picasso

Proszę dostosuj się do zasad działu, dostarczony niekompletny zestaw obowiązkowych logów. Brakuje: FRST i GMER.

Tak, poprzednio zainfekowany router: Tcpip\Parameters: [DhcpNameServer] 94.249.207.93 8.8.8.8 ... pomyślnie zresetowany: Tcpip\Parameters: [DhcpNameServer] 8.8.8.8 8.8.4.4 W logach nie ma widocznych żadnych szkodliwych obiektów. Do wykonania jeszcze te działania: 1. Czy zabezpieczyłeś router (zmiana hasła i zablokowanie panelu zarządzania przed dostępem z internetu)? Proszę uruchom test i podaj mi wyniki: KLIK. 2. Czyszczenie bufora DNS i lokalizacji tymczasowych oraz inne drobne korekty. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: ipconfig /flushdns StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe S3 MSICDSetup; \??\H:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\H:\NTIOLib_X64.sys [X] C:\ProgramData\APN EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. .

Nowe logi są tu koniecznie, posługujesz się starym FRST: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 31-08-2014 (ATTENTION: ====> FRST version is 41 days old and could be outdated) Nie wiem skąd pobierałeś taką starą wersję. Proszę pobierz z linka podanego w przyklejonym i dostarcz nowe logi: KLIK. .

Widzę, że konto user zmieniłeś w administracyjne i pozostałe konta usunięte. Przechodzimy więc do dzieła. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-216646066-1803096982-1570814584-1000\...\Winlogon: [shell] explorer.exe "C:\Users\user\winlogon.exe" HKU\S-1-5-21-216646066-1803096982-1570814584-1000\...\Run: [Akamai NetSession Interface] => C:\Users\user\AppData\Local\Akamai\netsession_win.exe [4672920 2014-04-17] (Akamai Technologies, Inc.) HKU\S-1-5-21-216646066-1803096982-1570814584-1000\...\Run: [AdobeBridge] => [X] HKLM-x32\...\Run: [NPSStartup] => [X] IFEO\jumpflip: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe GroupPolicyUsers\S-1-5-21-216646066-1803096982-1570814584-1000\User: Group Policy restriction detected R2 Update Framed Display; C:\Program Files (x86)\Framed Display\updateFramedDisplay.exe [522488 2014-10-11] () R2 Util Framed Display; C:\Program Files (x86)\Framed Display\bin\utilFramedDisplay.exe [522488 2014-10-11] () U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) R1 {c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw64; C:\Windows\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw64.sys [61072 2014-09-09] (StdLib) R1 {c5e48979-bd7f-4cf7-9b73-2482a67a4f37}w64; C:\Windows\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}w64.sys [44688 2014-09-19] (StdLib) R1 {e9bebce7-deb3-4ab9-896c-549739f208c5}w64; C:\Windows\System32\drivers\{e9bebce7-deb3-4ab9-896c-549739f208c5}w64.sys [48792 2014-10-09] (StdLib) S1 StarOpen; C:\Windows\SysWow64\Drivers\StarOpen.sys [5632 2006-07-24] () [File not signed] S3 catchme; \??\C:\ComboFix_www.INSTALKI.pl_\catchme.sys [X] Task: {0AC4590B-B352-4466-8158-21CA9DBB24D3} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{8D0038D4-4EF0-4ABE-B35B-418BAA38AA80}.exe Task: {2B77B57E-EBB3-44F9-87FB-26B627D5031A} - System32\Tasks\{7A376CED-8B7C-4BB6-8C25-464AF64CF44D} => C:\My Games\Claw\CLAW.EXE Task: {3DD8A4E3-211A-4A13-B42C-D3F34B085B63} - System32\Tasks\{C11517B2-06FF-4E6A-A7F0-0CEE38DADFDA} => D:\Program Files (x86)\Team17\Worms Armageddon\WA.exe Task: {47470EEA-0699-4C53-A2C1-B38135A7B142} - System32\Tasks\{47A47B31-B00F-4517-90F0-84A69EEE67E6} => C:\My Games\Claw\CLAW.EXE Task: {4B40F73C-544C-4065-894F-C5CDFF669837} - System32\Tasks\{A7834056-ACD6-4046-BBEE-E5080E22A268} => Firefox.exe Task: {91C5AEE6-BCD4-47A2-9B51-2DE28632F706} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\Windows\TEMP\{74959142-5E36-4AF5-909A-26EA5E601582}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\Windows\TEMP\{74959142-5E36-4AF5-909A-26EA5E601582}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{8D0038D4-4EF0-4ABE-B35B-418BAA38AA80}.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredibar.com/?a=6PQXfBZBB7&i=26&loc=skw HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1410347460&from=cor&uid=TOSHIBAXMK3263GSXN_10H1C0W6TXX10H1C0W6T&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1410347460&from=cor&uid=TOSHIBAXMK3263GSXN_10H1C0W6TXX10H1C0W6T HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20141010 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1410347460&from=cor&uid=TOSHIBAXMK3263GSXN_10H1C0W6TXX10H1C0W6T&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20141010 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1410347460&from=cor&uid=TOSHIBAXMK3263GSXN_10H1C0W6TXX10H1C0W6T SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1410347460&from=cor&uid=TOSHIBAXMK3263GSXN_10H1C0W6TXX10H1C0W6T&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1410347460&from=cor&uid=TOSHIBAXMK3263GSXN_10H1C0W6TXX10H1C0W6T&q={searchTerms} SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=a&ver=12692&tm=342&src=ds&p={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1410347460&from=cor&uid=TOSHIBAXMK3263GSXN_10H1C0W6TXX10H1C0W6T&q={searchTerms} SearchScopes: HKLM-x32 - {487A5031-BB3D-4537-8115-770E45CE60EB} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640 SearchScopes: HKLM-x32 - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=a&ver=12692&tm=342&src=ds&p={searchTerms} SearchScopes: HKCU - DefaultScope {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/?a=6PQXfBZBB7&loc=skw&search={searchTerms}&i=26 SearchScopes: HKCU - {0D7562AE-8EF6-416d-A838-AB665251703A} URL = http://start.facemoods.com/?a=ostpl&s={searchTerms}&f=4 SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://startsear.ch/?aff=1&q={searchTerms} SearchScopes: HKCU - {8748BD03-8DCA-4147-932D-B3E49CBA4CF0} URL = http://www.google.com/search?q={sear SearchScopes: HKCU - {929592F9-790B-49EC-A796-179162DE3399} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=A6447EE4-9E42-4AA1-95B3-1FAA3AF7AF6D&apn_sauid=0D422B7A-F554-4D4E-A41C-01A1948CA1BE SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={FD94A2D7-0F40-4C2B-A34C-90D8E1873C43}&mid=cf479413431b47d0b97ba113f091afd1-b949a1d645d0559ad8272ba26ecad3d243b9ce3d&lang=pl&ds=xn011&pr=sa&d=2013-01-15 20:51:43&v=15.3.0.11&pid=avg&sg=0&sap=dsp&q={searchTerms} SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=a&ver=12692&tm=342&src=ds&p={searchTerms} SearchScopes: HKCU - {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search/web?q={searchTerms} SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640 SearchScopes: HKCU - {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/?a=6PQXfBZBB7&loc=skw&search={searchTerms}&i=26 BHO: No Name -> {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47} -> No File BHO-x32: Framed Display -> {05b5ef3f-4c6a-426e-b77e-48ebb3e721f1} -> C:\Program Files (x86)\Framed Display\FramedDisplaybho.dll (Framed Display) BHO-x32: No Name -> {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47} -> No File BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File BHO-x32: IEPluginBHO Class -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll No File Toolbar: HKLM - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKCU - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File FF HKLM\...\Firefox\Extensions: [{336D0C35-8A85-403a-B9D2-65C292C39087}] - C:\Program Files\IB Updater\Firefox FF HKLM\...\Firefox\Extensions: [{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}] - C:\Program Files\IB Updater\Firefox FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files (x86)\T-Mobile\InternetManager_Z\Bin\addon FF HKLM-x32\...\Firefox\Extensions: [{336D0C35-8A85-403a-B9D2-65C292C39087}] - C:\Program Files\IB Updater\Firefox FF HKLM-x32\...\Firefox\Extensions: [{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}] - C:\Program Files\IB Updater\Firefox FF HKLM-x32\...\Firefox\Extensions: [{C7AE725D-FA5C-4027-BB4C-787EF9F8248A}] - C:\Program Files (x86)\RelevantKnowledge\firefox FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\user2\AppData\Roaming\Mozilla\Firefox\Profiles\8lbk2hod.default\extensions\faststartff@gmail.com FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\avg-secure-search.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\default-search.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\sweet-page.xml C:\Program Files\IB Updater C:\Program Files (x86)\Google C:\Program Files (x86)\McAfee Security Scan C:\Program Files (x86)\Mozilla Firefoxavg-secure-search.xml C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\PennyBee C:\Program Files (x86)\RelevantKnowledge C:\Program Files (x86)\StartSearch plugin C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Pontifex Demo C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge C:\ProgramData\TEMP C:\Users\user\install_flash_player.exe C:\Users\user\uidsave.dat C:\Users\user\AppData\Local\Google C:\Users\user\AppData\Roaming\Systweak C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Qsoft C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Picasa 3.lnk C:\Windows\msdownld.tmp C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP C:\Windows\pss\McAfee Security Scan Plus.lnk C:\Windows\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw64.sys C:\Windows\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}w64.sys C:\Windows\System32\drivers\{e9bebce7-deb3-4ab9-896c-549739f208c5}w64.sys C:\Windows\SysWow64\Drivers\StarOpen.sys RemoveDirectory: C:\Users\user2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 CMD: sc config "Internet Manager. RunOuc" start= demand CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\Users\user\AppData\Local CMD: dir /a C:\Users\user\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany, problem z uruchamianiem Pulpitu powinien ustąpić. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware Framed Display, wątpliwy program SpyHunter oraz zbędny Akamai NetSession Interface. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie potem przeinstalować. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Zapomniałam napisać, by skasować jeszcze FRST z D:\Downloads. Log C:\DelDix.txt też do śmieci. Temat rozwiązany. Zamykam.

Czy wykonałeś ten test routera, który dodałam w pierszym punkcie? A skrypt pomyślnie wykonany i na zakończenie: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Prywracania systemu: KLIK. 3. Odinstaluj starą wtyczkę Internet Explorer: Adobe Flash Player 10 ActiveX. .

Wygląda na to, iż router został wyczyszczony. Obecnie są z niego pobierane adresy Google: Tcpip\Parameters: [DhcpNameServer] 8.8.8.8 8.8.4.4 1. Na wszelki wypadek uruchom ten test: KLIK. 2. I wykonaj działania kosmetyczne. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 NTIOLib_1_0_4; \??\C:\Program Files (x86)\MSI\Live Update\NTIOLib_X64.sys [X] S3 NTIOLib_MSISMB_CC; \??\C:\Program Files (x86)\MSI\ControlCenter\Sleep\NTIOLib_X64.sys [X] RemoveDirectory: C:\AdwCleaner CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten log. .

To nie jest czyste Google, tylko wyszukiwarka partnerska (w zakolorowanym fragmencie ID partnera): SearchScopes: HKCU - {CB3DA99F-EF9F-4969-99B0-F94383A2903D} URL = hxxp://www.google.com/cse?cx=partner-pub-3794288947762788%3A6976579318&ie=UTF-8&q=&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A6976579318&q={searchTerms} Wklej w przeglądarkę adres hxxps://www.google.com/cse/home?cx=partner-pub-3794288947762788:6976579318&ie= i zobaczysz co to za wyszukiwarka. A tu domyślną ustawioną wyszukiwarką i tak jest sytemowy Bing, powyższa nie jest aktywna. .

OK, to teraz mi na wszelki wypadek zrób jeszcze nowy log z FRST (bez Addition i Shortcut).

Alexsandra, proszę przeczyaj zasady działu: KLIK. Dostarcz obowiązkowe raporty z FRST i GMER. Jeśli chodzi o ComboFix, to na przyszłość dlaczego nie powinno się go uruchamiać na własną rękę w domu: KLIK. Log narzędzia już zostaw, by było wiadome co robił. .

Jeśli FRST jest blokowany przez program zabezpieczający, tymczasowo wyłącz rezydenta i dostarcz wymagane logi. OTL jest jednak już za stary i nie skanuje określonych miejsc. Też tak sądzę, iż to router był przyczyną. Jeśli chodzi o smartfon, niestety brak narzędzi typu używanego na PC do zrobienia raportów. Jeśli jest tam jakaś infekcja na poziomie smartfona, to nie przychodzi mi nic innego do głowy niż: wyjęcie karty SD, reset do ustawień fabrycznych. .

System nie jest zainfekowany, za to router tak: Tcpip\Parameters: [DhcpNameServer] 94.249.207.93 8.8.8.8 Co dopiero taki temat na forum był z identycznym szkodliwym adresem IP 94.249.207.93: KLIK. Wykonaj te same działania. Po tym zresetuj system i zrób nowy log FRST (bez Addition i Shortcut). .

Defekt na wielu urządzeniach w tym samym czasie definitywnie wskazuje na infekcję routera. Brak skutków po jego wymianie mógł mieć następujące przyczyny: nieopróżniony bufor DNS lub rzeczywiście cache przeglądarek. W podanych raportach brak oznak infekcji. Tylko kosmetyczne działania na wpisy odpadkowe do przeprowadzenia, z tym że są dwa czynne sterowniki po odinstalowanym PC Tools i zanim je usunę muszę sprawdzić czy przypadkiem nie filtrują któregoś urządzenia, w przeciwnym wypadku ich usunięcie odetnie do czegoś dostęp. Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: BootExecute: autocheck autochk * sdnclean64.exe ProxyServer: localhost:8080 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM-x32 - DefaultScope value is missing. SearchScopes: HKCU - {CB3DA99F-EF9F-4969-99B0-F94383A2903D} URL = http://www.google.com/cse?cx=partner-pub-3794288947762788%3A6976579318&ie=UTF-8&q=&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A6976579318&q={searchTerms} FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird S3 cpuz135; \??\C:\Users\boys\AppData\Local\Temp\cpuz135\cpuz135_x64.sys [X] S3 FreshIO; \??\C:\Program Files (x86)\FreshDevices\FreshDiagnose\FreshIO.sys [X] Task: C:\Windows\Tasks\ROC_REG_JAN_DELETE.job => C:\ProgramData\AVG January 2013 Campaign\ROC.exe C:\ProgramData\TEMP DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\.EsetTrialReset DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AVG_UI DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SmartViewAgent EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Uruchom FRST, w polu Search wklej pctDS;pctEFA, klik w Search Registry i dostarcz wynikowy Search.txt. .

Z poziomu płyty DVD w module "Napraw komputer" spróbuj Przywracania systemu. W systemie są dostępne następujące punkty (czasy mogą być przekłamane): ==================== Restore Points ========================= Restore point made on: 2014-09-16 10:02:04 Restore point made on: 2014-09-21 18:09:22 Restore point made on: 2014-09-24 08:07:01 Restore point made on: 2014-09-30 08:25:52 Restore point made on: 2014-10-01 12:36:53 Restore point made on: 2014-10-09 16:52:16 Restore point made on: 2014-10-09 16:58:16 Restore point made on: 2014-10-09 22:30:41 Restore point made on: 2014-10-09 22:34:29 Wybierz z dziś ten punkt Przywracania, który pochodzi już po czyszczeniu systemu, ale przed niespodziewaną awarią.

- Nie musisz usuwać kont, jeśli nadal z nich korzystasz. Po prostu zaloguj każde po kolei i na każdym zrób osobne logi FRST (pola Addition i Shortcut mają być zaznaczone, by powstały trzy logi). To jest potrzebne po to, by sprawdzić z osobna co się ładuje na każdym z kont oraz osobne profile przeglądarek. Oczywiście, jeśli konta są zbędne, to pozbyć się ich możesz. - "Logi pochodzą z konta limitowanego" = zrobione z poziomu konta "user", który nie ma uprawnień administracyjnych. Na kontach limitowanych nie uruchamiaj FRST opcją "Uruchom jako Administrator", gdyż to zmieni kontekst zalogowanego konta. Po prostu uruchomienie przez dwuklik. PS. Jutro cały dzień mnie nie ma, więc jakbyś mógł zdążyć z tymi raportami dziś lub jutro bardzo wcześnie rano przed 9. W przeciwnym wypadku chyba dopiero jutro późną nocą odpowiem.

W raporcie nie widzę nic co może powodować ten błąd, jedynie widać, iż jedną z ostatnich akcji rzeczywiście była instalacja Java i nic poza tym. Spróbuj "Ostatniej poprawnej konfiguracji". Jaki błąd?

Poproszę o nowy log FRST (bez Addition i Shortcut), który ma udowodnić zmianę DNS. Na wszelki wypadek uruchom też ten test: KLIK.

Po pierwsze: to nie jest narzędzie do aktualizacji, tylko do naprawy błędów i uszkodzonych komponentów które m.in. uniemożliwiają aktualizacje, w tym przypadku nie chodzi mi wcale o aktualizacje. Po drugie: nieoryginalny system nie uniemożliwia wykonania aktualizacji z Windows Update. .

Nie wygląda na to, że wykonałeś wszystko. Nie ma żadnych oznak wykonania tego: Profil Firefox (zanieczyszczony RockTuner) nadal ten sam, a po resecie zmienia się: FF ProfilePath: C:\Users\Mati\AppData\Roaming\Mozilla\Firefox\Profiles\dmzewxk5.default Powtarzaj zadanie, po tym zrób nowy log FRST. .

Jeśli chodzi o Twój model routera, to jest w radarze infekcji: KLIK. Czy wykonałeś także i ten krok: Porównaj z tymi artykułami: KLIK, KLIK.

Format był niepotrzebny i teraz już rozumiem dlaczego nic nie wskórał. W raportach brak oznak infekcji po stronie systemu. Tu jest infekcja routera i infekcję dziedziczyć będzie każde urządzenie rozdzielane za jego pomocą: Tcpip\Parameters: [DhcpNameServer] 94.249.207.93 8.8.8.8 Pierwszy adres IP wg Whois jest niemiecki: KLIK. Drugi od Google jest OK. Wg IP pod którym zaś widzę Cię na forum jesteś z polskiej Netii. Czyli należy zalogować się do routera, zresetować ustawienia DNS oraz zabezpieczyć dostęp do routera (zmienić login + zablokować dostęp do panelu zarządzania via Internet). Po usunięciu infekcji sieciowej zajmę się drobnymi odpadkami adware w Google Chrome. .

Fix wykonany. Możemy kończyć: 1. Odinstaluj USBFix. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Do aktualizacji te pozycje: Internet Explorer Version 9 ==================== Installed Programs ====================== Adobe Shockwave Player 12.0 (HKLM-x32\...\Adobe Shockwave Player) (Version: 12.0.3.133 - Adobe Systems, Inc.) FileZilla Client 3.7.3 (HKLM-x32\...\FileZilla Client) (Version: 3.7.3 - Tim Kosse) .

Dostarcz log FRST z poziomu środowiska WinRE: KLIK.

Na dyskach są nadal pliki Sality. Kolejna poprawka. Otwórz Notatnik i wklej w nim: D:\hpgdwl.exe E:\eiusao.exe E:\gcls.exe RemoveDirectory: C:\RECYCLER RemoveDirectory: D:\RECYCLER RemoveDirectory: E:\RECYCLER Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Wejdź do dzienników Avast i wyszukaj ten wynik. Po samej nazwie nic nie można stwierdzić, poza tym że "PUP" ogólnie to "Potentially Unwanted Program".