picasso

Wątpię, by to była rzeczywista infekcja, wygląda na fałszywy alarm. Nie widzę tu nic więcej do roboty w zakresie "infekcji". Skrypt kosmetyczny wykonany, więc kończymy: Zastosuj DelFix, wyczyść foldery Przywracania systemu i zaktualizuj Java 7 Update 67 do nowszej wersji linii 7: KLIK.

Miałeś pokazać tylko plik fixlog.txt. Nie prosiłam ponownie o nowe raporty FRST i je usuwam, gdyż ilość zmian nieomal nienotowalna. Gdy są potrzebne, wyraźnie to zaznaczam. Dziennik zdarzeń jakoby wygląda poprawnie na poziomie rejestru, może są uszkodzone pliki EVTX Dziennika. Spróbujmy je usunąć: 1. Przenieś FRST z folderu Pobrane do folderu C:\FRST. Otwórz Notatnik i wklej w nim: CMD: del /q C:\Windows\System32\winevt\Logs\*.evtx Plik zapisz pod nazwą fixlist.txt w folderze C:\FRST. 2. Skrypt nie będzie uruchamiany spod Windows. F8 > Napraw komputer > Wiersz polecenia > Uruchom zgodnie z opisem FRST: KLIK. Zamiast komendy X:\FRST64.exe wpisujesz komendę C:\FRST\FRST64.exe i ENTER. Po uruchomieniu FRST klik w Fix. W folderze C:\FRST powstanie świeży plik fixlog.txt. 3. Zastartuj do Windows. Zrób nowy log FRST z opcji Scan zaznaczając pole Addition, ale tylko plik Addition mi zaprezentuj. Dołącz też fixlog.txt. .

Skrypt wykonany pomyślnie, więc kończ sprawy. Usuń pobrane narzęzia z folderu D:\dysk H\internet, następnie zastosuj DelFix: KLIK.

A co z tym efektem:

Skrypt wykonany, czyszczenie systemu zakończone. Czy jest jakaś poprawa w działaniu systemu notowana po wyłączeniu usługi nVidia? A o reszcie już mówiłam. Skrypt FRST nie ma z tym związku, on nic nigdzie nie zapisywał (poza logiem wynikowym), było tylko usuwanie z rejestru i trwałe usunięcie dwóch folderów narzędzi. Skoro partycja System_DRV wykazuje zmiany, zaszły całkiem inne niepowiązane z moimi działaniami procesy. Wspominasz o 200MB wolnego, w pierwszym raporcie przed jakimikolwiek operacjami SYSTEM_DRV miało mniej, czyli 120MB: ==================== Drives ================================ Drive c: (Windows7_OS) (Fixed) (Total:111.21 GB) (Free:14.25 GB) NTFS ==>[system with boot components (obtained from reading drive)] Drive e: (SYSTEM_DRV) (Fixed) (Total:0.57 GB) (Free:0.12 GB) NTFS ==>[system with boot components (obtained from reading drive)] ==================== MBR & Partition Table ================== Disk: 0 (Size: 111.8 GB) (Disk ID: 4B243DA7) Partition 1: (Active) - (Size=587 MB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=111.2 GB) - (Type=07 NTFS) SYSTEM_DRV jest mini partycją serwisową Lenovo, która trzyma dostęp do środowiska naprawczego RE: KLIK. Partycja ta jest ustawiona jako aktywna, czyli bootuje Twój Windows, gdybyś coś z nią zrobił, system już nie zastartuje. Dla świętego spokoju możesz podać spis plików na tej partycji i zobaczymy przez co konkretnie miejsce jest zajęte. Otwórz Notatnik i wklej w nim: Folder: E:\ Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. .

W systemie jest dobry kandydat, czyli instalacja moters aktywnie ładująca w tle moduły określane przez GMER jako "podejrzane". Obiekt powstał w grupie innych elementów adware, których multum szczątków jest w systemie. ---- Processes - GMER 2.1 ---- Library C:\Users\strona ogolna\AppData\Roaming\moters\supna.dll (*** suspicious ***) @ C:\Windows\Explorer.EXE [1652](2014-10-07 20:27:50) 000007fef7310000 Library C:\Users\strona ogolna\AppData\Roaming\moters\supna.dll (*** suspicious ***) @ C:\Program Files\Internet Explorer\IEXPLORE.EXE [7788](2014-10-07 20:27:50) 000007fef7310000 ==================== Loaded Modules (whitelisted) ============= 2014-10-07 21:27 - 2014-10-07 21:27 - 00139264 _____ () C:\Users\strona ogolna\AppData\Roaming\moters\supna.dll 2014-10-07 21:27 - 2014-10-07 21:27 - 00117760 _____ () C:\Users\strona ogolna\AppData\Roaming\moters\mentste.dll ==================== Installed Programs ====================== moters (HKLM-x32\...\{c8730ca5-3f82-41cc-65e2-01b87600cd89}) (Version: 1.0.0 - ningsup) Żaden z programów nie wykrył powyższego. MBAM wykrył składnik instalacji PC Tools, czyli BrowserGuard. To nie jest istotne, ale i tak będziemy deinstalować określone skanery, którymi się posługiwałeś, bo to przeżytki / starocie słabo sprawdzające się obecnie. Na przyszłość pomiń instalację skanerów: PC Tools (SpywareDoctor i podobne) oraz SpyBot Search & Destroy. Firma PC Tools (przejęta przez Symantec) wycofała wszystkie produkty typu zabezpieczającego, a to co portale linkują to stare instalacje. Spybot zaś to lata świetności ma za sobą. Przeprowadź następujące działania: 1. Rozpocznij od poprawnych deinstalacji via Panel sterowania: - Ów podejrzany moters oraz posiadający w instalatorze adware YTD Video Downloader 4.8.6. - Stare wersje: Adobe Flash Player 13 ActiveX, Adobe Flash Player 13 Plugin, Browser Guard 4.0, Java 7 Update 67 (64-bit), Java 7 Update 67, PC Tools Spyware Doctor 9.1, Spybot - Search & Destroy. Na razie nie instaluj najnowszych wersji Adobe i Java, to wykonamy na szarym końcu. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {10ED41E6-56A9-49B8-9B91-DB53D22C0AD0} - \38d6cf61-3374-443f-aafb-f26c369089da-5 No Task File Task: {32506F30-4DF2-4BA1-91B0-747A2F353908} - \5d19c432-b462-4d53-bfa4-1b4553b2919f-11 No Task File Task: {4E2E592B-E7B2-4B99-91BC-49E234BBA825} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-5 No Task File Task: {51BFB665-A53C-40AB-91B6-96222EAA1DE1} - \5d19c432-b462-4d53-bfa4-1b4553b2919f-6 No Task File Task: {51FEC971-21F2-4323-95D8-F48F6FBE34DF} - \5d19c432-b462-4d53-bfa4-1b4553b2919f-5 No Task File Task: {5F2722D0-7134-449D-89DB-46AAC5282BF5} - \5d19c432-b462-4d53-bfa4-1b4553b2919f-1 No Task File Task: {5FEEB01D-A466-47AD-9C61-4AC104575F87} - \ShopperPro No Task File Task: {608AFDFE-45E8-456C-9F9A-14531E66457A} - System32\Tasks\CDCJ => C:\Users\strona ogolna\AppData\Roaming\CDCJ.exe Task: {68C7F1EA-9F7A-49F8-B67F-A0F5B745C04F} - \ShopperProJSUpd No Task File Task: {724C4306-5726-4F41-B0A7-7F9670312D2E} - \38d6cf61-3374-443f-aafb-f26c369089da-7 No Task File Task: {818ADB85-C0A4-49E0-A564-967B362EFEEC} - \38d6cf61-3374-443f-aafb-f26c369089da-6 No Task File Task: {89D19E81-1674-4C95-80E7-DA98CB713002} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-3 No Task File Task: {8B7952A5-3B9A-4AC9-B14E-57478F32ADFC} - \5d19c432-b462-4d53-bfa4-1b4553b2919f-4 No Task File Task: {8D931D4B-EC35-45B3-804C-5C6D58A8EDA7} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-7 No Task File Task: {8E3390E5-D0A7-4109-8FD3-9012CFA57BE4} - System32\Tasks\PLFNMXK => C:\Users\strona ogolna\AppData\Roaming\PLFNMXK.exe Task: {9F488B27-2D51-45FD-A0C4-4962A2DB478C} - \38d6cf61-3374-443f-aafb-f26c369089da-2 No Task File Task: {B86AD45D-AB3F-45D8-8BA2-28835A196D69} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-2 No Task File Task: {B9DD0C6A-5850-4F55-8384-9BD879184A15} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-4 No Task File Task: {C0F8BFF0-C302-4931-89E1-F9D0ECD087DE} - \38d6cf61-3374-443f-aafb-f26c369089da-11 No Task File Task: {C71E5AE4-F1A0-41E2-8544-4C3F0E44F8BE} - \38d6cf61-3374-443f-aafb-f26c369089da-4 No Task File Task: {C93178E7-5C01-48FB-9E8D-D630223D7FDC} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-1 No Task File Task: {CDD07EE8-8C6A-4D7B-9B31-FC314ABF713A} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-6 No Task File Task: {D6117D6A-0C32-4CEE-8AD7-6A2A7B622EAB} - \AmiUpdXp No Task File Task: {DD2DA169-F6FF-4F03-9FE4-C107ABE7C493} - \SPDriver No Task File Task: {DEE42854-D4F4-4514-830A-979D854357A6} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS.exe Task: {E8B88926-A459-470A-8A4E-1A7B52CBA1C1} - \5d19c432-b462-4d53-bfa4-1b4553b2919f-2 No Task File Task: {EE0F5446-CFAF-4319-946B-C5CACEFB129F} - \5d19c432-b462-4d53-bfa4-1b4553b2919f-7 No Task File Task: {F02B92FA-05C4-4024-BE81-723F9761FAB1} - \9c23cb06-c33e-43b7-a2df-6662fee6a391-11 No Task File Task: {FBA692E0-2391-4AD5-9FE7-9043EC3231D3} - \38d6cf61-3374-443f-aafb-f26c369089da-1 No Task File Task: C:\Windows\Tasks\AutoKMS.job => C:\Windows\AutoKMS.exe Task: C:\Windows\Tasks\CDCJ.job => C:\Users\strona ogolna\AppData\Roaming\CDCJ.exe Task: C:\Windows\Tasks\PLFNMXK.job => C:\Users\strona ogolna\AppData\Roaming\PLFNMXK.exe BootExecute: PDBoot.exeautocheck autochk * sdnclean64.exe Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] C:\Program Files (x86)\globalUpdate C:\ProgramData\Temp C:\Users\strona ogolna\AppData\Local\9522 C:\Users\strona ogolna\AppData\Local\nscB2C.tmp C:\Users\strona ogolna\AppData\Local\globalUpdate C:\Users\strona ogolna\AppData\Roaming\moters Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PDAgent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PDEngine" /f CMD: type "C:\Users\strona ogolna\AppData\Roaming\Mozilla\Firefox\Profiles\u0ejhi95.default\user.js" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Zadania w większości wykonane, ale nadal jest problem z Dziennikiem zdarzeń. Kolejna porcja czynności. Otwórz Notatnik i wklej w nim: S3 ACDaemon; C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe [X] FF Plugin-x32: @java.com/DTPlugin,version=10.5.1 -> C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation) C:\Windows\SysWOW64\deployJava1.dll RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\MyFree Codec RemoveDirectory: C:\Users\Remek\Desktop\Stare dane programu Firefox ListPermissions: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Eventlog /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Winmgmt /s File: C:\Windows\system32\wevtsvc.dll Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Widzę, że skrypt stopuje na komendach Reg. Zrobiłam literówkę w jednej z komend (brak spacji). Powtórz skrypt z korektą: Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {4A8BEE02-05E0-4B87-95BF-D88D61B264E3} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {4A8BEE02-05E0-4B87-95BF-D88D61B264E3} /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg delete "HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f HKU\S-1-5-21-3670591184-648614672-2990897947-1002\...\RunOnce: [] => [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Jeśli i tym razem będą problemy, podam inne instrukcje, by wykonać te same zadania. .

Wszystko gładko poszło, infekcje nie są już czynne. Jest tu jeszcze jakiś problem z Dziennikiem zdarzeń oraz wymagane inne poprawki: 1. Zapomniałam załączyć do deinstalacji JavaFX 2.1.1 i MyFreeCodec (zbędnik Samsung Kies), więc odinstaluj. 2. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: S0 Lbd; system32\DRIVERS\Lbd.sys [X] Task: {615DE320-375D-4EDB-8DAE-2930E930388F} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Task: C:\Windows\Tasks\Ad-Aware Update (Weekly).job => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File DPF: HKLM-x32 {8AD9C840-044E-11D1-B3E9-00805F499D93} DPF: HKLM-x32 {CAFEEFAC-0017-0000-0067-ABCDEFFEDCBA} DPF: HKLM-x32 {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} C:\aaw7boot.log C:\Program Files\SkanerOnline C:\Program Files (x86)\Astroburn Toolbar C:\Program Files (x86)\FlashGet Network C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Java C:\Program Files (x86)\Lavasoft C:\Program Files (x86)\Opera C:\Program Files (x86)\SupTab C:\Program Files (x86)\Temp C:\Program Files (x86)\v9Soft C:\ProgramData\Ask C:\ProgramData\Astroburn Lite C:\ProgramData\boost_interprocess C:\ProgramData\Lavasoft C:\ProgramData\McAfee C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\Oracle C:\ProgramData\Partner C:\ProgramData\Sun C:\ProgramData\{*}.log C:\Users\Remek\AppData\Local\cache C:\Users\Remek\AppData\Local\genienext C:\Users\Remek\AppData\Local\globalUpdate C:\Users\Remek\AppData\Local\Opera Software C:\Users\Remek\AppData\Local\Sunbelt Software C:\Users\Remek\AppData\Local\uninst.tmp C:\Users\Remek\AppData\LocalLow\boost_interprocess C:\Users\Remek\AppData\LocalLow\facemoods.com C:\Users\Remek\AppData\LocalLow\Oracle C:\Users\Remek\AppData\LocalLow\Sun C:\Users\Remek\AppData\LocalLow\Temp C:\Users\Remek\AppData\Roaming\FlashGet C:\Users\Remek\AppData\Roaming\FlashGetBHO C:\Users\Remek\AppData\Roaming\Mozilla\Firefox\Profiles\sd9ervls.default C:\Users\Remek\AppData\Roaming\Opera Software C:\Users\Remek\AppData\Roaming\ISXX C:\Users\Remek\AppData\Roaming\NSUROF C:\Users\Remek\AppData\Roaming\RI C:\Users\Remek\AppData\Roaming\SELU C:\Users\Remek\AppData\Roaming\VIQHFUCG C:\Users\Remek\AppData\Roaming\WEMJ C:\Windows\SysWOW64\rp_rules.dat C:\Windows\SysWOW64\rp_stats.dat CMD: sc config Eventlog start= auto Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie kolejny plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Adres wyiksowałam, by nikt tam nie klikał. Z daleka od takich stron, które niby oferują rozwiązania błędów, ale trzeba jakiś "skaner" stamtąd ściągać. To typowe manipulacje, by przekonać do niepożądanych instalacji. Nazwa aplikacji powodującej błąd: iexplore.exe, wersja: 11.0.9600.17420, sygnatura czasowa: 0x545ad233 Nazwa modułu powodującego błąd: MSHTML.dll, wersja: 11.0.9600.17420, sygnatura czasowa: 0x545ae63c Błąd powoduje jeden z modułów Microsoftu, więc trudno tu cokolwiek powiedzieć na ten temat. Skoro obecnie IE chodzi poprawnie, nasuwa się: 1. Wg raportu 12 listopada odbyła się jakaś aktualizacja Windows, która zaaplikowała nowe wersje niektórych plików silnika IE (w tym ów wymieniany jako moduł powodujący błąd), więc być może to rozwiązało problem. ==================== One Month Created Files and Folders ======== 2014-11-12 10:07 - 2014-11-06 04:10 - 19781632 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll 2. Albo wyłączenie starych lub niekompatybilnych dodatków. Widzę, że manipulowałeś jakimś menedżerem i wyłączone są w IE rozszerzenia FlipAlbum / FlipViewer (to są straszne starocie i nie wykluczone, że mogą powodować problemy) i RealPlayer. Te wpisy i tak usunę. BHO: No Name -> Disabled:{3049C3E9-B461-4BC5-8870-4C09146192CA} -> No File BHO: No Name -> Disabled:{4401FDC3-7996-4774-8D2B-C1AE9CD6CC25} -> No File A ten błąd (nie powiązany z powyższym problemem IE) nadal występuje, ale to już omawialiśmy wiele razy: System errors: ============= Error: (11/18/2014 05:12:09 PM) (Source: Microsoft-Windows-Kernel-Processor-Power) (EventID: 6) (User: ZARZĄDZANIE NT) Description: Niektóre funkcje zarządzania energią procesora w czasie wydajności zostały wyłączone z powodu znanego problemu z oprogramowaniem układowym. Skontaktuj się z producentem komputera w celu uzyskania aktualizacji oprogramowania układowego. W raportach brak oznak infekcji. Tylko kosmetyka do wykonania (usunięcie pustych wpisów i czyszczenie Temp). Otwórz Notatnik i wklej w nim: CloseProcesses: S3 ASCAntivirusSrv; No ImagePath BootExecute: BHO: No Name -> Disabled:{3049C3E9-B461-4BC5-8870-4C09146192CA} -> No File BHO: No Name -> Disabled:{4401FDC3-7996-4774-8D2B-C1AE9CD6CC25} -> No File Toolbar: HKU\S-1-5-21-4045998331-1084192385-2102066057-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File C:\Program Files\mozilla firefox\plugins C:\ProgramData\PC1Data C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk C:\Users\Tadeusz\AppData\Roaming\Mozilla\Firefox\Profiles\ygqgnt9d.default-1407678463037\Extensions\adremoveext@adremoveext.net Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\${searchCLSID}" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\BBA405ADD7B17A75BFCF151CDA60224C" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f RemoveDirectory: C:\Users\Administrator EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. .

Potem będą do wdrożenia jeszcze drobniejsze korekty, obecnie nie jest to istotne. Widoczne składniki infekcji zostały usunięte, są w kwarantanie C:\FRST\Quarantine, ale nie zadaję usuwania jej (obiekty w niej nie mogą się już uruchomić i poczynić szkód), by ograniczyć zapisy na dysku. I próbuj TestDisk, by sprawdzić czy on w ogóle jest w stanie znaleźć niezaszyfrowane poprzednie wersje plików. Czy na koncie Krzych proste ponowne ustawienie tapety w opcjach Windows jest możliwe / likwiduje niebieskie tło? Jeśli chodzi o problem bad sectorów, to niezbędna jest diagnostyka sprzętowa dysku. W zależności od wyników tej operacji może się okazać, że będzie do przeprowadzenia radykalna operacja. Założ nowy temat w dziale Hardware podając wymagane dane: KLIK. Zlinkuj do tego tematu, by wiedzieli jaka jest geneza problemu. .

Temat przenoszę do działu Windows 7. Rozwiń ten temat. Dokładnie opisz co się dzieje i jakie są błędy. Po pierwsze: widzę że próbujesz edytować w gałęzi HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002. Jedyna jaką należy edytować to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet, czyli bieżąca używana przez system, która linkuje do stosownego klucza ControlSet00x, w tym przypadku prawdopodobnie ControlSet001. Edycja w CurrentControlSet automatycznie aktualizuje ControlSet001. Pozostałe kopie konfiguracyjne to Ostatnia poprawna konfiguracja (tu prawdopodobnie ControlSet002) oraz kopie typu Failed. Nie ma sensu edytować innych kopii konfiguacyjnych niż bieżąca CurrentControlSet. Po drugie: blokada Properties to normalny stan w kluczach Enum, ale w związku z powyższym (lokalizacja w alternatywnej kopii ControlSet002) nie ma sensu tego edytować, jest to nieużywana kopia nie mająca wpływu na zachowanie systemu, gdyż egzekwowana tylko w przypadku F8 > Ostatnia poprawna konfiguracja. Jeśli trzeba będzie usunąć jakieś zablokowane wpisy z gałęzi CurrentControlSet, wtedy podam jak. Na razie problem jest w ogóle niejasny i nie wiadomo co się dzieje z drukarką i czy obrana metoda naprawy jest właściwą.

Reczywiście, rozszerzenie adware w Operze nie było już obecne na tym etapie. Zadania wykonane, ale AdwCleaner się pomylił i skasował folder rozszerzenia Skype Click to Call z Google Chrome, więc Ustawienia > karta Rozszerzenia > odinstaluj odpadkowy wpis. I kończymy: 1. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 2. Rozważ aktualizację systemu do wersji Windows 8.1, stan obecny: Platform: Windows 8 (X64) OS Language: Polski (Polska) Internet Explorer Version 10

Jeśli chodzi o czyszczenie ze śmieci, to wiadome kroki końcowe: KLIK. W Autoruns w karcie Services wyłącz SkypeUpdate, w karcie Logon możesz odfajkować te pozycje: ==================== Registry (Whitelisted) ================== HKLM\...\Run: [smartMenu] => C:\Program Files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe [610872 2009-07-21] () HKLM-x32\...\Run: [HPCam_Menu] => c:\Program Files (x86)\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe [218408 2009-02-25] (CyberLink Corp.) HKLM-x32\...\Run: [updatePRCShortCut] => C:\Program Files (x86)\Hewlett-Packard\Recovery\MUITransfer\MUIStartMenu.exe [222504 2009-05-19] (CyberLink Corp.) HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe [35696 2009-02-27] (Adobe Systems Incorporated) HKLM-x32\...\Run: [HP Software Update] => C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe [54576 2009-11-18] (Hewlett-Packard) HKLM-x32\...\Run: [NeroCheck] => C:\Windows\SysWOW64\NeroCheck.exe [155648 2001-07-09] (Ahead Software Gmbh) HKLM-x32\...\Run: [GrooveMonitor] => C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation) Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk Zaś w karcie Scheduled Tasks te: ==================== Scheduled Tasks (whitelisted) ============= Task: {6C459576-2F9F-4ADF-BB87-DBFA7BFD2CDC} - System32\Tasks\HPCeeScheduleForjustyna i darek => C:\Program Files (x86)\hewlett-packard\sdp\ceement\HPCEE.exe [2009-05-26] (Hewlett-Packard) Task: {6F3E82CE-3F4F-4CBA-A059-B63C56F594B7} - System32\Tasks\CapUninst => c:\Program Files (x86)\Hewlett-Packard\Media\Live TV\Kernel\TV\CapUninst.exe [2009-07-24] (CL) Task: {8FA9A04F-2770-428C-9500-BBE862315F64} - System32\Tasks\DVDAgent => c:\Program Files (x86)\Hewlett-Packard\Media\DVD\DVDAgent.exe [2009-07-23] (CyberLink Corp.) Task: {9E9EFC31-286C-449F-BD57-710BFE369067} - System32\Tasks\CapSvcInst => c:\Program Files (x86)\Hewlett-Packard\Media\Live TV\Kernel\TV\CapSvcInst.exe [2009-07-24] (CL) Task: {A4EE0181-8FA5-4EFB-8FFB-C4F13F934366} - System32\Tasks\CLMLSvc => c:\Program Files (x86)\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe [2009-07-23] (CyberLink) Task: {A6839CC1-264B-4293-B88D-A5D34FD4C9CD} - System32\Tasks\CapSchedInst => c:\Program Files (x86)\Hewlett-Packard\Media\Live TV\Kernel\TV\CapSchedInst.exe [2009-07-24] (CL) Task: {EF3869C0-5033-40BE-9CCD-44223BABABC7} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HPSAObjUtilTask => C:\Program Files (x86)\Hewlett-Packard\HP Health Check\ActiveCheck\product_line\UtilTask.exe [2013-02-12] (Microsoft) Task: {F02C10F7-5933-465D-8622-785D40D3FB51} - System32\Tasks\TVAgent => c:\Program Files (x86)\Hewlett-Packard\Media\Live TV\TVAgent.exe [2009-07-24] (CyberLink Corp.) Task: C:\Windows\Tasks\HPCeeScheduleForjustyna i darek.job => C:\Program Files (x86)\hewlett-packard\sdp\ceement\HPCEE.exe Część z nich mogłaby zniknąć po deinstalacji określonych rzeczy. Jeśli chodzi o deinstalację, to można się pozbyć tego wszystkiego: ==================== Installed Programs ====================== Adobe Reader 9.1 - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-A91000000001}) (Version: 9.1.0 - Adobe Systems Incorporated) CyberLink DVD Suite (HKLM-x32\...\InstallShield_{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}) (Version: 6.0.3101 - CyberLink Corp.) HP Advisor (HKLM-x32\...\{B53E61D7-7C80-40DF-82D2-CF5390D6D20A}) (Version: 3.2.8946.3086 - Hewlett-Packard) HP Customer Experience Enhancements (HKLM-x32\...\{5B295588-59C1-4386-9F85-BB4BEDCB0D22}) (Version: 5.7.0.3036 - Hewlett-Packard) HP Customer Participation Program 14.0 (HKLM\...\HPExtendedCapabilities) (Version: 14.0 - HP) HP MediaSmart DVD (HKLM-x32\...\InstallShield_{DCCAD079-F92C-44DA-B258-624FC6517A5A}) (Version: 3.0.3123 - Hewlett-Packard) HP MediaSmart Internet TV (HKLM-x32\...\InstallShield_{E553760D-D7F7-48BF-BD8B-C7E23BA04CB5}) (Version: 3.0.1916 - Hewlett-Packard) HP MediaSmart Live TV (HKLM-x32\...\InstallShield_{67626E09-5366-4480-8F1E-93FADF50CA15}) (Version: 3.0.1924 - Hewlett-Packard) HP MediaSmart Movie Themes (HKLM-x32\...\InstallShield_{3023EBDA-BF1B-4831-B347-E5018555F26E}) (Version: 3.0.3102 - Hewlett-Packard) HP MediaSmart Music/Photo/Video (HKLM-x32\...\InstallShield_{B2EE25B9-5B00-4ACF-94F0-92433C28C39E}) (Version: 3.0.3123 - Hewlett-Packard) HP MediaSmart SmartMenu (HKLM\...\{88E60521-1E4E-4785-B9F1-1798A4BD0C30}) (Version: 3.0.30.1 - Hewlett-Packard) HP MediaSmart Webcam (HKLM-x32\...\InstallShield_{01FB4998-33C4-4431-85ED-079E3EEFE75D}) (Version: 3.0.1913 - Hewlett-Packard) HP Support Assistant (HKLM-x32\...\{4F46FDB9-B906-47BF-B3D5-C62E01B3C5EE}) (Version: 4.1.11.3 - Hewlett-Packard) HP Update (HKLM-x32\...\{74DC0593-6BC6-4001-AD5F-D810AFB68D86}) (Version: 5.002.002.002 - Hewlett-Packard) HP User Guides 0153 (HKLM-x32\...\{2EBA8202-FBD5-4004-81EA-BDC38C054CE2}) (Version: 1.01.0000 - Hewlett-Packard) LabelPrint (HKLM-x32\...\InstallShield_{C59C179C-668D-49A9-B6EA-0121CCFC1243}) (Version: 2.5.1913 - CyberLink Corp.) Power2Go (HKLM-x32\...\InstallShield_{40BF1E83-20EB-11D8-97C5-0009C5020658}) (Version: 6.0.3101 - CyberLink Corp.) PowerDirector (HKLM-x32\...\InstallShield_{CB099890-1D5F-11D5-9EA9-0050BAE317E1}) (Version: 7.0.3101 - CyberLink Corp.) Shop for HP Supplies (HKLM\...\Shop for HP Supplies) (Version: 14.0 - HP) Czyli głównie "pomoce", "uczestnictwo w supporcie" i instalacje multimedialne. Nie ruszam żadnych obiektów HP związanych z funkcjami sprzętowymi. .

Czy na pewno to log FRST po zaimportowaniu pliku FIX.REG i bez wykonania żadnych innych kombinacji jak cofanie systemu wstecz z trefnej kopii zapasowej? W logu FRST nadal brak usługi Netman.

Tak, w systemie są czynne infekcje, w tym Sathurbot ładowany metodą ShellIconOverlayIdentifiers. Ponadto są też liczne wpisy odpadkowe adware (m.in. przekierowania istartsurf.com). Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe ShellIconOverlayIdentifiers: [1SecureIconsProvider] -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\ProgramData\Microsoft\Secure\Icons\SecureIconsProvider.dll () HKU\S-1-5-21-553344540-897006182-1067068338-1000\...\Run: [iZsoft] => regsvr32.exe C:\Users\Remek\AppData\Local\IZsoft\Acrofx32.dll HKU\S-1-5-21-553344540-897006182-1067068338-1000\...\Run: [iksoft] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Remek\AppData\Local\Ugmedia\Acrofx32.dll HKU\S-1-5-21-553344540-897006182-1067068338-1000\...\Policies\Explorer: [Run] "C:\Users\Remek\AppData\Roaming\Microsoft\Windows\IEUpdate\esentutl.exe" Reg: reg query HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce HKU\S-1-5-18\...\RunOnce: [Application Restart #2] => C:\Windows\SysWOW64\calc.exe [776192 2010-11-20] (Microsoft Corporation) BootExecute: autocheck autochk * lsdelete S2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe -service [X] S3 KiesAllShare; C:\Program Files (x86)\Samsung\Kies\WiselinkPro\WiselinkPro.exe [X] S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 GPU-Z; \??\C:\Users\Remek\AppData\Local\Temp\GPU-Z.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] U3 tmlwf; No ImagePath U3 tmwfp; No ImagePath Task: {296C04A8-FA06-460F-B2CC-5B0F211837A2} - System32\Tasks\RI => C:\Users\Remek\AppData\Roaming\RI.exe Task: {2D7D7070-A6F2-4A0B-989D-929A5D843999} - \Security Center Update - 3469905027 No Task File Task: {44964D54-A3A5-4B7C-AB80-40A05E58AC04} - System32\Tasks\{0F5489D2-F6D9-40DF-A18E-F15B1A266CE5} => D:\gry\Total War Shogun 2\Shogun2.exe Task: {667C0599-BD1A-413B-A92C-A039A1E01175} - System32\Tasks\{7EAE4927-8A23-423A-B96D-79524BED8A8A} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=5.1.0.112.259&LastError=0 Task: {C8E21006-6E2E-4EF5-8CAD-EB6E1A9D8712} - System32\Tasks\SELU => C:\Users\Remek\AppData\Roaming\SELU.exe Task: {D418128A-7712-45F1-A1FA-FE8B62F98BEC} - System32\Tasks\ISXX => C:\Users\Remek\AppData\Roaming\ISXX.exe Task: {EEE16566-BFFE-429E-BE04-D8D0126A311F} - System32\Tasks\VIQHFUCG => C:\Users\Remek\AppData\Roaming\VIQHFUCG.exe Task: {EFBB96C5-C6BF-4C1F-994B-043B0553F2A0} - System32\Tasks\NSUROF => C:\Users\Remek\AppData\Roaming\NSUROF.exe Task: {F238DCBF-E828-4C73-9605-8B46CC7036E2} - System32\Tasks\WEMJ => C:\Users\Remek\AppData\Roaming\WEMJ.exe Task: {F2B5BCBC-30E7-416B-89CF-2B853CFB4634} - System32\Tasks\{8F931B67-8B77-405E-8DA2-3AE9B6C6FBF6} => D:\gry\Total War Shogun 2\Shogun2.exe Task: C:\Windows\Tasks\ISXX.job => C:\Users\Remek\AppData\Roaming\ISXX.exe Task: C:\Windows\Tasks\NSUROF.job => C:\Users\Remek\AppData\Roaming\NSUROF.exe Task: C:\Windows\Tasks\RI.job => C:\Users\Remek\AppData\Roaming\RI.exe Task: C:\Windows\Tasks\SELU.job => C:\Users\Remek\AppData\Roaming\SELU.exe Task: C:\Windows\Tasks\VIQHFUCG.job => C:\Users\Remek\AppData\Roaming\VIQHFUCG.exe Task: C:\Windows\Tasks\WEMJ.job => C:\Users\Remek\AppData\Roaming\WEMJ.exe ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKU\S-1-5-21-553344540-897006182-1067068338-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKU\S-1-5-21-553344540-897006182-1067068338-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> DefaultScope {0D7562AE-8EF6-416d-A838-AB665251703A} URL = http://start.facemoods.com/?a=ostpl&s={searchTerms}&f=4 SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> {0D7562AE-8EF6-416d-A838-AB665251703A} URL = http://start.facemoods.com/?a=ostpl&s={searchTerms}&f=4 SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> {5F970FDE-702B-4ef9-920C-5F2848A5AF26} URL = http://www.daemon-search.com/search/web?q={searchTerms} SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search/web?q={searchTerms} SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> {E8FA2325-7F80-4757-83C1-4DA099082835} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=F9A780BD-8EF8-4ACB-B625-28DB11D43D6E&apn_sauid=FCD22013-E420-4A72-ADE2-B432F89CD7DE BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File BHO-x32: No Name -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> No File Toolbar: HKLM - No Name - {EFEED92A-A33D-4873-BA8F-32BAA631E54D} - No File Toolbar: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab FF HKLM-x32\...\Firefox\Extensions: [{23fcfd51-4958-4f00-80a3-ae97e717ed8b}] - C:\Program Files (x86)\DivX\DivX Plus Web Player\firefox\DivXHTML5 FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Remek\AppData\Roaming\Mozilla\Firefox\Profiles\5xlcivj9.default-1341663662249\extensions\faststartff@gmail.com C:\Program Files (x86)\mozilla firefox\browser\searchplugins\istartsurf.xml C:\Program Files (x86)\mozilla firefox\extensions C:\Program Files (x86)\mozilla firefox\plugins C:\Program Files (x86)\hdvidcodec.com C:\ProgramData\*.dll C:\ProgramData\IePluginServices C:\ProgramData\Microsoft\Secure C:\ProgramData\Temp C:\ProgramData\WindowsMangerProtect C:\Users\Remek\AppData\Local\IZsoft C:\Users\Remek\AppData\Local\Mobogenie C:\Users\Remek\AppData\Local\Ugmedia C:\Users\Remek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\hdvidcodec.com C:\Users\Remek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\Remek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\Remek\AppData\Roaming\newnext.me C:\Users\Remek\AppData\Roaming\Temp C:\Users\Remek\AppData\Roaming\VOPackage C:\Users\Remek\AppData\Roaming\WebExtend C:\Users\Remek\AppData\Roaming\Zaboti C:\Users\Remek\AppData\Roaming\Microsoft\Windows\IEUpdate C:\Users\serwis\AppData\Roaming\Asus WebStorage C:\Windows\system32\Drivers\etc\hosts.txt Hosts: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\VOPackage /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Remek\AppData\Local CMD: dir /a C:\Users\Remek\AppData\LocalLow CMD: dir /a C:\Users\Remek\AppData\Roaming CMD: dir /a C:\Users\Remek\AppData\Roaming\Microsoft\Windows Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj stare wersje: Acrobat.com, Ad-Aware, Adobe Flash Player 10 ActiveX, Java 7 Update 67. 3. Wyczyść Firefox ze śmieci: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie potem przeinstalować. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Nie podałeś w czym Avast wykrył "Win32:Evo-gen [susp]" - podaj konkretną ścieżkę dostępu do pliku. W raportach nie widać żadnych oznak czynnej infekcji. 1. W ramach kosmetyki usuń mikro odpadki adware, inne puste wpisy i wyczyść Tempy. Otwórz Notatnik i wklej w nim: Task: {9081BA70-BEE2-497B-9617-D12EFB8A6537} - System32\Tasks\Installer_sense => C:\Users\user\AppData\Local\Installer\Installsense_32682\delay.exe Task: {C232B0D1-6CDD-4DD0-9525-5E7172D52384} - \Installer_iwebar No Task File Task: {E26C201D-2CDF-4DAD-85C5-1814DBD22839} - System32\Tasks\{D4AB1010-FAD8-4776-8815-331E79FF3F56} => Chrome.exe http://ui.skype.com/ui/0/6.18.0.106/pl/abandoninstall?page=tsProgressBar Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X] S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk C:\ProgramData\TEMP C:\Users\Public\Documents\ShopperPro Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. I pokaż też logi z folderu C:\AdwCleaner (był używany). 2. Specjalny skrót Internet Explorer jest uszkodzony: Shortcut: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff .

Czyli jest jednak "BRAK" - to właśnie ta pozycja powoduje ten błąd. Monitoring nie może być włączony dla dysku, który nie istnieje, nawet jeśli to stan "przejściowy". Wyłącz ochronę dla tego "BRAK", a pozycja powinna zniknąć z okna, zaś błąd ustąpić.

Bonifacy skorygowałam w skinie ten defekt pojawiający się przy stosowaniu opcji "Powiększaj tylko tekst".

Prosiłam również o główny zrzut ekranu okna z listą woluminów.

Jeśli chodzi o czyszczenie ze śmieci, to kończymy. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. - Co to dokładnie za model laptopa? - Czy połączenie kablowe na pewno działało wcześniej? - Co widzisz w Menedżerze urządzeń (w menu Widok włącz pokazywanie ukrytych urządzeń) - czy są jakieś urządzenia z wykrzyknikiem bądź pytajnikiem, czy w Kartach sieciowych jest w ogóle wykryte urządzenie związane z tym połączeniem? .

Akcja wykonana. Kończymy: 1. Nie zauważyłam, że po deinstalacjach ostał się wpis niebezpiecznej wersji Java™ 6 Update 22. Był jakiś problem z deinstalacją? Skorzystaj z JavaRA, by się tego pozbyć: KLIK. 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. Do aktualizacji cały system: KLIK. Stan obecny (brak SP1, IE11 i reszty łat): Platform: Windows 7 Ultimate (X64) OS Language: Polski (Polska) Internet Explorer Version 8

Drobne poprawki. Otwórz Notatnik i wklej w nim: Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {4A8BEE02-05E0-4B87-95BF-D88D61B264E3} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {4A8BEE02-05E0-4B87-95BF-D88D61B264E3} /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg delete "HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main"/f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f HKU\S-1-5-21-3670591184-648614672-2990897947-1002\...\RunOnce: [] => [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Ten rodzaj infekcji prawdopodobnie dostał się na komputer za pomocą e-mail ze szkodliwym załącznikiem. Czy przypominasz sobie coś w tym stylu? Przechodzimy do usuwania czynnej infekcji oraz odpadków adware. Operacje zapisu na dysku ograniczone do niezbędnego minimum jakie jest możliwe w tym przypadku, by ograniczyć zamazywanie miejsc. Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Startup: C:\Documents and Settings\Krzych\Menu Start\Programy\Autostart\bytor.bmp () Startup: C:\Documents and Settings\Krzych\Menu Start\Programy\Autostart\msiexec.exe (Disc Soft Ltd) C:\Documents and Settings\Krzych\Dane aplikacji\bytor.bmp C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\IBUpdaterService C:\Documents and Settings\Krzych\Dane aplikacji\Babylon C:\Documents and Settings\Krzych\Dane aplikacji\newnext.me C:\Documents and Settings\Krzych\Dane aplikacji\PerformerSoft C:\WINDOWS\DUMP*.tmp AppInit_DLLs: c:\docume~1\alluse~1\daneap~1\browse~1\261095~1.52\{c16c1~1\browse~1.dll => c:\docume~1\alluse~1\daneap~1\browse~1\261095~1.52\{c16c1~1\browse~1.dll File Not Found HKU\S-1-5-21-507921405-1078081533-725345543-1003\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141110 HKU\S-1-5-21-507921405-1078081533-725345543-1003\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.onet.pl/ HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141110 SearchScopes: HKCU - bProtectorDefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119816&babsrc=SP_ss&mntrId=84cfa29e00000000000000112fa872b0 Toolbar: HKU\S-1-5-21-507921405-1078081533-725345543-1003 -> DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll No File Toolbar: HKU\S-1-5-21-507921405-1078081533-725345543-1003 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File HKU\S-1-5-21-507921405-1078081533-725345543-1003\...\Run: [MSMSGS] => "C:\Program Files\Messenger\msmsgs.exe" /background HKU\S-1-5-21-507921405-1078081533-725345543-1003\...\MountPoints2: {cdf60b7b-78f7-11e2-bb14-00112fa872b0} - P:\SETUP.exe S2 avast! Firewall; "C:\Program Files\AVAST Software\Avast\afwServ.exe" [X] S1 aswKbd; \??\C:\WINDOWS\system32\drivers\aswKbd.sys [X] S3 CtClsFlt; system32\DRIVERS\CtClsFlt.sys [X] Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693} /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, plansza okupu powinna zniknąć. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W systemie są dwa czynne konta: ========================= Accounts: ========================== Gabi (S-1-5-21-507921405-1078081533-725345543-1004 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Gabi Krzych (S-1-5-21-507921405-1078081533-725345543-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Krzych Dotychczas było weryfikowane konto Krzych. Potrzebne sprawdzenie obu kont. Zaloguj się po kolei na każde poprzez pełny restart komputera (a nie opcję Wyloguj czy Prełącz użytkownika) i na każdym zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. PS. Dodam jeszcze, że klaruje się również problem sprzętowy. Dziennik zdarzeń notuje bad sektory na jednym z dysków: System errors: ============= Error: (11/17/2014 05:40:09 PM) (Source: 0) (EventID: 7) (User: ) Description: \Device\Harddisk2\D Gdy uporamy się z podstawową sprawą tutaj, wyślę Cię do działu Hardware na diagnostykę dysków twardych. .

Fix wykonany pomyślnie. Ostatni skrypt do FRST: C:\Users\justyna\AppData\Local\*.txt C:\Users\justyna\AppData\Roaming\PhotoFiltre 7 RemoveDirectory: C:\FRST\Quarantine Przedstaw wykonikowy fixlog.txt. Czy ten efekt nadal występuje? .