picasso

Proszę dostosuj się do zasad działu: KLIK. OTL to przestarzałe narzędzie sprawdzane tylko pobocznie, obowiązkowe są logi z FRST. Uzupełnij wymagane raporty i popraw tytuł na odpowiadający problemowi (problemem nie są logi).

Wszystkie wpisy typu "NameServer" zniknęły z raportu. Podstawowe pytanie: czy reklamy / przekierowania nadal występują?

Brak danych. Zasady działu co tu jest wymagane: KLIK. Dostarcz obowiązkowe raporty.

Dodaj ogólne raporty z FRST (w Addition wyciąg kont będzie). Dodatkowo jeszcze do Notatnika wklej co poniżej: Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Odśwież komputer zachowuje się tak samo? 1. Podaj spis czy tu w ogóle jest wykrywany obraz Windows. Spod działającego Windows klawisz z flagą Windows + X > Wiersz polecenia (Administrator) > wklep recimg /ShowCurrent i przeklej z okna co się pokazało. 2. Mam też pytanie, co to za dysk "Y:" i czy jest widoczny z poziomu eksploratora Windows: ==================== Drives ================================ Drive c: (OS) (Fixed) (Total:915.1 GB) (Free:728.35 GB) NTFS Drive w: () (Fixed) (Total:0.44 GB) (Free:0.16 GB) NTFS Drive y: (WINRETOOLS) (Fixed) (Total:2 GB) (Free:1.59 GB) NTFS Drive z: () (Fixed) (Total:0.44 GB) (Free:0.16 GB) NTFS

Te 3 pierwsze wyniki owszem do deinstalacji, o ile je w ogóle widać w Panelu (to szczątkowe instalacje - puste wpisy w starcie), ale one nie są problemem: Problemem jest ten wpis ładujący niedomyślną powłokę zastępującą standardowy Shell (w HKLM): HKU\S-1-5-21-3639784616-3227804750-3426827822-1002\...\Winlogon: [shell] C:\explorer\explorer.exe [2872320 2012-09-06] (Microsoft Corporation) Wpis pochodzi z niedomyślnej modyfikacji związanej z przestawianiem między interfejsem ModernUI a "klasycznym", w Shortcut jest następujący pasujący wpis: Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Classic Style UI.lnk -> C:\explorer\7UI\7UI.exe () To coś sypie dodatkowymi błędami w Dzienniku zdarzeń: Application errors: ================== Error: (12/19/2014 01:18:13 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: explorer.exe, wersja: 6.1.7601.17514, sygnatura czasowa: 0x4ce7a144 Nazwa modułu powodującego błąd: explorer.DLL, wersja: 0.0.0.0, sygnatura czasowa: 0x50685d8c Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x0000000000003546 Identyfikator procesu powodującego błąd: 0x1364 Godzina uruchomienia aplikacji powodującej błąd: 0xexplorer.exe0 Ścieżka aplikacji powodującej błąd: explorer.exe1 Ścieżka modułu powodującego błąd: explorer.exe2 Identyfikator raportu: explorer.exe3 Pełna nazwa pakietu powodującego błąd: explorer.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: explorer.exe5 explorer.DLL to nie jest moduł systemowy i prawdopodobnie to jest właśnie plik tego changera interfejsu. 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3639784616-3227804750-3426827822-1002\...\Winlogon: [shell] C:\explorer\explorer.exe [2872320 2012-09-06] (Microsoft Corporation) HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe Task: {CFED0A40-6948-48F6-B3A0-72536E436A2E} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe SearchScopes: HKU\S-1-5-21-3639784616-3227804750-3426827822-1002 -> DefaultScope {CB5FB955-8C7B-4DD5-9B1D-0CFDA9057E83} URL = SearchScopes: HKU\S-1-5-21-3639784616-3227804750-3426827822-1002 -> {CB5FB955-8C7B-4DD5-9B1D-0CFDA9057E83} URL = FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK C:\Program Files (x86)\mozilla firefox\plugins Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart, problem czarnego ekranu powinien ustąpić (o ile nie ma jeszcze dodatkowego ładowanego w jakiś inny sposób modułu). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt - pokaż go. 2. Poproszę też o log pokazujący rozszerzenia powłoki: uruchom ShellExView x64 > w oknie CTRL+A, by zaznaczyć wszystkie wpisy > klik w ikonkę dyskietki, by zapisać log TXT i doczep go tutaj.

Temat przenoszę do działu Windows. Nie jest to problem infekcji tylko uszkodzenia w Windows. System ma zdewastowaną usługę Instrumentacji zarządzania Windows (Winmgmt), stąd nie można uruchomić Zapory, nie działa też Centrum zabezpieczeń: winmgmt Service is not running. Checking service configuration: Checking Start type: ATTENTION!=====> Unable to open winmgmt registry key. The service key does not exist. Checking ImagePath: ATTENTION!=====> Unable to open winmgmt registry key. The service key does not exist. Checking ServiceDll: ATTENTION!=====> Unable to open winmgmt registry key. The service key does not exist. Dodatkowo, szykuje się problem natury stricte sprzętowej, w Dzienniku zdarzeń błędy bad sektorów dysku: System errors: ============= Error: (12/19/2014 03:54:09 PM) (Source: 0) (EventID: 7) (User: ) Description: \Device\Harddisk0\D Pod tym kątem załóż nowy temat w dziale Hardware dostarczając wymagane dane: KLIK. I tu coś się dzieje ze strukturą plików, bo są "powielenia" katalogów z numerycznymi dopiskami: 2014-12-18 19:41 - 2014-12-18 20:33 - 00000000 ____D () C:\Program Files\ESET(3) 2014-12-18 19:41 - 2014-12-18 20:33 - 00000000 ____D () C:\Documents and Settings\All Users\Dane aplikacji\ESET(3) 2014-12-18 17:54 - 2014-12-18 20:34 - 00000000 ____D () C:\Program Files\Windows Resource Kits(2) 2014-12-18 17:50 - 2014-12-18 20:34 - 00000000 ____D () C:\Program Files\Common Files\Java(2) 2014-12-18 17:25 - 2014-12-18 20:34 - 00000000 ____D () C:\Program Files\ESET(2) 2014-12-18 17:25 - 2014-12-18 20:34 - 00000000 ____D () C:\Documents and Settings\All Users\Dane aplikacji\ESET(2) Nie wiadomo jaki jest stan dysku i czy opłaca się tu cokolwiek robić, na wszelki wypadek jednak podaję co należy zrobić z powyższym defektem Winmgmt oraz inne rzeczy: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000000 "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Instrumentacja zarządzania Windows" "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,02,00,00,00,00,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00 "Description"="Dostarcza interfejs i model obiektowy w celu uzyskiwania dostępu do informacji zarządzania o systemie operacyjnym, urządzeniach, aplikacjach i usługach. Jeśli ta usługa zostanie zatrzymana, większość oprogramowania opartego na systemie Windows nie będzie działać właściwie. Jeśli ta usługa zostanie wyłączona, uruchomienie usług od niej zależnych nie powiedzie się." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Enum] "0"="Root\\LEGACY_WINMGMT\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Internet Manager. RunOuc] "Start"=dword:00000004 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\77048882.sys] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\77048882.sys] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PCAMPR5] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UIUSys] [-HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome] [HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions] "{20a82645-c095-46ed-80e3-08825760534b}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{08C06D61-F1F3-4799-86F8-BE1A89362C85}"=- "{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="" [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Uruchom plik przez dwuklik, potwierdź import do rejestru i zresetuj system. 2. Odinstaluj zbędnik/śmiecia Qtrax Player oraz stare aplikacje: Adobe Flash Player 14 ActiveX, Adobe Shockwave Player 11.5, Foxit Reader, OpenOffice.org 3.2 (ten ostatni nie umie korzystać z Java 7 obecnej w systemie, jest za stary i kończy wsparcie na Java 6). Nie jest także potrzebna cała aplikacja neostrada tp - tylko sterowniki urządzenia są istotne.

1. Uruchom AdwCleaner ponownie, wybierz Szukaj, w karcie Registry odznacz wpis punktujący klucz SearchScopes {0633EE93-D776-472f-A0FF-E1416B8B2E3A}, następnie wybierz Usuń. 2. Otwórz Notatnik i wklej w nim (przypominam = 8 osobnych linii): RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\ROBERT\Desktop\FRST-OlderVersion RemoveDirectory: C:\Users\ROBERT\Desktop\Stare dane programu Firefox Reg: reg delete "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Kończymy: 1. Skasuj folder C:\Users\Agnese\Downloads\FRST. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Zaktualizuj wtyczki Adobe i Firefox, Google Chrome może wrócić na miejsce - odnośniki pobierania w w/w linku. Poza tym, w systemie jest stara badziewna wersja Gadu-Gadu 10 - albo zaktualizuj do najnowszej bardziej ludziek wersji GG, albo wybierz alternatywny program z dobrą obsługą Gadu np. WTW: KLIK.

Problem powoduje adware Click Caption 1.10.0.4. I użyłeś jakiś podejrzany pseudo-instalator TreeSize Free 2.7.0.168.exe bez opisu producenta - ten plik wcale nie wygląda na oryginalny instalator tylko na jakiś "downloader" pobrany z któregoś portalu lub innego nieautoryzowanego źródła. Ze strony domowej programu jest pobierany całkiem inny plik TreeSizeFreeSetup.exe sygnowany przez "JAM Software", a wersja programu nowsza. 2014-12-13 20:30 - 2014-12-13 20:30 - 00000000 ____D () C:\Program Files\ClickCaption_1.10.0.4 2014-12-12 16:38 - 2014-12-12 16:40 - 00705872 _____ ( ) C:\Documents and Settings\Krzysztof\Pulpit\TreeSize Free 2.7.0.168.exe Są też w systemie inne problemy, np.: - Znaki uszkodzenia systemowego WMI obrazowane poniższymi błędami w Dzienniku zdarzeń: Error: (12/19/2014 06:57:07 PM) (Source: SecurityCenter) (EventID: 1802) (User: ) Description: Usługa Centrum zabezpieczeń systemu Windows nie może ustanowić kwerend zdarzeń z WMI, aby monitorować zaporę i program antywirusowy innej firmy. Error: (12/19/2014 06:57:07 PM) (Source: WinMgmt) (EventID: 28) (User: ) Description: Moduł WinMgmt nie może zainicjować części podstawowych. Powodem mogą być: źle zainstalowana wersja modułu WinMgmt, awaria uaktualnienia repozytorium modułu WinMgmt, za mało miejsca na dysku lub za mało pamięci. - Nie widać w ogóle zainstalowanego Acronis, a jego sterowniki pracują pełną parą. Sterowniki filtrują dysk twardy i nie można ich usunąć "z biegu" bez zdjęcia filtrów, gdyż w przeciwnym wypadku Windows się już nie uruchomi. Przeprowadź następujące działania: 1. Przez Dodaj/Usuń programy odinstaluj: - Adware: Click Caption 1.10.0.4, Reputation Advisor. - Stare wersje Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Java 7 Update 51, OpenOffice.org 2.4 i problematyczny firewall NVIDIA ForceWare Network Access Manager. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis sysTPL > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hp&ts=1418499046&from=cor&uid=ST3160815AS_5RA2LWHWXXXX5RA2LWHW CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1418499046&from=cor&uid=ST3160815AS_5RA2LWHWXXXX5RA2LWHW" CHR DefaultSearchKeyword: Default -> omiga-plus CHR HKLM\...\Chrome\Extension: [bjfjckelkjhfgamlmipgdaklofacegaa] - C:\Program Files\maucampo\bjfjckelkjhfgamlmipgdaklofacegaa.crx [Not Found] FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\omiga-plus.xml FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files\Microsoft Silverlight\5.1.30514.0\npctrl.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [{C7AE725D-FA5C-4027-BB4C-787EF9F8248A}] - C:\Program Files\RelevantKnowledge\firefox ProxyServer: [s-1-5-21-796845957-1677128483-725345543-1003] => http=127.0.0.1:8877 HKU\S-1-5-21-796845957-1677128483-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-796845957-1677128483-725345543-1003 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-796845957-1677128483-725345543-1003 -> {AE70BAA0-210B-41B8-BA25-FB8E96305663} URL = http://szukaj.gazeta.pl/portalSearch.do?s.si(navigation).navigationEnabled=true&s.sm.query={searchTerms} BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre7\bin\ssv.dll No File BHO: AcroIEToolbarHelper Class -> {AE7CD045-E861-484f-8273-0445EE161910} -> C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll No File BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre7\bin\jp2ssv.dll No File Toolbar: HKLM - Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll No File Toolbar: HKU\.DEFAULT -> Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll No File Toolbar: HKU\S-1-5-21-796845957-1677128483-725345543-1003 -> Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll No File CustomCLSID: HKU\S-1-5-21-796845957-1677128483-725345543-1003_Classes\CLSID\{33370786-2876-5ab2-8da1-2c63f8dadfc1}\InprocServer32 -> C:\Program Files\VDownloader\Addons\npVDownloader.dll No File HKLM\...\Run: [] => [X] HKLM\...\Run: [WebEasyMail] => C:\WINWEB~1\easymail.exe -src HKLM\...\Run: [userFaultCheck] => %systemroot%\system32\dumprep 0 -u HKLM\...\Run: [unlockerAssistant] => "C:\Program Files\Unlocker\UnlockerAssistant.exe" HKU\S-1-5-21-796845957-1677128483-725345543-1003\...\Run: [NetLimiter] => C:\Program Files\NetLimiter 3\NLClientApp.exe /tray S3 Bcim; system32\DRIVERS\bcim.sys [X] S4 InCDFs; system32\drivers\InCDFs.sys [X] S1 InCDPass; system32\drivers\InCDPass.sys [X] S1 InCDRm; system32\drivers\InCDRm.sys [X] S3 LVUSBSta; system32\drivers\lvusbsta.sys [X] S3 NLNdisMP; system32\DRIVERS\nlndis.sys [X] S3 NLNdisPT; system32\DRIVERS\nlndis.sys [X] S3 pepifilter; system32\DRIVERS\lv302af.sys [X] S3 PID_08A0; system32\DRIVERS\LV302AV.SYS [X] S3 WFLR6654; system32\drivers\wfeaglxt.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F} C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\DAEMON Tools Lite C:\Documents and Settings\All Users\Dane aplikacji\DBC2F6FD-3140-41E0-A2A1-D6BAB77D5E21__F893F7CA-8278-41DF-A76F-CAF0437A90CD__ C:\Documents and Settings\All Users\Dane aplikacji\Temp C:\Documents and Settings\All Users\Dane aplikacji\TuneUp Software C:\Documents and Settings\Krzysztof\Dane aplikacji\avidemux C:\Documents and Settings\Krzysztof\Dane aplikacji\BITS C:\Documents and Settings\Krzysztof\Dane aplikacji\DAEMON Tools Lite C:\Documents and Settings\Krzysztof\Dane aplikacji\DBC2F6FD-3140-41E0-A2A1-D6BAB77D5E21__F893F7CA-8278-41DF-A76F-CAF0437A90CD__ C:\Documents and Settings\Krzysztof\Dane aplikacji\DVDVideoSoft C:\Documents and Settings\Krzysztof\Dane aplikacji\EurekaLog C:\Documents and Settings\Krzysztof\Dane aplikacji\FlashgetSetup C:\Documents and Settings\Krzysztof\Dane aplikacji\PowerCinema C:\Documents and Settings\Krzysztof\Dane aplikacji\TeamViewer C:\Documents and Settings\Krzysztof\Dane aplikacji\TuneUp Software C:\Documents and Settings\Krzysztof\Dane aplikacji\XMedia Recode C:\Documents and Settings\Krzysztof\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Documents and Settings\Krzysztof\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\Documents and Settings\Krzysztof\Pulpit\TreeSize Free 2.7.0.168.exe C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{540D60F3-67BD-4C49-A199-B1775CC39844}" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{900906EF-3D34-4D7D-8870-8B62C49DA2A8}" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318} /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F} /s CMD: netsh firewall reset CMD: net stop WinMgmt C:\WINDOWS\system32\wbem\Repository CMD: dir /a "C:\Documents and Settings\Krzysztof\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\LocalService\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\NetworkService\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Specjalny skrót Internet Explorer jest uszkodzony (pewnie AdwCleaner go niepoprawnie czyścił): Shortcut: C:\Documents and Settings\Krzysztof\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Documents and Settings\Krzysztof\Menu Start\Programy\Akcesoria\Narzędzia systemowe i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenie SeoQuake trzeba będzie przeinstalować. 5. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączne (ręcznie aktywuj). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy isearch.omiga-plus.com (o ile nadal będzie widoczne). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 6. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Brak oznak infekcji. Ten "rootkit" to nie jest żaden prawdziwy rootkit / infekcja, AVG wykrywa czynności Nortona: KLIK. Każdy antywirus wprowadza modyfikacje na określonym poziomie "rootkit-podobnym", nawet AVG - proszę oto z GMER przykładowe hooki SSDT obu antywirusów w Twoim systemie (a jest modyfikacji "rootkit-podobnych" więcej): ---- System - GMER 2.1 ---- SSDT 972B8738 ZwAlpcConnectPort SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys ZwNotifyChangeKey [0xC623C6E0] SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys ZwNotifyChangeMultipleKeys [0xC623C800] SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys ZwOpenProcess [0xC623C010] SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys ZwOpenThread [0xC623C4D0] SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys ZwSuspendProcess [0xC623C300] SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys ZwSuspendThread [0xC623C3E0] SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys ZwTerminateProcess [0xC623C120] SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys ZwTerminateThread [0xC623C210] SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys ZwWriteVirtualMemory [0xC623C5E0] Tu następuje kolizja detekcji: jeden antywirus wykrywa modyfikacje innego nie potrafiąc ocenić pochodzenia w sposób właściwy. Ta detekcja nie ma znaczenia i tu nie ma problemów. Natomiast ogólnie problemem nie jest żadna infekcja tylko właśnie instalacja Symantec: A wg raportów tu nadal siedzi Norton i to okropnie stary - komponenty z 2007/2008. Mnóstwo uruchomionych procesów, usług i sterowników, lista zainstalowanych wytapetowana instalacjami Norton (części nie widzisz, gdyż są tu też wpisy ukryte): ==================== Installed Programs ====================== AppCore (Version: 1.3 - Symantec Corporation) Hidden ccCommon (Version: 107.0.4.3 - Symantec) Hidden Component Framework (Version: 2006.1.3.35 - Symantec Corporation) Hidden LiveUpdate (Symantec Corporation) (HKLM\...\PsuedoLiveUpdate) (Version: 3.4.1.232 - Symantec Corporation) LiveUpdate (Symantec Corporation) (Version: 3.4.1.232 - Symantec Corporation) Hidden Norton AntiVirus (Version: 15.5.0.23 - Symantec Corporation) Hidden Norton AntiVirus Help (Version: 15.0 - Symantec Corporation) Hidden Norton Confidential Core (Version: 2.5.0.32 - Symantec Corporation) Hidden Norton Internet Security (Symantec Corporation) (HKLM\...\SymSetup.{C1C185CA-C531-49F5-A6FA-B838405A049D}) (Version: 15.5.0.23 - Symantec Corporation) Norton Internet Security (Version: 15.5.0.23 - Symantec Corporation) Hidden Norton Protection Center (Version: 3.6.0.18 - Symantec Corporation) Hidden SPBBC 32bit (Version: 4.1.0.15 - Symantec Corporation) Hidden Symantec Real Time Storage Protection Component (Version: 10.2.3.9 - Symantec Corporation) Hidden SymNet (Version: 8.0.1.22 - Symantec Corporation) Hidden ==================== Processes (Whitelisted) ================= (Symantec Corporation) C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe () C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe (Symantec Corporation) C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe ==================== Registry (Whitelisted) ================== HKLM\...\Run: [ccApp] => c:\Program Files\Common Files\Symantec Shared\ccApp.exe [51048 2008-02-07] (Symantec Corporation) HKLM\...\Run: [isCfgWiz] => c:\Program Files\Common Files\Symantec Shared\OPC\{C86EA115-FACD-4aa8-BFA2-398C677D0936}\SYMCUW.exe [611712 2008-02-23] (Symantec Corporation) ==================== Internet (Whitelisted) ==================== BHO: No Name -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> c:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.5\coIEPlg.dll (Symantec Corporation) BHO: Symantec Intrusion Prevention -> {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -> C:\Program Files\Common Files\Symantec Shared\IDS\IPSBHO.dll (Symantec Corporation) Toolbar: HKLM - Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.5\CoIEPlg.dll (Symantec Corporation) ========================== Services (Whitelisted) ================= S4 Automatic LiveUpdate Scheduler; c:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe [238968 2008-02-09] (Symantec Corporation) R2 ccEvtMgr; c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe [149864 2008-02-07] (Symantec Corporation) R2 ccSetMgr; c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe [149864 2008-02-07] (Symantec Corporation) R2 CLTNetCnService; c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe [149864 2008-02-07] (Symantec Corporation) S3 comHost; c:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe [55640 2007-08-22] (Symantec Corporation) S3 LiveUpdate; c:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE [3220856 2008-02-09] (Symantec Corporation) R2 LiveUpdate Notice; c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe [149864 2008-02-07] (Symantec Corporation) R3 Symantec Core LC; C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe [1245064 2008-08-25] () ==================== Drivers (Whitelisted) ==================== R2 CO_Mon; C:\Windows\system32\drivers\CO_Mon.sys [36056 2007-08-09] (Symantec Corporation) S3 IDSvix86; C:\ProgramData\Symantec\Definitions\SymcData\ipsdefs\20071204.002\IDSvix86.sys [180272 2007-11-06] (Symantec Corporation) R3 NAVENG; C:\ProgramData\Symantec\Definitions\VirusDefs\20080518.003\NAVENG.SYS [82256 2008-05-18] (Symantec Corporation) R3 NAVEX15; C:\ProgramData\Symantec\Definitions\VirusDefs\20080518.003\NAVEX15.SYS [895408 2008-05-18] (Symantec Corporation) S3 SPBBCDrv; C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCDrv.sys [447024 2008-01-17] (Symantec Corporation) R3 SRTSP; C:\Windows\System32\Drivers\SRTSP.SYS [279088 2008-02-01] (Symantec Corporation) S3 SRTSPL; C:\Windows\System32\Drivers\SRTSPL.SYS [317616 2008-02-01] (Symantec Corporation) R1 SRTSPX; C:\Windows\System32\Drivers\SRTSPX.SYS [43696 2008-02-01] (Symantec Corporation) R3 SymEvent; C:\Windows\system32\Drivers\SYMEVENT.SYS [123952 2008-08-25] (Symantec Corporation) R1 SymIM; C:\Windows\System32\DRIVERS\SymIMv.sys [24112 2008-02-20] (Symantec Corporation) R1 SYMTDI; C:\Windows\System32\Drivers\SYMTDI.SYS [188464 2008-02-05] (Symantec Corporation) Ten rozbudowany archaiczny Norton sam w sobie może być przyczyną poważnych kłopotów (BSODy z powodu za starych sterowników, blokada startu systemu, spowolnienie, dysfunkcja sieci), a tu jeszcze sprawa pogrążona instalacją AVG. Masakra. To mogło całkowicie zablokować rozruch systemu. Niestety problemem jest tu Recovery - obraz ma zintegrowane stare aplikacje i "przywracając do ustawień fabrycznych" za każdym razem przywracane są te same archaizmy (nie tylko Norton, również Adobe, Java, Windows Live Messenger - ten komunikator już nawet nie działa, obecnie zastąpił go Skype - oraz inne integracje producenta). Poza tym, Recovery degraduje aktualizacje systemu i obecny stan to: Platform: Microsoft® Windows Vista™ Home Premium Service Pack 1 (X86) OS Language: Polski (Polska)Internet Explorer Version 7 1. Rozpocznij od całkowitego wyrzucenia starych instalacji z systemu: - Przez Panel sterowania odinstaluj wszystko co widać od Symantec. Odinstaluj także inne stare dziurawe oraz całkowicie zbędne aplikacje: Adobe Flash Player ActiveX, Adobe Reader 8.1.0 - Polish, Adobe Shockwave Player, Java™ 6 Update 6, HP Customer Experience Enhancements, Pasek narzędzi AOL 5.0, Windows Live Messenger. Rozważ czy potrzebujesz inne firmowe integracje, np. multum instalacji CyberLink, QuickPlay SlingPlayer, Microsoft Office. - Następnie przejdź w Tryb awaryjny Windows i zastosuj Norton Removal Tool. 2. Opuść Tryb awaryjny. Zrób nowy Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi.

Otrzymałeś precyzyjną diagnozę: Webber-SW (przyczyna reklam w Mozilla) oraz Mobogenie (to dodatkowy tu aspekt, ale to nie on tworzy reklamy w Mozilla). Zalecałam poprawną deinstalację Mobogenie. Jeśli nie wykonałeś tego, a był uruchomiony AdwCleaner, to przeprowadził usuwanie "na chama", które nie jest tożsame z poprawną deinstalacją i niestety ale może skutkować większą ilością odpadkowego brudu niż odwrotna kolejność. Zawsze zaczyna się od deinstalacji, potem dopiero AdwCleaner i podobne rozwiązania. Zaleciłam także reset Firefox, bo to także lepsza metoda czyszczenia niż jakieś punktowe grzebanie - plik preferencji jest odtwarzany "na czysto", wszystkie dodane rozszerzenia automatycznie zerowane. Niestety nie wiem jaką aplikację zamiennie można użyć. Ale od Mobogenie trzymaj się z daleka - ten program jest klasyfikowany jako "adware/PUP" (powiązania z reklamami, niechciane instalacje w sponsorowanych wrapperach), a dodatkowo na forum były raporty o znacznym spadku wydajności systemu po jego instalacji.

Temat przenoszę do działu Windows, nie jest to problem sprzętowy. Na temat znikającego miejsca: 1. Metoda sprawdzania poprzez porównywanie "co widać" / "zaznaczanie i prawoklik" jest niewiarygodna. Tym sposobem nie są obliczane obiekty ukryte oraz ograniczone przez uprawnienia. 2. Wg obrazka nie widzisz wszystkich elementów. W Opcjach folderów wyłącz Ukryj chronione pliki systemu operacyjnego, a powinny się pojawić jeszcze i to tylko w samym root dysku (a znacznie więcej w innych czeluściach): plik pamięci wirtualnej pagefile.sys (waży bardzo dużo, pewien procent / wielokrotność całego zainstalowanego RAM), a jeśli jest włączona Hibernacja to jeszcze hiberfil.sys (waży tyle ile RAMU fizycznego) foldery $Recycle.Bin (Kosz), Recovery (dostęp do środowiska WinRE, czyli F8 > Napraw komputer), System Volume Information (Przywracanie systemu / cieniowanie woluminu) inne obiekty (np. linki symboliczne typu Documents and settings) Recovery i System Volume Information powinny zwracać "Odmowę dostępu" i być fałszywie przedstawione jako "zerobajtowe" (brak uprawnień = brak dostępu, by obliczyć rozmiar). Są to jednak foldery bogate w elementy i z pewnością w plecy sporo. Tam się nie grzebie ręcznie, nie próbuj zmieniać uprawnień tych obiektów, są chronione nie bez przyczyny. 3. Do diagnostyki miejsca skorzystaj ze SpaceSniffer. Program należy zastartować prawoklikową opcją "Uruchom jako Administrator", by obliczył np. wagę System Volume Information.

Historię wyczyściła komenda EmptyTemp:. Opis co robi komenda w tutorialu FRST: KLIK. Komenda usuwa tymczasowe obiekty w sposób permanentny i Firefox regeneruje na czysto pliki. O ile użytkownik potrzebuje Java, to i tak musi być zainstalowana najnowsza z możliwych, ale owszem Oracle rakiem się wycofuje ze wsparcia XP. Pod tego rodzaju przypadki np. Malwarebytes Anti-Exploit - w wersji darmowej ochrona przeglądarek oraz Java przed eksploitami / atakami. Poprzedni Fix wykonany. Kolejne poprawki na odpadkowe katalogi i pliki. Otwórz Notatnik i wklej w nim: I:\Documents and Settings\Administrator\Dane aplikacji\Macromedia I:\Documents and Settings\Administrator\Dane aplikacji\Sun I:\Documents and Settings\PatrykG\Dane aplikacji\gd.db I:\Documents and Settings\PatrykG\Dane aplikacji\*.exe I:\Documents and Settings\PatrykG\Dane aplikacji\*.txt I:\Documents and Settings\PatrykG\Dane aplikacji\Other.ico I:\Documents and Settings\PatrykG\Dane aplikacji\Adobe I:\Documents and Settings\PatrykG\Dane aplikacji\Google I:\Documents and Settings\PatrykG\Dane aplikacji\Macromedia I:\Documents and Settings\PatrykG\Dane aplikacji\Sun I:\Documents and Settings\PatrykG\Ustawienia lokalne\Dane aplikacji\3DVIA I:\Documents and Settings\PatrykG\Ustawienia lokalne\Dane aplikacji\Adobe I:\Documents and Settings\PatrykG\Ustawienia lokalne\Dane aplikacji\ChomikBox I:\Documents and Settings\PatrykG\Ustawienia lokalne\Dane aplikacji\Conduit I:\Documents and Settings\PatrykG\Ustawienia lokalne\Dane aplikacji\eLicenser I:\Documents and Settings\PatrykG\Ustawienia lokalne\Dane aplikacji\Google I:\Documents and Settings\PatrykG\Ustawienia lokalne\Dane aplikacji\RapidSolution I:\Documents and Settings\PatrykG\Ustawienia lokalne\Dane aplikacji\Sun I:\Documents and Settings\PatrykG\Ustawienia lokalne\Dane aplikacji\Thunderbird I:\Program Files\Global.sw I:\Program Files\Apache Software Foundation I:\Program Files\Arturia I:\Program Files\GetFLV I:\Program Files\Google I:\Program Files\Grooveshark Downloader I:\Program Files\InstallJammer Registry I:\Program Files\InterActual I:\Program Files\InterVideo I:\Program Files\JDownloader I:\Program Files\Logia I:\Program Files\Mozilla Thunderbird I:\Program Files\Spybot - Search & Destroy I:\Program Files\Steinberg I:\Program Files\WMR14 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj fixlog.txt.

Masowa usterka [File not signed] naprawiona. Natomiast pierwszy skrypt FRST wyłączył Dziennik zdarzeń, drugi miał go włączyć ponownie. Drugi skrypt jednak w ogóle nie wykonany. Powtórz akcję, ale bez komend CloseProcesses: + EmptyTemp:, czyli zastosuj fixlist o postaci: HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% HKLM Group Policy restriction on software: C:\Program Files\uTorrent\uTorrent.exe HKLM Group Policy restriction on software: C:\Program Files\eMule\emule.exe HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% HKU\S-1-5-21-776561741-1935655697-839522115-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction URLSearchHook: HKLM - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} S2 ATE_PROCMON; \??\C:\Program Files\Anti Trojan Elite\ATEPMon.sys [X] S3 catchme; \??\C:\DOCUME~1\PRIMUS~1\USTAWI~1\Temp\catchme.sys [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\Documents and Settings\All Users\Dane aplikacji\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F} C:\Documents and Settings\All Users\Dane aplikacji\Doctor Web C:\Documents and Settings\All Users\Dane aplikacji\TuneUp Software C:\Documents and Settings\Primus Girrafus\Doctor Web C:\Documents and Settings\Primus Girrafus\Dane aplikacji\TuneUp Software C:\Documents and Settings\Primus Girrafus\Ustawienia lokalne\Dane aplikacji\nsf40.tmp C:\Program Files\TuneUp Utilities 2013 C:\WINNT\system32\config\Doctor Web.evt C:\WINNT\system32\config\TuneUp.evt CMD: sc config Eventlog start= auto Reg: reg add "HKLM\Software\Microsoft\Internet Explorer\Main" /v "Local Page" /t REG_SZ /d C:\WINNT\System32\blank.htm /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /v Tabs /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reboot: Przedstaw wynikowy fixlog.txt oraz zrób nowy skan FRST po akcji.

Acrobat Reader był ciut starszy (11.0.06) niż najnowsza wersja (11.0.10) i to można było po prostu bezpośrednio zaktualizować, ale OK. Tak, najnowsze wersje zainstalujesz, gdy skończymy czyścić system. Fix wykonany. Jeszcze drobne poprawki + dir określonych katalogów czy nie ma jakiś odpadkowych folderów po odinstalowanych programach. Otwórz Notatnik i wklej w nim: BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> I:\Program Files\Java\jre6\bin\jp2ssv.dll No File FF Plugin: @java.com/DTPlugin -> I:\Program Files\Java\jre6\bin\npDeployJava1.dll No File I:\Documents and Settings\All Users\Dane aplikacji\Adobe I:\Program Files\Adobe I:\Program Files\Foxit Software I:\Program Files\Java CMD: dir /a "I:\Program Files" CMD: dir /a "I:\Documents and Settings\Administrator\Dane aplikacji" CMD: dir /a "I:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "I:\Documents and Settings\PatrykG\Dane aplikacji" CMD: dir /a "I:\Documents and Settings\PatrykG\Ustawienia lokalne\Dane aplikacji" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj fixlog.txt. Nowe logi FRST nie są już mi potrzebne.

Wszystko zrobione. Kończymy: Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

1. Jeszcze jedna poprawka. Do Notatnika wklej: RemoveDirectory: C:\ProgramData\GroupPolicy Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Skasuj pobrany FRST. Zastosuj DelFix, wyczyść foldery Przywracania systemu i zaktualizuj Java: KLIK.

Ale po co przywracać, zrób po prostu nowy skan FRST i podaj wynikowy FRST.txt.

Discount Dragon na 100% został usunięty i się już nie odtworzy. Jeszcze drobna sprawa - otwórz Notatnik i wklej w nim: Folder: C:\ProgramData\GroupPolicy DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Nowy skan FRST nie jest już potrzebny.

Prawie wszystko zrobione, za wyjątkiem komend CMD typu "dir". Nie wiem o co chodzi, że nie chce ich wykonać. Ale to już nie takie istotne. Możemy kończyć temat: Skasuj ręcznie pobrane narzędzia. Zastosuj DelFix, wyczyść foldery Przywracania systemu i zaktualizuj Internet Explorer: KLIK.

Używałeś wątpliwy skaner SpyHunter - z daleka od niego. Discount Dragon jest zablokowany za pomocą polityk Google. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2636827988-668989614-3064574600-1115\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=N360&pvid=21.4.0.13 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://securityresponse.symantec.com/avcenter/fix_homepage/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://securityresponse.symantec.com/avcenter/fix_homepage/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://securityresponse.symantec.com/avcenter/fix_homepage/ HKU\S-1-5-21-2636827988-668989614-3064574600-1115\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=N360&pvid=21.4.0.13 BHO-x32: Norton Identity Protection -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> C:\Program Files (x86)\Norton 360\Engine\21.6.0.32\coIEPlg.dll No File BHO-x32: Norton Vulnerability Protection -> {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -> C:\Program Files (x86)\Norton 360\Engine\21.6.0.32\IPS\IPSBHO.DLL No File BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File Toolbar: HKLM-x32 - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File HKU\S-1-5-21-2636827988-668989614-3064574600-1115\Software\Classes\.exe: exefile => HKU\S-1-5-21-2636827988-668989614-3064574600-1115\Software\Classes\exefile: Task: {5784827B-7C33-4D14-B5DB-9F5F630B685B} - System32\Tasks\{80899BCE-E5E4-405F-8D28-F9E2D95F2E6E} => pcalua.exe -a C:\Users\RadoslawT.ELKAR\Downloads\RegCleaner4.3.0.780_www.INSTALKI.pl.exe -d C:\Users\RadoslawT.ELKAR\Downloads Task: {9B51166A-906C-4CFE-A300-3DC6C40D21C4} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2636827988-668989614-3064574600-1115Core => C:\Users\RadoslawT.ELKAR\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {9DD9063C-5646-4434-8EBB-8A6FB1700764} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2636827988-668989614-3064574600-1115UA => C:\Users\RadoslawT.ELKAR\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {B326C34B-08BC-4C58-B568-4B5274AD3A2A} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe Task: {B9EAB8D4-D522-4EB0-9279-FCA379BA841E} - System32\Tasks\bench-S-1-5-21-2636827988-668989614-3064574600-1115 => C:\Program Files (x86)\Bench\Updater\updater.exe BootExecute: autocheck autochk * sdnclean64.exe AS: Spybot - Search and Destroy (Disabled - Up to date) {9BC38DF1-3CCA-732D-A930-C1CA5F20A4B0} S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 gfiark; system32\drivers\gfiark.sys [X] S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\ProgramData\Spybot - Search & Destroy C:\Users\krzysztofs\Desktop\RegCleaner.lnk C:\Users\RadoslawT\Desktop\RegCleaner.lnk C:\Users\RadoslawT.ELKAR\Downloads\SpyHunter-Installer.exe C:\Windows\system32\Drivers\kgpcpy.cfg C:\Windows\system32\log C:\Windows\System32\Tasks\Safer-Networking Hosts: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone - włącz wszystko ręcznie. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Skasuj plik C:\Delfix.txt z dysku. Jeśli chodzi wyciąg DD, to na pewno cały log? Wygląda na urwany na początku. Na czym stoimy w tej kwestii? Były zalecenia: PS. A temat to przenoszę do działu Windows, bo tu jest duża dysproporcja tematyczna, infekcja nie jest przyczyną problemów.

Temat przenoszę do działu Windows 8. Nic tu nie wskazuje na infekcję. W Dzienniku zdarzeń jest dużo błędów składników aplikacji Dell Backup and Recovery: Application errors: ================== Error: (12/18/2014 10:26:32 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: DmiInfo.exe, wersja: 1.0.0.0, sygnatura czasowa: 0x5273bfb9 Nazwa modułu powodującego błąd: KERNELBASE.dll, wersja: 6.3.9600.17278, sygnatura czasowa: 0x53eeb460 Kod wyjątku: 0xe0434352 Przesunięcie błędu: 0x00012f71 Identyfikator procesu powodującego błąd: 0x588 Godzina uruchomienia aplikacji powodującej błąd: 0xDmiInfo.exe0 Ścieżka aplikacji powodującej błąd: DmiInfo.exe1 Ścieżka modułu powodującego błąd: DmiInfo.exe2 Identyfikator raportu: DmiInfo.exe3 Pełna nazwa pakietu powodującego błąd: DmiInfo.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: DmiInfo.exe5 Error: (12/18/2014 10:26:32 PM) (Source: .NET Runtime) (EventID: 1026) (User: ) Description: Aplikacja: DmiInfo.exe Wersja architektury: v4.0.30319 Opis: proces został przerwany z powodu nieobsłużonego wyjątku. Informacje o wyjątku: System.Management.ManagementException Stos: w System.Management.ManagementException.ThrowWithExtendedInfo(System.Management.ManagementStatus) w System.Management.ManagementScope.InitializeGuts(System.Object) w System.Management.ManagementScope.Initialize() w System.Management.ManagementObject.Initialize(Boolean) w System.Management.ManagementClass.GetInstances(System.Management.EnumerationOptions) w System.Management.ManagementClass.GetInstances() w DmiInfo.Program.GetSystemModel() w DmiInfo.Program.Main(System.String[]) Error: (12/18/2014 10:24:51 PM) (Source: Dell System Detect) (EventID: 0) (User: ) Description: System.Reflection.TargetInvocationException w System.Reflection.RuntimeMethodInfo.Invoke(Object obj, BindingFlags invokeAttr, Binder binder, Object[] parameters, CultureInfo culture, Boolean skipVisibilityChecks) w System.Reflection.RuntimeMethodInfo.Invoke(Object obj, BindingFlags invokeAttr, Binder binder, Object[] parameters, CultureInfo culture) w System.Reflection.MethodBase.Invoke(Object obj, Object[] parameters) w eSupport.Common.Client.Service.RequestHandlers.ClientServiceHandler.c3495b834b5bac1c64574ce72cfe36240(HttpListenerContext ce14c4d47ebe0e68f7c453da6c7e6a8c0)]]> eSupport.Common.Client.Drivers.Exceptions.WMIFailureExceptionSystem.Management.ManagementException w System.Management.ManagementScope.InitializeGuts(Object o) w System.Management.ManagementScope.Initialize() w System.Management.ManagementObject.Initialize(Boolean getObject) w System.Management.ManagementClass.GetInstances(EnumerationOptions options) w eSupport.Common.Client.Service.Global.ClientServiceLogic.GetServiceTag()]]> getservicetagclientserviceMozilla/5.0 (Windows NT 6.3; WOW64; rv:34.0) Gecko/20100101 Firefox/34.0 Error: (12/18/2014 10:20:44 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: DmiInfo.exe, wersja: 1.0.0.0, sygnatura czasowa: 0x5273bfb9 Nazwa modułu powodującego błąd: KERNELBASE.dll, wersja: 6.3.9600.17278, sygnatura czasowa: 0x53eeb460 Kod wyjątku: 0xe0434352 Przesunięcie błędu: 0x00012f71 Identyfikator procesu powodującego błąd: 0x1304 Godzina uruchomienia aplikacji powodującej błąd: 0xDmiInfo.exe0 Ścieżka aplikacji powodującej błąd: DmiInfo.exe1 Ścieżka modułu powodującego błąd: DmiInfo.exe2 Identyfikator raportu: DmiInfo.exe3 Pełna nazwa pakietu powodującego błąd: DmiInfo.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: DmiInfo.exe5 Error: (12/18/2014 10:20:44 PM) (Source: .NET Runtime) (EventID: 1026) (User: ) Description: Aplikacja: DmiInfo.exe Wersja architektury: v4.0.30319 Opis: proces został przerwany z powodu nieobsłużonego wyjątku. Informacje o wyjątku: System.Management.ManagementException Stos: w System.Management.ManagementException.ThrowWithExtendedInfo(System.Management.ManagementStatus) w System.Management.ManagementScope.InitializeGuts(System.Object) w System.Management.ManagementScope.Initialize() w System.Management.ManagementObject.Initialize(Boolean) w System.Management.ManagementClass.GetInstances(System.Management.EnumerationOptions) w System.Management.ManagementClass.GetInstances() w DmiInfo.Program.GetSystemModel() w DmiInfo.Program.Main(System.String[]) Error: (12/18/2014 10:06:03 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: TOASTER.EXE, wersja: 1.0.1.139, sygnatura czasowa: 0x518d3481 Nazwa modułu powodującego błąd: KERNELBASE.dll, wersja: 6.3.9600.17278, sygnatura czasowa: 0x53eeb460 Kod wyjątku: 0xe0434352 Przesunięcie błędu: 0x00012f71 Identyfikator procesu powodującego błąd: 0x1600 Godzina uruchomienia aplikacji powodującej błąd: 0xTOASTER.EXE0 Ścieżka aplikacji powodującej błąd: TOASTER.EXE1 Ścieżka modułu powodującego błąd: TOASTER.EXE2 Identyfikator raportu: TOASTER.EXE3 Pełna nazwa pakietu powodującego błąd: TOASTER.EXE4 Identyfikator aplikacji względem pakietu powodującego błąd: TOASTER.EXE5 Error: (12/18/2014 10:06:02 PM) (Source: .NET Runtime) (EventID: 1026) (User: ) Description: Aplikacja: TOASTER.EXE Wersja architektury: v4.0.30319 Opis: proces został przerwany z powodu nieobsłużonego wyjątku. Informacje o wyjątku: System.Management.ManagementException Stos: w MS.Internal.Threading.ExceptionFilterHelper.TryCatchWhen(System.Object, System.Delegate, System.Object, Int32, System.Delegate) w System.Windows.Threading.DispatcherOperation.InvokeImpl() w System.Windows.Threading.DispatcherOperation.InvokeInSecurityContext(System.Object) w System.Threading.ExecutionContext.RunInternal(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object, Boolean) w System.Threading.ExecutionContext.Run(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object, Boolean) w System.Threading.ExecutionContext.Run(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object) w System.Windows.Threading.DispatcherOperation.Invoke() w System.Windows.Threading.Dispatcher.ProcessQueue() w System.Windows.Threading.Dispatcher.WndProcHook(IntPtr, Int32, IntPtr, IntPtr, Boolean ByRef) w MS.Win32.HwndWrapper.WndProc(IntPtr, Int32, IntPtr, IntPtr, Boolean ByRef) w MS.Win32.HwndSubclass.DispatcherCallbackOperation(System.Object) w System.Windows.Threading.ExceptionWrapper.InternalRealCall(System.Delegate, System.Object, Int32) w MS.Internal.Threading.ExceptionFilterHelper.TryCatchWhen(System.Object, System.Delegate, System.Object, Int32, System.Delegate) w System.Windows.Threading.Dispatcher.LegacyInvokeImpl(System.Windows.Threading.DispatcherPriority, System.TimeSpan, System.Delegate, System.Object, Int32) w MS.Win32.HwndSubclass.SubclassWndProc(IntPtr, Int32, IntPtr, IntPtr) w MS.Win32.UnsafeNativeMethods.DispatchMessage(System.Windows.Interop.MSG ByRef) w System.Windows.Threading.Dispatcher.PushFrameImpl(System.Windows.Threading.DispatcherFrame) w System.Windows.Threading.Dispatcher.PushFrame(System.Windows.Threading.DispatcherFrame) w System.Windows.Threading.Dispatcher.Run() w System.Windows.Application.RunDispatcher(System.Object) w System.Windows.Application.RunInternal(System.Windows.Window) w System.Windows.Application.Run(System.Windows.Window) w Toaster.App.Main() Error: (12/18/2014 10:06:02 PM) (Source: TOASTER.EXE) (EventID: 0) (User: ) Description: An Unhandled Exception occured. Not found w System.Management.ThreadDispatch.Start() w System.Management.ManagementScope.Initialize() w System.Management.ManagementEventWatcher.Initialize() w System.Management.ManagementEventWatcher.Start() w Toaster.Services.PowerManagementService.Start() w Toaster.MainWindowViewModel..ctor() w Toaster.App.OnStartup(StartupEventArgs e) w System.Windows.Application.b__1(Object unused) w System.Windows.Threading.ExceptionWrapper.InternalRealCall(Delegate callback, Object args, Int32 numArgs) w MS.Internal.Threading.ExceptionFilterHelper.TryCatchWhen(Object source, Delegate method, Object args, Int32 numArgs, Delegate catchHandler) Error: (12/18/2014 10:01:34 PM) (Source: Application Hang) (EventID: 1002) (User: ) Description: Program Dell.WelcomeGuide.exe w wersji 1.0.0.0 przestał współpracować z systemem Windows i został zamknięty. Aby sprawdzić, czy jest dostępnych więcej informacji na temat tego problemu, sprawdź historię problemu w aplecie Centrum akcji w Panelu sterowania. Identyfikator procesu: 5a4 Godzina rozpoczęcia: 01d01b05c23cc8ee Godzina zakończenia: 4294967295 Ścieżka aplikacji: C:\Program Files\WindowsApps\DellInc.DellGettingStartedwithWindows8_1.0.0.35_neutral__htrsf667h5kn2\Dell.WelcomeGuide.exe Identyfikator raportu: 09a7511b-86f9-11e4-bea8-681729281ae9 Pełna nazwa pakietu powodującego błąd: DellInc.DellGettingStartedwithWindows8_1.0.0.35_neutral__htrsf667h5kn2 Identyfikator aplikacji względem pakietu powodującego błąd: App Error: (12/18/2014 10:01:30 PM) (Source: Microsoft-Windows-Immersive-Shell) (EventID: 2486) (User: KAMIL) Description: Aplikacja DellInc.DellGettingStartedwithWindows8_1.0.0.35_neutral__htrsf667h5kn2+App nie została uruchomiona w wyznaczonym czasie. Jak rozumiem uruchamiasz opcję Resetuj PC spod działającego Windows. Czy to samo się dzieje w przypadku wywołania tej opcji z poziomu środowiska zewnętrznego RE tzn. w ustawieniach opcja Uruchamianie zaawansowane i restart systemu do RE lub boot z poziomu płyty DVD Windows 8 do modułu "Napraw komputer"? .

Zestaw logów lichy (OTL zresztą niekompletny, brak Extras). Proszę dostosuj się do zasad działu w kwestii obowiązujących raportów: KLIK. OTL to przestarzały program sprawdzany tylko pobocznie, obecnie główne raporty to FRST. Uzupełnij.