picasso

Mimo wszystko proszę odinstaluj teraz Norton Internet Security całkowicie i sprawdź co się stanie. Nie ponawiaj też próby jego instalacji dopóki nie zaktualizujesz całego Windows. Aktualizacja może wnieść coś do sprawy.

Nie rozumiem dlaczego to występuje po uruchomieniu skryptu, w nim nie ma nic związanego z tym obszarem. Błąd STOP: c000021a {Fatal System Error} jest związany głównie z niepoprawnymi plikami systemowymi... Rozumiem, że znów poszło w ruch Przywracania systemu, tylko nie wiem do którego punktu w czasie, więc przedstaw nowy raport FRST spod Windows.

Wszystko zrobione. Kroki końcowe: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu foldery typu "logi...". Popraw za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. .

To nie wygląda na problem infekcji. W wynikach skanu Nortona tylko drobne ciasteczka pojawiające się po odwiedzinach określonych stron z reklamami. Czyli przed instalacją Norton Internet Security występował ten konkretny problem: "komputer chodzi wolniej i kliknięcie myszką w celu uruchomienia przeglądarki czy otworzenia folderu nie działa"? I powiedz mi dlaczego logi są zrobione z poziomu Trybu awaryjnego, czyżby w nim problemy nie występowały? Jeśli tak, to Norton jest jak najbardziej podejrzany (nie ładuje się w awaryjnym). Ponadto zacznij od aktualizacji całego Windows, bo jest tu golusieński system, brak SP1, IE11 i reszty łat: Platform: Windows 7 Professional (X64) OS Language: Polski (Polska) Internet Explorer Version 8 Skoro wszystkie urządzenia były dotknięte, to była to infekcja routera a nie systemu. Format jej nie usuwa, bo infekcja nie jest na dysku tylko w całkiem innym urządzeniu zewnętrznym (router). Obecnie w Twoim raporcie FRST brak oznak infekcji routera: Tcpip\Parameters: [DhcpNameServer] 192.168.2.1 .

Potwierdzam wykonanie zadania. Plik C:\DelFix.txt też możesz skasować z dysku. Temat rozwiązany. Zamykam.

Chodziło tylko o nowe logi FRST, resztę usuwam, gdyż jest już w pierwszym poście. Jeśli chodzi o ustawienia DNS, to router ma poprawne ustawienia (wartość DhcpNameServer), a to co zmieniałeś to DNS poziomu Windows a nie routera: Tcpip\Parameters: [DhcpNameServer] 192.168.1.1 Tcpip\..\Interfaces\{F95EBF9B-A47D-46D1-B2AD-4FACBF007B9F}: [NameServer] 8.8.8.8,8.8.4.4 W raportach brak oznak infekcji. Wykonaj jeszcze te działania: 1. Na wszelki wypadek uruchom ten test i podaj wyniki: KLIK. 2. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres adware delta-search.com. 3. Czyszczenie lokalizacji tymczasowych, bufora DNS i inne poprawki. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: ipconfig /flushdns CMD: del /q C:\Windows\SysWOW64\sqlite3.dll HKLM-x32\...\Run: [] => [X] Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Filter: text/xml - {807553E5-5146-11D5-A672-00B0D022E945} - No File FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKCU\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Przedstaw wynikowy fixlog.txt. .

DDS nie jest obowiązkowym logiem (usuwam), brak za to GMER. Oznak infekcji brak. Temat pewnie przeniosę do działu Windows. SpyHunter to program wątpliwej reputacji i był na czarnej liście, który stosuje reklamodawstwo, by przekonać do instalacji, po czym się okazuje, że usuwanie jest płatne. Pozbyć się go z systemu. Jego odczytów kompletnie nie biorę pod uwagę. Natomiast jeśli Norton coś wykrywa, to przeklej z jego dzienników co wykrywa (dokładną ścieżkę dostępu). I jeśli po formacie nadal jest ten problem, to może Norton Internet Security jest przyczyną. Lub jest zupełnie inny problem np. sprzętowy. .

Nie, te adresy nie powinny być zamienione na adresy Google. Wszystko jest OK i ponowne przeprowadzenie testu online powinno pokazać, iż router jest zabezpieczony. Na koniec: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK.

Czy ponowienie próby skutkuje tym samym efektem? Jeśli tak, to być może należy zaktualizować firmware urządzenia lub skontaktować się z pomocą techniczną dostawcy.

Użycie Przywracania systemu oczywiście znów odkręciło działanie skryptu. On ma być ponownie zastosowany, by dokończyć czyszczenie. Czy to się ponownie wydarzyło? Jeśli tak, to może są źle pobrane komponenty kóre próbują się w kółko instalować. Zresetuj Windows Update poprzez zmianę nazwy folderu C:\Windows\SoftwareDistribution z poziomu Trybu awaryjnego. .

Akcje wykonane, czyli kończymy: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK.

Fix wykonany pomyślnie. Natomiast tego nie możemy zostawić, bo infekcja może powrócić: Co to za model urządzenia oraz jakie opcje przestawiałeś (dokładny rozpis w których zakładkach)? Czy hasło zmieniłeś? A jeśli rzeczywiście nic się nie da wskórać, to zostaje dostosowanie się do komunikatu, tzn. "skontaktuj się z producentem/dystrybutorem modemu". .

W nowych raportach FRST brak oznak czynnej infekcji, więc to nie ona jest przyczyną problemów z siecią. O ile to rzeczywiście problem po stronie oprogramowania: 1. Nasuwa się tu inny podejrzany, czyli Norton Internet Security. Na próbę odinstaluj. Po deinstalacji popraw na wszelki wypadek za pomocą Norton Removal Tool. 2. W Dzienniku zdarzeń są też notowane błędy relatywne do opgramowania TP-LINK Wireless: System errors: ============= Error: (10/12/2014 07:54:26 AM) (Source: Microsoft-Windows-WLAN-AutoConfig) (EventID: 10000) (User: ZARZĄDZANIE NT) Description: Uruchomienie modułu rozszerzalności sieci WLAN nie powiodło się. Ścieżka modułu: C:\Windows\system32\athExt.dll Kod błędu: 126 One sugerują reinstalację tego oprogramowania. Należy doczyścić szczątki adware i odinstalowanego Firefoxa oraz inne puste wpisy: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=128 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 - DefaultScope value is missing. CHR HKLM-x32\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Users\Mikołaj\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [2014-03-16] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction S2 Update PacFunction; "C:\Program Files (x86)\PacFunction\updatePacFunction.exe" [X] Task: {34365492-05ED-4EF6-B1E3-67A330E0CA2A} - \Torntv V9.0-updater No Task File Task: {54CD4D0B-8716-4E18-9154-433BB38E07EA} - System32\Tasks\{0E5B20B6-A149-4925-9D5C-14332C1EA78B} => Chrome.exe http://ui.skype.com/ui/0/6.5.0.158/en/abandoninstall?page=tsMain Task: {76714ED3-4E04-4997-8AE6-6ACD2FAAA87B} - \Torntv V9.0-chromeinstaller No Task File Task: {90B620CC-0B22-4554-A8B2-264E5F954DA2} - System32\Tasks\{61338BDD-E75D-499E-9569-A68C2A2601D1} => Chrome.exe http://ui.skype.com/ui/0/6.7.0.102/en/abandoninstall?page=tsMain Task: {A577FF09-47C7-4ECD-8238-DF022A888990} - \Torntv V9.0-firefoxinstaller No Task File Task: {B018F981-ACCA-4D4B-8CC0-757E6F94C15C} - \Torntv V9.0-codedownloader No Task File Task: {CABA015D-3C72-4BC1-9B50-AD09525DA328} - \DSite No Task File Task: {EF70278F-3E55-41ED-B920-A5A75E4C6528} - \Torntv V9.0-enabler No Task File C:\Program Files (x86)\Mozilla Firefox C:\Users\Mikołaj\AppData\Local\Mozilla C:\Users\Mikołaj\AppData\Roaming\Mozilla DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Specjalny skrór Internet Explorer jest uszkodzony: Shortcut: C:\Users\Mikołaj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Mikołaj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Logi proszę umieść w nowej odpowiedzi, nie edytuj już pierwszego posta wstecz. .

Kwarantannę Avast możesz oczywiście usunąć, ale to nie będzie mieć innych skutków niż "kosmetyczne". Wszystko zrobione, problemy naprawione. Na zakończenie: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. .

Brakuje trzeciego pliku FRST Shortcut oraz GMER. W podanych tu raportach brak oznak infekcji. Temat przenoszę do działu Windows. Tylko drobna kosmetyka na puste wpisy: CloseProcesses: Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2441937318-2594584175-3204281650-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-2441937318-2594584175-3204281650-1000\...\Policies\Explorer: [] FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKCU\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Pokaż wynikowy fixlog.txt. Mało precyzyjny opis. Wstępnie: 1. W Dzienniku zdarzeń są błędy usług AutoCAD i nVidia: System errors: ============= Error: (10/10/2014 11:00:35 AM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa Autodesk Content Service zawiesiła się podczas uruchamiania. Application errors: ================== Error: (10/10/2014 11:01:08 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: NvBackend.exe, wersja: 10.11.15.0, sygnatura czasowa: 0x52a6776c Nazwa modułu powodującego błąd: nvspcap.dll_unloaded, wersja: 0.0.0.0, sygnatura czasowa: 0x52a67618 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x100be510 Identyfikator procesu powodującego błąd: 0xba8 Godzina uruchomienia aplikacji powodującej błąd: 0xNvBackend.exe0 Ścieżka aplikacji powodującej błąd: NvBackend.exe1 Ścieżka modułu powodującego błąd: NvBackend.exe2 Identyfikator raportu: NvBackend.exe3 Error: (10/10/2014 11:00:35 AM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcNvVAD initialization failed [6] Error: (10/10/2014 11:00:35 AM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0] Uruchom Autoruns i w karcie Services odznacz pozycje: Autodesk Content Service, NvNetworkService, NvStreamSvc, przy okazji też SwitchBoard. Application errors: ================== Error: (10/10/2014 07:43:06 PM) (Source: WinMgmt) (EventID: 10) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Dodatkowo, choć to nie ma żadnego wpływu na wydajność, napraw powyższy błąd WMI uruchamiając narzędzie Fix-it: KLIK. 2. W Autoruns w karcie Logon możesz wyłączyć więcej zbędnych wpisów: HKLM\...\Run: [AdobeAAMUpdater-1.0] => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [444904 2012-09-20] (Adobe Systems Incorporated) HKLM-x32\...\Run: [switchBoard] => C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [517096 2010-02-19] (Adobe Systems Incorporated) HKLM-x32\...\Run: [AdobeCS5.5ServiceManager] => C:\Program Files (x86)\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe [1523360 2011-01-12] (Adobe Systems Incorporated) HKLM-x32\...\Run: [hpqSRMon] => C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSRMon.exe [150528 2008-07-22] (Hewlett-Packard) HKLM-x32\...\Run: [Acrobat Assistant 8.0] => C:\Program Files (x86)\Adobe\Acrobat 11.0\Acrobat\Acrotray.exe [3477640 2012-09-23] (Adobe Systems Inc.) HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959176 2014-08-21] (Adobe Systems Incorporated) HKLM-x32\...\Run: [KiesTrayAgent] => C:\Program Files (x86)\Samsung\Kies\KiesTrayAgent.exe [311152 2013-04-23] (Samsung Electronics Co., Ltd.) HKU\S-1-5-21-2441937318-2594584175-3204281650-1000\...\Run: [DAEMON Tools Lite] => C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe [3675352 2013-10-28] (Disc Soft Ltd) HKU\S-1-5-21-2441937318-2594584175-3204281650-1000\...\Run: [GoogleDriveSync] => C:\Program Files (x86)\Google\Drive\googledrivesync.exe [22734160 2014-08-08] (Google) HKU\S-1-5-21-2441937318-2594584175-3204281650-1000\...\Run: [Google Update] => C:\Users\Seba\AppData\Local\Google\Update\GoogleUpdate.exe [116648 2014-02-19] (Google Inc.) HKU\S-1-5-21-2441937318-2594584175-3204281650-1000\...\Run: [KiesPreload] => C:\Program Files (x86)\Samsung\Kies\Kies.exe [1561968 2013-04-23] (Samsung) HKU\S-1-5-21-2441937318-2594584175-3204281650-1000\...\Run: [KiesAirMessage] => C:\Program Files (x86)\Samsung\Kies\KiesAirMessage.exe -startup HKU\S-1-5-21-2441937318-2594584175-3204281650-1000\...\Run: [] => C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe [844144 2013-04-23] (Samsung) HKU\S-1-5-21-2441937318-2594584175-3204281650-1000\...\Run: [GoogleChromeAutoLaunch_A3AE2B88709917E29C176A59EC07D358] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [852808 2014-09-23] (Google Inc.) HKU\S-1-5-18\...\Run: [Autodesk Sync] => C:\Program Files\Autodesk\Autodesk Sync\AdSync.exe [1081224 2013-02-05] (Autodesk, Inc.) Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk Po operacjach w Autoruns zresetuj system i sprawdź czy jest jakaś poprawa. 3. Jeśli deaktywacje w Autoruns nie przyniosą skutków, do sprawdzenia tymczasowa deinstalacja Avast. .

Istotnie, brak tu oznak infekcji. Na tym konkretnym komputerze do wykonania tylko akcje kosmetyczne: 1. Odinstaluj zbędny McAfee Security Scan Plus. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Run: [] => [X] S3 gdrv; \??\C:\WINDOWS\gdrv.sys [X] FF Plugin: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> C:\Program Files\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Program Files\mozilla firefox\plugins C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Przedstaw wynkowy fixlog.txt. A po tym: 2. Usuń używane skanery z F:\tools i popraw DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. .

Zajmijmy się tymi drobnymi odpadkami adware w Google Chrome + dodatkowe akcje: 1. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware Quick start Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres istartsurf.com Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: C:\Windows\system32\netcfg-*.txt CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

To wszystko widać w raportach. Było: Platform: Windows 8 (X64) OS Language: Polski (Polska) Internet Explorer Version 10 Obecnie: Platform: Windows 8.1 (X64) OS Language: Polski (Polska) Internet Explorer Version 11 ==================== One Month Created Files and Folders ======== 2014-10-11 00:37 - 2014-10-11 00:37 - 00000000 ____D () C:\Windows.old + inne modyfikacje na dysku I są wymagane poprawki. Po deinstalacji McAfee ostały się odpadki, ponadto w Google Chrome są rozszerzenia, które nie wyglądają na sprawne (brak odczytu nazwy). Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Run: [HotKeysCmds] => C:\Windows\system32\hkcmd.exe HKLM\...\Run: [Persistence] => C:\Windows\system32\igfxpers.exe HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey SearchScopes: HKCU - {A2AC704F-665E-47D8-8821-53B5662B197E} URL = FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll (Microsoft Corporation) RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\ProgramData\Norton RemoveDirectory: C:\Users\Default\AppData\Local\Pokki RemoveDirectory: C:\Users\Default User\AppData\Local\Pokki RemoveDirectory: C:\Users\mrukk\AppData\Local\Google\Chrome\User Data\Default\Extensions\aiicmmpkicnndkhlnnloilpgncbpkbjj RemoveDirectory: C:\Users\mrukk\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho RemoveDirectory: C:\Users\mrukk\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom RemoveDirectory: C:\Users\mrukk\Desktop\FRST-OlderVersion CMD: del /q C:\WINDOWS\SysWOW64\sqlite3.dll EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Wszystko wykonane. Finalizacja tematu: 1. Z poziomu konta administracyjnego usuń folder D:\Logi\FRST. Popraw za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. To tyle.

Wszystko gładko przetworzone. Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: netsh advfirewall reset C:\Program Files\Alwil Software C:\Program Files\Enigma Software Group C:\Program Files\Google C:\Program Files (x86)\Conduit C:\Program Files (x86)\DAEMON Tools Toolbar C:\Program Files (x86)\Framed Display C:\Program Files (x86)\McAfee C:\Program Files (x86)\Opera C:\Program Files (x86)\Settings Manager C:\Program Files (x86)\SiteLookup C:\Program Files (x86)\Temp C:\Users\user\AppData\Local\Optimizer.txt C:\Users\user\AppData\Local\Temp*.html C:\Users\user\AppData\Local\Akamai C:\Users\user\AppData\Local\cache C:\Users\user\AppData\Local\OpenCandy C:\Users\user\AppData\Local\Opera Software C:\Users\user\AppData\Roaming\OpenCandy C:\Users\user\AppData\Roaming\Opera Software C:\Users\user\AppData\Roaming\TuneUp Software RemoveDirectory: C:\Users\user\Desktop\Stare dane programu Firefox DeleteKey: HKLM\SOFTWARE\Google EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie kolejny plik fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Przedstaw logi fixlog.txt i z AdwCleaner. .

Przywracanie systemu odkręciło akcję z posta numer #4. Powtórz skrypt FRST z naniesieniem określonych poprawek: CloseProcesses: CMD: for /d %f in (C:\Users\USER\AppData\Local\{*}) do rd /s /q "%f" HKLM-x32\...\Run: [RemoveNetPanel] => C:\Program Files\NetPanel\\Remove.exe [1697776 2014-09-18] (Gemius) BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\Program Files\NetPanel RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Users\USER\AppData\Roaming\Mozilla DeleteQuarantine: EmptyTemp: .

Zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Nie mam żadnych podstaw, by podejrzewać infekcję. Nic na nią nie wskazuje. A jeśli chodzi o przeglądarkę Opera 12.17, to jej zawartość i tak jest tu nieznana, gdyż żadne z narzędzi tu używanych jej nie skanuje. Jednakże wątpię, by chodziło tu o poziom przeglądarki. W tle jest także uruchomione Google Chrome, w którym brak podejrzanych obiektów. Temat moim zdaniem nie jest związany z infekcją i kwalifikuje się do działu Sieci. Przenoszę, dostarcz dane orientowane pod ten dział: KLIK. Na wszelki wypadek upewnij się też, że problemów nie tworzy określone oprogramowanie: - uTorrent: wyłącz z Autostartu i zresetuj system. Klienty torrent tworzą ogromną ilość połączeń (nie identyfikować z ilością pobrań), co może na określonych konfiguracjach (specyficzny sprzęt, stare sterowniki sieciowe, parametry łącza) prowadzić do zatykania komunikacji sieciowej. - Avast: w ramach testu odinstaluj, by wykluczyć wpływ jego osłon na działalność sieci.

Logi z DDS nie są obowiązkowe, usuwam. Brakuje za to GMER. Używałeś też ComboFix, a brak wzmianek o tym. Na dysku jest jego log C:\ComboFix.txt - przedstaw go. Dostarcz również logi z folderu C:\AdwCleaner. Dostarcz zrzut ekranu pokazujący te reklamy. W raportach nic oczywistego związanego z tym. Pomijając stare przekierowania Babylon w Google Chrome, są tu następujące rozszerzenia zamontowane: Chrome: ======= CHR HomePage: Default -> hxxp://search.babylon.com/?affID=112555&tt=4512_1&babsrc=HP_ss&mntrId=c43edba400000000000070f1a10c42de CHR StartupUrls: Default -> "hxxp://search.babylon.com/?affID=112555&tt=4512_1&babsrc=HP_ss&mntrId=c43edba400000000000070f1a10c42de" CHR Extension: (Prezentacje Google) - C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2014-10-05] CHR Extension: (RapidShare DownloadHelper) - C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Extensions\afpbkpjjkfakdcakapanjoeijlphieei [2014-09-06] CHR Extension: (Dokumenty Google) - C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-10-05] CHR Extension: (Dysk Google) - C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2014-10-05] CHR Extension: (YouTube) - C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2014-10-05] CHR Extension: (Tiles) - C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Extensions\bpjknlfokkbpdhafbdccnndgchglnfhj [2014-09-06] CHR Extension: (Szukaj w Google) - C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2014-10-05] CHR Extension: (Arkusze Google) - C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2014-10-05] CHR Extension: (Adblock Super) - C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Extensions\knebimhcckndhiglamoabbnifdkijidd [2014-09-06] CHR Extension: (Real Madrid Theme) - C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdaccghdncekgcpeiomoaldbbjhpglia [2014-10-05] CHR Extension: (Google Wallet) - C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-09-06] CHR Extension: (Gmail) - C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2014-10-05] Podejrzenia budzi "RapidShare DownloadHelper" - nie ma go w oficjalnym sklepie Google Chrome, a obecnie to jeden z wyznaczników autoryzacji (rozszerzenia spoza sklepu są blokowane). Wstępnie: 1. Na początek deinstalacje: - Przez Panel sterowania odinstaluj starą wersję Java™ 6 Update 29 oraz nadwyżkę antywirusów - proponuję pozbyć się Microsoft Security Essentials. - Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis ArcaVir x64 Prerequistes > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => No File HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=AV01 HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkID=226786&Mkt=pl-PL&Src=MSE&Tid=00002D7A&OHP=http%3A%2F%2Fdomredi.com%2F1%2F&OSP=http%3A%2F%2Fwww.google.com%2Fsearch%3Fq%3D{searchTerms}%26rls%3Dcom.microsoft%3A{language}%3A{referrer%3Asource%3F}%26ie%3D{inputEncoding}%26oe%3D{outputEncoding}%26sourceid%3Die7%26rlz%3D1I7TSEH_plPL397PL397 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=AV01 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Bar = http://www.msn.com/?pc=AV01 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM-x32 - {513350EB-0065-4CAC-A7BA-2B87F87F57AE} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033 SearchScopes: HKLM-x32 - {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKCU - {11BEB82F-DAE2-40DF-8E4B-8F8825E74D3B} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&type=937811&p={searchTerms} SearchScopes: HKCU - {513350EB-0065-4CAC-A7BA-2B87F87F57AE} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033 SearchScopes: HKCU - {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKCU - {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE BHO: TinyBHO Class -> {00e71626-0bef-11dc-8314-0864264c9a64} -> C:\Users\michal\AppData\Roaming\DownloaderGold\ieplug.dll () BHO-x32: TinyBHO Class -> {00e71626-0bef-11dc-8314-0800200c9a66} -> C:\Users\michal\AppData\Roaming\DownloaderGold\ieplug.dll () BHO-x32: No Name -> {78F3A78C-DFF0-BB26-3802-C5689ACFE07E} -> No File BHO-x32: BetTerrPriCeCheuc -> {9EC7F5CB-3A98-9475-FC4C-4010C29429CA} -> C:\ProgramData\BetTerrPriCeCheuc\xd.dll No File Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File CHR HKLM\SOFTWARE\Policies\Google: Policy restriction Task: {6C5973AD-5634-4571-97D3-3F7A6638AF87} - \InstallerTracingAgent No Task File Task: {767DF1A5-2A27-40FD-94DA-C8AFE4FD282C} - System32\Tasks\TuneUpUtilities_Task_BkGndMaintenance => C:\Program Files (x86)\TuneUp Utilities 2010\OneClick.exe Task: {E3DC0FE0-419F-4C76-8814-99B8D5BAE1F1} - \ALL Update No Task File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 RSUSBSTOR; System32\Drivers\RtsUStor.sys [X] S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X] S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X] C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\AVAST Software C:\ProgramData\TEMP C:\Users\michal\AppData\Local\Mozilla C:\Users\michal\AppData\Roaming\DownloaderGold C:\Users\michal\AppData\Roaming\Mozilla C:\Users\michal\Downloads\yet_another_cleaner_avae.exe DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{1C52B8B6-FFA2-12F6-0A5A-E8301F96A568} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4}_is1 CMD: for /d %f in (C:\Users\michal\AppData\Local\{*}) do rd /s /q "%f" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj podejrzany RapidShare DownloadHelper Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale wszystkie rozszerzenia zostaną wyłączone. Włącz je ponownie. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i pozostałe wcześniej wspominane. Wypowiedz się czy są jakieś zmiany. .

W raportach brak oznak infekcji, ComboFix także nic nie usuwał. Zgłaszana infekcja może działać na poziomie cache przeglądarki, wyczyszczenie cache redukuje problem. Infekcja ta w ostatnich dniach jest też wynikiem infekcji routera. U Ciebie jednak stoją poprawne polskie adresy IP pobierane z routera: Tcpip\Parameters: [DhcpNameServer] 153.19.208.142 153.19.250.100 153.19.208.141 Na wszelki wypadek uruchom ten test i podaj mi wyniki: KLIK. .

Skoro MBAM zainstalował się poprawnie, na wszelki wypadek wykonaj za jego pomocą pełny skan systemu. W przypadku wykrycia czegoś dostarcz wynikowy raport.