picasso

Czyszczenie z adware pomyślne. Kończąc ten wątek, zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. I temat pewnie zostanie przeniesiony do innego działu: Teraz do mnie dotarło po obejrzeniu zrzutu ekranu, że na zrzucie figuruje Origin (od gier) jako aplikacja zwracająca błąd. Albo mnie wprowadzasz w błąd i opis jest nieadekwatny / zrzut ekranu nie pasuje do opisu. Kilka kwestii: 1. Występowanie błędu przy starcie: czy na pewno on się pojawia samodzielnie po uruchomieniu systemu, a nie po ręcznym uruchomieniu skrótu Origin z Pulpitu (widoczny na zrzucie ekranu)? Wg raportów w starcie Windows nie ma żadnych obiektów związanych z Origin, więc nie ma podstaw, by błąd samoczynnie wyskakiwał znikąd. Czy na pewno zrzut ekranu przedstawia błąd po starcie systemu? 2. Komponenty Origin: nigdzie w raportach nie widzę żadnych obiektów Origin (ani wejścia na liście zainstalowanych, ani katalogów na dysku, ani skrótów - nawet ten widoczny na obrazku na Pulpicie nie jest pokazywany w Shortcut). Czy Origin został usunięty? 3. Sam błąd 0xc000007b per se - jest tu system 64-bit, więc należy przypuszczać, że to jest jednak problem ładowania nieodpowiednich bibliotek. Z tym, że jak mówię powyższe w ogóle niejasne, nie wiadomo gdzie jest ten Origin, bo go nigdzie w raportach po prostu nie widzę - jest tylko na Twoim obrazku. Ponadto, mówisz "A teraz niestety nie mogę nic uruchomić" - czego konkretnie? Przy okazji, widać że jak szalony montowałeś wszystko jak leci, w systemie jest dużo instalacji .NET Framework i Visual C++ - na pewno nie wszystko jest potrzebne. Opisz precyzyjnie od czego ten błąd się okazuje, od kiedy, co montowałeś.

Wcześniej podane zalecenia pozostają bez zmian. Ewentualne drobnostki już będą w drugiej rundzie. Moim pytaniem było czy samodzielnie to ustawiałeś, bo to nie jest domyślne ustawienie żadnej z przeglądarek.

1. W AdwCleaner uruchom Szukaj, następnie w karcie Registry odznacz wpisy typu Nico Mak Computing (wpisy wyglądają na pochodną instalacji WinZIP), dopiero po tym Usuń i przedstaw wynikowy log. 2. Przy okazji, w Dzienniku zdarzeń jest błąd WMI numer 10. Zastosuj narzędzie Fix-it: KLIK. Nie przypominam tu sobie żadnego tematu zbiorczego na forum traktującgo o tym ogólnie. A "domykanie furtek robali" znane z XP nie aplikuje się na systemach Vista i nowszych. Po pierwsze: systemy są natywnie zimmunizowane w określonych partiach i nie występują w nich problemy z XP. Po drugie: użycie jednej z procedur znanych w programach WWDC / Seconfig powoduje pad Harmonogramu zadań tych systemów i przestaje działać mnóstwo funkcji systemowych - Harmonogram jest zupełnie innej architektury niż w prymitywie XP i jest potrzebny do poprawnego funkcjonowania systemu. Pomijając oczywiste aktualizacje Windows + aplikacji oraz antywirusy / pakiety zabezpieczeń, zainteresuj się narzędziami chronionącymi przed exploitami czy wirtualizacją środowiska np. Malwarebytes Anti-Exploit, EMET, SandBoxie. Przy okazji, incydenty typu "Goobzo" to niestety kwestia braku uwagi, więc jeszcze podsuwam ten materiał ogólny: KLIK.

Tu jednak jest infekcja na poziomie DNS. Wg Whois poniższe adresy są szwedzkie (a Twoje IP na forum wskazuje na polskiego dostawcę): KLIK. Tcpip\..\Interfaces\{9E346E7E-7711-47CD-BAAD-532E34B4173D}: [NameServer] 195.67.199.18 195.67.199.19 Tcpip\..\Interfaces\{C5235646-2713-4123-AA52-BD97F5F80C81}: [NameServer] 195.67.199.18 195.67.199.19 Te adresy DNS figurowały we wcześniejszym raporcie. Jakieś zaćmienie miałam, chyba mi się coś z Notatnika przy obróbce raportu "ucięło", bo w skrypcie zadałam uzupełniającą komendę ipconfig /flushdns (nie zadaję jej bezpodstawnie). To nie wydaje się powiązane wcale z infekcją. W jaki sposób otwierasz Historię - z poziomu menu? Poza tym, użyłeś frazę "np." - czyli co jeszcze nie działa jak poprzednio? Na czym polega zmiana? Poprzednie zadania w większości wykonane, będą jeszcze dodatkowe poprawki. Nowa porcja zadań: 1. Ustaw w Windows pożądane adresy DNS: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = FF HKLM\...\Firefox\Extensions: [{C1CA7765-44E4-452e-9D00-A04F3D434281}] - FF HKLM-x32\...\Firefox\Extensions: [{C1CA7765-44E4-452e-9D00-A04F3D434281}] - R0 avc3; C:\Windows\System32\DRIVERS\avc3.sys [1260120 2014-08-14] (BitDefender) R1 avgtp; C:\Windows\system32\drivers\avgtpx64.sys [50976 2014-08-13] (AVG Technologies) R1 BDVEDISK; C:\Windows\System32\DRIVERS\bdvedisk.sys [76944 2012-04-17] (BitDefender) U2 ezGOSvc; No ImagePath C:\Windows\System32\DRIVERS\avc3.sys C:\Windows\system32\drivers\avgtpx64.sys C:\Windows\System32\DRIVERS\bdvedisk.sys CMD: ipconfig /flushdns EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt

No tak, ale czy po deinstalacji Avast owe zgłoszenia "Suspicious program detected" ustały? Czy w ogóle sprawdzałeś partiami po jednej instalacji na raz (a nie hurtem), by określić czy one są związane z objawami? PS. Fix wykonany. Skasuj z dysku pobrany FRST i zastosuj DelFix.

W jaki sposób? I na temat zabezpieczania połączeń: KLIK. Opisz dokładnie co i gdzie sprawdzasz, pokaż obrazki prezentujące "włączone opcje". - Usługa "Rejestr zdalny" tylko w Windows 8 jest domyślnie wyłączona, w pozostałych systemach (tu mamy Windows 7) nie: KLIK. - Windows Media Player Player ID - polityka prywatności Microsoftu: KLIK. Na jakiej podstawie definiujesz brak oryginalności? Nie wiem co za koncepcję próbujesz tu dopasować i jaki to ma mieć związek z powyższymi ustawieniami w Windows. Jeśli już zakładamy, że jest coś nie tak, to prędzej szukaj w zabezpieczeniach sieciowych oraz samym Windows (jeśli "z Chomika lub torrent", to coś może być zaszyte / zmienione). Widzę pobrany ComboFix, nie przymierzaj się do tego, nie ma żadnej potrzeby go uruchamiać. W raportach nie ma żadnych widocznych objawów infekcji. Tu widać tylko mini-mini ślady instalacji sponsorów (+ FRST flaguje YTD Video Downloader ze względu na adware w instalatorze), ale to nie ma żadnego związku z opisem. Od razu uwaga na temat plików w rodzaju C:\Users\hy\Downloads\HDD-Regenerator(19825)-dp.exe - śmieci "Asystent pobierania" dobrychprogramów orientowane na instalację adware, a nie poprawne instalatory: KLIK. 1. Usuń te drobne śmieci. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKU\S-1-5-21-116071249-2655848140-1550133759-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKU\S-1-5-21-116071249-2655848140-1550133759-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={37A9F897-431D-4FD1-ADE2-17D2B97DAFD0}&mid=46bee33cb75747cd980fd1486f198553-06ce4fc639803a2e3563922518183d8e94088cb9&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-12-11 18:47:26&v=4.0.5.7&pid=wtu&sg=&sap=dsp&q={searchTerms} C:\ProgramData\APN CMD: type C:\Users\hy\AppData\Roaming\Mozilla\Firefox\Profiles\itz5s0id.default\user.js EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt - przedstaw go. 2. Uwagi dodatkowe: Możesz odinstalować pasek AVG Web TuneUp. W systemie są produkty IOBit. Nie polecam nic z tej firmy, choć decyzja zostaje w rękach użytkownika. Firma nie jest godna zaufania (adware w instalatorach, poderzane związki partnerskie, w przeszłości złapani na kradzieży bazy definicji MBAM). Na temat HDD Regenerator: KLIK. Do wiarygodnej diagnostyki dysku stosuje się np. MHDD: KLIK. 3. Windows nie jest zaktualizowany do końca, conamniej Internet Explorer jest w rozsypce: Platform: Windows 7 Ultimate Service Pack 1 (X64) OS Language: Polski (Polska) Internet Explorer Version 8

Kończymy. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zakualizuj Adobe/Java: KLIK.

Fix wykonany. Ze sterownikami emulacji coś kombinowałeś, bo jest zmiana, ale nadal uruchamia się jeden z nich: R1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [283200 2013-10-28] (DT Soft Ltd) S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] Ten dtsoftbus01 powinien zniknąć po deinstalacji DAEMON Tools, ale jakoś teraz do mnie dotarło, iż nie widzę nigdzie w raportach Addition i Shortcut instalacji DAEMON. Jeśli to odpadek: 1. Otwórz Notatnik i wklej w nim: DisableService: dtsoftbus01 Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. 2. Otwórz Notatnik i wklej w nim: S4 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [283200 2013-10-28] (DT Soft Ltd) S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] C:\Windows\System32\DRIVERS\dtsoftbus01.sys C:\Users\Tomasz\AppData\Roaming\DAEMON Tools Lite Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. W jakim rozumieniu? W systemie jest zainstalowana najnowsza wersja dla Firefox: ==================== Installed Programs ====================== Adobe Flash Player 16 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 16.0.0.235 - Adobe Systems Incorporated) To co jeszcze możesz zrobić, to: - Wyłączyć inne wtyczki w Firefox, czyli Adobe Shockwave Player (w zasadzie to ten proram całkowicie możesz odinstalować), Real Alternative i Silverlight. Zrestartować Firefox. - Sprawdzić czy pomoże wyłączenie akceleracji sprzętowej: KLIK. Prócz wyżej wynienionych czynności (jeśli nie będzie efektów) sugeruję na razie wstępnie odinstalować COMODO, nie instalować od razu nic w zamian i po prostu sprawdzić czy jest zmiana sytuacji. Z tym, że ja tu tylko sobie wróżę i na razie próbuję oczyścić podłoże z inwazyjnych elementów na poziomie software, by wykluczyć określone zagadnienia, bo nie ma w raportach żadnych konkretów. Problem z odtwarzaniem video i "zajętym skryptem" równie dobrze może być pochodną problemów sprzętowych, bo to wygląda już na taki problem: Poza tym, sprecyzuj, gdyż w tytule jest "Samoistne restarty", natomiast w treści pierwszego posta "Komputer potrafi się samoczynnie wyłączyć, nie zrestartować.". To dwie różne informacje - oba wydarzenia mają miejsce, czy to jakieś przejęzyczenie? Dodatkowo, w Dzienniku zdarzeń jest też poniższy błąd - określ czym jest \Device\Harddisk1\DR1: KLIK. System errors: ============= Error: (12/15/2014 10:04:49 AM) (Source: Disk) (EventID: 11) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Harddisk1\DR1. A zgłoszone zgadnienia nie pasują do działu diagnostyki infekcji i temat zostanie gdzieś przeniesiony - do Windows lub Hardware. Od razu zaznaczam, iż ja tu więcej nic nie wymyślę.

Fix dokończony. Uruchom AdwCleaner, wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Czy Delfix nie był uruchamiany przypadkiem więcej niż raz? Podany wcześniej log nie pokazuje żadnych usunięć... Log C:\Delfix.txt możesz usunąć z dysku. Co do Windows Update - określ poziom "już nieco lepiej", tzn. czy błędy całkowicie ustąpiły, czy też może są jeszcze jakieś problemy, gdyż wypowiedź nie jest dla mnie jasna.

Zadania nie zostały wykonane w poprawny sposób. Porównaj mój post i przejścia do nowe linii z plikiem Fixlog - przy przeklejaniu zostały posklejane niektóre linie i wiele wpisów nie zostało przetworzonych. Przejścia do nowej linii wklejone do Notatnika mają wyglądać identycznie jak w moim poście. Wymagane poprawki: 1. Otwórz Notatnik i wklej w nim: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1870149809-1083462296-2641342695-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = FF Plugin-x32: @videolan.org/vlc,version=2.0.0 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll No File FF Plugin-x32: @videolan.org/vlc,version=2.0.1 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll No File C:\Program Files (x86)\BuyNNSave C:\Program Files (x86)\BuyNsavee C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Muzyczne Radio Player\Strona WWW programu Muzyczne Radio Player.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\vanBasco's Karaoke Player C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java Development Kit\Java Mission Control.lnk C:\Users\ROBERT\AppData\Local\Google\Chrome C:\Users\ROBERT\AppData\Roaming\Software Informer C:\Users\ROBERT\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\ROBERT\AppData\Roaming\Microsoft\Windows\SendTo\Transfer plików Bluetooth.LNK C:\Users\ROBERT\Links\Współdzielona przestrzeń.lnk C:\Users\Default\Links\Współdzielona przestrzeń.lnk C:\WINDOWS\system32\Drivers\kgpfr2.cfg Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reboot: (Nic nie wspominasz czy "Software Informer" był deinstalowany. Jeśli nie - usuń ze skryptu linię kierującą na jego katalog) Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt

Wszystko na koncie Hollow, przecież AdwCleaner był uruchamiany w kontekście tego konta.

Następnym razem powstrzymaj się przed działaniami na własną rękę. W tym przypadku nie miało to znaczenia, ale mogłoby mieć. Widzę, że w AdwCleaner zmieniono numerowanie i teraz leci od 1 a nie 0, jak było poprzednio. Czy po wykonaniu ostatnich zaleceń są jakieś wyraźniejsze zmiany / poprawa pracy systemu? Jeśli nie, to już mówiłam, iż podejrzany jest mega rozbudowany pakiet 360 Internet Security. A teraz końcowe poprawki - otwórz Notatnik i wklej w nim: ProxyEnable: [.DEFAULT] => Internet Explorer proxy is enabled. ProxyServer: [.DEFAULT] => http=127.0.0.1:52001;https=127.0.0.1:52001 C:\Users\Rafal\AppData\Local\MyWinLockerInstaller.txt-20141215.log C:\Users\Rafal\AppData\Local\{896A7B57-E8EF-477D-922C-CC56D9E3FC67} C:\Users\Rafal\AppData\Local\cache C:\Users\Rafal\AppData\Local\com C:\Users\Rafal\AppData\Local\CyberLink C:\Users\Rafal\AppData\Local\EgisTec C:\Users\Rafal\AppData\Local\lptmp1219580059 C:\Users\Rafal\AppData\Local\lptmp695454848 C:\Users\Rafal\AppData\Local\PunkBuster C:\Users\Rafal\AppData\Local\Speedchecker C:\Users\Rafal\AppData\Local\VS Revo Group C:\Users\Rafal\AppData\LocalLow\Google C:\Users\Rafal\AppData\Roaming\*.log C:\Users\Rafal\AppData\Roaming\mswinaplic.dll C:\Users\Rafal\AppData\Roaming\CyberLink RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /v Tabs /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Instrukcje niedoczytane, brakuje trzeciego pliku FRST Shortcut. Tak, obiekt niepożądany: KLIK. Gagatek inicjuje się via Harmonogram zadań (OTL nie skanuje tej sfery, dlatego widać to tylko w FRST): ==================== Scheduled Tasks (whitelisted) ============= Task: {18D32FD3-D9F5-493D-B8AC-EDED87B9D9F2} - System32\Tasks\FSSUpdaterService => C:\Users\kokix_000\AppData\Roaming\UpdaterService\FSSUpdaterService.exe [2014-07-23] () 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: type C:\Users\kokix_000\AppData\Roaming\Mozilla\Firefox\Profiles\ebfm7wye.default\user.js CMD: copy /y C:\Users\kokix_000\AppData\Roaming\Mozilla\Firefox\Profiles\ebfm7wye.default\prefs.js C:\Users\kokix_000\Desktop\prefs.js FF DefaultSearchUrl: hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1700389&SearchSource=3&q={searchTerms} FF Keyword.URL: FF Plugin: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> D:\Program Files\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll No File CHR HKLM\SOFTWARE\Policies\Google: Policy restriction Task: {18D32FD3-D9F5-493D-B8AC-EDED87B9D9F2} - System32\Tasks\FSSUpdaterService => C:\Users\kokix_000\AppData\Roaming\UpdaterService\FSSUpdaterService.exe [2014-07-23] () Task: {3ABF479A-8C23-489C-8D63-C8BF0E9CFE31} - System32\Tasks\{FF348FC6-4D16-47B0-87EB-2224F9688F5E} => pcalua.exe -a C:\Users\kokix_000\Desktop\Downloads\DELL_WIRELESS-370-BLUETOOTH-_A02-1_R235898.exe -d C:\Users\kokix_000\Desktop\Downloads S1 Bfilter; \??\C:\Windows\System32\drivers\Bfilter.sys [X] S1 Bfmon; \??\C:\Windows\System32\drivers\Bfmon.sys [X] S0 Bhbase; System32\drivers\Bhbase.sys [X] S3 BHipsEx; \??\C:\Windows\System32\drivers\BHipsEx.sys [X] S1 Bnbase; System32\drivers\bnbasex.sys [X] S1 Bndef; \??\C:\Windows\System32\drivers\bndef.sys [X] S1 Bprotect; \??\C:\Windows\System32\drivers\Bprotect.sys [X] S3 dcdbas; \SystemRoot\System32\drivers\dcdbas32.sys [X] S3 DFUBTUSB; \SystemRoot\System32\Drivers\frmupgr.sys [X] S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X] S3 pccsmcfd; \SystemRoot\system32\DRIVERS\pccsmcfd.sys [X] C:\Program Files\Mozilla Firefox\plugins C:\Users\kokix_000\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\kokix_000\AppData\Roaming\Baidu C:\Users\kokix_000\AppData\Roaming\UpdaterService EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows, bo COMODO przeszkodzi pracy FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut. Dołącz też plik fixlog.txt. Na Pulpit skopiowałam plik prefs.js Firefoxa (zaśmiecony adware Conduit) - plik shostuj gdzieś i podaj link do niego.

1. W Google Chrome: Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy adware Babylon. 2. W AdwCleaner zastosuj sekwencję Szukaj + Usuń i zaprezentuj wynikowy log AdwCleanerS0.txt. 3. I dodaj na wszelki wypadek nowy log FRST z opcji Scan (włącznie z Addition) wykonany na koncie Hollow.

Fix wykonany. Na wszelki wypadek podaj jeszcze log z Farbar Service Scanner. Opisy infekcji: KLIK / KLIK "They are usually bundled with other third-party installers and keygens. They can also be downloaded from malicious or hacked websites, and through peer-to-peer file sharing applications." "The trojan is often included in the installation packages of programs downloaded from untrustworthy sources." W trayu to tylko dostęp do GUI się pokazuje. Tu chodzi o sterowniki: 14 czynnych sterowników, "wyłączanie" Nortona nie powoduje, że ustają ich czynności. W Trybie awaryjnym Windows sterowniki powinny być stopowane. Ale mówisz, że był także problem w awaryjnym. Nie wiem o co chodzi. Z opisu też wynika, iż skan jednak przeszedł dość daleko, bo pokazało "Unknown MBR code". Nawiasem mówiąc, ten wynik występuje przy niestandardowych konfiguracjach OEM. Przy finalizacji tematu zawsze usuwam z dysku ślady poprzednich skanerów. Tu na wszelki wypadek komenda "RemoveDirectory" (na okoliczność gdyby w folderze był jakiś zablokowany obiekt).

To nie jest inwigilacja, to prewencja przed zrobieniem sobie krzywdy i zapobieganie bezsensownej robocie. Użytkownicy zakładają temat równocześnie na dwóch różnych forach nie czekając na wyniki oceny sytuacji - o to tu chodzi. Jak to powinno wyglądać: zakładasz temat w jednym miejscu > oczekujesz na opinię > z tą opinią i nowymi danymi (stare logi są nieaktualne) udajesz się w inne miejsce, by pomagający miał pełny obraz sytuacji i nie nadział się na rzeczy nie odpowiadające bieżącej sytuacji. W tym szczególnym dziale są podawane skrypty usuwające i manipulujące w systemie. Przetwarzam tematy nie wiedząc, że na innym forum już coś robione jest i moje instrukcje są nieadekwatne (usuwanie rzeczy już usuniętych, sprzeczne instrukcje). Po wielu zdarzeniach tego rodzaju tu na forum, gdy to moja praca poszła do piachu i główkować musiałam co użytkownik robił, że się nic nie zgadza, ustaliłam konkretny punkt w zasadach działu. I gdy widzę, że temat jest gdzie indziej robiony, czekam, nie zaczynam żadnej analizy, bo dane są właśnie zmieniane na skutek cudzych ingerencji. Nie mam czasu szukać tematów użytkowników po wszystkich polskich forach jak leci, to jest obowiązek użytkownika podać maksimum danych. Nawet nie szukałam Twojego tematu celowo, on wpadł mi w oko przypadkowo podczas wyszukiwania czegoś zupełnie nie powiązanego. Prosiłam Cię wyraźnie o uzupełnienie określonych wątków. Nie opisałeś po co podajesz raporty do oceny, jaki jest problem w systemie. Same raporty bez przedstawienia w czym problem to za mało, bo nie wiadomo na czym koncentrować uwagę. Temat założony w dziale diagnostyki infekcji, czyli coś w ten sposób sugerujesz. W podanych raportach brak oznak infekcji i nic zupełnie z nich nie wynika, a system wygląda tak jakby niedawno był stawiany (?). Tak więc przedstaw jaki jest cel "analizy logów", co się dzieje, jaki jest problem. Dodatkowo, używałeś też ComboFix i na przyszłość: KLIK. A także AdwCleaner - dostarcz logi z folderu C:\AdwCleaner.

W systemie jest zainstalowane adware ClickCaption. I wygląda na to, że załatwił Cię portal dobreprogramy.pl: KLIK. Na dysku wyraźnie widać, że zaraz po pliku "Asystenta pobierania" powstał katalog wspominanego adware: 2014-12-09 22:47 - 2014-12-09 22:47 - 00000000 ____D () C:\Program Files\ClickCaption_1.10.0.4 2014-12-09 22:46 - 2014-12-09 22:46 - 00754240 _____ ( ) C:\Users\Jacek\Downloads\Free-Alarm-Clock(24929)-dp.exe Akcja: 1. Przez Panel sterowania odinstaluj: - Adware: Click Caption 1.10.0.4, K-Lite Codec Pack Packages. Ten drugi to nie zasadniczy K-Lite tylko wrapper adware. - Stare wersje i zbędniki: Adobe Reader 9.5.5 - Polish, Bing Bar, J2SE Runtime Environment 5.0 Update 22, Japanese Fonts Support For Adobe Reader 9, Java™ 6 Update 25, MyFreeCodec, Opera 12.15, Opera 12.17, Skype Toolbars. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 KiesAllShare; C:\Program Files\Samsung\Kies\WiselinkPro\WiselinkPro.exe [X] S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 EagleNT; \??\C:\Windows\system32\drivers\EagleNT.sys [X] S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X] HKLM\...\RunOnce: [AvgUninstallURL] => cmd.exe /c start http://www.avg.com/ww.special-uninstallation-feedback-app?lic=OQBBAFYARgBSAEUARQAtAFYAMgBHADMASwAtADgANwBXAFUAVQAtADIAVABWAEgAQQAtAFgANgBEAEYAOAAtAEwANgBQAEEATgA"&"inst=NwA3AC0ANAAzAD (the data entry has 389 more characters). HKU\S-1-5-21-2949696853-1657588460-2157650677-1000\...\Run: [KiesTrayAgent] => C:\Program Files\Samsung\Kies\/\KiesTrayAgent.exe HKU\S-1-5-21-2949696853-1657588460-2157650677-1000\...\Run: [GameXN GO] => "C:\ProgramData\GameXN\GameXNGO.exe" /startup HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com Toolbar: HKU\S-1-5-21-2949696853-1657588460-2157650677-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File CustomCLSID: HKU\S-1-5-21-2949696853-1657588460-2157650677-1000_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File Task: {2CFE622C-78CB-42BA-9AFA-3F523FD10574} - System32\Tasks\{5D163F9D-DF21-4637-A980-B3D16EBF2021} => pcalua.exe -a "C:\Program Files\RCP\unins000.exe" CHR StartupUrls: Default -> "hxxp://myhome.vi-view.com/?type=hp&ts=1418161647&from=cor&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX" C:\Users\Jacek\Downloads\*(*)-dp*.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Mozilla\Firefox /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany).

Na przyszłość, w zestawie obowiązkowych logów jest GMER oraz nadal sprawdzam OTL. A podany tu log z FRST został zrobiony niezgodnie z zaleceniem, opcje "Drivers MD5" i "List BCD" nie miały być zaznaczone. Modyfikacje Surfvox są chronione przez aktywnie uruchomione procesy nvxasync.exe, stąd niemożność usunięcia tego. Próbując usuwać problem używałeś wątpliwe skanery SpyHunter i YAC. Na temat YAC wypowiadałam się w tym temacie: KLIK. Przeprowadź następujące operacje: 1. Przez Panel sterowania odinstaluj Akamai NetSession Interface, YAC(Yet Another Cleaner!). Natomiast deinstalator SpyHunter jest linkowany w Menu Start. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-2106215166-627046832-3064983697-1001\...\Run: [nvxasync] => C:\Users\Marcinek\AppData\Roaming\nvxasync\nvxasync.exe [142679040 2014-12-07] () HKU\S-1-5-21-2106215166-627046832-3064983697-1001\...\Winlogon: [shell] C:\ProgramData\nvxasync\cvxasync.exe [142679040 2014-12-07] () HKLM-x32\...\Run: [] => [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2106215166-627046832-3064983697-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.onet.pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.onet.pl HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.onet.pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.onet.pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-2106215166-627046832-3064983697-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-2106215166-627046832-3064983697-1001\Software\Microsoft\Internet Explorer\Main,Start Page = HKU\S-1-5-21-2106215166-627046832-3064983697-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.onet.pl StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKU\S-1-5-21-2106215166-627046832-3064983697-1001 -> 872BAC5B89A048ACB67BD7A82275C53B URL = http://www.google.com/cse?cx=partner-pub-3794288947762788%3A7941509802&ie=UTF-8&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A7941509802&q={searchTerms} SearchScopes: HKU\S-1-5-21-2106215166-627046832-3064983697-1001 -> {184CE823-A5CB-4281-B074-3989133ACA11} URL = http://www.bing.com/search?FORM=U218DF&PC=U218&q={searchTerms}&src=IE-SearchBox SearchScopes: HKU\S-1-5-21-2106215166-627046832-3064983697-1001 -> {828B376B-F2F6-4778-928C-E29EC877535E} URL = SearchScopes: HKU\S-1-5-21-2106215166-627046832-3064983697-1001 -> {EB0ECFCF-19BE-4038-BEE7-5C935107440A} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBDSV SearchScopes: HKU\S-1-5-21-2106215166-627046832-3064983697-1001 -> {EDE103DA-CC2F-42BE-A6BA-4823336B7BDC} URL = http://www.idg.pl?q={searchTerms} Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Task: {377B90E7-6344-468B-8F27-12C3F048B769} - System32\Tasks\{7690B874-BE3B-45E4-99D9-72C3305ECCE2} => pcalua.exe -a F:\Pobrane\vs_emulator.exe -d F:\Pobrane Task: {3875E1E4-D95A-4459-B84E-D87D450970DB} - System32\Tasks\{439BB14A-606C-4365-8AE0-389AA3FB6D31} => pcalua.exe -a F:\Pobrane\vcredist_x86.exe -d F:\Pobrane Task: {42C679AC-B28D-472C-94E4-BE7E13EAFCA1} - System32\Tasks\{AE083B0E-FFB3-4BF8-8696-2E95D34F580A} => pcalua.exe -a D:\INTRO.EXE -d D:\ Task: {94ED230D-D5BA-4F8A-9DB6-784F3829CBBE} - System32\Tasks\{5C03ABBF-F447-422F-876B-DC148093E72E} => pcalua.exe -a C:\Users\Marcinek\Downloads\Shockwave_Installer_Slim.exe -d C:\Users\Marcinek\Downloads Task: {CF48426F-89A1-4219-ABCA-E6E44DEA22CC} - System32\Tasks\{2C5899DB-3837-4D8C-879F-B2146BE5B165} => pcalua.exe -a F:\Pobrane\Shockwave_Installer_Slim(1).exe -d F:\Pobrane Task: {D4714768-458E-4E29-9499-8416AD240800} - System32\Tasks\{65817472-C58A-4B7B-AC18-B7CB65038F47} => D:\INSTALUJ.EXE Task: {F0E8FBEB-4AD5-4363-9FBE-E6B548D4A1EE} - System32\Tasks\{D35874CC-F5A9-4B52-8C42-03F881AE39B2} => pcalua.exe -a F:\Pobrane\vcredist_x64.exe -d F:\Pobrane Task: {F3DD4DCB-8114-42AC-8470-451525B808F0} - System32\Tasks\{38009BCC-CDB3-4F39-AA17-AD56CF749B39} => D:\INSTALUJ.EXE HKU\S-1-5-21-2106215166-627046832-3064983697-1001\Software\Classes\.exe: exefile => S4 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2151232 2013-12-02] (IObit) S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X] S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] C:\Program Files (x86)\IObit C:\ProgramData\nvxasync C:\Users\Marcinek\AppData\Roaming\fpacked.exe C:\Users\Marcinek\AppData\Roaming\fportable C:\Users\Marcinek\AppData\Roaming\nvxasync Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: type C:\Users\Marcinek\AppData\Roaming\Mozilla\Firefox\Profiles\d7zv33sz.default\searchplugins\starter.xml EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. I mam pytanie: czy modyfikacje stron startowych / nowych kart Firefox i Google Chrome na onet.pl to celowe ustawienie? Coś za dużo tych modyfikacji Onet, ale na razie ruszyłam tylko ustawienia IE sprowadzając do domyślnych systemu.

Tak, widzę rozszerzenie adware Podoweb w Firefox. W systemie ogólnie są tylko odpadki adware. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-3986171964-2154234651-2632850357-1000\...\Run: [EpicScale] => (the data entry has 824 more characters). Task: {B13861EC-7F51-4B95-A710-BB9976C53BF4} - System32\Tasks\{6752A596-7694-4774-B095-07498C95CBED} => pcalua.exe -a "C:\Users\DELL\Desktop\Deform-2D v8.1\Drivers\SSD5411-32bit.exe" -d "C:\Users\DELL\Desktop\Deform-2D v8.1\Drivers" C:\ProgramData\01e58235-010d-43b1-8340-277d43a75321 C:\ProgramData\EpicScale EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus należy przeinstalować. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

Możesz skasować plik C:\Delfix.txt z dysku. Wyniki skanu ESET: - System Volume Information to folder Przywracania systemu, a pokazane rekordy to kopie elementów adware zachowane w ounktach Przywracania. Zadałam powyżej czyszzenie tych folderów. - Plik(numery)-dp.exe to śmieć "Asystent pobierania" dobrychprogramów nastawiony na instalację adware: KLIK.

Twój opis mnie wprowadził w błąd - myślałam, że powrócił. - Owszem teraz operacja z DelFix i czyszczeniem folderów Przywracania systemu oraz aktualizacja OpenOffice.org (obecna w systemie wersja nie umie korzystać z najnowszej Java, a stara Java = infekcja tego typu). - Na wszelki wypadek należy także całkowicie zmienić login do banku. Obecnie posiadany jest podejrzany / trefny.

Ja nie pytam w jaki sposób go usuwałeś, bo widać po danych że go nie było, tylko czy on po usuwaniu FRST wrócił / ile razy był usuwany już po przedstawieniu logów wcześniej? Pytam, gdyż powiedziałeś "dziś mi kolejny raz zablokowalo konto". Fix wykonany.

Temat związany z systemem Windows rozwiązany, więc zamykam. W razie dalszych kłopotów z kolejnymi urządzeniami zdefektowanymi w ten sam sposób poproś o otworzenie tematu via PW.

Czy mam rozumieć, że wpis GohoGyatr.dat ponownie powrócił już po usuwaniu FRST? Gdy Fix FRST się wykonywał, folderu infekcji już nie było na dysku. W nowych logach nic czynnego nie ma, za to były operacje w msconfig, bo tam owszem jest ów wpis infekcji wyłączony. Znaleziska w AdwCleaner nie powiązane z główną infekcją - to podrzędne adware. A DelFix służy od usuwania narzędzi a nie infekcji. Poprawka na wpisy w msconfig. Otwórz Notatnik i wklej w nim: CloseProcesses: Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GohoGyatr" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Kasper" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KTSInit" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Przedstaw wynikowy fixlog.txt.