picasso

Możesz skasować plik C:\DelFix.txt z dysku. Temat rozwiązany. Zamykam.

Czy problemy nadal występują? Wszystko zrobione. Drobne poprawki. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-392818877-1939927122-1532879338-1000\...\Run: [AVG-Secure-Search-Update_JUNE2013_TB] => "C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_TB.exe" /PROMPT /CMPID=JUNE2013_TB HKU\S-1-5-21-392818877-1939927122-1532879338-1000\...\Run: [AVG-Secure-Search-Update_JUNE2013_HP] => "C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_HP.exe" /PROMPT /CMPID=JUNE2013_HP RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\Users\Administrator RemoveDirectory: C:\Users\Gość RemoveDirectory: C:\Users\UpdatusUser\AppData\Local\Google RemoveDirectory: C:\Users\Grażynka\Desktop\Stare dane programu Firefox Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Zrobione. Kończymy. Skasuj ręcznie folder C:\Users\Marcin\Desktop\FRST i zastosuj DelFix.

Operacje pomyślnie przeprowadzone. Drobne poprawki. Otwórz Notatnik i wklej: HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" HKU\S-1-5-21-2546757417-2285422710-3828388020-1001\...\MountPoints2: {7c6f41fe-b35c-11e3-8eb5-dc85de2a4d10} - F:\auto.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction C:\Program Files (x86)\Linkey C:\Program Files (x86)\Mozilla Firefox.bak C:\Program Files (x86)\Opera C:\ProgramData\ASUS WebStorage C:\ProgramData\McAfee C:\ProgramData\Temp C:\Users\Marcin\AppData\Local\globalUpdate C:\Users\Marcin\AppData\Local\Lollipop C:\Users\Marcin\AppData\Local\Opera Software C:\Users\Marcin\AppData\Local\uninst.tmp RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Marcin\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Wszystko zrobione. Kończymy. Zastosuj DelFix (GMER dokasuj ręcznie) i zastąp instalacje Adobe najnowszymi wersjami: KLIK.

W Firefox jest adware YoutuabeEEAdeBLOcke. Przeprowadź następujące działania: 1. Odinstaluj zbędny i przestarzały Spybot - Search & Destroy. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File HKU\S-1-5-21-392818877-1939927122-1532879338-1000\...\Run: [AVG-Secure-Search-Update_JUNE2013_TB] => "C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_TB.exe" /PROMPT /CMPID=JUNE2013_TB HKU\S-1-5-21-392818877-1939927122-1532879338-1000\...\Run: [AVG-Secure-Search-Update_JUNE2013_HP] => "C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_HP.exe" /PROMPT /CMPID=JUNE2013_HP Task: {5ADE91CD-C6F4-46C0-BFDE-565DCB7957BB} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\windows\TEMP\{480320C6-8391-42A5-A4CE-177DDD739EFA}.exe Task: {7AAAFA94-6CCD-43F5-9677-E49CC1C4A6EA} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\windows\TEMP\{BE1C4BBD-7619-464F-A7AB-6738AD3BACBA}.exe Task: C:\windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\windows\TEMP\{480320C6-8391-42A5-A4CE-177DDD739EFA}.exe Task: C:\windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\windows\TEMP\{BE1C4BBD-7619-464F-A7AB-6738AD3BACBA}.exe S3 cleanhlp; C:\EEK\bin\cleanhlp64.sys [57024 2014-09-22] (Emsisoft GmbH) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver" C:\EEK C:\Program Files (x86)\Mozilla Firefoxavg-secure-search.xml C:\ProgramData\F-Secure C:\ProgramData\Oracle C:\ProgramData\Norton C:\Users\Grażynka\Doctor Web C:\Users\Grażynka\AppData\Local\ars.cache C:\Users\Grażynka\AppData\Local\census.cache C:\Users\Grażynka\AppData\Local\housecall.guid.cache C:\Users\Grażynka\AppData\Local\sponge.last.runtime.cache C:\Users\Grażynka\AppData\Local\Google C:\Users\Grażynka\AppData\Roaming\Advanced C:\Users\Grażynka\AppData\Roaming\ArcaVirMicroScan C:\Users\Grażynka\AppData\Roaming\AVG C:\Users\Grażynka\AppData\Roaming\QuickScan C:\Users\Grażynka\Downloads\*.partial Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gbrspcontrol" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Grażynka\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Grażynka\AppData\Roaming\Opera Software\Opera Stable\Preferences" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows, by COMODO nie zablokował operacji FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). .

Zrób nowy log FRST (zaznacz też pole Addition), by było wiadome co się zmieniło po deinstalacjach.

Czy po deinstalacji COMODO nastąpiła poprawa? Czy wykonałeś Fix ze spoilera (nie podałeś pliku fixlog.txt)? Nie mam szczególnych upodobań. Wyznaję zasadę, że cokolwiek użytkownik zainstaluje z wiodącej puli komercyjnych lub darmowych, byle nie niszowy producent, będzie OK. Jakiego antywirusa? To jakiś Linuksowy twór? .

Czy po przeprowadzonych działaniach jest poprawa? Ten błąd w Dzienniku zdarzeń sugeruje po prostu aktualizację sterowników graficznych. Czyli masz sprawdzić na stronie producenta czy jest nowsza wersja. Log Addition pokazuje tu następującą instalację, sama nazwa wskazuje, że to coś starego, bo obecnie "ATI" to jest "AMD": ==================== Installed Programs ====================== ATI Catalyst Install Manager (HKLM\...\{0FB2E75A-1024-331F-77EF-D45F71505D58}) (Version: 3.0.732.0 - ATI Technologies, Inc.) Nowe sterowniki instalują pozycję "AMD Catalyst Install Manager". .

Rejestracje nie uzupełniły kluczy. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}] @="JScript Language" [HKEY_CLASSES_ROOT\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\Implemented Categories] [HKEY_CLASSES_ROOT\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\Implemented Categories\{F0B7A1A1-9847-11CF-8F20-00805F2CD064}] [HKEY_CLASSES_ROOT\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\Implemented Categories\{F0B7A1A2-9847-11CF-8F20-00805F2CD064}] [HKEY_CLASSES_ROOT\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\InprocServer32] @="C:\\Windows\\System32\\jscript9.dll" "ThreadingModel"="Both" [HKEY_CLASSES_ROOT\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\OLEScript] [HKEY_CLASSES_ROOT\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\ProgID] @="JScript" [HKEY_CLASSES_ROOT\CLSID\{cc5bbec3-db4a-4bed-828d-08d78ee3e1ed}] @="JScript Compact Profile (ECMA 327)" [HKEY_CLASSES_ROOT\CLSID\{cc5bbec3-db4a-4bed-828d-08d78ee3e1ed}\Implemented Categories] [HKEY_CLASSES_ROOT\CLSID\{cc5bbec3-db4a-4bed-828d-08d78ee3e1ed}\Implemented Categories\{F0B7A1A1-9847-11CF-8F20-00805F2CD064}] [HKEY_CLASSES_ROOT\CLSID\{cc5bbec3-db4a-4bed-828d-08d78ee3e1ed}\Implemented Categories\{F0B7A1A2-9847-11CF-8F20-00805F2CD064}] [HKEY_CLASSES_ROOT\CLSID\{cc5bbec3-db4a-4bed-828d-08d78ee3e1ed}\InprocServer32] @="C:\\Windows\\System32\\jscript.dll" "ThreadingModel"="Both" [HKEY_CLASSES_ROOT\CLSID\{cc5bbec3-db4a-4bed-828d-08d78ee3e1ed}\OLEScript] [HKEY_CLASSES_ROOT\CLSID\{cc5bbec3-db4a-4bed-828d-08d78ee3e1ed}\ProgID] @="JScript.Compact" [HKEY_CLASSES_ROOT\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}] @="JScript Language" [HKEY_CLASSES_ROOT\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}\Implemented Categories] [HKEY_CLASSES_ROOT\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}\Implemented Categories\{F0B7A1A1-9847-11CF-8F20-00805F2CD064}] [HKEY_CLASSES_ROOT\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}\Implemented Categories\{F0B7A1A2-9847-11CF-8F20-00805F2CD064}] [HKEY_CLASSES_ROOT\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32] @="C:\\Windows\\System32\\jscript.dll" "ThreadingModel"="Both" [HKEY_CLASSES_ROOT\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}\OLEScript] [HKEY_CLASSES_ROOT\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}\ProgID] @="JScript" [HKEY_CLASSES_ROOT\CLSID\{f414c261-6ac0-11cf-b6d1-00aa00bbbb58}] @="JScript Language Authoring" [HKEY_CLASSES_ROOT\CLSID\{f414c261-6ac0-11cf-b6d1-00aa00bbbb58}\Implemented Categories] [HKEY_CLASSES_ROOT\CLSID\{f414c261-6ac0-11cf-b6d1-00aa00bbbb58}\Implemented Categories\{0AEE2A92-BCBB-11D0-8C72-00C04FC2B085}] [HKEY_CLASSES_ROOT\CLSID\{f414c261-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32] @="C:\\Windows\\System32\\jscript.dll" "ThreadingModel"="Both" [HKEY_CLASSES_ROOT\CLSID\{f414c261-6ac0-11cf-b6d1-00aa00bbbb58}\OLEScript] [HKEY_CLASSES_ROOT\CLSID\{f414c261-6ac0-11cf-b6d1-00aa00bbbb58}\ProgID] @="JScript Author" [HKEY_CLASSES_ROOT\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58}] @="JScript Language Encoding" [HKEY_CLASSES_ROOT\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58}\Implemented Categories] [HKEY_CLASSES_ROOT\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58}\Implemented Categories\{F0B7A1A1-9847-11CF-8F20-00805F2CD064}] [HKEY_CLASSES_ROOT\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58}\Implemented Categories\{F0B7A1A2-9847-11CF-8F20-00805F2CD064}] [HKEY_CLASSES_ROOT\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58}\Implemented Categories\{F0B7A1A3-9847-11CF-8F20-00805F2CD064}] [HKEY_CLASSES_ROOT\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32] @="C:\\Windows\\System32\\jscript.dll" "ThreadingModel"="Both" [HKEY_CLASSES_ROOT\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58}\OLEScript] [HKEY_CLASSES_ROOT\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58}\ProgID] @="JScript.Encode" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system. Podaj czy jest poprawa. .

Dodatkowo, w Dzienniku zdarzeń jest pula następujących błędów: System errors: ============= Error: (11/02/2014 01:20:03 PM) (Source: atapi) (EventID: 11) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Ide\IdePort2. Error: (11/02/2014 01:20:03 PM) (Source: atapi) (EventID: 11) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Ide\IdePort2. Error: (11/02/2014 01:20:03 PM) (Source: atapi) (EventID: 11) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Ide\IdePort2. Error: (11/02/2014 01:20:03 PM) (Source: atapi) (EventID: 11) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Ide\IdePort2. Error: (11/02/2014 01:20:03 PM) (Source: atapi) (EventID: 11) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Ide\IdePort2. Error: (11/02/2014 01:20:03 PM) (Source: atapi) (EventID: 11) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Ide\IdePort2. Error: (11/02/2014 01:08:06 PM) (Source: atapi) (EventID: 11) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Ide\IdePort2. Error: (11/02/2014 01:08:06 PM) (Source: atapi) (EventID: 11) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Ide\IdePort2. Error: (11/02/2014 01:08:06 PM) (Source: atapi) (EventID: 11) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Ide\IdePort2. Temat przesuwam do działu Hardware. Proszę dostarcz dane orientowane w kierunku sprzętowym: KLIK.

Czy Ty na pewno robisz czyszczenie Przywracania systemu w opcjach Windows? Opis mi sugeruje, że Ty chcesz usunąć ręcznie folder C:\System Volume Information (on jest zablokowany i zawsze jest "Odmowa dostępu") - tego nie wolno robić, to nie jest poprawna metoda czyszczenia punktów.

Tu zwracają uwagę stare wersje programów zabezpieczających Avast (8.0.1497.0), Malwarebytes Anti-Malware (1.75.0.1300) i WinPatrol (26.0.2013.0). To może być przyczyna mozolnego inicjowania aplikacji. 1. Odinstaluj stare programy: Adobe Flash Player 13 ActiveX, Adobe Flash Player 13 Plugin, Adobe Shockwave Player 12.0, avast! Free Antivirus, Java 7 Update 40 (64-bit), Java 7 Update 40, Malwarebytes Anti-Malware, WinPatrol. Nie używaj do tego Revo tylko normalnie przez Panel sterowania. Następnie w Trybie awaryjnym zastosuj jeszcze firmowy Avast Uninstall Utility. Na razie nie instaluj żadnych zabezpieczeń, należy się upewnić jak system pracuje po deinstalacjach. 2. Po deinstalacji doczyść jeszcze śmieci (wpisy puste oraz wejścia adware - głównie przekierowania "aartemis"): 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Podaj czy są jakieś zmiany. .

Spróbujmy usunąć te nieczytelne pliki (nie wiem czy da radę, może jest jakiś błąd na dysku) i podstawić je świeżymi. Pliki będą zamieniane z poziomu środowiska zewnętrznego. 1. Pobierz FRST + paczkę Pliki.zip: KLIK / KLIK. Utwórz tymczasowy katalog C:\Temp i w nim umieść te trzy rozpakowane pliki oraz FRST. Otwórz Notatnik i wklej w nim: Unlock: C:\Windows\winsxs\Manifests\x86_microsoft-windows-t..igbackend.resources_31bf3856ad364e35_6.1.7600.16385_pl-pl_8b78b555ebf15b14.manifest Unlock: C:\Windows\winsxs\Manifests\x86_microsoft-windows-t..ied-chinese-quanpin_31bf3856ad364e35_6.1.7600.16385_none_f79af98021986eab.manifest Unlock: C:\Windows\winsxs\Manifests\x86_microsoft-windows-t..ied-chinese-zhengma_31bf3856ad364e35_6.1.7600.16385_none_632cd22f8aba00e7.manifest C:\Windows\winsxs\Manifests\x86_microsoft-windows-t..igbackend.resources_31bf3856ad364e35_6.1.7600.16385_pl-pl_8b78b555ebf15b14.manifest C:\Windows\winsxs\Manifests\x86_microsoft-windows-t..ied-chinese-quanpin_31bf3856ad364e35_6.1.7600.16385_none_f79af98021986eab.manifest C:\Windows\winsxs\Manifests\x86_microsoft-windows-t..ied-chinese-zhengma_31bf3856ad364e35_6.1.7600.16385_none_632cd22f8aba00e7.manifest CMD: copy /y C:\Temp\x86_microsoft-windows-t..igbackend.resources_31bf3856ad364e35_6.1.7600.16385_pl-pl_8b78b555ebf15b14.manifest C:\Windows\winsxs\Manifests CMD: copy /y C:\Temp\x86_microsoft-windows-t..ied-chinese-quanpin_31bf3856ad364e35_6.1.7600.16385_none_f79af98021986eab.manifest C:\Windows\winsxs\Manifests CMD: copy /y C:\Temp\x86_microsoft-windows-t..ied-chinese-zhengma_31bf3856ad364e35_6.1.7600.16385_none_632cd22f8aba00e7.manifest C:\Windows\winsxs\Manifests Plik zapisz pod nazwą fixlist.txt w katalogu C:\Temp. 2. F8 > Napraw komputer > Wiersz polecenia > uruchom zgodnie z opisem FRST: KLIK. Wklepujesz oczywiście komendę C:\Temp\FRST64.exe. Po uruchomieniu FRST klik w Fix. W C:\Temp powstanie plik fixlog.txt. 3. Zaloguj się z powrotem do Windows i przedstaw wynikowy fixlog.txt. .

vs. Równie dobrze problemy może tworzyć oprogramowanie zabezpieczające lub inny soft. Jak mówiłam, zacznij od deinstalacji Nortona i podaj czy są zmiany. .

Jak mówię, nie uruchamiaj ComboFix, to nie jest program do rozwiązywania tego rodzaju problemów. Narzędzie usunęło prawie wszystko od McAfee, ostała się jedna usługa, ale jest ona w stanie "Zatrzymano", więc raczej brak wpływu na system. Może to jednak jest problem sprzętowy, tzn. problem z dyskiem. W logu są ślady uruchamiania checkdiska i obcinania wadliwych danych: 2014-11-05 18:04 - 2014-11-06 13:49 - 00000000 ____D () C:\found.003 2014-11-06 13:49 - 2014-07-03 15:25 - 00000000 ____D () C:\found.002 2014-11-06 13:49 - 2014-06-24 18:57 - 00000000 ____D () C:\found.000 Podaj mi jeszcze spis uprawnień root dysku, przy okazji usunę odpadkowe wpisy, choć to jak mówiłam nie powinno w niczym pomóc. Otwórz Notatnik i wklej w nim: ListPermissions: C:\ S3 McComponentHostServiceSony; C:\Program Files (x86)\Sony\MSS\3.8.130\McCHSvc.exe [235216 2013-10-16] (McAfee, Inc.) S3 catchme; \??\C:\ComboFix\catchme.sys [X] FF Plugin-x32: @mcafee.com/McAfeeMssPlugin -> C:\Program Files (x86)\Sony\MSS\3.8.130\npMcAfeeMss.dll No File HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-4106931729-1466076011-650411161-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe C:\ProgramData\*.bin C:\ProgramData\Temp C:\Users\Magda\AppData\Roaming\QuickScan C:\Windows\system32\netcfg-*.txt Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. + Dodatkowe pytanie: czy da się wejść do ustawień Windows 8? .

Zadania pomyślnie wykonane i linki zostały zamknięte. Dodatkowy skan DIR wykazuje, że są kolejne rekordy do naprawy. Druga (i mam nadzieję, że ostatnia) tura zamykania linków: 1. Zakładam, że SetACL.exe nadal jest w folderze C:\Windows, a FRST w tym samym miejscu co poprzednio. Skasuj z Pulpitu poprzednie pliki fix*.txt i zrób w Notatniku nowe o następującej zawartości: ----> Pierwszy plik: "\\?\C:\Documents and settings",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" Plik zapisz pod nazwą fix1.txt na Pulpicie. ----> Drugi plik: "\\?\C:\ProgramData\Documents",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" Plik zapisz pod nazwą fix2.txt na Pulpicie. ----> Trzeci plik: "\\?\C:\Users\All Users\Documents",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" Plik zapisz pod nazwą fix3.txt na Pulpicie. ----> Czwarty plik: "\\?\C:\Users\Default\AppData\Local\Application Data",1,"O:SYD:AI(D;;CC;;;WD)" Plik zapisz pod nazwą fix4.txt na Pulpicie. ----> Piąty plik: "\\?\C:\Users\Default\Local Settings",1,"O:SYD:AI(D;;CC;;;WD)" Plik zapisz pod nazwą fix5.txt na Pulpicie. ----> Szósty plik: "\\?\C:\Users\Default\My Documents",1,"O:SYD:AI(D;;CC;;;WD)" Plik zapisz pod nazwą fix6.txt na Pulpicie. 2. W Notatniku utwórz skrypt do FRST o następującej treści: DeleteJunctionsInDirectory: C:\Windows\SysWOW64\config\systemprofile DeleteJunctionsInDirectory: C:\Windows\SysWOW64\config\systemprofile\AppData\Local DeleteJunctionsInDirectory: C:\Windows\SysWOW64\config\systemprofile\Documents DeleteJunctionsInDirectory: C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu C:\Windows\system32\config\systemprofile\Documents C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Network Shortcuts C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Printer Shortcuts C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Recent C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\SendTo C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Templates C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu C:\Windows\SysWOW64\config\systemprofile\Documents CMD: SetACL -on "C:\Documents and settings" -ot file -actn restore -bckp "C:\Users\Marcin K\Desktop\fix1.txt" CMD: SetACL -on "C:\ProgramData\Documents" -ot file -actn restore -bckp "C:\Users\Marcin K\Desktop\fix2.txt" CMD: SetACL -on "C:\Users\All Users\Documents" -ot file -actn restore -bckp "C:\Users\Marcin K\Desktop\fix3.txt" CMD: SetACL -on "C:\Users\Default\AppData\Local\Application Data" -ot file -actn restore -bckp "C:\Users\Marcin K\Desktop\fix4.txt" CMD: SetACL -on "C:\Users\Default\Local Settings" -ot file -actn restore -bckp "C:\Users\Marcin K\Desktop\fix5.txt" CMD: SetACL -on "C:\Users\Default\My Documents" -ot file -actn restore -bckp "C:\Users\Marcin K\Desktop\fix6.txt" CMD: DIR /AL /S C:\ Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST w folderze C:\Users\Marcin K\Desktop\Download. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. .

Ten objaw świadczy o uszkodzeniu Internet Explorer, jest tu na dodatek starsza wersja IE10. Tym się zajmę potem. Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files\Java C:\Program Files (x86)\Foxtab C:\Program Files (x86)\McAfee C:\Program Files (x86)\MyPC Backup C:\Program Files (x86)\PC Speed Maximizer C:\Program Files (x86)\Symantec C:\Program Files (x86)\Temp C:\Program Files (x86)\TuneUp Utilities 2014 C:\Program Files (x86)\Uniblue C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69 C:\ProgramData\Ask C:\ProgramData\AVG Nation toolbar C:\ProgramData\AVG Secure Search C:\ProgramData\AVG2014 C:\ProgramData\BonanzaDealsLive C:\ProgramData\eSafe C:\ProgramData\McAfee C:\ProgramData\MFAData C:\ProgramData\Partner C:\ProgramData\Simply Super Software C:\ProgramData\SiteAdvisor C:\ProgramData\Sun C:\ProgramData\Symantec C:\ProgramData\Systweak C:\ProgramData\TEMP C:\ProgramData\TuneUp Software C:\Users\christian\AppData\Local\Allin1Convert_8h C:\Users\christian\AppData\Local\Amazon Browser Bar C:\Users\christian\AppData\Local\AVG Nation toolbar C:\Users\christian\AppData\Local\BonanzaDealsLive C:\Users\christian\AppData\Local\MFAData C:\Users\christian\AppData\Local\SearchProtect C:\Users\christian\AppData\LocalLow\Allin1Convert_8h C:\Users\christian\AppData\LocalLow\AVG Nation toolbar C:\Users\christian\AppData\LocalLow\ge2268 C:\Users\christian\AppData\LocalLow\Sun C:\Users\MAX Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. 2. W kwestii: Pokaż mi zrzut ekranu co widzisz. .

"Spowiedź" pomyślna, Fix przetworzył co należy. Skan FSS pokazuje dodatkowe drobne uszkodzenie (jednak kiedyś był ZeroAccess), tzn. brakuje ikony Centrum Akcji. Drobne poprawki. Otwórz Notatnik i wklej w nim: Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A} /v AutoStart /t REG_SZ /d "" /f RemoveDirectory: C:\Users\xxxxx\Desktop\Stare dane programu Firefox DeleteQuarantine: Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Przedstaw wynikowy fixlog.txt. .

SpyHunter to program wątpliwej reputacji (był na czarnej liście), reklamiarz deprecjonujący konkurencyjne (i lepsze) skanery, stosujący naciski, by go zainstalować ("jestem usuwaczem infekcji A lub B"), po czym się okazuje, że wyniki owszem są, ale usuwanie już płatne. W raportach nie widać żadnego punktu ładowania infekcji, są owszem pliki infekcji na dysku wyglądające na typ Bitcoin miner, ale one nie wyglądają na czynne: 2014-10-19 09:15 - 2014-11-02 18:43 - 00000000 ____D () C:\Users\KiL\AppData\Roaming\rundll32.exe 2014-10-19 09:15 - 2014-10-04 12:10 - 02903280 _____ () C:\Users\KiL\AppData\Roaming\stubs.exe 2014-10-19 09:15 - 2014-10-02 11:34 - 00000027 _____ () C:\Users\KiL\AppData\Roaming\stubs.bat 2014-10-19 09:15 - 2014-10-01 21:28 - 00000078 _____ () C:\Users\KiL\AppData\Roaming\invisible.vbs 2014-10-19 09:15 - 2014-05-08 11:37 - 02831560 ____N (Adobe Systems Incorporated) C:\Users\KiL\AppData\Roaming\a.exe 2014-11-06 16:48 - 2014-03-22 22:41 - 00000000 ____D () C:\Program Files (x86)\PCData Bitcoin miner mógłby wyjaśniać 100% CPU i przegrzewanie, gdyby był czynny, tylko tu nic na to nie wskazuje. Czy na pewno problemy nadal występują? Ponadto, system nie wygląda na legalny i zdaje się, że był crackowany co dopiero. Za cracki nie daję żadnych gwarancji (mogłeś wprowadzić sobie jakieś nieprzyjemny dodatek). W Dzienniku jest błąd charakterystyczny dla manipulacji z aktywacją, a na dysku podejrzane paczki: Application errors: ================== Error: (11/06/2014 04:46:14 PM) (Source: Winlogon) (EventID: 4103) (User: ) Description: Aktywacja licencji systemu Windows nie powiodła się. Błąd 0x80070005. 2014-11-03 23:14 - 2014-02-06 19:57 - 08190132 _____ () C:\Users\KiL\Downloads\Remove-WAT-2.2.6.0.rar 2014-11-03 23:14 - 2013-03-11 21:57 - 00021292 _____ () C:\Users\KiL\Downloads\RemoveWAT.2.2.5.rar 2014-11-03 23:13 - 2012-06-29 18:28 - 00041154 _____ () C:\Users\KiL\Downloads\W68indowsLoa78der2.1.4-elamigos.zip Wstępnie doczyść komputer z tego co widać: 1. Odmontuj cracki aktywacyjne. 2. Odinstaluj zbędniki i stare dziurawe aplikacje: Adobe Reader 9.4.0 - Polish, Java™ 6 Update 23, McAfee Security Scan Plus, SpyHunter 4. McAfee Security Scan Plus to przypuszczalnie instalacja sponsorowana: KLIK. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 RL_10TION; System32\Drivers\rl10tionu.sys [X] S3 RL_10TION_A_WDM; system32\drivers\rl10tiona.sys [X] Startup: C:\Users\KiL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\10tion Control Panel.lnk HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=164 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe BHO-x32: Surftastic -> {c6673938-a52b-4dc6-af05-783e7e2c8b65} -> C:\Program Files (x86)\Surftastic\Surftasticbho.dll No File Folder: C:\Users\KiL\AppData\Roaming\rundll32.exe CMD: type C:\Users\KiL\AppData\Roaming\stubs.bat C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\PCData C:\Users\KiL\AppData\Local\Temp*.html C:\Users\KiL\AppData\Local\Google\Chrome C:\Users\KiL\AppData\Roaming\a.exe C:\Users\KiL\AppData\Roaming\stubs.exe C:\Users\KiL\AppData\Roaming\stubs.bat C:\Users\KiL\AppData\Roaming\invisible.vbs C:\Users\KiL\AppData\Roaming\rundll32.exe C:\Users\KiL\AppData\Roaming\Mozilla C:\Users\KiL\Downloads\SpyHunter-Installer.exe C:\Users\KiL\Downloads\Remove-WAT-2.2.6.0.rar C:\Users\KiL\Downloads\RemoveWAT.2.2.5.rar C:\Users\KiL\Downloads\W68indowsLoa78der2.1.4-elamigos.zip Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i wypowiedz się co się dzieje. .

Po dokładnym przyjrzeniu się na skan detaliczny, nie widzę nic dziwnego w Winsock. Moim zdaniem tu nie ma problemu. Zgłoszę problem braku filtracji wpisów autorowi. Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Zadanie wykonane. Możesz usunąć plik C:\DelFix.txt z dysku. To już koniec działań. Na przyszłość: - Czego unikać, skąd nie pobierać, by ograniczyć występowanie problemów podobnych do "TornTV": KLIK. - Jeśli pojawi się jakiś problem z adware / reklamami, poprawna metoda usuwania to: w pierwszej kolejności deinstalacja via Panel sterowania podejrzanych / nieznanych programów, następnie w przeglądarce w menedżerze rozszerzeń powtórzenie tego procesu, dopiero na koniec użycie automatów typu AdwCleaner czy Malwarebytes Anti-malware. - ComboFix unikać, to nie jest program domowego użytku. .

Na przyszłość: proszę nie powtarzaj skryptu więcej niż jeden raz, niezależnie od tego czy FRST się zawiesi / będzie jakiś inny problem. Potem otrzymuję niewiarygodne logi nie pokazujące co tak naprawdę zostało usunięte przy pierwszym podejściu (przecież może być jakiś bug). Ale co widzisz, jaki konkretnie błąd? Z tego powtórnego Fixlog w konfrontacji z ogólnym logiem FRST wynika, że skrypt wykonał się tylko do komendy RemoveDirectory. Poprawka z pominięciem owej komendy, ale uwzględnieniem zmian: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 avgtp; C:\Windows\system32\drivers\avgtpx64.sys [50464 2014-07-02] (AVG Technologies) S2 bonanzadealslive; C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe /svc [X] S3 bonanzadealslivem; C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe /medsvc [X] S2 Updater Service for AMZN; C:\Program Files (x86)\Amazon Browser Bar\ToolbarUpdaterService.exe [X] S2 vToolbarUpdater18.1.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\18.1.0\ToolbarUpdater.exe [X] BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File Toolbar: HKLM-x32 - No Name - {95B7759C-8C7F-4BF1-B163-73684A933233} - No File Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File C:\Program Files (x86)\AVG Nation toolbar C:\Program Files (x86)\BonanzaDeals C:\Windows\system32\drivers\avgtpx64.sys Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /s Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /s CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\christian\AppData\Local CMD: dir /a C:\Users\christian\AppData\LocalLow CMD: dir /a C:\Users\christian\AppData\Roaming EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ma nastąpić restart i powstać nowy plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Temat przenoszę do działu Windows, tytuł zmieniam. Brak oznak infekcji. Podejrzani: - Pod kątem długiego uruchamiania, ogólnego spowolnienia i problemów startu aplikacji: mocarna rozbudowana instalacja Norton Internet Security. - Pod kątem zawieszeń eksploratora: prócz powyższego, rzuca się w oczy multum rejestracji ShellIconOverlayIdentifiers utworzonych przez firmowy ASUS Webstorage (zbędnik) oraz doinstalowany TortoiseSVN. Jest tam jeszcze rejestracja AutoCAD, ale to na razie pomojam. Sugeruję zacząć od testowej deinstalacji po kolei po jednym sofcie na raz (zaczynając od najgrubszego Nortona) > restart systemu > sprawdzasz wyniki. .

Temat przenoszę do działu Windows. Brak oznak infekcji. Potem ewentualnie zajmę się korektą wpisów odpadkowych, obecnie nie ma to najmniejszego znaczenia. O ile to nie jest problem sprzętowy, za znaczący uznaję fakt, iż ComboFix (którego notabene nie powinno się uruchamiać w takiej sytuacji) "pomógł" do następnego restartu. To sugeruje blokadę na poziomie procesów. I jest tu bardzo dobry podejrzany, tzn. zdefektowany McAfee. Pozorowana deinstalacja (fakt deinstalacji miał miejsce, bo brak już wejścia na liście zainstalowanych), w tle hula cała grupa przeterminowanych usług i sterowników: ==================== Processes (Whitelisted) ================= (McAfee, Inc.) C:\Windows\System32\mfevtps.exe (McAfee, Inc.) C:\Program Files\Common Files\mcafee\systemcore\mfefire.exe (McAfee, Inc.) C:\Program Files\Common Files\mcafee\systemcore\mcshield.exe ==================== Services (Whitelisted) ================= U2 McShield; C:\Program Files\Common Files\McAfee\SystemCore\\mcshield.exe [237920 2012-06-22] (McAfee, Inc.) R2 mfefire; C:\Program Files\Common Files\McAfee\SystemCore\\mfefire.exe [218320 2012-06-22] (McAfee, Inc.) R2 mfevtp; C:\Windows\system32\mfevtps.exe [177144 2012-06-22] (McAfee, Inc.) ==================== Drivers (Whitelisted) ==================== S3 cfwids; C:\Windows\System32\drivers\cfwids.sys [69672 2012-06-22] (McAfee, Inc.) S3 mfeapfk; C:\Windows\System32\drivers\mfeapfk.sys [169320 2012-06-22] (McAfee, Inc.) R3 mfeavfk; C:\Windows\System32\drivers\mfeavfk.sys [300392 2012-06-22] (McAfee, Inc.) S0 mfeelamk; C:\Windows\System32\drivers\mfeelamk.sys [66712 2012-06-18] (McAfee, Inc.) R3 mfefirek; C:\Windows\System32\drivers\mfefirek.sys [513456 2012-06-22] (McAfee, Inc.) R0 mfehidk; C:\Windows\System32\drivers\mfehidk.sys [752672 2012-06-22] (McAfee, Inc.) S3 mferkdet; C:\Windows\System32\drivers\mferkdet.sys [106112 2012-06-22] (McAfee, Inc.) R0 mfewfpk; C:\Windows\System32\drivers\mfewfpk.sys [335784 2012-06-22] (McAfee, Inc.) Zacznij od próby użycia McAfee Consumer Product Removal Tool, zresetuj system i zrób nowy log FRST (bez Addition i Shortcut). Problemem jest tu, że narzędzie będzie zapuszczone z poziomu trybu normalnego (czynny McAfee może przeszkodzić), bo awaryjny jest niesiągalny. Ale zobaczymy. Inne metody wejścia w awaryjny na Windows 8: - Z poziomu systemu: Użycie msconfig. Lub edycja BCD, by uaktywnić stary typ menu znany z Windows 7: KLIK. Niemniej przy syndromach blokady systemu nie wydaje mi się, by to przeszło i raczej odradzam próby. - Start z płyty instalacyjnej DVD Windows 8, o ile nośnik jest dostępny. .