picasso

Żadna akcja z tematu nie utworzyła tego pliku, on prawdopodobnie był od dawna tylko go nie widziałeś. Skan OTL przestawia widoczność plików - tzn. rekonfiguruje opcje "Pokaż ukryte foldery i pliki" + "Ukryj chronione pliki systemu operacyjnego". To wyłączenie tej drugiej opcji (zwykle użytkownicy w ogóle tę opcję pomijają i myślą, że widzą wszystko w systemie) powoduje ujawnienie takich obiektów jak: - Pliki desktop.ini na Pulpicie - odpowiadają za polonizację nazwy i specjalną ikonę Pulpitu. Plików nie należy ruszać. - Pliki thumbs.db w wielu folderach - są to bufory miniaturek tworzone w folderach gdzie leżą pliki graficzne. Pliki można skasować. - Foldery $Recycle.Bin (Kosze) i System Volume Information (Przywracanie systemu) na wszystkich dyskach - nie ruszać. I wiele innych obiektów. Po prostu skasuj ten plik thumbs.db, następnie wejdź do Opcji folderów > Widok > zaznacz Ukryj chronione pliki systemu operacyjnego.

CoToPaintJakisSystemLOL Nie rozumiem pytania, skoro post został tu jednak dodany.... Jeśli chcesz założyć własny temat: w widoku danego subforum przycisk "Napisz nowy temat" w prawym górnym rogu. przemo22 W Google Chrome jest adware - sfałszowany "Flash Player". To jednak tylko jeden z problemów, adware przekonwertowało typ przeglądarki Google Chrome z wersji stabilnej do development i jest wymagana kompleksowana reinstalacja. Poza tym, wszystkie przeglądarki są w starych wersjach (Firefox bardzo stary - obecnie już wersja 34). Akcja: 1. Przez Dodaj/Usuń programy odinstaluj stare wersje, poszkodowane przeglądarki i zbędniki: Adobe Flash Player 11, Adobe Flash Player 13 Plugin, Bing Bar, Google Chrome, Mozilla Firefox 17.0.1 (x86 pl), Mozilla Thunderbird 17.0.5 (x86 pl), Opera 12.13.. Adnotacje na temat deinstalacji przeglądarek: - Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. - Produkty Mozilla: Jeśli chcesz zachować zakładki i hasła (i NIC więcej) z Firefox oraz określone elementy Thunderbird, skorzystaj z MozBackup. Nie rób przypadkiem kopii zapasowej całego profilu, bo zostaną zapamiętane śmieci, a moim celem jest tu przeładować przeglądarki na czysto. - Przy deinstalacji wszystkich przeglądarek potwierdź "usuwanie danych użytkownika". Resztę doczyści mój skrypt poniżej. Nie instaluj na tym etapie przeglądarek i Adobe Flash Player. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-18\...\Run: [Google Update] => C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [116648 2014-02-08] (Google Inc.) ProxyServer: [s-1-5-21-1844237615-1060284298-682003330-1006] => 184.105.197.202:80 Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore1cc8d90f7123778.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA1cc8d90f722e7ee.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-18Core.job => C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-18UA.job => C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-1844237615-1060284298-682003330-1003Core.job => C:\Documents and Settings\Bee!\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-1844237615-1060284298-682003330-1003UA.job => C:\Documents and Settings\Bee!\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-1844237615-1060284298-682003330-1006Core.job => C:\Documents and Settings\Przemek\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-1844237615-1060284298-682003330-1006UA.job => C:\Documents and Settings\Przemek\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe S3 AmdTools; system32\DRIVERS\AmdTools.sys [X] S3 cpuz130; \??\C:\DOCUME~1\Przemek\USTAWI~1\Temp\cpuz130\cpuz_x32.sys [X] S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X] S3 EverestDriver; \??\C:\DOCUME~1\Przemek\USTAWI~1\Temp\EverestDriver.sys [X] S3 FairplayKD; \??\C:\Documents and Settings\All Users\Dane aplikacji\MTA San Andreas All\Common\temp\FairplayKD.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Menu Start\Programy\Atari\Test Drive Unlimited 2 C:\Documents and Settings\All Users\Menu Start\Programy\Image-Line\FL Studio 10 C:\Documents and Settings\All Users\Menu Start\Programy\Riot Games\League of Legends C:\Documents and Settings\All Users\Menu Start\Programy\World of Tanks C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla C:\Documents and Settings\Przemek\Dane aplikacji\IObit C:\Documents and Settings\Przemek\Menu Start\Programy\WarThunder C:\Documents and Settings\Przemek\Ustawienia lokalne\Dane aplikacji\Google\Chrome C:\Program Files\Google\Chrome C:\Program Files\Mozilla Firefox C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\pss\OpenOffice.org 3.3.lnkStartup C:\WINDOWS\pss\Real Desktop.lnkStartup C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google C:\WINDOWS\system32\tmp*.tmp Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Przemek^Menu Start^Programy^Autostart^OpenOffice.org 3.3.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Przemek^Menu Start^Programy^Autostart^Real Desktop.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AceStream" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Active Desktop Calendar" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BitTorrent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\C:" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DU Meter" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EasyTuneV" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FlashGet 3" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IDMan" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesAirMessage" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesPreload" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesTrayAgent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NetLimiter" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Real Desktop" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SandboxieControl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\suchypowiadamiacz" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Defender" /f Reg: reg delete "HKU\S-1-5-18\Software\Google" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Uwaga: po deinstalacjach zostaje przeglądarka Internet Explorer i przeklejanie przy jej udziale z posta do Notatnika może skleić linie. Skrypt wklejony do Notatnika ma wyglądać jak mój w poście - te same przejścia do nowej linii. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. Adobe Flash Player jest wbudowany w Chrome, więc nie ma potrzeby nic instalować, o ile nie pojawi się w systemie najnowszy Firefox. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleanerr. .

Przecież on już to wykonał i podał log Search.txt. W logu widać, że są uszkodzone dwie 64-bitowe instancje iertutil.dll: ================== Search Files: "IERTUTIL.dll" ============= C:\Windows\winsxs\amd64_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_11.2.9600.17420_none_29fb758da1919208\iertutil.dll [2014-11-13 08:08][2014-11-05 19:43] 0000000 ____A () C:\Windows\System32\iertutil.dll [2014-11-13 08:08][2014-11-05 19:43] 0000000 ____A () Dombear, musisz poczekać na poprawną kopię z mojego systemu zgodną z wersją komponentu 11.2.9600.17420, bo w tej chwili nie jestem w stanie tego zrobić szybko. EDIT: Przesyłam 64-bitowy plik zgodny z wymaganą wersją. Umieść plik na pendrive F:. Do Notatnika wklej: CMD: copy /y F:\iertutil.dll C:\Windows\System32\iertutil.dll CMD: copy /y F:\iertutil.dll C:\Windows\winsxs\amd64_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_11.2.9600.17420_none_29fb758da1919208\iertutil.dll Plik zapisz pod nazwą fixlist.txt i umieść na F:\. Uruchom FRST i wybierz opcję Fix. Przedstaw wynikowy fixlog.txt.

Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Screen jest obcięty, nie widać dokładnych ścieżek, ale: - Wynik z Temp nie powinien mieć już miejsca - w skrypcie FRST egzekwowana była komenda EmptyTemp:. - Wyniki z Pobranych: nie widać o jaki plik chodzi, ale domyślam się że AVG wychwycił plik typu "Asystent pobierania" komputerświat lub coś podobnego. - Wyniki z System Volume Information (Przywracanie systemu) są zaadresowane w krokach końcowych podanych powyżej. Wg Addition ogólne statystyki pamięci są dobre: ==================== Memory info =========================== Processor: Intel® Pentium® D CPU 2.80GHz Percentage of memory in use: 42% Total physical RAM: 2038.07 MB Available physical RAM: 1181.19 MB Total Pagefile: 3404.74 MB Available Pagefile: 1262.7 MB Total Virtual: 2047.88 MB Available Virtual: 1937.84 MB Czy na pewno problem zapychania pamięci występuje już po usunięciu adware? Jeśli tak, najbardziej rozbudowany obiekt ładujący się w starcie to niestety AVG - może tu jest problem.

Brakuje pliku fixlog.txt, który powstał podczas przetwarzania skryptu. Dostarcz ten plik - siedzi wprost na Pulpicie lub w podfolderze "FRST". Nie uruchamiaj przypadkiem opcji Fix ponownie.

Pliku wmc.exe od VBKlip/Banatrix nie było na dysku, więc tu póki co nie została wykryta żadna czynna infekcja i problemy nie wyglądają na jej pochodną. Już nakreślałam co może być potencjalną przyczyną, głównie rzuca się w oczy COMODO. Jeśli nadal występują problemy, na próbę go całkowicie odinstaluj i zweryfikuj czy zmienia to sytuację. Nie wszystko ze skryptu się wykonało, bo zmieniłeś kontekst konta - zalogowałeś się w awaryjnym nie na swoje konto OI tylko na konto wbudowanego Administratora. Wymagana poprawka pod tym kątem, ale pomijam wpisy Yahoo (odtwarza je non-stop COMODO). Otwórz Notatnik i wklej w nim: BHO: Spybot-S&D IE Protection -> {53707962-6F74-2D53-2644-206D7942484F} -> D:\PROGRA~1\SPYBOT~1\SDHelper.dll No File HKU\S-1-5-21-823518204-1614895754-839522115-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ProxyServer: [s-1-5-21-823518204-1614895754-839522115-1003] => : HKU\S-1-5-21-823518204-1614895754-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch CustomCLSID: HKU\S-1-5-21-823518204-1614895754-839522115-1003_Classes\CLSID\{28B7AA99-C0F9-4C47-995E-8A8D729603A1}\localserver32 -> D:\Program Files\AutoCAD 2007\acad.exe /Automation No File CustomCLSID: HKU\S-1-5-21-823518204-1614895754-839522115-1003_Classes\CLSID\{7AABBB95-79BE-4C0F-8024-EB6AF271231C}\localserver32 -> D:\Program Files\AutoCAD 2007\acad.exe No File Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows i zaloguj się na swoje konto (a nie Administratora). Uruchom FRST i kliknij w Fix, nastąpi restart. Przedstaw wynikowy fixlog.txt.

Zapomniałam poprzednio nadmienić, że te masowo generowane pliki były pochodną instalacji Windows Live Messenger i zaznaczonej w nim opcji "ulepszania usługi": KLIK. To nie powinno być już problemem po deinstalacji wskazanych aplikacji Windows Live i wyczyszczeniu plików skryptem FRST. Aczkolwiek zostawiłam jeden z programów serii Live nie wiedząc czy jest używany, tzn. "Poczta systemu Windows Live". Upewnij się, że w nim nie ma zaznaczonych żadnych opcji tego typu. Czy są jeszcze jakieś problemy? Zadania pomyślnie wykonane. Drobne poprawki na szczątkowe wpisy oraz wypięcie Dr. Web z Dziennika zdarzeń (wymagane aż dwa skrypty, gdyż operacja może być wykonana tylko po tymczasowej deaktywacji usługi Dziennika): 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2025429265-562591055-725345543-1003\...\Run: [MsnMsgr] => "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background HKLM\...\Run: [WinampAgent] => "C:\Program Files\Winamp\winampa.exe" CustomCLSID: HKU\S-1-5-21-2025429265-562591055-725345543-1003_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-2025429265-562591055-725345543-1003_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-2025429265-562591055-725345543-1003_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File C:\Documents and Settings\All Users\Dane aplikacji\Skype C:\Documents and Settings\user\Dane aplikacji\Skype C:\Program Files\Windows Live Toolbar CMD: sc config Eventlog start= disabled Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Zachowaj wynikowy fixlog.txt. 2. Otwórz Notatnik i wklej w nim: C:\WINDOWS\system32\config\Doctor Web.evt C:\WINDOWS\system32\config\Doctor W.evt RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Documents and Settings\user\Doctor Web RemoveDirectory: C:\FRST\Quarantine CMD: sc config Eventlog start= auto Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Powstanie kolejny fixlog.txt. 3. Przedstaw oba pliki fixlog.txt.

Jak mówiłam, ten pasek AVG został uszkodzony przez AdwCleaner. Proponuję go przeinstalować "nakładkowo". Instalator: KLIK. PS. Widzę że próbowałeś używać Windows Installer Clean Up. To przestarzały program wycofany z użytku ze względu na błędy i zastąpiony tym nowoczesnym narzędziem: KLIK. I celowo nie podałam tego rodzaju programów, bo one usuwają tylko wpis instalacyjny z listy i to szczególnego rodzaju (rejestracja MSI) a nie inne komponenty aplikacji.

Fix pomyślnie wykonany. Czy notujesz jeszcze jakieś problemy? Czy usterka mBanku nadal występuje?

Fix pomyślnie wykonany. W ramach zakończenia tematu zastosuj DelFix. Jeśli chodzi o aktualizację sterowników AMD, to temat zostawiam otwarty do czasu, aż potwierdzisz czy to rozwiązało problem.

Przepraszam, jakieś zaćmienie miałam, albo mi się raporty pomyliły. Mogłabym przysiąc, że go nie widziałam w Addition, a on tam figuruje jak byk. Jeśli program nadal się nie uruchamia po leczeniu Sality, należy go odinstalować i zainstalować ponownie na czysto. Tak, to aktywność sterowników antywirusów. W zasadzie prawie każdy nowoczesny antywirus operuje na sterownikach i nie da się uniknąć "czystego" raportu GMER. Nie wiem o którym skanerze mowa, ale zwykle "pełny skan" kręci się wokół dysku systemowego. Skoro jednak na pewno wszystkie partycje są brane pod uwagę i już jak widać wykonałeś skany pendrive, to OK. Wyniki skanów dostarcz jako załączniki. To zależy jakie są ustawienia Autoodtwarzania w Windows - jeśli na pendrive jest plik autorun.inf, a Windows XP nie ma zainstalowanych określonych łat korygujących błędy z Autoodtwarzaniem (KLIK), samo podpięcie urządzenia powoduje automatyczne wykonanie autorun.inf i infekcję. System XP można ogólnie zabezpieczyć również inną metodą (inną niż łatanie MS), tzn. blokując całkowicie odczyt pliku autorun.inf, również każde urządzenie USB możesz zimmunizować tworząc na nim blokadę w postaci fałszywego pliku autorun.inf. Do tego celu Panda USB Vaccine i opcje Computer + USB Vaccination. .

To infekcja Gamarue. Dodaj precyzyjne dane: - Zestaw obowiązkowych logów, by sprawdzić czy pendrive nie zainfekował przypadkiem systemu. W tym przypadku wystarczą mi raporty z FRST. - Spis obiektów na urządzeniu, czyli log USBFix z opcji Listing.

Ostatni obrazek pokazuje Podstawowy kanał IDE i Bieżący tryb transferu: Tryb PIO = to właśnie ta usterka. Z prawokliku odinstaluj ten Podstawowy, na którym jest PIO, zresetuj system. Windows zrekonstruuje urządzenie i Windows znacznie przyśpieszy.

Tym razem wszystko wykonane. Adware zostało pomyślnie usunięte. Poprawki na szczątki po odinstalowanych programach: 1. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [] => [X] C:\Program Files\Conduit C:\Program Files\GamersFirst C:\Program Files\Gore Special Edition C:\Program Files\iMesh Applications C:\Program Files\KBot C:\Program Files\Malwarebytes' Anti-Malware C:\Program Files\Opera C:\Program Files\Point Blank Italia C:\Program Files\Profibot C:\Program Files\RaidCall C:\Program Files\raidcall6.0_beta C:\Program Files\Video Codec C:\Program Files\WhiteSmoke C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1 C:\ProgramData\211C5 C:\ProgramData\AVG C:\ProgramData\Babylon C:\ProgramData\Blizzard Entertainment C:\ProgramData\boost_interprocess C:\ProgramData\CyberLink C:\ProgramData\eSellerate C:\ProgramData\Fast And Safe C:\ProgramData\Malwarebytes C:\ProgramData\McAfee C:\ProgramData\OpenFM C:\ProgramData\Screaming Bee C:\ProgramData\Sun C:\ProgramData\Temp C:\Users\Agnese\AppData\Local\*.txt C:\Users\Agnese\AppData\Local\Babylon C:\Users\Agnese\AppData\Local\Conduit C:\Users\Agnese\AppData\Local\Facebook C:\Users\Agnese\AppData\Local\Opera C:\Users\Agnese\AppData\Local\Overwolf C:\Users\Agnese\AppData\Local\PointBlank C:\Users\Agnese\AppData\Local\SKIDROW C:\Users\Agnese\AppData\LocalLow\{286D8163-AD91-FE69-0708-40FE6924F251} C:\Users\Agnese\AppData\LocalLow\{943B4541-3FCE-0927-8470-323D42E914D8} C:\Users\Agnese\AppData\LocalLow\BabylonToolbar C:\Users\Agnese\AppData\LocalLow\Conduit C:\Users\Agnese\AppData\LocalLow\imeshbandmltbpi C:\Users\Agnese\AppData\LocalLow\Incredibar.com C:\Users\Agnese\AppData\LocalLow\mediabarbs C:\Users\Agnese\AppData\LocalLow\Oracle C:\Users\Agnese\AppData\LocalLow\raidcall C:\Users\Agnese\AppData\LocalLow\Sun C:\Users\Agnese\AppData\LocalLow\Temp C:\Users\Agnese\AppData\LocalLow\Toolbar4 C:\Users\Agnese\AppData\LocalLow\WhiteSmokeToolbar C:\Users\Agnese\AppData\LocalLow\wincorebsband C:\Users\Agnese\AppData\LocalLow\wincoreimband C:\Users\Agnese\AppData\Roaming\.minecraft C:\Users\Agnese\AppData\Roaming\.techniclauncher C:\Users\Agnese\AppData\Roaming\AVG C:\Users\Agnese\AppData\Roaming\Babylon C:\Users\Agnese\AppData\Roaming\CoSoSys C:\Users\Agnese\AppData\Roaming\Cyberlink C:\Users\Agnese\AppData\Roaming\DVDVideoSoft C:\Users\Agnese\AppData\Roaming\Malwarebytes C:\Users\Agnese\AppData\Roaming\MusicNet C:\Users\Agnese\AppData\Roaming\OpenCandy C:\Users\Agnese\AppData\Roaming\OpenFM C:\Users\Agnese\AppData\Roaming\Opera C:\Users\Agnese\AppData\Roaming\rmi C:\Users\Agnese\AppData\Roaming\Screaming Bee C:\Users\Agnese\AppData\Roaming\skyz C:\Users\Agnese\AppData\Roaming\uTorrent C:\Users\Agnese\AppData\Roaming\WhiteSmoke C:\Users\Agnese\AppData\Local\Microsoft\Windows\GameExplorer\{2B98CF51-2699-47A9-A9E8-E5F7562F80FF}\PlayTasks\0\Gioca.lnk C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink WaveEditor Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner, wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

kokos proszę nie edytuj wstecz pierwszego posta, przecież brak logiki w kolejności zadań - zadane określone czynności > nowy post z wynikami. Przekleiłam wszystko (z wyjątkiem GMER) do ostatniego posta. Sprawdź czy transfer dysku nie spadł z DMA do PIO. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. W żadnym z logów nie było widać czynnego proxy w Firefox. Czy na pewno problem z mBankiem nadal występuje? Zadane czynności pomyślnie wykonane. Drobne poprawki. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-425070134-1683481979-3785275989-1006\...\Run: [RAMKontroler] => C:\Program Files\XimSoft\RAM Kontroler\RamKontroler.exe Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path" /v Debugger /t REG_SZ /d "ntsd -d" /f RemoveDirectory: C:\Documents and Settings\admin\Pulpit\Stare dane programu Firefox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Operacja pomyślnie wykonana, efekty z procesami iexplore.exe powinny ustąpić. Kończymy: 1. Odinstaluj zbędny / przeterminowany Spybot - Search & Destroy. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. PS. Poprzednio chodziło mi oczywiście o link "Portale z oprogramowaniem / Instalatory - na co uważać". Omyłkowo podałam link ogólny zawierający wprawdzie przekierowanie do tego artykułu, ale podmieniłam już na link właściwy we wcześniejszym poście.

Fix wykonany. Natomiast AdwCleaner czepia się komunikatora QQ - ten komunikator jest od początku na Twojej liście zainstalowanych i nie ruszałam tego umyślnie. Czy to celowa instalacja?.

Na początek uwaga na temat pliku C:\Users\komputer\Desktop\HijackThis(12030)-dp.exe = to nie jest poprawny plik tylko śmieć "Asystent pobierania" dobrychprogramów: KLIK. Problem tworzy niepożądany obiekt moters. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CustomCLSID: HKU\S-1-5-21-3374041939-2616359436-2706521396-1000_Classes\CLSID\{56FDF344-FD6D-11d0-958A-006097C9A090}\InprocServer32 -> C:\Users\komputer\AppData\Roaming\moters\supna.dll () C:\ProgramData\ecbaef90-5696-41e1-a1c3-3e8112ce2840 C:\Users\komputer\AppData\Roaming\moters C:\Users\komputer\Desktop\HijackThis(12030)-dp.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Specjalny skrót IE jest uszkodzony: Shortcut: C:\Users\komputer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\komputer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi (Shortcut już mi nie jest potrzebny). Dołącz też plik fixlog.txt. .

Temat przenoszę do działu Windows. Brak oznak czynnej infekcji. Są ślady prób z ComboFixem i na ten temat: KLIK. Z raportów nic konkretnego nie wynika pod kątem zgłaszanych problemów. Do usunięcia tylko wpisy puste / odpadki aplikacji oraz uruchamiane obiekty niepoprawnie usuniętego paska AVG. W spoilerze doczyszczanie: Jedyne akcje ze spoilera, które mogą mieć ewentualne odbicie w działaniu systemu (przyśpieszenie), to usunięcie elementów AVG, Akamai NetSession Interface i Bing ze startu. vs. DRV:64bit: - [2011-10-21 11:30:02 | 012,310,112 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\igdpmd64.sys -- (intelkmd) DRV:64bit: - [2011-10-21 11:30:02 | 012,310,112 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\igdkmd64.sys -- (igfx) Rozumiem, iż chodzi tu o konfigurację hybrydową AMD-Intel oraz BSOD punktujący igdpmd64.sys. Do wglądu ten temat: KLIK. Ale jakie błędy? Czy da się cokolwiek odinstalować (nie tylko powyższe)? Jak ten błąd "parametru" dokładnie jest sformułowany? Pokaż zrzut ekranu / przepisz 1:1. .

Wszystko zrobione, skan już był prowadzony wcześniej, toteż kończymy. Zastosuj DelFix (GMER dokasuj ręcznie) i wyczyść foldery Przywracania systemu: KLIK.

Fix wykonany w zakresie pustych wpisów. Skan tych szczególnych klas nic nie wykazał (brak oznak niestandardowych filtrów). Dla świętego spokoju jeszcze zrób inne szukanie - uruchom FRST, w polu Search wklej: LowerFilters;UpperFilters;moufiltr;Ti64 Klik w Search Registry i dostarcz wynikowy log. Temat przenoszę do działu Hardware. Zasady tego działu: KLIK.

Drobne poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\Techgile C:\Program Files (x86)\Zero G Registry C:\ProgramData\Ask C:\ProgramData\AVG Security Toolbar C:\Users\Robert\AppData\LocalLow\dt.dat C:\Users\Robert\AppData\Roaming\Mozilla Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy log fixlog.txt. 2. Uruchom AdwCleaner, wybierz opcję Szukaj i przedstaw wynikowy log z folderu C:\AdwCleaner.

Sprawdź czy transfer dysku nie obniżył się z DMA do PIO. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Fix wykonany. Drobne poprawki na szczątki "Free Ride Games". Otwórz Notatnik i wklej w nim: FF Plugin: @exent.com/npExentCtl,version=7.0.0.0 -> C:\Program Files\Free Ride Games\npExentCtl.dll No File S2 X4HSEx_Pr143; \??\C:\Program Files\Free Ride Games\X4HSEx_Pr143.Sys [X] DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

- Rootkit.Cidox.H.VBR: ani GMER, ani TDSSKiller nie notują tego rodzaju infekcji. Nie podałeś raportu MBAM (metoda obrazków jest niewdzięczna i ukrywa różne detale o skanie), więc nie widać jaką wersję bazy danych się posługiwałeś. Podobna detekcja kilka dni temu sklasyfikowana jako fałszywy alarm i zalecenie aktualizacji: KLK. - Trojan.Agent.BVBGen: fałszywy alarm na pliku MRT.exe = Malicious Software Removal Tool Microsoftu. Do tego opisu równie dobrze pasuje aktywność oprogramowania zabezpieczającego, a dzieje się tu sporo (inwazyjne sterowniki): COMODO Firewall (główny podejrzany), ESET NOD32 Antivirus (stary i scrackowany). Wysokie obciążenie SYSTEM: tu należy podejrzewać sterowniki, ogólnie system jest upstrzony masą instalacji i starych sterowników. Podejrzanych dużo. W systemie siedzi też przeterminowany Spybot - Search & Destroy, a dodatkowy aspekt z nim związany: zmodyfikował plik HOSTS (to archaiczna metoda zabezpieczeń), który przetwarza ponad 15 tysięcy rekordów. To nie jest zdrowe, a tu przykład co się może dziać, gdy HOSTS jest zbyt gruby: FRST. Ale na chodzie jest nadrzędny element, czyli usługi + sterownik: ==================== Processes (Whitelisted) ================= (BlueStack Systems, Inc.) C:\Program Files\BlueStacks\HD-UpdaterService.exe ========================== Services (Whitelisted) ================= S2 BstHdAndroidSvc; C:\Program Files\BlueStacks\HD-Service.exe [402192 2014-05-01] (BlueStack Systems, Inc.) R2 BstHdUpdaterSvc; C:\Program Files\BlueStacks\HD-UpdaterService.exe [774928 2014-05-01] (BlueStack Systems, Inc.) ==================== Drivers (Whitelisted) ==================== R2 BstHdDrv; C:\Program Files\BlueStacks\HD-Hypervisor-x86.sys [113424 2014-05-01] (BlueStack Systems) Póki co, to tu jest ślad infekcji całkiem gdzie indziej niż typowane. W Harmonogramie zadań jest obiekt infekcji VBKlip/Banatrix, tylko nie wiadomo czy powiązany plik nadal jest na dysku (jeśli nie, to wpis jest bez znaczenia). I infekcja ta raczej nie powoduje takich objawów jak opisywane. Task: C:\WINDOWS\Tasks\SYSTEM.job => C:\Documents and Settings\All Users\Dane aplikacji\wmc.exe Na razie do wyczyszczenia stare wersje, powyższy delikwent, wpisy odpadkowe i Temp: 1. Odinstaluj stare wersje: Adobe Flash Player 14 Plugin, Adobe Shockwave Player 11.5, Spybot - Search & Destroy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: C:\WINDOWS\Tasks\SYSTEM.job => C:\Documents and Settings\All Users\Dane aplikacji\wmc.exe R1 Aspi32; C:\WINDOWS\system32\Drivers\Aspi32.sys [16877 2002-07-17] (Adaptec) [File not signed] S3 gmer; C:\WINDOWS\System32\DRIVERS\gmer.sys [85969 2009-01-23] (GMER) [File not signed] S4 ACDaemon; C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe [X] S3 adiusbaw; system32\DRIVERS\adiusbaw.sys [X] S3 C-Dilla; \??\C:\WINDOWS\system32\drivers\CDANT.SYS [X] S3 cpuz130; \??\d:\Temp\cpuz130\cpuz_x32.sys [X] S3 hamachi; system32\DRIVERS\hamachi.sys [X] S3 hwusbfake; system32\DRIVERS\ewusbfake.sys [X] S3 LHidUsbK; System32\Drivers\LHidUsbK.Sys [X] S3 LMouKE; system32\DRIVERS\LMouKE.Sys [X] S3 Ser2pl; system32\DRIVERS\ser2pl.sys [X] S3 sony_ssm.sys; \??\d:\Temp\sony_ssm.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] HKU\S-1-5-21-823518204-1614895754-839522115-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ProxyServer: [s-1-5-21-823518204-1614895754-839522115-1003] => : HKU\S-1-5-21-823518204-1614895754-839522115-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://pl.yahoo.com?fr=fp-comodo HKU\S-1-5-21-823518204-1614895754-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-823518204-1614895754-839522115-1003 -> DefaultScope {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo SearchScopes: HKU\S-1-5-21-823518204-1614895754-839522115-1003 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo BHO: FGCatchUrl -> {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} -> d:\Program Files\FlashGet\jccatch.dll No File FF DefaultSearchEngine: Yahoo FF SelectedSearchEngine: Yahoo FF Keyword.URL: hxxp://pl.search.yahoo.com/search?fr=ytff-comodo&p= FF Plugin: @divx.com/DivX Content Upload Plugin,version=1.0.0 -> d:\Program Files\DivX\DivX Content Uploader\npUpload.dll No File FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CustomCLSID: HKU\S-1-5-21-823518204-1614895754-839522115-1003_Classes\CLSID\{28B7AA99-C0F9-4C47-995E-8A8D729603A1}\localserver32 -> D:\Program Files\AutoCAD 2007\acad.exe /Automation No File CustomCLSID: HKU\S-1-5-21-823518204-1614895754-839522115-1003_Classes\CLSID\{7AABBB95-79BE-4C0F-8024-EB6AF271231C}\localserver32 -> D:\Program Files\AutoCAD 2007\acad.exe No File C:\Documents and Settings\All Users\Dane aplikacji\wmc.exe C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\Drivers\Aspi32.sys C:\WINDOWS\System32\DRIVERS\gmer.sys C:\WINDOWS\system32\drivers\VBoxNetAdp.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f CMD: sc delete VBoxNetAdp Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows, bo COMODO uniemożliwi pracę FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Pokaż raport prezentujący "prawie dwieście" pozycji. A wg dostarczonych logów są do czyszczenia głównie różne szczątki, wspominane w MountPoints2 oraz adware i inne puste wpisy: 1. Przez Dodaj/Usuń programy odinstaluj niepożądany program Free Ride Games Player oraz stare dziurawe wersje Adobe Flash Player 10 ActiveX, Adobe Reader 7.0 - Polish. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: FW: Norton Internet Worm Protection (Disabled) {990F9400-4CEE-43EA-A83A-D013ADD8EA6E} SecurityProviders: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, msansspc.dll S2 mynsnvtq; \??\C:\WINDOWS\system32\drivers\mynsnvtq.sys [X] HKLM\...\Policies\Explorer: [NoCDBurning] 0 HKU\S-1-5-18\...\Run: [Exetender] => C:\Program Files\Free Ride Games\GPlayer.exe [4936152 2012-12-04] (Exent Technologies Ltd.) HKU\S-1-5-19\...\Run: [Exetender] => C:\Program Files\Free Ride Games\GPlayer.exe [4936152 2012-12-04] (Exent Technologies Ltd.) HKU\S-1-5-20\...\Run: [Exetender] => C:\Program Files\Free Ride Games\GPlayer.exe [4936152 2012-12-04] (Exent Technologies Ltd.) CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1417289356&from=cor&uid=TOSHIBAXMK6025GAS_Y5JJ6087SXXY5JJ6087S" CHR HKLM\...\Chrome\Extension: [ogccgbmabaphcakpiclgcnmcnimhokcj] - C:\Windows\System32\jmdp\SweetNT.crx [Not Found] HKU\S-1-5-21-574771872-493493670-3516649425-1006\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1417289356&from=cor&uid=TOSHIBAXMK6025GAS_Y5JJ6087SXXY5JJ6087S&q={searchTerms} HKU\S-1-5-21-574771872-493493670-3516649425-1006\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1417289356&from=cor&uid=TOSHIBAXMK6025GAS_Y5JJ6087SXXY5JJ6087S&q={searchTerms} Toolbar: HKU\S-1-5-21-574771872-493493670-3516649425-1006 -> No Name - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No File Toolbar: HKU\S-1-5-21-574771872-493493670-3516649425-1006 -> No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} FF Plugin: www.exent.com/GameTreatWidget -> C:\Program Files\Free Ride Games\NPGameTreatPlugin.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Dane aplikacji\Free Ride Games C:\Program Files\Free Ride Games C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\pss\McAfee Security Scan Plus.lnkCommon Startup Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser" /v {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser" /v {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser" /v {C4069E3A-68F1-403E-B40E-20066696354B} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .