picasso

Fix wykonany. MBAM powinien wykryć te EXE Brontok. Jeśli nie wykrywa, to zamiennie skorzystaj z Kaspersky Virus Removal Tool. Domyślnie narzędzie prowadzi ekspresowe skanowanie, w konfiguracji zmień na pełne. Z tym, że są tu dwie partycje i skan wszystkich na raz może trwać długo, podziel skan na dwa etapy: na początek dysk C, gdy ukończysz skanowanie ponów je dla dysku D. Dostarcz wyniki z wykryciami (nie interesuje mnie cały log z wynikami typu "OK", tylko wyniki ze szkodnikami są istotne).

Wprawdzie ponownie wszystko usunięte, ale te zadania AT* się regenerują... Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: Task: {0A1ED6CB-B289-4B71-BB74-3DA83D45BAA8} - System32\Tasks\At4 => C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Templates\5160-NendangBro.com Task: {D7409D75-43D9-48C1-8E17-F1E4C119EDCF} - \At2 No Task File Task: {DED75273-6311-4F53-8213-695422A9DA3E} - System32\Tasks\At3 => C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Templates\5160-NendangBro.com Task: {E997EB2D-EEDF-4541-A9A2-65FF4B4D46CC} - \At1 No Task File C:\windows\Tasks\At*.job RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Zrób pełny skan całego dysku za pomocą Malwarebytes Anti-Malware (przy instalacji odznacz trial). Dostarcz wynikowy raport. .

Na wszelki wypadek proszę o zrzuty ekranu. Ten plik Fixlog jest urwany, nie wykonana połowa zadań z niego. Co się działo podczas opcji Fix, czy przypadkiem działanie nie zostało przerwane ręcznie? Poprawka. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 JavaQuickStarterService; C:\Program Files\Java\jre7\bin\jqs.exe [161776 2012-06-27] (Oracle Corporation) DPF: {CAFEEFAC-0017-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} FF Plugin: @divx.com/DivX Content Upload Plugin,version=1.0.0 -> C:\Program Files\DivX\DivX Content Uploader\npUpload.dll No File FF Plugin: @java.com/DTPlugin,version=10.5.1 -> C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation) FF Plugin: Web Components -> C:\Program Files\Web Components\npWebVideoPlugin.dll No File FF Plugin: yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1 -> C:\Program Files\Yahoo!\Common\npyaxmpb.dll No File FF Plugin HKCU: @adobe.com/FlashPlayer -> C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CHR HKLM\...\Chrome\Extension: [pbiamblgmkgbcgbcgejjgebalncpmhnp] - C:\Program Files\StartSearch plugin\vshareplg.crx [2011-10-27] DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software C:\Documents and Settings\All Users\Dane aplikacji\avg7 C:\Documents and Settings\All Users\Dane aplikacji\MSScanAppDataDir C:\Documents and Settings\All Users\Dane aplikacji\Panda Security C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\LocalService\Dane aplikacji\AVG7 C:\Documents and Settings\acer\Dane aplikacji\AVG7 C:\Documents and Settings\acer\Pulpit\Continue PC Performer installation.lnk C:\Documents and Settings\acer\Pulpit\Nieużywane skróty pulpitu C:\Documents and Settings\acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Program Files\mozilla firefox\plugins C:\Program Files\StartSearch plugin C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation C:\WINDOWS\pss\*.lnkStartup C:\WINDOWS\pss\*.lnkCommon Startup C:\WINDOWS\system32\Adobe\Director EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Przedstaw wynikowy fixlog.txt. .

OK, błąd sterownika pomyślnie rozwiązany i prawdopodobnie instalacja SP1 się uda, o ile nie ma następnego zdefektowanego sterownika w serii. Zdarza się, że jest więcej niż jeden rekord, ale o tym to się można dowiedzieć dopiero przy ponowieniu instalacji SP1, gdyż dane w setupapi.dev.log są nagrywane tylko do momentu wystąpienia pierwszego błędu. Tu na forum był nawet przypadek z defektem kilkunastu / kilkudziesięciu sterowników i po kilku podejściach ręcznych byłam zmuszona dać batch na oko, bo robota ręczna plik po pliku trwałaby do uśmiechniętej śmierci. Zanim jednak zabierzesz się za instalację SP1, jeszcze podaj mi dodatkowy skan na komponenty zgłaszane w Checksur. Uruchom SystemLook x64 i w oknie wklej: :file C:\Windows\winsxs\Manifests\x86_microsoft-windows-t..igbackend.resources_31bf3856ad364e35_6.1.7600.16385_pl-pl_8b78b555ebf15b14.manifest C:\Windows\winsxs\Manifests\x86_microsoft-windows-t..ied-chinese-quanpin_31bf3856ad364e35_6.1.7600.16385_none_f79af98021986eab.manifest C:\Windows\winsxs\Manifests\x86_microsoft-windows-t..ied-chinese-zhengma_31bf3856ad364e35_6.1.7600.16385_none_632cd22f8aba00e7.manifest :dir C:\Windows\winsxs\x86_microsoft-windows-t..igbackend.resources_31bf3856ad364e35_6.1.7600.16385_pl-pl_8b78b555ebf15b14 C:\Windows\winsxs\x86_microsoft-windows-t..ied-chinese-quanpin_31bf3856ad364e35_6.1.7600.16385_none_f79af98021986eab C:\Windows\winsxs\x86_microsoft-windows-t..ied-chinese-zhengma_31bf3856ad364e35_6.1.7600.16385_none_632cd22f8aba00e7 Klik w Look i dostarcz wynikowy log. .

Podałam poprawny link. W linku jest ustęp "Disable hardware acceleration in Flash". .

Po pierwsze: Microsoft wycofał ten program z użytku ze względu na błędy, program jest też mocno przestarzały. Zastąpiło go to narzędzie: KLIK. Po drugie: oba te narzędzia nie prowadzą tradycyjnej deinstalacji, one specjalizują się w usuwaniu rejestracji MSI produktu, co oznacza, że nie usuwają innych komponentów programów (mogą pozostać czynne sterowniki, foldery / pliki na dysku oraz inne wpisy rejestru). Ich używanie jest dyktowane niemożnością poprawnej deinstalacji, uszkodzeniami deinstalatora. Tych programów nie należy zapuszczać na w pełni zainstalowanych programach, które można odinstalować w normalny sposób. W obu aplikacjach są pokazywane programy ukryte, których nie widać z poziomu Panelu sterowania, określonych aplikacji nie wolno naruszyć. Nie powiedziałeś co konkretnie usuwałeś za pomocą Windows Installer Cleanup. W obecnej sytuacji użyj Przywracanie systemu, by odkręcić szkody poczynione programem. .

Zadania wykonane i adware zostało usunięte, ale coś tu nie gra. Załączyłam w skrypcie komendy DIR, by sprawdzić zawartość określonych folderów, a otrzymałam puste zwroty, co jest niemożliwe, gdyż foldery na pewno nie są puste. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej poniższą przykładową komendę i ENTER. Co się pokazuje? dir /a C:\ProgramData Program ma adware w instalatorze: KLIK. .

Oczywiście utworzenie nowego profilu rozwiązuje sprawę. Wszystko zostało zrobione, więc kończymy: 1. Skasuj pobrany GMER. Resztę usuń za pomocą DelFix i wyczyść foldery Przywracania systemu. 2. Cały system do aktualizacji: Platform: Windows 7 Ultimate (X64) OS Language: Polski (Polska) Internet Explorer Version 8 I uzupełnij antywirusa, byle nowy i nie crackowany.

Tomek1623, został zalecony DelFix (usuwa narzędzia i logi) i z mojej strony nie padła prośba o żadne nowe logi, co znaczy, że nie potrzebuję ich już. To już koniec czyszczenia.

Wszystko pomyślnie wykonane. Na koniec: 1. Usuń folder C:\Users\grzegorz\Desktop\logi i popraw za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK.

Wszystko zrobione, toteż kończymy. Zastosuj DelFix. Punktów Przywracania systemu nie ma co czyścić, poprzednio ich nie było, a ostatnio utworzony przed użyciem Revo na wszelki wypadek zostaw jeszcze.

Tych plików-falsyfikatów nie wolno uruchomić, gdyż jak mówiłam to inicjuje infekcję. Kolejne podejście: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [bron-Spizaetus] => C:\Windows\ShellNew\RakyatKelaparan.exe [44417 2012-11-25] () HKLM-x32\...\Winlogon: [shell] Explorer.exe "C:\Windows\KesenjanganSosial.exe" [44417 ] () HKU\S-1-5-21-440814284-2810997126-872106338-1008\...\Run: [Tok-Cirrhatus-1233] => C:\Users\KJ\AppData\Local\br3489on.exe [44417 2012-11-25] () HKU\S-1-5-21-440814284-2810997126-872106338-1008\...\Run: [Tok-Cirrhatus] => C:\Users\KJ\AppData\Local\br3489on.exe [44417 2012-11-25] () HKU\S-1-5-21-440814284-2810997126-872106338-1008\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-440814284-2810997126-872106338-1008\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-440814284-2810997126-872106338-1008\...\Policies\Explorer: [NoFolderOptions] 1 Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Startup.exe () Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup.exe () Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup.exe () Startup: C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif () Startup: C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup.exe () AlternateShell: cmd-brontok.exe Task: {18448E81-DF41-499B-B70B-3D43253FB67F} - System32\Tasks\At2 => C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Templates\5160-NendangBro.com [2012-11-25] () Task: {6FFFACFF-4708-46B1-BBC4-FA56A172B6FF} - System32\Tasks\At1 => C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Templates\5160-NendangBro.com [2012-11-25] () Task: C:\windows\Tasks\At1.job => ? Task: C:\windows\Tasks\At2.job => ? CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1411311658&from=cor&uid=INTELXSSDSC2BB300G4_BTWL404105SG300PGN" CMD: for /d %f in (C:\Users\KJ\AppData\Local\*Bron*) do rd /s /q "%f" C:\ProgramData\All Users.exe C:\Users\Data KJ.exe C:\Users\Default\Default.exe C:\Users\KJ\KJ.exe C:\Users\KJ\AppData\Local\*.bin C:\Users\KJ\AppData\Local\*.exe C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Templates\5160-NendangBro.com C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Templates\Templates.exe C:\Users\Public\Public.exe C:\Users\Users.exe C:\windows\0PSQcsabWsfmis C:\Windows\KesenjanganSosial.exe C:\Windows\ShellNew\RakyatKelaparan.exe C:\windows\SysWOW64\cmd-brontok.exe RemoveDirectory: C:\Users\KJ\Desktop\FRST-OlderVersion Hosts: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, system zostanie zresetowany. Opuść Tryb awaryjny. Powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt. .

Hmmm, a jaki błąd widzisz? W raportach nie widać żadnych oznak czynnej infekcji... Ale system jest kompletnie nieaktualizowany i na dodatek scrackowany, manipulacje z aktywacją: S2 TimerStop; C:\Windows\SysWOW64\TimerStop.sys [4096 2006-12-18] () [File not signed] Na razie: 1. Na próbę odinstaluj całkowicie Panda Cloud Antivirus, Panda Security URL Filtering i sprawdź jakie to ma rezultaty. Odinstaluj też stare dziurawe niebezpieczne aplikacje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 10 Plugin, Adobe Reader 9.0.1, Java™ 6 Update 20. 2. Doczyść wpisy szczątkowe. Otwórz Notatnik i wklej w nim: CloseProcesses: AV: Trend Micro Internet Security (Disabled - Up to date) {48929DFC-7A52-A34F-8351-C4DBEDBD9C50} AS: Trend Micro Internet Security (Disabled - Up to date) {F3F37C18-5C68-ACC1-B9E1-FFA9963AD6ED} S2 TimerStop; C:\Windows\SysWOW64\TimerStop.sys [4096 2006-12-18] () [File not signed] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 ipswuio; System32\DRIVERS\ipswuio.sys [X] U3 tmlwf; No ImagePath U3 tmwfp; No ImagePath S3 TuneUpUtilitiesDrv; \??\C:\Program Files (x86)\TuneUp Utilities 2013\TuneUpUtilitiesDriver64.sys [X] HKLM\...\Winlogon: [userinit] C:\Windows\SysWOW64\userinit.exe, HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-21-1912194083-1325834090-934441682-1000\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-21-1912194083-1325834090-934441682-1000\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-18\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-18\...\Policies\Explorer: [HideSCAHealth] 0 Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TorpedoCopy.lnk Task: {0C102F9E-9437-4842-9F1B-B34D75E8353A} - System32\Tasks\{07283C7A-FC79-4C1C-B284-8EEDE3AB860B} => Chrome.exe Task: {2F06CDA8-5C86-4AAD-BF1A-1FAF484D0AB7} - System32\Tasks\{1F7CE098-1D91-4EBE-B4E0-B6A1CBF29BE8} => Chrome.exe Task: {3A392F85-614C-4277-8A1A-2C3B56127611} - System32\Tasks\{60C95E64-B2B6-47F4-8DAF-5B5EED98F94A} => Chrome.exe Task: {A18C9D1D-FB34-4122-9EE8-DB92029268D7} - System32\Tasks\{7DB585FC-EDED-4757-BAD8-74C0585276F7} => Chrome.exe Task: {B19E2FD7-5C77-494D-89B9-8B84C5127490} - System32\Tasks\{ECB57B04-CBDF-46A2-AC97-F028EFD15F52} => Chrome.exe Task: {B7D99AD0-FC9E-4F59-86B7-E5B4CA93E400} - \{70C8B7F6-41C8-460D-BDE6-F4FA759B6DCD} No Task File Task: {BE156545-6A2C-455C-9C3F-E33E8AB90227} - \{89502FA8-E06D-4210-86EE-F883508F65ED} No Task File Task: {FDEF212A-848A-4BEF-9698-FA0F8DE7EE8A} - \{E8A1E74E-FA56-4221-B97E-E50BA4D5B9A4} No Task File CustomCLSID: HKU\S-1-5-21-1912194083-1325834090-934441682-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Kamil\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1912194083-1325834090-934441682-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Kamil\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1912194083-1325834090-934441682-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Kamil\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File CustomCLSID: HKU\S-1-5-21-1912194083-1325834090-934441682-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Kamil\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKLM-x32 - DefaultScope value is missing. SearchScopes: HKCU - {3BD44F0E-0596-4008-AEE0-45D47E3A8F0E} URL = http://pandasecurity.mystart.com/results.php?gen=ms&pr=vmn&id=pandasecuritytb&v=4_1&ent=ch_653&q={searchTerms} SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Mozilla C:\ProgramData\rvlkl C:\Users\Kamil\AppData\Local\Google C:\Users\Kamil\AppData\Roaming\Acymit C:\Users\Kamil\AppData\Roaming\AudioConverterPackages C:\Users\Kamil\AppData\Roaming\Fyagmo C:\Users\Kamil\AppData\Roaming\Mexo C:\Users\Kamil\AppData\Roaming\Mipony C:\Users\Kamil\AppData\Roaming\MiponyDownloadManagerPackages C:\Users\Kamil\AppData\Roaming\Mozilla C:\Users\Kamil\AppData\Roaming\Nazoo C:\Users\Kamil\AppData\Roaming\Search The Web C:\Windows\pss\Empty.pif.Startup C:\Windows\SysWOW64\TimerStop.sys CMD: netsh advfirewall reset Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Audio Converter Packages" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Mipony Download Manager Packages" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Kamil^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Empty.pif" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\xrhir" /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i wypowiedz co się dzieje. .

Dwie komendy nie zostały przetworzone w skrypcie, bo przekleiłeś tagi formatujące forum. I Brontok wrócił.... Poproszę o uzupełnienie też głównego raportu FRST.txt i zaczynamy od początku..

Na tyle na ile widać z raportów, infekcja została usunięta (brak punktów ładowania). Robiłeś też skany na poprzednim forum, więc tego kroku już nie powtarzam.

Wszystko zrobione. Znasz już tę sekwencję, więc na koniec akcje z przyklejonego: KLIK.

Zadanie wykonane. Kończymy: 1. Skasuj używane narzędzia z folderu C:\Users\Ninos\Desktop\pen, następnie popraw za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Java 7 Update 55 do najnowszej wersji. To tyle.

O jakich pozostałościach / w którym miejscu mowa? Nie znam żadnego automatu precyzyjnie wykrywającego w rejestrze oraz na dysku fragmenty już odinstalowanych programów, których instalacji uprzednio nie monitorowano (np. moduł w komercyjnym Revo Uninstaller lub coś podobnego). W poniższym skrypcie usunę szczątkowe foldery odinstalowanych programów (te które widać w raportach), a resztę to już ręcznie dokasuj. Nie notuję żadnych oznak infekcji. Usuń tylko puste wpisy i przeczyść lokalizacje tymczasowe. Otwórz Notatnik i wklej w nim: CloseProcesses: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe BHO: No Name -> {9421DD08-935F-4701-A9CA-22DF90AC4EA6} -> No File BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File Toolbar: HKLM - No Name - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - No File FF Plugin HKCU: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File FF NetworkProxy: "http", "79.170.50.25" FF NetworkProxy: "http_port", 80 FF NetworkProxy: "type", 0 S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 massfilter; system32\drivers\massfilter.sys [X] S3 MSICDSetup; \??\D:\CDriver64.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnet; system32\DRIVERS\ZTEusbnet.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] Startup: C:\Users\Kornel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\7 Sticky Notes.lnk Task: {2C0AD931-9659-49A4-9D21-930C43797DE0} - System32\Tasks\{50AD534E-924C-4C95-B561-10BD51A968B0} => Firefox.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsPlugin Task: {E4C96304-BBD0-49CD-B0C3-133CAC4C04AA} - System32\Tasks\{E108001D-C0B5-499A-B09E-BCE8CB0117E7} => Chrome.exe http://ui.skype.com/ui/0/5.8.0.156.259/en/abandoninstall?page=tsMain AlternateDataStreams: C:\ProgramData:$SS_DESCRIPTOR_SBXNV9VVGV1BFPTJTG6HVPW9RX1V0KFB7VSVY6HFSVF7VBCVP4GV AlternateDataStreams: C:\Users\All Users:$SS_DESCRIPTOR_SBXNV9VVGV1BFPTJTG6HVPW9RX1V0KFB7VSVY6HFSVF7VBCVP4GV AlternateDataStreams: C:\ProgramData\Application Data:$SS_DESCRIPTOR_SBXNV9VVGV1BFPTJTG6HVPW9RX1V0KFB7VSVY6HFSVF7VBCVP4GV AlternateDataStreams: C:\ProgramData\Dane aplikacji:$SS_DESCRIPTOR_SBXNV9VVGV1BFPTJTG6HVPW9RX1V0KFB7VSVY6HFSVF7VBCVP4GV AlternateDataStreams: C:\ProgramData\Microsoft:CMTVRQzel8ixyFt4axbxJPQ AlternateDataStreams: C:\ProgramData\Microsoft:DGuAVnOYfMQSgEaAEtWzU C:\Program Files (x86)\mozilla firefox\plugins C:\Program Files (x86)\Fraps C:\ProgramData\.811261211181235583101118113995 C:\ProgramData\AVAST Software C:\ProgramData\Stardock C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Anki.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ares C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crusader Kings II 1091 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Electronic Arts C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefly Studios C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Fizzy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Frets on Fire C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Scraper FootPrint Finder C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HI Pro C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hooligans C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MiPony C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade Warband C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Paradox Interactive C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Piranha Bytes C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Portal C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Radical Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Razor 1911 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rome - Total War C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RTRVII C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedBit Video Accelerator C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan C:\Users\Kornel\AppData\Local\{*} C:\Users\Kornel\AppData\Local\ns0 C:\Users\Kornel\AppData\Local\Stardock C:\Users\Kornel\AppData\Roaming\Metin2_Multibot.cfg C:\Users\Kornel\AppData\Roaming\.anki C:\Users\Kornel\AppData\Roaming\.matplotlib C:\Users\Kornel\AppData\Roaming\.minecraft C:\Users\Kornel\AppData\Roaming\.mineshaftersquared C:\Users\Kornel\AppData\Roaming\.wtw C:\Users\Kornel\AppData\Roaming\0ad C:\Users\Kornel\AppData\Roaming\7 Sticky Notes C:\Users\Kornel\AppData\Roaming\Ashampoo C:\Users\Kornel\AppData\Roaming\AVG2013 C:\Users\Kornel\AppData\Roaming\Canneverbe Limited C:\Users\Kornel\AppData\Roaming\DAEMON Tools Lite C:\Users\Kornel\AppData\Roaming\DeviceDoctorSoftware C:\Users\Kornel\AppData\Roaming\DMCache C:\Users\Kornel\AppData\Roaming\DVDVideoSoft C:\Users\Kornel\AppData\Roaming\Easeware C:\Users\Kornel\AppData\Roaming\EurekaLog C:\Users\Kornel\AppData\Roaming\FileZilla C:\Users\Kornel\AppData\Roaming\fizzy C:\Users\Kornel\AppData\Roaming\fltk.org C:\Users\Kornel\AppData\Roaming\fofix C:\Users\Kornel\AppData\Roaming\Gadu-Gadu 10 C:\Users\Kornel\AppData\Roaming\Grupa IMAGE C:\Users\Kornel\AppData\Roaming\homebank C:\Users\Kornel\AppData\Roaming\IDM C:\Users\Kornel\AppData\Roaming\Leadertech C:\Users\Kornel\AppData\Roaming\MarketSamurai.6E37012E1CBD7F47B14488FCC715944F3EBDCEDC.1 C:\Users\Kornel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mount&Blade Warband [by iMortaluz].lnk C:\Users\Kornel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mount&Blade Napoleonic Wars [by iMortaluz].lnk C:\Users\Kornel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DoubleGames C:\Users\Kornel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\IVMP C:\Users\Kornel\AppData\Roaming\Mipony C:\Users\Kornel\AppData\Roaming\Mount&Blade Warband C:\Users\Kornel\AppData\Roaming\Mount&Blade With Fire and Sword C:\Users\Kornel\AppData\Roaming\NuGet C:\Users\Kornel\AppData\Roaming\OpenOffice.org C:\Users\Kornel\AppData\Roaming\Opera C:\Users\Kornel\AppData\Roaming\PrimoPDF C:\Users\Kornel\AppData\Roaming\Sincell C:\Users\Kornel\AppData\Roaming\Stardock C:\Users\Kornel\AppData\Roaming\Stereoscopic Player C:\Users\Kornel\AppData\Roaming\Subversion C:\Users\Kornel\AppData\Roaming\The Creative Assembly C:\Users\Kornel\AppData\Roaming\TuneUp Software C:\Users\Kornel\AppData\Roaming\Tunngle C:\Users\Kornel\AppData\Roaming\UBot Studio C:\Users\Kornel\AppData\Roaming\wargaming.net C:\Users\Kornel\AppData\Roaming\Warner Bros. Interactive Entertainment C:\Users\Kornel\AppData\Roaming\XBMC C:\Users\Kornel\AppData\Roaming\XRay Engine C:\Users\Kornel\AppData\Roaming\ZJMedia C:\Windows\grep.exe C:\Windows\MBR.exe C:\Windows\PEV.exe C:\Windows\sed.exe C:\Windows\zip.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdobeCS6ServiceManager" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. .

Temat przenoszę do działu Windows. Brak jakichkolwiek oznak infekcji. 1. Pierwszy podejrzany w takich przypadkach to program zabezpieczający, tu COMODO Internet Security. Odinstaluj na próbę i sprawdź jakie to ma skutki. Przy okazji na trwałe odinstaluj Surfing Protection od IOBit, marka nie budzi zaufania. 2. Następnie do wykonania pełna aktualizacja Windows, bo jest tu golusieńki Windows 7 (brak SP1, IE11 i reszty łat): Platform: Microsoft Windows 7 Ultimate (X86) OS Language: Polski (Polska) Internet Explorer Version 9 Nie podałeś jaki błąd. Odmowa dostępu, inny? PS. Gdy odinstalujesz COMODO i Surfing Protection, wykonaj skrypt kosmetyczny usuwający wpisy szczątkowe: .

Z klawiatury kombinacja klawisz z flagą Windows + X > Zarządzanie komputerem > Usługi i aplikacje > Usługi. Na liście dwuklik na Dostawca kopiowania w tle oprogramowania firmy Microsoft i Typ uruchomienia zmień na Ręczny. Ponów próbę tworzenia punktu Przywracania systemu.

Wsystko zrobione. Wymagane poprawki: 1. W Operze jest także adware. Otwórz interfejs Rozszerzeń i odinstaluj iWebar, Senses. 2. Otwórz Notatnik i wklej w nim: S2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [X] C:\Program Files (x86)\Temp C:\ProgramData\boost_interprocess C:\ProgramData\Doctor Web C:\ProgramData\install_clap C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\Symantec C:\Users\Ninos\Doctor Web C:\Users\Ninos\AppData\Roaming\Opera Software\Opera Stable\Extensions\Temp RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt i opisz co się obecnie dzieje w systemie. .

W eksploratorze Windows > Widok > Opcje > Zmień opcje folderów i wyszukiwania > Widok > Ukryj chronione pliki systemu operacyjnego. Poprzednie zadania wykonane. Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\majtuto4pc_pl_a1 C:\Program Files (x86)\SaveSenseLive C:\Program Files (x86)\SymSilent C:\ProgramData\~Browser Manager C:\ProgramData\Babylon C:\ProgramData\IBUpdaterService C:\ProgramData\IePluginServices C:\ProgramData\install_clap C:\ProgramData\Mozilla C:\ProgramData\NortonInstaller C:\ProgramData\SaveSenseLive C:\ProgramData\WPM C:\Users\grzegorz\AppData\Local\avgchrome C:\Users\grzegorz\AppData\Local\cache C:\Users\grzegorz\AppData\Local\eorezo C:\Users\grzegorz\AppData\Local\genienext C:\Users\grzegorz\AppData\Local\SaveSenseLive C:\Users\grzegorz\AppData\LocalLow\Claro LTD C:\Users\grzegorz\AppData\LocalLow\Sun C:\Users\grzegorz\AppData\Roaming\Babylon C:\Users\grzegorz\AppData\Roaming\Claro LTD C:\Users\grzegorz\AppData\Roaming\OpenCandy C:\Users\grzegorz\AppData\Roaming\SaveSense C:\Users\grzegorz\AppData\Roaming\WinZipper RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz wynikowy log z folderu C:\AdwCleaner. .

1. Usuń używane narzędzia z folderu D:\Instalki\Pliki instalacyjne. Następnie zastosuj DelFix. 2. Wyczyść foldery Przywracania systemu i porównaj co wymaga aktualizacji: KLIK. To nadal sfera spekulacji. Po prostu oprogramowanie zabezpieczające jest inwazyjne i przy notowanych spadkach wydajności / dłuższym starcie jest pierwszym tropem do sprawdzenia. Test ma polegać na tymczasowej deinstalacji daneo programu i sprawdzenie jak działa system pred jakąkolwiek instalacją innego antywirusa. Nie, to nie jest ten typ emulacji o który tu chodzi. .

Tradycyjne kroki końcowe: 1. Usuń używane narzędzia z E:\Pobrane i popraw via DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. Jeśli nadal są jakieś problemy, to już kontynuacja w dziale Hardware, o ile jest taka potrzeba. .

Nawet po resecie przeglądarki? Sprawdź czy coś pomoże zastosowanie narzędzia Google Software removal tool (również wdraża reset ustawień). .