0017-0000-0013-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_13-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_39-windows-i586.cab Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - No File CustomCLSID: HKU\S-1-5-21-1177238915-790525478-725345543-1003_Classes\CLSID\{A2DF06F9-A21A-44A8-8A99-8B9C84F29160}\localserver32 -> C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Torch\Application\25.0.0.3831\delegate_execute.exe (The Chromium Authors) CHR HKLM\...\Chrome\Extension: [bejbohlohkkgompgecdcbbglkpjfjgdj] - C:\DOCUME~1\Maciek\USTAWI~1\Temp\crx10C.tmp [Not Found] CHR HKLM\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - No Path CHR HKLM\...\Chrome\Extension: [fagpjgjmoaccgkkpjeoinehnoaimnbla] - C:\Documents and Settings\Maciek\Dane aplikacji\BabSolution\CR\hola.crx [2013-07-03] CHR HKLM\...\Chrome\Extension: [hhahnbgeeecnlgkbiaefnkpinkjpedgj] - C:\Program Files\MediaViewV1\MediaViewV1alpha2231\ch\MediaViewV1alpha2231.crx [2014-02-26] CHR HKLM\...\Chrome\Extension: [jbpkiefagocgkmemidfngdkamloieekf] - C:\Program Files\TornTV.com\torn10.crx [Not Found] CHR HKLM\...\Chrome\Extension: [jinpbpolhladablmldmollideahhdpni] - C:\Program Files\MediaBuzzV1\MediaBuzzV1mode5392\ch\MediaBuzzV1mode5392.crx [2014-04-24] CHR HKLM\...\Chrome\Extension: [niapdbllcanepiiimjjndipklodoedlc] - C:\Program Files\Yontoo\YontooLayers.crx [2012-11-18] FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files\Microsoft Silverlight\5.1.30514.0\npctrl.dll No File FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\Ask.xml FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINNT\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [xz123@ya456.com] - C:\Program Files\BetterSurf\ff FF HKLM\...\Firefox\Extensions: [ext@WebexpEnhancedV1alpha428.net] - C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha428\ff FF HKLM\...\Firefox\Extensions: [ext@VideoPlayerV3beta26.net] - C:\Program Files\VideoPlayerV3\VideoPlayerV3beta26\ff FF HKLM\...\Firefox\Extensions: [ext@MediaPlayerV1alpha844.net] - C:\Program Files\MediaPlayerV1\MediaPlayerV1alpha844\ff FF HKLM\...\Firefox\Extensions: [ext@MediaViewV1alpha2231.net] - C:\Program Files\MediaViewV1\MediaViewV1alpha2231\ff FF HKLM\...\Firefox\Extensions: [ext@MediaBuzzV1mode5392.net] - C:\Program Files\MediaBuzzV1\MediaBuzzV1mode5392\ff FF HKLM\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Documents and Settings\Maciek\Dane aplikacji\Mozilla\Firefox\Profiles\xtodciik.default-1362574540062\extensions\fftoolbar2014@etech.com FF HKU\.DEFAULT\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\Documents and Settings\All Users\Dane aplikacji\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi FF HKU\S-1-5-21-1177238915-790525478-725345543-1003\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\Documents and Settings\All Users\Dane aplikacji\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi S2 ATKKeyboardService; C:\WINNT\ATKKBService.exe [X] S2 IBUpdaterService; %SystemRoot%\system32\dmwu.exe [X] S2 IHProtect Service; C:\Program Files\XTab\ProtectService.exe [X] S2 NMSAccessU; C:\Documents and Settings\Maciek\Ustawienia lokalne\Temp\{73943CAF-A70B-4B03-929D-37BB997B30EB}\NMSAccessU.exe [X] S2 WindowsMangerProtect; C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] R1 wpnfd_1_10_0_4; C:\WINNT\System32\drivers\wpnfd_1_10_0_4.sys [52736 2014-12-04] (Word Proser) S1 ASPI32; No ImagePath S1 iSafeKrnlMon; \??\C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys [X] S3 Video3D; System32\Drivers\Video3D32.sys [X] S3 vtany; \??\C:\WINNT\vtany.sys [X] S3 xhunter1; \??\C:\WINNT\xhunter1.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect C:\Documents and Settings\All Users\Menu Start\Programy\Asprate C:\Documents and Settings\Maciek\Dane aplikacji\cache.ini C:\Documents and Settings\Maciek\Dane aplikacji\18013 C:\Documents and Settings\Maciek\Dane aplikacji\BabSolution C:\Documents and Settings\Maciek\Dane aplikacji\BabylonToolbar C:\Documents and Settings\Maciek\Dane aplikacji\omiga-plus C:\Documents and Settings\Maciek\Dane aplikacji\Opera Software C:\Documents and Settings\Maciek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\iLivid.lnk C:\Documents and Settings\Maciek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Torch.lnk C:\Documents and Settings\Maciek\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\Maciek\Menu Start\Programy\iLivid.lnk C:\Documents and Settings\Maciek\Menu Start\Programy\Torch.lnk C:\Documents and Settings\Maciek\Menu Start\Programy\Torch C:\Documents and Settings\Maciek\Menu Start\Programy\SmartTweak Software C:\Documents and Settings\Maciek\Pulpit\Diablo III.lnk C:\Documents and Settings\Maciek\Pulpit\iLivid.lnk C:\Documents and Settings\Maciek\Pulpit\LogMeIn Hamachi.lnk C:\Documents and Settings\Maciek\Pulpit\Tibia MULTI-IP Changer.lnk C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\App Lid C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\iLivid C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Torch C:\Documents and Settings\Rodzice\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Program Files\Common Files\logonInit.dll C:\Program Files\Common Files\userInit.dll C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\Program Files\App Lid C:\Program Files\Asprate C:\Program Files\MediaBuzzV1 C:\Program Files\MediaPlayerV1 C:\Program Files\MediaViewV1 C:\Program Files\OpenOffice.org C:\Program Files\OpenOffice.org 3 C:\Program Files\Opera C:\Program Files\SeeSimilar C:\Program Files\SmartTweak C:\Program Files\SweetIM C:\Program Files\VideoPlayerV3 C:\Program Files\WebexpEnhancedV1 C:\Program Files\XTab C:\Program Files\Yontoo C:\WINNT\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINNT\system32\ARFC Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Documents and Settings\All Users\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Rodzice\Ustawienia lokalne\Dane aplikacji" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 5. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia zostaną wyłączone (włącz ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 6. Są tu dwa konta w systemie: ==================== Accounts: ============================= Maciek (S-1-5-21-1177238915-790525478-725345543-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Maciek Rodzice (S-1-5-21-1177238915-790525478-725345543-1005 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Rodzice Zaloguj się po kolei na każde poprzez pełny rtestart systemu (a nie opcję Wyloguj lub Przełącz użytkownika) i na każdym koncie po kolei zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

pitersp1, proszę nie twórz posta pod postem, gdy nikt jeszcze nie odpisał. Posty sklejam. Temat przenoszę do działu diagnostyki infekcji. Opis bardzo niejasny i chaotyczny, brak też jakichkolwiek danych. Podaj dokładnie co za plik uruchomiłeś oraz dostarcz obowiązkowe logi: KLIK.

W tej sytuacji z grupy włączonych wpisów zacznij wyłączać po jednym na raz + restart, aż wychwycisz który konkretnie obiekt prowadzi do pokazywania komunikatu.

Nie wiesz o jakim pliku mowa?

Proszę uzupełnij wymagane raporty z FRST. Wszystko się zgadza: - Komunikat numer 1: brak wykrytego sterownika SPTD i jest to zgodne ze stanem faktycznym (nie ma tego w raporcie ComboFix). - Komunikat numer 2: narzędzie nie działa na Windows 10, który nawet nie jest finalnym systemem (na razie wersje testowe dotępne). Prawdopodobnie problem tworzy ... G Data. Podobny temat z forum: KLIK. Z Twojego raportu ComboFix: ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "G Data ASM"="c:\program files (x86)\G Data\TotalProtection\DelayLoader\AutorunDelayLoader.exe" [2013-12-19 431224] Jeśli mowa o Pulpicie, to wszystko jest w porządku, a "problem" tyczy wszystkich systemów od Vista w górę. Cytuję: Jeżeli zaznaczysz ponownie opcję Ukryj chronione pliki systemu operacyjnego, pliki zostaną schowane. G Data wykrył obiekty adware, nabyte na jeden z tych sposobów: KLIK. Oczekuję na raporty z FRST z systemu na którym wykryte zostały te śmieci.

Niezabezpieczone systemy Windows 7 bez aktualizacji KB2286198 (zawiera się w SP1) mogą być podatne na lukę LNK (samo wyświetlenie skrótów w eksploratorze wykonuje infekcję). Mając jednak załatane systemy: Obecnie są stosowane sztuczki socjotechniczne, by skłonić użytkownika do uruchomienia pliku infekcji, wykorzystujące fakt, że opcja Ukryj chronione pliki systemu operacyjnego jest domyślnie zaznaczona (lub infekcja stara się ją przekonfigurować i zapobiec przestawieniu opcji). Opcja jest wykorzystywana w taki sposób, by upozorować utratę danych zasadniczych lub je zasymulować. Przykład: Robak Gamarue Robak tworzy na urządzeniu ukryty (atrybuty HS) folder o nazwie spacji i przesuwa do niego wszystkie dane użytkownika, tworzy też ukryte pliki infekcji. Jako jedyny widoczny element tworzy skrót o nazwie urządzenia, który uruchamia ukryty plik infekcji. Użytkownik skonfrontowany z pozornie pustym urządzeniem szukając zaginionych danych klika na skrót. Ten skrót jest zresztą mylony z samym urządzeniem per se - nagminnie w tematach z tą infekcją słyszę sformułowanie "nie da się otworzyć pendrive" (każdy tego próbował, tzn. klikał w skrót). Co widzi użytkownik: Co jest w rzeczywistości na urządzeniu (przy czym skrót linkuje do pliku *.ini, zerowy autorun.inf to fantom i nie jest motorem infekcji): Pomimo prostoty rozwiązania jest to bardzo skuteczna metoda i działa na różne typy użytkowników, nawet takich którzy mają większą orientację w systemie. Na forum tutaj masowe zgłoszenia problemu "braku danych", bądź też "zamiany danych w skróty", choć te sytuacje nie mają w rzeczywistości miejsca. Użytkownicy nie domyślili się samodzielnie, że nie widzą po prostu wszystkiego, a szukając danych uruchamiali co popadnie (czyli owe skróty infekcji). Pamiętam też użytkownika, który z kolei był "zbyt zaawansowany" i widząc większą zajętość pendrive niż wskazywał to widok dysku przekombinował, tzn. szukał nie tam gdzie trzeba (od razu się rzucił na TestDisk), bo tak proste rozwiązanie z atrybutami też nie przyszło mu do głowy. Należy też zwrócić uwagę, że obecnie metodologia jest znana, ale gdy pierwszy taki przypadek na forum wystąpił, była to nowość. Nie było to zachowanie nigdzie opisane czy sklasyfikowane. Użytkownik nie miał żadnych danych pomocniczych, by ukierunkować swój tok rozumowania, porównać swój przypadek z jakimś opisem.

GMER w awaryjnym też nie przechodzi? Jeśli chodzi o to co widać w raportach FRST, to do czyszczenia tylko drobnostki (szczątki infekcji w mapowaniu MountPoints2 i puste skróty zgłoszone w Shortcut). Otwórz Notatnik i wklej w nim: CloseProcesses: S3 ESEADriver2; \??\C:\DOCUME~1\Przemek\USTAWI~1\Temp\ESEADriver2.sys [X] S3 RivaTuner32; \??\C:\Program Files\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition\RivaTuner32.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{F9FE453B-C190-4756-B966-A4909821B45F} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{AB9F473D-749A-45CF-9AC6-2DC91DA2B928} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{8DFDDDFC-9549-4A96-9AF1-58E0DE4E5CB9} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{5F1ED611-A061-4007-BF6C-C1989264D4A1} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{59F7B6C3-E094-45C9-A3C1-CFFEF07D4DA2} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{30F6A86B-7CCB-4FC8-9055-E3D30D05B532} C:\Documents and Settings\All Users\Menu Start\Programs\Accessories\Media Center\Media Center Programs\Crysis.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Football Manager 2014.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Codemasters\GRID\Readme.lnk C:\Documents and Settings\All Users\Menu Start\Programy\HD Tune\HD Tune Manual.lnk C:\Documents and Settings\All Users\Menu Start\Programy\K-Lite Codec Pack\Help\Frequently Asked Questions.lnk C:\Documents and Settings\All Users\Menu Start\Programy\League of Legends C:\Documents and Settings\All Users\Menu Start\Programy\Sony\Vegas Movie Studio Platinum 9.0\Vegas Movie Studio Platinum 9.0 Readme.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Sony\Vegas Movie Studio Platinum 9.0\Video Capture 6.0 Readme.lnk C:\Documents and Settings\All Users\Menu Start\Programy\This War of Mine C:\Documents and Settings\All Users\Menu Start\Programy\Ulead VideoStudio 11\CzytajTo.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Warner Bros. Interactive Entertainment\LEGO® Przygoda - Gra Wideo DEMO\Pierwsza pomoc.lnk C:\Documents and Settings\All Users\Pulpit\Play League of Legends.lnk C:\Documents and Settings\All Users\Pulpit\This War of Mine.lnk C:\Documents and Settings\Przemek\xxpoof.exe C:\Documents and Settings\Przemek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox (*).lnk C:\Documents and Settings\Przemek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Skype*.lnk C:\Documents and Settings\Przemek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\WoTBooster.exe.lnk C:\Documents and Settings\Przemek\Dane aplikacji\Microsoft\PowerPoint\Moje biblioteki slajdów\Pobieranie na C.lnk C:\Documents and Settings\Przemek\Menu Start\Programy\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition C:\Documents and Settings\Przemek\Menu Start\Programy\The long Dark ENG 1.36 C:\Documents and Settings\Przemek\Menu Start\Programs\THQ C:\Documents and Settings\Przemek\Menu Start\Programy\VirtualDJ C:\Documents and Settings\Przemek\Pulpit\VirtualDJ Home FREE.lnk C:\Documents and Settings\Przemek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\GameExplorer\{50C78784-5DFA-46ED-A267-05DBED178AA2} Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

Większość zrobiona, nie usunęły się poniższe pliki, zapewne blokuje tam dostęp Avira. Zdeaktywuj antywirusa i ręcznie te pliki dokończ. C:\Program Files\Avira\AntiVir Desktop\eula.TXT.scqwxua Odmowa dostępu. C:\Program Files\Avira\AntiVir Desktop\readme.TXT.scqwxua Odmowa dostępu. C:\Program Files\Avira\AntiVir Desktop\sweb.ZIP.scqwxua Odmowa dostępu. C:\Program Files\Avira\AntiVir Desktop\toolbar_eula.TXT.scqwxua Odmowa dostępu. Dodatkowa uwaga: usunięcie zaszyfrowanych plików z C oznacza teraz określone braki w folderach różnych aplikacji. To nie jest wybitnie duży problem, ale może się zdarzyć, że brak jakiegoś pliku objawi się w widoczny sposób (np. ubytki w GUI) i wtedy należy daną aplikację przeinstalować.

Skasuj pobrany GMER, następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Czyszczenie skończone, jak mówiłam, to były sprawy poboczne.

Fix wykonany, kończymy: 1. Usuń pobrany FRST z C:\Users\Tomek\Downloads\Nowy folder (2). 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. Cały system do aktualizacji, jest tu łysy Windows 7, brak SP1 + IE11 + reszty łat: Platform: Windows 7 Ultimate (X64) OS Language: Polski (Polska) Internet Explorer Version 8 (Default browser: FF) 4. Na koniec zainstaluj najnowszą wersję AVG 2015. Przy instalacji pomiń AVG Web TuneUp. Instalacja antywirusa podana jako krok ostatni, by antywirus nie przeszkadzał aktualizacjom Windows, których tu będzie ogromna ilość do uzupełnienia.

Fix wykonany - zastosuj DelFix. Nie ma potrzeby zakładania nowych tematów. Wyraźnie napisałam, że temat już został przeniesiony do działu Hardware ze względu na błędy (potem może być przeniesiony jeszcze raz do działu Sieci). Miałeś podać raporty orientowane sprzętowo.

Spokojnie, antywirusa przywrócisz, gdy zakończymy czyszczenie. Na razie do wykonania: 1. Uruchom AdwCleaner ponownie, tym razem wybierz opcje Szukaj + Usuń. Gdy AdwCleaner ukończy działanie: 2. Otwórz Notatnik i wklej: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Tomek\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\System32\log RemoveDirectory: C:\Windows\SysWOW64\Drivers\AVG Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

- Nie musisz wszystkich instalatorów usuwać, ale sugeruję to zrobić. Niektóre nawet nie są od najnowszych wersji. Wyjątkiem są dwa pliki: LinuxLive-USB-Creator-LiLi(31072).exe - to nie jest poprawny instalator, to śmieć, czyli "Asystent pobierania": KLIK Total Uninstall Pro 5.10.2.1416 Final.exe - to coś nie wygląda zdrowo, albo jakiś podejrzany crack (nie wiadomo czy nie ładuje czegoś bardzo niepożądanego), albo inne dziadostwo. - Mówimy o wynikach skanu ESET - w skanie jedyne komponenty, które są zainstalowane, to te dwa, a reszta to są instalatory (nie ma znaczenia czy dana aplikacja jest zainstalowana). Fix wykonany. Zastosuj DelFix, wyczyść foldery Przywracania systemu i zaktualizuj Java: KLIK. To tyle z zakresu czyszczenia.

To nie jest problem infekcji. W spoilerze tylko drobnostki, tzn. usunięcie szczątków adware / wpisów pustych i Temp, to nie ma żadnego związku z Twoimi problemami. Przenoszę temat z działu diagnostyki infekcji do właściwszego działu, najpierw Hardware, potem pójdzie do Sieci. Kto inny prawdopodobnie się zajmie obydwoma wątkami, to nie jest moja specjalizacja. 1. Dział Hardware, gdyż w Dzienniku zdarzeń są błędy natury sprzętowej-sterownikowej. Zasady działu Hardware: KLIK. System errors: ============= Error: (02/09/2015 05:27:09 PM) (Source: Microsoft-Windows-WHEA-Logger) (EventID: 20) (User: ZARZĄDZANIE NT) Description: Wystąpił krytyczny błąd sprzętowy. Składnik: mostek północny firmy AMD Źródło błędu: 3 Typ błędu: 7 Identyfikator procesora: 0 Widok szczegółów tego wpisu zawiera dodatkowe informacje. Error: (02/09/2015 05:26:45 PM) (Source: BugCheck) (EventID: 1001) (User: ) Description: 0x00000124 (0x0000000000000000, 0xfffffa8007b308f8, 0x0000000000000000, 0x0000000000000000)C:\Windows\Minidump\020915-18969-01.dmp020915-18969-01 Error: (02/09/2015 05:26:43 PM) (Source: EventLog) (EventID: 6008) (User: ) Description: Poprzednie zamknięcie systemu przy 17:25:45 na ‎2015-‎02-‎09 było nieoczekiwane. Error: (02/08/2015 03:51:27 PM) (Source: nvlddmkm) (EventID: 13) (User: ) Description: \Device\Video7Graphics Exception: ESR 0x408030=0x80000003 Error: (02/08/2015 03:51:27 PM) (Source: nvlddmkm) (EventID: 13) (User: ) Description: \Device\Video7Graphics Exception: Const out of Bound 2. Dział Sieci również ma inne wymagania: KLIK. Sugeruję jednak przed rzuceniem się w dalszą diagnostykę sprawdzić czy przypadkiem problemów nie tworzy usługa nVidia o charakterze sieciowym: R2 NvNetworkService; C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe [1706128 2015-01-16] (NVIDIA Corporation) Swoją drogą, w Dzienniku zdarzeń są błędy usług nVidia. To mogą być tylko skutki uboczne innej usterki, ale możesz tymczasowo część usług wyłączyć. Uruchom msconfig, w karcie Usługi odznacz pozycje NvNetworkService, NvStreamSvc, Stereo Service i zresetuj system. Można też odinstalować całe NVIDIA GeForce Experience 2.2.2 zostawiając tylko sterowniki. Error: (02/08/2015 00:03:32 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: NvNetworkService.exe, wersja: 2.2.0.50, sygnatura czasowa: 0x54b0652e Nazwa modułu powodującego błąd: unknown, wersja: 0.0.0.0, sygnatura czasowa: 0x00000000 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x73e871fc Identyfikator procesu powodującego błąd: 0x610 Godzina uruchomienia aplikacji powodującej błąd: 0xNvNetworkService.exe0 Ścieżka aplikacji powodującej błąd: NvNetworkService.exe1 Ścieżka modułu powodującego błąd: NvNetworkService.exe2 Identyfikator raportu: NvNetworkService.exe3 Error: (02/08/2015 00:03:31 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: nvSCPAPISvr.exe, wersja: 7.17.13.4725, sygnatura czasowa: 0x54b0549a Nazwa modułu powodującego błąd: unknown, wersja: 0.0.0.0, sygnatura czasowa: 0x00000000 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x73e871fc Identyfikator procesu powodującego błąd: 0x340 Godzina uruchomienia aplikacji powodującej błąd: 0xnvSCPAPISvr.exe0 Ścieżka aplikacji powodującej błąd: nvSCPAPISvr.exe1 Ścieżka modułu powodującego błąd: nvSCPAPISvr.exe2 Identyfikator raportu: nvSCPAPISvr.exe3 Dodatkowa uwaga na temat edycji pliku HOSTS, dwie ostatnie linie do wywalenia z pliku (błędna edycja lokalny IP kieruje na inny IP, plik HOSTS akceptuje tylko pary lokalny IP > nazwa hosta): ==================== Hosts content: ========================== 2009-07-14 03:34 - 2015-02-09 17:22 - 00000970 ____A C:\Windows\system32\Drivers\etc\hosts 127.0.0.1 activation.cloud.techsmith.com 127.0.0.1 oscount.techsmith.com 127.0.0.1 65.52.240.48 127.0.0.1 69.167.144.18

Skan SFC nie wykrył żadnych naruszeń. Czy była deinstalowana Avira? Na pierwszym obrazku jest pokazana wyraźnie "odłączona" lokalizacja F: > ostrzeżenie "Sprawdź ustawienia kopii zapasowej" i Opcje. Tam masz sprawdzić co widać i przekonfigurować. Nie o to chodzi. To co pokazujesz to jest konfiguracja Przywracania systemu. I nie chodzi tu o usunięcie kopii, tylko usunięcie wadliwej konfiguracji punktującej nieistniejący dysk.

Powiedz mi gdzie się pokazuje to: Wg dir zrobionego przez FRST ten folder jest pusty, ale to może być owszem brak uprawnień, by wejść dalej. S-1-5-21-3177431358-1015821002-1608614537-1000 to prawdopodobnie SID konta już dawno nie istniejącego w systemie, dlatego brak dostępu. 2012-10-24 03:02 - 2015-01-23 12:36 - 0000000 __SHD () Q:\$RECYCLE.BIN\S-1-5-21-3177431358-1015821002-1608614537-1000 1. Jeśli chcesz odblokować wgląd do tego konkretnego folderu, to do Notatnika wklej: Unlock: Q:\$RECYCLE.BIN\S-1-5-21-3177431358-1015821002-1608614537-1000 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. A jeśli chcesz w całości usunąć ten Kosz (sugeruję to od razu zrobić, to są na pewno archaiczne skasowane kiedyś obiekty, tylko Kosz nie został opróżniony), to do Notatnika wklej: RemoveDirectory: Q:\$RECYCLE.BIN Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Wszystko zrobione. Poprawki: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3233527848-828038961-4074897931-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=dspp&ts=1418761835&from=exp&uid=WDCXWD7501AALS&q={searchTerms} HKU\S-1-5-21-3233527848-828038961-4074897931-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=dspp&ts=1418761835&from=exp&uid=WDCXWD7501AALS&q={searchTerms} SearchScopes: HKU\S-1-5-21-3233527848-828038961-4074897931-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = C:\Program Files (x86)\AVG C:\Program Files (x86)\MediaPlayerV1 C:\Program Files (x86)\MediaViewerV1 C:\Program Files (x86)\MediaViewV1 C:\Program Files (x86)\MediaWatchV1 C:\Program Files (x86)\Temp C:\Program Files (x86)\VVaudix C:\ProgramData\AVG Security Toolbar C:\ProgramData\Avg_Update_1214tb C:\ProgramData\Gadu-Gadu 10 C:\ProgramData\IHProtectUpDate C:\ProgramData\Logs C:\ProgramData\LogSys C:\ProgramData\MFAData C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\OpenFM C:\ProgramData\Orbit C:\ProgramData\Oracle C:\ProgramData\Sun C:\ProgramData\Temp C:\Users\Tomek\AppData\Local\cache C:\Users\Tomek\AppData\Local\CrashDumps C:\Users\Tomek\AppData\Local\CrashRpt C:\Users\Tomek\AppData\Local\id Software C:\Users\Tomek\AppData\Local\Lollipop C:\Users\Tomek\AppData\Local\NPE C:\Users\Tomek\AppData\Local\OpenFM C:\Users\Tomek\AppData\Local\SwvUpdater C:\Users\Tomek\AppData\LocalLow\id Software C:\Users\Tomek\AppData\LocalLow\Sun C:\Users\Tomek\AppData\Roaming\Gadu-Gadu 10 C:\Users\Tomek\AppData\Roaming\GoforFiles C:\Users\Tomek\AppData\Roaming\iSafe C:\Users\Tomek\AppData\Roaming\LogSys C:\Users\Tomek\AppData\Roaming\OpenFM C:\Users\Tomek\AppData\Roaming\Oracle C:\Users\Tomek\AppData\Roaming\TuneUp Software C:\Windows\system32\Drivers\AVG Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (jeszcze nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Brak oznak czynnej infekcji. Skaner ESET nie wykrył nic istotnego, większość wyników to są po prostu instalatory z adware. Instalatory próbują instalować to co jest w nazwie kodowej: toolbary Ask/Google, platforma reklamodawcza OpenCandy, a Win32/DobreProgramy to "Asystent pobierania" dobrychprogramów a nie instalator właściwy. Możesz usunąć wszystko z wyjątkiem tych dwóch wyników (to już zainstalowany program): C:\Program Files (x86)\Cheat Engine 6.2\cheatengine-i386.exe odmiana zagrożenia Win32/HackTool.CheatEngine.AB potencjalnie niebezpieczna aplikacja C:\Program Files (x86)\Cheat Engine 6.2\standalonephase1.dat odmiana zagrożenia Win32/HackTool.CheatEngine.AF potencjalnie niebezpieczna aplikacja I jeszcze możesz wykonać kosmetyczne poprawki na wpisy puste / zbędne: 1. Odinstaluj stary Adobe Shockwave Player 11.6. To samo powinno tyczyć Gadu-Gadu 10 (to najgorsza i nabardziej zasobożerna wersja) - albo zastąpić najnowszym GG12 (jest lepsze i ma mniej reklam), albo alternatywą WTW: KLIK. 2. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Do Notatnika wklej: HKLM-x32\...\Run: [] => [X] CustomCLSID: HKU\S-1-5-21-339540346-3109504209-938711790-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\DOMOWY\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll No File Task: {09BC3A3E-6376-4D8C-A06C-27E2DD4ED820} - System32\Tasks\{74672ACB-F84A-4247-AA4F-EC5B05AE3952} => pcalua.exe -a "C:\Users\DOMOWY\Desktop\wszystko co związane z areo2\Driver_4.23.13.00\DriverUninstall.exe" -d "C:\Users\DOMOWY\Desktop\wszystko co związane z areo2\Driver_4.23.13.00" Task: {1A71CFC5-641F-40B5-A75E-D778F11F492D} - System32\Tasks\{4AEDB217-4E36-414A-BB5A-6885464E850E} => pcalua.exe -a "C:\Users\DOMOWY\Desktop\wszystko co związane z areo2\Driver_4.23.13.00\DriverSetup.exe" -d "C:\Users\DOMOWY\Desktop\wszystko co związane z areo2\Driver_4.23.13.00" Task: {2DFD0A60-5AD3-4DCA-BC04-48C7B3E3E1AD} - System32\Tasks\{02584DEB-7A83-45D8-8730-FB8AAB7832AA} => pcalua.exe -a C:\Users\DOMOWY\Desktop\Driver_4.23.13.00\DriverUninstall.exe -d C:\Users\DOMOWY\Desktop\Driver_4.23.13.00 Task: {3EE03CB9-7894-4700-8491-F9841512B14F} - System32\Tasks\{0B6859AD-E432-46E5-87DE-9D1BA3618EDA} => pcalua.exe -a C:\Users\DOMOWY\Desktop\Driver_4.23.13.00\DriverSetup.exe -d C:\Users\DOMOWY\Desktop\Driver_4.23.13.00 Task: {46314A3B-091B-44A1-A904-89670C55AB72} - System32\Tasks\{130E0415-69AF-461A-AD42-767A08C95F24} => pcalua.exe -a C:\Users\DOMOWY\Downloads\WinSetupFromUSB-0.1.1.exe -d C:\Users\DOMOWY\Downloads Task: {4A8391C7-5E84-465C-9CBB-2917595F0F67} - System32\Tasks\{298D5FDD-667E-47A3-AFB6-F662CAA6A7A7} => pcalua.exe -a "C:\Program Files (x86)\PdaNet for Android\drvins.exe" -d "C:\Program Files (x86)\PdaNet for Android" -c /dr Task: {7EFB7C4F-0137-41B2-BC34-00DD578BC36B} - System32\Tasks\{21A162A1-AC12-4FCC-BD78-A5A0C024D1D0} => pcalua.exe -a C:\Users\DOMOWY\Downloads\TForce4_186_manual.exe -d C:\Users\DOMOWY\Downloads Task: {801CF207-385F-4FB3-844D-07DDE879851C} - System32\Tasks\{3A1B6200-876B-40AD-B7B5-C71E2495CCD3} => pcalua.exe -a "C:\Users\DOMOWY\Desktop\Nowy folder\DriverSetup.exe" -d "C:\Users\DOMOWY\Desktop\Nowy folder" Task: {8F186446-24F0-4B90-8E43-DA316A261489} - System32\Tasks\{6920412B-10E8-44FB-96AD-EAC1E2B1BD81} => pcalua.exe -a C:\Users\DOMOWY\Downloads\Setup_1.0.0.250.exe -d C:\Users\DOMOWY\Desktop Task: {929FD6BE-9E4D-4F3C-8FF3-F9A7E8EE6950} - System32\Tasks\{96A77388-0835-4F56-999A-D6706580786B} => pcalua.exe -a "C:\Users\DOMOWY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JMXQJVBD\AdobeAIRInstaller.exe" -d C:\Users\DOMOWY\Desktop Task: {92AEE613-7C73-4C71-B699-74A5A0795F65} - System32\Tasks\{AB91BC68-572C-4CEC-BA2B-65F06EFF45C2} => pcalua.exe -a C:\Users\DOMOWY\Desktop\Driver\DriverSetup.exe -d C:\Users\DOMOWY\Desktop\Driver Task: {9CDB81AA-24BB-443B-B51D-DD634F9E8F03} - System32\Tasks\{9E37B89C-C830-439A-B8A5-3CAE618EEA55} => pcalua.exe -a C:\Users\DOMOWY\Desktop\mflpro\Data\Disk1\setup.exe -d C:\Users\DOMOWY\Desktop\mflpro\Data\Disk1 Task: {A1551443-4A31-4466-A424-F134EBAB6589} - System32\Tasks\{B1F5599D-F1CC-4DE5-A96D-7CB7C3E11CFA} => pcalua.exe -a C:\Users\DOMOWY\Desktop\Driver\DriverUninstall.exe -d C:\Users\DOMOWY\Desktop\Driver Task: {A5FEBF6D-0953-4254-90F2-703ED199DFA9} - \BatteryCareAuto No Task File Task: {B8DB9242-7FA9-49A2-9DA0-BC704A5CD549} - System32\Tasks\{3B7C1BCF-8B7D-462C-BE74-AEBCE640E191} => pcalua.exe -a "C:\Users\DOMOWY\Desktop\Nowy folder\DriverUninstall.exe" -d "C:\Users\DOMOWY\Desktop\Nowy folder" Task: {C0A500CF-8365-4459-AC69-E8E3CE542084} - System32\Tasks\{6EE67B2C-F5B9-4318-98D9-43FE63E46143} => pcalua.exe -a C:\Users\DOMOWY\Downloads\VirtualBox-4.1.12-77245-Win.exe -d C:\Users\DOMOWY\Desktop Task: {E1DE0B88-28C0-43CA-BA76-5B4645E67836} - System32\Tasks\{11843F18-8D16-4C54-9CF1-773589D56BF5} => pcalua.exe -a "C:\Program Files\BOA\UnInstall.exe" -d "C:\Program Files\BOA" DPF: HKLM {166B1BCA-3F9C-11CF-8075-444553540000} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab DPF: HKLM {233C1507-6A77-46A4-9443-F871F945D258} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab DPF: HKLM {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab C:\ProgramData\{*}.log C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink Blu-ray Disc Suite C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink Blu-ray Disc Suite C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink Blu-ray Disc Suite C:\Users\DOMOWY\AppData\Roaming\VS Revo Group\Revo Uninstaller Pro\ADAU\HP Digital Imaging Monitor.lnk C:\Users\DOMOWY\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FormatFactory\Uninstall.lnk C:\Windows\pss\Serviio.lnk.Startup C:\Windows\System32\Adobe\Shockwave 11 C:\Windows\SysWOW64\Adobe\Director Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^DOMOWY^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Serviio.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Logitech Download Assistant" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

Skasuj pobrany FRST z D:\Naprawa\Naprawa. Nasdtępnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko.

To jest Kosz - czyli dane były usunięte wcześniej do owego Kosza (skasowałeś je i zostały tam przeniesione, ale Kosz nie został opróżniony), o to mi chodzi. Proszę o oryginalny plik fixlog.txt, który powstał podczas opcji Fix.

Po pierwsze: mówiłam wyraźnie "Podaj mi dodatkowy skan" - to jest pobór danych w trybie tylko do odczytu. Popatrz na komendy co robią = nic nie usuwają tylko listują dane z rejestru i dysku (konfiguracja Widoku, uprawnienia + atrybuty + zawartość folderu Kosza). Po drugie: folder $RECYCLE.BIN to jest Kosz, i tu nie rozważamy czy bezpiecznie go usunąć, bo to śmietnik, tylko dlaczego tego nie widzisz w eksploratorze, mimo odpowiedniej konfiguracji. Wszystko co w nim jest to usunięte dane (skasowałeś te obiekty raz wcześniej i poszły do Kosza), a te na obrazku wskazują, że usunięcie odbyło się bardzo dawno temu (znacznik czasowy na rok 2012).