picasso

Skoro RARy mogą iść na ubój, to czemu nie, spróbuj czy ich usunięcie przyśpieszy pracę checkdisk. Wiem o tym, wszystko mam od dawna w logach (precyzyjny podział głównego dysku twardego w FRST Addition + lista dodatkowa w USBFix). Ten podział nie ma znaczenia w przypadku infekcji w wykonalnych typu Sality. Sality atakuje wszystkie partycje i dyski, które były dostępne w trakcie inicjacji i trwania infekcji. Dla bezpieczeństwa musisz przeskanować wszystkie partycje (nawet jeśli SalityKiller niektóre wcześniej obrabiał). Wystarczy jeden plik z genem Sality pozostawiony gdzieś na dysku i przypadkowo uruchomiony, a infekcja rozpocznie są od nowa i wszystkie wcześniej podjęte działania stracą sens. Szybkość skanu zależy też od zawartości partycji. I czy na pewno obliczenia wstępne się pokrywają z przelicznikiem już po uruchomieniu skanu? .

Tryb awaryjny chodzi poprawnie, toteż zainteresuj się deinstalacją oprogramowania zabezpieczającego, czyli tu ESET Smart Security + MBAM (ten ostatni doinstalowany dzień przed założeniem tematu), bo to główna różnica między trybami, a typ programów pasuje do efektu. Z tym że: - Zacznij od deinstalacji MBAM (bo świeżo dostawiony), ale nie pamiętam na czym jest oparty jego instalator i czy da się to zrobić z poziomu awaryjnego. - ESET jest oparty na Instalatorze Windows i domyślnie nie jest możliwa deinstalacja z poziomu awaryjnego (nie działa usługa Instalatora). W takim przypadku do wykorzystania ESET Uninstaller.

Zastosuj DelFix, a co nie zostanie usunięte ręcznie dokończ. I na koniec zaktualizuj Windows, bo stan obecny to brak SP1, IE11 i reszty łat: Platform: Windows 7 Ultimate (X64) OS Language: Polski (Polska) Internet Explorer Version 8

W systemie są trzy tradycyjne konta: ========================= Accounts: ========================== Administrator (S-1-5-21-1243414327-560936753-16861620-500 - Administrator - Disabled) => C:\Users\Administrator Gość (S-1-5-21-1243414327-560936753-16861620-501 - Limited - Disabled) PC (S-1-5-21-1243414327-560936753-16861620-1000 - Administrator - Enabled) => C:\Users\PC Natomiast w kluczy ProfileList jest więcej obiektów, które wyglądają jak odpadki / szczątkowe konta, a taki typ produkuje efekt "Innego użytkownika". Otwórz Notatnik i wklej w nim: Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1243414327-560936753-16861620-1001" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1243414327-560936753-16861620-1002" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1243414327-560936753-16861620-1003" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1243414327-560936753-16861620-1004" /f Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart systemu. Przedstaw wynikowy plik fixlog.txt i potwierdź, że "Inny użytkownik" zniknął z ekranu logowania. .

Logi z DDS nie są obowiązkowe, usuwam. Temat przenoszę do działu Windows. Oznak infekcji wirusami / trojanami brak, jest tu owszem w systemie niepożądany obiekt typu PUP, czyli niejaki "Przyśpiesz komputer", plus adware PriceGong, ale wątpliwe by produkowały objawy. Tu się rysuje przyczyna systemowa, katastrofalny poziom wolnego miejsca na dysku systemowym, 1GB z hakiem: ==================== Drives ================================ Drive c: (OS) (Fixed) (Total:58.22 GB) (Free:1.76 GB) NTFS ==>[Drive with boot components (obtained from BCD)] Drive d: (DATA) (Fixed) (Total:160.02 GB) (Free:77.86 GB) NTFS Musi zostać zwolniona większa ilość miejsca na dysku. Ponadto, jest to komputer ASUS z preintegrowanymi aplikacjami, w tym problematycznym Asus WebStorage. Wstępnie: 1. Rozpocznij od deinstalacji wymienionych wyżej delikwentów, starych wersji oraz zbędnych programów ASUS preintegrowanych przez producenta. Tu cała lista czego można się pozbyć: ==================== Installed Programs ====================== Acrobat.com (Version: 1.6.65 - Adobe Systems Incorporated) Adobe AIR (Version: 2.5.1.17730 - Adobe Systems Inc.) Adobe Flash Player 12 ActiveX (Version: 12.0.0.77 - Adobe Systems Incorporated) Adobe Flash Player 15 Plugin (Version: 15.0.0.152 - Adobe Systems Incorporated) Adobe Reader X (10.1.11) (Version: 10.1.11 - Adobe Systems Incorporated) Adobe Shockwave Player 11.5 (Version: 11.5.9.615 - Adobe Systems, Inc.) Akamai NetSession Interface (Version: - Akamai Technologies, Inc) ASUS AP Bank (Version: 1.0.0.0 - ASUSTEK) ----> podsuwanie ofert trial ASUS FancyStart (Version: 1.0.6 - ASUSTeK Computer Inc.) ----> wymiana grafiki ekranu bootowania ASUS LifeFrame3 (Version: 3.0.20 - ASUS) ----> zrzuter ekranu / edytor powiązany z kamerą ASUS Live Update (Version: 2.5.9 - ASUS) ----> autoaktualizacja sterów/BIOS ASUS MultiFrame (Version: 1.0.0019 - ASUS) ----> system dzielenia okien ASUS Power4Gear Hybrid (Version: 1.1.24 - ASUS) ----> tweaker zasilania ASUS SmartLogon (Version: 1.0.0007 - ASUS) ----> logowanie do komputera za pomocą rozpoznawania twarzy ASUS Splendid Video Enhancement Technology (Version: 1.02.0028 - ASUS) ----> "poprawianie" jakości obrazu ASUS Virtual Camera (Version: 1.0.17 - asus) ----> dostęp więcej niż jednej aplikacji równolegle do kamery Asus WebStorage (Version: 2.0.31.477 - eCareme Technologies, Inc.) ----> wirtualny dysk w chmurze, produkuje problemy w eksploratorze Asystent rejestracji usługi Windows Live (Version: 5.000.818.6 - Microsoft Corporation) CyberLink Power2Go (Version: 6.1.2713 - CyberLink Corp.) Fast Boot (Version: 1.0.4 - ASUS) ----> menedżer startowy ASUS ffdshow v1.2.4486 [2012-08-25] (Version: 1.2.4486.0 - ) Java 7 Update 9 (Version: 7.0.90 - Oracle) Narzędzie do przekazywania usługi Windows Live (Version: 14.0.8014.1029 - Microsoft Corporation) Podstawowe programy Windows Live (Version: 14.0.8117.0416 - Microsoft Corporation) PriceGong 2.6.8 (Version: 2.6.8 - PriceGong) Przyspiesz Komputer (Version: 3.6.6.0 - Speedchecker Limited) Windows Live Sync (Version: 14.0.8117.416 - Microsoft Corporation) Windows Media Player Firefox Plugin (Version: 1.0.0.8 - Microsoft Corp) Omiń te pozycje ASUS, z których korzystasz. 2. Po deinstalacjach: - W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware PriceGong (o ile nadal będzie widoczne po głównej deinstalacji). - W Operze w pasku adresów wklep opera:plugins i ENTER. Wyłącz wtyczki Google, Microsoft, Real i VideoLAN. Następnie z poziomu Opery zainstaluj najnowszą wersję Adobe Flash: KLIK. - Specjalny skrór IE jest uszkodzony. W pasku adresów eksploratora wklej ścieżkę C:\Users\Agata\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Mozilla\Firefox\Extensions" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f HKU\S-1-5-21-2125692971-86071360-3323723947-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.com/spbasic.htm CHR HKLM-x32\...\Chrome\Extension: [bkomkajifikmkfnjgphkjcfeepbnojok] - C:\Program Files (x86)\PriceGong\2.6.8\pricegong.crx [2012-10-21] C:\Program Files (x86)\Przyspiesz Komputer C:\Program Files (x86)\PriceGong C:\Users\Agata\AppData\Roaming\Crash Reports C:\Users\Agata\AppData\Roaming\driver C:\Users\Agata\AppData\Roaming\EurekaLog C:\Users\Agata\AppData\Roaming\NetMedia Providers C:\Users\Agata\AppData\Roaming\OpenCandy C:\Users\Agata\AppData\Roaming\Opera RemoveDirectory: C:\FRST\Quarantine EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt Po deinstalacjach i czyszczeniu Temp + Przywracania systemu powinno się zwolnić nieco miejsca na dysku, ale wątpię, by było różowo na dłuższą metę. To są działania doraźne, problem może wrócić. Niestety partycja przeznaczona na system 64-bit może być jednak za mała. .

Ten chkdsk trzeba zrobić, ale to na razie odsuńmy na dalszy plan. Nie jestem pewna czy dobrze rozumiem, to "14 godzin" tyczy checkdiska czy skanu Kaspersky Virus Removal Tool: Pokazujesz mi skan tylko z F, jak rozumiem skanowanie pozostałych partycji (C, D, I) jest nadal w planie, bo wszystkie dyski po kolei należy przeskanować. Tak, nawet jeśli SalityKiller był wcześniej używany na którejś z partycji. Jak mówiłam: tu na forum były tematy, w których po użyciu SalityKiller pełny skan antywirusowy wykonany na tym samym dysku i tak wykazał pliki Sality. Po to jest robiony skan innym skanerem teraz. Jeśli trwa długo, trudno, nie chcesz robić formatu, to wykaż cierpliwość. Pliki wykazane jako zainfekowane Kaspersky ma poddać leczeniu, a jeśli się nie uda, pliki są do wyrzucenia. Właścicie to nie trudziłabym się z leczeniem tych pokazanych tu w logu tylko od razu SHIFT+DEL (kasowanie z omijaniem Kosza), bo to głównie instalki, które na świeżo możesz sobie pobrać ponownie. .

Proszę czytaj uważniej instrukcje tworzenia raportów. W FRST opcja "Drivers MD5" nie miała być zaznaczona. Temat przenoszę do działu Windows. Tytułowy problem nie jest pochodną infekcji. 1. Zacznij od wyłączenia zbędnych elementów startowych. Uruchom Autoruns i odznacz następujące obiekty: ----> W karcie Services pozycje AdobeARMservice, c2cautoupdatesvc, c2cpnrsvc, hpqcxs08, hpqddsvc, HPSLPSVC, Net Driver HPZ12, PMBDeviceInfoProvider. ----> W karcie Logon poniżej zakreślone pozycje (szukasz nazwa w [nawiasach]): HKLM-x32\...\Run: [uCam_Menu] => C:\Program Files (x86)\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe [222504 2009-05-19] (CyberLink Corp.) HKLM-x32\...\Run: [iSUSScheduler] => C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe [81920 2004-06-16] (InstallShield Software Corporation) HKLM-x32\...\Run: [PMBVolumeWatcher] => C:\Program Files (x86)\Sony\PMB\PMBVolumeWatcher.exe [648032 2010-11-26] (Sony Corporation) HKLM-x32\...\Run: [HP Software Update] => C:\Program Files (x86)\HP\HP Software Update\HPWuSchd2.exe [49208 2011-05-10] (Hewlett-Packard) HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959176 2014-08-21] (Adobe Systems Incorporated) HKLM-x32\...\Run: [hpqSRMon] => C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSRMon.exe [150528 2008-07-22] (Hewlett-Packard) HKLM-x32\...\Run: [sunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [507776 2014-10-07] (Oracle Corporation) HKU\S-1-5-21-233006258-18527085-3623643150-1000\...\Run: [iSUSPM Startup] => C:\Program Files (x86)\Common Files\InstallShield\UpdateService\ISUSPM.exe [221184 2004-06-16] (InstallShield Software Corporation) Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk ----> W karcie Scheduled Tasks wszystkie zadania kierujące do "HP\Digital Imaging", "Samsung Update Plus", "Samsung Support Center", "Microsoft Office", "Common Files\Microsoft Shared", Nufsoft, Skype, Corel, Adobe Flash: ==================== Scheduled Tasks (whitelisted) ============= Task: {0EDBB0DE-F879-4DF5-82F4-DE68A0AB0BE2} - System32\Tasks\{6D57F10C-7C6F-47E9-AA40-25FA5112970E} => C:\Program Files (x86)\HP\Digital Imaging\bin\Hpqdirec.exe [2009-05-21] (Hewlett-Packard Company) Task: {1110BEC6-03EB-476F-AED1-AB363D9EF47A} - System32\Tasks\{502EDDC4-8358-4606-9FF6-7D8EF3B4A2CB} => C:\Program Files (x86)\HP\Digital Imaging\bin\Hpqdirec.exe [2009-05-21] (Hewlett-Packard Company) Task: {21A9FD56-5FA3-4564-9FAE-068A55177FF5} - System32\Tasks\{1B205510-0FC7-4854-A639-2277CA1D3BAF} => C:\Program Files (x86)\Skype\Phone\Skype.exe [2014-10-01] (Skype Technologies S.A.) Task: {424CA60A-2587-4BE4-B091-0399A26DBA40} - System32\Tasks\{34883709-96A0-4266-A8B1-36FF487DDA53} => C:\Program Files (x86)\HP\Digital Imaging\bin\Hpqdirec.exe [2009-05-21] (Hewlett-Packard Company) Task: {4C617067-C474-4A6D-A1DD-F0F59CE6F555} - System32\Tasks\{FF520B28-D09C-4329-9B51-8517F7A15021} => C:\Program Files (x86)\Microsoft Office\OFFICE11\POWERPNT.EXE [2011-04-20] (Microsoft Corporation) Task: {5BFA9C3D-3C3D-4516-8F77-D4A08EC02AF6} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2014-11-20] (Adobe Systems Incorporated) Task: {7105A300-27A0-46CE-9955-AA9820E31DF6} - System32\Tasks\{CD6345FD-ACE9-4A8D-AF8C-A2419552B51F} => C:\Program Files (x86)\Corel\Corel Graphics 12\Programs\CorelPP.exe [2004-06-10] (Corel Corporation) Task: {7DFF0858-6550-49BD-AC24-B7F7774D9A0F} - System32\Tasks\{DD28E022-F582-4FE4-9201-DAB6427BC1B7} => C:\Program Files (x86)\HP\Digital Imaging\bin\Hpqdirec.exe [2009-05-21] (Hewlett-Packard Company) Task: {82A03798-CC53-41FD-9DEE-7BC81EC9C476} - System32\Tasks\{5DA41BDA-2967-4AA0-A634-9A16BEB82369} => C:\Program Files (x86)\HP\Digital Imaging\bin\Hpqdirec.exe [2009-05-21] (Hewlett-Packard Company) Task: {8E5E464B-C465-405C-95D8-2482ADB87EDD} - System32\Tasks\{EED0292C-518C-4293-84E2-EAAED2BB3C80} => C:\Program Files (x86)\HP\Digital Imaging\bin\Hpqdirec.exe [2009-05-21] (Hewlett-Packard Company) Task: {90443662-86C8-4261-86BA-25CDBFBEA3F8} - System32\Tasks\{D2DDAA20-2561-4625-851C-CFF1BB87F5C3} => C:\Program Files (x86)\HP\Digital Imaging\bin\Hpqdirec.exe [2009-05-21] (Hewlett-Packard Company) Task: {9F8313F3-41C2-4772-AF77-B9EC08FE6145} - System32\Tasks\SUPBackground => C:\Program Files\Samsung\Samsung Update Plus\SUPBackground.exe Task: {A8351280-B4B1-4B3E-86D8-82EB8BAD9710} - System32\Tasks\SamsungSupportCenter => C:\Program Files (x86)\Samsung\Samsung Support Center\SSCKbdHk.exe [2010-05-06] (SAMSUNG Electronics) Task: {B1405C25-C651-4508-B8B1-60C384548FA7} - System32\Tasks\Microsoft\Windows\TabletPC\InputPersonalization => C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe [2009-07-14] (Microsoft Corporation) Task: {BA404A94-0207-4466-B7AA-9733A601BB76} - System32\Tasks\{5B2AEA1E-C42D-4DBB-A265-B36CE63A0BC8} => C:\Program Files (x86)\Microsoft Office\OFFICE11\POWERPNT.EXE [2011-04-20] (Microsoft Corporation) Task: {ED2DF751-B92E-4298-B757-CCDB92B25565} - System32\Tasks\{1D31D6CB-A908-40CF-9AAE-AF2AACD0947C} => C:\Program Files (x86)\Nufsoft\NatureStudio\NatureStudio.exe [2010-05-20] (Nufsoft) Task: {F262112D-53AD-43BC-AEBC-D1D1D40B93DC} - System32\Tasks\{F78A2664-E1A9-4B7E-8F72-CFF719347989} => C:\Program Files (x86)\HP\Digital Imaging\bin\Hpqdirec.exe [2009-05-21] (Hewlett-Packard Company) Task: {FF6554B1-DAA2-4D59-B45E-28835F1548C4} - System32\Tasks\{D74CF746-1014-4D2F-816B-CD2162E30EFD} => C:\Program Files (x86)\HP\Digital Imaging\bin\Hpqdirec.exe [2009-05-21] (Hewlett-Packard Company) Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe 2. Widzę w Dzienniku zdarzeń dodatkowy problem z jednym z dostawców cieniowania woluminu: Error: (11/17/2014 00:50:10 PM) (Source: VSS) (EventID: 8193) (User: ) Description: Błąd Usługi kopiowania woluminów w tle: nieoczekiwany błąd podczas wywoływania procedury CoCreateInstance. hr = 0x80040154, Klasa niezarejestrowana. Operacja: Tworzenie wystąpienia serwera VSS Error: (11/17/2014 00:50:10 PM) (Source: VSS) (EventID: 22) (User: ) Description: Błąd Usługi kopiowania woluminów w tle: Krytyczny składnik wymagany przez Usługę kopiowania woluminów w tle nie jest zarejestrowany. Mogło to nastąpić, jeżeli podczas instalacji systemu Windows lub dostawcy kopii w tle wystąpił błąd. Funkcja CoCreateInstance wykonywana na klasie z identyfikatorem CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} i nazwą IVssCoordinatorEx2 zwróciła błąd [0x80040154, Klasa niezarejestrowana.]. Operacja: Tworzenie wystąpienia serwera VSS Otwórz Notatnik i wklej w nim: Reg: reg export HKLM\SYSTEM\CurrentControlSet\services\VSS\Providers C:\Users\Agata\Desktop\Kopia.reg Reg: reg delete HKLM\SYSTEM\CurrentControlSet\services\VSS\Providers\{e579ab5f-1cc4-44b4-bed9-de0991ff0623} /f Reg: reg delete HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\gopher /f CMD: del /q C:\DelFix.txt Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Dodatkowo, na Pulpicie powstał plik Kopia.reg, zachowaj go. 3. Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. W sekcji Dzienniki zdarzeń systemu Windows z prawokliku wyczyść gałęzie Aplikacja i System. 4. Zresetuj system. Zrób nowy log FRST z opcji Scan, zaznacz ponownie Addition, natomiast Shortcut zbędny. Dołącz też plik fixlog.txt. Wypowiedz się czy są pozytywne zmiany. .

Lista sterowników zbudowana w oparciu o poniższy fragment (z pominięciem trzech, które już były publikowane ręcznie): 1. Otwórz Notatnik i wklej w nim: pnputil -a C:\Windows\WinSxS\amd64_1394.inf_31bf3856ad364e35_6.1.7600.16385_none_572448461f98f8b9\1394.inf pnputil -a C:\Windows\WinSxS\amd64_acpi.inf_31bf3856ad364e35_6.1.7600.16385_none_7e7db5aae7b8d5ef\acpi.inf pnputil -a C:\Windows\WinSxS\amd64_acpipmi.inf_31bf3856ad364e35_6.1.7600.16385_none_0373a89dda2cfd45\acpipmi.inf pnputil -a C:\Windows\WinSxS\amd64_amdsata.inf_31bf3856ad364e35_6.1.7600.16778_none_a86fa1499b91322f\amdsata.inf pnputil -a C:\Windows\WinSxS\amd64_atiilhag.inf_31bf3856ad364e35_6.1.7600.16385_none_019357585ef99a63\atiilhag.inf pnputil -a C:\Windows\WinSxS\amd64_bth.inf_31bf3856ad364e35_6.1.7600.16385_none_ce39b5e2d5423e3c\bth.inf pnputil -a C:\Windows\WinSxS\amd64_bth.inf_31bf3856ad364e35_6.1.7600.17058_none_ce5d0a0ad527589a\bth.inf pnputil -a C:\Windows\WinSxS\amd64_cdrom.inf_31bf3856ad364e35_6.1.7600.16385_none_bb9e4d89bd7870f1\cdrom.inf pnputil -a C:\Windows\WinSxS\amd64_compositebus.inf_31bf3856ad364e35_6.1.7600.16385_none_154dc573087a0f57\compositebus.inf pnputil -a C:\Windows\WinSxS\amd64_dot4prt.inf_31bf3856ad364e35_6.1.7600.16385_none_c930151d86679f65\dot4prt.inf pnputil -a C:\Windows\WinSxS\amd64_hdaudbus.inf_31bf3856ad364e35_6.1.7600.16385_none_d3168488a0382790\hdaudbus.inf pnputil -a C:\Windows\WinSxS\amd64_hdaudio.inf_31bf3856ad364e35_6.1.7600.16385_none_7155277681210fe2\hdaudio.inf pnputil -a C:\Windows\WinSxS\amd64_hpsamd.inf_31bf3856ad364e35_6.1.7600.16385_none_592be18ba710a0a9\hpsamd.inf pnputil -a C:\Windows\WinSxS\amd64_iastorv.inf_31bf3856ad364e35_6.1.7600.16385_none_0b06441fa1790136\iastorv.inf pnputil -a C:\Windows\WinSxS\amd64_iastorv.inf_31bf3856ad364e35_6.1.7600.16778_none_0b141c81a16e25e6\iastorv.inf pnputil -a C:\Windows\WinSxS\amd64_input.inf_31bf3856ad364e35_6.1.7600.16385_none_7c648b6e39ceb682\input.inf pnputil -a C:\Windows\WinSxS\amd64_ipmidrv.inf_31bf3856ad364e35_6.1.7600.16385_none_579de39905436081\ipmidrv.inf pnputil -a C:\Windows\WinSxS\amd64_iscsi.inf_31bf3856ad364e35_6.1.7600.16385_none_98b8b75b0d57b8d5\iscsi.inf pnputil -a C:\Windows\WinSxS\amd64_keyboard.inf_31bf3856ad364e35_6.1.7600.16385_none_f3435f7ff2a9f325\keyboard.inf pnputil -a C:\Windows\WinSxS\amd64_mdmcpq.inf_31bf3856ad364e35_6.1.7600.16385_none_cf098f98ce7c53f4\mdmcpq.inf pnputil -a C:\Windows\WinSxS\amd64_mchgr.inf_31bf3856ad364e35_6.1.7600.16385_none_70ef9bc772fd4ddf\mchgr.inf pnputil -a C:\Windows\WinSxS\amd64_modemcsa.inf_31bf3856ad364e35_6.1.7600.16385_none_7620f8db64823fb5\modemcsa.inf pnputil -a C:\Windows\WinSxS\amd64_mpio.inf_31bf3856ad364e35_6.1.7600.16385_none_7927ce42a9054615\mpio.inf pnputil -a C:\Windows\WinSxS\amd64_msdsm.inf_31bf3856ad364e35_6.1.7600.16385_none_263c345bf53c9824\msdsm.inf pnputil -a C:\Windows\WinSxS\amd64_ntprint.inf_31bf3856ad364e35_6.1.7600.16385_none_96f58ea8d463e7df\ntprint.inf pnputil -a C:\Windows\WinSxS\amd64_nvraid.inf_31bf3856ad364e35_6.1.7600.16385_none_95cfb4ced8afab0e\nvraid.inf pnputil -a C:\Windows\WinSxS\amd64_prnms002.inf_31bf3856ad364e35_6.1.7600.16385_none_ae3b5810d472cfda\prnms002.inf pnputil -a C:\Windows\WinSxS\amd64_sbp2.inf_31bf3856ad364e35_6.1.7600.16385_none_a12d96940fd44015\sbp2.inf pnputil -a C:\Windows\WinSxS\amd64_sdbus.inf_31bf3856ad364e35_6.1.7600.16385_none_cdd7ae6ae4081881\sdbus.inf pnputil -a C:\Windows\WinSxS\amd64_sffdisk.inf_31bf3856ad364e35_6.1.7600.16385_none_00307aaa039afa70\sffdisk.inf pnputil -a C:\Windows\WinSxS\amd64_transfercable.inf_31bf3856ad364e35_6.1.7600.16385_none_bc9494d8ab88ddb0\transfercable.inf pnputil -a C:\Windows\WinSxS\amd64_tsprint.inf_31bf3856ad364e35_6.1.7600.16385_none_c7ead9b55f005f5e\tsprint.inf pnputil -a C:\Windows\WinSxS\amd64_umbus.inf_31bf3856ad364e35_6.1.7600.16385_none_67d0ba7ede50ad04\umbus.inf pnputil -a C:\Windows\WinSxS\amd64_usb.inf_31bf3856ad364e35_6.1.7600.16788_none_26f0611328209ab7\usb.inf pnputil -a C:\Windows\WinSxS\amd64_usb.inf_31bf3856ad364e35_6.1.7600.16385_none_26ed589d28235a16\usb.inf pnputil -a C:\Windows\WinSxS\amd64_usbcir.inf_31bf3856ad364e35_6.1.7600.16385_none_fa3c88e716331440\usbcir.inf pnputil -a C:\Windows\WinSxS\amd64_usbport.inf_31bf3856ad364e35_6.1.7600.16788_none_19ba59901d3be89e\usbport.inf pnputil -a C:\Windows\WinSxS\amd64_usbport.inf_31bf3856ad364e35_6.1.7600.16385_none_19b7511a1d3ea7fd\usbport.inf pnputil -a C:\Windows\WinSxS\amd64_usbstor.inf_31bf3856ad364e35_6.1.7600.16385_none_a47b405db18421ea\usbstor.inf pnputil -a C:\Windows\WinSxS\amd64_usbvideo.inf_31bf3856ad364e35_6.1.7600.16385_none_89f0e22bd444d0e7\usbvideo.inf pnputil -a C:\Windows\WinSxS\amd64_usbvideo.inf_31bf3856ad364e35_6.1.7600.16543_none_8a1a2513d42628c3\usbvideo.inf pnputil -a C:\Windows\WinSxS\amd64_vhdmp.inf_31bf3856ad364e35_6.1.7600.16385_none_0285500ee34e5401\vhdmp.inf pnputil -a C:\Windows\WinSxS\amd64_volume.inf_31bf3856ad364e35_6.1.7600.17122_none_71e96d3e15982d1c\volume.inf pnputil -a C:\Windows\WinSxS\amd64_volume.inf_31bf3856ad364e35_6.1.7600.16385_none_71aba92815c60174\volume.inf pnputil -a C:\Windows\WinSxS\amd64_wdma_usb.inf_31bf3856ad364e35_6.1.7600.16385_none_c90ccd48d08bec08\wdma_usb.inf pnputil -a C:\Windows\WinSxS\amd64_winusb.inf_31bf3856ad364e35_6.1.7600.16385_none_53e9d62d2f5260f8\winusb.inf pnputil -a C:\Windows\WinSxS\amd64_wpdcomp.inf_31bf3856ad364e35_6.1.7600.16385_none_d5863399252fe49e\wpdcomp.inf pnputil -a C:\Windows\WinSxS\amd64_wudfusbcciddriver.inf_31bf3856ad364e35_6.1.7600.16385_none_be6ea1501b65c8c9\wudfusbcciddriver.inf pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Zweryfikuj w oknie czy nie wystąpiły żadne błędy. 2. Zresetuj system i ponów próbę instalacji SP1.

1. Pierwszy punkt: I właśnie o to chodzi - PIO to jest ta wada. O ile jeszcze tego nie zrobiłeś: z prawokliku odinstaluj kanał na którym jest PIO i zresetuj system, Windows przebuduje kanał i powinien znacznie przyśpieszyć. 2. Niestety infekcja się zregenerowała i wszystkie blokady są ponownie na miejscu. Powtórka. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe HKLM Group Policy restriction on software: C:\Program Files\Trend Micro HKLM Group Policy restriction on software: C:\Program Files\Common Files\Symantec Shared HKLM Group Policy restriction on software: C:\Program Files\AVAST Software HKLM Group Policy restriction on software: C:\Program Files\Trend Micro HKU\S-1-5-21-1547161642-117609710-725345543-1003\...\Run: [XegdUhfug] => regsvr32.exe "C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\XegdUhfug\XegdUhfug.dat" DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab DPF: {CAFEEFAC-0017-0000-0009-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab FF Plugin: @java.com/DTPlugin,version=10.9.2 -> C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation) S4 sptd; System32\Drivers\sptd.sys [X] C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\XegdUhfug C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\Macromedia C:\Program Files\Common Files\Java C:\Program Files\Java C:\Program Files\OpenOffice.ux.pl 3 C:\WINDOWS\system32\Adobe C:\WINDOWS\system32\Macromed EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows (loguj się na swoje konto amx, a nie na Administratora). Uruchom FRST i kliknij w Fix. System zostanie zresetowany, opuść Tryb awaryjny. Powstanie kolejny plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Poproszę o dodatkowe dane. Otwórz Notatnik i wklej w nim: Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts" /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy plik fixlog.txt.

Zasady działu: KLIK. Tu każdy ma mieć osobny wątek. I zanim przejdziemy dalej poproszę o dostarczenie obowiązkowych raportów z FRST, by było wiadome czy infekcja jest czynna.

Czy na pewno włączyłeś pokazywanie wpisów Microsoftu? Skrypt FRST wykonany, więc możesz już zastosować DelFix i wyczyścić foldery Przywracania systemu: KLIK.

Wszystko wygląda OK. 1. Jeszcze drobny skrypt usuwający mini szczątki po odinstalowanych programach. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [avast] => "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File Task: {3B46F584-8938-4091-82F7-163CD9B78984} - System32\Tasks\avast! Emergency Update => C:\Program Files\Alwil Software\Avast5\AvastEmUpdate.exe [2013-08-30] (AVAST Software) FF Plugin: @java.com/DTPlugin,version=10.40.2 -> C:\Windows\system32\npDeployJava1.dll (Oracle Corporation) FF Plugin-x32: @java.com/DTPlugin,version=10.40.2 -> C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation) C:\ProgramData\AVAST Software RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\ADMIN\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny plik fixlog.txt - przedstaw go. Dopiero po pokazaniu pliku fixlog.txt możesz przejść dalej: 2. Zastosuj Delfix i wyczyść foldery Przywracania systemu: KLIK. 3. Spróbuj czy najnowsza wersja Avast (poprzednio był stary) nie pogarsza zadawalającego obecnie stanu: KLIK. .

Mam dekoder, który jeden z użytkowników otrzymał od cyberprzestępców po uiszczeniu opłaty. Link przesyłam na PW. Nie wiemy czy narzędzie działa na innych komputerach. Daj mi znać jakie są rezultaty jego użycia. Aktualizacja w poście #16.

leliwka, proszę uzupełnij wymagane logi, by było wiadomo jaki jest ogólny bieżący stan systemu. Należy to robić za każdym razem, gdy pojawia się jakiś określony problem, logi z poprzednich tematów nie mogą być brane pod uwagę, bo mogło się coś w systemie zmienić.

Jest tu wariant infekcji ransomware, który modyfikuje systemową usługę Instrumentacji Windows (Winmgmt). Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Startup: C:\Documents and Settings\Młody\Menu Start\Programy\Autostart\program.lnk ShortcutTarget: program.lnk -> C:\Documents and Settings\All Users\Dane aplikacji\3E5836AE.cpp () S2 winmgmt; C:\DOCUME~1\ALLUSE~1\DANEAP~1\1DDC01E3.cpp [X] S3 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X] SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2052111302-1935655697-682003330-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre7\bin\ssv.dll No File BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre7\bin\jp2ssv.dll No File FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.23.9\npGoogleUpdate3.dll No File FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.23.9\npGoogleUpdate3.dll No File Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Blokada zniknie, więc opuść Tryb awaryjny. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Avast i kilka innych zostało zablokowanych w oparciu o restrykcje Safer nałożone poprzez infekcję. Prawdopodobnie winą był exploit Java, choć tu jest bardzo szerokie pole do popisu. Podglebie dla infekcji znakomite, dramatyczny ogólny status aktualizacji systemu (SP2 i IE6!) i niebezpieczne wersje różnych programów zainstalowane, w tym Java (bo też i stary OpenOffice.ux.pl 3.2 nie obsługuje nowych bezpieczniejszych). Dodatkowo, zdaje się że jest tu jakiś problem z dyskiem i strukturą plików na dysku. W raporcie FRST widać nazwy folderów kont z suffiksami charakterystycznymi dla tworzenia nowych, bo do oryginałów brak dostępu (m.in. mogą powodować to błędy dysku) oraz dziwowiska typu listowanie podwójnie tego samego katalogu: 2014-10-31 00:27 - 2014-11-15 00:32 - 00000000 ____D () C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\01e58235-010d-43b1-8340-277d43a75321 2014-10-31 00:27 - 2014-11-15 00:32 - 00000000 ____D () C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\01e58235-010d-43b1-8340-277d43a75321 Wdróż następujące działania: 1. Był uruchamiany GMER, toteż sprawdź transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Odinstaluj via Dodaj/Usuń programy stare wersje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 11 Plugin, Adobe Flash Player 9 ActiveX, Adobe Reader 9.1 - Polish, Adobe Shockwave Player 12.1, Java 7 Update 9, Java™ 6 Update 20, OpenOffice.ux.pl 3.2, SUPERAntiSpyware. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe HKLM Group Policy restriction on software: C:\Program Files\Trend Micro HKLM Group Policy restriction on software: C:\Program Files\Common Files\Symantec Shared HKLM Group Policy restriction on software: C:\Program Files\Trend Micro HKLM Group Policy restriction on software: C:\Program Files\AVAST Software HKU\S-1-5-21-1547161642-117609710-725345543-1003\...\Run: [XegdUhfug] => regsvr32.exe "C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\XegdUhfug\XegdUhfug.dat" HKU\S-1-5-21-1547161642-117609710-725345543-1003\...\Winlogon: [shell] C:\WINDOWS\EXPLORER.EXE [1033728 2004-08-03] (Microsoft Corporation) GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction DPF: {166B1BCA-3F9C-11CF-8075-444553540000} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab DPF: {33564D57-0000-0010-8000-00AA00389B71} http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB DPF: {41564D57-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/0/A/9/0A9F8B32-9F8C-4D74-A130-E4CAB36EB01F/wmvadvd.cab DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab S3 BlueletAudio; system32\DRIVERS\blueletaudio.sys [X] S3 BlueletSCOAudio; system32\DRIVERS\BlueletSCOAudio.sys [X] S3 BT; system32\DRIVERS\btnetdrv.sys [X] S3 BTHidEnum; system32\DRIVERS\vbtenum.sys [X] S0 BTHidMgr; System32\Drivers\BTHidMgr.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S1 cdrbsvsd; No ImagePath S3 VComm; system32\DRIVERS\VComm.sys [X] S3 VcommMgr; System32\Drivers\VcommMgr.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\01e58235-010d-43b1-8340-277d43a75321 C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Babylon C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\lI13602NbMlK13602 C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\TEMP C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\XegdUhfug C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\Ciqapo C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\DSite C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\DVDVideoSoft C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\Ebintu C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\Ekes C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\FaceGen C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\Kiobf C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\mystartsearch C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\NetMedia Providers C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\pdfforge C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\Xirrus C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\Ytixoz C:\Program Files\mozilla firefox\plugins Hosts: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B8B0FC8B-E69B-4215-AF1A-4BDFF20D794B} /f CMD: dir /a "C:\Documents and Settings" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Firefox ze śmieci i starych preferencji "przed-aktualizacyjnych": menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Podałam poprawny link, u mnie się otwiera bez problemu...

Wszystko zrobione. Kończymy: 1. Zapomniałam to dołączyć wcześniej, odinstaluj starą wtyczkę dla Internet Explorer Adobe Flash Player 11 ActiveX. 2. Usuń ręcznie folder C:\Users\Cypisek\Downloads\FRST, następnie zastosuj DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK.

Czy były jakieś problemy / błędy z uruchomieniem skryptu? On został uruchomiony aż trzy razy. Na przyszłość: skrypt jest "jednego podejścia", uruchomienie tylko raz, a w razie problemów zgłaszasz się na forum z opisem i nie powtarzasz. Niemniej zadania zostały pomyślnie wykonane. Poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files\Jotta C:\Program Files (x86)\GUM448E.tmp C:\Program Files (x86)\Temp C:\ProgramData\APN C:\ProgramData\BlueStacksSetup C:\ProgramData\MFAData C:\Users\Cypisek\AppData\Local\MFAData C:\Users\Cypisek\AppData\Roaming\TuneUp Software C:\Users\Cypisek\Downloads\Whats%20App%20PC.exe RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Cypisek\Desktop\Stare dane programu Firefox Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4}_is1 /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Przedstaw logi z folderu C:\AdwCleaner. .

Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki. Wydzielone w osobny temat. Zestaw obowiązkowych logów niekompletny, brak FRST Shortcut. Pomijam już, że pada tu też prośba o OTL i GMER. Przeprowadź następujące operacje: 1. Przez Panel sterowania odinstaluj adware Interenet Optimizer. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: BHO: SoftCoup -> {8fde9d68-add0-4f07-b80e-84449d5c6065} -> C:\ProgramData\SoftCoup\6H5kTcsoXQ2fbG.x64.dll () BHO-x32: SoftCoup -> {8fde9d68-add0-4f07-b80e-84449d5c6065} -> C:\ProgramData\SoftCoup\6H5kTcsoXQ2fbG.dll () CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-1153665968-2999873662-4185214043-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-1153665968-2999873662-4185214043-1000\...\Run: [Jotta] => "C:\Program Files\Jotta\jotta.exe" AlternateDataStreams: C:\ProgramData\Microsoft:eZcIVVfazFfNxOdD11Qlk2si AlternateDataStreams: C:\ProgramData\Microsoft:iomtxTUNeYqdXa7Pvr39u5xkJ AlternateDataStreams: C:\Users\Cypisek\AppData\Local\Temporary Internet Files:dih43SwfIX6bemIPe1pjhsq5 C:\ProgramData\374311380 C:\ProgramData\c5806f9710da70d3 C:\ProgramData\saveitkeep C:\ProgramData\Interenet Optimizer C:\ProgramData\SoftCoup C:\ProgramData\WildWestCoupon C:\Users\Cypisek\AppData\Local\Google C:\Users\Cypisek\AppData\Roaming\Google RemoveDirectory: C:\Users\Cypisek\Desktop\Stare dane programu Firefox Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Cypisek\AppData\Local CMD: dir /a C:\Users\Cypisek\AppData\LocalLow CMD: dir /a C:\Users\Cypisek\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox (ponownie, już to robiłeś, ale ze słabym skutkiem): menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, lecz Adblock Plus trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt. Wszystkie logi proszę podać w formie załączników forum. .

Możemy kończyć: 1. Usuń używane narzędzie, GMER skasuj ręcznie, a resztę załatwi DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK.

Czy router zabezpieczyłeś wg wskazówek (nowe hasło + blokada panelu od strony Internetu)? Wszystko wygląda na wykonane, z wyjątkiem komendy czyszczenia buforu DNS (zapomniałam, że to nie przejdzie w Trybie awaryjnym). Akcje poprawkowe: 1. Start > w polu szukania wklep cmd > z prawokliku Uruchom jako Administrator > wklep ipconfig /flushdns i ENTER. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz wynikowy log z folderu C:\AdwCleaner. .

Gładko poszło. Na wszelki wypadek uruchom jeszcze AdwCleaner, klik w Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner. Analiza raportów wymaga po prostu sporej wiedzy o systemie i infekcjach. Tu nie da rady podać "szybkiego samouczka": KLIK / KLIK. Natomiast sama obsługa narzędzia FRST jest w tutorialu: KLIK. Należy rozróżnić te dwie rzeczy i położyć stosowny nacisk na nadrzędny element, gdyż bez konkretnej wiedzy o Windows nie pomoże wkucie na blachę tutoriala FRST. To jest tylko narzędzie pomocnicze do szybszego przetwarzania danych, a kto to wie czy za jakiś czas nie zostanie zastąpione innym. .

Możesz wyeksportować do XML, ale w sumie nie jest to potrzebne, na zrzucie wszystko widać. Usuń wszystkie znaleziska. I prawdopodobnie się wyjaśniło dlaczego masz puste okna. Ten ostatni wpis Hijack.Zones pokazuje trefny klucz infekcji wykorzystujący znak Unicode podobny do "L" - ów klucz blokuje wyświetlanie określonych elementów. Omawiałam go np. w tym temacie: KLIK. Po usunięciu wykrytych infekcji za pomocą MBAM zresetuj system i ponów instalację Corel.