picasso

Wszystko zrobione, więc kończymy. Skasuj ręcznie pobrane narzędzia z C:\Users\rambo\Downloads\FIXITPC, zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

AdwCleaner uszkodził instalację kasując ten klucz omyłkowo: Klucz Usunięto : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 Ten problem zgłaszałam autorowi już dawno temu, a bug wraca. W ostatnich tematach ręcznie odtwarzałam tego typu klucze z kopii zapasowej FRST. 1. Na początek pobór danych oraz także operacje na kluczach zgłaszanych w Dzienniku zdarzeń. Otwórz Notatnik i wklej w nim: Reg: reg load HKLM\Temp C:\FRST\Hives\SOFTWARE Reg: reg query HKLM\Temp\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /s Reg: reg unload HKLM\Temp Unlock: HKLM\SOFTWARE\Classes\AppID\{344ED43D-D086-4961-86A6-1106F4ACAD9B} Unlock: HKLM\SOFTWARE\Classes\CLSID\{C97FCC79-E628-407D-AE68-A06AD6D8B4D1} ListPermissions: HKLM\SOFTWARE\Classes\AppID\{344ED43D-D086-4961-86A6-1106F4ACAD9B} ListPermissions: HKLM\SOFTWARE\Classes\CLSID\{C97FCC79-E628-407D-AE68-A06AD6D8B4D1} Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 2. AdwCleaner również skasował z Google Chrome folder rozszerzenia Skype Click to Call. Ustawienia > karta Rozszerzenia > odinstaluj szczątek, o ile nadal widać. 3. Wyczyść Dziennik zdarzeń: Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator > w sekcji Dzienniki systemu Windows z prawokliku wyczyść gałęzie Aplikacja i System. 4. Zresetuj system. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition, dostarcz oba logi oraz plik fixlog.txt. .

Deinstalacja Returnil nie była potrzebna, program sam w sobie niewinny. Uruchomiłeś coś całkiem innego, objawy wskazują na jedno z dwóch: nieodznaczenie sponsora w którejś instalacji lub użycie portalowego "downloadera" częstującego "bonusami": KLIK. I wg logów czasowo bliżej instalacjom adware do Puran Defrag niż do Returnil, choć to może być mylne wrażenie. Ten Puran owszem od jakiegoś czasu nie ma czystego instalatora i jest wspierany przez adware (należy wszystkiemu "podziękować"). Inne podejrzenie to "Asystent pobierania" dobrychprogramów, widać że conajmniej raz w serwisie byłeś. Albo dałeś mi nieświeże raporty FRST, albo on się zrekonstruował. Wg FRST maintainer.exe hula w procesach: ========================== Services (Whitelisted) ================= R2 MaintainerSvc4.29.2173613; C:\ProgramData\685d26dc-c30a-434b-bda2-3004e8743669\maintainer.exe [123632 2014-11-19] () ==================== Loaded Modules (whitelisted) ============= 2014-11-18 14:30 - 2014-11-19 02:49 - 00123632 _____ () C:\ProgramData\685d26dc-c30a-434b-bda2-3004e8743669\maintainer.exe I nie tylko to - w systemie działa także aktywny sterownik adware Techgile ({1e3cbb53-e197-4e2a-92c5-00bc91f79189}Gw.sys) i to z pewnością on zaburza relacje sieciowe. Poza tym, adware wprowadziło także polityki Google Chrome. Składnik instalacji Kingsoft Antivirus 2012: R2 kisknl; C:\Windows\system32\drivers\kisknl.sys [165176 2014-11-17] (Kingsoft Corporation) Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {1e3cbb53-e197-4e2a-92c5-00bc91f79189}Gw; C:\Windows\System32\drivers\{1e3cbb53-e197-4e2a-92c5-00bc91f79189}Gw.sys [43152 2014-11-17] (StdLib) R2 MaintainerSvc4.29.2173613; C:\ProgramData\685d26dc-c30a-434b-bda2-3004e8743669\maintainer.exe [123632 2014-11-19] () GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction C:\Program Files\Temp C:\ProgramData\685d26dc-c30a-434b-bda2-3004e8743669 C:\ProgramData\Returnil C:\Users\rambo\AppData\Roaming\Returnil C:\Windows\System32\drivers\{1e3cbb53-e197-4e2a-92c5-00bc91f79189}Gw.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

Nareszcie, Dziennik zdarzeń naprawiony. Sprawny Dziennik nagrał poniższy błąd - będę to jeszcze diagnozować, a w kwestii reszty to już przechodzimy do cyzelowania. System errors: ============= Error: (11/19/2014 00:13:13 AM) (Source: DCOM) (EventID: 10016) (User: ZARZĄDZANIE NT) Description: właściwe dla aplikacjiLokalnyUruchom{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}ZARZĄDZANIE NTUSŁUGA LOKALNAS-1-5-19LocalHost (użycie LRPC) Error: (11/19/2014 00:13:08 AM) (Source: DCOM) (EventID: 10016) (User: ZARZĄDZANIE NT) Description: właściwe dla aplikacjiLokalnyUruchom{C97FCC79-E628-407D-AE68-A06AD6D8B4D1}{344ED43D-D086-4961-86A6-1106F4ACAD9B}ZARZĄDZANIE NTSYSTEMS-1-5-18LocalHost (użycie LRPC) Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: ListPermissions: HKLM\SOFTWARE\Classes\AppID\{344ED43D-D086-4961-86A6-1106F4ACAD9B} ListPermissions: HKLM\SOFTWARE\Classes\CLSID\{C97FCC79-E628-407D-AE68-A06AD6D8B4D1} Reg: reg query HKLM\SOFTWARE\Classes\AppID\{344ED43D-D086-4961-86A6-1106F4ACAD9B} /s Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{C97FCC79-E628-407D-AE68-A06AD6D8B4D1} /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. przedstaw logi utworzone w folderze C:\AdwCleaner. .

Chyba polskie tłumaczenie tu zakłóca odbiór, owo "Usuwanie segmentu rekordów oddzielonego pliku" to po angielsku "Deleting orphan file record segment", czyli osierocony fragment pliku. To są dane już uszkodzone i niedostępne, które należy usunąć, więc przerywanie pracy checkdiska, by tego nie przetworzył, jest nielogiczne. Co do potencjalnej kopii danych kryjących się pod komunikatem "usuwanie segmentu rekordów oddzielonego pliku": kopiowanie danych które są nieczytelne i uszkodzone jest niezasadne, kopia zawierałaby błędy i tak wymagające korekty, taką kopię należało stworzyć o wiele wcześniej, gdy "oddzielony plik" nie był takowym. W sytuacji tzw. "oddzielonego pliku" checkdisk próbuje wyodrębniać utracone uszkodzone dane do nowych plików, które lądują w ukrytych folderach typu X:\FOUND.YYY (gdzie X to litera dysku dla którego zrobiono naprawę, a YYY to numery). Wyekstraktowane do tych folderów dane można odczytać narzędziami typu Chk-Back. Z tym, że kompletność wyodrębniania zależy od tego jak bardzo był uszkodzony materiał wyjściowy, częsta sytuacja to odzyskanie poszatkowanych danych. Po prostu konwersja zepsutego do sprawnego może być awykonalna. Tu przykładowe logi z pracy chkdsk: Oczywiście może się też zdarzyć, iż naprawa checkdisk będzie mieć gorsze rezultaty, np. niestartujący system lub jakieś drastyczniejsze ubytki, wszystko zależy od tego gdzie jest uszkodzenie i jaki ma ono zakres. Jak mówię: przerwałeś brutalnie operację naprawczą, system się po tym nie ładuje, co sugeruje kolejne uszkodzenia prawdopodobnie w strukturze systemu plików, więc zalecam wykonać operację do końca, tzn. sprawdzanie dysku i pozwolić naprawić błędy. Na wszelki wypadek, gdyż: "Narzędzie do naprawy systemu...." i tak egzekwuje chkdsk w trybie cichym. Opis funkcji: KLIK. I mógłbyś dorzuć log z FRST. W środowisku zewnętrznym mapowanie dysków może być inne niż spod Windows, wpływ na to ma m.in. widoczność ukrytych partycji. .

Problem stanowią wadliwe uprawnienia folderu C:\Windows\System32\LogFiles\WMI\RtBackup, brakuje konta SYSTEM, które musi mieć Pełną kontrolę. Akcja naprawcza: 1. Otwórz Notatnik i wklej w nim: CMD: icacls C:\Windows\System32\LogFiles\WMI\RtBackup /grant SYSTEM:F /T Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.System zostanie zresetowany. Powstanie kolejny fixlog.txt. 2. Zrób nowy skan FRST z zaznaczonym polem Addition i tylko ten plik mi dostarcz. Dołącz też plik fixlog.txt. .

Błąd 4201 usługi Dziennika kręci się wokół WMI. Zauważyłam już wcześniej, że jest coś nie tak z WMI, gdyż skan FRST w pewnych momentach nie mógł pobrać nazw rozszerzeń Firefox (funkcjonalność FRST bazuje na WMI). Sprawdzałam nawet w jednym ze skryptów stan usługi Winmgmt w rejestrze. Poproszę o kolejne dane. Otwórz Notatnik i wklej w nim: ListPermissions: C:\Windows\System32\LogFiles\WMI ListPermissions: C:\Windows\System32\LogFiles\WMI\RtBackup Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Mam wątpliwości czy usunięcie tego wpisu pomoże, no ale skoro chcesz to zrobić, to jedziemy. Jak mówiłam, Properties z "Odmową dostępu" jest normalne w kluczu Enum, bardzo wiele elementów posiada ten rodzaj uprawnień. Po prostu Twoje konto nie ma żadnego dostępu, ale Windows owszem ma, gdyż Pełną kontrolę ma konto SYSTEM. Usunięcie tego klucza jest banalnie proste. Wystarczy zmienić kontekst konta dla regedit. Uruchom regedit na uprawnieniu konta SYSTEM za pomocą Process Hacker: KLIK. W tak uruchomionym regedit klucz nie będzie w ogóle zablokowany, możliwy do skasowania od ręki.

Czy problem z procesem iexplore.exe ustąpił? Wszystko zrobione. Poprawki: 1. Otwórz Notatnik i wklej w nim: CustomCLSID: HKU\S-1-5-21-1440103629-4270272420-3639045120-1000_Classes\CLSID\{56FDF344-FD6D-11d0-958A-006097C9A090}\InprocServer32 -> C:\Users\strona ogolna\AppData\Roaming\moters\supna.dll No File FF user.js: detected! => C:\Users\strona ogolna\AppData\Roaming\Mozilla\Firefox\Profiles\u0ejhi95.default\user.js C:\Program Files (x86)\PC Tools C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\Program Files\HitmanPro C:\ProgramData\PC Tools C:\ProgramData\Spybot - Search & Destroy C:\Users\strona ogolna\AppData\Roaming\TestApp C:\Users\strona ogolna\Downloads\sdsetup.exe C:\Users\strona ogolna\Downloads\spybot-2.4.exe C:\Windows\system32\Drivers\PCTSD64.sys C:\Windows\System32\Tasks\Safer-Networking Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz wynikowe raporty z folderu C:\AdwCleaner. .

DelFix wykonał pracę. Możesz usunąć z dysku raport C:\DelFix.txt, a także pobrany GMER (o ile nadal jest na dysku). Temat rozwiązany. Zamykam.

Niestety jest bez zmian. 1. Zweryfikuj poprawność plików systemowych: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. 2. Jeszcze podaj mi co się pokazuje podczas próby ręcznego uruchomienia Dziennika: Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator > na liście wyszukaj usługę Dziennik zdarzeń > dwuklik i klik w przycisk Uruchom. Podaj jaki błąd występuje.

Objaśnij dlaczego przerwałeś tę operację, skoro checkdisk wykrył nieczytelne / błędne dane. Moim zdaniem należy w pierwszej kolejności dokończyć przerwany checkdisk, by wyeliminował błędy w systemie plików. Checkdisk wykonać po kolei dla wszystkich dysków. .

Wątpię, by to była rzeczywista infekcja, wygląda na fałszywy alarm. Nie widzę tu nic więcej do roboty w zakresie "infekcji". Skrypt kosmetyczny wykonany, więc kończymy: Zastosuj DelFix, wyczyść foldery Przywracania systemu i zaktualizuj Java 7 Update 67 do nowszej wersji linii 7: KLIK.

Miałeś pokazać tylko plik fixlog.txt. Nie prosiłam ponownie o nowe raporty FRST i je usuwam, gdyż ilość zmian nieomal nienotowalna. Gdy są potrzebne, wyraźnie to zaznaczam. Dziennik zdarzeń jakoby wygląda poprawnie na poziomie rejestru, może są uszkodzone pliki EVTX Dziennika. Spróbujmy je usunąć: 1. Przenieś FRST z folderu Pobrane do folderu C:\FRST. Otwórz Notatnik i wklej w nim: CMD: del /q C:\Windows\System32\winevt\Logs\*.evtx Plik zapisz pod nazwą fixlist.txt w folderze C:\FRST. 2. Skrypt nie będzie uruchamiany spod Windows. F8 > Napraw komputer > Wiersz polecenia > Uruchom zgodnie z opisem FRST: KLIK. Zamiast komendy X:\FRST64.exe wpisujesz komendę C:\FRST\FRST64.exe i ENTER. Po uruchomieniu FRST klik w Fix. W folderze C:\FRST powstanie świeży plik fixlog.txt. 3. Zastartuj do Windows. Zrób nowy log FRST z opcji Scan zaznaczając pole Addition, ale tylko plik Addition mi zaprezentuj. Dołącz też fixlog.txt. .

Skrypt wykonany pomyślnie, więc kończ sprawy. Usuń pobrane narzęzia z folderu D:\dysk H\internet, następnie zastosuj DelFix: KLIK.

A co z tym efektem:

Skrypt wykonany, czyszczenie systemu zakończone. Czy jest jakaś poprawa w działaniu systemu notowana po wyłączeniu usługi nVidia? A o reszcie już mówiłam. Skrypt FRST nie ma z tym związku, on nic nigdzie nie zapisywał (poza logiem wynikowym), było tylko usuwanie z rejestru i trwałe usunięcie dwóch folderów narzędzi. Skoro partycja System_DRV wykazuje zmiany, zaszły całkiem inne niepowiązane z moimi działaniami procesy. Wspominasz o 200MB wolnego, w pierwszym raporcie przed jakimikolwiek operacjami SYSTEM_DRV miało mniej, czyli 120MB: ==================== Drives ================================ Drive c: (Windows7_OS) (Fixed) (Total:111.21 GB) (Free:14.25 GB) NTFS ==>[system with boot components (obtained from reading drive)] Drive e: (SYSTEM_DRV) (Fixed) (Total:0.57 GB) (Free:0.12 GB) NTFS ==>[system with boot components (obtained from reading drive)] ==================== MBR & Partition Table ================== Disk: 0 (Size: 111.8 GB) (Disk ID: 4B243DA7) Partition 1: (Active) - (Size=587 MB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=111.2 GB) - (Type=07 NTFS) SYSTEM_DRV jest mini partycją serwisową Lenovo, która trzyma dostęp do środowiska naprawczego RE: KLIK. Partycja ta jest ustawiona jako aktywna, czyli bootuje Twój Windows, gdybyś coś z nią zrobił, system już nie zastartuje. Dla świętego spokoju możesz podać spis plików na tej partycji i zobaczymy przez co konkretnie miejsce jest zajęte. Otwórz Notatnik i wklej w nim: Folder: E:\ Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. .

W systemie jest dobry kandydat, czyli instalacja moters aktywnie ładująca w tle moduły określane przez GMER jako "podejrzane". Obiekt powstał w grupie innych elementów adware, których multum szczątków jest w systemie. ---- Processes - GMER 2.1 ---- Library C:\Users\strona ogolna\AppData\Roaming\moters\supna.dll (*** suspicious ***) @ C:\Windows\Explorer.EXE [1652](2014-10-07 20:27:50) 000007fef7310000 Library C:\Users\strona ogolna\AppData\Roaming\moters\supna.dll (*** suspicious ***) @ C:\Program Files\Internet Explorer\IEXPLORE.EXE [7788](2014-10-07 20:27:50) 000007fef7310000 ==================== Loaded Modules (whitelisted) ============= 2014-10-07 21:27 - 2014-10-07 21:27 - 00139264 _____ () C:\Users\strona ogolna\AppData\Roaming\moters\supna.dll 2014-10-07 21:27 - 2014-10-07 21:27 - 00117760 _____ () C:\Users\strona ogolna\AppData\Roaming\moters\mentste.dll ==================== Installed Programs ====================== moters (HKLM-x32\...\{c8730ca5-3f82-41cc-65e2-01b87600cd89}) (Version: 1.0.0 - ningsup) Żaden z programów nie wykrył powyższego. MBAM wykrył składnik instalacji PC Tools, czyli BrowserGuard. To nie jest istotne, ale i tak będziemy deinstalować określone skanery, którymi się posługiwałeś, bo to przeżytki / starocie słabo sprawdzające się obecnie. Na przyszłość pomiń instalację skanerów: PC Tools (SpywareDoctor i podobne) oraz SpyBot Search & Destroy. Firma PC Tools (przejęta przez Symantec) wycofała wszystkie produkty typu zabezpieczającego, a to co portale linkują to stare instalacje. Spybot zaś to lata świetności ma za sobą. Przeprowadź następujące działania: 1. Rozpocznij od poprawnych deinstalacji via Panel sterowania: - Ów podejrzany moters oraz posiadający w instalatorze adware YTD Video Downloader 4.8.6. - Stare wersje: Adobe Flash Player 13 ActiveX, Adobe Flash Player 13 Plugin, Browser Guard 4.0, Java 7 Update 67 (64-bit), Java 7 Update 67, PC Tools Spyware Doctor 9.1, Spybot - Search & Destroy. Na razie nie instaluj najnowszych wersji Adobe i Java, to wykonamy na szarym końcu. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {10ED41E6-56A9-49B8-9B91-DB53D22C0AD0} - \38d6cf61-3374-443f-aafb-f26c369089da-5 No Task File Task: {32506F30-4DF2-4BA1-91B0-747A2F353908} - \5d19c432-b462-4d53-bfa4-1b4553b2919f-11 No Task File Task: {4E2E592B-E7B2-4B99-91BC-49E234BBA825} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-5 No Task File Task: {51BFB665-A53C-40AB-91B6-96222EAA1DE1} - \5d19c432-b462-4d53-bfa4-1b4553b2919f-6 No Task File Task: {51FEC971-21F2-4323-95D8-F48F6FBE34DF} - \5d19c432-b462-4d53-bfa4-1b4553b2919f-5 No Task File Task: {5F2722D0-7134-449D-89DB-46AAC5282BF5} - \5d19c432-b462-4d53-bfa4-1b4553b2919f-1 No Task File Task: {5FEEB01D-A466-47AD-9C61-4AC104575F87} - \ShopperPro No Task File Task: {608AFDFE-45E8-456C-9F9A-14531E66457A} - System32\Tasks\CDCJ => C:\Users\strona ogolna\AppData\Roaming\CDCJ.exe Task: {68C7F1EA-9F7A-49F8-B67F-A0F5B745C04F} - \ShopperProJSUpd No Task File Task: {724C4306-5726-4F41-B0A7-7F9670312D2E} - \38d6cf61-3374-443f-aafb-f26c369089da-7 No Task File Task: {818ADB85-C0A4-49E0-A564-967B362EFEEC} - \38d6cf61-3374-443f-aafb-f26c369089da-6 No Task File Task: {89D19E81-1674-4C95-80E7-DA98CB713002} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-3 No Task File Task: {8B7952A5-3B9A-4AC9-B14E-57478F32ADFC} - \5d19c432-b462-4d53-bfa4-1b4553b2919f-4 No Task File Task: {8D931D4B-EC35-45B3-804C-5C6D58A8EDA7} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-7 No Task File Task: {8E3390E5-D0A7-4109-8FD3-9012CFA57BE4} - System32\Tasks\PLFNMXK => C:\Users\strona ogolna\AppData\Roaming\PLFNMXK.exe Task: {9F488B27-2D51-45FD-A0C4-4962A2DB478C} - \38d6cf61-3374-443f-aafb-f26c369089da-2 No Task File Task: {B86AD45D-AB3F-45D8-8BA2-28835A196D69} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-2 No Task File Task: {B9DD0C6A-5850-4F55-8384-9BD879184A15} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-4 No Task File Task: {C0F8BFF0-C302-4931-89E1-F9D0ECD087DE} - \38d6cf61-3374-443f-aafb-f26c369089da-11 No Task File Task: {C71E5AE4-F1A0-41E2-8544-4C3F0E44F8BE} - \38d6cf61-3374-443f-aafb-f26c369089da-4 No Task File Task: {C93178E7-5C01-48FB-9E8D-D630223D7FDC} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-1 No Task File Task: {CDD07EE8-8C6A-4D7B-9B31-FC314ABF713A} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-6 No Task File Task: {D6117D6A-0C32-4CEE-8AD7-6A2A7B622EAB} - \AmiUpdXp No Task File Task: {DD2DA169-F6FF-4F03-9FE4-C107ABE7C493} - \SPDriver No Task File Task: {DEE42854-D4F4-4514-830A-979D854357A6} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS.exe Task: {E8B88926-A459-470A-8A4E-1A7B52CBA1C1} - \5d19c432-b462-4d53-bfa4-1b4553b2919f-2 No Task File Task: {EE0F5446-CFAF-4319-946B-C5CACEFB129F} - \5d19c432-b462-4d53-bfa4-1b4553b2919f-7 No Task File Task: {F02B92FA-05C4-4024-BE81-723F9761FAB1} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-11 No Task File Task: {FBA692E0-2391-4AD5-9FE7-9043EC3231D3} - \38d6cf61-3374-443f-aafb-f26c369089da-1 No Task File Task: C:\Windows\Tasks\AutoKMS.job => C:\Windows\AutoKMS.exe Task: C:\Windows\Tasks\CDCJ.job => C:\Users\strona ogolna\AppData\Roaming\CDCJ.exe Task: C:\Windows\Tasks\PLFNMXK.job => C:\Users\strona ogolna\AppData\Roaming\PLFNMXK.exe BootExecute: PDBoot.exeautocheck autochk * sdnclean64.exe Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] C:\Program Files (x86)\globalUpdate C:\ProgramData\Temp C:\Users\strona ogolna\AppData\Local\9522 C:\Users\strona ogolna\AppData\Local\nscB2C.tmp C:\Users\strona ogolna\AppData\Local\globalUpdate C:\Users\strona ogolna\AppData\Roaming\moters Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PDAgent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PDEngine" /f CMD: type "C:\Users\strona ogolna\AppData\Roaming\Mozilla\Firefox\Profiles\u0ejhi95.default\user.js" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Zadania w większości wykonane, ale nadal jest problem z Dziennikiem zdarzeń. Kolejna porcja czynności. Otwórz Notatnik i wklej w nim: S3 ACDaemon; C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe [X] FF Plugin-x32: @java.com/DTPlugin,version=10.5.1 -> C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation) C:\Windows\SysWOW64\deployJava1.dll RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\MyFree Codec RemoveDirectory: C:\Users\Remek\Desktop\Stare dane programu Firefox ListPermissions: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Eventlog /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Winmgmt /s File: C:\Windows\system32\wevtsvc.dll Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Widzę, że skrypt stopuje na komendach Reg. Zrobiłam literówkę w jednej z komend (brak spacji). Powtórz skrypt z korektą: Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {4A8BEE02-05E0-4B87-95BF-D88D61B264E3} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {4A8BEE02-05E0-4B87-95BF-D88D61B264E3} /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg delete "HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f HKU\S-1-5-21-3670591184-648614672-2990897947-1002\...\RunOnce: [] => [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Jeśli i tym razem będą problemy, podam inne instrukcje, by wykonać te same zadania. .

Wszystko gładko poszło, infekcje nie są już czynne. Jest tu jeszcze jakiś problem z Dziennikiem zdarzeń oraz wymagane inne poprawki: 1. Zapomniałam załączyć do deinstalacji JavaFX 2.1.1 i MyFreeCodec (zbędnik Samsung Kies), więc odinstaluj. 2. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: S0 Lbd; system32\DRIVERS\Lbd.sys [X] Task: {615DE320-375D-4EDB-8DAE-2930E930388F} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Task: C:\Windows\Tasks\Ad-Aware Update (Weekly).job => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File DPF: HKLM-x32 {8AD9C840-044E-11D1-B3E9-00805F499D93} DPF: HKLM-x32 {CAFEEFAC-0017-0000-0067-ABCDEFFEDCBA} DPF: HKLM-x32 {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} C:\aaw7boot.log C:\Program Files\SkanerOnline C:\Program Files (x86)\Astroburn Toolbar C:\Program Files (x86)\FlashGet Network C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Java C:\Program Files (x86)\Lavasoft C:\Program Files (x86)\Opera C:\Program Files (x86)\SupTab C:\Program Files (x86)\Temp C:\Program Files (x86)\v9Soft C:\ProgramData\Ask C:\ProgramData\Astroburn Lite C:\ProgramData\boost_interprocess C:\ProgramData\Lavasoft C:\ProgramData\McAfee C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\Oracle C:\ProgramData\Partner C:\ProgramData\Sun C:\ProgramData\{*}.log C:\Users\Remek\AppData\Local\cache C:\Users\Remek\AppData\Local\genienext C:\Users\Remek\AppData\Local\globalUpdate C:\Users\Remek\AppData\Local\Opera Software C:\Users\Remek\AppData\Local\Sunbelt Software C:\Users\Remek\AppData\Local\uninst.tmp C:\Users\Remek\AppData\LocalLow\boost_interprocess C:\Users\Remek\AppData\LocalLow\facemoods.com C:\Users\Remek\AppData\LocalLow\Oracle C:\Users\Remek\AppData\LocalLow\Sun C:\Users\Remek\AppData\LocalLow\Temp C:\Users\Remek\AppData\Roaming\FlashGet C:\Users\Remek\AppData\Roaming\FlashGetBHO C:\Users\Remek\AppData\Roaming\Mozilla\Firefox\Profiles\sd9ervls.default C:\Users\Remek\AppData\Roaming\Opera Software C:\Users\Remek\AppData\Roaming\ISXX C:\Users\Remek\AppData\Roaming\NSUROF C:\Users\Remek\AppData\Roaming\RI C:\Users\Remek\AppData\Roaming\SELU C:\Users\Remek\AppData\Roaming\VIQHFUCG C:\Users\Remek\AppData\Roaming\WEMJ C:\Windows\SysWOW64\rp_rules.dat C:\Windows\SysWOW64\rp_stats.dat CMD: sc config Eventlog start= auto Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie kolejny plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Adres wyiksowałam, by nikt tam nie klikał. Z daleka od takich stron, które niby oferują rozwiązania błędów, ale trzeba jakiś "skaner" stamtąd ściągać. To typowe manipulacje, by przekonać do niepożądanych instalacji. Nazwa aplikacji powodującej błąd: iexplore.exe, wersja: 11.0.9600.17420, sygnatura czasowa: 0x545ad233 Nazwa modułu powodującego błąd: MSHTML.dll, wersja: 11.0.9600.17420, sygnatura czasowa: 0x545ae63c Błąd powoduje jeden z modułów Microsoftu, więc trudno tu cokolwiek powiedzieć na ten temat. Skoro obecnie IE chodzi poprawnie, nasuwa się: 1. Wg raportu 12 listopada odbyła się jakaś aktualizacja Windows, która zaaplikowała nowe wersje niektórych plików silnika IE (w tym ów wymieniany jako moduł powodujący błąd), więc być może to rozwiązało problem. ==================== One Month Created Files and Folders ======== 2014-11-12 10:07 - 2014-11-06 04:10 - 19781632 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll 2. Albo wyłączenie starych lub niekompatybilnych dodatków. Widzę, że manipulowałeś jakimś menedżerem i wyłączone są w IE rozszerzenia FlipAlbum / FlipViewer (to są straszne starocie i nie wykluczone, że mogą powodować problemy) i RealPlayer. Te wpisy i tak usunę. BHO: No Name -> Disabled:{3049C3E9-B461-4BC5-8870-4C09146192CA} -> No File BHO: No Name -> Disabled:{4401FDC3-7996-4774-8D2B-C1AE9CD6CC25} -> No File A ten błąd (nie powiązany z powyższym problemem IE) nadal występuje, ale to już omawialiśmy wiele razy: System errors: ============= Error: (11/18/2014 05:12:09 PM) (Source: Microsoft-Windows-Kernel-Processor-Power) (EventID: 6) (User: ZARZĄDZANIE NT) Description: Niektóre funkcje zarządzania energią procesora w czasie wydajności zostały wyłączone z powodu znanego problemu z oprogramowaniem układowym. Skontaktuj się z producentem komputera w celu uzyskania aktualizacji oprogramowania układowego. W raportach brak oznak infekcji. Tylko kosmetyka do wykonania (usunięcie pustych wpisów i czyszczenie Temp). Otwórz Notatnik i wklej w nim: CloseProcesses: S3 ASCAntivirusSrv; No ImagePath BootExecute: BHO: No Name -> Disabled:{3049C3E9-B461-4BC5-8870-4C09146192CA} -> No File BHO: No Name -> Disabled:{4401FDC3-7996-4774-8D2B-C1AE9CD6CC25} -> No File Toolbar: HKU\S-1-5-21-4045998331-1084192385-2102066057-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File C:\Program Files\mozilla firefox\plugins C:\ProgramData\PC1Data C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk C:\Users\Tadeusz\AppData\Roaming\Mozilla\Firefox\Profiles\ygqgnt9d.default-1407678463037\Extensions\adremoveext@adremoveext.net Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\${searchCLSID}" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\BBA405ADD7B17A75BFCF151CDA60224C" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f RemoveDirectory: C:\Users\Administrator EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. .

Potem będą do wdrożenia jeszcze drobniejsze korekty, obecnie nie jest to istotne. Widoczne składniki infekcji zostały usunięte, są w kwarantanie C:\FRST\Quarantine, ale nie zadaję usuwania jej (obiekty w niej nie mogą się już uruchomić i poczynić szkód), by ograniczyć zapisy na dysku. I próbuj TestDisk, by sprawdzić czy on w ogóle jest w stanie znaleźć niezaszyfrowane poprzednie wersje plików. Czy na koncie Krzych proste ponowne ustawienie tapety w opcjach Windows jest możliwe / likwiduje niebieskie tło? Jeśli chodzi o problem bad sectorów, to niezbędna jest diagnostyka sprzętowa dysku. W zależności od wyników tej operacji może się okazać, że będzie do przeprowadzenia radykalna operacja. Założ nowy temat w dziale Hardware podając wymagane dane: KLIK. Zlinkuj do tego tematu, by wiedzieli jaka jest geneza problemu. .

Temat przenoszę do działu Windows 7. Rozwiń ten temat. Dokładnie opisz co się dzieje i jakie są błędy. Po pierwsze: widzę że próbujesz edytować w gałęzi HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002. Jedyna jaką należy edytować to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet, czyli bieżąca używana przez system, która linkuje do stosownego klucza ControlSet00x, w tym przypadku prawdopodobnie ControlSet001. Edycja w CurrentControlSet automatycznie aktualizuje ControlSet001. Pozostałe kopie konfiguracyjne to Ostatnia poprawna konfiguracja (tu prawdopodobnie ControlSet002) oraz kopie typu Failed. Nie ma sensu edytować innych kopii konfiguacyjnych niż bieżąca CurrentControlSet. Po drugie: blokada Properties to normalny stan w kluczach Enum, ale w związku z powyższym (lokalizacja w alternatywnej kopii ControlSet002) nie ma sensu tego edytować, jest to nieużywana kopia nie mająca wpływu na zachowanie systemu, gdyż egzekwowana tylko w przypadku F8 > Ostatnia poprawna konfiguracja. Jeśli trzeba będzie usunąć jakieś zablokowane wpisy z gałęzi CurrentControlSet, wtedy podam jak. Na razie problem jest w ogóle niejasny i nie wiadomo co się dzieje z drukarką i czy obrana metoda naprawy jest właściwą.

Reczywiście, rozszerzenie adware w Operze nie było już obecne na tym etapie. Zadania wykonane, ale AdwCleaner się pomylił i skasował folder rozszerzenia Skype Click to Call z Google Chrome, więc Ustawienia > karta Rozszerzenia > odinstaluj odpadkowy wpis. I kończymy: 1. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 2. Rozważ aktualizację systemu do wersji Windows 8.1, stan obecny: Platform: Windows 8 (X64) OS Language: Polski (Polska) Internet Explorer Version 10