picasso

GMERa sobie darujmy. W systemie działa infekcja VBKlip/Banatrix. Ponadto, jest tu adware produkujące owe reklamy, a przeglądarka Google Chrome została przekonwertowana przez adware z wersji stabilnej do development i jest konieczna jej kompleksowa reinstalacja. Przeprowadź następujące działania: 1. Odinstaluj: Google Chrome, McAfee Security Scan Plus (instalacja sponsorowana nie związana z Twoim głównym pakietem antywirusowym McAfee LiveSafe - Internet Security) oraz wątpliwy skaner SpyHunter (program z czarnej listy, reklamiarz naciskający na instalację, po czym się okazuje, że należy uiszczać opłaty). Przy deinstalacji Google Chrome zaznacz Usuń także dane przeglądarki, resztę dokończy mój skrypt poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {498D567F-5D8C-4E5E-95E6-49A717284792} - System32\Tasks\SGK => C:\Users\Patrycjusz\AppData\Roaming\SGK.exe Task: {6D0780EB-CFD1-435C-B8DA-078D7543EDBF} - System32\Tasks\SYSTEM => C:\ProgramData\wms.exe [2014-09-14] (Microsoft® Corporation) Task: {A8BF89F8-CD9B-4200-9B2F-B1143FC3F519} - System32\Tasks\YWSZF => C:\Users\Patrycjusz\AppData\Roaming\YWSZF.exe Task: {D8E98C48-D958-4685-B27F-DB1EEC0CFAB4} - System32\Tasks\PETN Update => C:\Users\Patrycjusz\AppData\Local\PETN\petnupdate.exe Task: C:\Windows\Tasks\SGK.job => C:\Users\Patrycjusz\AppData\Roaming\SGK.exe Task: C:\Windows\Tasks\YWSZF.job => C:\Users\Patrycjusz\AppData\Roaming\YWSZF.exe GroupPolicy: Group Policy on Chrome detected HKU\S-1-5-21-1542458404-1444137664-256976008-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKCU - {D944BB61-2E34-4DBF-A683-47E505C587DC} URL = FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll (Microsoft Corporation) FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\.sys C:\ProgramData\wms.exe C:\ProgramData\InstaShare C:\Users\Patrycjusz\AppData\Local\Google C:\Users\Patrycjusz\AppData\Local\PETN C:\Users\Patrycjusz\AppData\Roaming\*.exe C:\Users\Patrycjusz\AppData\Roaming\SGK C:\Users\Patrycjusz\AppData\Roaming\YWSZF C:\Users\Patrycjusz\Downloads\SpyHunter-Installer.exe CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Patrycjusz\AppData\Local CMD: dir /a C:\Users\Patrycjusz\AppData\LocalLow CMD: dir /a C:\Users\Patrycjusz\AppData\Roaming Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz log z folderu C:\_OTL (używałeś jakiś skrypt do OTL - jaki i skąd?). By ten log z C:\_OTL dało się wstawić, trzeba zmienić mu rozszerzenie z *.LOG na *.TXT lub zapisać do nowego pliku TXT. Wypowiedz się czy są jeszcze jakieś problemy w systemie. .

Z tego wynika, że uszkodzenie (zdewastowana usługa Netman) masz już w kopii RollBack i ona do śmieci, bo przywracać będzie defekt. Ta brakujące usługa Netman musi być zaimportowana. Problem braku połączenia to osobna sprawa, która będzie diagnozowana, gdy przywrócisz usługę na miejsce.

Nie ma żadnych oznak, że wykonałeś poprzednie zadanie. Plik FIX.REG w ogóle nie został zaimportowany, w nowym logu FRST nie ma w ogóle pozycji Netman (czyli usługi Połączenia sieciowe). Powtarzaj zadanie. A jeśli przy imporcie napotkasz jakiś błąd, przepisz go wiernie. A wg raportu FRST Usługa zasad diagnostyki jest uruchomiona: R2 DPS; C:\Windows\system32\dps.dll [162816 2010-11-21] (Microsoft Corporation) Natomiast są w Dzienniku zdarzeń następujące błędy: System errors: ============= Error: (11/13/2014 06:18:33 PM) (Source: WMPNetworkSvc) (EventID: 14353) (User: ) Description: 00x80070005http://+:10243/WMPNSSv4/3574156340/ Error: (11/13/2014 06:17:32 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Dostawca grupy domowej zależy od usługi Publikacja zasobów odnajdowania funkcji, której nie można uruchomić z powodu następującego błędu: %%-2147024891 Error: (11/13/2014 06:17:32 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Publikacja zasobów odnajdowania funkcji zakończyła działanie; wystąpił następujący błąd: %%-2147024891 I ta usługa jest owszem w stanie zatrzymano: S2 FDResPub; C:\Windows\system32\fdrespub.dll [34816 2009-07-14] (Microsoft Corporation) Z tym, że nadal nie ma usługi Netman, więc na razie nic z tym nie robię. .

Temat przenoszę do innego działu, problem na urządzeniu nie wygląda na pochodną infekcji (choć usuwam z niego podejrzany ukryty plik K:\ba.exe). W spoilerze masz doczyszczanie systemu z adware, ale to nie ma związku z problemami z dyskiem. Zaznaczanie wszystkich plików, by obliczyć ich rozmiar, to zła metoda, tylko Właściwości dysku pokazują prawdę. Metoda zaznaczania nie oblicza elementów zalokowanych przez uprawnienia - tu np. folder Przywracania systemu (K:\System Volume Information). I owszem, wychodzi na to, że brak tu oznak ukrycia folderów użytkownika. Nie ma na urządzeniu nic więcej niż to: ################## | K:\ - Fixed drive (NTFS) | [09/06/2014 - 10:29:57 | SH | 0 Ko] - K:\.SBSettings.xml [17/07/2014 - 10:35:25 | HD] - K:\msdownld.tmp [21/04/2013 - 12:28:15 | N | 10176 Ko] - K:\BankpytanegzamPL2011luty (1).pdf [04/11/2013 - 19:35:22 | N | 860 Ko] - K:\mat_informator_10.pdf [16/02/2014 - 13:12:06 | A | 376029 Ko] - K:\grupowki.mp4 [19/02/2015 - 19:57:33 | A | 3741567 Ko] - K:\CZOLOWKA SKAZANI NA SZKOLE.mp4 [21/02/2015 - 04:29:54 | A | 411598 Ko] - K:\proba poloneza.mp4 [21/02/2015 - 04:31:13 | A | 3071294 Ko] - K:\czolowka TZ.mp4 [01/03/2015 - 13:29:08 | A | 778110 Ko] - K:\belgijka gotowa zsae.mp4 [01/03/2015 - 14:59:33 | A | 730657 Ko] - K:\balkanica wersja poprawiona.mp4 [01/03/2015 - 16:15:11 | A | 803645 Ko] - K:\poprawiny poprawione zsae.mp4 [01/03/2015 - 20:35:33 | A | 996747 Ko] - K:\chusteczka.mp4 [02/03/2015 - 15:28:11 | A | 1595623 Ko] - K:\poprawiny zabawa.mp4 [25/04/2014 - 10:19:39 | SHD] - K:\$RECYCLE.BIN [30/08/2011 - 16:52:24 | D] - K:\Przepisy z KFC, MCDonald`s i Pizza Hut [06/02/2012 - 13:00:00 | D] - K:\Nowy świat [03/06/2012 - 20:16:04 | D] - K:\czarnobyl [11/07/2012 - 18:50:35 | HD] - K:\$AVG [26/01/2014 - 19:17:08 | D] - K:\Klient AvalonMT2 [30/01/2014 - 17:41:53 | SHD] - K:\RECYCLER [04/03/2014 - 22:19:18 | D] - K:\instalki [14/06/2014 - 18:15:53 | D] - K:\aga [16/06/2014 - 11:15:12 | RD] - K:\Mp3 [02/07/2014 - 19:07:47 | D] - K:\Gitara [13/08/2014 - 18:05:17 | D] - K:\filmy [01/10/2014 - 21:23:42 | SHD] - K:\System Volume Information Ewentualnie jeszcze sprawdź czy coś nie wylądowało w Koszu urządzenia (są dwa foldery K:\$RECYCLE.BIN + K:\RECYCLER). Gdzie leżały te foldery, które zniknęły? Czy na pewno dane nie zostały skasowane przez kogoś? Czy nie uruchamiał się przypadkiem checkdisk naprawiający jakieś błędy na dysku? Czy dysk był sprawdzany pod kątem sprzętowym? I nic więcej nie jestem w stanie powiedzieć na temat znikających danych. .

Jest kolejny problem z kolejną usługą. Poproszę o raport z FRST, z tym że odznacz pole Services, by się pokazały wszystkie usługi Microsoftu. Ma powstać także plik Addition.

Fix wykonany. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Prewencja w 100% jest awykonalna, słabym ogniwem jest sam użytkownik. Kierowałam już do artykułu na co uważać i jakie ewentualnie zabezpieczenia są możliwe. Jeśli użytkownik korzystający z Twojego systemu znów ponowi nieodpowiednie kroki (nieuważne instalacje, pobieranie "downloderów", nie odznaczone opcje w instalatorach), będzie kolejny problem z adware. Adware zostało wyczyszczone, więc sprawność zależy od innych kwestii. Spróbuj powyłączać zbędne wpisy ze startu i zobaczymy czy jeszcze coś się nie polepszy: 1. Uruchom Autoruns i w karcie Logon odznacz: HKLM-x32\...\Run: [APSDaemon] => C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe [59720 2013-09-13] (Apple Inc.) HKLM-x32\...\Run: [iTunesHelper] => C:\Program Files (x86)\iTunes\iTunesHelper.exe [152392 2013-11-02] (Apple Inc.) HKLM-x32\...\Run: [sunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [256896 2014-05-07] (Oracle Corporation) HKU\S-1-5-21-846750890-3381048881-3130427261-1001\...\Run: [steam] => C:\Program Files (x86)\Steam\Steam.exe [1821888 2014-02-25] (Valve Corporation) HKU\S-1-5-21-846750890-3381048881-3130427261-1001\...\Run: [Facebook Update] => C:\Users\pc\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096 2014-02-15] (Facebook Inc.) HKU\S-1-5-21-846750890-3381048881-3130427261-1001\...\Run: [GG] => C:\Users\pc\AppData\Local\GG\Application\gghub.exe [4023360 2014-09-26] (GG Network S.A.) HKU\S-1-5-21-846750890-3381048881-3130427261-1001\...\Run: [EADM] => C:\Program Files (x86)\Origin\Origin.exe [3600216 2014-10-01] (Electronic Arts) HKU\S-1-5-21-846750890-3381048881-3130427261-1001\...\Run: [skype] => C:\Program Files (x86)\Skype\Phone\Skype.exe [21446272 2014-05-08] (Skype Technologies S.A.) HKU\S-1-5-21-846750890-3381048881-3130427261-1001\...\Run: [DAEMON Tools Lite] => C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe [3696912 2014-03-04] (Disc Soft Ltd) HKU\S-1-5-21-846750890-3381048881-3130427261-1001\...\Run: [uTorrent] => C:\Users\pc\AppData\Roaming\uTorrent\uTorrent.exe [1689168 2014-11-07] (BitTorrent Inc.) W karcie Services odznacz pozycje NAUpdate, SkypeUpdate. W karcie Scheduled Tasks odznacz zadania Apple, Facebook, Toshiba CommonNotifier i TOSHIBA Service Station. 2. Zresetuj system i podaj czy są jakieś wyraźniejsze zmiany. .

Temat przenoszę wstępnie do działu Windows, ale być może wyląduje i w dziale Hardware. Brak oznak infekcji i wątpliwe, by tu o infekcję chodziło skoro dysk był wielokrotnie formatowany: "Sterowniki niezgodne z Plug and Play" są obecne na każdym systemie Windows 7, więc sprecyzuj do czego tu w ogóle zmierzasz. Dodatkowo, nie wiadomo o co Ci chodzi w kwestii plików Temp i uprawnień Windows Search. Z podanych tu raportów nic nie wynika. O spowolnienie ogólne i mulenie przeglądarki to ewentualnie można podejrzewać pakiet G Data Internet Secutrity. W Dzienniku zdarzeń jest też taki oto błąd, nie wiem do czego go podpiąć: System errors: ============= Error: (11/12/2014 02:09:59 AM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Host usługi diagnostyki z powodu następującego błędu: %%1297 .

Usługa jest rzeczywiście zdewastowana. Rekonstruuj usługę: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Netman] "DisplayName"="@%SystemRoot%\\system32\\netman.dll,-109" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,79,00,73,00,74,00,65,00,6d,\ 00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,72,00,\ 69,00,63,00,74,00,65,00,64,00,00,00 "Description"="@%SystemRoot%\\system32\\netman.dll,-110" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000003 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,6e,00,73,00,69,00,\ 00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,00,6f,00,74,\ 00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,4c,00,6f,00,61,00,64,00,44,00,72,00,69,00,76,00,65,00,72,\ 00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,64,00,00,00,01,00,00,00,64,00,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Netman\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 6e,00,65,00,74,00,6d,00,61,00,6e,00,2e,00,64,00,6c,00,6c,00,00,00 "ServiceDllUnloadOnStop"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Zresetuj system. Podaj czy naprawa się udała. .

DelFix wykonał robotę, możesz usunąć plik C:\DelFix.txt z dysku. To tyle. Temat rozwiązany. Zamykam.

Wszystko wykonane zgodnie z planem - czy jest poprawa w działaniu systemu? Poprawki. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Program Files (x86)\DiscountLocator RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\ProgramData\374311380 RemoveDirectory: C:\ProgramData\DiscountLocator RemoveDirectory: C:\Users\pc\AppData\Roaming\Mozilla DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy plik fixlog.txt.

Wszystkie linki symboliczne zamknięte i to już rozwiązane. Były modyfikacje, toteż podaj nowe raporty FRST (główny FRST.txt + Addition.txt). Ja jednak podejrzewam, że problem tworzy instalacja avast! Internet Security, a by się o tym przekonać testowa pełna deinstalacja. Co masz na myśli? W raportach w Dzienniku zdarzeń nie było żadnych błędów relatywnych do usług Zapory systemowej. I jest tu avast! Internet Security dysponujący własnym firewallem. Zewnętrzne firewalle deaktywują firewall systemowy, jest to normalne. Nie wiem co usunąłeś wcześniej, więc proponuję po prostu przeinstalować aplikację HP SimplePass: ==================== Installed Programs ====================== HP SimplePass (HKLM-x32\...\{4BACA3B8-F63A-44ED-9A8D-48B4D02AD268}) (Version: 6.0.100.276 - Hewlett-Packard) Trudno to objaśnić, metoda samodzielna prób i błędów. Nie uczestniczyłam w żadnych kursach, jeśli o to chodzi. .

Fix nie znalazł tych wpisów, czyli w jakiś sposób zostały już usunięte. Żadnych komend. Wejdź w link "KLIK" i tam masz opis narzędzia DelFix. .

Możesz skasować plik C:\DelFix.txt z dysku. Temat rozwiązany. Zamykam.

Tak jak w tamtym temacie, są masowe uszkodzenia uprawnień w gałęzi SYSTEM i to nie tylko usług natury sieciowej. W systemie brak kopii umożliwiającej odkręcenie tego bez bólu. Naprawa ręczna (przygotowanie pliku rekursywnie odtwarzające oryginalne uprawnienia) jest strasznie pracochłonna i tego z pewnością nie jestem w stanie zrobić szybko. Jeśli zależy Ci na czasie, to kwalifikuje się reinstalacja Windows... PS. Na temat używania ComboFix: KLIK. Zaś OTL to przestarzałe narzędzie, obecnie główny raport analityczny na forum to FRST. .

Logi są bardzo ograniczone. Co byłam w stanie, to już stwierdziłam, a skoro Ty nie zgłaszasz dodatkowych problemów, to nie mam czym się zajmować. Fix wykonany, więc zastosuj DelFix (GMER ręcznie dokasuj) i wyczyść foldery Przywrcania systemu: KLIK. .

Brak usługi Połączenia sieciowe tworzy ten problem. Podaj dane czy tu rzeczywiście są takie braki i jak szerokie. Uruchom SystemLook (jeśli posiadasz system 32-bit) lub SystemLook x64 (jeśli posiadasz system 64-bit) i do okna wklej: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netman :filefind netman.dll Klik w Look i przedstaw wynikowy raport. .

Normalnie poprzez Panel sterowania. A nowe wersje zainstalujesz z linków podanych w tym samym przyklejonym: KLIK.

Nie było restartu, bo takowy był zbędny i nie został zaplanowany przeze mnie w Fix. Zadania wykonane i kończymy: 1. Jeszcze jeden Fix, bo jakoś pominęłam dwie szczątkowe pozycje adware na liście zainstalowanych. Otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\LookThisUp /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\mystartsearch uninstall" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Usuń ręcznie C:\Users\KAROLINA\Desktop\raporty, log FIXITPC. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. Stare aplikacje były tu już częściowo usuwane. Został jeszcze ten babol: ==================== Installed Programs ====================== Gadu-Gadu 6.1 (HKLM-x32\...\Gadu-Gadu) (Version: - ) Kompletnie nieużytkowa (brak obsługi nowego protokołu GG), przestarzała i dziurawa wersja. Zainteresuj się nowoczesnym WTW (bardzo dobra obsługa GG): KLIK. .

Temat przenoszę do działu Windows. Brak oznak czynnej infekcji. Wszystko jest w porządku, "Pokaż procesy wszystkich użytkowników" pokazuje ten proces, tylko nie łączysz faktów, że to ten sam proces co poprzednio. Domyślnie Menedżer zadań otwiera się na niskich uprawnieniach i z kontekstu Twojego konta nie można pobrać danych o systemowych procesach, dopiero "Pokaż procesy wszystkich użytkowników" (elewacja uprawnień) jest w stanie uzupełnić dane. Porównawczo ten temat: KLIK. PS. Tylko kosmetyka do wdrożenia: 1. Usuń błąd WMI numer 10 za pomocą narzędzia Fix-it: KLIK. 2. Doczyść szczątkowe wpisy + Tempy. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 atillk64; \??\C:\Program Files (x86)\AMD\System Monitor\atillk64.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] S3 X6va025; \??\C:\Windows\SysWOW64\Drivers\X6va025 [X] Task: {C1152FA0-C07A-4D2F-94B7-F2F29823DE42} - System32\Tasks\Trigger KMS Activation => I:\office\AKtywator\TriggerKMS.exe C:\Users\Michał\AppData\Roaming\Mozilla\Firefox\Profiles\d8u797hc.default\Extensions\jid1-RYwhP9dQdGfXkQ@jetpack C:\Users\Michał\AppData\Roaming\Imminent C:\Users\Michał\AppData\Roaming\System32 C:\Users\Michał\AppData\Roaming\Thinstall Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IDMan" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Pokaż wynikowy fixlog.txt. .

W ramach ukończenia czyszczenia ze śmieci: 1. Jeszcze drobna poprawka. Otwórz Notatnik i wklej w nim: SearchScopes: HKCU - {BAE15EF7-12BD-4908-BA9A-05A2A837A029} URL = http://websearch.ask.com/redirect?client=ie&tb=NRO&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=&apn_uid=8D26E0C9-D07A-40FF-A222-9C1367609917&apn_sauid=F124F3C6-81FE-44C3-BDDC-1EA66CE3AEDE Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Usuń ręcznie pobrany FRST z C:\Users\Szymek\Desktop\Programy, zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. Cały system do aktualizacji, stan obecny (brak SP1, IE11 i rezty łat): Platform: Microsoft Windows 7 Home Premium (X86) OS Language: Polski (Polska) Internet Explorer Version 8 .

Zadania wykonane i kończymy: 1. Zapomniałam zadać do deinstalacji stare wersje Adobe Flash i Java: ==================== Installed Programs ====================== Adobe Flash Player 10 ActiveX (HKLM-x32\...\{922E8525-AC7E-4294-ACAA-43712D4423C0}) (Version: 10.0.22.87 - Adobe Systems, Inc.) ----> wtyczka dla IE Adobe Flash Player 14 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 14.0.0.145 - Adobe Systems Incorporated) ----> wtyczka dla Firefox Java 7 Update 45 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86417045FF}) (Version: 7.0.450 - Oracle) Java 7 Update 55 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217045FF}) (Version: 7.0.550 - Oracle) 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. W systemie jest obecnie pakiet Avast, nie ma potrzeby dodawania kolejnych antywirusów, to zresztą jest niezdrowe (nie może być w tle uruchomiony więcej niż jeden antywirus). .

DelFix wykonał zadanie, możesz skasować plik C:\DelFix.txt. Tak, sądzę że możesz logować się do banku. Tu resztą nie było w systemie trojanów tylko adware reklamodawcze.

Tak jest, tym razem Fix przetworzony. Jeszcze małe korekty do wdrożenia. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Common Files\mcafee RemoveDirectory: C:\Program Files\mcafee RemoveDirectory: C:\ProgramData\McAfee Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Nowy skan FRST nie jest mi potrzebny. .

Zrobione. Kończymy. Ręcznie usuń folder C:\temp skąd uruchamiany był FRST, następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Już prawie kończymy. Ostatnia poprawka. Otwórz Notatnik i wklej w nim: Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /f Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /v 6EF366F60DE3FBA418C64447F4A7ACAB /t REG_SZ /d C?\Windows\system32\msvcr71.dll /f Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /v 81DFCA9778DAB084880EFC47DDB9AB36 /t REG_SZ /d C?\Windows\system32\msvcr71.dll /f Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /v BE08307221881E2428983507D08B042D /t REG_SZ /d C?\Windows\system32\msvcr71.dll /f Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.