picasso

Pokaż raport prezentujący "prawie dwieście" pozycji. A wg dostarczonych logów są do czyszczenia głównie różne szczątki, wspominane w MountPoints2 oraz adware i inne puste wpisy: 1. Przez Dodaj/Usuń programy odinstaluj niepożądany program Free Ride Games Player oraz stare dziurawe wersje Adobe Flash Player 10 ActiveX, Adobe Reader 7.0 - Polish. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: FW: Norton Internet Worm Protection (Disabled) {990F9400-4CEE-43EA-A83A-D013ADD8EA6E} SecurityProviders: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, msansspc.dll S2 mynsnvtq; \??\C:\WINDOWS\system32\drivers\mynsnvtq.sys [X] HKLM\...\Policies\Explorer: [NoCDBurning] 0 HKU\S-1-5-18\...\Run: [Exetender] => C:\Program Files\Free Ride Games\GPlayer.exe [4936152 2012-12-04] (Exent Technologies Ltd.) HKU\S-1-5-19\...\Run: [Exetender] => C:\Program Files\Free Ride Games\GPlayer.exe [4936152 2012-12-04] (Exent Technologies Ltd.) HKU\S-1-5-20\...\Run: [Exetender] => C:\Program Files\Free Ride Games\GPlayer.exe [4936152 2012-12-04] (Exent Technologies Ltd.) CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1417289356&from=cor&uid=TOSHIBAXMK6025GAS_Y5JJ6087SXXY5JJ6087S" CHR HKLM\...\Chrome\Extension: [ogccgbmabaphcakpiclgcnmcnimhokcj] - C:\Windows\System32\jmdp\SweetNT.crx [Not Found] HKU\S-1-5-21-574771872-493493670-3516649425-1006\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1417289356&from=cor&uid=TOSHIBAXMK6025GAS_Y5JJ6087SXXY5JJ6087S&q={searchTerms} HKU\S-1-5-21-574771872-493493670-3516649425-1006\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1417289356&from=cor&uid=TOSHIBAXMK6025GAS_Y5JJ6087SXXY5JJ6087S&q={searchTerms} Toolbar: HKU\S-1-5-21-574771872-493493670-3516649425-1006 -> No Name - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No File Toolbar: HKU\S-1-5-21-574771872-493493670-3516649425-1006 -> No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} FF Plugin: www.exent.com/GameTreatWidget -> C:\Program Files\Free Ride Games\NPGameTreatPlugin.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Dane aplikacji\Free Ride Games C:\Program Files\Free Ride Games C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\pss\McAfee Security Scan Plus.lnkCommon Startup Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser" /v {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser" /v {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser" /v {C4069E3A-68F1-403E-B40E-20066696354B} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

GMER zrobiłeś w niewłaściwych warunkach, tzn. przy czynnym sterowniku SPTD od DAEMON Tools Lite. Owszem, są tu oznaki infekcji - wpis EucubEpivn.dat w starcie oraz zablokowane oprogramowanie zabezpieczające w oparciu o polityki oprogramowania. Ale infekcja nie wygląda na czynną, gdyż jej plik usuwał właśnie skaner ESET. Przypuszczalna droga infekcji: exploit Java. W tym temacie będzie więc usuwanie odpadków po infekcji oraz wpisów pustych. To raczej nie ma związku z opisywanymi problemami. Akcja: 1. Na początek odinstaluj starsze wersje oraz zbędniki: Acrobat.com, Adobe AIR, Adobe Shockwave Player 11.5, Java 7 Update 55, Windows Live Toolbar. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Lavasoft HKLM Group Policy restriction on software: C:\Program Files\ESET HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\McAfee HKU\S-1-5-21-300751917-3985659210-3560172915-1003\...\Run: [EucubEpivn] => regsvr32.exe "C:\ProgramData\EucubEpivn\EucubEpivn.dat" HKU\S-1-5-18\...\RunOnce: [AutoLaunch] => C:\Program Files\Lavasoft\Ad-Aware\AutoLaunch.exe monthly Task: {8C86B6DC-108A-4FB9-9902-1DC702D854C5} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe S2 RoxLiveShare10; "C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxLiveShare10.exe" [X] FF Plugin: @java.com/JavaPlugin -> C:\Program Files\Java\jre7\bin\new_plugin\npjp2.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gazeta.pl/0,0.html?p=133 HKU\S-1-5-21-300751917-3985659210-3560172915-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://msn.gazeta.pl/?ocid=OIE9HP HKU\S-1-5-21-300751917-3985659210-3560172915-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.com.pl/0SEPLPL/SAOS01?FORM=TOOLBR HKU\S-1-5-21-300751917-3985659210-3560172915-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=133 SearchScopes: HKU\S-1-5-21-300751917-3985659210-3560172915-1003 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = C:\Program Files\mozilla firefox\plugins C:\ProgramData\EucubEpivn C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Get Video Conferencing.lnk C:\ProgramData\Microsoft\Windows\Start Menu\McAfee Install.lnk C:\Users\marek\AppData\Roaming\Systweak C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Z raportów nic nie wynika, a IE owszem korzysta z zupełnie innej instalacji (Adobe Flash Player 15 ActiveX). Sprawdź jak się zachowuje Firefox, gdy: - We wtyczkach wyłączysz wszystko z wyjątkiem wtyczki FlashPlayer. - W Rozszerzeniach wyłączysz tymczasowo Classic Theme Restorer. Pod tym kątem załóż nowy temat w dziale Hardware. Powtarzałam już kilka razy, że jestem świadoma jakie tematy nie są rozwiązane i nie ma potrzeby przypominania się. Jeśli się nie wypowiadam, to znaczy, że na ten moment nie mam nic do powiedzenia (nie zanalizowane dane, brak koncepcji etc.). .

ayla, OTL od dawna już jest podrzędnym raportem dostarczanym tylko przy okazji, obecnie obowiązkowy jest FRST. A te wpisy MountPoints2 kierują na pliki wyglądające na Sality. Nie wiadomo jednak jak długo te wpisy są w systemie, gdyż MountPoints2 trzyma wszystko, dopóki się tego nie wyczyści.

Źle wkleiłeś skrypt, obciąłeś ostatnią literkę ("SE" zamiast "SET"). Powtarzaj skrypt o zawartości i dostarcz wynikowy fixlog.txt: CMD: SET

W zasadach jest napisane jakie logi są obowiązkowe: są to FRST, OTL i GMER, ale nie DDS. O DDS pada prośba, gdy nie ma możliwości dostarczenia FRST i OTL, prośba jest wyraźnie przeze mnie umieszczana w danym temacie (tu nic takiego nie wystąpiło). Temat przenoszę, na razie do działu Windows, ale możliwe że przejdzie do działu Sieci. Brak oznak infekcji, w Firefox jest tylko jedna szczątkowa wyszukiwarka adware, ale to nie gra roli w kontekście problemów i na razie pomijam. Wolne ładowanie stron internetowych: Na początek zainteresuj się sprawdzeniem czy nie bruździ zainstalowane oprogramowanie, a konkretnie COMODO Internet Security Premium. Na próbę go odinstaluj. Ale to nie wszystkie aspekty sprawy: Są oznaki dewastacji / jakiejś awarii systemowej. Lista zainstalowanych programów jest zbyt krótka w stosunku do tego co rzeczywiście w systemie występuje. Nie widać połowy programów, które definitywnie są w systemie i się uruchamiają. Na przykład: AMD Quick Stream, McAfee Security Scan, Skype, Spybot Search & Destroy - na liście zainstalowabych kompletnie brak takich pozycji. Tu sugerowałabym Przywracanie systemu do czasu, gdy nie było problemów, tylko że jest kolejny problem, tzn. FRST zwraca błąd wyliczania punktów sugerujący uszkodzenie systemowego WMI: ==================== Restore Points ========================= Could not list Restore Points. Check "winmgmt" service or repair WMI. Czy wchodząc do interfejsu Przywracania systemu widzisz jakieś punkty Przywracania systemu dostępne? .

Operacje wykonane, na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. A jest możliwa jej deinstalacja? Wg logów brak wejścia deinstalacji na liście Dodaj/Usuń i brak skrótu do deinstalatora w Menu start. Logi są zdolne tylko pokazać sterownik Sality (o ile infekcja czynna), autoryzacje Zapory (dowodujące że on był, bo autoryzacje równie dobrze mogą być odpadkami), polityki oraz mniejsze detale. Infekcja w wykonywalnych per se nie jest "widziana" - co najwyżej może być zanotowane wybiórcze "odświeżanie" plików Microsoftu i aplikacji, ale przyczyna odświeżenia nie jest precyzyjnie znana (jest wiele innych powodów dla których pliki mogą być zmodyfikowane na świeżo). Do detekcji wirusa w wykonywalnych musi być użyty antywirus: Każdy z nich może być użyty. Mówimy tu o skanie każdej partycji z osobna, by uzyskać pewność, że zalążek wirusa nigdzie się nie czai. Wystarczy jeden plik niechcący uruchomiony i nastąpi reinfekcja. Sality interesuje się tylko wykonywalnymi, pliki multimedialne są bezpieczne, o ile na płycie nie wylądowało coś więcej niż tylko te pliki. Jeśli chodzi o laptopa, to znaczenie ma system współdzielenia folderów - czy dyski laptopa były dostępne spod PC w owym czasie? .

Fix nie wykonał się. Przejdź w Tryb awaryjny i ponów próbę. Szukasz sterowników AMD tu: KLIK. Przed manipulacją ze sterownikami utwórz punkt Przywracania systemu.

Tematy zdaje się skleję razem, bo tu nie ma żadnych nowości w stosunku do poprzedniego wątku i jest jakby kontynuacja treści. Tylko drobna poprawka na dwa wpisy których uprzednio nie było widać (FRST ich nie skanował po prostu). Otwórz Notatnik i wklej w nim: ProxyEnable: [.DEFAULT] => Internet Explorer proxy is enabled. ProxyServer: [.DEFAULT] => http=127.0.0.1:49218;https=127.0.0.1:49218 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Wróć do poprzedniego tematu i tych moich wypowiedzi: Przy okazji, znowu widać w logu tę samą stronę adware otwieraną przy starcie Google Chrome: Chrome: ======= CHR StartupUrls: Profile 1 -> "hxxp://astromenda.com/?f=7&a=ast_ir_14_36_ch&cd=2XzuyEtN2Y1L1Qzu0CyEtAyEyC0BtDtByEzztD0ByB0A0F0CtN0D0Tzu0SzyyBzztN1L2XzutAtFtBtFtCtFyDtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2StDzzyDtDtBtCyE0DtG0E0AyDzztGtBzy0AtAtGyE0AyByCtGtC0D0E0C0D0B0B0B0Ezyzyzy2QtN1M1F1B2Z1V1N2Y1L1Qzu2StB0EtByE0DyDtC0FtG0B0BtByCtGyEyB0E0EtGzytDtC0FtG0AyC0C0FtB0E0EyDyC0CyDtD2Q&cr=1213641450&uref=308&ir=" Czy na pewno synchronizacja została wtedy wyłączona?

Poprawki: 1. Nadal widzę poniższą pozycję na liście zainstalowanych - czy na pewno nie pominąłeś tego? 2. Otwórz Notatnik i wklej w nim: CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswwebrepchrome-sp.crx [Not Found] C:\Program Files (x86)\Browsers Apps C:\Program Files (x86)\Greener Web C:\Program Files (x86)\SupTab C:\ProgramData\AVAST Software C:\ProgramData\boost_interprocess C:\ProgramData\install_clap C:\ProgramData\McAfee C:\ProgramData\Mozilla C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\OEM_YAHOO C:\ProgramData\Pokki C:\ProgramData\Temp C:\ProgramData\WindowsProtectManger C:\Users\Andrrzej Szachta\AppData\Local\Mozilla C:\Users\Andrrzej Szachta\AppData\Local\Pokki C:\Users\Andrrzej Szachta\AppData\LocalLow\Smartbar C:\Users\Andrrzej Szachta\AppData\LocalLow\Temp C:\Users\Andrrzej Szachta\AppData\LocalLow\trustedshopper C:\Users\Andrrzej Szachta\AppData\Roaming\QEDYQJMM C:\Users\Andrrzej Szachta\AppData\Roaming\TuneUp Software C:\Users\Andrrzej Szachta\AppData\Roaming\VKZRD Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7473B376-BABC-4D84-BF08-00EE7CE8CD8E} /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Browsers Apps" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Szukaj, dostarcz wynikowy log z folderu C:\AdwCleaner.

Wszystko zrobione. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder Stare dane programu Firefox. Następnie uruchom AdwCleaner, wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Na zakończenie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Czego nie skasuje DelFix (np. pobrany GMER), to już ręcznie dokończ.

1. Widzę, że następujące aplikacje nadal wiszą na liście zainstalowanych: ==================== Installed Programs ====================== Adobe Flash Player 12 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 12.0.0.70 - Adobe Systems Incorporated) Adobe Reader 8.1.2 (HKLM\...\{AC76BA86-7AD7-1033-7B44-A81200000003}) (Version: 8.1.2 - Adobe Systems Incorporated) AVG Web TuneUp (HKLM\...\AVG Web TuneUp) (Version: 4.0.0.19 - AVG Technologies) Foxit Reader (HKLM\...\Foxit Reader_is1) (Version: 5.4.5.124 - Foxit Corporation) Jaki jest problem przy próbie deinstalacji paska AVG oraz Foxit? A programy Adobe usuń za pomocą specjalnych deinstalerów listowanych w tym temacie: KLIK. 2. Inne poprawki. Otwórz Notatnik i wklej w nim: BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File C:\Documents and Settings\All Users\Dane aplikacji\Mozilla C:\Documents and Settings\user\Dane aplikacji\Mozilla C:\Program Files\mozilla firefox C:\Sun Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

W takiej sytuacji poczekaj, aż skan GMER się ukończy, i dopiero wtedy reset. Następnie wykonaj resztę podanych operacji + dołącz zaległy log GMER.

Operacje pomyślnie przeprowadzone, więc kończymy: 1. Zastosuj DelFix (GMER dokasuj ręcznie) i wyczyść foldery Przywracania systemu: KLIK. 2. Są nowsze wersje poniższych programów dostępne: ==================== Installed Programs ====================== Adobe Flash Player 15 Pepper (HKLM-x32\...\Adobe Flash Player Pepper) (Version: 15.0.0.215 - Adobe Systems Incorporated) ----> wtyczka dla Opera Adobe Flash Player 15 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 15.0.0.152 - Adobe Systems Incorporated) ----> wtyczka dla Firefox Adobe Reader XI (11.0.07) - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.07 - Adobe Systems Incorporated) Mozilla Firefox 33.0 (x86 pl) (HKLM-x32\...\Mozilla Firefox 33.0 (x86 pl)) (Version: 33.0 - Mozilla)

Na zakończenie: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Zaktualizuj Internet Explorer 9 do wersji 11. Karta pamięci sformatowana, więc detekcje Avast na nią kierujące nie są już istotne. Na spodzie strony pole szybkiej odpowiedzi > Więcej opcji > jest funkcja dołączania plików. I skąd to pytanie - pierwsze logi były przecież poprawnie doczepione... .

Poprawki: 1. Nadal widzę na liście zainstalowanych starą wersję Adobe Reader 9.5.5 - Polish - jaki powód pominięcia jej deinstalacji? 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {042E8582-3F25-4AED-B98D-2CC14FC8A42B} - System32\Tasks\61c99360-2be3-4593-806e-f395dc9af988-11 => C:\Program Files (x86)\Internet Speed Checker\61c99360-2be3-4593-806e-f395dc9af988-11.exe [2014-11-02] (Speedchecker) Task: {9260D919-6FF8-47C4-92E0-64178A84B5F5} - System32\Tasks\61c99360-2be3-4593-806e-f395dc9af988-5_user => C:\Program Files (x86)\Internet Speed Checker\61c99360-2be3-4593-806e-f395dc9af988-5.exe [2014-11-02] (Speedchecker) Task: {AF2BDC1B-D0E4-4B9F-87F1-A5F96B7D5767} - System32\Tasks\61c99360-2be3-4593-806e-f395dc9af988-7 => C:\Program Files (x86)\Internet Speed Checker\61c99360-2be3-4593-806e-f395dc9af988-7.exe [2014-11-02] (Speedchecker) Task: {B7C80393-2807-4B87-B416-CD4F537D6C13} - System32\Tasks\61c99360-2be3-4593-806e-f395dc9af988-1 => C:\Program Files (x86)\Internet Speed Checker\Internet Speed Checker-codedownloader.exe [2014-11-02] (Speedchecker) Task: {B9BF867A-638F-4E39-BF3A-C8A9D52A8617} - System32\Tasks\61c99360-2be3-4593-806e-f395dc9af988-4 => C:\Program Files (x86)\Internet Speed Checker\61c99360-2be3-4593-806e-f395dc9af988-4.exe [2014-11-02] (Speedchecker) Task: {CCE9D17C-8F16-4570-B3A9-8D39F0AA7B1E} - System32\Tasks\61c99360-2be3-4593-806e-f395dc9af988-5 => C:\Program Files (x86)\Internet Speed Checker\61c99360-2be3-4593-806e-f395dc9af988-5.exe [2014-11-02] (Speedchecker) Task: {D73EF128-1367-4D7D-A7A3-01EF023F6B43} - System32\Tasks\61c99360-2be3-4593-806e-f395dc9af988-2 => C:\Program Files (x86)\Internet Speed Checker\61c99360-2be3-4593-806e-f395dc9af988-2.exe [2014-11-02] (Speedchecker) Task: {FA36D863-0207-4E2D-9698-56FD59B3EC76} - System32\Tasks\61c99360-2be3-4593-806e-f395dc9af988-6 => C:\Program Files (x86)\Internet Speed Checker\61c99360-2be3-4593-806e-f395dc9af988-6.exe [2014-11-02] (Speedchecker) Task: C:\windows\Tasks\61c99360-2be3-4593-806e-f395dc9af988-1.job => C:\Program Files (x86)\Internet Speed Checker\Internet Speed Checker-codedownloader.exe Task: C:\windows\Tasks\61c99360-2be3-4593-806e-f395dc9af988-11.job => C:\Program Files (x86)\Internet Speed Checker\61c99360-2be3-4593-806e-f395dc9af988-11.exe Task: C:\windows\Tasks\61c99360-2be3-4593-806e-f395dc9af988-2.job => C:\Program Files (x86)\Internet Speed Checker\61c99360-2be3-4593-806e-f395dc9af988-2.exe Task: C:\windows\Tasks\61c99360-2be3-4593-806e-f395dc9af988-4.job => C:\Program Files (x86)\Internet Speed Checker\61c99360-2be3-4593-806e-f395dc9af988-4.exe Task: C:\windows\Tasks\61c99360-2be3-4593-806e-f395dc9af988-5.job => C:\Program Files (x86)\Internet Speed Checker\61c99360-2be3-4593-806e-f395dc9af988-5.exe Task: C:\windows\Tasks\61c99360-2be3-4593-806e-f395dc9af988-5_user.job => C:\Program Files (x86)\Internet Speed Checker\61c99360-2be3-4593-806e-f395dc9af988-5.exe Task: C:\windows\Tasks\61c99360-2be3-4593-806e-f395dc9af988-6.job => C:\Program Files (x86)\Internet Speed Checker\61c99360-2be3-4593-806e-f395dc9af988-6.exe Task: C:\windows\Tasks\61c99360-2be3-4593-806e-f395dc9af988-7.job => C:\Program Files (x86)\Internet Speed Checker\61c99360-2be3-4593-806e-f395dc9af988-7.exe R2 tor; C:\Program Files (x86)\Tor\tor.exe [3233806 2013-08-31] () [File not signed] HKU\S-1-5-21-421937301-649035308-745041611-1001\...\MountPoints2: {03679a96-fb59-11e1-98f8-60d819ec78d5} - E:\Startme.exe HKU\S-1-5-21-421937301-649035308-745041611-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=sft&utm_medium=installer&utm_campaign=sft SearchScopes: HKU\S-1-5-21-421937301-649035308-745041611-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://de.search.yahoo.com/search?p={searchTerms}&fr=vc_trans_8140&type=foxysecurity SearchScopes: HKU\S-1-5-21-421937301-649035308-745041611-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://de.search.yahoo.com/search?p={searchTerms}&fr=vc_trans_8140&type=foxysecurity SearchScopes: HKU\S-1-5-21-421937301-649035308-745041611-1001 -> {AA924ECE-29EB-43C3-A5C5-C410D7C75002} URL = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^PL&gct=&itbv=12.18.0.82&apn_uid=EDD113BB-FCF5-4A7A-BE43-73B3EAF9F72D&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=ie_11.0.9600.17344&doi=2014-11-02&trgb=IE&q={searchTerms}&psv=&pt=tb BHO: Internet Speed Checker -> {11111111-1111-1111-1111-110611171152} -> C:\Program Files (x86)\Internet Speed Checker\Internet Speed Checker-bho64.dll (Speedchecker) BHO-x32: Internet Speed Checker -> {11111111-1111-1111-1111-110611171152} -> C:\Program Files (x86)\Internet Speed Checker\Internet Speed Checker-bho.dll (Speedchecker) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll No File FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll No File C:\Program Files\Google C:\Program Files (x86)\Google\Chrome C:\Program Files (x86)\McAfee C:\Program Files (x86)\Internet Speed Checker C:\Program Files (x86)\Tor C:\Program Files (x86)\v9Soft C:\ProgramData\McAfee C:\Users\Marta\AppData\Local\Google\Chrome C:\Users\Marta\AppData\Local\Flvto Youtube Downloader C:\Windows\SysWOW64\sho*.tmp Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Internet Speed Checker" /f CMD: for /d %f in (C:\Users\Marta\AppData\Local\{*}) do rd /s /q "%f" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany).

Obowiązują tu raporty systemowe: KLIK. Starting search for hidden objects. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Media Player NSS\3.0\Events\{242E0A8A-FF59-4C61-B006-B95BBBD43C9D} [NOTE] The registry entry is invisible. HKEY_LOCAL_MACHINE\Software\Wow6432Node\Lenovo\PWRMGRV\PowerSchemes\FBAAF6CA-3F77-4225-A5F7-194F10B2F445\DISP_BRTNESS_AC [NOTE] The registry entry is invisible. HKEY_USERS\S-1-5-20\Software\Microsoft\MediaPlayer\Health\{BB0214B3-0585-4695-A6BE-063E4437D3E9} [NOTE] The registry entry is invisible. Hidden driver [NOTE] A memory modification has been detected, which could potentially be used to hide file access attempts. Opis detekcji: KLIK. - 3 wyniki odnoszące się do rejestru nie wyglądają na szkodliwe. - Zaś "memory modification" to prawdopodobnie wynik aktywności emulatora napędów wirtualnych. Nie dostarczyłeś obowiązkowych raportów, więc nie wiadomo co masz w systemie. .

W systemie widać szczątki adware, ale nie tylko to - adware przekonwertowało typ przeglądarki Google Chrome z wersji stabilnej do developerskiej i jest wymagana kompleksowana reinstalacja. Przeprowadź następujące działania: 1. Na początek przez Dodaj/Usuń programy odinstaluj adware, stare wersje oraz zbędniki: Acrobat.com, Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Reader 9, Asystent rejestracji usługi Windows Live, AutoUpdate, Bonjour, Google Chrome, McAfee Security Scan Plus, NVIDIA ForceWare Network Access Manager, Skype Toolbars, Skype™ 4.2, websaver, Windows Live installer, Windows Live Messenger, Windows Live Toolbar. NVIDIA ForceWare Network Access Manager to problematyczny i niedopracowany firewall nVidia. Skype 4.x i Windows Messenger są martwe i nie łączą się - Skype został przejęty przez Microsoft, w zeszłym roku zaś usunięto Messengera (zastępuje go najnowszy Skype). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: AppInit_DLLs: c:\docume~1\alluse~1\daneap~1\intere~1\intere~1.dll => c:\docume~1\alluse~1\daneap~1\intere~1\intere~1.dll File Not Found S2 a7ca495b; "C:\WINDOWS\system32\rundll32.exe" "c:\docume~1\alluse~1\daneap~1\intere~1\InterenetOptimizerSvc.dll",service S2 IePluginServices; C:\Documents and Settings\All Users\Dane aplikacji\IePluginServices\PluginService.exe -service [X] S2 ADILOADER; System32\Drivers\adildr.sys [X] S3 adiusbaw; system32\DRIVERS\adiusbaw.sys [X] U4 klkbdflt2; system32\DRIVERS\klkbdflt2.sys [X] HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-2025429265-562591055-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1414772260&from=cor&uid=SAMSUNGXHD502IJ_S13TJ90Q847410&q={searchTerms} HKU\S-1-5-21-2025429265-562591055-725345543-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1414772260&from=cor&uid=SAMSUNGXHD502IJ_S13TJ90Q847410&q={searchTerms} BHO: websaver -> {78cb945c-561a-4448-84e7-04c4113cbb42} -> C:\Documents and Settings\All Users\Dane aplikacji\websaver\nT73wTaoTbjrfx.dll No File BHO: No Name -> {7E853D72-626A-48EC-A868-BA8D5E23E045} -> No File C:\*.sqm C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Google C:\Program Files\Google C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Blokady oprogramowania na bazie polityk wprowadziła infekcja - na dysku widoczny folder infekcji IiddeNafom. Prawdopodobna przyczyna infekcji to exploit Java, a jest w systemie dobry grunt (mnóstwo starych dziurawych wersji różnych krytycznych aplikacji). 1. Rozpocznij od deinstalacji via Dodaj/Usuń programy starych dziurawych wersji: Adobe Flash Player 10 ActiveX, Adobe Flash Player 12 Plugin, Adobe Reader 8.1.2, Adobe Shockwave Player 11.5, Foxit Reader, J2SE Runtime Environment 5.0 Update 14, J2SE Runtime Environment 5.0 Update 9, Java™ 6 Update 17, Mozilla Firefox 12.0 (x86 pl). Odinstaluj także zbędny pasek AVG Web TuneUp, jego instalacja i tak została już naruszona (uszkodził go AdwCleaner). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM Group Policy restriction on software: C:\Program Files\Common Files\Symantec Shared HKLM Group Policy restriction on software: C:\Program Files\AVG HKLM Group Policy restriction on software: C:\Program Files\ESET HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Agnitum HKLM Group Policy restriction on software: C:\Program Files\AVG S2 vToolbarUpdater18.1.10; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\18.1.10\ToolbarUpdater.exe [X] HKU\S-1-5-21-436374069-602162358-725345543-1003\...\Run: [GameXN GO] => "C:\Documents and Settings\All Users\Dane aplikacji\GameXN\GameXNGO.exe" /startup HKU\S-1-5-21-436374069-602162358-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKU\S-1-5-21-436374069-602162358-725345543-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm SearchScopes: HKU\S-1-5-21-436374069-602162358-725345543-1003 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={F0D664B6-39B9-479A-B597-4B7B62F8E53E}&mid=83b4ea7a936047d2a7e2d158054456a9-414d4818d856a5889f90ff84e1a594766956dc38&lang=en&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-11-09 14:47:00&v=4.0.0.19&pid=wtu&sg=&sap=dsp&q={searchTerms} Toolbar: HKU\S-1-5-21-436374069-602162358-725345543-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File C:\Documents and Settings\All Users\Dane aplikacji\Agnitum C:\Documents and Settings\All Users\Dane aplikacji\AVG2014 C:\Documents and Settings\All Users\Dane aplikacji\IiddeNafom C:\Documents and Settings\All Users\Dane aplikacji\n7-89-o9-3r-4t-r9 C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Dane aplikacji\TuneUp Software C:\Documents and Settings\Default User\Dane aplikacji\TuneUp Software C:\Documents and Settings\user\Dane aplikacji\Alawar C:\Documents and Settings\user\Dane aplikacji\TuneUp Software C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Hosts: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdVantage" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogitechVideoRepair" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogitechVideoTray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Na temat instalacji z serwisu komputerświat: KLIK. Skutki: zainstalowałeś adware Internet Program oraz W-Foxxer. Dodatkowa uwaga, widzę że pobierane były programy typu RAM Kontroler - ten rodzaj programów sztucznie manipulujących ze zwalnianiem pamięci przynosi więcej szkód niż pożytku i możesz uzyskać nawet skutki odwrotne od zamierzonych (czyli spowolnienie). Przeprowadź następujące działania: 1. Przez Dodaj/Usuń programy odinstaluj adware Internet Program oraz zbędny RAM Kontroler. Przy okazji jeszcze pozbądź się odpadkowej instalacji JavaFX 2.1.1 (brak zainstalowanej Java). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-425070134-1683481979-3785275989-1006\...\Run: [] => C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe HKU\S-1-5-21-425070134-1683481979-3785275989-1006\...\MountPoints2: {c8982841-9ea6-11e1-a00a-001372cda397} - F:\AutoRun.exe HKU\S-1-5-21-425070134-1683481979-3785275989-1006\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\admin\Dane aplikacji\Audacity C:\Documents and Settings\admin\Dane aplikacji\BESTplayer C:\Documents and Settings\admin\Dane aplikacji\BitTorrent C:\Documents and Settings\admin\Dane aplikacji\Gadu-Gadu 10 C:\Documents and Settings\admin\Dane aplikacji\GetRightToGo C:\Documents and Settings\admin\Dane aplikacji\Nowe Gadu-Gadu C:\Documents and Settings\admin\Dane aplikacji\OpenFM C:\Documents and Settings\admin\Dane aplikacji\Oracle C:\Documents and Settings\admin\Dane aplikacji\Samsung C:\Documents and Settings\All Users\Dane aplikacji\6fb1f30a-cea7-4ccf-bff8-acbecbfe46f9 C:\Documents and Settings\All Users\Dane aplikacji\AVG2014 C:\Documents and Settings\All Users\Dane aplikacji\firebird C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10 C:\Documents and Settings\All Users\Dane aplikacji\ipla C:\Documents and Settings\All Users\Dane aplikacji\OpenFM C:\Documents and Settings\All Users\Dane aplikacji\Samsung C:\Documents and Settings\ja1\Dane aplikacji\Audacity C:\Documents and Settings\ja1\Dane aplikacji\Nowe Gadu-Gadu C:\Program Files\Common Files\6fb1f30a-cea7-4ccf-bff8-acbecbfe46f9 C:\Program Files\Internet Program C:\Program Files\mozilla firefox\plugins C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\System32\cis-2.4.dll C:\WINDOWS\System32\issacapi_bs-2.3.dll C:\WINDOWS\System32\issacapi_pe-2.3.dll C:\WINDOWS\System32\issacapi_se-2.3.dll Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia Adblock Plus i Rozszerzenia Aukcjoner.pl trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

System jest strasznie zaśmiecony adware - m.in. mnóstwo ładujących się czynnych sterowników. Do wykonania: 1. Przez Panel sterowania odinstaluj: - Adware: dealster, DiscouunntuLocator, GoldenCoupon, PriceDoWNlooadeer, SmarttCompAre, trolatunt, webget, WinSpeed, YTD Video Downloader 4.8.1 (ten ostatni ma adware w instalatorze). - Stare wersje i zbędniki: Adobe Shockwave Player 11.6, ASUS WebStorage, AsusVibe2.0, Bing Bar, Gadu-Gadu 10, OpenOffice.org 2.4, Opera 12.16, Surfing Protection. - Sugeruję też pozbyć się wszystkich programów IOBit (Advanced SystemCare 7, IObit Uninstaller) - firma nie budzi zaufania (adware m.in. grupy Spigot w instalatorach, podejrzane związki partnerskie i praktyki, w przeszłości złapani na kradzieży bazy MBAM). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {0c0bb4a8-45a4-4685-9c1d-08d98af4b926}w64; C:\Windows\System32\drivers\{0c0bb4a8-45a4-4685-9c1d-08d98af4b926}w64.sys [61624 2014-08-08] (StdLib) R1 {2fd630a3-5803-4c6c-9182-99feff3feebf}w64; C:\Windows\System32\drivers\{2fd630a3-5803-4c6c-9182-99feff3feebf}w64.sys [48824 2014-11-29] (StdLib) R1 {55685567-4840-4a91-962b-49a412e9485a}Gw64; C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gw64.sys [61112 2014-05-26] (StdLib) R1 {59dec97c-5f75-4c05-8f15-c5bab4c016d0}w64; C:\Windows\System32\drivers\{59dec97c-5f75-4c05-8f15-c5bab4c016d0}w64.sys [48824 2014-11-30] (StdLib) R1 {63f7dc20-a6f5-4bec-b580-07e72f7866bf}w64; C:\Windows\System32\drivers\{63f7dc20-a6f5-4bec-b580-07e72f7866bf}w64.sys [48824 2014-11-26] (StdLib) R1 {7979f37c-9b8b-4432-992a-75909ef11780}w64; C:\Windows\System32\drivers\{7979f37c-9b8b-4432-992a-75909ef11780}w64.sys [48824 2014-11-29] (StdLib) R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys [61112 2014-04-28] (StdLib) R1 {af4cb626-8a20-45d7-ba5c-8f7715fe7274}w64; C:\Windows\System32\drivers\{af4cb626-8a20-45d7-ba5c-8f7715fe7274}w64.sys [48824 2014-11-27] (StdLib) R1 {c2c9f61a-93f4-4062-88bd-1922a7842068}w64; C:\Windows\System32\drivers\{c2c9f61a-93f4-4062-88bd-1922a7842068}w64.sys [48824 2014-12-01] (StdLib) R1 {f7b97fa1-58eb-428b-8320-ea4f925f86f8}w64; C:\Windows\System32\drivers\{f7b97fa1-58eb-428b-8320-ea4f925f86f8}w64.sys [48824 2014-11-30] (StdLib) R2 MaintainerSvc6.89.982339; C:\ProgramData\29a882f6-268a-4df9-b011-02fdee89f086\maintainer.exe [123680 2014-12-07] () R2 tor; C:\Program Files (x86)\Tor\tor.exe [3233806 2013-09-12] () [File not signed] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-3910330688-3754086058-2831503754-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/ SearchScopes: HKU\S-1-5-21-3910330688-3754086058-2831503754-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3910330688-3754086058-2831503754-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3910330688-3754086058-2831503754-500 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3910330688-3754086058-2831503754-500 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKU\S-1-5-21-3910330688-3754086058-2831503754-500 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Toolbar: HKU\S-1-5-21-3910330688-3754086058-2831503754-500 -> No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File C:\Program Files (x86)\Tor C:\Program Files (x86)\trolatunt C:\ProgramData\23bbdd05ffdf2e16 C:\ProgramData\29a882f6-268a-4df9-b011-02fdee89f086 C:\ProgramData\dealster C:\ProgramData\DiscouunntuLocator C:\ProgramData\PriceDoWNlooadeer C:\ProgramData\shopndrop C:\ProgramData\SmarttCompAre c:\ProgramData\WinSpeed C:\Windows\System32\drivers\{0c0bb4a8-45a4-4685-9c1d-08d98af4b926}w64.sys C:\Windows\System32\drivers\{2fd630a3-5803-4c6c-9182-99feff3feebf}w64.sys C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gw64.sys C:\Windows\System32\drivers\{59dec97c-5f75-4c05-8f15-c5bab4c016d0}w64.sys C:\Windows\System32\drivers\{63f7dc20-a6f5-4bec-b580-07e72f7866bf}w64.sys C:\Windows\System32\drivers\{7979f37c-9b8b-4432-992a-75909ef11780}w64.sys C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys C:\Windows\System32\drivers\{af4cb626-8a20-45d7-ba5c-8f7715fe7274}w64.sys C:\Windows\System32\drivers\{c2c9f61a-93f4-4062-88bd-1922a7842068}w64.sys C:\Windows\System32\drivers\{f7b97fa1-58eb-428b-8320-ea4f925f86f8}w64.sys C:\Windows\SysWOW64\sho*.tmp Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: for /d %f in (C:\Users\Karolina\AppData\Local\{*}) do rd /s /q "%f" CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Karolina\AppData\Local CMD: dir /a C:\Users\Karolina\AppData\LocalLow CMD: dir /a C:\Users\Karolina\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus i NoScript trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Niestety Fix w FRST się nie wykonał. Otwórz Fixlog w Notatniku i porównaj z moim postem co się stało. Problem w tym, że przy przeklejaniu skleiły się wszystkie linie - przypuszczalnie używałeś przeglądarki Internet Explorer (zanotowałam tu na forum niepożądane akcje z przejściem do nowej linii). Powtarzaj zadanie, czyli punkt 1 oraz 4. Do przeklejania ze strony forum do Notatnika użyj Firefox.

Owszem, system jest zanieczyszczony: w systemie ładują się komponenty Bitcoin miner (Math Problem Solver) oraz adware - powinieneś notować wysokie obciążenie CPU. Ale to nie wydaje się w ogóle powiązane z problemem touchpad (prędzej zwraca uwagę oprogramowanie Synaptics). Ponadto, w Dzienniku zdarzeń są jednak adnotacje dotyczące uszkodzenia struktury plików dysku: [ System Events ] Error - 2014-12-03 16:26:29 | Computer Name = JOLCIA | Source = Ntfs | ID = 262199 Description = Struktura systemu plików na dysku jest uszkodzona i nie do użytku. Uruchom narzędzie chkdsk na woluminie C:. Na razie zaadresuj powyższy błąd i wyczyść system ze śmieci: 1. Dostosuj się do zaleceń z powyższego błędu: Start > Uruchom > cmd, wklep komendę chkdsk /f /r, zatwierdź deinstalację woluminu i zresetuj system. 2. Przez Dodaj/Usuń programy odinstaluj: AVG SafeGuard toolbar, Math Problem Solver, McAfee Security Scan Plus, webget, WindowsMangerProtect20.0.0.502. Jeśli dwie ostatnie pozycje nie będą widoczne, nie szkodzi, dokończy je punkt 3. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: C:\WINDOWS\Tasks\ef9eb1df-f680-4256-a623-cf0a11590988-1.job => C:\Program Files\Apps Hat\Apps Hat-codedownloader.exe Task: C:\WINDOWS\Tasks\ef9eb1df-f680-4256-a623-cf0a11590988-11.job => C:\Program Files\Apps Hat\ef9eb1df-f680-4256-a623-cf0a11590988-11.exe Task: C:\WINDOWS\Tasks\ef9eb1df-f680-4256-a623-cf0a11590988-2.job => C:\Program Files\Apps Hat\ef9eb1df-f680-4256-a623-cf0a11590988-2.exe Task: C:\WINDOWS\Tasks\ef9eb1df-f680-4256-a623-cf0a11590988-4.job => C:\Program Files\Apps Hat\ef9eb1df-f680-4256-a623-cf0a11590988-4.exe Task: C:\WINDOWS\Tasks\ef9eb1df-f680-4256-a623-cf0a11590988-5.job => C:\Program Files\Apps Hat\ef9eb1df-f680-4256-a623-cf0a11590988-5.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\Math Problem Solver CPU.job => C:\Documents and Settings\Jola\Ustawienia lokalne\Dane aplikacji\Math Problem Solver\cpu\Solve.exe S2 globalUpdate; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-08-08] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-08-08] (globalUpdate) [File not signed] S2 IePluginServices; C:\Documents and Settings\All Users\Dane aplikacji\IePluginServices\PluginService.exe -service [X] S3 AndNetDiag; system32\DRIVERS\lgandnetdiag.sys [X] S3 ANDNetModem; system32\DRIVERS\lgandnetmodem.sys [X] S3 andnetndis; system32\DRIVERS\lgandnetndis.sys [X] S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X] S3 UIUSys; system32\DRIVERS\UIUSYS.SYS [X] CustomCLSID: HKU\S-1-5-21-1123561945-688789844-1177238915-1003_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Documents and Settings\Jola\Dane aplikacji\GG\ggdrive\ggdrive-menu.dll No File HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1407519251&from=smt&uid=ST9120822AS_5LZ73PF1XXXX5LZ73PF1&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1407519251&from=smt&uid=ST9120822AS_5LZ73PF1XXXX5LZ73PF1&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1407519251&from=smt&uid=ST9120822AS_5LZ73PF1XXXX5LZ73PF1 SearchScopes: HKU\S-1-5-21-1123561945-688789844-1177238915-1003 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={0A7F35EA-6833-46D8-AE55-8C008304445C}&mid=Unknown&lang=pl&ds=gm011&coid=avgtbdisgm&cmpid=&pr=sa&d=2014-02-10 11:18:03&v=18.1.9.799&pid=safeguard&sg=&sap=dsp&q={searchTerms} Toolbar: HKU\S-1-5-21-1123561945-688789844-1177238915-1003 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File FF HKLM\...\Firefox\Extensions: [avg@toolbar] - C:\Documents and Settings\All Users\Dane aplikacji\AVG SafeGuard toolbar\FireFoxExt\18.1.9.799 FF Plugin: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\18.1.9\\npsitesafety.dll No File FF Plugin: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF Plugin: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\safeguard-secure-search.xml C:\Documents and Settings\All Users\Dane aplikacji\AVG SafeGuard toolbar C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_0814tb C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_1114tb C:\Documents and Settings\All Users\Dane aplikacji\IePluginServices C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect C:\Documents and Settings\Jola\Dane aplikacji\AVG SafeGuard toolbar C:\Documents and Settings\Jola\Dane aplikacji\istartsurf C:\Documents and Settings\Jola\Ustawienia lokalne\Dane aplikacji\Math Problem Solver C:\Program Files\AVG Security Toolbar C:\Program Files\globalUpdate Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webget /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WindowsMangerProtect /f CMD: dir /a "C:\Documents and Settings\Jola\Ustawienia lokalne\Dane aplikacji" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Specjalny skrót Internet Explorer jest uszkodzony: Shortcut: C:\Documents and Settings\Jola\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Documents and Settings\Jola\Menu Start\Programy\Akcesoria\Narzędzia systemowe i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy notujesz jakieś zmiany. ,

Na temat używania ComboFix: KLIK. Log już zostaw, by było wiadomo co robił. Zasady działu: KLIK. Czyli: proszę opisać skąd tu koncepcja "rootkita" (co go pokazuje) oraz dostarczyć wszystkie obowiązujące logi (FRST, OTL i GMER). Logi mają być w postaci załączników forum a nie wklejane w poście.

W podanych raportach mało co widać: autoryzacje Sality w zaporze, lekko lecz niecałkowicie naruszony klucz Trybu awaryjnego, drobnostka adware na liście zainstalowanych i szczątkowe foldery po odinstalowanych aplikacjach. Korekty pod tym kątem - otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="" S3 ioloService; E:\Program Files\SafePCRepair\ioloToolService.exe [X] S3 MSICDSetup; \??\F:\CDriver.sys [X] E:\Documents and Settings\All Users\Application Data\iolo E:\Documents and Settings\All Users\Application Data\ParetoLogic E:\Documents and Settings\Jesse Pinkman\Application Data\NapiProjekt E:\Documents and Settings\Jesse Pinkman\Application Data\ParetoLogic E:\Documents and Settings\Jesse Pinkman\Local Settings\Application Data\iolo E:\Program Files\Free Window Registry Repair Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Mindspark SafePCRepair" /f CMD: netsh firewall reset CMD: dir /a C:\ CMD: dir /a E:\ CMD: dir /a F:\ CMD: dir /a G:\ EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Sality atakuje wszystkie dyski (włącznie z zewnętrznymi), które były obecne podczas infekcji. Tu nie jest wiadome gdzie zostały zmodyfikowane pliki, ani czy ArcaBit + SalityKiller na pewno usunęły wszystkie załążki wirusa. Żadne logi nie są niestety odpowiednie do oceny sprawy. Do weryfikacji stanu rzeczy może służyć tylko i wyłącznie antywirus - każda partycja skanowana z osobna. Jeśli po prowadzonym leczeniu nadal występuje błąd, oznacza to trwałe uszkodzenie i aplikacja musi być przeinstalowana od zera z nowego instalatora. W raportach widzę nadal komponenty tej aplikacji - czy była tu już reinstalacja? Shortcut: E:\Documents and Settings\Jesse Pinkman\Start Menu\Programs\1-click run\Euro Truck Simulator 2 v1.5.2.1s with Going East DLC\Euro Truck Simulator 2.lnk -> E:\2-click run\Euro Truck Simulator 2 v1.5.2.1s with Going East DLC\bin\win_x86\eurotrucks2.exe (SCS Software) Shortcut: E:\Documents and Settings\Jesse Pinkman\My Documents\Euro Truck Simulator 2\readme.rtf.lnk -> E:\Program Files\Euro Truck Simulator 2\readme.rtf (No File) Shortcut: E:\Documents and Settings\Jesse Pinkman\My Documents\Euro Truck Simulator 2\music\Shortcut to Luxtorpeda.lnk -> F:\Muzyka\Luxtorpeda () Shortcut: E:\Documents and Settings\Jesse Pinkman\Desktop\Shortcut to eurotrucks2.lnk -> E:\2-click run\Euro Truck Simulator 2 v1.5.2.1s with Going East DLC\bin\win_x86\eurotrucks2.exe (SCS Software) Shortcut: E:\Documents and Settings\Jesse Pinkman\Desktop\Copy of Euro Truck Simulator 2\readme.rtf.lnk -> E:\Program Files\Euro Truck Simulator 2\readme.rtf (No File) Shortcut: E:\Documents and Settings\Jesse Pinkman\Desktop\Copy of Euro Truck Simulator 2\music\Shortcut to Luxtorpeda.lnk -> F:\Muzyka\Luxtorpeda () .