picasso

Jeśli chodzi o czyszczenie ze śmieci, to wiadome kroki końcowe: KLIK. W Autoruns w karcie Services wyłącz SkypeUpdate, w karcie Logon możesz odfajkować te pozycje: ==================== Registry (Whitelisted) ================== HKLM\...\Run: [smartMenu] => C:\Program Files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe [610872 2009-07-21] () HKLM-x32\...\Run: [HPCam_Menu] => c:\Program Files (x86)\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe [218408 2009-02-25] (CyberLink Corp.) HKLM-x32\...\Run: [updatePRCShortCut] => C:\Program Files (x86)\Hewlett-Packard\Recovery\MUITransfer\MUIStartMenu.exe [222504 2009-05-19] (CyberLink Corp.) HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe [35696 2009-02-27] (Adobe Systems Incorporated) HKLM-x32\...\Run: [HP Software Update] => C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe [54576 2009-11-18] (Hewlett-Packard) HKLM-x32\...\Run: [NeroCheck] => C:\Windows\SysWOW64\NeroCheck.exe [155648 2001-07-09] (Ahead Software Gmbh) HKLM-x32\...\Run: [GrooveMonitor] => C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation) Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk Zaś w karcie Scheduled Tasks te: ==================== Scheduled Tasks (whitelisted) ============= Task: {6C459576-2F9F-4ADF-BB87-DBFA7BFD2CDC} - System32\Tasks\HPCeeScheduleForjustyna i darek => C:\Program Files (x86)\hewlett-packard\sdp\ceement\HPCEE.exe [2009-05-26] (Hewlett-Packard) Task: {6F3E82CE-3F4F-4CBA-A059-B63C56F594B7} - System32\Tasks\CapUninst => c:\Program Files (x86)\Hewlett-Packard\Media\Live TV\Kernel\TV\CapUninst.exe [2009-07-24] (CL) Task: {8FA9A04F-2770-428C-9500-BBE862315F64} - System32\Tasks\DVDAgent => c:\Program Files (x86)\Hewlett-Packard\Media\DVD\DVDAgent.exe [2009-07-23] (CyberLink Corp.) Task: {9E9EFC31-286C-449F-BD57-710BFE369067} - System32\Tasks\CapSvcInst => c:\Program Files (x86)\Hewlett-Packard\Media\Live TV\Kernel\TV\CapSvcInst.exe [2009-07-24] (CL) Task: {A4EE0181-8FA5-4EFB-8FFB-C4F13F934366} - System32\Tasks\CLMLSvc => c:\Program Files (x86)\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe [2009-07-23] (CyberLink) Task: {A6839CC1-264B-4293-B88D-A5D34FD4C9CD} - System32\Tasks\CapSchedInst => c:\Program Files (x86)\Hewlett-Packard\Media\Live TV\Kernel\TV\CapSchedInst.exe [2009-07-24] (CL) Task: {EF3869C0-5033-40BE-9CCD-44223BABABC7} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HPSAObjUtilTask => C:\Program Files (x86)\Hewlett-Packard\HP Health Check\ActiveCheck\product_line\UtilTask.exe [2013-02-12] (Microsoft) Task: {F02C10F7-5933-465D-8622-785D40D3FB51} - System32\Tasks\TVAgent => c:\Program Files (x86)\Hewlett-Packard\Media\Live TV\TVAgent.exe [2009-07-24] (CyberLink Corp.) Task: C:\Windows\Tasks\HPCeeScheduleForjustyna i darek.job => C:\Program Files (x86)\hewlett-packard\sdp\ceement\HPCEE.exe Część z nich mogłaby zniknąć po deinstalacji określonych rzeczy. Jeśli chodzi o deinstalację, to można się pozbyć tego wszystkiego: ==================== Installed Programs ====================== Adobe Reader 9.1 - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-A91000000001}) (Version: 9.1.0 - Adobe Systems Incorporated) CyberLink DVD Suite (HKLM-x32\...\InstallShield_{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}) (Version: 6.0.3101 - CyberLink Corp.) HP Advisor (HKLM-x32\...\{B53E61D7-7C80-40DF-82D2-CF5390D6D20A}) (Version: 3.2.8946.3086 - Hewlett-Packard) HP Customer Experience Enhancements (HKLM-x32\...\{5B295588-59C1-4386-9F85-BB4BEDCB0D22}) (Version: 5.7.0.3036 - Hewlett-Packard) HP Customer Participation Program 14.0 (HKLM\...\HPExtendedCapabilities) (Version: 14.0 - HP) HP MediaSmart DVD (HKLM-x32\...\InstallShield_{DCCAD079-F92C-44DA-B258-624FC6517A5A}) (Version: 3.0.3123 - Hewlett-Packard) HP MediaSmart Internet TV (HKLM-x32\...\InstallShield_{E553760D-D7F7-48BF-BD8B-C7E23BA04CB5}) (Version: 3.0.1916 - Hewlett-Packard) HP MediaSmart Live TV (HKLM-x32\...\InstallShield_{67626E09-5366-4480-8F1E-93FADF50CA15}) (Version: 3.0.1924 - Hewlett-Packard) HP MediaSmart Movie Themes (HKLM-x32\...\InstallShield_{3023EBDA-BF1B-4831-B347-E5018555F26E}) (Version: 3.0.3102 - Hewlett-Packard) HP MediaSmart Music/Photo/Video (HKLM-x32\...\InstallShield_{B2EE25B9-5B00-4ACF-94F0-92433C28C39E}) (Version: 3.0.3123 - Hewlett-Packard) HP MediaSmart SmartMenu (HKLM\...\{88E60521-1E4E-4785-B9F1-1798A4BD0C30}) (Version: 3.0.30.1 - Hewlett-Packard) HP MediaSmart Webcam (HKLM-x32\...\InstallShield_{01FB4998-33C4-4431-85ED-079E3EEFE75D}) (Version: 3.0.1913 - Hewlett-Packard) HP Support Assistant (HKLM-x32\...\{4F46FDB9-B906-47BF-B3D5-C62E01B3C5EE}) (Version: 4.1.11.3 - Hewlett-Packard) HP Update (HKLM-x32\...\{74DC0593-6BC6-4001-AD5F-D810AFB68D86}) (Version: 5.002.002.002 - Hewlett-Packard) HP User Guides 0153 (HKLM-x32\...\{2EBA8202-FBD5-4004-81EA-BDC38C054CE2}) (Version: 1.01.0000 - Hewlett-Packard) LabelPrint (HKLM-x32\...\InstallShield_{C59C179C-668D-49A9-B6EA-0121CCFC1243}) (Version: 2.5.1913 - CyberLink Corp.) Power2Go (HKLM-x32\...\InstallShield_{40BF1E83-20EB-11D8-97C5-0009C5020658}) (Version: 6.0.3101 - CyberLink Corp.) PowerDirector (HKLM-x32\...\InstallShield_{CB099890-1D5F-11D5-9EA9-0050BAE317E1}) (Version: 7.0.3101 - CyberLink Corp.) Shop for HP Supplies (HKLM\...\Shop for HP Supplies) (Version: 14.0 - HP) Czyli głównie "pomoce", "uczestnictwo w supporcie" i instalacje multimedialne. Nie ruszam żadnych obiektów HP związanych z funkcjami sprzętowymi. .

Czy na pewno to log FRST po zaimportowaniu pliku FIX.REG i bez wykonania żadnych innych kombinacji jak cofanie systemu wstecz z trefnej kopii zapasowej? W logu FRST nadal brak usługi Netman.

Tak, w systemie są czynne infekcje, w tym Sathurbot ładowany metodą ShellIconOverlayIdentifiers. Ponadto są też liczne wpisy odpadkowe adware (m.in. przekierowania istartsurf.com). Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe ShellIconOverlayIdentifiers: [1SecureIconsProvider] -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\ProgramData\Microsoft\Secure\Icons\SecureIconsProvider.dll () HKU\S-1-5-21-553344540-897006182-1067068338-1000\...\Run: [iZsoft] => regsvr32.exe C:\Users\Remek\AppData\Local\IZsoft\Acrofx32.dll HKU\S-1-5-21-553344540-897006182-1067068338-1000\...\Run: [iksoft] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Remek\AppData\Local\Ugmedia\Acrofx32.dll HKU\S-1-5-21-553344540-897006182-1067068338-1000\...\Policies\Explorer: [Run] "C:\Users\Remek\AppData\Roaming\Microsoft\Windows\IEUpdate\esentutl.exe" Reg: reg query HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce HKU\S-1-5-18\...\RunOnce: [Application Restart #2] => C:\Windows\SysWOW64\calc.exe [776192 2010-11-20] (Microsoft Corporation) BootExecute: autocheck autochk * lsdelete S2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe -service [X] S3 KiesAllShare; C:\Program Files (x86)\Samsung\Kies\WiselinkPro\WiselinkPro.exe [X] S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 GPU-Z; \??\C:\Users\Remek\AppData\Local\Temp\GPU-Z.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] U3 tmlwf; No ImagePath U3 tmwfp; No ImagePath Task: {296C04A8-FA06-460F-B2CC-5B0F211837A2} - System32\Tasks\RI => C:\Users\Remek\AppData\Roaming\RI.exe Task: {2D7D7070-A6F2-4A0B-989D-929A5D843999} - \Security Center Update - 3469905027 No Task File Task: {44964D54-A3A5-4B7C-AB80-40A05E58AC04} - System32\Tasks\{0F5489D2-F6D9-40DF-A18E-F15B1A266CE5} => D:\gry\Total War Shogun 2\Shogun2.exe Task: {667C0599-BD1A-413B-A92C-A039A1E01175} - System32\Tasks\{7EAE4927-8A23-423A-B96D-79524BED8A8A} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=5.1.0.112.259&LastError=0 Task: {C8E21006-6E2E-4EF5-8CAD-EB6E1A9D8712} - System32\Tasks\SELU => C:\Users\Remek\AppData\Roaming\SELU.exe Task: {D418128A-7712-45F1-A1FA-FE8B62F98BEC} - System32\Tasks\ISXX => C:\Users\Remek\AppData\Roaming\ISXX.exe Task: {EEE16566-BFFE-429E-BE04-D8D0126A311F} - System32\Tasks\VIQHFUCG => C:\Users\Remek\AppData\Roaming\VIQHFUCG.exe Task: {EFBB96C5-C6BF-4C1F-994B-043B0553F2A0} - System32\Tasks\NSUROF => C:\Users\Remek\AppData\Roaming\NSUROF.exe Task: {F238DCBF-E828-4C73-9605-8B46CC7036E2} - System32\Tasks\WEMJ => C:\Users\Remek\AppData\Roaming\WEMJ.exe Task: {F2B5BCBC-30E7-416B-89CF-2B853CFB4634} - System32\Tasks\{8F931B67-8B77-405E-8DA2-3AE9B6C6FBF6} => D:\gry\Total War Shogun 2\Shogun2.exe Task: C:\Windows\Tasks\ISXX.job => C:\Users\Remek\AppData\Roaming\ISXX.exe Task: C:\Windows\Tasks\NSUROF.job => C:\Users\Remek\AppData\Roaming\NSUROF.exe Task: C:\Windows\Tasks\RI.job => C:\Users\Remek\AppData\Roaming\RI.exe Task: C:\Windows\Tasks\SELU.job => C:\Users\Remek\AppData\Roaming\SELU.exe Task: C:\Windows\Tasks\VIQHFUCG.job => C:\Users\Remek\AppData\Roaming\VIQHFUCG.exe Task: C:\Windows\Tasks\WEMJ.job => C:\Users\Remek\AppData\Roaming\WEMJ.exe ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKU\S-1-5-21-553344540-897006182-1067068338-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKU\S-1-5-21-553344540-897006182-1067068338-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> DefaultScope {0D7562AE-8EF6-416d-A838-AB665251703A} URL = http://start.facemoods.com/?a=ostpl&s={searchTerms}&f=4 SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> {0D7562AE-8EF6-416d-A838-AB665251703A} URL = http://start.facemoods.com/?a=ostpl&s={searchTerms}&f=4 SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1411055437&from=ild&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> {5F970FDE-702B-4ef9-920C-5F2848A5AF26} URL = http://www.daemon-search.com/search/web?q={searchTerms} SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search/web?q={searchTerms} SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> {E8FA2325-7F80-4757-83C1-4DA099082835} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=F9A780BD-8EF8-4ACB-B625-28DB11D43D6E&apn_sauid=FCD22013-E420-4A72-ADE2-B432F89CD7DE BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File BHO-x32: No Name -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> No File Toolbar: HKLM - No Name - {EFEED92A-A33D-4873-BA8F-32BAA631E54D} - No File Toolbar: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab FF HKLM-x32\...\Firefox\Extensions: [{23fcfd51-4958-4f00-80a3-ae97e717ed8b}] - C:\Program Files (x86)\DivX\DivX Plus Web Player\firefox\DivXHTML5 FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Remek\AppData\Roaming\Mozilla\Firefox\Profiles\5xlcivj9.default-1341663662249\extensions\faststartff@gmail.com C:\Program Files (x86)\mozilla firefox\browser\searchplugins\istartsurf.xml C:\Program Files (x86)\mozilla firefox\extensions C:\Program Files (x86)\mozilla firefox\plugins C:\Program Files (x86)\hdvidcodec.com C:\ProgramData\*.dll C:\ProgramData\IePluginServices C:\ProgramData\Microsoft\Secure C:\ProgramData\Temp C:\ProgramData\WindowsMangerProtect C:\Users\Remek\AppData\Local\IZsoft C:\Users\Remek\AppData\Local\Mobogenie C:\Users\Remek\AppData\Local\Ugmedia C:\Users\Remek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\hdvidcodec.com C:\Users\Remek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\Remek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\Remek\AppData\Roaming\newnext.me C:\Users\Remek\AppData\Roaming\Temp C:\Users\Remek\AppData\Roaming\VOPackage C:\Users\Remek\AppData\Roaming\WebExtend C:\Users\Remek\AppData\Roaming\Zaboti C:\Users\Remek\AppData\Roaming\Microsoft\Windows\IEUpdate C:\Users\serwis\AppData\Roaming\Asus WebStorage C:\Windows\system32\Drivers\etc\hosts.txt Hosts: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\VOPackage /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Remek\AppData\Local CMD: dir /a C:\Users\Remek\AppData\LocalLow CMD: dir /a C:\Users\Remek\AppData\Roaming CMD: dir /a C:\Users\Remek\AppData\Roaming\Microsoft\Windows Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj stare wersje: Acrobat.com, Ad-Aware, Adobe Flash Player 10 ActiveX, Java 7 Update 67. 3. Wyczyść Firefox ze śmieci: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie potem przeinstalować. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Nie podałeś w czym Avast wykrył "Win32:Evo-gen [susp]" - podaj konkretną ścieżkę dostępu do pliku. W raportach nie widać żadnych oznak czynnej infekcji. 1. W ramach kosmetyki usuń mikro odpadki adware, inne puste wpisy i wyczyść Tempy. Otwórz Notatnik i wklej w nim: Task: {9081BA70-BEE2-497B-9617-D12EFB8A6537} - System32\Tasks\Installer_sense => C:\Users\user\AppData\Local\Installer\Installsense_32682\delay.exe Task: {C232B0D1-6CDD-4DD0-9525-5E7172D52384} - \Installer_iwebar No Task File Task: {E26C201D-2CDF-4DAD-85C5-1814DBD22839} - System32\Tasks\{D4AB1010-FAD8-4776-8815-331E79FF3F56} => Chrome.exe http://ui.skype.com/ui/0/6.18.0.106/pl/abandoninstall?page=tsProgressBar Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X] S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk C:\ProgramData\TEMP C:\Users\Public\Documents\ShopperPro Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. I pokaż też logi z folderu C:\AdwCleaner (był używany). 2. Specjalny skrót Internet Explorer jest uszkodzony: Shortcut: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff .

Czyli jest jednak "BRAK" - to właśnie ta pozycja powoduje ten błąd. Monitoring nie może być włączony dla dysku, który nie istnieje, nawet jeśli to stan "przejściowy". Wyłącz ochronę dla tego "BRAK", a pozycja powinna zniknąć z okna, zaś błąd ustąpić.

Bonifacy skorygowałam w skinie ten defekt pojawiający się przy stosowaniu opcji "Powiększaj tylko tekst".

Prosiłam również o główny zrzut ekranu okna z listą woluminów.

Jeśli chodzi o czyszczenie ze śmieci, to kończymy. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. - Co to dokładnie za model laptopa? - Czy połączenie kablowe na pewno działało wcześniej? - Co widzisz w Menedżerze urządzeń (w menu Widok włącz pokazywanie ukrytych urządzeń) - czy są jakieś urządzenia z wykrzyknikiem bądź pytajnikiem, czy w Kartach sieciowych jest w ogóle wykryte urządzenie związane z tym połączeniem? .

Akcja wykonana. Kończymy: 1. Nie zauważyłam, że po deinstalacjach ostał się wpis niebezpiecznej wersji Java™ 6 Update 22. Był jakiś problem z deinstalacją? Skorzystaj z JavaRA, by się tego pozbyć: KLIK. 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. Do aktualizacji cały system: KLIK. Stan obecny (brak SP1, IE11 i reszty łat): Platform: Windows 7 Ultimate (X64) OS Language: Polski (Polska) Internet Explorer Version 8

Drobne poprawki. Otwórz Notatnik i wklej w nim: Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {4A8BEE02-05E0-4B87-95BF-D88D61B264E3} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {4A8BEE02-05E0-4B87-95BF-D88D61B264E3} /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg delete "HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main"/f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f HKU\S-1-5-21-3670591184-648614672-2990897947-1002\...\RunOnce: [] => [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Ten rodzaj infekcji prawdopodobnie dostał się na komputer za pomocą e-mail ze szkodliwym załącznikiem. Czy przypominasz sobie coś w tym stylu? Przechodzimy do usuwania czynnej infekcji oraz odpadków adware. Operacje zapisu na dysku ograniczone do niezbędnego minimum jakie jest możliwe w tym przypadku, by ograniczyć zamazywanie miejsc. Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Startup: C:\Documents and Settings\Krzych\Menu Start\Programy\Autostart\bytor.bmp () Startup: C:\Documents and Settings\Krzych\Menu Start\Programy\Autostart\msiexec.exe (Disc Soft Ltd) C:\Documents and Settings\Krzych\Dane aplikacji\bytor.bmp C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\BrowserProtect C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\IBUpdaterService C:\Documents and Settings\Krzych\Dane aplikacji\Babylon C:\Documents and Settings\Krzych\Dane aplikacji\newnext.me C:\Documents and Settings\Krzych\Dane aplikacji\PerformerSoft C:\WINDOWS\DUMP*.tmp AppInit_DLLs: c:\docume~1\alluse~1\daneap~1\browse~1\261095~1.52\{c16c1~1\browse~1.dll => c:\docume~1\alluse~1\daneap~1\browse~1\261095~1.52\{c16c1~1\browse~1.dll File Not Found HKU\S-1-5-21-507921405-1078081533-725345543-1003\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141110 HKU\S-1-5-21-507921405-1078081533-725345543-1003\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.onet.pl/ HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141110 SearchScopes: HKCU - bProtectorDefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119816&babsrc=SP_ss&mntrId=84cfa29e00000000000000112fa872b0 Toolbar: HKU\S-1-5-21-507921405-1078081533-725345543-1003 -> DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll No File Toolbar: HKU\S-1-5-21-507921405-1078081533-725345543-1003 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File HKU\S-1-5-21-507921405-1078081533-725345543-1003\...\Run: [MSMSGS] => "C:\Program Files\Messenger\msmsgs.exe" /background HKU\S-1-5-21-507921405-1078081533-725345543-1003\...\MountPoints2: {cdf60b7b-78f7-11e2-bb14-00112fa872b0} - P:\SETUP.exe S2 avast! Firewall; "C:\Program Files\AVAST Software\Avast\afwServ.exe" [X] S1 aswKbd; \??\C:\WINDOWS\system32\drivers\aswKbd.sys [X] S3 CtClsFlt; system32\DRIVERS\CtClsFlt.sys [X] Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693} /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, plansza okupu powinna zniknąć. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W systemie są dwa czynne konta: ========================= Accounts: ========================== Gabi (S-1-5-21-507921405-1078081533-725345543-1004 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Gabi Krzych (S-1-5-21-507921405-1078081533-725345543-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Krzych Dotychczas było weryfikowane konto Krzych. Potrzebne sprawdzenie obu kont. Zaloguj się po kolei na każde poprzez pełny restart komputera (a nie opcję Wyloguj czy Prełącz użytkownika) i na każdym zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. PS. Dodam jeszcze, że klaruje się również problem sprzętowy. Dziennik zdarzeń notuje bad sektory na jednym z dysków: System errors: ============= Error: (11/17/2014 05:40:09 PM) (Source: 0) (EventID: 7) (User: ) Description: \Device\Harddisk2\D Gdy uporamy się z podstawową sprawą tutaj, wyślę Cię do działu Hardware na diagnostykę dysków twardych. .

Fix wykonany pomyślnie. Ostatni skrypt do FRST: C:\Users\justyna\AppData\Local\*.txt C:\Users\justyna\AppData\Roaming\PhotoFiltre 7 RemoveDirectory: C:\FRST\Quarantine Przedstaw wykonikowy fixlog.txt. Czy ten efekt nadal występuje? .

Jedyne co mogę zrobić, to usunąć uruchamianie infekcji i zdjąć planszę z żądaniem okupu, czyli te elementy startowe: Startup: C:\Documents and Settings\Krzych\Menu Start\Programy\Autostart\bytor.bmp () Startup: C:\Documents and Settings\Krzych\Menu Start\Programy\Autostart\msiexec.exe (Disc Soft Ltd) Bardzo mi przykro, ale odszyfrowanie danych jest niemożliwe technicznie. Tutaj cytuję odpowiedź na temat "decode@india.com" od ekipy Kasperski z forum gdzie mam specjalny dostęp: Zostaje jako ratunek tylko i wyłącznie soft do odzyskiwania danych, by wyszukać poprzednią niezaszyfrowaną wersję pliku, np. TestDisk (z pominięciem ustępu o StopGpcode, bo to pod inną infekcję). O ile infekcja nie nadpisała miejsc na dysku, gdyż infekcje tego typu przewidują możliwość zastosowania tego rodzaju oprogramowania i nadpisują obszary, by nie dało się tego wykonać. Oczywiście próba ma być wykonana już po usunięciu elementów startowych infekcji. Czekam na Twoją reakcję czy mam przejść do tej fazy, na wypadek gdybyś myślał o formacie dysku (krzyżyk na danych). .

Wspominałam już o starej wersji przeglądarki. Nie pamiętam od której dokładnie wersji Chrome występuje ten reset, ale wygląda na to, że Twoja wersja 30.0.1599.101 jest jej pozbawiona. Opuść ten punkt i kontynuuj dalej.

Tak, to już koniec działań. Temat rozwiązany. Zamykam.

Tak jak mówiłam, jest w systemie adware, czynne rozszerzenia w Google Chrome (a wersja przeglądarki stara) oraz inne szczątki. Jednakże są to wiekowe odpadki datowane na rok 2013 (nie doczyszczone po prostu wcześniej), ponadto one są na innym niskim poziomie i nie mogą powodować tych efektów: Powyższe efekty niestety może wytwarzać coś wręcz przeciwnego niż infekcja, tzn. Norton Internet Security - jak już zaznaczałam, jest to bardzo inwazyjna instalacja. Ponadto, w Dzienniku zdarzeń są błędy sugerujące problemy z oprogramowaniem nVidia (usługę zgłaszającą błędy będę wyłączać) oraz sprzętowe: System errors: ============= Error: (11/17/2014 01:15:34 AM) (Source: ACPI) (EventID: 13) (User: ) Description: : Kontroler osadzony nie odpowiedział przed upływem limitu czasu. Może to wskazywać, że wystąpił błąd w sprzęcie lub oprogramowaniu układowym kontrolera osadzonego albo że system BIOS uzyskuje dostęp do kontrolera osadzonego w niepoprawny sposób. Należy skontaktować się z producentem komputera w sprawie uaktualnionego systemu BIOS. W niektórych sytuacjach ten błąd może spowodować niepoprawne funkcjonowanie komputera. Application errors: ================== Error: (11/16/2014 10:33:47 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcNvVAD initialization failed [6] Error: (11/16/2014 10:33:47 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0] Ubytek miejsca jest wyjaśniony, za mało miejsca w magazynie kopii cieniowych i system samoczynnie opróżnił starsze punkty Przywracania systemu. Odnotował to Dziennik zdarzeń: Error: (11/16/2014 10:33:14 PM) (Source: volsnap) (EventID: 25) (User: ) Description: Kopie w tle woluminu C: zostały usunięte, ponieważ nie można było powiększyć magazynu kopii w tle. Rozważ zmniejszenie obciążenia We/Wy w systemie lub wybierz wolumin magazynu kopii w tle, który nie jest kopiowany w tle. Jeśli chodzi o doczyszczanie śmieci i wpisów pustych oraz inne drobne korekty (włączając deaktywację problematycznej usługi nVidia), przeprowadź następujące działania: 1. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware Extended Protection, Lightning Newtab Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: ShortcutWithArgument: C:\Users\E531\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W ShortcutWithArgument: C:\Users\E531\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W ShortcutWithArgument: C:\Users\E531\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W ShortcutWithArgument: C:\Users\E531\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms} SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms} SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms} SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms} SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms} HKU\S-1-5-21-3670591184-648614672-2990897947-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3670591184-648614672-2990897947-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKU\S-1-5-21-3670591184-648614672-2990897947-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3670591184-648614672-2990897947-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.com/spbasic.htm HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.com/spbasic.htm HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.com/spbasic.htm HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,SearchURL = http://home.microsoft.com/access/autosearch.asp?p=%s HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm HKLM-x32\...\Run: [fst_pl_127] => [X] HKU\S-1-5-21-3670591184-648614672-2990897947-1002\...\RunOnce: [] => [X] S3 mdf16; C:\Users\E531\AppData\Local\Temp\mdf16.sys [20400 2014-01-30] () S3 mvd23; C:\Users\E531\AppData\Local\Temp\mvd23.sys [99248 2014-01-30] () S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] S2 WsysSvc; C:\ProgramData\eSafe\eGdpSvc.exe [X] U2 wuaserv; No ImagePath Task: {0CA8A32D-B428-4CF1-A290-9CD8B74DAB06} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {21325EC4-40A1-4AFD-8F0C-34486A6627BF} - System32\Tasks\{C8F5BEA8-3AB5-402D-9109-6D8265E603B9} => C:\Users\E531\Desktop\oko.exe Task: {5D134D70-348E-4123-9B8A-62E21CC1A44F} - System32\Tasks\{206CDF2C-0BF5-4B29-B5BE-685248D3FA2D} => F:\Microsoft Office\Office12\EXCEL.EXE Task: {75CCF3DB-843F-4431-94DE-EC75854E139E} - System32\Tasks\{9737F133-28EF-4F61-83A7-D29338A817A8} => C:\Users\E531\Desktop\oko.exe Task: {9AB6171C-9333-4D0E-A223-3B56123B027D} - System32\Tasks\{E87B8B75-C669-446A-94EF-23277B12A1AC} => F:\Microsoft Office\Office12\excelcnv.exe Task: {A3A33DA4-8FC5-4EFC-9E23-B2F657D1DA69} - System32\Tasks\{F266EFF3-A646-4D03-ADF5-2BE999CA18D2} => F:\Microsoft Office\Office12\excelcnv.exe Task: {ACA279F8-079F-41B6-9BA0-C0C9A4FADB59} - System32\Tasks\{97980ECF-2753-47F2-8202-A867E9C05864} => F:\Microsoft Office\Office12\EXCEL.EXE Task: {C7EA8C0F-9E46-438A-BAC5-99E18AE23267} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {EBEE5AA0-3738-4E43-9B6E-A1E83577C22C} - System32\Tasks\{5AE3A8FC-10DC-497F-A8FE-AEED80B14A44} => F:\Microsoft Office\Office12\EXCEL.EXE Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe CustomCLSID: HKU\S-1-5-21-3670591184-648614672-2990897947-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\E531\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File C:\ProgramData\eSafe C:\Users\E531\AppData\Local\freeSOFTtoday C:\Users\E531\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx C:\Users\E531\Downloads\DTLite4491-0356.exe Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\qone8 Browser Protecter" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WsysControl /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\qone8Software /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: sc config NvStreamSvc start= disabled EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. Odpowiadaj już w nowym poście, nie edytuj pierwszego posta. .

Kończymy. Zastosuj DelFix (GMER dokasuj ręcznie) i wyczyść foldery Przyracania systemu: KLIK.

Skan MBAM wykrył po prostu instalacje adware (wyglądają na szczątkowe) będące rezultatem działań podonych do tych: KLIK. Zanim przejdziemy do konkretów: Fałszywy alarm Nortona. Proszę wyłącz Nortona na czas pobierania programu i dostarcz raporty z FRST. OTL jest jednak zbyt przestarzały (nie posiada też wielu skanów obecnych w FRST) i jego odczyty są traktowane tylko jako uzupełniająca opinia. GMER jest fanaberyjny i może mu się nie podobać określone środowisko, np. działa tu potężna instalacja Norton oparta o inwazyjne sterowniki poziomu kernel. Co do brakujących 5GB: jest dużo mechanizmów w Windows, które powodują, że miejsce na dysku nie jest stałe i może być w określonych okolicznościach redukowane (np. Tempy, cieniowanie woluminu i punkty Przywracania systemu, zrzuty pamięci, etc.), więc jeśli nie posiadasz konkretów skąd ubyło, a nie zgłaszasz tu jawnego braku danych, nie widzę tu nic niepokojącego jeszcze. .

W skanie dostosowanym FRST było widoczne rozszerzenie adware w katalogu i preferencjach Opery: Jeśli tego nie widać w opcjach Rozszerzeń Opery, to albo jest to martwy szczątek, albo zaszły dodatkowe okoliczności i coś usuwałeś. Zakładam oczywiście, że poprawnie sprawdziłeś opcje Opery. Na wszelki wypadek będę resetować preferencje Opery. I poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\BonanzaDeals C:\Program Files (x86)\BonanzaDealsLive C:\Program Files (x86)\FTDownloader.com C:\Program Files (x86)\Mobogenie C:\Program Files (x86)\predm C:\Program Files (x86)\Temp C:\ProgramData\APN C:\ProgramData\AVG Security Toolbar C:\ProgramData\AVG2013 C:\ProgramData\Babylon C:\ProgramData\BonanzaDealsLive C:\ProgramData\boost_interprocess C:\ProgramData\install_clap C:\ProgramData\Temp C:\ProgramData\WindowsMangerProtect C:\Users\Samsung\AppData\Local\avgchrome C:\Users\Samsung\AppData\Local\BonanzaDealsLive C:\Users\Samsung\AppData\Local\cache C:\Users\Samsung\AppData\Local\Cool_Mirage C:\Users\Samsung\AppData\Local\CrashDumps C:\Users\Samsung\AppData\Local\CrashRpt C:\Users\Samsung\AppData\Local\Mobogenie C:\Users\Samsung\AppData\LocalLow\Delta C:\Users\Samsung\AppData\Roaming\Opera Software\Opera Stable\Extensions\lkdanligledioimheahflbepecbceang C:\Users\Samsung\AppData\Roaming\Opera Software\Opera Stable\Preferences Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz logi z folderu C:\AdwCleaner. .

Pokaż mi zrzut ekranu z okna włącznie z błędem, by było wiadomo jaki kod błędu jest na komunikacie.

Poprawki będą zalogowanym na koncie Justyna. Otwórz Notatnik i wklej w nim: CloseProcesses: SearchScopes: HKCU - DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={6CA96120-03AA-4CD4-B5EC-3A3A3BBB3C01}&mid=734426b7a65547d08159d16e55ca7cac-5e9ec83d3ac33e27890d98fe7f860460128f9bd7&lang=pl&ds=xn011&pr=sa&d=2012-09-30 09:32:43&v=17.0.1.12&pid=avg&sg=0&sap=dsp&q={searchTerms} SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={6CA96120-03AA-4CD4-B5EC-3A3A3BBB3C01}&mid=734426b7a65547d08159d16e55ca7cac-5e9ec83d3ac33e27890d98fe7f860460128f9bd7&lang=pl&ds=xn011&pr=sa&d=2012-09-30 09:32:43&v=17.0.1.12&pid=avg&sg=0&sap=dsp&q={searchTerms} HKU\S-1-5-21-2497160206-2615029055-3091190810-1001\...\Policies\system: [WallpaperStyle] 2 S4 sptd; System32\Drivers\sptd.sys [X] C:\Program Files\JAVA C:\Program Files (x86)\Ahead C:\Program Files (x86)\AVG C:\Program Files (x86)\Media Player Classic C:\Program Files (x86)\PhotoFiltre 7 C:\ProgramData\{*}.log C:\ProgramData\AVG10 C:\ProgramData\Avg_Update_0814tb C:\ProgramData\DAEMON Tools Lite C:\ProgramData\FarmFrenzy-PizzaParty C:\ProgramData\Gadu-Gadu 10 C:\ProgramData\MFAData C:\ProgramData\Nero C:\ProgramData\NortonInstaller C:\ProgramData\OpenFM C:\ProgramData\Sun C:\ProgramData\Symantec C:\ProgramData\Temp C:\ProgramData\YTD Video Downloader C:\Users\Justyna\AppData\Local\Google\Chrome C:\Users\justyna i darek\AppData\Local\*.txt C:\Users\justyna i darek\AppData\Local\tmpDSC05363.JPG C:\Users\justyna i darek\AppData\Local\cache C:\Users\justyna i darek\AppData\Local\Mozilla C:\Users\justyna i darek\AppData\Local\Symantec C:\Users\justyna i darek\AppData\Roaming\*.dll C:\Users\justyna i darek\AppData\Roaming\*.exe C:\Users\justyna i darek\AppData\Roaming\DAEMON Tools Lite C:\Users\justyna i darek\AppData\Roaming\Dati C:\Users\justyna i darek\AppData\Roaming\Eddu C:\Users\justyna i darek\AppData\Roaming\Edwebi C:\Users\justyna i darek\AppData\Roaming\ErrorLogs C:\Users\justyna i darek\AppData\Roaming\Gadu-Gadu 10 C:\Users\justyna i darek\AppData\Roaming\Goodgame C:\Users\justyna i darek\AppData\Roaming\install C:\Users\justyna i darek\AppData\Roaming\InstallDir C:\Users\justyna i darek\AppData\Roaming\instant C:\Users\justyna i darek\AppData\Roaming\Java C:\Users\justyna i darek\AppData\Roaming\justyna i dareklog.dat C:\Users\justyna i darek\AppData\Roaming\justyna i darekv1.23.0remote C:\Users\justyna i darek\AppData\Roaming\Nero C:\Users\justyna i darek\AppData\Roaming\ntsokrn.txt C:\Users\justyna i darek\AppData\Roaming\OpenFM C:\Users\justyna i darek\AppData\Roaming\PhotoFiltre 7 C:\Users\justyna i darek\AppData\Roaming\System C:\Users\justyna i darek\AppData\Roaming\x0liai0k C:\Users\justyna i darek\AppData\Roaming\Microsoft\kjdfhjiozeuj CMD: dir /a C:\Users\justyna\AppData\Local CMD: dir /a C:\Users\justyna\AppData\LocalLow CMD: dir /a C:\Users\justyna\AppData\Roaming CMD: dir /a C:\Users\justyna\AppData\Roaming\Microsoft Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

To co opisujesz to jest problem strumieni NTFS: KLIK. Może te paczki Synaptics miały omyłkowo spakowane pliki z doczepionymi już strumieniami. PS. Na przyszłość raporty w postaci oryginalnych plików dołączonych metodą załączników forum a nie spoilerów (możliwe zniekształcenia treści oraz parsowanie linków).

Brak danych na temat paczki i co ona właściwie zawierała, brak także danych jak dokładnie wyglądały te foldery w C:\ProgramData, bo na razie opis nic szczególnego nie mówi: - Niebieski kolor oznacza kompresję NTFS. - W C:\ProgramData różne typy programów (czyli nawet i poprawne) mogą tworzyć foldery zawierające liczby. Istotna jest sekwencja: Więc podaj co to były konkretnie za nazwy. I dostarcz raporty z FRST. Te typy wyników mnie nie interesują. Istotne są tylko wyniki o oznaczniu "Detected" / "Infected" lub coś brzmiącego podobnie. CTRL+F i szukaj rekordów tak oznaczonych, a jeśli takowych brak, to i brak wykrytych infekcji i log zbędny. A jeśli zupełnie nie umiesz sobie poradzić z tym, spakuj log do ZIP, na hosting i podaj link do tego. .

Fix wykonany. Teraz uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz log z folderu C:\AdwCleaner. Nie wiem co poprzednio usunąłeś. - Czy próbowałeś przeinstalować wszystkie urządzenia sieciowe na poziomie Menedżera urządzeń? - Czy uruchamiałeś diagnostykę wbudowaną do Vista? - Czy sprawdzałeś możliwości z tego artykułu: KLIK?

Potwierdzam wykonanie DelFix, skasuj z dysku log C:\DelFix.txt. Cytuję z mojego artykułu: .