Skocz do zawartości

picasso

Administratorzy
 Pokaż profil  Zobacz aktywność

  • Postów

    36 532

  • Dołączył

  • Ostatnia wizyta

 Typ zawartości 

Treść opublikowana przez picasso

  1. picasso

    "Chrome nie działa"

    picasso odpowiedział(a) na Sylwak temat w Software

    Temat przenoszę do działu Software. Brak oznak infekcji. W logu z FRST w ogóle nie widać Google Chrome na liście zainstalowanych, czyli instalacja jest uszkodzona. 1. Na początek przez Panel sterowania odinstaluj stare dziurawe aplikacje i zbędniki: Adobe Flash Player ActiveX, Adobe Reader 8.1.0 - Polish, Adobe Shockwave Player, Java™ 6 Update 5, Pasek narzędzi AOL 5.0. 2. Dokasuj szczątki Google Chrome i inne. Otwórz Notatnik i wklej w nim: CloseProcesses: SearchScopes: HKLM - DefaultScope {B129192E-18D5-4B47-ADBB-00F9C8FF422A} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl SearchScopes: HKLM - {B129192E-18D5-4B47-ADBB-00F9C8FF422A} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl SearchScopes: HKCU - DefaultScope {B129192E-18D5-4B47-ADBB-00F9C8FF422A} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl SearchScopes: HKCU - {B129192E-18D5-4B47-ADBB-00F9C8FF422A} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl HKU\S-1-5-21-2147603433-2177781887-2606355539-1000\...\Run: [MsnMsgr] => "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background U1 eabfiltr; No ImagePath C:\Program Files\Common Files\Symantec Shared C:\Program Files\Google C:\ProgramData\Google C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Norton Internet Security C:\ProgramData\Symantec C:\Users\Michal\AppData\Local\AOL C:\Users\Michal\AppData\Local\Google C:\Users\Michal\AppData\Roaming\Symantec Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. .
  2. picasso
    GMER uruchomiony w złym środowisku, przy czynnym emulatorze SPTD. Maksymalna wielkość pliku który można tu uploadować to 2MB. Grupa użytkownicy ma tu przyznane prawie 10MB ogólnego magazynu na załączniki i więcej nie mogę dać. Edytor informuje Cię o globalnym dostępnym miejscu pozostałym na wszystkie załączniki. Owszem, jest tu adware, tylko czy jest sens czyścić przy podejrzeniu naruszeń sprzętowych. Usterka hardware ma priorytet przed software, bo może się okazać że system będzie stawiany na nowo... W każdym razie jeśli chodzi o czyszczenie na poziomie software: 1. Przez Panel sterowania odinstaluj stare dziurawe aplikacje i adware: Adobe Flash Player 10 ActiveX , Adobe Reader X (10.1.12) - Polish, Adobe Shockwave Player 11.5, Java 7 Update 60, Java™ 6 Update 25 (64-bit), Java™ 6 Update 31, My Web Search, Shockwave, WindowsMangerProtect20.0.0.1013. Instalacja "My Web Search" wyląda na uszkodzoną, więc jeśli nie będzie tego widać lub nie będzie się dało usunąć, kontynuuj do kolejnych pozycji. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: DisableService: sptd R1 {bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64; C:\Windows\System32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64.sys [48784 2014-10-02] (StdLib) R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [705416 2014-09-24] (Cherished Technololgy LIMITED) S3 ADIHdAudAddService; system32\drivers\ADIHdAud.sys [X] S3 dump_wmimmc; \??\D:\Program Files\gPotato.eu\Rappelz\GameGuard\dump_wmimmc.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 NMIndexingService; "C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexingService.exe" [X] S2 Update AdvanceElite; "C:\Program Files (x86)\AdvanceElite\updateAdvanceElite.exe" [X] HKLM\...\Run: [etMonitor] => C:\Windows\etMon.exe HKLM-x32\...\Run: [NokiaMServer] => C:\Program Files (x86)\Common Files\Nokia\MPlatform\NokiaMServer /watchfiles startup HKU\S-1-5-21-3900598997-1646191222-4055172346-1000\...\Run: [Mobile Partner] => C:\Program Files (x86)\PLAY Web partner\PLAY Web partner BootExecute: autocheck autochk * aswBoot.exe /M:334831e2d7 /wow /dir:E:\Program GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1412350817&from=cor&uid=ST3500320AS_9QM2KQR1XXXX9QM2KQR1&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1412350817&from=cor&uid=ST3500320AS_9QM2KQR1XXXX9QM2KQR1&q={searchTerms} URLSearchHook: HKLM-x32 - uTorrentBar Toolbar - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll No File URLSearchHook: HKLM-x32 - DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files (x86)\DVDVideoSoftTB\prxtbDVDV.dll No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM-x32 - {56256A51-B582-467e-B8D4-7786EDA79AE0} URL = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZNfox000&ptnrS=ZNfox000&ptb=iiWAwFpLtxzjRTeQuVGMvA&ind=2010050513&n=77ceefd1&psa=&st=sb&searchfor={searchTerms} SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&AF=109805&babsrc=SP_ss&mntrId=980d49460000000000000015af518bd9 SearchScopes: HKCU - {6317E6D0-E90A-4608-A851-E19A2A38C138} URL = http://search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc= SearchScopes: HKCU - {884CDFE9-4742-4B62-A822-047D4A38620D} URL = http://websearch.ask.com/redirect?client=ie&tb=KSO&o=41647939&src=kw&q={searchTerms}&locale=&apn_ptnrs=7R&apn_dtid=YYYYYYYYPL&apn_uid=5192d9cc-5afb-4b5a-8ab4-9093fa1c1673&apn_sauid=9738FDA2-6A25-4C9D-A928-FF4FFDAA3EF3 SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050 BHO-x32: MyWebSearch Search Assistant BHO -> {00A6FAF1-072E-44cf-8957-5838F569A31D} -> C:\Program Files (x86)\MyWebSearch\bar\8.bin\MWSSRCAS.DLL No File BHO-x32: mwsBar BHO -> {07B18EA1-A523-4961-B6BB-170DE4475CCA} -> C:\Program Files (x86)\MyWebSearch\bar\8.bin\MWSBAR.DLL No File BHO-x32: Babylon toolbar helper -> {2EECD738-5844-4a99-B4B6-146BF802613B} -> C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll No File BHO-x32: No Name -> {3b2cb4c8-72ab-4b25-8fa1-219b36a60bed} -> No File BHO-x32: DVDVideoSoftTB Toolbar -> {872b5b88-9db5-4310-bdd0-ac189557e5f5} -> C:\Program Files (x86)\DVDVideoSoftTB\prxtbDVDV.dll No File BHO-x32: uTorrentBar Toolbar -> {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} -> C:\Program Files (x86)\uTorrentBar\tbuTor.dll No File BHO-x32: Bing Bar BHO -> {d2ce3e00-f94a-4740-988e-03dc2f38c34f} -> C:\Program Files (x86)\MSN Toolbar\Platform\6.3.2322.0\npwinext.dll No File BHO-x32: Ask Toolbar -> {D4027C7F-154A-4066-A1AD-4243D8127440} -> C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File BHO-x32: SMTTB2009 Class -> {FCBCCB87-9224-4B8D-B117-F56D924BEB18} -> C:\Program Files (x86)\Hyperionics DB Toolbar\tbcore3.dll No File Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKLM-x32 - My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files (x86)\MyWebSearch\bar\8.bin\MWSBAR.DLL No File Toolbar: HKLM-x32 - @C:\Program Files (x86)\MSN Toolbar\Platform\6.3.2322.0\npwinext.dll,-100 - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files (x86)\MSN Toolbar\Platform\6.3.2322.0\npwinext.dll No File Toolbar: HKLM-x32 - uTorrentBar Toolbar - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll No File Toolbar: HKLM-x32 - DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files (x86)\DVDVideoSoftTB\prxtbDVDV.dll No File Toolbar: HKLM-x32 - Hyperionics DB Toolbar - {338B4DFE-2E2C-4338-9E41-E176D497299E} - C:\Program Files (x86)\Hyperionics DB Toolbar\tbcore3.dll No File Toolbar: HKLM-x32 - Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File Toolbar: HKLM-x32 - Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll No File Toolbar: HKCU - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll No File CHR HomePage: Default -> hxxp://www.search.ask.com/?o=APN11459&gct=hp&d=488-210&v=n12521-418&t=4 CHR HKLM-x32\...\Chrome\Extension: [mkndcbhcgphcfkkddanakjiepeknbgle] - C:\Program Files (x86)\RelevantKnowledge\rlcm.crx [2014-08-06] FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw.dll No File FF Plugin-x32: @mywebsearch.com/Plugin -> C:\Program Files (x86)\MyWebSearch\bar\8.bin\NPMyWebS.dll No File FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF HKLM-x32\...\Firefox\Extensions: [m3ffxtbr@mywebsearch.com] - C:\Program Files (x86)\MyWebSearch\bar\8.bin FF HKLM-x32\...\Firefox\Extensions: [{A27F3FEF-1113-4cfb-A032-8E12D7D8EE70}] - C:\Program Files (x86)\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension FF HKLM-x32\...\Firefox\Extensions: [{C7AE725D-FA5C-4027-BB4C-787EF9F8248A}] - C:\Program Files (x86)\RelevantKnowledge\firefox FF HKLM-x32\...\Thunderbird\Extensions: [{CCB7D94B-CA92-4E3F-B79D-ADE0F07ADC74}] - C:\Program Files (x86)\Nokia\Nokia Ovi Suite\Connectors\Thunderbird Connector\ThunderbirdExtension Task: {1398CD35-798B-47C1-A68D-2D95BE747E51} - System32\Tasks\{4FDD278B-C4B5-4851-B93A-BADA3D15D765} => Firefox.exe http://ui.skype.com/ui/0/4.2.0.169.259/pl/abandoninstall?page=tsChrome&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:offered-installed;madedefault Task: {46CD5A4B-D755-42DE-9C0F-7095642B1A40} - System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan => C:\Program Files\Microsoft Security Client\MpCmdRun.exe Task: {EAD3C7E3-ABAD-4887-9F1D-7AC0157F2604} - System32\Tasks\{679952DA-6EF7-408A-A7D7-CCE94CFCF4AE} => C:\Users\Grzegorz\Desktop\Pokemon Online.exe C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Opera C:\Program Files (x86)\SupTab C:\ProgramData\IePluginServices C:\ProgramData\TEMP C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe After Effects 7.0.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Download Assistant.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nero 8 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nokia C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Płatnik 8.01.001 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerISO C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Shark007 Codecs C:\Users\Grzegorz\AppData\Local\*.tmp C:\Users\Grzegorz\AppData\Local\{*} C:\Users\Grzegorz\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Grzegorz\AppData\Local\Opera Software C:\Users\Grzegorz\AppData\Roaming\version2.xml C:\Users\Grzegorz\AppData\Roaming\DVDVideoSoft C:\Users\Grzegorz\AppData\Roaming\Free Sound Recorder C:\Users\Grzegorz\AppData\Roaming\go C:\Users\Grzegorz\AppData\Roaming\newnext.me C:\Users\Grzegorz\AppData\Roaming\OpenCandy C:\Users\Grzegorz\AppData\Roaming\Opera Software C:\Users\Grzegorz\AppData\Roaming\temp C:\Users\Grzegorz\AppData\Roaming\Uniblue C:\Users\Grzegorz\AppData\Roaming\Microsoft\Windows\Start Menu\Gadu-Gadu.lnk C:\Users\Grzegorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play games (GameXN).lnk C:\Windows\System32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\McComponentHostService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\vToolbarUpdater15.2.0" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Grzegorz\AppData\Local CMD: dir /a C:\Users\Grzegorz\AppData\LocalLow CMD: dir /a C:\Users\Grzegorz\AppData\Roaming CMD: type C:\ComboFix.txt EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W przeglądarkach: - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenie DownloadHelper trzeba będzie przeinstalować. - Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .
  3. picasso
    FRST może długo szukać. Czy na pewno czekałeś odpowiednią ilość czasu oraz czy na pewno w katalogu skąd uruchamiałeś FRST nie ma raportu o nazwie Search.txt? Jeśli nie, powtarzaj zadanie.
  4. picasso
    System jest nadal zaśmiecony mocno adware. Jeśli chodzi o komunikat zgłaszający rootkita, to nie wiem o co chodzi, ale jest tu goła Vista bez żadnego Service Packa i były przypadki na forum, że GMER na takim typie systemu wykrywał rootkita-fantoma. Platform: Microsoft® Windows Vista™ Home Basic (X86) OS Language: Polski (Polska) Internet Explorer Version 7 Przeprowadź następujące działania: 1. Przygotuj skrypt do FRST. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {c83c7c03-36f9-4f8f-aa6d-c837575d4eca}t; C:\Windows\System32\drivers\{c83c7c03-36f9-4f8f-aa6d-c837575d4eca}t.sys [55232 2014-04-24] (StdLib) S3 cpuz134; \??\C:\Users\Gosia\AppData\Local\Temp\cpuz134\cpuz134_x32.sys [X] S3 IntcAzAudAddService; system32\drivers\RTKVHDA.sys [X] S2 savesenselive; C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe [146920 2014-03-10] (SaveSense) S3 savesenselivem; C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe [146920 2014-03-10] (SaveSense) Task: {06508FAB-11F0-4DF4-85DB-E728B66CB494} - System32\Tasks\EPUpdater => C:\Users\Gosia\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-12-12] () Task: {0E78B473-D3F5-4CA6-8725-704288C75661} - System32\Tasks\HDvid Codec V1-updater => C:\Program Files\HDvid Codec V1\HDvid Codec V1-updater.exe Task: {216FE8A7-3E1E-4AAE-B0CC-4F137CD828E9} - System32\Tasks\SaveSense => C:\Users\Gosia\AppData\Roaming\SAVESE~1\UPDATE~1\UPDATE~1.EXE Task: {2A6C57CF-B959-486B-8B5B-781CD9186372} - System32\Tasks\DSite => C:\Users\Gosia\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE Task: {43B969A2-0009-4936-859D-55A429D700AE} - System32\Tasks\0214dUpdateInfo => C:\ProgramData\Avg_Update_0214d\0214d_AVG-Secure-Search-Update.exe [2014-03-24] () Task: {4BB2F95F-0809-41B0-BBF6-E45FB6C921E9} - System32\Tasks\SaveSenseLiveUpdateTaskMachineCore => C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe [2014-03-10] (SaveSense) Task: {5611C3D0-6A0D-40C5-BB4B-E7162BBCCE7C} - System32\Tasks\SomotoUpdateCheckerAutoStart => C:\Users\Gosia\AppData\Local\FilesFrog Update Checker\update_checker.exe Task: {5EA5BB33-5448-45F8-A81D-20F4572478DD} - System32\Tasks\Digital Sites => C:\Users\Gosia\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE Task: {70BD6F7B-BE47-4B3C-8CBF-804604A15F7C} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{66E8FD3B-95CE-4617-AF01-12BA940258CB}.exe Task: {78DF095A-5158-4FFE-A51C-F5BA69F41CF7} - System32\Tasks\WinThruster => C:\Program Files\WinThruster\WinThruster.exe Task: {87AEFBA3-EBAB-4C0E-9FF6-AC3930395F2C} - System32\Tasks\SaveSenseLiveUpdateTaskMachineUA => C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe [2014-03-10] (SaveSense) Task: {A9688860-6B3C-463E-BCCD-FC8FF3274317} - System32\Tasks\HDvid Codec V1-codedownloader => C:\Program Files\HDvid Codec V1\HDvid Codec V1-codedownloader.exe Task: {D7252E30-B4DB-4216-B108-14BBA264DA04} - System32\Tasks\HDvid Codec V1-enabler => C:\Program Files\HDvid Codec V1\HDvid Codec V1-enabler.exe Task: C:\Windows\Tasks\0214dUpdateInfo.job => C:\ProgramData\Avg_Update_0214d\0214d_AVG-Secure-Search-Update.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{66E8FD3B-95CE-4617-AF01-12BA940258CB}.exe Task: C:\Windows\Tasks\Digital Sites.job => C:\Users\Gosia\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\DSite.job => C:\Users\Gosia\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\HDvid Codec V1-codedownloader.job => C:\Program Files\HDvid Codec V1\HDvid Codec V1-codedownloader.exe Task: C:\Windows\Tasks\HDvid Codec V1-enabler.job => C:\Program Files\HDvid Codec V1\HDvid Codec V1-enabler.exe Task: C:\Windows\Tasks\HDvid Codec V1-updater.job => C:\Program Files\HDvid Codec V1\HDvid Codec V1-updater.exe Task: C:\Windows\Tasks\SaveSense.job => C:\Users\Gosia\AppData\Roaming\SAVESE~1\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineCore.job => C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe Task: C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineUA.job => C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe HKU\S-1-5-21-559585761-812252448-234664116-1000\...\Run: [LiveSupport] => "C:\Program Files\LiveSupport\LiveSupport.exe" /noshow /log HKU\S-1-5-21-559585761-812252448-234664116-1000\...\Policies\Explorer: [NoDriveTypeAutoRun] 0x95000000 HKU\S-1-5-21-559585761-812252448-234664116-1000\...\MountPoints2: {d3865cea-d104-11e2-91fd-fbb37fab426d} - E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=41460&tid=2938&st=bs&q= HKCU\Software\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=41460&st=home&tid=2938 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=41460&tid=2938&st=bs&q= HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=41460&tid=2938&st=bs&q= HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=D6E10015AF704DD2&affID=119357&tsp=5009 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1394463553&from=cor&uid=HitachiXHTS542516K9A300_071224BB0300WCJ7HXUCX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1394463553&from=cor&uid=HitachiXHTS542516K9A300_071224BB0300WCJ7HXUCX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1394463553&from=cor&uid=HitachiXHTS542516K9A300_071224BB0300WCJ7HXUCX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1394463553&from=cor&uid=HitachiXHTS542516K9A300_071224BB0300WCJ7HXUCX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1394463553&from=cor&uid=HitachiXHTS542516K9A300_071224BB0300WCJ7HXUCX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=41460&st=home&tid=2938 HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=41460&tid=2938&st=bs&q= URLSearchHook: HKCU - (No Name) - {D8278076-BC68-4484-9233-6E7F1628B56C} - No File SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.certified-toolbar.com?si=41460&st=bs&tid=2938&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1394463553&from=cor&uid=HitachiXHTS542516K9A300_071224BB0300WCJ7HXUCX&q={searchTerms} SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.buenosearch.com/?q={searchTerms}&babsrc=SP_ss&mntrId=D6E10015AF704DD2&affID=127886&tsp=5180 SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://www.search.ask.com/web?tpid=ORJ-V7-SAT&o=APN11461&pf=V7&p2=^BE7^OSJ000^YY^PL&gct=sb&itbv=12.10.6.53&apn_uid=6AAFB0B1-AC35-474F-9FB3-0551CF6D6FF4&apn_ptnrs=BE7&apn_dtid=^OSJ000^YY^PL&apn_dbr=Opera.exe_0_12.17.1863.0&doi=2014-05-22&trgb=IE&q={searchTerms}&psv= SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1394463553&from=cor&uid=HitachiXHTS542516K9A300_071224BB0300WCJ7HXUCX&q={searchTerms} SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://www.yd.delta-search.com/?q={searchTerms}&affID=119535&tt=030213_yd&babsrc=SP_ss&mntrId=d6e1c958000000000000000000000000 BHO: Babylon toolbar helper -> {2EECD738-5844-4a99-B4B6-146BF802613B} -> C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.11.10\bh\BabylonToolbar.dll (Babylon BHO) BHO: SaveSense -> {71e129ff-6c2a-4984-818c-7e2c998b8d99} -> C:\Users\Gosia\AppData\Local\SaveSense\SaveSenseIE.dll (SaveSense) Toolbar: HKLM - Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.11.10\BabylonToolbarTlbr.dll (Babylon Ltd.) Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Toolbar: HKCU - No Name - {434D452D-5637-006A-76A7-7A786E7484D7} - No File Toolbar: HKCU - No Name - {4F524A2D-5637-2D53-4154-7A786E7484D7} - No File CHR Extension: (Buenosearch Toolbar) - C:\Users\Gosia\AppData\Local\Google\Chrome\User Data\Default\Extensions\acfoobbgoakpihljnfedbcfaipcdlfhk [2014-10-25] CHR HKLM\...\Chrome\Extension: [acfoobbgoakpihljnfedbcfaipcdlfhk] - C:\Users\Gosia\AppData\Roaming\BabSolution\CR\bueno.crx [2014-03-08] CHR HKLM\...\Chrome\Extension: [dnllcmllkjofnojidnaknldfehfhehoo] - C:\Program Files\HDvidCodec.com\HDvidCodec10.crx [2013-06-30] CHR HKLM\...\Chrome\Extension: [ieadcoanfjloocmfafkebdnfefmohngj] - C:\Program Files\BonanzaDeals\BonanzaDeals.crx [2013-06-30] CHR HKLM\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Users\Gosia\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [2013-06-30] C:\Program Files\BabylonToolbar C:\Program Files\BonanzaDeals C:\Program Files\Common Files\Java(1) C:\Program Files\HDvid Codec V1 C:\Program Files\HDvidCodec.com C:\Program Files\Java(3) C:\Program Files\Mozilla Firefox C:\Program Files\RegClean Pro C:\Program Files\Protected Search C:\Program Files\SaveSenseLive C:\Program Files\SupTab C:\ProgramData\IePluginService C:\ProgramData\SaveSenseLive C:\ProgramData\TEMP C:\ProgramData\WPM C:\Users\Gosia\.android C:\Users\Gosia\Adobe-Reader(12627).exe C:\Users\Gosia\FileScoutInstall.zip C:\Users\Gosia\SaveAsPDFandXPS.exe C:\Users\Gosia\AppData\Local\Babylon C:\Users\Gosia\AppData\Local\cache C:\Users\Gosia\AppData\Local\genienext C:\Users\Gosia\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Gosia\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences C:\Users\Gosia\AppData\Local\Mobogenie C:\Users\Gosia\AppData\Local\Mozilla C:\Users\Gosia\AppData\Local\Opera Software C:\Users\Gosia\AppData\Local\SaveSense C:\Users\Gosia\AppData\Local\SaveSenseLive C:\Users\Gosia\AppData\Roaming\BabSolution C:\Users\Gosia\AppData\Roaming\Babylon C:\Users\Gosia\AppData\Roaming\DigitalSites C:\Users\Gosia\AppData\Roaming\DSite C:\Users\Gosia\AppData\Roaming\Mozilla C:\Users\Gosia\AppData\Roaming\newnext.me C:\Users\Gosia\AppData\Roaming\Opera C:\Users\Gosia\AppData\Roaming\Opera Software C:\Users\Gosia\AppData\Roaming\PDF Writer Packages C:\Users\Gosia\AppData\Roaming\PerformerSoft C:\Users\Gosia\AppData\Roaming\SaveSense C:\Users\Gosia\AppData\Roaming\Solvusoft C:\Users\Gosia\AppData\Roaming\SupTab C:\Users\Gosia\AppData\Roaming\sweet-page C:\Users\Gosia\AppData\Roaming\Systweak C:\Users\Gosia\AppData\Roaming\Updater C:\Users\Gosia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard C:\Users\Gosia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\hdvidcodec.com C:\Users\Gosia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\Gosia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Norton C:\Users\Gosia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SaveSense C:\Users\Gosia\Desktop\Programy\HDVidCodec.lnk C:\Users\Gosia\Desktop\Programy\McAfee Security Scan Plus.lnk C:\Users\Gosia\Desktop\Programy\Pliki instalacyjne Norton.lnk C:\Users\Gosia\Desktop\Programy\RegClean Pro.lnk C:\Windows\Reimage.ini C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\System32\sqlite3.dll C:\Windows\System32\unrar.dll C:\Windows\System32\drivers\{c83c7c03-36f9-4f8f-aa6d-c837575d4eca}t.sys Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\PDF Writer Packages" /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\1ClickDownload /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HDvid Codec V1" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sweet-page uninstaller" /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f CMD: dir /a "C:\Program Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users CMD: dir /a C:\Users\Gosia\AppData\Local CMD: dir /a C:\Users\Gosia\AppData\LocalLow CMD: dir /a C:\Users\Gosia\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. 2. Z poziomu Trybu normalnego spróbuj odinstalować następujące aplikacje: - Adware: HDvid Codec V1, HDVidCodec, PDF Writer Packages, sweet-page uninstaller - Starsze wersje: Adobe Reader 9.5.5 - Polish, AVG 2014, Windows Media Player Firefox Plugin Jeśli coś z zakresu adware nie będzie widoczne lub zwróci błąd, nie szkodzi, i tak skrypt do FRST to wykończy. 2. Przejdź w Tryb awaryjny Windows i wykonaj po kolei te akcje: - Zastosuj specjalne usuwacze: AVG Remover, Norton Removal Tool. - Uruchom FRST i kliknij w Fix. System zostanie zresetowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .
  5. picasso
    Brakuje obowiązkowego pliku FRST Shortcut. Śmietnisko adware ogromne. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 IePluginService; C:\ProgramData\IePluginService\PluginService.exe [705136 2014-04-11] (Cherished Technololgy LIMITED) R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [761968 2014-06-12] (Cherished Technololgy LIMITED) S2 savesenselive; C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe [146920 2014-01-15] (SaveSense) S3 savesenselivem; C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe [146920 2014-01-15] (SaveSense) R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [425104 2014-02-26] (Taiwan Shui Mu Chih Ching Technology Limited.) R2 Wpm; C:\ProgramData\WPM\wprotectmanager.exe [540304 2014-06-11] (Cherished Technololgy LIMITED) R1 aswnet; C:\Windows\System32\Drivers\aswnet.sys [468144 2013-02-11] (AVAST Software) S3 SmbDrv; \SystemRoot\System32\drivers\Smb_driver_AMDASF.sys [X] S3 SmbDrvI; \SystemRoot\system32\DRIVERS\Smb_driver_Intel.sys [X] Task: {3D8EC5C8-9605-47E4-B01C-DC8168A79F91} - System32\Tasks\SaveSenseLiveUpdateTaskMachineUA => C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe [2014-01-15] (SaveSense) Task: {49BCF955-C2D9-416A-873A-03CBF903387A} - System32\Tasks\PC Performer_UPDATES => C:\Program Files (x86)\PC Performer\PCPerformer.exe [2012-03-14] (PerformerSoft LLC) Task: {4C690382-41D9-4612-BC7E-B9C7697DF5EE} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe [2012-01-20] (Systweak Inc) Task: {8AC4C39E-AE38-4302-B1D2-7A42D97D4C97} - System32\Tasks\BitGuard => Sc.exe start BitGuard Task: {CD38C8E3-CF2A-4E6E-8078-8755CBD97AE8} - System32\Tasks\PC Performer => C:\Program Files (x86)\PC Performer\PCPerformer.exe [2012-03-14] (PerformerSoft LLC) Task: {CE873327-F1FB-46C3-8CC4-B2EB2388C083} - System32\Tasks\RegClean Pro_DEFAULT => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe [2012-01-20] (Systweak Inc) Task: {D7CA539F-AFD5-427D-A69A-DA2176C57E92} - System32\Tasks\PC Performer_DEFAULT => C:\Program Files (x86)\PC Performer\PCPerformer.exe [2012-03-14] (PerformerSoft LLC) Task: {DFFF37F0-DBD8-40FC-AAE7-5C44AEC509D0} - System32\Tasks\SaveSenseLiveUpdateTaskMachineCore => C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe [2014-01-15] (SaveSense) Task: {E0D2EE4F-9DD2-4B20-9EE0-E9CB0E4C7732} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe [2012-01-20] (Systweak Inc) Task: {E26F6DB7-83D9-443D-81C2-75425C83F501} - System32\Tasks\SaveSense => C:\Users\grzegorz\AppData\Roaming\SaveSense\UpdateProc\UpdateTask.exe [2013-04-12] () Task: C:\Windows\Tasks\PC Performer_DEFAULT.job => C:\Program Files (x86)\PC Performer\PCPerformer.exe Task: C:\Windows\Tasks\PC Performer_UPDATES.job => C:\Program Files (x86)\PC Performer\PCPerformer.exe Task: C:\Windows\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe Task: C:\Windows\Tasks\RegClean Pro_UPDATES.job => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe Task: C:\Windows\Tasks\SaveSense.job => C:\Users\grzegorz\AppData\Roaming\SAVESE~1\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineCore.job => C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe Task: C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineUA.job => C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe [766656 2014-01-15] () HKLM-x32\...\Run: [sweetIM] => C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe [115032 2012-10-04] (SweetIM Technologies Ltd.) HKLM-x32\...\Run: [tuto4pc_pl_5] => [X] HKLM-x32\...\Run: [tuto4pc_pl_13] => [X] HKLM-x32\...\Run: [tuto4pc_pl_31] => [X] HKU\S-1-5-21-3534941372-2854263721-3486358908-1001\...\Run: [ChomikBox] => C:\Program Files (x86)\ChomikBox\chomikbox.exe HKU\S-1-5-21-3534941372-2854263721-3486358908-1001\...\Run: [NextLive] => C:\Windows\SysWOW64\rundll32.exe "C:\Users\grzegorz\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll File Not Found HKU\S-1-5-21-3534941372-2854263721-3486358908-1001\...\MountPoints2: {6a5edfc0-3640-11e2-be73-6894233c52cc} - "F:\AutoRun.exe" /s HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=ST320LT020-9YG142_W048JXG6&ts=1393429830&type=default&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=ST320LT020-9YG142_W048JXG6&ts=1393429830&type=default&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1392561354&from=tt4u&uid=ST320LT020-9YG142_W048JXG6&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1392561354&from=tt4u&uid=ST320LT020-9YG142_W048JXG6&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1392561354&from=tt4u&uid=ST320LT020-9YG142_W048JXG6&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1392561354&from=tt4u&uid=ST320LT020-9YG142_W048JXG6&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.awesomehp.com/?type=sc&ts=1392561354&from=tt4u&uid=ST320LT020-9YG142_W048JXG6 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1392561354&from=tt4u&uid=ST320LT020-9YG142_W048JXG6&q={searchTerms} SearchScopes: HKLM - {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1392561354&from=tt4u&uid=ST320LT020-9YG142_W048JXG6&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1392561354&from=tt4u&uid=ST320LT020-9YG142_W048JXG6&q={searchTerms} SearchScopes: HKLM-x32 - {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.awesomehp.com/web/?type=ds&ts=1392561354&from=tt4u&uid=ST320LT020-9YG142_W048JXG6&q={searchTerms} SearchScopes: HKLM-x32 - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={89AE4002-BAE6-4AC8-A2A1-52711847B122} SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.claro-search.com/?q={searchTerms}&affID=114506&babsrc=SP_clro&mntrId=241ae93d00000000000000a0c6000000 SearchScopes: HKCU - {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={89AE4002-BAE6-4AC8-A2A1-52711847B122} BHO-x32: Claro LTD Helper Object -> {000F18F2-09EB-4A59-82B2-5AE4184C39C3} -> C:\Program Files (x86)\Claro LTD\claro\1.8.8.5\bh\claro.dll (Montera Technologeis LTD) BHO-x32: SaveSense -> {0f21b1e5-5afc-43c9-9c66-515046e92ec2} -> C:\Program Files (x86)\SaveSense\SaveSenseIE.dll (SaveSense) BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\SupTab\SupTab.dll (Thinknice Co. Limited) BHO-x32: SweetPacks Browser Helper -> {EEE6C35C-6118-11DC-9C72-001320C79847} -> C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) Toolbar: HKLM-x32 - SweetPacks Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) Toolbar: HKLM-x32 - Claro LTD Toolbar - {9E131A93-EED7-4BEB-B015-A0ADB30B5646} - C:\Program Files (x86)\Claro LTD\claro\1.8.8.5\claroTlbr.dll (Montera Technologeis LTD) FF Plugin-x32: @tools.updaterss.com/SaveSenseLive Update;version=3 -> C:\Program Files (x86)\SaveSenseLive\Update\1.3.23.0\npGoogleUpdate3.dll (SaveSense) FF Plugin-x32: @tools.updaterss.com/SaveSenseLive Update;version=9 -> C:\Program Files (x86)\SaveSenseLive\Update\1.3.23.0\npGoogleUpdate3.dll (SaveSense) FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\delta-homes.xml FF HKLM-x32\...\Firefox\Extensions: [lightningnewtab@gmail.com] - C:\Users\grzegorz\AppData\Roaming\Mozilla\Firefox\Profiles\rfcs4lsu.default\extensions\lightningnewtab@gmail.com.xpi CHR Extension: (Extended Protection) - C:\Users\grzegorz\AppData\Local\Google\Chrome\User Data\Default\Extensions\ogfjmhfnldnajmfaofeiaepghjenbgjo [2014-02-26] CHR Extension: (SaveSense) - C:\Users\grzegorz\AppData\Local\Google\Chrome\User Data\Default\Extensions\khcceooakamlehbimaepcldnnlnkcmfk [2014-01-15] CHR Extension: (Quick Sidebar) - C:\Users\grzegorz\AppData\Local\Google\Chrome\User Data\Default\Extensions\ainbkicbloikcngphmjfpjdemblcojdd [2014-06-13] CHR Extension: (Quick start) - C:\Users\grzegorz\AppData\Local\Google\Chrome\User Data\Default\Extensions\pelmeidfhdlhlbjimpabfcbnnojbboma [2014-06-13] C:\ProgramData\Temp C:\Users\grzegorz\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\grzegorz\AppData\Local\Packages C:\Users\grzegorz\AppData\Roaming\337Games C:\Users\grzegorz\AppData\Roaming\awesomehp C:\Users\grzegorz\AppData\Roaming\newnext.me C:\Users\grzegorz\Downloads\yet_another_cleaner_*.exe C:\Users\grzegorz\Desktop\Wyczyść rejestr za darmo!.lnk C:\Windows\System32\Drivers\aswnet.sys Folder: C:\Users\grzegorz\AppData\Local\Google\Chrome\User Data\Default\Local Storage EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware: Claro toolbar, IePluginService12.27.0.3326, Internet Explorer Toolbar 4.6 by SweetPacks, Mobogenie, PC Performer, RegClean Pro, SaveSense, SaveSense (remove only), SupTab, SweetIM for Messenger 3.7, SweetPacks bundle uninstaller, Update Manager for SweetPacks 1.1, WinZipper - Stare dziurawe wersje: Adobe Shockwave Player 11.6, Java 7 Update 7 3. W przeglądarkach: - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. - Google Chrome: było już resetowane skryptem, ale uruchom i sprawdź czy nie widać w nim podejrzanych rzeczy. 4. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt. .
  6. picasso
    Przeprowadź następujące działania: 1. Przez Dodaj/Usuń programy odinstaluj FindRight, McAfee Security Scan Plus, Yahoo! Search. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR Extension: (FindRight) - C:\Documents and Settings\Asus\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ibokihboaojdolnlgbejebillmaodnfc [2014-10-07] HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {D49ABED0-988C-49C9-9AD3-DD7F35C82E4A} URL = http://rts.dsrlte.com/?q={searchTerms}&r=868 Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files\T-Mobile\InternetManager_Z\Bin\addon FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird S4 Update FindRight; C:\Program Files\FindRight\updateFindRight.exe [524016 2014-10-23] () S4 Util FindRight; C:\Program Files\FindRight\bin\utilFindRight.exe [524016 2014-10-23] () R1 {42e50651-9669-456e-9081-d5a836274274}Gt; C:\WINDOWS\System32\drivers\{42e50651-9669-456e-9081-d5a836274274}Gt.sys [55224 2014-04-24] (StdLib) R1 {42e50651-9669-456e-9081-d5a836274274}t; C:\WINDOWS\System32\drivers\{42e50651-9669-456e-9081-d5a836274274}t.sys [55864 2014-10-05] (StdLib) S3 btaudio; system32\drivers\btaudio.sys [X] S3 BTDriver; system32\DRIVERS\btport.sys [X] S3 BTWDNDIS; system32\DRIVERS\btwdndis.sys [X] S3 btwhid; system32\DRIVERS\btwhid.sys [X] S3 BTWUSB; System32\Drivers\btwusb.sys [X] S3 massfilter; system32\drivers\massfilter.sys [X] U3 tmlwf; No ImagePath U3 tmwfp; No ImagePath S3 TOO; \??\G:\genport.sys [X] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] C:\Documents and Settings\Administrator\SendTo\Skype.lnk C:\Documents and Settings\Administrator\Dane aplikacji\ASUS WebStorage C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software C:\Documents and Settings\All Users\Dane aplikacji\ASUS WebStorage C:\Documents and Settings\All Users\Dane aplikacji\ESET C:\Documents and Settings\Asus\Dane aplikacji\ASUS WebStorage C:\Documents and Settings\Asus\Dane aplikacji\Opera C:\Documents and Settings\Asus\Dane aplikacji\Pay-By-Ads C:\Documents and Settings\Asus\Dane aplikacji\Program Files C:\Documents and Settings\Asus\Moje dokumenty\Pobieranie\*(*)*.exe C:\Documents and Settings\Asus\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Documents and Settings\Default User\SendTo\Skype.lnk C:\Documents and Settings\Default User\Dane aplikacji\ASUS WebStorage C:\Program Files\FindRight C:\WINDOWS\System32\drivers\{42e50651-9669-456e-9081-d5a836274274}Gt.sys C:\WINDOWS\System32\drivers\{42e50651-9669-456e-9081-d5a836274274}t.sys C:\WINDOWS\pss\OpenOffice.org 3.3.lnkStartup c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Folder: C:\Documents and Settings\Asus\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Local Storage Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Asus^Menu Start^Programy^Autostart^OpenOffice.org 3.3.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Yahoo! Search" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W przeglądarkach: - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. - Google Chrome: już resetowałam skryptem, uruchom i sprawdź czy wszystko w porządku. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .
  7. picasso
    Robak Brontok może się transportować poprzez: e-mail, dyski współdzielone w sieci, pendrive (z pliku autorun.inf). I każdy komputer będzie musiał być czyszczony z osobna. Na razie czyścimy tu widoczny: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Winlogon: [shell] Explorer.exe "C:\Windows\KesenjanganSosial.exe" [44417 ] () HKLM-x32\...\Run: [bron-Spizaetus] => C:\Windows\ShellNew\RakyatKelaparan.exe [44417 2012-11-25] () HKLM-x32\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot HKU\S-1-5-21-440814284-2810997126-872106338-1008\...\Run: [Tok-Cirrhatus-1233] => C:\Users\KJ\AppData\Local\br3489on.exe [44417 2012-11-25] () HKU\S-1-5-21-440814284-2810997126-872106338-1008\...\Run: [Tok-Cirrhatus] => C:\Users\KJ\AppData\Local\br3489on.exe wnloader.exe [44417 2012-11-25] () HKU\S-1-5-21-440814284-2810997126-872106338-1008\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot HKU\S-1-5-21-440814284-2810997126-872106338-1008\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-440814284-2810997126-872106338-1008\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-440814284-2810997126-872106338-1008\...\Policies\Explorer: [HideSCAVolume] 0 HKU\S-1-5-21-440814284-2810997126-872106338-1008\...\Policies\Explorer: [NoFolderOptions] 1 HKU\S-1-5-18\...\Run: [Tok-Cirrhatus-1860] => "C:\Windows\System32\config\systemprofile\AppData\Local\br4743on.exe" HKU\S-1-5-18\...\Run: [Tok-Cirrhatus] => "C:\Windows\System32\config\systemprofile\AppData\Local\br4743on.exe" (the data entry has 824 more characters). HKU\S-1-5-18\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-18\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-18\...\Policies\Explorer: [NoFolderOptions] 1 Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Startup.exe () Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup.exe () Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup.exe () Startup: C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif () Startup: C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup.exe () AlternateShell: cmd-brontok.exe Task: {008238F6-D5DE-4670-A314-B8E2BC3FE6DF} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 Task: {05AD1E67-2B01-4AF3-8BC1-9799A41591A7} - System32\Tasks\YTDownloader => C:\Program Files (x86)\YTDownloader\YTDownloader.exe Task: {7F104F9E-27CF-402A-91A1-056F60FDA14A} - System32\Tasks\At1 => C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Templates\5160-NendangBro.com [2012-11-25] () Task: {83E52CC3-A64B-4505-AC86-BF4A9233A03C} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 Task: {C155BD04-A4F9-403F-8288-21F98E2CCC83} - System32\Tasks\SMupdate1 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update1 Task: {C5EFAF60-87B6-4E44-AD4B-3A79229D8C86} - System32\Tasks\At2 => C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Templates\5160-NendangBro.com [2012-11-25] () Task: C:\windows\Tasks\At1.job => ? Task: C:\windows\Tasks\At2.job => ? CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1411311658&from=cor&uid=INTELXSSDSC2BB300G4_BTWL404105SG300PGN" StartMenuInternet: IEXPLORE.EXE - iexplore.exe C:\Program Files (x86)\Common Files\System\SysMenu.dll C:\Program Files (x86)\YTDownloader C:\ProgramData\All Users.exe C:\Users\Default\Default.exe C:\Users\KJ\KJ.exe C:\Users\KJ\AppData\Local\*.bin C:\Users\KJ\AppData\Local\*.exe C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Templates\5160-NendangBro.com C:\Users\Public\Public.exe C:\Windows\cmd-brontok.exe C:\Windows\KesenjanganSosial.exe C:\Windows\ShellNew\RakyatKelaparan.exe C:\Windows\System32\config\systemprofile\AppData\Local\*.bin C:\Windows\System32\config\systemprofile\AppData\Local\*.exe CMD: dir /a C:\Users CMD: for /d %f in (C:\Users\KJ\AppData\Local\*Bron*) do rd /s /q "%f" CMD: for /d %f in (C:\Windows\System32\config\systemprofile\AppData\Local\*Bron*) do rd /s /q "%f" Folder: C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Templates Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. System zostanie zresetowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz USBFix z opcji Listing przy podpiętym pendrive. Dołącz też plik fixlog.txt. .
  8. picasso
    Tytuł tematu dostosowuję do zasadniczej tematyki. Wszystko wygląda na przetworzone pomyślnie, aczkolwiek ... częściowo te zadania Harmonogramu tak jakby wróciły i to pod zmienionymi identyfikatorami, choć zadania są martwe. Poprawki: 1. Otwórz Notatnik i wklej w nim: Task: {1322EAF6-C7CA-4241-8856-79E7A0A18593} - \Driver Pro Schedule No Task File Task: {4C505164-BB6B-44C6-A363-CFF0F990281A} - \Loca\Loca\Loca No Task File Task: {FC621049-7093-4465-8779-68003AB4A164} - \Microsoft\windows\DiskDiagnostic\DiskDiagnostic No Task File DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Loca DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition i tylko ten log mi dostarcz. Dołącz też fixlog.txt oraz pozostałe raporty AdwCleaner: On się raczej odtwarzał przy udziale jednego z owych zadań Harmonogramu i czynnego proxy. AdwCleaner uruchamiałeś wiele razy i pokazałeś tylko ostatni z serii, poproszę o wcześniejsze logi S0 do S5: AdwCleaner[s0].txt - [4121 octets] - [02/10/2014 20:25:43] AdwCleaner[s1].txt - [1600 octets] - [04/10/2014 16:05:44] AdwCleaner[s2].txt - [1306 octets] - [05/10/2014 19:55:26] AdwCleaner[s3].txt - [3932 octets] - [25/10/2014 22:31:13] AdwCleaner[s4].txt - [1531 octets] - [26/10/2014 17:38:44] AdwCleaner[s5].txt - [2025 octets] - [28/10/2014 19:48:14] AdwCleaner[s6].txt - [1616 octets] - [28/10/2014 20:26:39]
  9. picasso
    Oczywiście konta można usunąć, jeśli nie są używane i dostępne. To nawet mniej roboty dla mnie ze sprawdzaniem po kolei wszystkich kont. I dzięki za dotację!
  10. picasso
    DelFix częściowo zadanie wykonał. Dokasuj jeszcze ręcznie pobrane narzędzia z folderu C:\Users\Public\Z__Diagnostyka. To już wiem z logów z poprzedniego forum. Mnie chodziło o sprawdzenie, czy narzędzia używane do logów nie ostały się gdzieś w folderze danego konta i ewentualne dokasowanie ich ręcznie, gdyż DelFix był uruchamiany z jednego konta. Nie, mnie chodziło o aktualizację do nowszej wersji. Obecnie dostępny Firefox 33.0.2, o czym jest zresztą w tym samym linku: KLIK.
  11. picasso
    Zestaw dostarczonych raportów mierny (a OTL nawet niepełny). Dostosuj do zasad działu: KLIK. Obowiązkowe są logi z FRST. A ten USBFix proszę zrobić z opcji Listing a nie Research.
  12. picasso
    Czytasz niewłaściwą instrukcję uruchomienia FRST z poziomu niestartującego Windows. Instrukcja obsługi FRST z poziomu uruchomionego Windows jest inna: KLIK.
  13. picasso
    W systemie działa robak Brontok. Potrzebne mi są logi z FRST, OTL to przestarzałe narzędzie, by ocenić całościowo sytuację. Nie rozumiem o co chodzi z pendrive i do czego on ma służyć, przecież OTL już pobrałeś i uruchomiłeś z Pulpitu, to w czym problem z FRST?
  14. picasso
    moonsi, mówiłam wyrażnie: "Log z FRST zrobiony niezgodnie z instrukcją, sekcje "Drivers MD5" i "List BCD" nie miały być zaznaczone". I znów to samo. O nowe logi poproszę, gdy zajdą kolejne zmiany. Na razie jest ten problem: Jaki błąd? I czy Autoruns startowałeś opcją "Uruchom jako Administrator"? Do czego zmierzasz? Tu nie ma widocznego problemu infekcji.... .
  15. picasso
    Skoro podajesz logi z FRST, to zabrakło trzeciego FRST Shortcut. I temat zostaje przeniesiony do działu diagnostyki infekcji.... Póki co, widzę tu podejrzane zadania w Harmonogramie zadań, m.in. "diagnostyk Microsoftu", tylko że takie zadanie domyślnie nie występuje w systemie, a sam plik nie ma sygnatury MS: Task: {A99455B1-188B-4BD6-B907-7787C10EA73A} - System32\Tasks\Microsoft\windows\DiskDiagnostic\DiskDiagnostic => C:\Program Files\DiskDiagnostic\DiskDiagnostic.exe [2014-10-03] () Jest tu ustawione proxy Internet Explorer (działa także w Google Chrome), a w Harmonogramie zadań uruchamia się LocaProxy - jak rozumiem była to nieświadoma instalacja. ==================== Processes (Whitelisted) ================= () C:\Program Files\Loca\bin\LocaProxy.exe () C:\Program Files\Loca\bin\LocaProxyTracker.exe Task: {CED5A85F-E68F-4DA0-B5B3-501DE0AFEF1F} - System32\Tasks\Loca\Loca\Loca => C:\Program Files\Loca\bin\LocaProxy.exe [2014-10-20] () Wstępnie usuń omawiane elementy oraz szczątki Bitdefender: 1. Poprzez Panel sterowania odinstaluj niepożądany program EZ YouTube Video Downloader. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {11F34C68-E5FD-4B80-92A6-0E2B1010B8CE} - System32\Tasks\Opera scheduled Autoupdate 1412344377 => C:\Program Files\Opera\launcher.exe Task: {A99455B1-188B-4BD6-B907-7787C10EA73A} - System32\Tasks\Microsoft\windows\DiskDiagnostic\DiskDiagnostic => C:\Program Files\DiskDiagnostic\DiskDiagnostic.exe [2014-10-03] () Task: {B4F2DD13-905A-480E-8A3B-D9166ADE882D} - \Driver Pro Schedule No Task File Task: {CED5A85F-E68F-4DA0-B5B3-501DE0AFEF1F} - System32\Tasks\Loca\Loca\Loca => C:\Program Files\Loca\bin\LocaProxy.exe [2014-10-20] () Task: {DA9A1342-205E-4025-9E96-201EA968CD43} - \Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-HashDiagnostic No Task File HKU\S-1-5-21-4144906793-159945770-2030462716-1000\...\MountPoints2: {fe7d3415-4df2-11e4-976e-b870f448ed3f} - F:\Startme.exe HKU\S-1-5-18\...\Run: [bitdefender Wallet Agent] => "C:\Program Files\Bitdefender\Bitdefender\pmbxag.exe" HKU\S-1-5-18\...\Run: [bitdefender Wallet] => "C:\Program Files\Bitdefender\Bitdefender\pwdmanui.exe" --hidden --nowizard HKU\S-1-5-18\...\Run: [bitdefender Wallet Application Agent] => "C:\Program Files\Bitdefender\Bitdefender\bdapppassmgr.exe" S1 BdfNdisf; \??\c:\program files\common files\bitdefender\bitdefender firewall\bdfndisf6.sys [X] ProxyEnable: Internet Explorer proxy is enabled. ProxyServer: http=127.0.0.1:8080;https=127.0.0.1:8080 Folder: C:\Program Files\DiskDiagnostic C:\Program Files\Common Files\Bitdefender C:\Program Files\DiskDiagnostic C:\Program Files\Loca C:\ProgramData\cryptoDrvUpdate.exe C:\ProgramData\*.bdinstall.bin C:\Users\Lenovo\AppData\Temp C:\Users\Lenovo\AppData\Roaming\driver C:\Users\Lenovo\AppData\Roaming\Mozilla C:\Users\Lenovo\AppData\Roaming\QuickScan C:\Windows\system32\sqlite3.dll C:\Windows\system32\Tasks\Loca Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Driver Pro" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\InstallerLauncher" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition + Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt oraz zaległe logi z prowadzonych wcześniej kasacji (z folderu C:\AdwCleaner oraz log z poprzedniego usuwania MBAM). Wypowiedz się czy po usuwaniu są jakieś zmiany w systemie. .
  16. picasso
    Ja mówię o opcji Computer Vaccination (do wykonania jako pierwsza) - to jest zabezpieczenie systemu poprzez edycję rejestru, która powoduje, że system przestaje interpretować pliki autorun.inf, obecność pendrive nie ma z tym nic wspólnego. Oczywiście pendrive też można później zabezpieczyć stosując w Pandzie opcję USB Vaccination, która utworzy na urządzeniu zablokowany plik autorun.inf. Możesz. Pliki AVI nie są zresztą atakowane przez Sality. .
  17. picasso
    wieSmac, proszę nie używaj opcji "Odpowiedz" przy postach (to funkcja cytatu), gdyż cytujesz cały poprzedni post, stosuj pole szybkiej odpowiedzi na spodzie strony i opcję "Napisz". Poza tym, gdy nikt jeszcze nie odpisał, używaj funkcję Edytuj zamiast post pod postem. Wszystko koryguję i sklejam. System errors: ============= Error: (10/27/2014 09:13:20 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: The atksgt service failed to start due to the following error: %%1275 Error: (10/27/2014 09:13:20 PM) (Source: Application Popup) (EventID: 875) (User: ) Description: Driver atksgt.sys has been blocked from loading. Sterowniki Tages (instalowane z określonymi grami czy programami) odinstalujesz posługując się paczką instalacyjną ze strony Tages: KLIK. ==================== Drivers (Whitelisted) ==================== S2 atksgt; C:\Windows\System32\DRIVERS\atksgt.sys [278728 2014-10-04] () R2 lirsgt; C:\Windows\System32\DRIVERS\lirsgt.sys [25416 2014-10-04] () istartsurf uninstall nie został odinstalowany, kasował go na chama AdwCleaner. I sprawa adware nie jest ukończona. Do przeprowadzenia więcej działań: 1. AdwCleaner źle naprawił specjalny skrót LNK (FRST poprawnie usuwa argumenty): Shortcut: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 2. Jest tu eksperymentalna wersja przeglądarki Google Chrome: Chrome: ======= CHR dev: Chrome dev build detected! A że jest w niej adware Quick start, prawdopodobnie to adware przekonwertowało stabilną do dev-m. Wymagana reinstalacja Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 3. Reset Firefox już zalecony. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). .
  18. picasso
    Wszystko pomyślnie wykonane, skróty LNK wyleczone, żadnych oznak adware w świeżym zestawie raportów. Finalizuj sprawy: 1. Usuń używane narzędzia za pomocą DelFix. Na drugim koncie admin sprawdź ręcznie czy coś nie pozostało. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Drobne aktualizacje do wykonania: ==================== Installed Programs ====================== Adobe Flash Player 14 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 14.0.0.145 - Adobe Systems Incorporated) ----> wtyczka dla Firefox Java 7 Update 60 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F03217060FF}) (Version: 7.0.600 - Oracle) Mozilla Firefox 32.0.3 (x86 pl) (HKLM-x32\...\Mozilla Firefox 32.0.3 (x86 pl)) (Version: 32.0.3 - Mozilla) Sugeruję też deinstalację firmowego programu ASUS WebStorage, który może produkować niespodzianki w eksploratorze. Typowy temat z forum: KLIK. .
  19. picasso
    DelFix pomyślnie wykonał zadanie, możesz skasować log C:\DelFix.txt. Na zrzucie ekranu z Avast nie widać gdzie konkretnie były wykryte te wirusy - w jakich ścieżkach. I jeśli na 100% pełny skan wszystkich partycji nic już nie wykazuje, to myślę że to na razie koniec zmagań. Na dalszą metę: - Reinstalacja XP przy użyciu płyty niemodyfikowanej i uzupełnienie wszystkich aktualizacji z Windows Update. - Zabezpieczenie świeżego systemu przed wykonywaniem infekcji typu autorun.inf (czyli m.in. Sality) za pomocą Panda USB Vaccine (opcja Computer Vaccination). Aktualny system już został zabezpieczony w ten sposób, to samo co Panda zrobiła komenda w skrypcie FRST: Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /v "" /t REG_SZ /d @SYS:DoesNotExist /f .
  20. picasso
    W systemie nie ma jakichkolwiek widocznych oznak czynnej infekcji. Tu zwraca uwagę inwazyjna instalacja COMODO Internet Security (zresztą starsza wersja). Równie dobrze to ona może być odpowiedzialna za część objawów. Proponuję dla testu tymczasowo odinstalować i sprawdzić czy zwiększy się wydajność systemu i sieci. Po pierwsze, nie zrobiłeś go w prawidłowych warunkach, nie odmontowałeś emulacji napędów wirtualnych, czynne agresywne sterowniki: KLIK. R3 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [283064 2014-09-20] (Disc Soft Ltd) R0 sptd; C:\Windows\System32\Drivers\sptd.sys [381440 2014-03-06] (Duplex Secure Ltd.) U3 ax1t668b; C:\Windows\System32\Drivers\ax1t668b.sys [0 ] (Advanced Micro Devices) Po drugie, wiele czynności może pochodzić od COMODO. .
  21. picasso
    Temat przenoszę do działu Windows. Oznak infekcji brak. I na przyszłość: proszę informuj o zakładaniu tematu na innym forum, by było wiadome co się zmieniło. Uruchamiałeś skrypt o postaci: S0 tqwun; System32\drivers\welrpnt.sys [X] C:\Program Files\GUM4A58.tmp EmptyTemp: Platform: Microsoft Windows 7 Ultimate (X86) OS Language: Polski (Polska) Internet Explorer Version 8 Na początku ustalmy co to za Windows, skąd pochodzi, bo jest w ogóle nieaktualizowany, a pewne ślady wskazują, że nie jest oryginalny. Są ustawione jako domyślne ruskie przeglądarki Google i Yandex, modyfikacja charakterystyczna dla pewnych płyt pobranych z torrent. I nie wiadomo co jeszcze zmodyfikowane w systemie. Na razie widzę: 1. Uszkodzenia w systemie. Wiele usług Microsoftu ma oznaczenie File not signed (brak podpisu cyfrowego). To oznacza dysfunkcję Usług Kryptograficznych, bądź też inne uszkodzenie (pliki jako takie lub baza catroot). Również pliki User32.dll + userinit.exe nie są sygnowane, aczkolwiek to może być związane z próbami oszukania aktywacji... ========================== Services (Whitelisted) ================= R2 AudioEndpointBuilder; C:\Windows\System32\Audiosrv.dll [473088 2010-06-04] (Microsoft Corporation) [File not signed] R2 Audiosrv; C:\Windows\System32\Audiosrv.dll [473088 2010-06-04] (Microsoft Corporation) [File not signed] S3 AxInstSV; C:\Windows\System32\AxInstSV.dll [88064 2010-06-04] (Microsoft Corporation) [File not signed] R2 BFE; C:\Windows\System32\bfe.dll [494080 2010-06-04] (Microsoft Corporation) [File not signed] S3 BITS; C:\Windows\System32\qmgr.dll [584704 2010-06-04] (Microsoft Corporation) [File not signed] S3 Browser; C:\Windows\System32\browser.dll [102400 2010-06-04] (Microsoft Corporation) [File not signed] R2 Dhcp; C:\Windows\system32\dhcpcore.dll [254464 2010-06-04] (Microsoft Corporation) [File not signed] R2 Dnscache; C:\Windows\System32\dnsrslvr.dll [132608 2010-06-04] (Microsoft Corporation) [File not signed] S3 dot3svc; C:\Windows\System32\dot3svc.dll [214016 2010-06-04] (Microsoft Corporation) [File not signed] R2 DPS; C:\Windows\system32\dps.dll [143872 2010-06-04] (Microsoft Corporation) [File not signed] S3 ehRecvr; C:\Windows\ehome\ehRecvr.exe [556544 2010-06-04] (Microsoft Corporation) [File not signed] R2 eventlog; C:\Windows\System32\wevtsvc.dll [1086976 2010-06-04] (Microsoft Corporation) [File not signed] S3 FontCache; C:\Windows\system32\FntCache.dll [804864 2010-06-04] (Microsoft Corporation) [File not signed] R2 gpsvc; C:\Windows\System32\gpsvc.dll [592384 2010-06-04] (Microsoft Corporation) [File not signed] S3 HomeGroupListener; C:\Windows\system32\ListSvc.dll [194560 2010-06-04] (Microsoft Corporation) [File not signed] R3 HomeGroupProvider; C:\Windows\system32\provsvc.dll [165376 2010-06-04] (Microsoft Corporation) [File not signed] R2 IKEEXT; C:\Windows\System32\ikeext.dll [673280 2010-06-04] (Microsoft Corporation) [File not signed] R2 iphlpsvc; C:\Windows\System32\iphlpsvc.dll [499200 2010-06-04] (Microsoft Corporation) [File not signed] S4 LanmanServer; C:\Windows\system32\srvsvc.dll [168448 2010-06-04] (Microsoft Corporation) [File not signed] R2 LanmanWorkstation; C:\Windows\System32\wkssvc.dll [84480 2010-06-04] (Microsoft Corporation) [File not signed] S4 Mcx2Svc; C:\Windows\system32\Mcx2Svc.dll [68096 2010-06-04] (Microsoft Corporation) [File not signed] R2 NlaSvc; C:\Windows\System32\nlasvc.dll [242176 2010-06-04] (Microsoft Corporation) [File not signed] S3 pla; C:\Windows\system32\pla.dll [1508864 2010-06-04] (Microsoft Corporation) [File not signed] R2 PlugPlay; C:\Windows\system32\umpnpmgr.dll [293376 2010-06-04] (Microsoft Corporation) [File not signed] R2 Power; C:\Windows\system32\umpo.dll [119808 2010-06-04] (Microsoft Corporation) [File not signed] R2 ProfSvc; C:\Windows\system32\profsvc.dll [163840 2010-06-04] (Microsoft Corporation) [File not signed] S3 RasMan; C:\Windows\System32\rasmans.dll [285184 2010-06-04] (Microsoft Corporation) [File not signed] S4 SDRSVC; C:\Windows\System32\SDRSVC.dll [125952 2010-06-04] (Microsoft Corporation) [File not signed] S3 SessionEnv; C:\Windows\system32\sessenv.dll [114176 2010-06-04] (Microsoft Corporation) [File not signed] R2 ShellHWDetection; C:\Windows\System32\shsvcs.dll [328192 2010-06-04] (Microsoft Corporation) [File not signed] S3 Spooler; C:\Windows\System32\spoolsv.exe [316416 2010-06-04] (Microsoft Corporation) [File not signed] R2 StiSvc; C:\Windows\System32\wiaservc.dll [463360 2010-06-04] (Microsoft Corporation) [File not signed] S4 SysMain; C:\Windows\system32\sysmain.dll [1160192 2010-06-04] (Microsoft Corporation) [File not signed] S3 TermService; C:\Windows\System32\termsrv.dll [516608 2010-06-04] (Microsoft Corporation) [File not signed] R2 Themes; C:\Windows\system32\themeservice.dll [37376 2009-12-07] (Microsoft Corporation) [File not signed] S3 UmRdpService; C:\Windows\System32\umrdp.dll [171520 2010-06-04] (Microsoft Corporation) [File not signed] S3 vds; C:\Windows\System32\vds.exe [453120 2010-06-04] (Microsoft Corporation) [File not signed] S3 VSS; C:\Windows\system32\vssvc.exe [1025536 2010-06-04] (Microsoft Corporation) [File not signed] S3 WebClient; C:\Windows\System32\webclnt.dll [202240 2010-06-04] (Microsoft Corporation) [File not signed] R3 WinHttpAutoProxySvc; C:\Windows\system32\winhttp.dll [350208 2010-06-04] (Microsoft Corporation) [File not signed] S3 WinRM; C:\Windows\system32\WsmSvc.dll [1175040 2010-06-04] (Microsoft Corporation) [File not signed] R3 WMPNetworkSvc; C:\Program Files\Windows Media Player\wmpnetwk.exe [1121792 2010-06-04] (Microsoft Corporation) [File not signed] S3 WPDBusEnum; C:\Windows\system32\wpdbusenum.dll [85504 2010-06-04] (Microsoft Corporation) [File not signed] R2 wudfsvc; C:\Windows\System32\WUDFSvc.dll [67584 2010-06-04] (Microsoft Corporation) [File not signed] ==================== Bamital & volsnap Check ================= C:\Windows\system32\User32.dll [2009-07-14 01:24] - [2010-06-04 09:53] - 0808448 ____A (Microsoft Corporation) 3D7778DA786063D589EA56D928A39FB1 C:\Windows\system32\userinit.exe [2009-07-14 01:34] - [2010-06-04 09:51] - 0026624 ____A (Microsoft Corporation) A1C9C01C02AF6A2C81CAC34CD5E65F9B No cóż, takie defekty naprawia się poprzez Przywracanie systemu, tylko że tu kompletnie brak punktów. 2. Dodatkowo, jest tu pakiet zabezpieczeń 360 Total Security, który mógłby wydłużyć start. Ale to na razie sprawa podrzędna przy podejrzeniu pirackiej zmanipulowanej kopii z niejasnym defektem niesygnowanych plików. .
  22. picasso
    Temat porządkuję, posty sklejam. Log z FRST zrobiony niezgodnie z instrukcją, sekcje "Drivers MD5" i "List BCD" nie miały być zaznaczone. I temat zostaje przeniesiony do działu Windows. Proszę przeklej wprost z dziennika Avast dokładne ścieżki dostępu w czym zagrożenia zostały wykryte, bo nazwy nic nie mówią. Wątpliwe, by problem tworzyły infekcje, bo w systemie brak oznak czynnej infekcji, widać tylko martwe mikro ślady po adware. Tu raczej zwraca uwagę świeża aktualizacja sterowników nVidia (z dnia 19 października), przeładowany start oraz błędy usług Garmin + HP ProtectTools nagrane w Dzienniku zdarzeń: System errors: ============= Error: (10/27/2014 04:25:48 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: The Garmin Core Update Service service failed to start due to the following error: %%1053 Error: (10/27/2014 04:25:48 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: A timeout was reached (30000 milliseconds) while waiting for the Garmin Core Update Service service to connect. Error: (10/26/2014 01:47:57 PM) (Source: Service Control Manager) (EventID: 7011) (User: ) Description: A timeout (30000 milliseconds) was reached while waiting for a transaction response from the hpqwmiex service. 1. Na szybko usunięcie pustych wpisów, co w ogóle nie poprawi sytuacji, bo jak mówię to nieczynne obiekty. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {0AC84B8D-C29A-41AA-896B-182F9EEFCA51} - \5aa3d933-32c7-4b03-9bcf-13d56020c4b9-4 No Task File Task: {0FB1E323-CF6F-4A3C-B3D7-49BFE05E609F} - \5aa3d933-32c7-4b03-9bcf-13d56020c4b9-6 No Task File Task: {56D2E489-A0B4-4245-9726-A922F777D0DD} - \5aa3d933-32c7-4b03-9bcf-13d56020c4b9-2 No Task File Task: {657BF2F6-5E31-4E92-AE6B-75D59FA839AA} - \5aa3d933-32c7-4b03-9bcf-13d56020c4b9-7 No Task File Task: {B85C45D3-7A19-40F3-ABB8-956C3F77E4B9} - \5aa3d933-32c7-4b03-9bcf-13d56020c4b9-1 No Task File HKU\S-1-5-21-1593833016-2535897038-1932122431-1000\...\Run: [browser Extensions] => "C:\Users\user\AppData\Roaming\Browser Extensions\CouponsHelper.exe" HKLM-x32\...\Run: [] => [X] Winlogon\Notify\DeviceNP-x32: DeviceNP.dll [X] S3 dgderdrv; System32\drivers\dgderdrv.sys [X] StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKCU - {3023DAE5-E649-48B1-A0FF-5F2740EC6EC3} URL = https://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=198484&p={searchTerms} Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File FF HKLM-x32\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files (x86)\Hewlett-Packard\HP ProtectTools Security Manager\Bin\FirefoxExt C:\Windows\system32\Drivers\*.winsecurity Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{EE68B04B-ABF4-4E83-87FF-42AF4C3F1D5B} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Autoruns w karcie Logon odfajkuj poniższe wpisy: HKLM\...\Run: [HPPowerAssistant] => C:\Program Files\Hewlett-Packard\HP Power Assistant\HPPA_Main.exe [3488640 2012-03-14] (Hewlett-Packard Company) HKLM\...\Run: [HPWirelessAssistant] => C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWA_Main.exe [363064 2010-07-21] (Hewlett-Packard Company) HKLM\...\Run: [Windows Mobile Device Center] => C:\Windows\WindowsMobile\wmdc.exe [660360 2007-05-31] (Microsoft Corporation) HKLM\...\Run: [AdobeAAMUpdater-1.0] => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [472992 2013-03-21] (Adobe Systems Incorporated) HKLM\...\Run: [NvBackend] => C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe [2462536 2014-10-04] (NVIDIA Corporation) HKLM-x32\...\Run: [NUSB3MON] => c:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe [115048 2011-09-16] (Renesas Electronics Corporation) HKLM-x32\...\Run: [iMSS] => C:\Program Files (x86)\Intel\Intel® Management Engine Components\IMSS\PIconStartup.exe [111488 2012-10-25] (Intel Corporation) HKLM-x32\...\Run: [PDF Complete] => C:\Program Files (x86)\PDF Complete\pdfsty.exe [658424 2011-08-11] (PDF Complete Inc) HKLM-x32\...\Run: [File Sanitizer] => C:\Program Files (x86)\Hewlett-Packard\File Sanitizer\CoreShredder.exe [11268096 2010-05-06] (Hewlett-Packard) HKLM-x32\...\Run: [iAStorIcon] => C:\Program Files (x86)\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe [284696 2013-10-17] (Intel Corporation) HKLM-x32\...\Run: [KiesTrayAgent] => C:\Program Files (x86)\Samsung\Kies\KiesTrayAgent.exe [311616 2014-04-23] (Samsung Electronics Co., Ltd.) HKLM-x32\...\Run: [APSDaemon] => C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe [59720 2013-09-13] (Apple Inc.) HKLM-x32\...\Run: [QuickTime Task] => C:\Program Files (x86)\QuickTime\QTTask.exe [421888 2014-01-17] (Apple Inc.) HKLM-x32\...\Run: [HPUsageTrackingLEDM] => C:\Program Files (x86)\HP\HP UT LEDM\bin\hppusg.exe [30264 2009-08-04] (Hewlett-Packard Company) HKLM-x32\...\Run: [AdobeCEPServiceManager] => C:\Program Files (x86)\Common Files\Adobe\CEPServiceManager4\CEPServiceManager.exe [1039248 2013-03-13] (Adobe Systems Incorporated) HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959176 2014-08-21] (Adobe Systems Incorporated) HKLM-x32\...\Run: [sunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [507776 2014-10-07] (Oracle Corporation) HKU\S-1-5-21-1593833016-2535897038-1932122431-1000\...\Run: [Advanced SystemCare 7] => C:\Program Files (x86)\IObit\Advanced SystemCare 7\ASCTray.exe [2281248 2014-08-22] (IObit) HKU\S-1-5-21-1593833016-2535897038-1932122431-1000\...\Run: [KiesPDLR.exe] => C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe [845120 2014-04-23] (Samsung) HKU\S-1-5-21-1593833016-2535897038-1932122431-1000\...\Run: [KiesPreload] => C:\Program Files (x86)\Samsung\Kies\Kies.exe [1564992 2014-04-23] (Samsung) HKU\S-1-5-18\...\Run: [GarminExpressTrayApp] => C:\Program Files (x86)\Garmin\Express Tray\ExpressTray.exe [688984 2014-08-07] (Garmin Ltd or its subsidiaries) Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Bluetooth.lnk Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CodecPackUpdateChecker.lnk Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CodeMeter Control Center.lnk Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ImageBrowser EX Agent.lnk Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\MOTU Pedal Service.lnk Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EOS Utility.lnk W karcie Services odfajkuj AdobeARMservice, c2cautoupdatesvc, c2cpnrsvc, Garmin Core Update Service, hpqwmiex, hpsrv, HPSupportSolutionsFrameworkService, LiveUpdateSvc, NvNetworkService, NvStreamSvc, SkypeUpdate, WinDefend. By widzieć tę ostatnią pozycję, należy w menu włączyć pokazywanie wpisów Microsoftu. W karcie Scheduled Tasks odfajkuj zadania Adobe, Google, Garmin, IOBit, Opera. 2. Oinstaluj nieużywane programy. Sugeruję też pozbyć się wszystkiego od IOBit (Advanced SystemCare 7, IObit Uninstaller, Smart Defrag 3, Surfing Protection). Firma nie jest godna zaufania: KLIK. 3. Zresetuj system, zrób nowy log FRST z opcji Scan (bez Addition i Shortcut), dołącz też fixlog.txt i opisz co się dzieje. .
  23. picasso
    Ale ja się pytam czy po nawrocie problemu ponowna naprawa działa. Poprawki. Otwórz Notatnik i wklej w nim: CloseProcesses: FF HKLM-x32\...\Firefox\Extensions: [termtutor@termtutor.com] - C:\Program Files (x86)\Mozilla Firefox\extensions\termtutor@termtutor.com R1 ttnfd; system32\drivers\ttnfd.sys [X] S3 VGPU; No ImagePath RemoveDirectory: C:\Users\Browar\Desktop\FRST-OlderVersion RemoveDirectory: C:\Users\Browar\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Browar\Documents\PC Speed Maximizer DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.
  24. picasso
    Posty łączę i czyszczę. Proszę nie używaj opcji "Odpowiedz" zlokalizowanej przy każdym poście (to funkcja cytatu wstawiająca cały poprzedni post), lecz okno szybkiej odpowiedzi na spodzie tematu i "Napisz". Przypuszczalnie to był problem z obniżonym transferem dysku i Przywracanie systemu było zbędne. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Przywracanie systemu odkręca poprzednie działania, więc zadane operacje aktualne, z tym że one są poboczne i nie powinny mieć związku z problemami. Fix już wykonałeś, usuwanie Avira jeszcze do wdrożenia. A co do problemów sieciowych, to już założyłeś nowy temat w dziale Sieci. .
  25. picasso
    Temat przenoszę do działu Windows. Tu nie ma żadnych oznak infekcji i problemy nie wyglądają na jej pochodną. Do usunięcia tylko puste wpisy: Sugeruję też pozbyć się wszystkich produktów IOBit (Advanced SystemCare 7, Driver Booster, IObit Uninstaller, Surfing Protection). Firma nie jest godna zaufania, na sumieniu różne grzeszki: KLIK. Należy rozróżnić dwie rzeczy: aktualizacje baz i aktualizacje wersji. Określony komercyjny program może nie dawać możliwości darmowego upgradu do nowszej edycji. Przyczyny uszkodzeń plików nie są znane, przyczyn może być mnóstwo np. błędy na dysku, raptownie przerwana aktualizacja Windows Update (instalowanie w toku i komunikat "Nie wyłączaj komputera...", a wymuszono reset). I tu w Dzienniku zdarzeń dręczy takie oto błędy: System errors: ============= Error: (10/23/2014 08:35:44 AM) (Source: Disk) (EventID: 11) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Harddisk1\DR1. Z tym, że jest tu tylko jeden dysk twardy, którego numerowanie powinno być równe \Device\Harddisk0\DR0, co zresztą GMER sygnalizował: Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-2 SAMSUNG_HD642JJ rev.1AA01113 596,17GB Możliwe, iż błąd tyczy jakiegoś odpiętego dysku przenośnego. Identyfikacja czym jest \Device\Harddisk1\DR1 na podstawie tego tematu: KLIK. Co rozumiesz przez "po restarcie wszystko działa"? I podaj skan pod kątem poprawności plików: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. .
×
×
  • Dodaj nową pozycję...