picasso

Tematy skleiłam. Czy wykonałeś Fix? Czy obecnie synchronizacja jest włączona? Jeśli tak, to za szybko została włączona ponownie, za mało czasu zostawione, by wyczyścić dane z serwera. Usuń ten adres adware z otwierania: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres astromenda.com. Po prostu sprawdź koncepcję z antywirusem, bo tu nic się na razie nie nasuwa innego jako "podejrzane".

1. W AdwCleaner zastosuj sekwencję Szukaj + Usuń. Log nie jest mi już potrzebny. 2. Usuń pobrane narzędzia z folderów D:\Download + D:\Programy\Na awarie z kompem. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

1. Jeśli chodzi o urządzenie: Obecnie na urządzeniu wszystkie składniki to obiekty infekcji: ################## | I:\ - Removable drive (FAT32) |[/b] [08/12/2014 - 11:45:14 | A | 2 Ko] - I:\Removable Disk (8GB).lnk [08/12/2014 - 11:45:14 | RASH | 3 Ko] - I:\desktop.ini [08/12/2014 - 11:45:14 | RASH | 248 Ko] - I:\Thumbs.db [05/12/2014 - 08:09:58 | SHD] - I:\ Ta ostatnia pozycja, czyli folder "bez nazwy": jak rozumiem dane już stamtąd wyłowiłeś, w związku z tym można usunąć wszystko z urządzenia przez SHIFT+DEL (omija Kosz). 2. Jeśli chodzi o system: Brak oznak infekcji. Przyczyna opisywanego zachowania jest więc inna, może ArcaBit (antywirusy zawsze są podejrzane), może inne procesy pracujące w tle. Widzę że sporo już wyłączyłeś ze startu via Menedżer zadań Windows 8 oraz msconfig: W msconfig mógłbyś jeszcze odznaczyć usługi LiveUpdateSvc, NvNetworkService, NvStreamSvc (te pozycje od nVidia niby były już wyłączane, ale obecnie znów są w stanie "Uruchomiono"). I podejrzewam tu głównie ArcaBit, w Dzienniku zdarzeń są błędy zawieszenia jednej z usług i inne: System errors: ============= Error: (12/08/2014 07:35:54 PM) (Source: Service Control Manager) (EventID: 7011) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji z usługi ABMainSV. Application errors: ================== Error: (12/07/2014 07:23:39 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: arcamainsv.exe, wersja: 1.0.5441.25867, sygnatura czasowa: 0x5473311b Nazwa modułu powodującego błąd: ns.dll, wersja: 2014.0.0.255, sygnatura czasowa: 0x545b3878 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x000000000002889a Identyfikator procesu powodującego błąd: 0x60 Godzina uruchomienia aplikacji powodującej błąd: 0xarcamainsv.exe0 Ścieżka aplikacji powodującej błąd: arcamainsv.exe1 Ścieżka modułu powodującego błąd: arcamainsv.exe2 Identyfikator raportu: arcamainsv.exe3 Pełna nazwa pakietu powodującego błąd: arcamainsv.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: arcamainsv.exe5 PS. I jeszcze wykonaj kosmetykę (czyszczenie wpisów pustych i Tempów). Otwórz Notatnik i wklej w nim: CloseProcesses: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction FF Plugin: @esn/npbattlelog,version=2.5.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.0\npbattlelogx64.dll No File FF Plugin-x32: @esn/npbattlelog,version=2.4.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.4.0\npbattlelog.dll No File FF Plugin-x32: @esn/npbattlelog,version=2.5.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.0\npbattlelog.dll No File FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File StartMenuInternet: IEXPLORE.EXE - iexplore.exe R3 cpuz137; \??\C:\Users\Dawid\AppData\Local\Temp\cpuz137\cpuz137_x64.sys [X] S2 LMIInfo; \??\C:\Program Files (x86)\LogMeIn\x64\RaInfo.sys [X] S4 LMIRfsClientNP; No ImagePath S3 MBfilt; \SystemRoot\system32\drivers\MBfilt64.sys [X] Task: {B50B1E51-83E1-4BDF-B403-62E44A1CD2D0} - System32\Tasks\Driver Booster Beta SkipUAC (Dawid) => C:\Program Files (x86)\IObit\Driver Booster Beta\DriverBooster.exe C:\Program Files (x86)\Klip Pal C:\Users\Dawid\AppData\Local\CrashRpt C:\Users\Dawid\AppData\Roaming\Mozilla\Firefox\Profiles\y7mfx2lg.default\extensions.ini C:\Users\Dawid\AppData\Roaming\Mozilla\Firefox\Profiles\y7mfx2lg.default\user.js Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe Reader Speed Launcher" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "LogMeIn GUI" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "LogMeIn Hamachi Ui" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v Gameiki /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v fabulous_08181036.lnk /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v RGSC /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Facebook Update" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v fabulous_08181036 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Advanced SystemCare 7" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v REPORT /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt - przedstaw go.

Wszystko zrobione. Kończymy: 1. Skasuj ręcznie folder C:\MATS oraz pobrane narzędzia z folderu Dokumenty. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Proszę dostosuj się do zasad działu w kwestii obowiązujących raportów: KLIK. OTL to przestarzały program, logi weryfikowane tylko pobocznie. Proszę dostarcz logi z FRST - wstaw je jako załączniki forum, by oryginalny nie przetwarzany przez serwisy wklejkowe format został zachowany. EDIT: Tu nie raczyłeś podać logów zgodnych z zasadami, ale na dobrychprogramach (KLIK) wręcz przeciwnie? I zakładanie tematu równocześnie na dwóch forach (moje zasady wyraźnie o tym mówią) to nie tędy droga - tylko sobie zaszkodzić możesz (podanie sprzecznych instrukcji). Nie będę przetwarzać tematu rówolegle, musisz zdecydować od kogo chcesz otrzymać pomoc. Poziomy pomocy nie są tożsame. EDIT2: Decyzję podjąłeś. Temat zamykam. Dla Twojej informacji: w systemie była infekcja Sathurbot z przyległościami.

Nie podałeś skanu MBAM, by można było ocenić co to były za wyniki te "300 pozycji", ale ja osobiście wątpię, że były to "wirusy" - przypuszczalnie chodziło o typ PUP/adware (czyli reklamodawcy / sponsorzy), gdyż pośrednie ślady w logu to sugerują. Nic tu jednak nie wskazuje na problem infekcji jako przyczyny zgłaszanych kłopotów. Temat przenoszę do działu Windows. W spoilerze kosmetyka, usunięcie szczątkowych wpisów i czyszczenie Temp - to nie ma związku z problemami: 1. Dziennik zdarzeń: System errors: ============= Error: (12/06/2014 07:23:35 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0 z powodu następującego błędu: %%1053 Error: (12/06/2014 07:23:35 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0. Powtarza się powyższy zestaw błędów. Rozpocznij od tego tematu: KLIK. Application errors: ================== Error: (12/08/2014 08:46:43 PM) (Source: WinMgmt) (EventID: 10) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 A to drobnostka, ale możesz użyć narzędzie Fix it usuwające błąd: KLIK. 2. Wyłącz zbędne wpisy ze startu. W Autoruns odfajkuj poniżej wyliczone pozycje i zresetuj system. - W karcie Logon: Adobe ARM, IAStorIcon, iTunesHelper, Skype, Spotify, Spotify Web Helper, SunJavaUpdateSched - W karcie Services: AdobeARMservice, c2cautoupdatesvc, c2cpnrsvc, igfxCUIService1.0.0.0 *, SkypeUpdate, WinDefend (by widzieć ten ostatni, należy włączyć pokazywanie wpisów Microsoftu) - w karcie Scheduled Tasks wyłącz obiekty Adobe, Google i SlimDrivers. 3. * Dodatkowy aspekt związany z powyższą usługą. Z treści na tamtym forum oraz układu zainstalowanych aplikacji widzianych tu w raporcie wynika, że masz dwie karty graficzne. Zintegrowany Intel ma w tle uruchomione wszystkie składniki (sterownik + usługę pomocniczą), usługa igfxCUIService1.0.0.0 na dodatek jest związana z jakimś potwornie starym plikiem datowanym na prawie 15 lat wstecz: ==================== Installed Programs ====================== Intel® Processor Graphics (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 10.18.10.3960 - Intel Corporation) DRV:64bit: - [2014-10-03 17:36:38 | 004,753,336 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\igdkmd64.sys -- (igfx) SRV:64bit: - [2000-01-01 01:00:00 | 000,328,296 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Windows\SysNative\igfxCUIService.exe -- (igfxCUIService1.0.0.0) Proponuję zdeaktywować zintegrowaną kartę Intel na poziomie BIOS, odinstalować Intel® Processor Graphics. 4. W przypadku braku rezultatów po powyższych działaniach: zwraca tu również uwagę instalacja Avast 9.0.2018 - inwazyjny program (jak każdy antywirus obecnie) i nie jest to najnowsza wersja. Changelog Avast: KLIK. W ramach testu całkowicie odinstaluj, po deinstacji nie instaluj żadnego innego antywirusa czy najnowszej wersji Avast, dopóki nie sprawdzisz jak system działa bez inwazyjnych sterowników. PS. Wyszukiwanie aktualizacji za pomocą automatów typu SlimDrivers to więcej może szkody niż pożytku przynieść. Sterowniki powinny być aktualizowane precyzyjnie ręcznie, z automatu możesz się dorobić niepoprawnych / zbędnych wersji. .

Nie za bardzo widzę tu szerokie pole do popisu, obiekty startowe już są okrojone. Możesz jeszcze wyłączyć niektóre usługi Acer i Skype, co obetnie kilka procesów z tła. W Autoruns w karcie Services wyłącz GREGService, Live Updater Service, RS_Service, SkypeUpdate i zresetuj system. Windows 7 ma wbudowane natywne zabezpieczenie zapobiegające wykonaniu autorun.inf z USB: KLIK. TFC owszem możesz użyć, by usunąć nowe obiekty, bo czyszczenie Tempów już tu było na samym początku (komenda EmptyTemp: w skrypcie FRST - robi ciut więcej niż stary TFC). Możesz oczywiście już usunąć log Delfix z dysku.

Mnie chodzi o test jak system zachowuje się bez tej konkretnej instalacji COMODO (i bez wstawiania zamienników zbyt raptownie), bo aplikacja może wyczyniać różne rzeczy, np. KLIK. Po przekonaniu się czy COMODO ma coś do rzeczy wstawisz sobie innego firewalla lub przywrócisz COMODO (jeśli nie okaże się powiązany). Fix wykonany. W zakresie czyszczenia systemu to już koniec. Zastosuj DelFix i wyczyść foldery Przywracania systemu (o ile jakieś powstały, bo na początku zero punktów): KLIK.

Wszystkie logi są archiwizowane w C:\FRST\Logs i tam powinien być starszy Fixlog_data_czas.txt. Ale już to sobie darujmy, on musiał się wykonać, bo w drugim przeszło gładko usuwanie plików Dziennika zdarzeń wstawionych przez Dr. Web. Na zakończenie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Fix wykonany, natomiast jeśli chodzio o wyniki AdwCleaner: Przed użyciem AdwCleaner odinstaluj Skype Click to Call w poprawny sposób, bo AdwCleaner go uszkodzi, a nie mam czasu dokładnie przewertować raportu w poszukiwaniu wszystkich kluczy tej instalacji, by je wykluczyć z czyszczenia AdwCleaner. Następnie w AdwCleaner zastosuj sekwencję Szukaj + Usuń. Po tym zainstaluj ponownie Skype Click to Call, o ile potrzebny: KLIK.

Czy jest poprawa po przeprowadzonych działaniach? Wszystko zrobione. Teraz uruchom AdwCleaner, wybierz Szukaj i dostarcz świeży log utworzony w C:\AdwCleaner.

"Browsers Apps" został usunięty moim skryptem FRST, został więc jeszcze do usunięcia ukryty "LPT System Updater Service" oraz inne szczątki. Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner i tym razem zastosuj sekwencję Szukaj + Usuń. Dostarcz wynikowy log AdwCleaner[s0].txt.

Zabrakło obowiązkowego raportu z GMER - proszę dostarcz go. Platform: Microsoft Windows XP Professional Dodatek Service Pack 2 (X86) OS Language: Polski Internet Explorer Version 6 Od razu nadmienię, że na takiej bombie daleko nie pociągniesz. To jest zupełnie niezałatany system ze stanem aktualizacji z roku 2004, bardzo silnie uzależniony od rozwiązań trzecich (wystarczy awaria antywirusa lub innego zabezpieczenia i droga wolna do ataków robaków z sieci i innych malware). Tu jest konieczna aktualizacja do SP3 (2008) + IE8 + reszta łat z Windows Update (ostatnie łaty są 2013/2014). Instalacji będzie od groma.

Fałszywe alarmy, a usunięcie z katalogu Installer uszkodziło poniższą instalację, stąd błędy "Instalatora Windows". ==================== Installed Programs ====================== ASUS FancyStart (HKLM-x32\...\{2B81872B-A054-48DA-BE3B-FA5C164C303A}) (Version: 1.0.8 - ASUSTeK Computer Inc.) Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\FancyStart daemon.lnk ShortcutTarget: FancyStart daemon.lnk -> C:\Windows\Installer\{2B81872B-A054-48DA-BE3B-FA5C164C303A}\_C4A2FC3E3722966204FDD8.exe () Przywróć wszystko z kwarantanny Avast na miejsce. W raportach brak oznak infekcji. Wykonaj tylko drobne działania pod kątem zbędnych instalacji i wpisów pustych: 1. Przez Panel sterowania odinstaluj zbędniki i stare wersje: AsusVibe2.0, Bing Bar, Google Toolbar for Internet Explorer, McAfee Security Scan Plus, Java 7 Update 25. Ten McAfee na bank się wślizgnął z instalacjami Adobe: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141015 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141015 HKU\S-1-5-21-365570279-1974800031-830595484-1001\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141015 SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-365570279-1974800031-830595484-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-365570279-1974800031-830595484-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\Temp C:\Users\Radek\AppData\Roaming\ASUS WebStorage CMD: for /d %f in (C:\Users\Radek\AppData\Local\{*}) do rd /s /q "%f" Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {B24BA351-20F9-492E-99FE-56E3EF5B7EDC} /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Żadna akcja z tematu nie utworzyła tego pliku, on prawdopodobnie był od dawna tylko go nie widziałeś. Skan OTL przestawia widoczność plików - tzn. rekonfiguruje opcje "Pokaż ukryte foldery i pliki" + "Ukryj chronione pliki systemu operacyjnego". To wyłączenie tej drugiej opcji (zwykle użytkownicy w ogóle tę opcję pomijają i myślą, że widzą wszystko w systemie) powoduje ujawnienie takich obiektów jak: - Pliki desktop.ini na Pulpicie - odpowiadają za polonizację nazwy i specjalną ikonę Pulpitu. Plików nie należy ruszać. - Pliki thumbs.db w wielu folderach - są to bufory miniaturek tworzone w folderach gdzie leżą pliki graficzne. Pliki można skasować. - Foldery $Recycle.Bin (Kosze) i System Volume Information (Przywracanie systemu) na wszystkich dyskach - nie ruszać. I wiele innych obiektów. Po prostu skasuj ten plik thumbs.db, następnie wejdź do Opcji folderów > Widok > zaznacz Ukryj chronione pliki systemu operacyjnego.

CoToPaintJakisSystemLOL Nie rozumiem pytania, skoro post został tu jednak dodany.... Jeśli chcesz założyć własny temat: w widoku danego subforum przycisk "Napisz nowy temat" w prawym górnym rogu. przemo22 W Google Chrome jest adware - sfałszowany "Flash Player". To jednak tylko jeden z problemów, adware przekonwertowało typ przeglądarki Google Chrome z wersji stabilnej do development i jest wymagana kompleksowana reinstalacja. Poza tym, wszystkie przeglądarki są w starych wersjach (Firefox bardzo stary - obecnie już wersja 34). Akcja: 1. Przez Dodaj/Usuń programy odinstaluj stare wersje, poszkodowane przeglądarki i zbędniki: Adobe Flash Player 11, Adobe Flash Player 13 Plugin, Bing Bar, Google Chrome, Mozilla Firefox 17.0.1 (x86 pl), Mozilla Thunderbird 17.0.5 (x86 pl), Opera 12.13.. Adnotacje na temat deinstalacji przeglądarek: - Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. - Produkty Mozilla: Jeśli chcesz zachować zakładki i hasła (i NIC więcej) z Firefox oraz określone elementy Thunderbird, skorzystaj z MozBackup. Nie rób przypadkiem kopii zapasowej całego profilu, bo zostaną zapamiętane śmieci, a moim celem jest tu przeładować przeglądarki na czysto. - Przy deinstalacji wszystkich przeglądarek potwierdź "usuwanie danych użytkownika". Resztę doczyści mój skrypt poniżej. Nie instaluj na tym etapie przeglądarek i Adobe Flash Player. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-18\...\Run: [Google Update] => C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [116648 2014-02-08] (Google Inc.) ProxyServer: [s-1-5-21-1844237615-1060284298-682003330-1006] => 184.105.197.202:80 Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore1cc8d90f7123778.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA1cc8d90f722e7ee.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-18Core.job => C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-18UA.job => C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-1844237615-1060284298-682003330-1003Core.job => C:\Documents and Settings\Bee!\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-1844237615-1060284298-682003330-1003UA.job => C:\Documents and Settings\Bee!\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-1844237615-1060284298-682003330-1006Core.job => C:\Documents and Settings\Przemek\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-1844237615-1060284298-682003330-1006UA.job => C:\Documents and Settings\Przemek\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe S3 AmdTools; system32\DRIVERS\AmdTools.sys [X] S3 cpuz130; \??\C:\DOCUME~1\Przemek\USTAWI~1\Temp\cpuz130\cpuz_x32.sys [X] S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X] S3 EverestDriver; \??\C:\DOCUME~1\Przemek\USTAWI~1\Temp\EverestDriver.sys [X] S3 FairplayKD; \??\C:\Documents and Settings\All Users\Dane aplikacji\MTA San Andreas All\Common\temp\FairplayKD.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Menu Start\Programy\Atari\Test Drive Unlimited 2 C:\Documents and Settings\All Users\Menu Start\Programy\Image-Line\FL Studio 10 C:\Documents and Settings\All Users\Menu Start\Programy\Riot Games\League of Legends C:\Documents and Settings\All Users\Menu Start\Programy\World of Tanks C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla C:\Documents and Settings\Przemek\Dane aplikacji\IObit C:\Documents and Settings\Przemek\Menu Start\Programy\WarThunder C:\Documents and Settings\Przemek\Ustawienia lokalne\Dane aplikacji\Google\Chrome C:\Program Files\Google\Chrome C:\Program Files\Mozilla Firefox C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\pss\OpenOffice.org 3.3.lnkStartup C:\WINDOWS\pss\Real Desktop.lnkStartup C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google C:\WINDOWS\system32\tmp*.tmp Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Przemek^Menu Start^Programy^Autostart^OpenOffice.org 3.3.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Przemek^Menu Start^Programy^Autostart^Real Desktop.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AceStream" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Active Desktop Calendar" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BitTorrent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\C:" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DU Meter" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EasyTuneV" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FlashGet 3" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IDMan" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesAirMessage" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesPreload" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesTrayAgent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NetLimiter" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Real Desktop" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SandboxieControl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\suchypowiadamiacz" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Defender" /f Reg: reg delete "HKU\S-1-5-18\Software\Google" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Uwaga: po deinstalacjach zostaje przeglądarka Internet Explorer i przeklejanie przy jej udziale z posta do Notatnika może skleić linie. Skrypt wklejony do Notatnika ma wyglądać jak mój w poście - te same przejścia do nowej linii. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. Adobe Flash Player jest wbudowany w Chrome, więc nie ma potrzeby nic instalować, o ile nie pojawi się w systemie najnowszy Firefox. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleanerr. .

Przecież on już to wykonał i podał log Search.txt. W logu widać, że są uszkodzone dwie 64-bitowe instancje iertutil.dll: ================== Search Files: "IERTUTIL.dll" ============= C:\Windows\winsxs\amd64_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_11.2.9600.17420_none_29fb758da1919208\iertutil.dll [2014-11-13 08:08][2014-11-05 19:43] 0000000 ____A () C:\Windows\System32\iertutil.dll [2014-11-13 08:08][2014-11-05 19:43] 0000000 ____A () Dombear, musisz poczekać na poprawną kopię z mojego systemu zgodną z wersją komponentu 11.2.9600.17420, bo w tej chwili nie jestem w stanie tego zrobić szybko. EDIT: Przesyłam 64-bitowy plik zgodny z wymaganą wersją. Umieść plik na pendrive F:. Do Notatnika wklej: CMD: copy /y F:\iertutil.dll C:\Windows\System32\iertutil.dll CMD: copy /y F:\iertutil.dll C:\Windows\winsxs\amd64_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_11.2.9600.17420_none_29fb758da1919208\iertutil.dll Plik zapisz pod nazwą fixlist.txt i umieść na F:\. Uruchom FRST i wybierz opcję Fix. Przedstaw wynikowy fixlog.txt.

Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Screen jest obcięty, nie widać dokładnych ścieżek, ale: - Wynik z Temp nie powinien mieć już miejsca - w skrypcie FRST egzekwowana była komenda EmptyTemp:. - Wyniki z Pobranych: nie widać o jaki plik chodzi, ale domyślam się że AVG wychwycił plik typu "Asystent pobierania" komputerświat lub coś podobnego. - Wyniki z System Volume Information (Przywracanie systemu) są zaadresowane w krokach końcowych podanych powyżej. Wg Addition ogólne statystyki pamięci są dobre: ==================== Memory info =========================== Processor: Intel® Pentium® D CPU 2.80GHz Percentage of memory in use: 42% Total physical RAM: 2038.07 MB Available physical RAM: 1181.19 MB Total Pagefile: 3404.74 MB Available Pagefile: 1262.7 MB Total Virtual: 2047.88 MB Available Virtual: 1937.84 MB Czy na pewno problem zapychania pamięci występuje już po usunięciu adware? Jeśli tak, najbardziej rozbudowany obiekt ładujący się w starcie to niestety AVG - może tu jest problem.

Brakuje pliku fixlog.txt, który powstał podczas przetwarzania skryptu. Dostarcz ten plik - siedzi wprost na Pulpicie lub w podfolderze "FRST". Nie uruchamiaj przypadkiem opcji Fix ponownie.

Pliku wmc.exe od VBKlip/Banatrix nie było na dysku, więc tu póki co nie została wykryta żadna czynna infekcja i problemy nie wyglądają na jej pochodną. Już nakreślałam co może być potencjalną przyczyną, głównie rzuca się w oczy COMODO. Jeśli nadal występują problemy, na próbę go całkowicie odinstaluj i zweryfikuj czy zmienia to sytuację. Nie wszystko ze skryptu się wykonało, bo zmieniłeś kontekst konta - zalogowałeś się w awaryjnym nie na swoje konto OI tylko na konto wbudowanego Administratora. Wymagana poprawka pod tym kątem, ale pomijam wpisy Yahoo (odtwarza je non-stop COMODO). Otwórz Notatnik i wklej w nim: BHO: Spybot-S&D IE Protection -> {53707962-6F74-2D53-2644-206D7942484F} -> D:\PROGRA~1\SPYBOT~1\SDHelper.dll No File HKU\S-1-5-21-823518204-1614895754-839522115-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ProxyServer: [s-1-5-21-823518204-1614895754-839522115-1003] => : HKU\S-1-5-21-823518204-1614895754-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch CustomCLSID: HKU\S-1-5-21-823518204-1614895754-839522115-1003_Classes\CLSID\{28B7AA99-C0F9-4C47-995E-8A8D729603A1}\localserver32 -> D:\Program Files\AutoCAD 2007\acad.exe /Automation No File CustomCLSID: HKU\S-1-5-21-823518204-1614895754-839522115-1003_Classes\CLSID\{7AABBB95-79BE-4C0F-8024-EB6AF271231C}\localserver32 -> D:\Program Files\AutoCAD 2007\acad.exe No File Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows i zaloguj się na swoje konto (a nie Administratora). Uruchom FRST i kliknij w Fix, nastąpi restart. Przedstaw wynikowy fixlog.txt.

Zapomniałam poprzednio nadmienić, że te masowo generowane pliki były pochodną instalacji Windows Live Messenger i zaznaczonej w nim opcji "ulepszania usługi": KLIK. To nie powinno być już problemem po deinstalacji wskazanych aplikacji Windows Live i wyczyszczeniu plików skryptem FRST. Aczkolwiek zostawiłam jeden z programów serii Live nie wiedząc czy jest używany, tzn. "Poczta systemu Windows Live". Upewnij się, że w nim nie ma zaznaczonych żadnych opcji tego typu. Czy są jeszcze jakieś problemy? Zadania pomyślnie wykonane. Drobne poprawki na szczątkowe wpisy oraz wypięcie Dr. Web z Dziennika zdarzeń (wymagane aż dwa skrypty, gdyż operacja może być wykonana tylko po tymczasowej deaktywacji usługi Dziennika): 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2025429265-562591055-725345543-1003\...\Run: [MsnMsgr] => "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background HKLM\...\Run: [WinampAgent] => "C:\Program Files\Winamp\winampa.exe" CustomCLSID: HKU\S-1-5-21-2025429265-562591055-725345543-1003_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-2025429265-562591055-725345543-1003_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-2025429265-562591055-725345543-1003_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File C:\Documents and Settings\All Users\Dane aplikacji\Skype C:\Documents and Settings\user\Dane aplikacji\Skype C:\Program Files\Windows Live Toolbar CMD: sc config Eventlog start= disabled Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Zachowaj wynikowy fixlog.txt. 2. Otwórz Notatnik i wklej w nim: C:\WINDOWS\system32\config\Doctor Web.evt C:\WINDOWS\system32\config\Doctor W.evt RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Documents and Settings\user\Doctor Web RemoveDirectory: C:\FRST\Quarantine CMD: sc config Eventlog start= auto Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Powstanie kolejny fixlog.txt. 3. Przedstaw oba pliki fixlog.txt.

Jak mówiłam, ten pasek AVG został uszkodzony przez AdwCleaner. Proponuję go przeinstalować "nakładkowo". Instalator: KLIK. PS. Widzę że próbowałeś używać Windows Installer Clean Up. To przestarzały program wycofany z użytku ze względu na błędy i zastąpiony tym nowoczesnym narzędziem: KLIK. I celowo nie podałam tego rodzaju programów, bo one usuwają tylko wpis instalacyjny z listy i to szczególnego rodzaju (rejestracja MSI) a nie inne komponenty aplikacji.

Fix pomyślnie wykonany. Czy notujesz jeszcze jakieś problemy? Czy usterka mBanku nadal występuje?

Fix pomyślnie wykonany. W ramach zakończenia tematu zastosuj DelFix. Jeśli chodzi o aktualizację sterowników AMD, to temat zostawiam otwarty do czasu, aż potwierdzisz czy to rozwiązało problem.

Przepraszam, jakieś zaćmienie miałam, albo mi się raporty pomyliły. Mogłabym przysiąc, że go nie widziałam w Addition, a on tam figuruje jak byk. Jeśli program nadal się nie uruchamia po leczeniu Sality, należy go odinstalować i zainstalować ponownie na czysto. Tak, to aktywność sterowników antywirusów. W zasadzie prawie każdy nowoczesny antywirus operuje na sterownikach i nie da się uniknąć "czystego" raportu GMER. Nie wiem o którym skanerze mowa, ale zwykle "pełny skan" kręci się wokół dysku systemowego. Skoro jednak na pewno wszystkie partycje są brane pod uwagę i już jak widać wykonałeś skany pendrive, to OK. Wyniki skanów dostarcz jako załączniki. To zależy jakie są ustawienia Autoodtwarzania w Windows - jeśli na pendrive jest plik autorun.inf, a Windows XP nie ma zainstalowanych określonych łat korygujących błędy z Autoodtwarzaniem (KLIK), samo podpięcie urządzenia powoduje automatyczne wykonanie autorun.inf i infekcję. System XP można ogólnie zabezpieczyć również inną metodą (inną niż łatanie MS), tzn. blokując całkowicie odczyt pliku autorun.inf, również każde urządzenie USB możesz zimmunizować tworząc na nim blokadę w postaci fałszywego pliku autorun.inf. Do tego celu Panda USB Vaccine i opcje Computer + USB Vaccination. .