picasso

W Harmonogramie zadań nadal się uruchamia komponent SpeedBit, który zapewne przywraca ustawienia: Task: {ADECA8F9-F60C-41E3-AD4B-DDA9E7A75A85} - System32\Tasks\SBWUpdateTask_Logon_1242b301-000000000000 => C:\Program Files (x86)\Common Files\SpeedBit\SBUpdate\SBUpdate.exe [2013-07-08] (Speedbit Ltd.) Task: {DFC01E5E-FFCF-4CC9-8CCC-14AA6AD6A960} - System32\Tasks\SBWUpdateTask_Time_1242b301-000000000000 => C:\Program Files (x86)\Common Files\SpeedBit\SBUpdate\SBUpdate.exe [2013-07-08] (Speedbit Ltd.) Ale jest tu też dodatkowa nieścisłość: Co rozumiesz pod pojęciem "resetowałam Firefoxa"? W pliku prefs.js mnóstwo preferencji / przekierować Speedbit, które schodzą podczas resetu Firefox (oczywiście przy założeniu, że SpeedBit nie jest procesach). W raporcie nie ma żadnych oznak, że Firefox został zresetowany - wskazuje na to konwencja nazwy profilu Firefox. Firefox widzę, że odinstalowałaś, tylko przy deinstalacji nie wskazałaś, by usuwać zanieczyszczony profil i obecnie nowa instalacja Firefox będzie znów zabrudzona. Trzeba dodatkowo całkowicie usunąć profil Firefox przed nową instalacją. Do przeprowadzenia następujące działania: 1. Odinstaluj przez Panel sterowania stare wersje: Adobe Shockwave Player 12.0, Java 7 Update 25 (64-bit), Java 7 Update 51, Java 8 Update 25, Java™ 6 Update 17. 2. FRST uruchamia się z Tymczasowym plików Internetowych (które zostaną usunięte): C:\Users\Emil\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MZ72ZM5O Proszę pobierz go ponownie i zapisz na Pulpicie. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {002F8F28-6B1F-4C57-8244-0D2F4D647897} - System32\Tasks\{115FCFCD-7B6F-4A60-903F-B517B82749BD} => C:\Program Files (x86)\EA GAMES\The Sims 2 Młodzieżowy styl Akcesoria\TSBin\Sims2SP6.exe Task: {0DAEA0F6-E2A0-4E0E-91D3-8BD0AFFD2229} - System32\Tasks\Driver Booster SkipUAC (Emil) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {1115E172-B12B-47CB-B23C-D2A349726E99} - System32\Tasks\{09BB4EF8-FC8F-44A1-87F4-CC821708B577} => C:\Program Files (x86)\EA GAMES\The Sims 2\TSBin\Sims2.exe Task: {1F428DAF-36C7-41D9-A6CB-4C592F766918} - System32\Tasks\{90634328-3BB1-4CE9-BCD1-83CCC1ED3F08} => C:\Program Files (x86)\EA GAMES\The Sims 2 Młodzieżowy styl Akcesoria\TSBin\Sims2Launcher.exe Task: {268FF348-529F-4B8D-95FE-5B6FA7EFFBA2} - System32\Tasks\{8AF8E1BE-398D-4528-80FE-48F5155E8911} => C:\Users\Emil\Desktop\BESTplayer.exe Task: {29F69A50-76BF-4B9D-A3FA-F4F7D99E38EA} - System32\Tasks\{26C676D0-379B-46A6-9C3C-C3784E6252E2} => pcalua.exe -a C:\Users\Emil\Downloads\SantaSetup(dobreprogramy.pl).exe -d C:\Users\Emil\Desktop Task: {2BBA6055-1E32-4715-8982-4E391684CF33} - System32\Tasks\{45219DBC-31B4-4787-8A03-CD953964473F} => C:\Users\Emil\Desktop\BESTplayer.exe Task: {333690EF-1DAC-496D-9571-89F828E83A8D} - System32\Tasks\{768C7AAF-D78C-4C7A-AD23-429ACF69E65D} => pcalua.exe -a "C:\Users\Emil\Super Mario Bros PC Installer.exe" -d C:\Users\Emil Task: {41F37969-82AB-4D58-B3C8-452362221E81} - System32\Tasks\{51942E76-5A64-4C81-8211-F37E1564F694} => pcalua.exe -a C:\Downloads\Tripex3.exe -d C:\Downloads Task: {523040CC-167C-4128-9363-EFF71953059D} - System32\Tasks\{19A08215-2A77-431A-87CA-CA118BA3093B} => pcalua.exe -a "C:\Program Files (x86)\EA GAMES\The Sims 2\eauninstall.exe" -d "C:\Program Files (x86)\EA GAMES\The Sims 2" Task: {545DF0B2-6A46-4FBF-9A12-B50E13FE8F13} - System32\Tasks\{BE96B593-73C1-462D-A6E6-44BCBD62D942} => C:\Program Files (x86)\EA GAMES\The Sims 2 Nocne życie\TSBin\Sims2EP2.exe Task: {579A8865-445E-4F83-A349-1D7DFB1FBA65} - System32\Tasks\{45945960-DFB6-4E6A-95F4-FC99ADA44A5F} => C:\Program Files (x86)\Ares\Ares.exe Task: {58DEBA88-D19B-4BA2-BFDC-0682D91BB385} - System32\Tasks\{411D9465-C8BA-420B-B426-88DA3DCE0BD2} => pcalua.exe -a "C:\Program Files (x86)\EA GAMES\The Sims 2 University\TSBin\TS2UPD.exe" -d "C:\Program Files (x86)\EA GAMES\The Sims 2 University\TSBin" Task: {671D0EB8-2EA0-4A3B-B1D5-3607381B40B5} - System32\Tasks\{F43C5ED9-92E7-415D-BAA6-B14D1EC97D28} => C:\Users\Emil\Desktop\BESTplayer.exe Task: {68B78D3A-C3EC-4CC4-B989-90021A98440F} - System32\Tasks\{676CDB73-628E-44DF-B4E5-3FBBF2DE93FD} => C:\Program Files (x86)\EA GAMES\The Sims 2 Młodzieżowy styl Akcesoria\TSBin\Sims2SP6.exe Task: {6C003686-DB50-49D3-8449-A1C4E8C9A1C9} - System32\Tasks\{7CA3EA84-B964-4AE1-8C93-F653E724462F} => H:\AutoRun.exe Task: {6E11B38C-5634-4B04-972A-1600BA41F31A} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe Task: {7EF06A6C-099C-490F-9253-34B7A3D8CD7B} - System32\Tasks\{C458054B-2E6C-4CD1-9382-F8883BC9CF7E} => C:\Users\Emil\Desktop\BESTplayer.exe Task: {8153C4EB-993E-4676-84E6-304DAB105EA8} - System32\Tasks\{23FFFDBC-AAD4-458B-AB7A-C70231587CE3} => pcalua.exe -a D:\sims2.exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: {86118B8C-55BF-464B-983E-A45C00E64F12} - System32\Tasks\{6A597318-1404-4E22-930E-0594E1207F3D} => pcalua.exe -a C:\Users\Emil\Shockwave_Installer_Full.exe -d C:\Users\Emil Task: {8F692C89-ED20-4540-9597-6B1D44609D09} - System32\Tasks\{8BA87D9C-68F4-4060-BDCB-42C1063F3531} => C:\Program Files (x86)\EA GAMES\The Sims 2 Nocne życie\TSBin\Sims2EP2.exe Task: {95FEA1D0-BFCF-4B45-96D5-22781D86EBEC} - System32\Tasks\{28B5E4F8-C94C-4B8E-B6E8-49442AA2403F} => pcalua.exe -a D:\Nokia_PC_Suite_pol_web.exe -d D:\ Task: {97922AE6-5BFD-4EAF-BB13-211FBA4B25A6} - System32\Tasks\{8E17136E-98EF-4EC1-9D66-7393C8F91B70} => pcalua.exe -a "C:\Program Files (x86)\EA GAMES\The Sims 2 Nocne życie\TSBin\TS2UPD.exe" -d "C:\Program Files (x86)\EA GAMES\The Sims 2 Nocne życie\TSBin" Task: {9ACBD98A-6140-4F11-A0D4-7B9207DC8A86} - System32\Tasks\{82AD628E-CB87-4A6A-B219-3A6504ADC7D5} => C:\Users\Emil\Desktop\BESTplayer.exe Task: {9C0E040D-C8C3-4887-BF05-4A636FB3C89C} - System32\Tasks\{9E1EA7A7-A25A-4DFC-8F69-DABE5925BB89} => C:\Program Files (x86)\EA GAMES\The Sims 2\TSBin\Sims2.exe Task: {9E92CE60-AFF7-4A67-A3A9-7986B2AFC430} - System32\Tasks\{FF7571AA-F486-4757-B1B4-AEDE59748A00} => C:\Users\Emil\Desktop\BESTplayer.exe Task: {A030DBFD-7EE0-4B73-ACD9-139080717132} - System32\Tasks\{C743EBCE-A852-4B18-BD9E-164D8580B1D6} => pcalua.exe -a "C:\Program Files (x86)\EA GAMES\The Sims 2\CSBin\PackageInstaller.exe" -d "C:\Users\Emil\Desktop\gruth Stairs by ulmille" -c "C:\Users\Emil\Desktop\gruth Stairs by ulmille\gruth_stairs2_marino-walnut_recolour_ulmille.package" Task: {A3DF5CA4-9AB4-474E-B7BD-63FE5BF9E9F3} - System32\Tasks\{8C8C8F84-8A06-4FE5-A7FD-DA57B0B7BB0F} => pcalua.exe -a H:\Sims2EP2_uninst.exe -d H:\ Task: {A84E76B2-185A-4575-98A2-D0D4B7F4765D} - System32\Tasks\{CBB77647-A7B6-4CA9-BAC5-83411A751F4C} => C:\Users\Emil\Desktop\BESTplayer.exe Task: {ADECA8F9-F60C-41E3-AD4B-DDA9E7A75A85} - System32\Tasks\SBWUpdateTask_Logon_1242b301-000000000000 => C:\Program Files (x86)\Common Files\SpeedBit\SBUpdate\SBUpdate.exe [2013-07-08] (Speedbit Ltd.) Task: {B7368EFC-067D-4E3F-8071-30D6EA24E047} - System32\Tasks\{6FC7A672-FBAE-4988-8B7C-6B63863A0705} => pcalua.exe -a "C:\Program Files (x86)\EA GAMES\The Sims 2 Nocne życie\TSBin\eauninstall.exe" -d "C:\Program Files (x86)\EA GAMES\The Sims 2 Nocne życie\TSBin" Task: {B85CDBF4-1992-47A1-B3F5-7D7CAFB1A192} - System32\Tasks\{204439BB-14B5-4709-9161-5766F745D497} => C:\Program Files (x86)\EA GAMES\The Sims 2 University\Sims2EP1_loader.exe Task: {C0F0355C-527B-408D-BC80-BEC34CF2EAC5} - System32\Tasks\{CA96046C-3125-4916-8C14-FF171EABDF1D} => pcalua.exe -a H:\Setup.exe -d H:\ Task: {C6954210-4999-4C9A-8242-E9EEED2A3AA5} - System32\Tasks\{BF918AA8-EE0C-4B4A-A2DD-C7F0F62C873F} => H:\AutoRun.exe Task: {CB808AC7-74C5-4189-B5FD-F0BF155BC2C5} - System32\Tasks\{795B1B5B-B2BC-49CB-947A-E2382A8FBD6F} => pcalua.exe -a H:\Sims2EP2_uninst.exe -d H:\ Task: {D8B75DA3-11A0-4216-B2BA-85CCE5865572} - System32\Tasks\{265E76A7-F32B-4D5D-81AA-38AD46955F1E} => pcalua.exe -a "H:\Support\The Sims 2 Nightlife_uninst.exe" -d H:\Support Task: {DB29B515-7CF7-4B18-9576-CA46EE6C02A8} - System32\Tasks\{C5C26BD0-4953-444E-8150-77B3D551461A} => C:\Program Files (x86)\EA GAMES\The Sims 2 Młodzieżowy styl Akcesoria\TSBin\Sims2Launcher.exe Task: {DC563FAA-8BA9-4CE5-A6D6-44AF8DA8859F} - System32\Tasks\{7E7F1CF1-DBA6-401A-9446-34908400A0A3} => pcalua.exe -a D:\Nokia_PC_Suite_pol_web.exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: {DE8AB7FB-0E76-47DF-83E4-A263446DE4D5} - System32\Tasks\{903C4496-ADD5-4477-B3D3-54A1D67E5039} => pcalua.exe -a "C:\Program Files (x86)\EA GAMES\The Sims 2 Zwierzaki\TSBin\TS2UPD0.exe" -d "C:\Program Files (x86)\EA GAMES\The Sims 2 Zwierzaki\TSBin" Task: {DFC01E5E-FFCF-4CC9-8CCC-14AA6AD6A960} - System32\Tasks\SBWUpdateTask_Time_1242b301-000000000000 => C:\Program Files (x86)\Common Files\SpeedBit\SBUpdate\SBUpdate.exe [2013-07-08] (Speedbit Ltd.) Task: {F030603D-8A48-4153-9CA6-B09E67D2B317} - System32\Tasks\{11348AB6-E9DE-440F-AA8E-2F67928D1729} => H:\AutoRun.exe Task: {F4891075-69B9-48D4-BBD5-409BCBCF263E} - System32\Tasks\{35E54E69-AA63-4DBC-BA85-0BB0C20E2693} => C:\Users\Emil\Desktop\BESTplayer.exe Task: {FECE2713-29AC-480D-86E7-070D43460987} - System32\Tasks\{55935961-46CC-454D-9A6E-FC63BCBA1235} => pcalua.exe -a H:\eauninstall.exe -d H:\ HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver" HKU\S-1-5-18\...\Run: [skype] => "C:\Program Files (x86)\Skype\Phone\Skype.exe" /nosplash /minimized HKU\S-1-5-18\...\Run: [Agent Portfela Bitdefender] => "C:\Program Files\Bitdefender\Bitdefender\pmbxag.exe" HKU\S-1-5-18\...\Run: [Portfel Bitdefender] => "C:\Program Files\Bitdefender\Bitdefender\pwdmanui.exe" --hidden --nowizard HKU\S-1-5-18\...\Run: [Agent aplikacji Portfel Bitdefender] => "C:\Program Files\Bitdefender\Bitdefender\antispam32\bdapppassmgr.exe" ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM-x32 -> DefaultScope {7F4EFF06-7032-458e-AE16-1C1D8255C28A} URL = http://home.speedbit.com/search.aspx?site=shdefault&pid=%s&aid=%s&shr=%d&q={searchTerms} SearchScopes: HKLM-x32 -> {7F4EFF06-7032-458e-AE16-1C1D8255C28A} URL = http://home.speedbit.com/search.aspx?site=shdefault&pid=%s&aid=%s&shr=%d&q={searchTerms} SearchScopes: HKU\S-1-5-21-2913347843-1076875873-1493724754-1000 -> DefaultScope {7F4EFF06-7032-458e-AE16-1C1D8255C28A} URL = http://home.speedbit.com/search.aspx?site=shdefault&pid=%s&aid=%s&shr=%d&q={searchTerms} SearchScopes: HKU\S-1-5-21-2913347843-1076875873-1493724754-1000 -> {7247CE5D-9949-444F-AD28-84689DBC9E64} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=512435&p={searchTerms} SearchScopes: HKU\S-1-5-21-2913347843-1076875873-1493724754-1000 -> {7F4EFF06-7032-458e-AE16-1C1D8255C28A} URL = http://home.speedbit.com/search.aspx?site=shdefault&pid=%s&aid=%s&shr=%d&q={searchTerms} SearchScopes: HKU\S-1-5-21-2913347843-1076875873-1493724754-1000 -> {B6E3EE86-D677-4EF7-8306-D22D37DE1E6C} URL = Toolbar: HKU\S-1-5-21-2913347843-1076875873-1493724754-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - No File S3 cleanhlp; \??\C:\Program Files (x86)\Ashampoo\Ashampoo Anti-Virus\cleanhlp64.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] AV: ESET Smart Security 7.0 (Disabled - Up to date) {19259FAE-8396-A113-46DB-15B0E7DFA289} AS: ESET Smart Security 7.0 (Disabled - Up to date) {A2447E4A-A5AC-AE9D-7C6B-2EC29C58E834} FW: Zapora osobista ESET (Disabled) {211E1E8B-C9F9-A04B-6D84-BC85190CE5F2} C:\Program Files (x86)\Common Files\SpeedBit C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Opera C:\ProgramData\1406037365.bdinstall.bin C:\ProgramData\1406931532.bdinstall.bin C:\ProgramData\BDLogging C:\ProgramData\IObit C:\ProgramData\Malwarebytes C:\ProgramData\McAfee C:\ProgramData\Mozilla C:\Users\Emil\Links\GG dysk.lnk C:\Users\Emil\Favorites\GG dysk.lnk C:\Users\Emil\AppData\Local\cache C:\Users\Emil\AppData\Local\Google C:\Users\Emil\AppData\Local\Mozilla C:\Users\Emil\AppData\Roaming\Mozilla C:\Users\Emil\AppData\Roaming\temp.ini C:\Users\Emil\Downloads\SpyHunter-Installer.exe C:\Windows\SysWOW64\TeamSpeak3-Client-win32-3.0.10.1.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\egui" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\InstallerLauncher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Przestarzały OTL nie jest tu brany pod uwagę. Dostosuj się do zasad działu i podaj obowiązkowe logi z FRST + GMER: KLIK.

Zbędne dane usuwam - "Autostart GMER" to powielenie informacji, ta część jest już w skanie FRST (sekcja Registry) i to w znacznie szerszym zakresie. Jaki powód zakładania tematu w dziale diagnostyki infekcji? Brak takich oznak, temat przenoszę do działu Windows. Z logów nic nie wynika. W Dzienniku zdarzeń jakieś niesprecyzowane błędy: Sugestie wstępne: 1. Jeśli nie używasz, pozbądź się starych zintegrowanych firmowych aplikacji MyWinLocker Suite, Norton Online Backup. To odetnie sporo procesów. 2. W Autoruns możesz wyłączyć poprzez odfajkowanie: - Karta Logon: Acer VCM, Adobe Reader Speed Launcher, IAStorIcon. - Karta Services: c2cautoupdatesvc, c2cpnrsvc, GREGService, Live Updater Service, RS_Service, WinDefend (by widzieć ten ostatni, należy włączyć pokazywanie wpisów Microsoftu). Po akcji zresetuj system. 3. Jeśli powyższe kroki nie pomogą, do sprawdzenia czy nie bruździ Avast (testowa deinstalacja). 4. Jest tu mało RAMu, co może być po prostu nie do przeskoczenia: ==================== Memory info =========================== Percentage of memory in use: 66% Total physical RAM: 1011.87 MB

Cóż, mnóstwo adware nabyte na jeden z tych sposobów: KLIK. A użycie AdwCleaner nieskuteczne, bo po formie logów na dysku widać, że próbowałeś używać jakąś archaiczną wersję (zapisuje logi wprost na C, a nie w osobnym folderze C:\AdwCleaner). AdwCleaner nigdy nie będzie skuteczny, jeśli używany w starszych wersjach, ten program należy pobierać cały czas od początku, gdyż jest zbyt często aktualizowany (czasem nawet dziennie). Na razie AdwCleaner zostaw w spokoju. Działania wstępne do przeprowadzenia: 1. Przez Panel sterowania odinstaluj stare niebezpieczne wersje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 11 Plugin, Adobe Shockwave Player 11.6, Java 7 Update 9, Java™ 6 Update 31. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=idgnew&from=idgnew&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&ts=1363964864 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra\Zeus - Pan Olimpu\Linki\Strona internetowa Caesar III.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=idgnew&from=idgnew&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&ts=1363964864 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra\Zeus - Pan Olimpu\Linki\Strona internetowa Empire Earth.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=idgnew&from=idgnew&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&ts=1363964864 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra\Zeus - Pan Olimpu\Linki\Strona internetowa Impressions Games.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=idgnew&from=idgnew&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&ts=1363964864 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra\Zeus - Pan Olimpu\Linki\Strona internetowa Pharaoh.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=idgnew&from=idgnew&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&ts=1363964864 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra\Zeus - Pan Olimpu\Linki\Strona internetowa Sierra.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=idgnew&from=idgnew&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&ts=1363964864 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra\Zeus - Pan Olimpu\Linki\Strona internetowa Zeusa.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=idgnew&from=idgnew&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&ts=1363964864 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422643946&from=cor&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1422644015&from=cor&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422643946&from=cor&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&q={searchTerms} HKU\S-1-5-21-1454207623-1880706861-3650100424-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422644015&from=cor&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&q={searchTerms} HKU\S-1-5-21-1454207623-1880706861-3650100424-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKU\S-1-5-21-1454207623-1880706861-3650100424-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1422644015&from=cor&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3 HKU\S-1-5-21-1454207623-1880706861-3650100424-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422644015&from=cor&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&q={searchTerms} SearchScopes: HKU\S-1-5-21-1454207623-1880706861-3650100424-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422644015&from=cor&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&q={searchTerms} SearchScopes: HKU\S-1-5-21-1454207623-1880706861-3650100424-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&ts=1422644027&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1454207623-1880706861-3650100424-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&ts=1422644027&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1454207623-1880706861-3650100424-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422644015&from=cor&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&q={searchTerms} SearchScopes: HKU\S-1-5-21-1454207623-1880706861-3650100424-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&ts=1422644027&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1454207623-1880706861-3650100424-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&ts=1422644027&type=default&q={searchTerms} BHO: FG2CatchUrl -> {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} -> d:\Programy\FlashGet universal\ComDlls\bhoCATCH.dll No File BHO: Bruowse2saavee -> {2F287E2F-FDA1-86EC-E036-015F9D67CBE1} -> No File BHO: SeAraCCh-NewTab -> {5223838A-E03C-6745-6CB4-3835F3C5CB9E} -> No File Toolbar: HKU\.DEFAULT -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File FF HKLM\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Dom\AppData\Roaming\Mozilla\Firefox\Profiles\duz912c6.default-1368449410798\extensions\fftoolbar2014@etech.com CustomCLSID: HKU\S-1-5-21-1454207623-1880706861-3650100424-1001_Classes\CLSID\{cb4c77f0-ab2a-407c-93ac-963769824b18}\localserver32 -> C:\Users\Dom\AppData\Local\Temp\{b3ede298-ae75-4a1c-ab7e-1b9229b77bbe}\IDriver.NonElevated.exe No Fi (the data entry has 2 more characters). Task: {010AC60A-77E8-4BB4-9572-B12C30ABC510} - System32\Tasks\{7C963B4B-5B44-462F-A3CD-BB5A85374840} => pcalua.exe -a D:\Programy\NeroExpress\setup.exe -d D:\Programy\NeroExpress Task: {0488AA97-B653-476C-9ECE-8171942C7C03} - System32\Tasks\{BECE8C49-61F1-42A8-BFD2-119613D8ABBD} => pcalua.exe -a C:\Users\Dom\Desktop\b4p_enu_xp.exe -d C:\Users\Dom\Desktop Task: {377F66A2-FA16-46B9-A775-03745D94DABE} - System32\Tasks\RunAsStdUser => C:\Program Files\Desk 365\desk365.exe Task: {4EFFDB6B-0408-4111-B58E-4B8827DC681C} - System32\Tasks\{49864660-ABF9-42B9-8790-B7F63645CADB} => pcalua.exe -a "D:\Programy\Adobe Photoshop 7.0 PL\Photoshop\Setup.exe" -d "D:\Programy\Adobe Photoshop 7.0 PL\Photoshop" Task: {546FBA28-D3A9-497E-B8E7-CEFCA6D4887D} - System32\Tasks\{4A34E747-8DE1-4331-940C-49311204FE22} => Firefox.exe Task: {6539ED63-798B-497F-BBDF-8C94C2D93E39} - System32\Tasks\TKBXPO => C:\Users\Dom\AppData\Roaming\TKBXPO.exe Task: {874F1F82-B67D-480C-9DC0-320446BC2DED} - System32\Tasks\{FF2D7C99-FCE9-4591-828C-9E92556EE149} => pcalua.exe -a C:\Users\Dom\Desktop\LEXMARK_AAP_WIN2KXP_PCL_PL.EXE -d C:\Users\Dom\Desktop Task: {8DCD30FF-E0E7-4EB3-9C75-CA50362FD5F8} - System32\Tasks\{5A1FA46D-FDAF-48B8-ADA4-5CE404EFFFE7} => pcalua.exe -a C:\Windows\IsUn0415.exe -c -fd:\Uninst.isu -c"d:\uninst.dll" -BFLANG=21 Task: {9584340B-1951-4BE6-B793-D6BE3F21C5C7} - System32\Tasks\FOG => C:\Users\Dom\AppData\Roaming\FOG.exe Task: {AF3251E5-D608-4D84-9B93-E090E636319E} - System32\Tasks\{A5D47190-E159-4C2E-A504-2846B29770CD} => C:\Program Files\DAEMON Tools Lite\DTLite.exe [2009-10-30] (DT Soft Ltd) Task: {AFCF1165-78B0-4223-9918-54C4BDAE3F99} - System32\Tasks\{5C48FA42-87F4-487F-8C5F-2B1E71008124} => Firefox.exe Task: {F3A9A3DC-2436-4726-A978-9AA778502786} - System32\Tasks\{AFFAB225-5820-47DE-9A2A-CEB40E83988F} => Firefox.exe Task: {FDE20C8A-A1CC-4DF4-8A0F-307706655A9C} - System32\Tasks\{6B62FFB3-2BFE-46DE-A199-1A9CC4D4F5D3} => Firefox.exe Task: C:\Windows\Tasks\FOG.job => C:\Users\Dom\AppData\Roaming\FOG.exe Task: C:\Windows\Tasks\TKBXPO.job => C:\Users\Dom\AppData\Roaming\TKBXPO.exe R1 avgtp; C:\Windows\system32\drivers\avgtpx86.sys [33112 2013-02-19] (AVG Technologies) R2 HPSLPSVC; C:\Users\Dom\AppData\Local\Temp\7zS2DB2\hpslpsvc32.dll [701288 2012-11-14] (Hewlett-Packard Co.) S2 IHProtect Service; C:\Program Files\XTab\ProtectService.exe [X] S1 pfnfd_1_10_0_8; system32\drivers\pfnfd_1_10_0_8.sys [X] S2 Update Solution Real; "C:\Program Files\Solution Real\updateSolutionReal.exe" [X] S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] HKLM\...\Run: [sunJavaUpdateSched] => "C:\Program Files\Java\jre7\bin\jusched.exe" HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe HKU\S-1-5-21-1454207623-1880706861-3650100424-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Dom\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-1454207623-1880706861-3650100424-1001\...\Run: [Napisy24.pl] => "C:\Program Files\Napisy24\Napisy24.exe" AutoStart HKU\S-1-5-21-1454207623-1880706861-3650100424-1001\...\MountPoints2: {e927ef9c-3f68-11e0-8faa-00241d8d1e95} - K:\autorun.exe Startup: C:\Users\Dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OPTISetup.lnk C:\AdwCleaner*.txt C:\Program Files\globalUpdate C:\Program Files\Opera C:\Program Files\XTab C:\ProgramData\{a50d5638-14b9-31da-a50d-d563814b58e0} C:\ProgramData\4980443400007310 C:\ProgramData\IHProtectUpDate C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlashGet C:\Users\Dom\AppData\Local\Temp*.html C:\Users\Dom\AppData\Local\Gameo C:\Users\Dom\AppData\Local\globalUpdate C:\Users\Dom\AppData\Local\Google C:\Users\Dom\AppData\Local\Opera Software C:\Users\Dom\AppData\Roaming\FOG C:\Users\Dom\AppData\Roaming\TKBXPO C:\Users\Dom\AppData\Roaming\GoldenGate C:\Users\Dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\StormFall.lnk C:\Users\Dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\Dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StormFall C:\Users\Dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks C:\Users\Dom\AppData\Roaming\omiga-plus C:\Users\Dom\AppData\Roaming\Opera Software C:\Users\Dom\Documents\Optimizer Pro C:\Windows\system32\drivers\avgtpx86.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

SFC notuje usterki, nie tylko ów plik o którym mówiłam, ale i rozwalony manifest, niczego nie był w stanie naprawić: 2015-02-07 15:50:01, Info CSI 0000033a [sR] Cannot verify component files for Microsoft-Windows-packager, Version = 6.1.7601.18645, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral, manifest is damaged (TRUE) 2015-02-07 15:50:01, Info CSI 0000033c [sR] Cannot repair member file [l:14{7}]"msi.dll" of Microsoft-Windows-Installer-Engine, Version = 6.1.7601.18637, pA = PROCESSOR_ARCHITECTURE_IA32_ON_WIN64 (10), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-02-07 15:50:01, Info CSI 0000033f [sR] Cannot verify component files for Microsoft-Windows-packager, Version = 6.1.7601.18645, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral, manifest is damaged (TRUE) 2015-02-07 15:50:01, Info CSI 00000341 [sR] Cannot repair member file [l:14{7}]"msi.dll" of Microsoft-Windows-Installer-Engine, Version = 6.1.7601.18637, pA = PROCESSOR_ARCHITECTURE_IA32_ON_WIN64 (10), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-02-07 15:50:01, Info CSI 00000342 [sR] This component was referenced by [l:160{80}]"Package_41_for_KB3008627~31bf3856ad364e35~amd64~~6.1.1.0.3008627-118_neutral_GDR" 2015-02-07 15:50:01, Info CSI 00000345 [sR] Could not reproject corrupted file [ml:48{24},l:46{23}]"\??\C:\Windows\SysWOW64"\[l:14{7}]"msi.dll"; source file in store is also corrupted Wstępnie: 1. Uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. Gdy narzędzie ukończy skan, dostarcz log C:\Windows\Logs\CBS\Checksur.log (zmień rozszerzenie na *.txt, by wszedł w załącznik). 2. Następnie podaj spis wystąpień pliku msi.dll (to pod ew. podmianę ręczną). Uruchom FRST, w polu Search wklej msi.dll i klik w Search Files.

Ten "Trojan.Dropper" to właśnie obiekt Brontok, oczywiście do usunięcia. Jeśli to na pewno był skan typu pełnego w MBAM (a nie ekspresowy), to już koniec zmagań z Brontok.

W DelFix tylko usuwanie narzędzi (Remove disinfection tools), czyszczenie folderów Przywracania systemu wykonaj ręcznie zgodnie z kolejnym opisem temu przeznaczonym.

1. W preferencjach Google Chrome są po prostu odpadkowe śmieci - wg pliku "Secure Preferences" są 4 martwe rozszerzenia adware (możliwe, że widać tylko 2 lub nawet mniej). Po prostu w Rozszerzeniach odinstaluj sale-o i wszystkie inne elementy, poza poprawnym Adblock Plus i rozszerzeniami Google. 2. Uruchom Malwarebytes Anti-Malware - przy instalacji odznacz trial. Wykonaj pełny skan systemu i dostarcz wynikowy log, o ile coś zostanie znalezione, w przeciwnym wypadku jest on zbędny.

Tu dokończymy temat infekcji. W dziale Hardware założysz nowy temat dedykowany wątkom sprzętowym, by nie mieszać tematów. 1. Końcowa poprawka. Do Notatnika wklej: HKU\S-1-5-21-1031630780-3175621160-1081558820-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\max\AppData\Local\Akamai\netsession_win.exe" RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. Upewnij się za pomocą pełnego skanu MBAM, że nigdzie już nie są wykrywane obiekty Brontok. 4. Na później byłaby pełna aktualizacja Windows, ale to dopiero po ocenie stanu dysku, czy w ogóle jest sens prowadzić jakiekolwiek działania.

Wszystko zrobione. Na koniec: Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zamień stary Adobe Reader X (10.1.3) MUI najnowszą wersją: KLIK.

Tym razem Fix pomyślnie wykonany. Na koniec: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. I teraz można już zainstalować najnowsze stabilne Google Chrome. o ile chcesz z tej przeglądarki korzystać.

Hold Page zadałam do deinstalacji, co jak widzę wykonane. EnterDigital nie był widoczny w logu *, czy również go odinstalowałeś w opcjach? Ogólnie: czy są jeszcze jakieś problemy w Google Chrome? * FRST nie pokazuje rozszerzeń, które pozostały w preferencjach, lecz nie mają już folderu na dysku - to jest skutek czyszczenia AdwCleaner zamiast poprawnej deinstalacji rozszerzenia.

IMAP - wiadomości nie są automatycznie usuwane po pobraniu z serwera (czyli w kółko może być podsuwana ta sama wiadomość z poziomu różnych komputerów), o ile użytkownik ręcznie jej nie usunie, poza tym w pierwszej kolejności są ładowane tylko nagłówki wiadomości. Ale otworzenie e-mail w kliencie pocztowym ładuje całą wiadomość wraz z jej załącznikami i jest ściąganie na dysk z serwera, w przeciwnym wypadku jak miałoby się odbyć to "sprawdzanie poczty". vs. Nie chodzi o infekcję, tylko o odpadkowe preferencje (np. widoczne w raportach stare rozszerzenie "Search Enhancement Pack" Microsoftu, czy preferencje Bing). Na wszelki wypadek zaznaczę: żadne operacje w FRST nie są powiązane z problemem, to tylko poboczna kosmetyka.

Pokaż te wyniki - zapisz tę część raportu do pliku lub podaj zdjęcie ekranu pokazujące ścieżki dostępu (tak, by było je dobrze widać).

gryznar, mam wyraźnie napisane w profilu, że nie reaguję na prośby via PW. Jeśli nie zajmuję się tematem na forum, to znaczy że nie mogę, nie mam czasu, nie wiem, etc. Klasa {F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} w HKLM jest domyślną klasą systemową. To nie ten element definiuje infekcję ZeroAccess tylko całkiem inna modyfikacja. Poza tym, to nie klasa {F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} (związana z WMI a nie eksploratorem) tworzy problem z układem ikon na Pulpicie. Nie tędy droga. A infekcja ZeroAccess jest martwa (zamknięty botnet), na Windows 8 zresztą ma problemy "instalacyjne" (inna architektura systemu). Nie podałeś żadnych raportów systemowych (ogłoszenie na forum) umożliwiających ogólną ocenę systemu, co się uruchamia, jakie błędy są nagrane w Dzienniku zdarzeń i tak dalej. Proszę o dostarczenie raportów z FRST. EDIT: Nie podałeś, że temat został napoczęty gdzie indziej: KLIK. Na dodatek tam snujesz inne wnioski: Podobnie jak wyżej, ta klasa w HKLM jest poprawna i inne miejsce jest problemem przy tej infekcji. Tu nie ma żadnej infekcji ZeroAccess. Operacje podane na tamtym forum (SpyHunter i Fix FRST) to były tylko podrzędne akcje bez związku, nie wyjaśnili tego (to jest nowa choroba pod tytułem "przetwarzanie Fixów FRST" bez uzasadnienia, zamiast koncentrowanie się na meritum problemu). Odpowiedź co jest nie tak była w pliku FRST Addition. Masz uszkodzone konto, nie jest ładowany rejestr strony użytkownika: Application errors: ================== Error: (02/06/2015 02:58:59 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1542) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować pliku rejestru klas. SZCZEGÓŁY — Baza danych rejestru konfiguracji jest uszkodzona. Error: (02/06/2015 02:58:59 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1508) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować rejestru. Częstą przyczyną tego problemu jest za mała ilość pamięci lub brak wystarczających praw zabezpieczeń. SZCZEGÓŁY - Baza danych rejestru konfiguracji jest uszkodzona. for C:\Users\Grzegorz\AppData\Local\Microsoft\Windows\\UsrClass.dat Tak więc tu się aplikuje założenie nowego konta, częściowe przekopiowanie ze starego tylko najważniejszych rzeczy i skasowanie starego konta. O które dane konkretnie chodzi? Rozpiszę co należy, gdy podasz do czego się tu ograniczamy. Konto bieżące jest uszkodzone, uszkodzeń może być więcej niż zgłaszane w dzienniku i nie wydaje się zasadne kopiowanie wszystkiego jak leci.

Ostatnia akcja w FRST nie wykonana - popatrz do pliku Fixlog, kompletnie pusty, nic nie wkleiłeś. Powtarzaj zadanie i dostarcz wynikowy Fixlog.

Tego w ogóle nie było widać w żadnym z logów FRST. Albo skan FRST jest nieprecyzyjny (są pewne rozszerzenia adware, które się ładują bez folderu na dysku - ścieżka fantom - i tego nie będzie w FRST), albo od ostatniej operacji coś się zmieniło (przeglądarka została zmieniona przez adware ze stabilnej w development). Zrobię skan pod tym kątem. Teraz do wykonania: 1. Uruchom ponownie AdwCleaner, lecz tym razem wybierz sekwencję Szukaj + Usuń. Następnie: 2. Do Notatnika wklej: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Admin\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Admin\Downloads\wzjur5rm.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState /s CMD: type "C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Preferences" CMD: type "C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Proszę nie podbijaj tematu postami w stylu "pomoże ktoś" (usuwam), odpowiedzi nie ma, bo może nikt nie wie lub nie ma czasu na analizę. Z raportów FRST nic nie wynika. Skoro podejrzewasz tę aktualizację, to spróbuj powrócić do poprzedniej wersji. Nie jestem do końca przekonana czy w tym rzecz, bo jeszcze zgłaszasz problem z operacjami sieciowymi typu przeglądanie stron czy pobieranie plików - tu firewall Avast bardziej pasuje i ja bym jednak na wszelki wypadek sprawdziła czy tymczasowa deinstalacja Avast Premier coś wnosi do sprawy. Wątków stricte sprzętowych się nie podejmuję, nie jest to moja specjalizacja. Tyle ode mnie. Nic więcej nie wymyślę.

Nie jestem pewna czy skan Kasperskiego gwarantuje 100% bezpieczeństwa, ani czy leczenie z wirusa plików wykonywanych nie uszkodziło leczonych programów (wymagałyby i tak reinstalacji, dołożona robota). Raport Kasperskiego niby sugeruje, że wszystko się udało, był także wyrzucany plik infekcji moplousq.exe z Autostartu. To może spróbujmy, skoro chcesz uniknąć formatu, uruchom Windows i zrób nowe raporty z FRST i GMER.

vs. W podanych raportach FRST konsekwentnie brak oznak czynnej infekcji. Mówisz, że stawiałeś nowy system, więc jak rozumiem dane Thunderbird były kopiowane ze starego za pomocą MozBackup? Czy zostały usunięte wszystkie maile mające załączniki, czy jakieś pozostały? I tu trudno stwierdzić co wykrywał skaner, bo on po prostu kierował na ścieżkę Skrzynki odbiorczej i Kosza, a nie do konkretnego obiektu. Póki co, wszystkie fakty wskazują na to, że jedyna detekcja po stronie lokalnej maszyny odbywała się na poziomie folderów Thunderbird, nie ma oznak by był czynny wirus / robak w systemie. Problem z przychodzącym spamem może być pochodną innego komputera, na którym adres e-mail żony figuruje w książce adresowej. PS. Do wykonania drobne porządki, szczątki aplikacji / puste wpisy i skanerów oraz czyszczenie Temp: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Bing Rewards Client Installer > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 mdareDriver_52; \??\C:\Program Files (x86)\Fortinet\FortiClient\mdare64_52.sys [X] Task: {7713E786-21E7-4406-89C1-FBBB21DAC773} - System32\Tasks\{F8B1F6DD-732A-4F1D-A7C1-2E8E6BC5425C} => pcalua.exe -a C:\windows\TEMP\avast_ash\IrfanView\iview436_setup.exe -d "C:\Program Files\AVAST Software\Avast" Task: {8331B718-6901-46D9-BEA6-A02876511D42} - System32\Tasks\{A54057CC-70BF-4624-A4CE-C2F5806B2662} => pcalua.exe -a D:\Pobrane\iview433_setup.exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: {85501DC6-FD96-4FC1-AA3B-B8C2EC790DA5} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1236169856-3573213423-1841828282-1001UA => C:\Users\BMFOTO\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {90714E9E-1E8D-4E07-A7C7-9E361BA9E069} - System32\Tasks\{31E861AA-E7CD-4AE7-A034-0970F59AA1C6} => pcalua.exe -a "C:\Program Files (x86)\Mozilla Thunderbird\uninstall\helper.exe" -d "C:\Program Files (x86)\Mozilla Thunderbird" -c /UpdateShortcutAppUserModelIds Task: {DEA472E9-D129-4D52-919E-3D559FCCA2A4} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {FD6C54A2-56D2-494C-864B-54EFD4B82B1E} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1236169856-3573213423-1841828282-1001Core => C:\Users\BMFOTO\AppData\Local\Facebook\Update\FacebookUpdate.exe FF HKLM-x32\...\Firefox\Extensions: [{3252b9ae-c69a-4eaf-9502-dc9c1f6c009e}] - C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DMExtension C:\ProgramData\{*}.log C:\Users\BMFOTO\AppData\Local\{35EBD8BB-CDF5-4122-B6DE-EC4755A3AE3F} C:\windows\system32\Drivers\mdare64_54.sys C:\windows\system32\Drivers\TrueSight.sys RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Kaspersky Rescue Disk 10.0 RemoveDirectory: C:\Program Files (x86)\Fortinet RemoveDirectory: C:\ProgramData\HitmanPro RemoveDirectory: C:\ProgramData\RogueKiller RemoveDirectory: C:\Users\BMFOTO\Doctor Web RemoveDirectory: C:\Users\BMFOTO\Downloads\FRST-OlderVersion EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nastąpi restart. Zaprezentuj wynikowy fixlog.txt. 3. Preferencje Firefox można wyczyścić ze staroci: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.

"C:\Windows\system32\msi.dll nie jest przeznaczony do uruchamiania w systemie Windows albo zawiera błąd" = uszkodzony plik wymieniony na komunikacie. Były tu aktualizacje Windows, w raporcie wiele odświeżonych instancji plików Microsoftu, więc coś poszło nie tak podczas tego procesu. I wg raportu FRST uszkodzone jest 32-bitowe wystąpienie w SysWOW64, a nie 64-bitowe w system32 pokazane na komunikacie, gdyż to właśnie plik w SysWOW64 nie ma sygnatury Microsoftu i równy jest zero bajtów: 2015-02-04 23:46 - 2014-10-14 03:13 - 03241984 _____ (Microsoft Corporation) C:\Windows\system32\msi.dll 2015-02-04 23:46 - 2014-10-14 02:50 - 00000000 _____ () C:\Windows\SysWOW64\msi.dll Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. PS. Nie został odinstalowany AVG Web TuneUp - to taki firmowy "PUP".

Sprawdź czy te same objawy występują po całkowitym wyłączeniu wszystkich osłon Avast. Aczkolwiek problem może być związany ze sterownikiem Intel: Z tych trzech plików DMP jeden zdaje się być wykluczony z rozważań, bo to zrzut pokazujący w stosie sterownik GMER (potencjalna przyczyna awarii). Dwa pozostałe nie są spójne: 2: kd> !analyze -v ******************************************************************************* PAGE_FAULT_IN_NONPAGED_AREA (50) Invalid system memory was referenced. This cannot be protected by try-except, it must be protected by a Probe. Typically the address is just plain bad or it is pointing at freed memory. Arguments: Arg1: fffff8817f2d96a0, memory referenced. Arg2: 0000000000000000, value 0 = read operation, 1 = write operation. Arg3: fffff88005979878, If non-zero, the instruction address which referenced the bad memory address. Arg4: 0000000000000005, (reserved) Debugging Details: ------------------ Could not read faulting driver name READ_ADDRESS: GetPointerFromAddress: unable to read from fffff800034bd100 GetUlongFromAddress: unable to read from fffff800034bd1c0 fffff8817f2d96a0 Nonpaged pool FAULTING_IP: igdpmd64+15a878 fffff880`05979878 8b0408 mov eax,dword ptr [rax+rcx] MM_INTERNAL_CODE: 5 CUSTOMER_CRASH_COUNT: 1 DEFAULT_BUCKET_ID: WIN7_DRIVER_FAULT BUGCHECK_STR: 0x50 PROCESS_NAME: csrss.exe CURRENT_IRQL: 0 TRAP_FRAME: fffff880041e69e0 -- (.trap 0xfffff880041e69e0) NOTE: The trap frame does not contain all registers. Some register values may be zeroed or incorrect. rax=fffff880063ab6a0 rbx=0000000000000000 rcx=0000000178f2e000 rdx=fffffa800a1214a0 rsi=0000000000000000 rdi=0000000000000000 rip=fffff88005979878 rsp=fffff880041e6b70 rbp=fffffa800b4fcb00 r8=0000000000000001 r9=fffff880041e6bd0 r10=0000000000000001 r11=0000000000000001 r12=0000000000000000 r13=0000000000000000 r14=0000000000000000 r15=0000000000000000 iopl=0 nv up ei pl nz na po nc igdpmd64+0x15a878: fffff880`05979878 8b0408 mov eax,dword ptr [rax+rcx] ds:fffff881`7f2d96a0=???????? Resetting default scope LAST_CONTROL_TRANSFER: from fffff80003302603 to fffff80003286e80 STACK_TEXT: fffff880`041e6878 fffff800`03302603 : 00000000`00000050 fffff881`7f2d96a0 00000000`00000000 fffff880`041e69e0 : nt!KeBugCheckEx fffff880`041e6880 fffff800`03284fae : 00000000`00000000 fffff881`7f2d96a0 fffffa80`0bc69f00 fffff880`041e6f70 : nt! ?? ::FNODOBFM::`string'+0x43801 fffff880`041e69e0 fffff880`05979878 : fffffa80`0a115000 fffffa80`0a1214a0 fffffa80`0a115000 fffffa80`0a1214a0 : nt!KiPageFault+0x16e fffff880`041e6b70 fffffa80`0a115000 : fffffa80`0a1214a0 fffffa80`0a115000 fffffa80`0a1214a0 fffffa80`0a115000 : igdpmd64+0x15a878 fffff880`041e6b78 fffffa80`0a1214a0 : fffffa80`0a115000 fffffa80`0a1214a0 fffffa80`0a115000 fffff880`0bc79700 : 0xfffffa80`0a115000 fffff880`041e6b80 fffffa80`0a115000 : fffffa80`0a1214a0 fffffa80`0a115000 fffff880`0bc79700 fffffa80`0b86a298 : 0xfffffa80`0a1214a0 fffff880`041e6b88 fffffa80`0a1214a0 : fffffa80`0a115000 fffff880`0bc79700 fffffa80`0b86a298 fffff880`00000000 : 0xfffffa80`0a115000 fffff880`041e6b90 fffffa80`0a115000 : fffff880`0bc79700 fffffa80`0b86a298 fffff880`00000000 fffffa80`0bc69ff8 : 0xfffffa80`0a1214a0 fffff880`041e6b98 fffff880`0bc79700 : fffffa80`0b86a298 fffff880`00000000 fffffa80`0bc69ff8 fffff880`05979cac : 0xfffffa80`0a115000 fffff880`041e6ba0 fffffa80`0b86a298 : fffff880`00000000 fffffa80`0bc69ff8 fffff880`05979cac fffffa80`0bc69fe8 : 0xfffff880`0bc79700 fffff880`041e6ba8 fffff880`00000000 : fffffa80`0bc69ff8 fffff880`05979cac fffffa80`0bc69fe8 fffffa80`0a1214a0 : 0xfffffa80`0b86a298 fffff880`041e6bb0 fffffa80`0bc69ff8 : fffff880`05979cac fffffa80`0bc69fe8 fffffa80`0a1214a0 fffffa80`00000001 : 0xfffff880`00000000 fffff880`041e6bb8 fffff880`05979cac : fffffa80`0bc69fe8 fffffa80`0a1214a0 fffffa80`00000001 fffff880`00000001 : 0xfffffa80`0bc69ff8 fffff880`041e6bc0 fffffa80`0bc69fe8 : fffffa80`0a1214a0 fffffa80`00000001 fffff880`00000001 fffffa80`0a1214a0 : igdpmd64+0x15acac fffff880`041e6bc8 fffffa80`0a1214a0 : fffffa80`00000001 fffff880`00000001 fffffa80`0a1214a0 fffff880`041e6cc8 : 0xfffffa80`0bc69fe8 fffff880`041e6bd0 fffffa80`00000001 : fffff880`00000001 fffffa80`0a1214a0 fffff880`041e6cc8 fffffa80`0bc6a1a8 : 0xfffffa80`0a1214a0 fffff880`041e6bd8 fffff880`00000001 : fffffa80`0a1214a0 fffff880`041e6cc8 fffffa80`0bc6a1a8 fffffa80`0bc6a608 : 0xfffffa80`00000001 fffff880`041e6be0 fffffa80`0a1214a0 : fffff880`041e6cc8 fffffa80`0bc6a1a8 fffffa80`0bc6a608 fffffa80`00000001 : 0xfffff880`00000001 fffff880`041e6be8 fffff880`041e6cc8 : fffffa80`0bc6a1a8 fffffa80`0bc6a608 fffffa80`00000001 fffffa80`0a115000 : 0xfffffa80`0a1214a0 fffff880`041e6bf0 fffffa80`0bc6a1a8 : fffffa80`0bc6a608 fffffa80`00000001 fffffa80`0a115000 fffffa80`00000000 : 0xfffff880`041e6cc8 fffff880`041e6bf8 fffffa80`0bc6a608 : fffffa80`00000001 fffffa80`0a115000 fffffa80`00000000 fffffa80`0a1214a0 : 0xfffffa80`0bc6a1a8 fffff880`041e6c00 fffffa80`00000001 : fffffa80`0a115000 fffffa80`00000000 fffffa80`0a1214a0 00000000`00000001 : 0xfffffa80`0bc6a608 fffff880`041e6c08 fffffa80`0a115000 : fffffa80`00000000 fffffa80`0a1214a0 00000000`00000001 00000000`00000000 : 0xfffffa80`00000001 fffff880`041e6c10 fffffa80`00000000 : fffffa80`0a1214a0 00000000`00000001 00000000`00000000 00000000`00000000 : 0xfffffa80`0a115000 fffff880`041e6c18 fffffa80`0a1214a0 : 00000000`00000001 00000000`00000000 00000000`00000000 00000000`00000000 : 0xfffffa80`00000000 fffff880`041e6c20 00000000`00000001 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0xfffffa80`0a1214a0 fffff880`041e6c28 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x1 STACK_COMMAND: kb FOLLOWUP_IP: igdpmd64+15a878 fffff880`05979878 8b0408 mov eax,dword ptr [rax+rcx] SYMBOL_STACK_INDEX: 3 SYMBOL_NAME: igdpmd64+15a878 FOLLOWUP_NAME: MachineOwner MODULE_NAME: igdpmd64 IMAGE_NAME: igdpmd64.sys DEBUG_FLR_IMAGE_TIMESTAMP: 4d41a3e1 FAILURE_BUCKET_ID: X64_0x50_igdpmd64+15a878 BUCKET_ID: X64_0x50_igdpmd64+15a878 Followup: MachineOwner --------- 0: kd> !analyze -v ******************************************************************************* DRIVER_POWER_STATE_FAILURE (9f) A driver has failed to complete a power IRP within a specific time (usually 10 minutes). Arguments: Arg1: 0000000000000004, The power transition timed out waiting to synchronize with the Pnp subsystem. Arg2: 0000000000000258, Timeout in seconds. Arg3: fffffa8007332040, The thread currently holding on to the Pnp lock. Arg4: fffff800049d23d0, nt!TRIAGE_9F_PNP on Win7 Debugging Details: ------------------ Implicit thread is now fffffa80`07332040 DRVPOWERSTATE_SUBCODE: 4 CUSTOMER_CRASH_COUNT: 1 DEFAULT_BUCKET_ID: WIN7_DRIVER_FAULT BUGCHECK_STR: 0x9F PROCESS_NAME: System CURRENT_IRQL: 2 LAST_CONTROL_TRANSFER: from fffff800032798f2 to fffff80003286d8a STACK_TEXT: fffff880`033a1000 fffff800`032798f2 : fffffa80`07332040 fffffa80`07332040 00000000`00000000 00000000`00000000 : nt!KiSwapContext+0x7a fffff880`033a1140 fffff800`0328ac9f : 00000000`00000000 00000000`00000100 00000000`00000000 fffffa80`0c0907f0 : nt!KiCommitThreadWait+0x1d2 fffff880`033a11d0 fffff800`033938c5 : 00000000`00000000 fffffa80`00000000 fffffa80`0c090200 fffffa80`0c082700 : nt!KeWaitForSingleObject+0x19f fffff880`033a1270 fffff880`011ce9ea : fffffa80`0c092e00 fffffa80`0c0907f0 fffffa80`21444d55 00000000`0000041f : nt!IoReleaseRemoveLockAndWaitEx+0x45 fffff880`033a12b0 fffff880`011cde52 : 00000000`00000000 fffffa80`0c0907f0 fffffa80`0bce0002 fffffa80`0c092e00 : WUDFRd!RdDevice::MarkForDelete+0x26 fffff880`033a12e0 fffff880`011cd37e : fffffa80`0c088860 fffffa80`0c088860 fffff880`011f3158 fffffa80`0c090800 : WUDFRd!RdDriver::DeleteDrvMgrCtrlDevice+0x1e fffff880`033a1310 fffff880`011d6db4 : 00000000`00000001 fffffa80`0c090800 fffffa80`7c444d55 00000000`0000046b : WUDFRd!RdDriver::UnprepareSharedResources+0x92 fffff880`033a1340 fffff880`011d69dc : 00000000`00000001 fffffa80`0c090050 00000000`ffffffff fffffa80`0c07d7a0 : WUDFRd!RdFdoDevice::~RdFdoDevice+0x264 fffff880`033a13c0 fffff880`011cad0d : 00000000`00000000 fffff880`011d0e05 fffffa80`0bce0002 fffff880`011f3158 : WUDFRd!RdFdoDevice::`vector deleting destructor'+0x14 fffff880`033a13f0 fffff880`011cb1af : fffffa80`0c07d7a0 fffff880`011cad0d 00000000`00000000 fffff800`03286d00 : WUDFRd!CUMDFUnknown::Release+0x21 fffff880`033a1420 fffff880`011d170a : fffffa80`07319740 fffffa80`0c0904c0 fffffa80`09c33840 00000000`00000000 : WUDFRd!WdfObject::ReleaseWait+0x7f fffff880`033a1460 fffff880`011d1a33 : 00000000`00000000 00000000`00000001 00000000`00000000 00000000`00000001 : WUDFRd!RdPnpTracker::RdPnpProcessor+0x342 fffff880`033a14f0 fffff880`011d132f : fffffa80`09c33840 fffffa80`09c33840 fffffa80`0c09041b 00000000`00000103 : WUDFRd!RdPnpTracker::RdPnpProcessor+0x66b fffff880`033a1580 fffff880`011cfde6 : 00000000`0000001b fffffa80`0c0904c0 fffffa80`09c33840 fffff8a0`04513670 : WUDFRd!RdPnpTracker::RdPnp+0x407 fffff880`033a15f0 fffff880`011cc4ce : 00000000`00000000 00000000`c000001b fffffa80`09c33840 00000000`c000001b : WUDFRd!RdDevice::ProcessIrp+0x132 fffff880`033a1630 fffff800`034efea1 : fffffa80`0c0902c0 fffff880`033a1728 00000000`c00000bb fffffa80`09c33840 : WUDFRd!RdDriver::RdDispatch+0xda fffff880`033a1670 fffff800`0366fd91 : fffffa80`0bce0060 00000000`00000000 fffffa80`09f6ec50 00000000`00000801 : nt!IopSynchronousCall+0xe1 fffff880`033a16e0 fffff800`033850b3 : fffff8a0`111f2ed0 fffff8a0`111f2ed0 00000000`0000002b 00000000`00000000 : nt!IopRemoveDevice+0x101 fffff880`033a17a0 fffff800`0366f8e4 : fffffa80`09f6ec50 00000000`00000000 00000000`00000002 00000000`00000004 : nt!PnpRemoveLockedDeviceNode+0x1a3 fffff880`033a17f0 fffff800`0366f9f0 : 00000000`00000000 fffffa80`0bce0000 fffff8a0`13e9a820 fffff800`03486ca0 : nt!PnpDeleteLockedDeviceNode+0x44 fffff880`033a1820 fffff800`0366fae9 : fffffa80`09fb6102 fffffa80`09fb61f0 00000000`00000001 00000000`00000000 : nt!PnpDeleteLockedDeviceNodes+0xa0 fffff880`033a1890 fffff800`0366fc61 : fffffa80`09fb61f0 00000000`00000000 fffffa80`09fb61f0 00000000`00000001 : nt!PnpDelayedRemoveWorker+0x79 fffff880`033a18e0 fffff800`033852ea : 00000000`00000000 fffffa80`0b23f830 00000000`0000000a 00000000`00000000 : nt!PnpChainDereferenceComplete+0x131 fffff880`033a1920 fffff800`03700ab0 : 00000000`00000000 fffffa80`09f6ec50 fffff8a0`12458b90 00000000`00000001 : nt!PnpIsChainDereferenced+0xda fffff880`033a19a0 fffff800`03700d4c : fffff880`033a1b78 00000000`00000000 fffff8a0`04b12400 fffffa80`00000000 : nt!PnpProcessQueryRemoveAndEject+0xff0 fffff880`033a1ae0 fffff800`035e9d9e : 00000000`00000000 fffffa80`0c763bd0 fffff8a0`12458b90 00000000`00000001 : nt!PnpProcessTargetDeviceEvent+0x4c fffff880`033a1b10 fffff800`0328d561 : fffff800`034eed08 fffff8a0`12458b90 fffff800`034282d8 fffffa80`07332040 : nt! ?? ::NNGAKEGL::`string'+0x54d7b fffff880`033a1b70 fffff800`035200ca : 00000000`00000000 fffffa80`07332040 00000000`00000080 fffffa80`07319740 : nt!ExpWorkerThread+0x111 fffff880`033a1c00 fffff800`03274be6 : fffff880`031d7180 fffffa80`07332040 fffff880`031e1fc0 00000000`00000000 : nt!PspSystemThreadStartup+0x5a fffff880`033a1c40 00000000`00000000 : fffff880`033a2000 fffff880`0339c000 fffff880`1fa19730 00000000`00000000 : nt!KxStartSystemThread+0x16 STACK_COMMAND: kb FOLLOWUP_IP: WUDFRd!RdDevice::MarkForDelete+26 fffff880`011ce9ea 4883c428 add rsp,28h SYMBOL_STACK_INDEX: 4 SYMBOL_NAME: WUDFRd!RdDevice::MarkForDelete+26 FOLLOWUP_NAME: MachineOwner MODULE_NAME: WUDFRd IMAGE_NAME: WUDFRd.sys DEBUG_FLR_IMAGE_TIMESTAMP: 5010aabe FAILURE_BUCKET_ID: X64_0x9F_4_WUDFRd!RdDevice::MarkForDelete+26 BUCKET_ID: X64_0x9F_4_WUDFRd!RdDevice::MarkForDelete+26 Followup: MachineOwner Zacznij od tego pierwszego rekordu pokazującego kontekst sterownika Intel igdpmd64. Jeśli posiadasz kartę hybrydową AMD-Intel, to do wglądu te wątki: KLIK, KLIK.

Poprawki: 1. Kolejne deinstalacje: - Odinstaluj Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables (to są komponenty pozostawione przez instalację AVG). - Jest tu trochę szczątów McAfee, więc użyj McAfee Consumer Product Removal Tool. 2. Otwórz Notatnik i wklej w nim: OPR Extension: (HQ-Video-Pro-2.1V27.12) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\eagomcfjiefffhpaejnlpjccikpipdoe [2014-12-27] OPR Extension: (Media+PlayerVidEd2.1) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\hniiadklfgdhjcmmkpggffjngihaaoip [2014-12-27] C:\Program Files (x86)\16aaa09b-8dec-431a-8646-831e986169e9 C:\Program Files (x86)\DeltaFix C:\Program Files (x86)\e16569ea-3776-4c7c-badd-7384cb4c864c C:\Program Files (x86)\Temp C:\ProgramData\{A5CCDB92-FA53-47D1-89E6-32B82D86621A} C:\ProgramData\3831199576290697427 C:\ProgramData\Apple C:\ProgramData\AVAST Software C:\ProgramData\cnnknchknkconngmplgpgjgkjlmlehnp C:\ProgramData\ideceebndgipdkknkofjoiffpoecbjkn C:\ProgramData\IHProtectUpDate C:\ProgramData\Malwarebytes C:\ProgramData\TCE C:\ProgramData\Temp C:\Users\Admin\AppData\Local\Avg2015 C:\Users\Admin\AppData\Local\com C:\Users\Admin\AppData\Local\MFAData C:\Users\Admin\AppData\Roaming\appdataFr3.bin C:\Users\Admin\AppData\Roaming\Dropbox C:\Users\Admin\AppData\Roaming\GoforFiles C:\Users\Admin\AppData\Roaming\HD Tune Pro C:\Users\Admin\AppData\Roaming\WebTest C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\LuckyTab Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

GMER nie zapisuje automatycznie żadnych raportów na dysku. Raport jest zawsze kopiowany przez użytkownika ręcznie wprost z okna GMER. Czyli raportu brak. GMER nie modyfikuje też danych, to skan "tylko do odczytu", więc modyfikacje na dysku C są pochodną innego procesu, Temat przenoszę do działu Windows, nie jest wykluczony też Hardware (może tu być czysto sprzętowy problem, np. z dyskiem twardym). Nie wygląda na to, by problemem była infekcja, a zastosowanie ComboFix było tu zupełnie niepotrzebne (system został dodatkowo wymęczony). Potem będą do korekty drobnostki oraz artefakty wstawione przez ComboFix (nie wszystkie resety w narzędziu są poprawne), na razie jest to kompletnie bez znaczenia i w niczym nie pomoże. Nie wolno się koncentrować na głupotach. Trudno tu coś wyłuskać z raportów, a Dziennik zdarzeń upstrzony błędami jest niejasny - zawieszenie usługi Avira, błędy Instalatora modułów Windows, błędy Kopiowania woluminów w tle i wykonywania Kopii zapasowej oraz inne. Sugestie wstępne: 1. Usuń złą konfigurację Kopii zapasowej w Panelu sterowania. Błąd w Dzienniku wskazuje, że jest zaplanowane jej zrzucanie na nieistniejący dysk F:\. 2. Odinstaluj całkowicie pozycje Avira + Avira Free Antivirus, by wykluczyć wpływ antywirusa na złą kondycję systemu. To jest test, nie wstawiaj żadnego antywirusa ponownie. 3. Sprawdź poprawność plików systemowych. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj.

Log z FRST zrobiony na złych ustawieniach, żadne opcje Whitelist nie mają być odznaczne - odfajkowałeś opcję Internet. Oporny Media+PlayerVidEd2.1 zostanie usunięty ręcznie. W mięczyczasie pojawiły się kolejne niepożądane elementy, tzn. szkodnik DownloadManager nabyty podczas próby szukania cracka do .... wątpliwego skanera SpyHunter z czarnej listy!! Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {F9E04659-7BED-4935-B0C9-903915999941} - System32\Tasks\Microsoft\d85905a753f3d1c26ec81ed7e9d98e29 => C:\Users\Admin\AppData\Roaming\DownloadManager\Loader.exe [2015-02-07] (SOFTWARE AGILITY LIMITED) C:\ProgramData\shopshop C:\Users\Admin\AppData\Roaming\appdataFr3.bin C:\Users\Admin\AppData\Roaming\DownloadManager C:\Users\Admin\Downloads\{SpyHunter_4_Crack_Keygen_Setup}.exe C:\Users\Admin\Downloads\{SpyHunter_4_Crack_Keygen_Setup} (1).exe C:\Users\Admin\Downloads\SpyHunter-Installer.exe Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\MSC /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Media+PlayerVidEd2.1 /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Admin\AppData\Local CMD: dir /a C:\Users\Admin\AppData\LocalLow CMD: dir /a C:\Users\Admin\AppData\Roaming Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 2. W Operze nadal jest widoczne adware HQ-Video-Pro-2.1V27.12, Media+PlayerVidEd2.1. Czy jest jakiś problem z deinstalacją w Rozszerzeniach? 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.