Skocz do zawartości

picasso

Administratorzy
 Pokaż profil  Zobacz aktywność

  • Postów

    36 524

  • Dołączył

  • Ostatnia wizyta

 Typ zawartości 

Treść opublikowana przez picasso

  1. picasso
    Z raportu FRST nic nie wynika. Spróbuj cofnąć cały rejestr wstecz do ostatniej pomyślnej daty bootowania (czyli dwa dni przed założeniem tematu). FRST cofając rejestr robi kopię bieżącej wersji, więc w razie czego i tak można wszystko odkręcić. Do Notatnika wklej tę komendę: LastRegBack: 2014-11-16 23:18 Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść na pendrive J:\ tam skąd uruchamiany jest FRST. Uruchom FRST i kliknij w Fix. Na pendrive powstanie plik fixlog.txt - przedstaw go. I sprawdź czy jesteś w stanie uruchomić Windows.
  2. picasso
    Start > w polu szukania wpisz eventvwr.msc > uruchom
  3. picasso
    Jak mówiłam, Fix stosowany trzy razy, pierwszy nie mój, drugie podejście to był mój Fix i przetworzył te rzeczy, których nie zadano na innym forum, a trzeci raz uruchomienie mojego Fix bez sensu (skrypt jest jednorazowy). Na przyszłość: zakładasz temat w jednym miejscu i oczekujesz na zakończenie zadań, następnie zakładasz temat na drugim forum i podajesz świeże dane po wykonaniu wszystkich operacji, informujesz obie strony o topikach, by się pomocnicy nie nadziali na takie niespodzianki i głowili o co chodzi z "not found" w Fixach. I jeszcze wymagane drobne poprawki. Otwórz Notatnik i wklej w nim: CHR HKU\S-1-5-21-4031139651-2253220957-3423017622-1000\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-4031139651-2253220957-3423017622-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-4031139651-2253220957-3423017622-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f RemoveDirectory: C:\Users\Kamil\Doctor Web RemoveDirectory: C:\Users\Kamil\Downloads\backups DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .
  4. picasso
    Brak oznak infekcji. Temat przenoszę, wstępnie do działu Windows, choć nie wykluczony dział sprzętowy. W raportach brak oznak replikacji, czy odpalania innych kopii niż systemowe, a jedyny znak pasujący do opisu, to ten oto rekord z Dziennika zdarzeń: Application errors: ================== Error: (11/29/2014 06:37:30 PM) (Source: Winlogon) (EventID: 4005) (User: ) Description: Proces usługi logowania systemu Windows został nieoczekiwanie zakończony. Jest tu problem z wydajnością, toteż proponuję rozpocząć od wykluczenia oprogramowania zabezpieczającego jako przyczyny, tzn. COMODO Internet Security + Avast. W ramach testu odinstaluj oba (i nie instaluj na razie żadych zamienników), pograj i podaj czy widzisz zmiany.
  5. picasso
    Jaki błąd? 1. Pierwsza sprawa, w Dzienniku zdarzeń jest dużo błędów pokazujących problem uszkodzeń bazy Windows Update: Z poziomu Trybu awaryjnego zmień nazwę katalogu C:\Windows\SoftwareDistribution na C:\Windows\SoftwareDistribution.old. Następnie wykonaj sprawdzanie dysku pod kątem błędów: Start > w polu szukania wpisz cmd > w oknie wklej komendę i ENTER: chkdsk /f /r Zatwierdź uruchomienie przy następnym starcie i resetuj system, by checkdisk wykonał pracę. Wynik zostanie nagrany w Dzienniku zdarzeń w gałęzi Aplikacja w postaci rekordu z Wininit. Pobierz szczegóły tego rekordu, skopiuj i wklej do posta statystyki. 2. Skoro jest różnica między trybami, proponuję wykonać również deinstalację tego programu, który jest bardzo rozbudowany (dużo usług / sterowników), a nie ładuje się w Trybie awaryjnym. Odinstaluj Norton 360, o ile to możliwe z poziomu Trybu awaryjnego. Jeśli awykonalne, to zastosuj narzędzie Norton Removal Tool. Sprawdź czy jesteś w stanie wejść w Tryb normalny. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa pliki. Na podstawie nowych raportów będzie dalsze czyszczenie systemu, bo jest więcej do korekty, ale na razie chodzi tu o odblokowanie startu Windows. I nie edytuj już pierwszego posta. Nowe dane w nowym poście.
  6. picasso
    Uruchomiłeś linię komend na zbyt niskich uprawnieniach, co widać po lokalizacji pliku C:\Users\Maciek\sfc.txt. Owszem, poprzednio nie podałam elewacji uprawnień, bo siedziałeś w Trybie awaryjnym (konto administratorskie nie idzie przez UAC). Ale już to samo z poziomu Trybu normalnego wymaga: Start > w polu szukania wpisz cmd > z prawoliku Uruchom jako Administrator > w oknie wklej komendę i ENTER Czy Ty w ogóle pobrałeś program z linka? Masz pobrać program, rozpakować, uruchomić i wtedy wdrożyć podane instrukcje. .
  7. picasso
    Podałeś mi tylko jeden plik, czyli Addition. Mówiłam "log główny + Addition", czyli dwa pliki dostarcz: FRST.txt + Addition.txt.
  8. picasso
    Otwórz plik Fixlog i popatrz co tam jest! Przeklejając z posta do Notatnika zepsułeś cały format skryptu, przepuściłeś go przez translator przeglądarki! Angielskie słowa zamienione na polskie, ścieżki rozbite (spacje) i nic nie zostało wykonane z punktu 1. Jeśli przeglądarka pyta "czy tłumaczyć stronę", nie wolno tego zrobić tu na polskim forum, gdzie jest podawany skrypt, bo to niszczy skrypt. Przykład, wpis adware: S2 Update Techgile; "C:\Program Files (x86)\Techgile\updateTechgile.exe" [X] ... został "przetłumaczony" jako (takie wejście nie istnieje w systemie): S2 Aktualizacja Techgile; "C: \ Program Files (x86) \ Techgile \ updateTechgile.exe" [X] Do powtórki cały punkt numer 1, a po tym nowy log FRST zrób (bez Addition i Shortcut). .
  9. picasso
    Był używany ComboFix i na ten temat: KLIK. Po edycji tematu nadal brakuje dwóch raportów: FRST Shortcut oraz GMER. Odpowiadasz mi już w nowym poście, nie edytuj pierwszego: Opisz bliżej problemy "programy dziwnie działają, w przeglądarkach otwierają się reklamy", czyli dokładnie co to znaczy "dziwnie" oraz jakie reklamy (adresy) i w których przeglądarkach (we wszystkich, czy tylko wybranej). W podanych raportach nie widać żadnych oznak infekcji, więc opisz co widzisz i gdzie, gdyż pomoże mi to szukać przyczyny. Wstępnie na razie doczyść system z różnych odpadkowych wpisów po odinstalowanych programach: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 ezGOSvc; C:\Windows\SysWOW64\ezGOSvc.dll [80256 2011-06-11] () NETSVC: ezGOSvc -> C:\Windows\SysWOW64\ezGOSvc.dll () HKU\S-1-5-18\...\Run: [bitdefender Wallet Agent] => "C:\Program Files\Bitdefender\Bitdefender\pmbxag.exe" HKU\S-1-5-18\...\Run: [bitdefender Wallet] => "C:\Program Files\Bitdefender\Bitdefender\pwdmanui.exe" --hidden --nowizard HKU\S-1-5-18\...\Run: [bitdefender Wallet Application Agent] => "C:\Program Files\Bitdefender\Bitdefender\antispam32\bdapppassmgr.exe" ShellIconOverlayIdentifiers: [__SafeBox1] -> {152C96EB-288E-4EDC-B7C6-D21F8250ADF3} => No File ShellIconOverlayIdentifiers: [__SafeBox2] -> {342DAA0B-D796-460D-8566-901E08A1CCAD} => No File ShellIconOverlayIdentifiers: [__SafeBox3] -> {57595DAE-1AE1-4D97-A49E-67CBB53B52DF} => No File ShellIconOverlayIdentifiers: [__SafeBox4] -> {33816773-98AE-4723-ADE0-EBE54C8B5A67} => No File BootExecute: autocheck autochk * URLSearchHook: HKU\S-1-5-21-3549357173-1526242869-3047463242-1000 - (No Name) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - No File URLSearchHook: HKU\S-1-5-21-3549357173-1526242869-3047463242-1000 - (No Name) - {51a86bb3-6602-4c85-92a5-130ee4864f13} - No File SearchScopes: HKU\S-1-5-21-3549357173-1526242869-3047463242-1000 -> {6F7460B9-15FD-4C8A-A706-449DBAB5DF1E} URL = http://search.avg.com/route/?d=4de22af3&v=7.4.22.4&i=26&tp=chrome&q={searchTerms}&lng={language}&iy=&ychte=us Toolbar: HKU\S-1-5-21-3549357173-1526242869-3047463242-1000 -> No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No File DPF: HKLM-x32 {644E432F-49D3-41A1-8DD5-E099162EEEC5} http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab Handler: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\system32\urlmon.dll (Microsoft Corporation) Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File FF HKLM\...\Firefox\Extensions: [{C1CA7765-44E4-452e-9D00-A04F3D434281}] - FF HKLM\...\Thunderbird\Extensions: [bdThunderbird@bitdefender.com] - C:\Program Files\Bitdefender\Bitdefender\bdtbext FF HKLM-x32\...\Firefox\Extensions: [{C1CA7765-44E4-452e-9D00-A04F3D434281}] - FF HKLM-x32\...\Firefox\Extensions: [{3252b9ae-c69a-4eaf-9502-dc9c1f6c009e}] - C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DMExtension FF HKLM-x32\...\Firefox\Extensions: [ffpwdman@bitdefender.com] - C:\Program Files\Bitdefender\Bitdefender\Antispam32\ffpwdman FF HKLM-x32\...\Thunderbird\Extensions: [bdThunderbird@bitdefender.com] - C:\Program Files\Bitdefender\Bitdefender\bdtbext CHR HKLM-x32\...\Chrome\Extension: [ccahoghmggldkcdjiebjkidpfongdfbl] - C:\Program Files\Bitdefender\Bitdefender\Antispam32\pmbxcr.crx [] CHR HKLM-x32\...\Chrome\Extension: [naipdapbimiiikbbgjcpbgmfhnlbagpj] - C:\Users\Admin\AppData\Local\Temp\naipdapbimiiikbbgjcpbgmfhnlbagpj.crx [] FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw.dll No File FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll No File U4 bdselfpr; No ImagePath S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 Prot6Flt; system32\DRIVERS\Prot6Flt.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" AlternateDataStreams: C:\Users\Admin\Downloads\avg_free_x64_all_2015_5577a8546.exe:BDU AlternateDataStreams: C:\Users\Admin\Downloads\ccsetup419.exe:BDU AlternateDataStreams: C:\Users\Admin\Downloads\kss12.0.1.340_pl.exe:BDU AlternateDataStreams: C:\Users\Admin\Downloads\mbam-setup-2.0.3.1025.exe:BDU AlternateDataStreams: C:\Users\Admin\Downloads\msert.exe:BDU AlternateDataStreams: C:\Users\Admin\Downloads\RSIT.exe:BDU C:\Program Files (x86)\mozilla firefox\plugins C:\Program Files\Bitdefender C:\ProgramData\*.bdinstall.bin C:\ProgramData\TEMP C:\Users\Admin\AppData\Local\Avg2015 C:\Users\Admin\AppData\Roaming\AVG C:\Users\Admin\AppData\Roaming\AVG2013 C:\Users\Admin\AppData\Roaming\Bitdefender C:\Users\Admin\AppData\Roaming\FreeVideoConverter C:\Users\Admin\AppData\Roaming\QuickScan C:\Users\Admin\AppData\Roaming\TuneUp Software C:\Users\Admin\Downloads\AdwCleaner_*.exe C:\Users\Admin\Downloads\OTL*.exe C:\Windows\SysWOW64\ezGOSvc.dll Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: sc config "Mobile Broadband. RunOuc" start= disabled CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Są tu szczątki niepoprawnie odinstalowanego BitDefendera. Część z nich usuwana powyższym skryptem. Przejdź w Tryb awaryjny Windows i zastosuj narzędzie BitDefender Uninstall Tool (Consumer) (wybierz stosowną edycję, która była w komputerze). 3. Przejdź z powrotem w Tryb normalny i zrób nowy log FRST z opcji Scan (bez Addition, ale zaznacz Shortcut, by powstał brakujący log) + zaległy GMER. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). .
  10. picasso
    Skoro post już wysłałeś na forum, to jest publiczny i nie jest ukrywany, gdy go edytujesz, tylko że edycję mogę zobaczyć dopiero wtedy, gdy ją zatwierdzisz. Oglądałam temat sprzed edycji. Log z GMER nic nie zmienia, wszystkie komentarze i instrukcje nadal aktualne.
  11. picasso
    Nadal brakuje raportu z GMER. W międzyczasie został doinstalowany Avast - proszę nie podejmuj działań innych niż zalecone w temacie, wszystko ma uzasadnioną kolejność i nie można nic przestawiać, ani sobie dodawać. Instalacje antywirusów to ostatnia rzecz, która miała tu być wykonana, na szarym końcu po naprawieniu systemu, jego wyczyszczeniu oraz aktualizacji. Na dodatek problemem jest "lagujący komp" - instalacja inwazyjnego antywirusa zaciemnia sprawę i nie wiadomo czy zalecenia pomogły / coś się poprawiło, bo instalacja AV może obniżyć wydajność / oszukać wyniki operacji. Kolejna porcja instrukcji: 1. Nie zostały odinstalowane te dziurawe starocie (niebezpieczne wersje / luki): Adobe Flash Player 10 Plugin, Adobe Flash Player ActiveX, Adobe Reader 9.3.2 - Polish, Java™ 6 Update 31, Java 7 Update 21, OpenOffice.org 3.2. Do wykonania. Najnowsze bezpieczne wersje będą instalowane na samym końcu, nie teraz, gdy system jest czyszczony ze śmieci. Proponuję też od razu wywalić stare Gadu-Gadu 10 (ciężki, zawalone reklamami połowa funkcji i tak już nie działa) - potem do zamiany najnowszym GG (lżejsze, mniej reklam) lub inną alternatywą. 2. Nie ma oznak wykonania poniższego działania. Do wdrożenia. 3. Dopiero po wykonaniu powyższych działań. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: E:\WINDOWS\Tasks\Qzfkkxzk.job => ? NETSVC: wnrstcjq -> E:\WINDOWS\system32\lxkxx.dll ==> No File. S2 wnrstcjq; E:\WINDOWS\system32\lxkxx.dll [X] S3 clwvd; system32\DRIVERS\clwvd.sys [X] HKLM\...\Run: [YouCam Service] => "E:\Program Files\CyberLink\YouCam\YouCamService.exe" /s HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKU\S-1-5-21-1645522239-602162358-725345543-1004\...\Run: [ares] => "E:\Program Files\Ares\Ares.exe" -h HKU\S-1-5-21-1645522239-602162358-725345543-1004\...\Run: [iLivid] => "E:\Documents and Settings\monik\Ustawienia lokalne\Dane aplikacji\iLivid\iLivid.exe" -autorun HKU\S-1-5-21-1645522239-602162358-725345543-1004\...\Policies\Explorer: [NoDriveAutoRun] 0xFFFFFFFF IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browsemngr.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browsermngr.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\bundlesweetimsetup.exe: [Debugger] tasklist.exe IFEO\cltmngsvc.exe: [Debugger] tasklist.exe IFEO\delta babylon.exe: [Debugger] tasklist.exe IFEO\delta tb.exe: [Debugger] tasklist.exe IFEO\delta2.exe: [Debugger] tasklist.exe IFEO\deltainstaller.exe: [Debugger] tasklist.exe IFEO\deltasetup.exe: [Debugger] tasklist.exe IFEO\deltatb.exe: [Debugger] tasklist.exe IFEO\deltatb_2501-c733154b.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\iminentsetup.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\rjatydimofu.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\sweetimsetup.exe: [Debugger] tasklist.exe IFEO\tbdelta.exetoolbar783881609.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe HKLM\...\AppCertDlls: [x64] -> e:\program files\movies toolbar\datamngr\x64\apcrtldr.dll ShortcutWithArgument: E:\Documents and Settings\monik\Menu Start\Programy\Internet Explorer.lnk -> E:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD1600BEKT-60F3T1_WD-WXC0A89R6959R6959&ts=1361694440 ShortcutWithArgument: E:\Documents and Settings\monik\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> E:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD1600BEKT-60F3T1_WD-WXC0A89R6959R6959&ts=1361694440 HKU\S-1-5-21-1645522239-602162358-725345543-1004\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141123 HKU\S-1-5-21-1645522239-602162358-725345543-1004\Software\Microsoft\Internet Explorer\Main,Search Bar = http://dts.search.ask.com/sidebar.html?src=ssb&gct=ds&appid=429&systemid=406 HKU\S-1-5-21-1645522239-602162358-725345543-1004\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie HKU\S-1-5-21-1645522239-602162358-725345543-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.22find.com/newtab?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD1600BEKT-60F3T1_WD-WXC0A89R6959R6959&ts=1361694455 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.22find.com/newtab?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD1600BEKT-60F3T1_WD-WXC0A89R6959R6959&ts=1361694455 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141123 URLSearchHook: HKU\S-1-5-21-1645522239-602162358-725345543-1004 - (No Name) - {D8278076-BC68-4484-9233-6E7F1628B56C} - No File HKU\S-1-5-21-1645522239-602162358-725345543-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction BHO: Searchqu Toolbar -> {99079a25-328f-4bd4-be04-00955acaa0a7} -> E:\Program Files\Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll () BHO: No Name -> {d1dac034-9fd9-4c13-a388-d2e10e57707f} -> No File Toolbar: HKLM - Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - E:\Program Files\Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll () Toolbar: HKLM - No Name - {d1dac034-9fd9-4c13-a388-d2e10e57707f} - No File Toolbar: HKU\S-1-5-21-1645522239-602162358-725345543-1004 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File CustomCLSID: HKU\S-1-5-21-1645522239-602162358-725345543-1004_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> E:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-1645522239-602162358-725345543-1004_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> E:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-1645522239-602162358-725345543-1004_Classes\CLSID\{66E8DCC7-97D2-4A89-8E08-D0610FF0878C}\InprocServer32 -> E:\Documents and Settings\monik\Ustawienia lokalne\Dane aplikacji\Conduit\Community Alerts\Alert.dll (ClientConnect Ltd.) CustomCLSID: HKU\S-1-5-21-1645522239-602162358-725345543-1004_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> E:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CHR HKLM\...\Chrome\Extension: [clbfjfbnelcflpgpklppgplejolacbej] - E:\Program Files\BrowserCompanion\blabbers-ch.crx [2011-12-22] CHR HKLM\...\Chrome\Extension: [ijblflkdjdopkpdgllkmlbgcffjbnfda] - E:\Documents and Settings\monik\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\newtab.crx [2014-11-29] CHR HKLM\...\Chrome\Extension: [jinihaffgdhejchgkogpfkdmpldnmnji] - E:\Documents and Settings\monik\Ustawienia lokalne\Dane aplikacji\CRE\jinihaffgdhejchgkogpfkdmpldnmnji.crx [2012-09-20] CHR HKLM\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - E:\Program Files\Skype\Toolbars\Skype for Chromium\skype_chrome_extension.crx [2012-05-30] DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab E:\Documents and Settings\All Users\Dane aplikacji\AlawarWrapper E:\Documents and Settings\All Users\Dane aplikacji\APN E:\Documents and Settings\All Users\Dane aplikacji\Applications E:\Documents and Settings\All Users\Dane aplikacji\ashampoo E:\Documents and Settings\All Users\Dane aplikacji\Ask E:\Documents and Settings\All Users\Dane aplikacji\Babylon E:\Documents and Settings\All Users\Dane aplikacji\boost_interprocess E:\Documents and Settings\All Users\Dane aplikacji\FarmFrenzy-PizzaParty E:\Documents and Settings\All Users\Dane aplikacji\IM E:\Documents and Settings\All Users\Dane aplikacji\IncrediMail E:\Documents and Settings\All Users\Dane aplikacji\install_clap E:\Documents and Settings\All Users\Dane aplikacji\NFS Underground Demo E:\Documents and Settings\All Users\Dane aplikacji\Temp E:\Documents and Settings\All Users\Dane aplikacji\UDL E:\Documents and Settings\All Users\Dane aplikacji\Wincert E:\Documents and Settings\All Users\Menu Start\Programy\AIMP2 E:\Documents and Settings\monik\Dane aplikacji\Ashampoo E:\Documents and Settings\monik\Dane aplikacji\AIMP E:\Documents and Settings\monik\Dane aplikacji\Audacity E:\Documents and Settings\monik\Dane aplikacji\Babylon E:\Documents and Settings\monik\Dane aplikacji\BabylonToolbar E:\Documents and Settings\monik\Dane aplikacji\Desk 365 E:\Documents and Settings\monik\Dane aplikacji\Dropbox E:\Documents and Settings\monik\Dane aplikacji\Mozilla E:\Documents and Settings\monik\Dane aplikacji\OpenCandy E:\Documents and Settings\monik\Dane aplikacji\Opera E:\Documents and Settings\monik\Dane aplikacji\PriceGong E:\Documents and Settings\monik\Dane aplikacji\searchquband E:\Documents and Settings\monik\Dane aplikacji\searchqutoolbar E:\Documents and Settings\monik\Dane aplikacji\Thinstall E:\Documents and Settings\monik\Dane aplikacji\WebcamMax E:\Documents and Settings\monik\Pulpit\*(*)-dp*.exe E:\Documents and Settings\monik\Pulpit\Nieużywane skróty pulpitu E:\Documents and Settings\monik\Menu Start\AQQ.lnk E:\Documents and Settings\monik\Menu Start\Programy\Counter-Strike 1.6 E:\Documents and Settings\monik\Menu Start\Programy\FoxTab Music Converter E:\Documents and Settings\monik\Menu Start\Programy\TurboZIP E:\Documents and Settings\monik\Menu Start\Programy\WapSter E:\Documents and Settings\monik\SendTo\AQQ.lnk E:\Documents and Settings\monik\Ustawienia lokalne\Dane aplikacji\Conduit E:\Documents and Settings\monik\Ustawienia lokalne\Dane aplikacji\CRE E:\Documents and Settings\monik\Ustawienia lokalne\Dane aplikacji\Torch E:\Documents and Settings\monik\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Local Storage\*localstorage* E:\Program Files\BrowserCompanion E:\Program Files\Desk 365 E:\Program Files\Mozilla Firefox E:\Program Files\Opera E:\Program Files\Searchqu Toolbar E:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension E:\WINDOWS\pss\OpenOffice.org 3.2.lnkStartup E:\WINDOWS\system32\npDeployJava1.dll Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\E:^Documents and Settings^monik^Menu Start^Programy^Autostart^OpenOffice.org 3.2.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AQQ" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\avgnt" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DWQueuedReporting" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg add "HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command" /ve /t REG_SZ /d "\"E:\Program Files\Internet Explorer\iexplore.exe"" /f CMD: netsh firewall reset CMD: dir /a "E:\Program Files" CMD: dir /a "E:\Documents and Settings\All Users\Dane aplikacji" CMD: dir /a "E:\Documents and Settings\All Users\Menu Start\Programy" CMD: dir /a "E:\Documents and Settings\monik\Dane aplikacji" CMD: dir /a "E:\Documents and Settings\monik\Menu Start\Programy" CMD: dir /a "E:\Documents and Settings\monik\Ustawienia lokalne\Dane aplikacji" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pole Addition, by powstały dwa logi) + zaległy GMER. Dołącz też plik fixlog.txt. .
  12. picasso
    W oknie GMER jako "podejrzany" stoi po po prostu moduł dysku GG, to nie jest tu problemem. ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll (GG Network S.A.) Problemem zasadniczym jest adware Techgile wmontowane do Google Chrome. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 Update Techgile; "C:\Program Files (x86)\Techgile\updateTechgile.exe" [X] HKLM-x32\...\Run: [ROC_roc_ssl_v12] => "C:\Program Files (x86)\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 HKU\S-1-5-21-2184118066-859118458-687225370-1000\...\Run: [AVG-Secure-Search-Update_1213b] => C:\Users\Robert\AppData\Roaming\AVG 1213b Campaign\AVG-Secure-Search-Update-1213b.exe /PROMPT /mid=54e62f3abf8d47d0be1cd1543b71c18b-1308d3c63c742bcf262aec552d1bdcca5b3be4c5 /CMPID=1213b ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-2184118066-859118458-687225370-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=156 HKU\S-1-5-21-2184118066-859118458-687225370-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKU\S-1-5-21-2184118066-859118458-687225370-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie SearchScopes: HKU\S-1-5-21-2184118066-859118458-687225370-1000 -> DefaultScope {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} SearchScopes: HKU\S-1-5-21-2184118066-859118458-687225370-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear SearchScopes: HKU\S-1-5-21-2184118066-859118458-687225370-1000 -> {C68463FC-2E20-492D-B129-C09640278F6B} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=D75B0CE9-6D33-4FF2-9E58-9DFAE6ED907E&apn_sauid=EB10D1E6-E5BE-4D94-BED6-8341C01F8202 SearchScopes: HKU\S-1-5-21-2184118066-859118458-687225370-1000 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} BHO: AVG Safe Search -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -> C:\Program Files (x86)\AVG\AVG2012\avgssiea.dll No File BHO-x32: AVG Safe Search -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -> C:\Program Files (x86)\AVG\AVG2012\avgssie.dll No File Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files (x86)\AVG\AVG2012\avgpp.dll No File CustomCLSID: HKU\S-1-5-21-2184118066-859118458-687225370-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Robert\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2184118066-859118458-687225370-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Robert\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2184118066-859118458-687225370-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Robert\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2184118066-859118458-687225370-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Robert\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File C:\ProgramData\AVAST Software C:\Users\Robert\AppData\Local\Avg2014 C:\Users\Robert\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Robert\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Robert\AppData\Roaming\Mozilla C:\Users\Robert\AppData\Roaming\TuneUp Software C:\Users\Default\AppData\Roaming\TuneUp Software C:\Users\Robert\Desktop\*_Sciagnij.pl.exe Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Robert\AppData\Local CMD: dir /a C:\Users\Robert\AppData\LocalLow CMD: dir /a C:\Users\Robert\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Techgile. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy wyszukiwarkę Ask. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Powiedz mi też co jest w folderze C:\AVAST. .
  13. picasso

    Problem z programami

    picasso odpowiedział(a) na adic8 temat w Windows 7

    Temat przenoszę do działu Windows. Nie jest to problem infekcji. Był używany tu na 100% ComboFix (charakterystyczne modyfikacje, niektóre błędnie wykonane, bo ComboFix nie jest wolny od bugów) - na przyszłość: KLIK. W spoilerze tylko drobne korekty na wpisy szczątkowe, co nie ma związku ze zgłoszonymi problemami: Te objawy prędzej pasują do rejestracji wadliwego modułu / rozszerzenia powłoki. Dziennik zdarzeń jest bardzo enigmatyczny i nie wskazuje konkretów (jako moduł przyczynowy stoi biblioteka Windows, co zwykle nie jest przyczyną): Application errors: ================== Error: (11/29/2014 02:10:19 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: Explorer.exe, wersja: 6.1.7601.17567, sygnatura czasowa: 0x4d672ee4 Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.18247, sygnatura czasowa: 0x521eaf24 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x00000000000542e0 Identyfikator procesu powodującego błąd: 0x1470 Godzina uruchomienia aplikacji powodującej błąd: 0xExplorer.exe0 Ścieżka aplikacji powodującej błąd: Explorer.exe1 Ścieżka modułu powodującego błąd: Explorer.exe2 Identyfikator raportu: Explorer.exe3 Error: (11/29/2014 02:09:26 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: Explorer.EXE, wersja: 6.1.7601.17567, sygnatura czasowa: 0x4d672ee4 Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.18247, sygnatura czasowa: 0x521eaf24 Kod wyjątku: 0xc0000374 Przesunięcie błędu: 0x00000000000c4102 Identyfikator procesu powodującego błąd: 0x7d4 Godzina uruchomienia aplikacji powodującej błąd: 0xExplorer.EXE0 Ścieżka aplikacji powodującej błąd: Explorer.EXE1 Ścieżka modułu powodującego błąd: Explorer.EXE2 Identyfikator raportu: Explorer.EXE3 Error: (11/29/2014 01:47:18 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: hpConnectionManager.exe, wersja: 4.0.45.1, sygnatura czasowa: 0x4d5af464 Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.18247, sygnatura czasowa: 0x521eaf24 Kod wyjątku: 0xc0000374 Przesunięcie błędu: 0x00000000000c4102 Identyfikator procesu powodującego błąd: 0x1880 Godzina uruchomienia aplikacji powodującej błąd: 0xhpConnectionManager.exe0 Ścieżka aplikacji powodującej błąd: hpConnectionManager.exe1 Ścieżka modułu powodującego błąd: hpConnectionManager.exe2 Identyfikator raportu: hpConnectionManager.exe3 Error: (11/29/2014 01:41:22 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: POWERPNT.EXE, wersja: 14.0.6009.1000, sygnatura czasowa: 0x4cc1a4db Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.18247, sygnatura czasowa: 0x521eaf24 Kod wyjątku: 0xc0000374 Przesunięcie błędu: 0x00000000000c4102 Identyfikator procesu powodującego błąd: 0x798 Godzina uruchomienia aplikacji powodującej błąd: 0xPOWERPNT.EXE0 Ścieżka aplikacji powodującej błąd: POWERPNT.EXE1 Ścieżka modułu powodującego błąd: POWERPNT.EXE2 Identyfikator raportu: POWERPNT.EXE3 Dostarcz log z ShellExView x64. CTRL+A, by zaznaczyć wszystkie wpisy w oknie > klik w ikonkę dyskietki, by zapisać log w formacie TXT. Wstępnie: 1. Wyłącz ze startu kilka wpisów, by stwierdzić czy wnosi to coś do sprawy. W Autoruns odfajkuj następujące pozycje: - W karcie Logon: Adobe ARM, Facebook Update, Skype - W karcie Services: AdobeARMservice, Autodesk Content Service, c2cautoupdatesvc, c2cpnrsvc, SkypeUpdate. Zresetuj system. 2. Do wykonania testowa deinstalacja AVG. Niestety oprogramowanie zabezpieczające to rozbudowany układ serwisów / sterowników i przy problemach z dłuższym startem jeden z głównych podejrzanych. A deinstalacja, gdyż proste wyłączanie w opcjach nie znosi aktywności wszystkich elementów startowych. W systemie nie ma pasującej instalacji Adobe Flash. Na liście zainstalowanych są pozycje: ==================== Installed Programs ====================== Adobe Flash Player 15 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 15.0.0.239 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 16 PPAPI (HKLM-x32\...\Adobe Flash Player PPAPI) (Version: 16.0.0.233 - Adobe Systems Incorporated) ----> wtyczka dla Opera vs. 2014-11-05 16:26 - 2014-11-25 11:29 - 00000000 ____D () C:\Users\Ola\AppData\Local\OpenFM 2014-11-05 16:26 - 2014-11-05 16:26 - 00000000 ____D () C:\Users\Ola\AppData\Roaming\OpenFM 2014-11-05 16:26 - 2014-11-05 16:26 - 00000000 ____D () C:\Users\Ola\AppData\Roaming\Mozilla OpenFM chodzi na silniku Mozilla i potrzebuje innej wersji Adobe Flash (typu NPAPI): KLIK. Instalator powinien zamontować trzecią pozycję Adobe Flash Player 15 Plugin (wersja 15.0.0.239) - wersja ta jest używana przez Firefox (w systemie go nie ma, ale instalacje wtyczek są robione "na zapas") oraz alternatywnie Operę (w Operze po instalacji wejdź do spisu wtyczek i wyłącz tę wtyczkę NPAPI, bo dwie równolegle czynne wtyczki Adobe Flash mogą prowadzić do konfliktów). .
  14. picasso
    Kończymy: 1. Usuń ręcznie pobrane skanery z C:\Users\Laura\Desktop\narzedzia. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To tyle.
  15. picasso
    Bonus, logi OTL zrobione przed wykonaniem czynności podanych wyżej, więc po ich wykonaniu trzeba będzie zrobić nowe logi OTL i jak mówię FRST oraz GMER.
  16. picasso
    1. Jeszcze jedna poprawka. Nie zauważyłam, że Lenovo Solution Center został odinstalowany i pozostały po nim martwe wpisy. Do Notatnika wklej: Task: {1D6112A4-D025-4415-B959-CAFE35AAB555} - System32\Tasks\Lenovo\LSC\Time72Task => C:\Program Files\Lenovo\Lenovo Solution Center\App\LSCService.exe Task: {B5CEAA3D-E177-4E6B-B399-893894A31BD3} - System32\Tasks\Lenovo\LSC\RebootCountTask => C:\Program Files\Lenovo\Lenovo Solution Center\App\LSCService.exe Task: {DA2C0C92-3376-4472-9198-1FD1082073DD} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe C:\Users\Laura\AppData\Local\LSC C:\Users\Laura\AppData\Roaming\LSC C:\Windows\System32\Tasks\Lenovo\LSC RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner ponownie, tym razem zastosuj sekwencję Szukaj, a po tym Usuń. Dostarcz log AdwCleanerS0.txt.
  17. picasso
    Co to konkretnie oznacza, że aplikacje OTL i GMER nie chcą się włączyć? Jaki błąd? Objaśnij to. Problemów jest kilka: multum instalacji adware oraz rozwalony system Usług kryptograficznych Windows (masowy odczyt [File not signed] na wszystkich usługach i sterownikach Microsoftu). Ponadto, mam do czynienia z dziurawym niezabezpieczonym systemem, stan SP2 i IE6 (!): Platform: Microsoft Windows XP Home Edition Dodatek Service Pack 2 (X86) OS Language: Polski Internet Explorer Version 6 Działania wstępne: 1. Rozpocznij od poprawnych deinstalacji via Dodaj/Usuń programy: - Adware / niepożądane aplikacje oraz zbędniki: Ask Toolbar, Babylon toolbar on IE, BrowserCompanion, CheckRun22find_uninstaller, Desk 365, gry Toolbar, iLivid, IncrediMail MediaBar 2 Toolbar, Movies Toolbar for Chrome (Dist. by Bandoo Media, Inc.), Movies Toolbar for Internet Explorer (Dist. by Bandoo Media, Inc.), Qtrax Player, Searchqu Toolbar, Smart File Advisor 1.1.3, Torch - Stare aplikacje: Adobe Flash Player 10 Plugin, Adobe Flash Player ActiveX, Adobe Reader 9.3.2 - Polish, Java™ 6 Update 31, Java 7 Update 21, Malwarebytes Anti-Malware wersja 1.60.1.1000, OpenOffice.org 3.2, Opera 12.02 Dodatkowo, via Menu Start odinstaluj Alcohol, a następnie zastosuj SPTDinst, by przygotować podłoże do uruchomienia GMER: KLIK. 2. Uruchom narzędzie Fix It 50202 (zaznacz tryb agresywny): KLIK. To narzędzie działa na XP, a tryb agresywny resetuje bazę Usług kryptograficznych. 3. Zrób nowy log FRST z opcji Scan, ponownie zaznacz pola Addition i Shortcut, by powstały trzy logi. Potrzebny także log z GMER, by zdiagnozować na okoliczność infekcji ukrytych. Na podstawie nowych raportów będzie dalsze czyszczenie systemu. .
  18. picasso
    Wszystkie operacje udane. Poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\New Folder C:\Program Files (x86)\Opera C:\ProgramData\374311380 C:\ProgramData\AlawarWrapper C:\ProgramData\Temp C:\Users\Laura\AppData\Local\AlawarWrapper C:\Users\Laura\AppData\Local\Opera Software C:\Users\Laura\AppData\Local\Pay-By-Ads RemoveDirectory: C:\MATS RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Laura\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner. .
  19. picasso
    1. W raporcie FRST nie ma oznak wykonania tej operacji, do wdrożenia: 2. Inne mini poprawki. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKU\S-1-5-21-1868939083-3434912627-837075443-1003\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete HKU\S-1-5-21-1868939083-3434912627-837075443-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKU\S-1-5-21-1868939083-3434912627-837075443-1003\Software\Microsoft\Windows\CurrentVersion\Run /f Reg: reg delete HKU\S-1-5-21-1868939083-3434912627-837075443-1003_Classes\CLSID /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\Doctor Web DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 3. Jeśli chodzi o błąd explorer.exe, to podaj mi log z narzędzia ShellExView. CTRL+A, by zaznaczyć wszystkie wpisy w oknie > klik w ikonkę dyskietki, by zapisać log w formacie TXT. .
  20. picasso
    Post poprawiony, ale brakuje jeszcze logów z OTL i GMER. Dołącz je, a przejdę do analizy - już widzę conajmniej kilka problemów.
  21. picasso
    + [Detected Flags] 1.| Possible CryptoWall Flag , HKCU\Software\4125720CC7C6E93FDA9DBCBDC8553232\22335589ABBCCDDD Niestety nie mam dobrych wieści. To infekcja CryptoWall - odszyfrowanie danych jest niemożliwe. Listę zaszyfrowanych plików, z którymi już raczej należy się pożegnać, poda narzędzie ListCWall. Jeśli chodzi o ostatnią linijkę i "Shadow Volume Copies" (tyczy tylko dysku dla którego była czynna ochrona, czyli C) - to odpada jako metoda odzyskiwania, gdyż brak tu jakichkolwiek punktów Przywracania systemu (w logu Addition puściutko). Ta infekcja zresztą pierwsze co robi to kasuje kopie cieniowe, by odciąć tę metodę odzyskiwania. Niestety w Twojej sytuacji jedyna ewentualna droga odzyskiwania danych to użycie narzędzi do odzyskiwania danych w rodzaju TestDisk, tylko jest tu problem: Infekcja miała miejsce kilka miesięcy temu, od tego czasu na dysku były liczne operacje zapisu (aktywność samego Windows per se, instalacje programów, usuwanie infekcji skanerami) sukcesywnie odcinające możliwość odzyskiwania danych. Odzyskiwanie danych z dysku, z którego skasowano dane, wymaga całkowitego zablokowania dysku (to oznacza wyłączenie komputera i nie uruchamianie nic z tego dysku) i wykonanie kopii posektorowej. Tu jest już za późno. Widzę, że próbowałaś już narzędzi typu Advanced Disk Recovery, Ashampoo Undeleter, Active@ UNDELETE Freeware - i tu został popełniony kolejny podstawowy błąd, tzn. narzędzi do odzyskiwania danych nie wolno instalować na dysku, z którego ma być ewentualne odzyskiwanie danych, bo każda instalacja to kolejne nadpisywanie miejsc. Obawiam się, że tu nawet narzędzia do odzyskiwania danych nic już nie zdziałają i utrata danych jest pełna, dysk był zbyt długo na chodzie, były na nim liczne operacje zapisu. Nie jestem w stanie pomóc w tej kwestii. Osobna sprawa to stan Twojego systemu - nie jest czysty i trzeba wykonać dodatkowe działania usunięcia wpisów infekcji ze startu, różnych pustych wpisów oraz niebezpiecznych dziurawych wersji aplikacji (jedna z dróg infekcji). Pod tym kątem przeprowadź następujące operacje: 1. Przez Panel sterowania odinstaluj stare niebezpieczne wersje Java™ 6 Update 22, Java 7 Update 9, Java 7 Update 45 (64-bit), Java SE Development Kit 7 Update 4 (64-bit), JavaFX 2.1.0, JavaFX 2.1.0 (64-bit), JavaFX 2.1.0 SDK, OpenOffice.org 3.3 oraz MyWinLocker Suite (liczne puste wpisy wskazujące na częściową deinstalację lub uszkodzenie aplikacji firmowej). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 MWLService; C:\Program Files (x86)\EgisTec MyWinLocker\x86\MWLService.exe [X] HKLM-x32\...\Run: [suiteTray] => "C:\Program Files (x86)\EgisTec MyWinLockerSuite\x86\SuiteTray.exe" HKLM-x32\...\Run: [EgisUpdate] => "C:\Program Files (x86)\EgisTec IPS\EgisUpdate.exe" -d HKLM-x32\...\Run: [EgisTecPMMUpdate] => "C:\Program Files (x86)\EgisTec IPS\PmmUpdate.exe" HKLM-x32\...\Run: [HCKUWinT32] => C:\Users\asik\AppData\Local\Temp\74423.exe HKLM-x32\...\Run: [updatesvc] => C:\Users\asik\AppData\Roaming\Microsoft\Windows\updater.exe HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Run: [EA Core] => "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Run: [HCKUWinT32] => C:\Users\asik\AppData\Local\Temp\74423.exe HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Run: [HCKUwinAPl32] => C:\Users\asik\AppData\Local\Temp\ctfmon HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Run: [HCKUWinLogon] => C:\Users\asik\AppData\Roaming\Microsoft\winapi32.exe HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Run: [umccmedia Update] => regsvr32.exe C:\Users\asik\AppData\Local\Umccmedia\ASMtwk215A.dll HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Run: [syshost32] => C:\Users\asik\AppData\Local\{A3F47E8A-1EAD-F243-09D3-8C87E77A94D2}\syshost.exe HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\MountPoints2: {33e86f50-201e-11e1-90a6-d027881e4eee} - I:\Setup.exe HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\MountPoints2: {3d46175b-4db9-11e1-9d9f-d027881e4eee} - K:\BSAutoRun.exe HKU\S-1-5-18\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-18\...\Policies\Explorer: [HideSCAHealth] 0 ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers-x32: [egisPSDP] -> {30A0A3F6-38AC-4C53-BB8B-0D95238E25BA} => C:\Program Files (x86)\EgisTec MyWinLocker\x86\psdprotect.dll No File SearchScopes: HKU\S-1-5-21-4115932480-3245688130-3507196491-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4115932480-3245688130-3507196491-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4115932480-3245688130-3507196491-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search?q={searchTerms} BHO: McAfee SiteAdvisor BHO -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> c:\PROGRA~2\mcafee\SITEAD~1\x64\mcieplg.dll No File BHO-x32: McAfee SiteAdvisor BHO -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll No File Toolbar: HKLM - McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~2\mcafee\SITEAD~1\x64\mcieplg.dll No File Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll No File Toolbar: HKLM-x32 - McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll No File Toolbar: HKLM-x32 - No Name - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No File Toolbar: HKU\S-1-5-21-4115932480-3245688130-3507196491-1000 -> No Name - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No File Toolbar: HKU\S-1-5-21-4115932480-3245688130-3507196491-1000 -> DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll No File Handler: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll No File Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll No File CustomCLSID: HKU\S-1-5-21-4115932480-3245688130-3507196491-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\asik\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File Task: {1BCBA46A-4328-4A44-B751-879F7AC109E0} - System32\Tasks\{EE67A2B4-EF83-4D53-A14B-23538328CAAF} => C:\Users\asik\Downloads\ChomikBox\Homefront.Repack-Gardzij.exe Task: {52BB55E6-DE09-4ECE-B435-0DB2215DB008} - System32\Tasks\{790DABDA-1D19-4121-9339-D3AF0655B2AE} => C:\Users\asik\Downloads\ChomikBox\Homefront.Repack-Gardzij.exe Task: {5B3E48EB-E352-4C77-A9B0-AC9A49089186} - System32\Tasks\{D3977E4B-72C3-4075-BDDF-868EF0CB8253} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.367&LastError=404 CHR HKLM-x32\...\Chrome\Extension: [lpoimibckejjdjcfbdnajaicnklhfplh] - https://chrome.google.com/webstore/detail/lpoimibckejjdjcfbdnajaicnklhfplh [2014-07-14] CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx [2012-08-29] FF HKLM-x32\...\Firefox\Extensions: [{B7082FAA-CB62-4872-9106-E42DD88EDE45}] - C:\Program Files (x86)\McAfee\SiteAdvisor FF HKLM-x32\...\Firefox\Extensions: [{23fcfd51-4958-4f00-80a3-ae97e717ed8b}] - C:\Program Files (x86)\DivX\DivX Plus Web Player\firefox\DivXHTML5 FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File C:\Program Files (x86)\mozilla firefox\plugins C:\Users\asik\scan_results C:\Users\asik\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\asik\Downloads\*(*)-dp*.exe C:\Windows\SysWOW64\sho*.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. W Google Chrome: - Ustawienia > karta Rozszerzenia > odinstaluj odpadek po McAfee SiteAdvisor - Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .
  22. picasso
    Multum obiektów adware w systemie, a liczba sterowników adware aktywnie ładowana jest ogłuszająca. Wdróż te działania: 1. Deinstalacje: - Przez Panel sterowania odinstaluj adware SmarterPower, WindowsMangerProtect20.0.0.722. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis po McAfee Shared C Run-time for x64 > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {06b330c2-0607-4547-8f68-86805edbaa23}Gw64; C:\Windows\System32\drivers\{06b330c2-0607-4547-8f68-86805edbaa23}Gw64.sys [48792 2014-10-17] (StdLib) R1 {24616444-765b-4b21-a0d9-3f0c17b29bfe}w64; C:\Windows\System32\drivers\{24616444-765b-4b21-a0d9-3f0c17b29bfe}w64.sys [48832 2014-11-29] (StdLib) R1 {2f1ed632-8cc1-4969-916a-211c6b0412c1}Gw64; C:\Windows\System32\drivers\{2f1ed632-8cc1-4969-916a-211c6b0412c1}Gw64.sys [48792 2014-10-13] (StdLib) R1 {397e3208-0393-47ca-9748-370b27e14021}Gw64; C:\Windows\System32\drivers\{397e3208-0393-47ca-9748-370b27e14021}Gw64.sys [48792 2014-10-19] (StdLib) R1 {4059f7a9-d023-4137-a1c8-01f0f6fe6110}Gw64; C:\Windows\System32\drivers\{4059f7a9-d023-4137-a1c8-01f0f6fe6110}Gw64.sys [48792 2014-10-19] (StdLib) R1 {4b6b588f-fe6d-43d5-96e6-6583434569cd}Gw64; C:\Windows\System32\drivers\{4b6b588f-fe6d-43d5-96e6-6583434569cd}Gw64.sys [48792 2014-10-15] (StdLib) R1 {5eeb83d0-96ea-4249-942c-beead6847053}Gw64; C:\Windows\System32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw64.sys [44696 2014-09-16] (StdLib) R1 {651e31c1-db10-434b-a173-a9b0e6a15ce0}Gw64; C:\Windows\System32\drivers\{651e31c1-db10-434b-a173-a9b0e6a15ce0}Gw64.sys [48792 2014-10-21] (StdLib) R1 {807699ff-a8ae-4ba9-8010-fe7f44646ff9}Gw64; C:\Windows\System32\drivers\{807699ff-a8ae-4ba9-8010-fe7f44646ff9}Gw64.sys [48792 2014-10-17] (StdLib) R1 {b52a596e-357b-4007-9a88-5592a17b1be9}Gw64; C:\Windows\System32\drivers\{b52a596e-357b-4007-9a88-5592a17b1be9}Gw64.sys [48792 2014-10-12] (StdLib) R1 {b6d2616c-64d9-4cf8-b476-cbd886546a36}Gw64; C:\Windows\System32\drivers\{b6d2616c-64d9-4cf8-b476-cbd886546a36}Gw64.sys [48792 2014-10-16] (StdLib) R1 {bf167862-9559-4b38-94c6-2e5edae3632c}Gw64; C:\Windows\System32\drivers\{bf167862-9559-4b38-94c6-2e5edae3632c}Gw64.sys [48792 2014-10-11] (StdLib) R1 {e168bb47-74a7-440b-bf7d-d17153007d6b}Gw64; C:\Windows\System32\drivers\{e168bb47-74a7-440b-bf7d-d17153007d6b}Gw64.sys [48792 2014-10-11] (StdLib) R1 {efa349b9-003c-4506-9e55-957c1cff853c}Gw64; C:\Windows\System32\drivers\{efa349b9-003c-4506-9e55-957c1cff853c}Gw64.sys [48792 2014-10-23] (StdLib) R1 {efa349b9-003c-4506-9e55-957c1cff853c}w64; C:\Windows\System32\drivers\{efa349b9-003c-4506-9e55-957c1cff853c}w64.sys [48832 2014-11-11] (StdLib) R1 {fa50efa5-2c2a-4d8c-b58d-b9548ceccd2b}Gw64; C:\Windows\System32\drivers\{fa50efa5-2c2a-4d8c-b58d-b9548ceccd2b}Gw64.sys [48792 2014-10-10] (StdLib) R1 {fc8e6a5c-9413-4b64-b2fd-0aad0e9e50eb}Gw64; C:\Windows\System32\drivers\{fc8e6a5c-9413-4b64-b2fd-0aad0e9e50eb}Gw64.sys [48792 2014-10-17] (StdLib) R1 {fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}Gw64; C:\Windows\System32\drivers\{fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}Gw64.sys [48792 2014-10-13] (StdLib) R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [715656 2014-09-16] (Cherished Technololgy LIMITED) R2 MaintainerSvc7.71.837357; C:\ProgramData\66d59f5c-9429-4c86-9f63-c339daeaabaf\maintainer.exe [123680 2014-11-29] () R2 Update SmarterPower; C:\Program Files (x86)\SmarterPower\updateSmarterPower.exe [525600 2014-11-29] () R2 Util SmarterPower; C:\Program Files (x86)\SmarterPower\bin\utilSmarterPower.exe [525600 2014-11-29] () R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [528896 2014-09-16] (Fuyu LIMITED) [File not signed] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1410849486&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9DD832937&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1410849486&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9DD832937&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1410849486&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9DD832937&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1410849486&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9DD832937&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1410849486&from=cor&uid=ST1000LM024XHN-M101MBB_S2SMJ9DD832937 BHO-x32: SmarterPower 1.0.0.4 -> {bd7c9b62-a7d9-4405-be51-7fd633f08791} -> C:\Program Files (x86)\SmarterPower\SmarterPowerBHO.dll (SmarterPower) CustomCLSID: HKU\S-1-5-21-3068575985-1883321796-1181531582-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Laura\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File ShellIconOverlayIdentifiers: [sugarSyncBackedUp] -> {0C4A258A-3F3B-4FFF-80A7-9B3BEC139472} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File ShellIconOverlayIdentifiers: [sugarSyncPending] -> {62CCD8E3-9C21-41E1-B55E-1E26DFC68511} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File ShellIconOverlayIdentifiers: [sugarSyncRoot] -> {A759AFF6-5851-457D-A540-F4ECED148351} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File ShellIconOverlayIdentifiers: [sugarSyncShared] -> {1574C9EF-7D58-488F-B358-8B78C1538F51} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey Winlogon\Notify\igfxcui: igfxdev.dll [X] HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" C:\Program Files (x86)\SmarterPower C:\ProgramData\66d59f5c-9429-4c86-9f63-c339daeaabaf C:\ProgramData\IePluginServices C:\ProgramData\AVAST Software C:\ProgramData\McAfee C:\ProgramData\WindowsMangerProtect C:\Users\Laura\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Laura\AppData\Roaming\eCyber C:\Users\Laura\AppData\Roaming\Opera Software C:\Users\Laura\AppData\Roaming\WebExtend C:\Windows\System32\drivers\{06b330c2-0607-4547-8f68-86805edbaa23}Gw64.sys C:\Windows\System32\drivers\{24616444-765b-4b21-a0d9-3f0c17b29bfe}w64.sys C:\Windows\System32\drivers\{2f1ed632-8cc1-4969-916a-211c6b0412c1}Gw64.sys C:\Windows\System32\drivers\{397e3208-0393-47ca-9748-370b27e14021}Gw64.sys C:\Windows\System32\drivers\{4059f7a9-d023-4137-a1c8-01f0f6fe6110}Gw64.sys C:\Windows\System32\drivers\{4b6b588f-fe6d-43d5-96e6-6583434569cd}Gw64.sys C:\Windows\System32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw64.sys C:\Windows\System32\drivers\{651e31c1-db10-434b-a173-a9b0e6a15ce0}Gw64.sys C:\Windows\System32\drivers\{807699ff-a8ae-4ba9-8010-fe7f44646ff9}Gw64.sys C:\Windows\System32\drivers\{b52a596e-357b-4007-9a88-5592a17b1be9}Gw64.sys C:\Windows\System32\drivers\{b6d2616c-64d9-4cf8-b476-cbd886546a36}Gw64.sys C:\Windows\System32\drivers\{bf167862-9559-4b38-94c6-2e5edae3632c}Gw64.sys C:\Windows\System32\drivers\{e168bb47-74a7-440b-bf7d-d17153007d6b}Gw64.sys C:\Windows\System32\drivers\{efa349b9-003c-4506-9e55-957c1cff853c}Gw64.sys C:\Windows\System32\drivers\{efa349b9-003c-4506-9e55-957c1cff853c}w64.sys C:\Windows\System32\drivers\{fa50efa5-2c2a-4d8c-b58d-b9548ceccd2b}Gw64.sys C:\Windows\System32\drivers\{fc8e6a5c-9413-4b64-b2fd-0aad0e9e50eb}Gw64.sys C:\Windows\System32\drivers\{fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}Gw64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v mcui_exe /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Laura\AppData\Local CMD: dir /a C:\Users\Laura\AppData\LocalLow CMD: dir /a C:\Users\Laura\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .
  23. picasso
    W systemie są wprawdzie odpadki Bitcoin minera (co wyjaśniałoby wysokie obciążenie i "wycie"), ale to obiekt już nie ładowany, więc objawy nie są wynikiem infekcji. W Dzienniku zdarzeń jest powtarzający się błąd sugerujący trop sprzętowy: System errors: ============= Error: (11/29/2014 02:45:51 PM) (Source: atapi) (EventID: 11) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Ide\IdePort0. Temat przenoszę do działu Hardware na dalszą diagnostykę. Wymagane inne dane: KLIK. PS. O niektórych pozycjach należy zapomnieć raz na zawsze. Ad-Aware SE Personal to archaizm sprzed wielu lat i dziś w ogóle nieużytkowy, a RegClean-Pro to niepożądany program (klasyfikacja "PUP", reklamiarz i mało wiarygodne wyniki)! W spoilerze doczyszczanie systemu ze śmieci oraz wyłączenie usługi nVidia produkującej poniższe błędy: Application errors: ================== Error: (11/29/2014 02:11:15 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcNvVAD initialization failed [6] Error: (11/29/2014 02:11:15 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0] .
  24. picasso
    baobei, proszę podać konkretne dane wymagane działem, czyli obowiązkowe logi: KLIK. Dodatkowo, skoro jest tu problem z zaszyfrowanymi danymi proszę o odczyt z narzędzia ID Tool, który ma wbudowaną identyfikację infekcji szyfrujących. Owszem, może się okazać, że dane są niemożliwe do odszyfrowania. Obecnie grasują infekcje, które generują klucze dekrypcji na serwerach malware, w oparciu o mocne algorytmy szyfrowania, hasła są nie do złamania. Na razie nie wiadomo o jakim typie infekcji tu mowa.
  25. picasso
    Istotnie, są tu wysoce niepożądane elementy adware zainstalowane, które jak najbardziej mogą wyjaśniać obniżenie wydajności. Akcja: 1. Przez Panel sterowania odinstaluj adware Hold Page, Interenet Optimizer, sweet-page uninstall. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64; C:\Windows\System32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64.sys [48784 2014-10-08] (StdLib) R1 {f0087990-17d0-4537-ad91-6a7a9c5c1b37}Gw64; C:\Windows\System32\drivers\{f0087990-17d0-4537-ad91-6a7a9c5c1b37}Gw64.sys [48776 2014-11-27] (StdLib) R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [705416 2014-09-24] (Cherished Technololgy LIMITED) R2 Update Hold Page; C:\Program Files (x86)\Hold Page\updateHoldPage.exe [525552 2014-11-28] () R2 Util Hold Page; C:\Program Files (x86)\Hold Page\bin\utilHoldPage.exe [525552 2014-11-28] () AppInit_DLLs: C:\PROGRA~3\INTERE~1\INTERE~2.DLL => C:\ProgramData\Interenet Optimizer\InterenetOptimizer_x64.dll [4302848 2014-11-22] () AppInit_DLLs-x32: c:\progra~3\intere~1\intere~1.dll => c:\ProgramData\Interenet Optimizer\InterenetOptimizer.dll [4125696 2014-11-22] () ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX ShortcutWithArgument: C:\Users\Filip komp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX ShortcutWithArgument: C:\Users\Filip komp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX ShortcutWithArgument: C:\Users\Filip komp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX HKU\S-1-5-21-1183563886-1740424818-487961910-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1412781012&from=cor&uid=HGSTXHTS545050A7E680_TE85134NJP3L4RJP3L4RX&q={searchTerms} SearchScopes: HKU\S-1-5-21-1183563886-1740424818-487961910-1001 -> DefaultScope {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} SearchScopes: HKU\S-1-5-21-1183563886-1740424818-487961910-1001 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\SupTab\SupTab.dll (Thinknice Co. Limited) BHO-x32: Hold Page 1.0.0.4 -> {6c14185e-4de6-4a79-985b-19f23fd1e638} -> C:\Program Files (x86)\Hold Page\HoldPagebho.dll (Hold Page) C:\Program Files (x86)\Hold Page C:\Program Files (x86)\SupTab C:\ProgramData\374311380 C:\ProgramData\IePluginServices C:\ProgramData\Interenet Optimizer C:\Users\Filip komp\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Filip komp\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\Filip komp\AppData\Roaming\SupTab C:\Users\Filip komp\AppData\Roaming\sweet-page C:\Users\Filip komp\Downloads\need-for-speed-most-wanted*.exe C:\Windows\System32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64.sys C:\Windows\System32\drivers\{f0087990-17d0-4537-ad91-6a7a9c5c1b37}Gw64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Filip komp\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Filip komp\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a "C:\Users\Filip komp\AppData\Local" CMD: dir /a "C:\Users\Filip komp\AppData\LocalLow" CMD: dir /a "C:\Users\Filip komp\AppData\Roaming" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .
×
×
  • Dodaj nową pozycję...