picasso

Dostarczyłeś logi FRST ze strasznie starej wersji, która nie ma określonych skanów i komend: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 21-07-2014 (ATTENTION: ====> FRST version is 95 days old and could be outdated) Pomijając, że HijackThis to archaizm, z pewnością przyczyną niemożnością uruchomienia go i jemu podobnych są infekcje, conajmniej dwie: robak Brontok oraz wirus Jeefo atakujący pliki wykonywalne na wszystkich dyskach. Widocznym elementem Jeefo jest poniższa usługa, ale to jedynie cząstka problemu, pliki systemu i programów są infekowane i psute. ==================== Services (Whitelisted) ================= R2 PowerManager; C:\Windows\svchost.exe [36352 2001-08-24] (Microsoft Corporation) [File not signed] Wstępne operacje: 1. Pobierz najnowszy FRST: KLIK. Jeśli nie da się z poziomu tego komputera, to skorzystaj z innego i za pomocą pendrive przenieś pobrany FRST. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 PowerManager; C:\Windows\svchost.exe [36352 2001-08-24] (Microsoft Corporation) [File not signed] HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [bron-Spizaetus] => C:\Windows\ShellNew\sempalong.exe [42675 2011-03-08] () HKLM-x32\...\Winlogon: [shell] Explorer.exe "C:\Windows\eksplorasi.exe" [42675 ] () HKU\S-1-5-21-2171216393-590708924-378717732-1000\...\Run: [Tok-Cirrhatus] => C:\Users\Damian\AppData\Local\smss.exe [42675 2011-03-08] () HKU\S-1-5-21-2171216393-590708924-378717732-1000\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-2171216393-590708924-378717732-1000\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-2171216393-590708924-378717732-1000\...\Policies\Explorer: [] HKU\S-1-5-21-2171216393-590708924-378717732-1000\...\Policies\Explorer: [NoFolderOptions] 1 HKU\S-1-5-21-2171216393-590708924-378717732-1000\...\MountPoints2: F - F:\Autorun.exe Startup: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif () ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt5] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt6] -> {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt7] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt8] -> {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers-x32: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers-x32: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers-x32: [DropboxExt3] -> {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers-x32: [DropboxExt4] -> {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers-x32: [DropboxExt5] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers-x32: [DropboxExt6] -> {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers-x32: [DropboxExt7] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers-x32: [DropboxExt8] -> {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} => No File Task: {10195F3A-9DAB-4D7B-A024-9C3B75D47462} - System32\Tasks\Seagate_Install_Launch => C:\Program Files (x86)\Seagate\Seagate Dashboard 2.0\Dashboard.exe StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM-x32 - DefaultScope value is missing. S3 OracleRemExecServiceV2; C:\Users\Damian\AppData\Local\Temp\\oraremservicev2\RemoteExecService.exe [X] Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Damian^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Empty.pif" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ALLUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bron-Spizaetus" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tok-Cirrhatus" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Uploader" /f CMD: for /d %f in (C:\Users\Damian\AppData\Local\*Bron*) do rd /s /q "%f" C:\Program Files (x86)\Temp C:\Users\Damian\AppData\Local\*.exe C:\Users\Damian\AppData\Local\*Bron* C:\Windows\eksplorasi.exe C:\Windows\svchost.exe C:\Windows\system32\Drivers\etc\hosts.new C:\Windows\pss\Empty.pif.Startup C:\Windows\ShellNew\sempalong.exe Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wykonaj skan za pomocą jeefogui.com. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Skrypt wykonałeś więcej niż raz i podany tu log pochodzi aż z trzeciej rundy, skrypt jest jednorazowy i nie przetworzy powtórnie tego samego. Proszę o dostarczenie właściwego, czyli pierwszego raportu z serii. Wejdź do folderu archiwum C:\FRST\Logs i wyszukaj najstarszy plik Fixlog_data_czas.txt. Nie sądzę, by to było potrzebne. Według opisu było tu tylko adware (reklamiarze), a nie trojany z predyspozycją łowienia danych. .

Poza tym co już omawialiśmy wcześniej, żadnych nowych niepokojących śladów. Przed reinstalacją systemu jeszcze wykonaj to: 1. Zastosuj DelFix, co powinno usunąć folder C:\FRST z kwarantanną. 2. Zainstaluj najnowszą wersję Avast. Wykonaj pełny skan wszystkich trzech partycji C:, D:, E:. Zgłoś się tu z wynikami co skaner wykrył. .

Pendrive jest zainfekowany Sality i będzie roznosił wirusa na każdy podpinany system. Czy ten pendrive był wpinany w inne komputery? Czy format systemu został wykonany? Jeśli tak, to zabezpiecz system przed wykonaniem autorun.inf Sality zlokalizowanym na pendrive poprzez Panda USB Vaccine i opcję Computer Vaccination. Następnie uściślij mi co się dzieje obecnie i co z pendrive.

Skrypt wykonany. Jakie są wyniki tej akcji:

Czy zabezpieczyłeś router poprzez wyłączenie dostępu do panelu zarządzania od strony internetu? Porównaj z tymi artykułami: KLIK, KLIK. Na obu systemach brak oznak infekcji. Do wyczyszczenia tylko wpisy puste / szczątki programów oraz cache (bufor DNS + cache przeglądarek): LAPTOP: 1. Odinstaluj starą wtyczkę Adobe Flash Player 12 ActiveX. A resztę zaktualizuj: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => No File BootExecute: autocheck autochk * sdnclean64.exe SearchScopes: HKLM-x32 - DefaultScope value is missing. BHO: No Name -> {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -> No File Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File FF Plugin-x32: @ogplanet.com/npOGPPlugin -> C:\Windows\system32\npOGPPlugin.dll No File S3 ATP; system32\DRIVERS\cmdatp.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] Task: {7E06FA46-7AFB-48D3-AD95-236C4D0CC3DB} - System32\Tasks\{A0FB272A-A40D-425C-A770-C013A6E0DDDB} => Chrome.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsMain Task: {C99E8B1F-AADD-4836-B7D2-22E6A300CF31} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe Task: C:\Windows\Tasks\AutoKMS.job => C:\Windows\AutoKMS\AutoKMS.exe C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\TEMP C:\Windows\system32\Drivers\48230029.sys C:\Windows\System32\Tasks\Safer-Networking CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. STACJONARNY: Dodatkowa uwaga: główną przeglądarką jest tu Opera beta. Jej zawartość jest kompletnie nieznana, gdyż żadne z narzędzi jej nie skanuje. Toteż pobiorę dane o niej w skrypcie poniżej. Otwórz Notatnik i wklej w nim: HKLM\...\Winlogon: [userinit] C:\Windows\SysWOW64\userinit.exe, ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File BootExecute: autocheck autochk * PCloudBroom64.exe \systemroot\system32\BroomData.bitPCloudBroom64.exe \systemroot\system32\BroomData.bit S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] C:\Program Files (x86)\mozilla firefox C:\Users\Boginie\AppData\Roaming\Mozilla C:\Users\Boginie\Downloads\*.tmp Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Folder: C:\Users\Bobek\AppData\Roaming\Opera Software\Opera Next\Extensions CMD: type "C:\Users\Bobek\AppData\Roaming\Opera Software\Opera Next\Preferences" Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaNext\shell\open\command" /s CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. .

Temat przesuwam do odpowiedniejszego działu, to nie jest problem infekcji. A z raportów nic kompletnie nie wynika. Nie zostało powiedziane jakie rodzaje URL / strony są u niej otwierane. Wstępne sugestie: 1. Są tu zainstalowane następujące wersje programów: ==================== Installed Programs ====================== Adobe Flash Player 15 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 15.0.0.152 - Adobe Systems Incorporated) Mozilla Firefox 32.0.3 (x86 pl) (HKLM-x32\...\Mozilla Firefox 32.0.3 (x86 pl)) (Version: 32.0.3 - Mozilla) Najnowszy Flash to wersja 15.0.0.189, również nowszy Firefox dostępny: KLIK. Zaktualizuj oba komponentry. 2. Wyłącz zbędne wtyczki w Firefox, to wszystko można zdeaktywować: FireFox: ======== FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files\Microsoft Silverlight\5.1.30514.0\npctrl.dll ( Microsoft Corporation) FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~1\MICROS~2\Office14\NPAUTHZ.DLL (Microsoft Corporation) FF Plugin-x32: @Google.com/GoogleEarthPlugin -> C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll (Google) FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI ipt;version=4.0.5 -> C:\Program Files (x86)\Intel\Intel® Management Engine Components\IPT\npIntelWebAPIIPT.dll (Intel Corporation) FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI updater -> C:\Program Files (x86)\Intel\Intel® Management Engine Components\IPT\npIntelWebAPIUpdater.dll (Intel Corporation) FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files (x86)\Microsoft Silverlight\5.1.30514.0\npctrl.dll ( Microsoft Corporation) FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~2\Office14\NPAUTHZ.DLL (Microsoft Corporation) FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~2\Office14\NPSPWRAP.DLL (Microsoft Corporation) FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.25.5\npGoogleUpdate3.dll (Google Inc.) FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.25.5\npGoogleUpdate3.dll (Google Inc.) FF Plugin-x32: @videolan.org/vlc,version=2.1.2 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll (VideoLAN) 3. Sprawdź akcelerację sprzętową: KLIK. .

Jest tu owszem adware Ask, ale to niekoniecznie główna przyczyna spowolnienia - problem równie dobrze może tworzyć program zabezpieczający Kaspersky Internet Security. Wstępnie wyczyś adware i zopbaczymy co się stanie: 1. Rozpocznij od poprawnych deinstalacji. Przez Panel sterowania odinstaluj adware, zbędniki i stare dziurawe aplikacje: Adobe Flash Player 10 ActiveX, Adobe Reader X (10.1.10) - Polish, Java™ 6 Update 18 (64-bit), Java™ 6 Update 22, McAfee Security Scan Plus, Search App by Ask. Zaktualizuj też OpenOffice.org 3.3, by mógł korzystać z najnowszej wersji Java 7. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Wypowiedz się czy jest jakaś poprawa. .

Problemy adware są wynikiem uruchomienia tzw. "downloaderów" portalowych, a przykład szkodliwego pliku poniżej. Więcej na ten temat: KLIK. Notabene: HDD Regenerator to nie jest polecany tu program. 2014-10-24 12:44 - 2014-10-24 12:44 - 00225464 _____ () C:\Users\Kamil\Downloads\HDDRegenerator_downloader-IeXp5SxIY.exe Folderu YouTube Accelerator nie da się usunąć, gdyż jest chroniony przez aktywne procesy, a dodatkowo jest wpięty w łańcuch sieciowy Winsock. Usunięcie "z ręki" grozi uszkodzeniem łańcucha i odcięciem od sieci. Akcja będzie podzielona na dwa etapy. Dodatkowo: w procesach działa Google Chrome, a w ogóle nie ma wejścia deinstalacji programu, przeglądarka wygląda na częściowo uszkodzoną. W systemie są też ślady instalacji Opera, ale zdaje się, że to rzeczywuiście odinstalowany program i będę usuwać powiązane obiekty. Wg Shortcut instalacja jest wybrakowana i nie ma na dysku plików wymaganych do jej przeprowadzenia (skierowanie na dysk F nawet nie wykryty jako istniejący): Shortcut: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FormatFactory\FormatFactory.lnk -> F:\pliki\FormatFactory\FormatFactory.exe (No File) Shortcut: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FormatFactory\Help.lnk -> F:\pliki\FormatFactory\FormatFactory.exe (No File) Shortcut: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FormatFactory\Uninstall.lnk -> F:\pliki\FormatFactory\uninst.exe (No File) Wg raportu nie ma tu żadnych sterowników związanych z emulacją. Przyczyna błędu programu jest więc inna, lecz trudno stwierdzić jaka. GMER jest fanaberyjny. Darujmy go sobie teraz. Pod kątem adware przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {972b8ad0-9d6f-4688-9227-759df6914df4}w64; C:\Windows\System32\drivers\{972b8ad0-9d6f-4688-9227-759df6914df4}w64.sys [48776 2014-10-24] (StdLib) R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [705416 2014-09-24] (Cherished Technololgy LIMITED) R2 YouTubeAcceleratorService; C:\Program Files (x86)\YouTube Accelerator\YouTubeAcceleratorService.exe [1510248 2014-10-24] (GOOBZO) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1413460407&from=cor&uid=ST3500418AS_6VMGGVAGXXXX6VMGGVAG&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1413460407&from=cor&uid=ST3500418AS_6VMGGVAGXXXX6VMGGVAG&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1413460407&from=cor&uid=ST3500418AS_6VMGGVAGXXXX6VMGGVAG&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1413460407&from=cor&uid=ST3500418AS_6VMGGVAGXXXX6VMGGVAG&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1413460407&from=cor&uid=ST3500418AS_6VMGGVAGXXXX6VMGGVAG Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Menedżer Realtek HD Audio.lnk Task: C:\WINDOWS\Tasks\Opera N.job => C:\Program Files (x86)\Opera\launcher.exe C:\Program Files (x86)\Apps Hat C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Opera C:\Program Files (x86)\Temp C:\Program Files (x86)\YTAHelper C:\ProgramData\374311380 C:\ProgramData\IePluginServices C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YouTube Accelerator C:\ProgramData\TEMP C:\ProgramData\WindowsMangerProtect C:\ProgramData\YTAHelper C:\Users\Kamil\AppData\Local\globalUpdate C:\Users\Kamil\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Kamil\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences C:\Users\Kamil\AppData\Local\Opera Software C:\Users\Kamil\AppData\Roaming\Opera Software C:\Users\Kamil\AppData\Roaming\Systweak C:\Users\Kamil\Downloads\*_downloader*.exe C:\Users\Public\Documents\GOOBZO C:\Users\Public\Documents\ShopperPro C:\Users\Public\Documents\YTAHelper C:\WINDOWS\system32\netcfg-*.txt C:\WINDOWS\system32\roboot64.exe C:\Windows\System32\drivers\{972b8ad0-9d6f-4688-9227-759df6914df4}w64.sys CMD: netsh winsock reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Kamil\AppData\Local CMD: dir /a C:\Users\Kamil\AppData\LocalLow CMD: dir /a C:\Users\Kamil\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. O ile przeglądarka Google Chrome ma pozostać, nadpisz ją nowym instalatorem. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Sality to wirus plików wykonywalnych atakujący wszystkie pliki tego rodzaju na wszystkich dyskach. Nie ma sensu czyścić z Sality systemu, który co dopiero był stawiany: masa czasu zejdzie, by w ogóle ubić wirusa, system i tak nie uzyska pierwotnej sprawności (po leczeniu mogą pozostać trwale uszkodzone pliki). Do wykonania będzie ponowny format i instalacja XP, tylko że należy się zastanowić dlaczego po pierwszym formacie wkradł się wirus. Prawdopodobnie: podpięty pendrive zainfekowany Sality lub formatowałeś tylko C, a wirus ostał się na pozostałych dyskach (wystarczy jede drobny plik z genem Sality omyłkowo uruchomiony po formacie i cykl zarażania rozpoczyna się od nowa). Są tu trzy partycje: ==================== Drives ================================ Drive c: () (Fixed) (Total:34.18 GB) (Free:23.35 GB) NTFS ==>[Drive with boot components (Windows XP)] Drive d: () (Fixed) (Total:74.52 GB) (Free:7.76 GB) NTFS Drive e: () (Fixed) (Total:40.34 GB) (Free:16.13 GB) NTFS Przy tym typie wirusa nie wystarczy format C, Sality pomija bariery podziałów na partycje i infekuje wszystkie dostępne pliki wykonywalne. W logu OTL widać też na każdym dysku w root ukryte pliki autorun.inf, które inicjują wirusa, zapewne są też luźne pliki wykonywalne Sality tam. O32 - AutoRun File - [2014-10-24 20:42:58 | 000,000,389 | RHS- | M] () - C:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2014-10-24 20:42:59 | 000,000,285 | RHS- | M] () - D:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2014-10-24 20:42:59 | 000,000,264 | RHS- | M] () - E:\autorun.inf -- [ NTFS ] Z tych partycji nie wolno skopiować żadnego pliku wykonywalnego (instalatory programów / sterowniki etc.) na zapas. .

Wszystko wykonane. Poprawki. Otwórz Notatnik i wklej w nim: S1 ttnfd; system32\drivers\ttnfd.sys [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\A6ADCE5D-859A-4E7E-B0B2-D07F8AB9237E RemoveDirectory: C:\Program Files\Enigma Software Group RemoveDirectory: C:\Program Files (x86)\A6ADCE5D-859A-4E7E-B0B2-D07F8AB9237E RemoveDirectory: C:\Program Files (x86)\Amazon RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\Kaspersky Lab RemoveDirectory: C:\ProgramData\YTD Video Downloader RemoveDirectory: C:\Users\tad\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\tad\AppData\Local\nsx297C.tmp DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Jeśli nie podaję, by przetwarzać w Trybie awaryjnym, to oznacza że nie jest to wymagane, a nawet może to przeszkodzić naprawie. Pomijając, że skrypt można uruchomić tylko raz i pierwsze podejście już wszystko załatwiło, jest tu dobry przykład w Twoich logach na niemożność wykonania określonej naprawy z poziomu Trybu awaryjnego. Pierwszy Fix zrobiony z poziomu Trybu normalnego pomyślnie przetworzył polecenie ipconfig /flushdns, ale to samo w Trybie awaryjnym już nie było zdolne się wykonać (w podstawowym Trybie awaryjnym nie działają usługi sieciowe): ========= ipconfig /flushdns ========= Konfiguracja IP systemu Windows Wystąpił błąd wewnętrzny: żądanie nie jest obsługiwane. Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. .

Lapka już oddałeś, ale skomentuję: Fix pomyślnie wykonany. AdwCleaner dokasował szczątki adware, z jednym wyjątkiem: Klucz Usunięto : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 To ogólny klucz związany z biblioteką msvcr71.dll. Klucz może być używany przez aplikacje poprawne oraz szkodliwe. Nie wiadomo co tak naprawdę wykrył AdwCleaner, bo brak tu zawartości klucza. Mogła zostać uszkodzona rejestracja MSI któregoś poprawanego programu (np. AMD Catalyst Center). Gdyby jakiś błąd związany z "Instalatorem Windows" się ujawnił, należy przeinstalować dany program figurujący na błędzie. .

Fixy pomyślnie przetworzone. Jeszcze drobne sprawy: Tak, to pusty skrót odpadek. Dodatkowo uruchom AdwCleaner, zastosuj Szukaj, a po tym Usuń i dostarcz wynikowy log z folderu C:\AdwCleaner. .

Wszystko pomyślnie wykonane. Jeszcze na wszelki wypadek: Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Przedstaw ten log.

Logi z DDS nie są obowiązkowe, usuwam. Tak, jest tu infekcja, działają w tle podrobione usługi Microsoftu oraz sterowniki adware, a dodatkowo jeszcze Bitcoin miner uruchamiany via Harmonogram zadań. Narzędzie ServicesRepair nie służy do naprawiania takich przypadków, program wybiórczo rekonstruuje uszkodzone usługi systemu, nie usuwa żadnych usług dodanych wtórnie przez infekcje. Widać uszkodzoną usługę Kopiowanie woluminów w tle (+ powiązany błąd w Dzienniku zdarzeń), która jest wymagana dla Przywracania systemu. Mam pytanie: czy to jest oryginalny nietweakowany Windows? Są w systemie blokady adresów walidacji aktywacji... S3 VSS; %systemroot%\system32\vssvc.exe [X] + Application errors: ================== Error: (10/25/2014 08:17:15 PM) (Source: VSS) (EventID: 13) (User: ) Description: {e579ab5f-1cc4-44b4-bed9-de0991ff0623}Coordinator0x80070002, Nie można odnaleźć określonego pliku. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {55685567-4840-4a91-962b-49a412e9485a}w64; C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys [61112 2014-05-26] (StdLib) R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys [61112 2014-05-19] (StdLib) R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}w64; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}w64.sys [61112 2014-05-19] (StdLib) S2 Windows Movie Codec; C:\Windows\WinMovieCodec.exe [7680 2014-06-19] (Microsoft) [File not signed] S2 Windows Update ; C:\Windows\WindowsUpdate.exe [7680 2014-06-19] (Microsoft) [File not signed] Task: {17988F42-006E-456D-A447-63DB65684126} - System32\Tasks\Math Problem Solver GPU => C:\Users\Windows 7\AppData\Local\Math Problem Solver\gpu\dummysleep.exe Task: {472EBA02-BF13-461D-AD56-798BE598FEAF} - System32\Tasks\Math Problem Solver Optimize => C:\Users\Windows 7\AppData\Local\Math Problem Solver\Optimize.exe [2014-01-20] () Task: {53B0D24A-B77F-4478-9CE2-3A48AC1534FE} - System32\Tasks\Math Problem Solver CPU => C:\Users\Windows 7\AppData\Local\Math Problem Solver\cpu\Solve.exe Task: {5F6692C2-7EB9-49AF-B323-2B2323A89E2B} - System32\Tasks\PITax reminder => C:\Program Files (x86)\PITax.pl\PITax.pl.exe Task: {D05FBDA7-EA90-4903-ABFE-686C5B4B44C8} - System32\Tasks\PITax rss checker => C:\Program Files (x86)\PITax.pl\PITax.pl.exe HKU\S-1-5-21-447586274-3820260448-2701099633-1000\...\Run: [speedUpMyComputer] => C:\Program Files (x86)\SmartTweak\SpeedUpMyComputer\SpeedUpMyComputer.exe /ot /as /ss HKU\S-1-5-21-447586274-3820260448-2701099633-1000\...\Run: [updateMyDrivers] => C:\Program Files (x86)\SmartTweak\UpdateMyDrivers\UpdateMyDrivers.exe /ot /as /ss HKU\S-1-5-21-447586274-3820260448-2701099633-1000\...\Run: [FixMyRegistry] => C:\Program Files (x86)\SmartTweak\FixMyRegistry\FixMyRegistry.exe /ot /as ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File C:\Users\Windows 7\AppData\Roaming\Mozilla C:\Windows\WinMovieCodec.exe C:\Windows\WinMovieCodec.log C:\Windows\WindowsUpdate.exe C:\Windows\WindowsUpdate.log C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}w64.sys Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\VSS /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Opuść Tryb awaryjny. Przez Panel sterowania odinstaluj Bitcoin minera Math Problem Solver. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Następnie uruchom FRST ponownie, w polu Search wklep vssvc.exe, klik w Search Files i dostarcz wynikowy log. Dołącz też plik fixlog.txt. .

Raport z DDS nie jest obowiązkowy. Tam w ogóle nie sprawdzono pliku FRST Shortcut, a adware Mystartsearch zmodyfikowało skróty LNK przeglądarek. Nie bez przyczyny jest to log obowiązkowy a nie opcjonalny tutaj na forum. Rozumiem, że konto syna to m-kol_000: ========================= Accounts: ========================== admin (S-1-5-21-564193530-946695896-3617906930-1002 - Administrator - Enabled) => C:\Users\admin m-kol_000 (S-1-5-21-564193530-946695896-3617906930-1010 - Administrator - Enabled) => C:\Users\m-kol_000.SKIMPK Jeśli chodzi o konta, to w momencie, gdy zgłosiłeś problem na koncie syna, wcale nie było wcześniej sprawdzania wszystkich profili. Opcja o tej nazwie w OTL nie zmienia kontekstu konta, tylko robi dodatkowy skan określonych folderów. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: ShortcutWithArgument: C:\Users\m-kol_000.SKIMPK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1413546517&from=amt&uid=WDCXWD10JPVX-80JC3T0_WD-WXB1A63A9421A9421 ShortcutWithArgument: C:\Users\m-kol_000.SKIMPK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1413546517&from=amt&uid=WDCXWD10JPVX-80JC3T0_WD-WXB1A63A9421A9421 ShortcutWithArgument: C:\Users\m-kol_000.SKIMPK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1413546517&from=amt&uid=WDCXWD10JPVX-80JC3T0_WD-WXB1A63A9421A9421 ShortcutWithArgument: C:\Users\m-kol_000.SKIMPK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1413546517&from=amt&uid=WDCXWD10JPVX-80JC3T0_WD-WXB1A63A9421A9421 ShortcutWithArgument: C:\Users\m-kol_000.SKIMPK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1413546517&from=amt&uid=WDCXWD10JPVX-80JC3T0_WD-WXB1A63A9421A9421 StartMenuInternet: IEXPLORE.EXE - iexplore.exe CustomCLSID: HKU\S-1-5-21-564193530-946695896-3617906930-1010_Classes\CLSID\{A75BE48D-BF58-4A8B-B96C-F9A09DFB9844}\InprocServer32 -> %LOCALAPPDATA%\Pokki\ocdeskband_0.dll No File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres mystartsearch.com, przestaw na "Otwórz stronę nowej karty". 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Shortcut, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Prawdopodobnie nie jesteś w stanie odinstalować tej pozycji, gdyż użyłeś MBAM. Zawsze zaczyna się od deinstalacji, po tym dopiero automaty. I problem przekierowań Mystartsearch nadal istnieje, gdyż są zmodyfikowane skróty LNK przeglądarek. Do wdrożenia poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89 ShortcutWithArgument: C:\Users\Renia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89 ShortcutWithArgument: C:\Users\Renia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89 ShortcutWithArgument: C:\Users\Renia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89 CHR StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe http://www.mystartsearch.com/?type=sc&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89 SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKCU - {3BD44F0E-0596-4008-AEE0-45D47E3A8F0E} URL = http://www.mystart.com/results.php?gen=ms&pr=manycam&id=manycam_ot&v=4_0&ent=ch_5007&q={searchTerms} AppInit_DLLs: c:\progra~2\pcperf~1\261339~1.144\{61d8b~1\pcpmngr.dll => c:\progra~2\pcperf~1\261339~1.144\{61d8b~1\pcpmngr.dll File Not Found HKLM\...\Run: [uVS11 Preload] => C:\Program Files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.135\psuser.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.99\psuser.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.79\psuser.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.145\psuser.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.123\psuser.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.153\psuser.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.165\psuser.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{BB6410D8-F879-4184-9C5C-6A02D16AE0B3}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.115\psuser.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{CA1073A2-5F3F-4445-8E5E-7109BDCEDDBE}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{D5A55D2D-C59D-42C3-A5BF-4C08EEE74339}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.111\psuser.dll No File C:\Program Files\Mozilla Firefox C:\Users\Renia\AppData\Roaming\Mozilla C:\Users\Renia\AppData\Roaming\mystartsearch C:\Windows\system32\sho*.tmp Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mystartsearch uninstall" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {D0A7DD4E-4406-4261-B505-BE774A5B9AA1} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W systemie są trzy konta: ========================= Accounts: ========================== Adusia . ^^ (S-1-5-21-2954293459-2226986906-1304803025-1167 - Limited - Enabled) => C:\Users\Adusia . ^^ Olusia (S-1-5-21-2954293459-2226986906-1304803025-1168 - Limited - Enabled) => C:\Users\Olusia Renia (S-1-5-21-2954293459-2226986906-1304803025-1000 - Administrator - Enabled) => C:\Users\Renia Każde musi zostać sprawdzone z osobna. Zaloguj się po kolei na każde konto poprzez pełny restart komputera (a nie Wyloguj czy Przełącz użytkownika) i na każdym zrób nowy log FRST z opcji Scan, przy czym tylko na koncie administracyjnym Renia zaznacz, by powstał ponownie Shortcut. Na kontach limitowanych Adusia . ^^ i Olusia uruchom FRST poprzez dwuklik, nie przez "Uruchom jako Administrator" (to zmieni kontekst konta). Doczącz też plik fixlog.txt. .

To dopytaj się i podaj więcej szczegółów. Jeśli dev-m to Twój osobisty wybór, to jest to Twój wybór. Ta szczególna wersja jest po prostu otwarta na adware: Wersje Development i Canary mają nielimitowane możliwości instalacji rozszerzeń, nie ma blokady która występuje w stabilnej wersji Chrome: dopuszczalne tylko rozszerzenia ze sklepu, automatyczne blokowanie rozszerzeń spoza oraz autoreset preferencji przeglądarki w przypadku wykrycia szkodliwych modyfikacji. Dlatego właśnie określone typy adware stosują sztuczkę podczas instalacji konwertując stabilną wersję do dev-m. Niedawno to wykryłam i zgłosiłam, w FRST już jest detekcja wersji development: CHR dev: Chrome dev build detected! Jeśli zainfekowane Chrome jest tego typu, prawdopodobnie odbyła się owa konwersja typu przeglądarki i czyszczenie przeglądarki mija się z celem, należy ją przeinstalować powracając do wersji stabilnej. .

Czy poprzedni krok z naprawą .NET Framework nie pomaga? Nabawiłeś się infekcji w międzyczasie, tzn. adware Term Tutor. Zacznij od deinstalacji tego śmiecia via Panel sterowania, po tym zrób nowy log z FRST (zaznacz też pole Addition). .

Na początku były punkty Przywracania systemu z dnia 17 października. Niestety wybór tylko jednej daty i to już po usuwaniu oznacza zanik poprzednich punktów i niemożność naprawy defektu. Bez punktów Przywracania systemu nie jestem w stanie nic więcej zrobić, a dalsze usuwanie nie ma sensu. Windows należy przeinstalować, by naprawić wadę niesygnowanych plików. Tylko, że tu jeszcze jest problem sprzętowy: 1. Zabezpiecz / skopiuj cenne dane z tego dysku. 2. Przed formatem i reinstalacją Windows należy zdiagnozować stan dysku. Załóż temat w dziale Hardware. Zlinkuj do tego tematu, by wiedzieli jaka jest geneza oraz podaj dane wymagane działem: KLIK. Może być problem z uruchomieniem niektórych narzędzi spod Windows ze względu na usterkę sygnowania plików. .

Aktualizacja do wersji 3.4.7 oraz konwersja tabel w bazie wykonane. Jak mówiłam, aktualizacja ta to głównie niezbyt mocne zmiany pod maską, brak widocznych zmian w interfejsie czy nowych funkcji. Aktualizacja skorygowała drobniutki kosmetyczny bug zgłoszony w tym temacie. Licznik pobrań załączników obrazkowych został usunięty. Przez ostatni tydzień testowałam tę aktualizację na lustrze pod kątem edytora i nie zauważyłam żadnych nowych bugów. Niemniej trudno jest wymyślić i przetestować wszystkie możliwe scenariusze, więc jeśli zauważycie coś nowego (nie zgłoszonego dotąd w żadnym temacie), proszę o zawiadomienie.

Skoro program się wykłada, zamiast programu: w eksploratorze Windows otwórz folder C:\Windows\system32\catroot. Prawoklik na tło folderu > Właściwości > Poprzednie wersje > zaznacz na liście kopię z dnia 17.10.2014 i za pomocą opcji Kopiuj skopiuj ją na Pulpit. A dalej to jak w punktach 2 do 4 poprzedniej instrukcji.

Skoro usunąłeś już C:\FRST oraz punkty Przywracania systemu, to nie ma już żadnej kopii. Trudno. Teraz należy czekać, czy usunięcie będzie mieć jakieś skutki uboczne. Gdyby jakiś program zgłosił zażalenie kręcące się wokół "Intalatora Windows", po prostu przeinstaluj go.

Czy w ogóle cokolwiek wykonałeś z wcześniej podanych instrukcji? Przecież wszystko było wcześniej podane: