picasso

Fix wykonany pomyślnie. Nie wiem skąd te efekty (w Fix nic powiązanego), ani czy dobrze rozumiem: STOP: c000021a pokazuje się cały czas i nie możesz wejść do Windows? Rozwiń też wątek "Nie działa tryb awaryjny" = czyli jak to się objawia?

Coś mi tu się nie zgadza. Jeśli format nie pomógł, to albo jest jakieś niedomówienie w opisie (np. czy nie kopiowałeś żadnych danych sprzed formatu na nowy system?), albo jest tu ransomware inicjowane z MBR dysku. To nie powinna być infekcja tego typu, tzn. przemieszająca się via pendrive. Ponadto, możesz zrobić log FRST z poziomu zewnętrzego środowiska WinRE: KLIK. .

Logi częściowo uzupełnione. Jednak instrukcja tworzenia raportu FRST wyraźnie wskazuje, że mają powstać trzy, brakuje jeszcze Addition i Shortcut. W systemie działa infekcja uruchamiana jako Shell bieżącego użytkownika, stąd kłopoty z właściwym załadowaniem Pulpitu. Oprócz tego i śmietnisko adware. Ale nie mam kompletnych danych. Są tu aż trzy konta i logi pochodzą z konta limitowanego: Ran by user (ATTENTION: The logged in user is not administrator) on USER-TOSH on 10-10-2014 12:09:07 Running from C:\Users\user\Desktop Loaded Profiles: user & user2 (Available profiles: user & user2 & Beatka) Logi z FRST muszą być zrobione z poziomu każdego konta z osobna: po kolei z user, user2 i Beatka. Wyloguj się kompletnie poprzez reset systemu (nie używaj opcji "Przełącz użytkownika..." lub "Wyloguj..." z powrotem na ekran powitalny), zaloguj na wybrane konto i zrób logi FRST. Restart systemu, logowanie na kolejne konto i to samo. I tak aż pozyskam logi z trzech kont. .

Czyli w Temp. I Avast nic nie powinien już znajdować po wykonaniu pierwszego skryptu FRST - komenda EmptyTemp: dedykuje ten obszar. Zadania na koncie Patryk wykonane, jeszcze podaj fixlog.txt z konta Patryk1.

Fixlog OK. Jeśli chodzi o CBS.LOG, to jest on podejrzanie krótki. Uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. Dostarcz wynikowy plik C:\Windows\Logs\CBS\Checksur.log.

Pliki DECRYPT_INSTRUCTION.TXT / DECRYPT_INSTRUCTION.HTML wskazują na infekcję CryptoWall. By się upewnić, możesz uruchomić ID Tool, który ma wbudowaną bazę identyfikacji rodzaju infekcji (nie dekoduje nic). Aczkolwiek mam pewne wątpliwości jak narzędzie się zachowuje na sztucznym gruncie, tzn. w sytuacji: "System został przeinstalowany całkowicie. Na świeży komputer zostały skopiowane zakodowane pliki.". Niestety, jeśli to jest CryptoWall, pliki są niemożliwe do odkodowania, cytuję z powyższego artykułu:

Antywirus McAfee został usunięty. W systemie nadal są określone komponenty McAfee, ale mają one inne pochodzenie, są związane z szyfrowaniem McAfee będącym składową firmowo zintegrowanego "Drive Encryption For HP ProtectTools". To pomijam. Natomiast do zrobienia drobne poprawki: 1. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 2. Otwórz Notatnik i wklej w nim: CMD: sc config "Internet Manager. RunOuc" start= demand S2 McAfeeFramework; "C:\Program Files (x86)\McAfee\Common Framework\FrameworkService.exe" /ServiceStart [X] RemoveDirectory: C:\ProgramData\McAfee DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. restart. Dostarcz wynikowy fixlog.txt. .

Nadal brakuje raportu z GMER, podałeś mi nowe logi FRST (usuwam), a o to akurat nie prosiłam, tylko nadmieniałam, iż konfiguracja inaczej niż zalecane. Ten GMER jest konieczny, by się odczepić od wątku infekcji, bo na razie w żadnym logu nie ma jej oznak.

Wszystko wykonane. Kolejne kroki: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Pobierz nowy instalator MBAM i spróbuj zainstalować program. Powiedz czy nadal zgłasza się błąd. .

Ten log AdwCleaner jest obcięty od góry gdzieś do połowy. Czy to na pewno log w formie zapisanej na dysku? Poza tą nieścisłością wszystko wygląda na wykonane. Poprawki. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [RemoveNetPanel] => C:\Program Files\NetPanel\\Remove.exe [1697776 2014-09-18] (Gemius) BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\NetPanel RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Users\USER\AppData\Roaming\Mozilla DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Auto-restart. Przedstaw wynikowy fixlog.txt. .

Nie podałeś gdzie Avast wykrywa "bprotect" (to adware nie trojan), ale podejrzewam, iż w lokalizacji typu Temp lub w Tasks. W Twoich logach brak tej infekcji w formie czynnej, ale są jej ślady odpadkowe (zadanie BitGuard oraz przekierowania delta-search.com w IE). To wszystko to pokłosie "downloaderów" portalowych: KLIK. Dodatkowo, "Delta Toolbar" z protectorem "BitGuard" to relatywnie stara infekcja, więc te odpadki to muszą siedzieć od dość dawna. Przeprowadź następujące kroki będąc zalogowanym po kolei na każdym koncie: PATRYK 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=2CB6001A9244CE02&affID=121565&tsp=5005 SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=2CB6001A9244CE02&affID=121565&tsp=5005 Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Task: {6C4FC328-6A83-4078-ACBC-C76B5D3C1744} - System32\Tasks\BitGuard => Sc.exe start BitGuard S3 cpuz136; \??\C:\Users\Patryk\AppData\Local\Temp\cpuz136\cpuz136_x64.sys [X] S1 jwvplezk; \??\C:\Windows\system32\drivers\jwvplezk.sys [X] C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Temp C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard C:\Users\Patryk\AppData\Roaming\Babylon C:\Users\Patryk\AppData\Roaming\OpenCandy EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. PATRYK1 Otwórz Notatnik i wklej w nim: HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=2CB6001A9244CE02&affID=121565&tsp=5005 SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=2CB6001A9244CE02&affID=121565&tsp=5005 Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST (nie stosuj opcji "Uruchom jako Administrator", gdyż zmieni ona kontekst uprawnień na Patryka) i kliknij w Fix. Od razu otworzy się fixlog.txt - przedstaw go. .

W Twoim systemie są dwa konta: ========================= Accounts: ========================== Patryk (S-1-5-21-2763555658-840812829-3868290360-1000 - Administrator - Enabled) => C:\Users\Patryk Patryk1 (S-1-5-21-2763555658-840812829-3868290360-1002 - Limited - Enabled) => C:\Users\Patryk1 Każde musi być sprawdzone z osobna. Dostarczone tu logi są z limitowanego konta Patryk1. Odładuj to konto kompletnie kompletnie poprzez restart systemu (a nie opcję "Przełącz..." czy "Wyloguj..." i powrót na ekran logowania), zaloguj się na konto administracyjne Patryk i zrób nowe logi FRST, pola Addition + Shortcut mają być zaznaczone. .

Ten pasek występuje pod nową nazwą, czyli AVG Web TuneUp: ==================== Installed Programs ====================== AVG Web TuneUp (HKLM-x32\...\AVG Web TuneUp) (Version: 3.2.0.18 - AVG Technologies) ==================== Registry (Whitelisted) ================== HKLM-x32\...\Run: [vProt] => C:\Program Files (x86)\AVG Web TuneUp\vprot.exe [2662424 2014-10-06] () ==================== Services (Whitelisted) ================= R2 vToolbarUpdater3.2.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\3.2.0\ToolbarUpdater.exe [1843736 2014-09-08] (AVG Secure Search) ==================== Drivers (Whitelisted) ================= R1 avgtp; C:\Windows\system32\drivers\avgtpx64.sys [50976 2014-09-08] (AVG Technologies) ==================== One Month Created Files and Folders ======== 2014-09-08 18:21 - 2014-10-06 15:32 - 00000000 ____D () C:\Program Files (x86)\AVG Web TuneUp 2014-09-08 18:21 - 2014-09-09 14:06 - 00000000 ____D () C:\Users\Owner\AppData\Local\AVG Web TuneUp 2014-09-08 18:21 - 2014-09-08 18:21 - 00050976 _____ (AVG Technologies) C:\Windows\system32\Drivers\avgtpx64.sys 2014-09-08 18:21 - 2014-09-08 18:21 - 00000000 ____D () C:\ProgramData\AVG Web TuneUp 2014-09-08 18:21 - 2014-09-08 18:21 - 00000000 ____D () C:\ProgramData\AVG Secure Search Opis funkcji: KLIK. Pomijając nową nazwę to jest cały czas ta sama funkcjonalność co poprzednio. Decyduj czy się tego pozbyć, a jeśli, to należy rozpocząć od poprawnej deinstalacji, a po tym jeszcze dla pewności nowy log FRST. .

Czy ten log USBFix coś zawiera? Jeśli tak, pokaż go. I dodaj mi skan root wszystkich dysków - otwórz Notatnik i wklej w nim: S3 catchme; \??\C:\DOCUME~1\LEWAND~1\USTAWI~1\Temp\catchme.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="" CMD: dir /a C:\ CMD: dir /a D:\ CMD: dir /a E:\ CMD: dir /a X:\ RemoveDirectory: C:\Documents and Settings\Lewandowski\Pulpit\Stare dane programu Firefox DeleteQuarantine: W linii CMD: dir /a X:\ pod X: podstaw literę pod jaką obecnie widać pendrive. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Te których nie da się odpalić są do śmieci. To pliki uszkodzone infekcją, bądź jej leczeniem. Są nienaprawialne i muszą być zastąpione nowymi plikami. Nie mogę tu wspierać piractwa, ani podawać konkretów, ale w podbramkowej sytuacji można wyszukać obraz ISO XP SP3, ale tzw. "clean" niemodyfikowany. Twój obraz płyty jest mocno przekształcony przez nLite (wycięte określone komponenty, możliwe że więcej niż widać). .

Wystarczy usunąć cały folder C:\FRST. Dodatkowo możesz powtórzyć czyszczenie folderów Przywracania systemu. I wielkie dzięki za ewentualny datek! Jeszcze powiem, że wymyśliłam nową koncepcję, która jednak tylko częściowo mogłaby wyjaśnić dziwadła. Otóż znaczącym jest fakt, iż to rozszerzenie obeszło wszystkie wbudowane zabezpieczenia Google pod kątem rozszerzeń ładowanych spoza oficjalnego sklepu: brak jakiejkolwiek reakcji Chrome (w teorii rozszerzenia spoza sklepu są automatycznie blokowane lub conajmniej sygnalizowane jako zewnętrzne), brak detekcji źródła (czyli opisu "zainstalowane przez firmę trzecią"), brak komunikatów o aktywności "trybu programisty" (obejście stosowane przez adware, by załadować nieoficjalne rozszerzenie). Te kwestie mogłaby wyjaśnić wersja Google Chrome, tzn. wersja typu "development" a nie "stable". W wersjach rozwojowych określone zabezpieczenia są nieaktywne: KLIK. Czyli jak sobie tu wyobrażam potencjalny ciąg zdarzeń: adware było dostarczone z chichym instalatorem Google aktualizującym całą przeglądarkę ze stabilnej do eksperymentalnej, by uciszyć komunikaty sygnalizujące obecność wrogiego rozszerzenia i uniemożliwić jego zablokowanie. Nie byłam w stanie potwierdzić tu precyzyjnie typu wersji, gdyż rozwojowe nie mają specjalnej adnotacji w kluczach Uninstall drukowanych w Addition, aczkolwiek jak mówiłam były w profilu szczątki buildu typu "Canary". W takim scenariuszu przebijania wersji na wersję prawdopodobnym wydają mi się i skutki uboczne, tzn. perypetie ze ścieżką dostępu. Nadal tajemnicą jest jak to możliwe, że mimo nieistniejącej ścieżki Google było w stanie załadować rozszerzenie i wykryć jego nazwę, a rozszerzenie wesoło hulało produkując reklamy i regenerowało się z "powietrza". EDIT: Tak jest, znalazłam dowód, że adware konwertuje Google Chrome z wersji stabilnej do typu "Development". W tym przypadku i tak należy całkowicie przeinstalować przeglądarkę. Nie zgłaszasz tu problemów już, więc temat zamykam.

Prosiłam też o nowy log:

Na początek uwaga, adware wślizgnęło się przez "downloadery" portalowe: KLIK. U Ciebie widać na dysku, że masz tendencje do pobierania takich plików. Przykładowo widać "Asystentów pobierania" dobrychprogramów, a nie poprawny bezpośredni instalator: C:\Users\Mati\Downloads\Fraps(12500)-dp(1).exe C:\Users\Mati\Downloads\HitmanPro(30968)-dp.exe Niewiele tu zostało od tytułowego adware. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {45A46785-8015-4117-A904-F462715F64C3} - System32\Tasks\Yahoo! Search Udpater => C:\Users\Mati\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.12.4\dsrsetup.exe HKU\S-1-5-21-387397686-1775888049-2984414967-1000\...\Run: [Yahoo! Search] => C:\Users\Mati\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.12.4\dsrlte.exe HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20141006 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20141006 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20141006 S3 EverestDriver; C:\Users\Mati\AppData\Local\Temp\EverestDriver.sys [9728 2005-08-18] () [File not signed] C:\Users\Mati\AppData\Local\Pay-By-Ads C:\Users\Mati\Downloads\*(*)-dp.exe DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, lecz Adblock Plus trzeba będzie przeinstalować. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). .

Jest to opcjonalne czyszczenie, które uruchamiam. Chodzi o to, że od wersji Firefox 21 nastąpiła zmiana struktury i wszystkie foldery są przesunięte do nowej lokalizacji "browser": %ProgramFiles%\Mozilla Firefox\browser\components %ProgramFiles%\Mozilla Firefox\browser\extensions %ProgramFiles%\Mozilla Firefox\browser\plugins %ProgramFiles%\Mozilla Firefox\browser\searchplugins Stare lokalizacje poziom wyżej są nieaktywne i ignorowane przez FF (o ile nie zostaną zrobione sztuczki w preferencjach). Toteż w ramach porządków usuwam je, o ile FRST wykryje coś w nich, niezależnie od tego czy są tam szkodliwe czy nieszkodliwe obiekty. Oczywiście jest wymagana informacja jaka wersja Firefox jest zainstalowana, to widać w FRST Addition. Tutaj mamy do czynienia z wersją: ==================== Installed Programs ====================== Mozilla Firefox 30.0 (x86 pl) (HKLM-x32\...\Mozilla Firefox 30.0 (x86 pl)) (Version: 30.0 - Mozilla)

Posty oczyszczam. Nadal nie objaśniłeś co to znaczy "problem ze Skype" - czyli jaki problem, bo możliwości sporo np.: brak połączenia z siecią, wolne działanie, brak dźwięku lub obrazu .... Adware zostało pomyślnie usunięte. Skoro usunięcie ofensywnego sterownika nie pomogło w kontekście aplikacji online, przyczyna jest inna niż infekcja. Dalsze zalecenia: 1. Pod kątem software: Upewnij się, że problemów nie tworzy Avast (testowa deaktywacja osłon, a przy braku wyników testowa deinstalacja). Przetestuj również tzw. "czysty rozruch": KB929135. 2. Pod kątem sprzętu: Podaj dane z CrystalDisk, jak wcześniej proszono. Temat na razie przesuwam do działu Windows, ale w zależności od wyników skanu dysku może przejść do Hardware. .

W systemie działa infekcja "policyjna", stąd problem z białym ekranem. Ponadto, jeszcze są różne śmieci adware. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-4198088824-986625612-194678947-1000\...\Winlogon: [shell] C:\Users\USER\AppData\Roaming\cache.dat [59392 2014-10-06] () HKLM-x32\...\Run: [NetPanel] => C:\Program Files\NetPanel\Starter.exe [218112 2014-09-18] (Gemius) HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe [738496 2013-10-20] () S2 IBUpdaterService; C:\ProgramData\IBUpdaterService\ibsvc.exe [635232 2012-11-25] () S2 Update Mega Browse; "C:\Program Files (x86)\Mega Browse\updateMegaBrowse.exe" [X] S2 Util Mega Browse; "C:\Program Files (x86)\Mega Browse\bin\utilMegaBrowse.exe" [X] S1 {29b136c9-938d-4d3d-8df8-d649d9b74d02}Gw64; C:\Windows\System32\drivers\{29b136c9-938d-4d3d-8df8-d649d9b74d02}Gw64.sys [61120 2014-04-24] (StdLib) HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie SearchScopes: HKCU - 186B9D0CEAFE4F158CC880120A871807 URL = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=2912_2&babsrc=SP_ss&mntrId=f2cea5fa00000000000020cf30608399 BHO-x32: Giant Savings -> {11111111-1111-1111-1111-110011441179} -> C:\Program Files (x86)\Giant Savings\Giant Savings.dll (215 Apps) BHO-x32: Babylon toolbar helper -> {2EECD738-5844-4a99-B4B6-146BF802613B} -> C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO) BHO-x32: Internet Panel -> {CE7C3CF0-4B15-11D1-ABED-709549C10000} -> C:\Program Files\NetPanel\IEHelper.dll (Gemius) FF HKCU\...\Firefox\Extensions: [gemgecko@gemius.com] - C:\Program Files\NetPanel\gemgecko_ext CHR HKLM-x32\...\Chrome\Extension: [dhkplhfnhceodhffomolpfigojocbpcb] - C:\Users\USER\AppData\Roaming\BabylonToolbar\CR\BabylonChrome1.crx [2012-06-27] CHR HKLM-x32\...\Chrome\Extension: [ndkhncnongaclekkbelchmeafffimifj] - C:\Users\USER\AppData\Local\Giant Savings\Chrome\Giant Savings.crx [2012-05-31] CustomCLSID: HKU\S-1-5-21-4198088824-986625612-194678947-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-4198088824-986625612-194678947-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File Task: {1A5FED24-4875-4532-9C0E-B25D32F42BFF} - System32\Tasks\PC Performer_DEFAULT => C:\Program Files (x86)\PC Performer\PCPerformer.exe [2012-03-14] (PerformerSoft LLC) Task: {5260A715-028E-4F51-A32A-597287655380} - System32\Tasks\PC Performer_UPDATES => C:\Program Files (x86)\PC Performer\PCPerformer.exe [2012-03-14] (PerformerSoft LLC) Task: {A3DD69EB-22DC-4130-A0F2-A11D909842AA} - System32\Tasks\{D2F8D5A2-8007-4702-BC31-9BC7D846D7E3} => D:\programy\MK\Ksiega.exe Task: C:\Windows\Tasks\PC Performer_DEFAULT.job => C:\Program Files (x86)\PC Performer\PCPerformer.exe Task: C:\Windows\Tasks\PC Performer_UPDATES.job => C:\Program Files (x86)\PC Performer\PCPerformer.exe C:\Users\USER\AppData\Roaming\cache.dat C:\Users\USER\AppData\Roaming\cache.ini C:\Windows\System32\drivers\{29b136c9-938d-4d3d-8df8-d649d9b74d02}Gw64.sys DeleteKey: HKU\S-1-5-21-4198088824-986625612-194678947-1000\Software\Microsoft\Internet Explorer\Search CMD: for /d %f in (C:\Users\USER\AppData\Local\{*}) do rd /s /q "%f" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart, blokada zniknie. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Z poziomu Trybu normalnego odinstaluj przez Panel sterowania: - Adware i zbędniki: Babylon toolbar on IE, BabylonObjectInstaller, Giant Savings, Mobogenie, NetPanel, PC Performer, Updater Service. - Stare aplikacje: Java 7 Update 15, Mozilla Firefox 5.0. Przy deinstalacji Firefox odpowiedz twierdząco na pytanie o usuwanie danych użytkownika. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Giant Savings, Netpanel study (o ile nie znikną po w/w deinstalacjach) Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt i log z AdwCleaner. .

Tak, na razie to wszystko. Czekam przez kilka następnych dni na potwierdzenie stanu Google Chrome. Po tym usuniesz do końca FRST.

Bazą tego rodzaju jest SystemLookup.

Tytuł edytuję na odpowiadający problemowi. Proszę nie stosować takich nacisków, a na przyszłość skupić się na zasadach działu: poprawny tytuł tematu, niekompletny zestaw obowiązkowych logów (brak OTL Extras i GMER), brak precyzji opisu (cóż to za tajemniczy "problem ze Skype")? Brak oznak wirusów i trojanów, jedyne co tu widać to szczątki adware. Szczególnie ten czynny sterownik {058899d6-9704-4de3-aae7-17e9fc44c761}Gw64.sys to może być przyczyna problemów z siecią. Adware nabyte na jeden z tych sposobów: KLIK. Widać z raportu, iż conajmniej z Softonic ściągałeś. Przechodząc do usuwania szczątków adware: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 servervo; C:\Users\Merix\AppData\Roaming\VOPackage\VOsrv.exe [70656 2014-10-07] () [File not signed] R1 {058899d6-9704-4de3-aae7-17e9fc44c761}Gw64; C:\Windows\System32\drivers\{058899d6-9704-4de3-aae7-17e9fc44c761}Gw64.sys [61120 2014-04-24] (StdLib) S3 andnetadb; System32\Drivers\lgandnetadb.sys [X] S3 AndNetDiag; system32\DRIVERS\lgandnetdiag64.sys [X] S3 ANDNetModem; system32\DRIVERS\lgandnetmodem64.sys [X] S3 massfilter_lte; \??\C:\Windows\system32\drivers\massfilter_lte.sys [X] S3 zgdcat; system32\DRIVERS\zgdcat.sys [X] S3 zgdcdiag; system32\DRIVERS\zgdcdiag.sys [X] S3 zgdcmdm; system32\DRIVERS\zgdcmdm.sys [X] S3 zgdcnet; system32\DRIVERS\zgdcnet.sys [X] S3 zgdcnmea; system32\DRIVERS\zgdcnmea.sys [X] Task: {70A3988C-4CD3-4A3E-8528-B77F8DFE287D} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe [2014-10-07] (AnyProtect.com) Task: {C8CC623E-021C-4AAE-8E2A-C070C6743746} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe [2014-10-07] (AnyProtect.com) Task: {DFBCB6EF-D864-4E01-A61B-740332B3D5F7} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe [2014-10-07] (AnyProtect.com) Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe HKU\S-1-5-21-3302502354-795164464-2874845416-1001\...\Run: [msnmsgr] => "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO-x32: Fast Search -> {5AB7104A-B71F-49AD-9154-F7F8806AE848} -> C:\Program Files (x86)\Surf Canyon\surfcanyon.dll (Surf Canyon Incorporated) Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKCU - No Name - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - No File FF Extension: No Name - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi [2014-06-18] FF HKLM-x32\...\Firefox\Extensions: [{97E22097-9A2F-45b1-8DAF-36AD648C7EF4}] - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext FF HKCU\...\Firefox\Extensions: [{88014c0d-a27c-484c-81ef-bf536a6f2a3d}] - C:\Program Files (x86)\BobyLyrics\132.xpi CHR HKLM-x32\...\Chrome\Extension: [bcjagnifjocnddgeknajocbkkhlgibem] - C:\Program Files (x86)\Surf Canyon\surfcanyon.crx [2013-04-17] CHR HKLM-x32\...\Chrome\Extension: [feehhilecblfddelccfipjokflgjpmad] - C:\Program Files (x86)\BobyLyrics\132.crx [2014-08-04] CustomCLSID: HKU\S-1-5-21-3302502354-795164464-2874845416-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Merix\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File CustomCLSID: HKU\S-1-5-21-3302502354-795164464-2874845416-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Merix\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\AnyProtectEx C:\Program Files (x86)\BobyLyrics C:\Program Files (x86)\Surf Canyon C:\ProgramData\TEMP C:\Users\Merix\AppData\Local\nsw6AD8.tmp C:\Users\Merix\AppData\Roaming\AnyProtectEx C:\Users\Merix\AppData\Roaming\ap_logs C:\Users\Merix\AppData\Roaming\ap_movie C:\Users\Merix\AppData\Roaming\aps.scan.quick.results C:\Users\Merix\AppData\Roaming\aps.scan.results C:\Users\Merix\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AnyProtect PC Backup C:\Users\Merix\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FoxTab PDF Converter C:\Users\Merix\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\Merix\AppData\Roaming\Thinstall C:\Users\Merix\AppData\Roaming\VOPackage C:\Users\Merix\Desktop\Continue Live Installation.lnk C:\Users\Merix\Downloads\SoftonicDownloader*.exe C:\Windows\System32\drivers\{058899d6-9704-4de3-aae7-17e9fc44c761}Gw64.sys C:\Windows\SysWOW64\sho*.tmp DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\VOPackage EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Surf Canyon Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

Zrozumiałam, że widzisz to bez przestawiania opcji ukrytych. Ten twój "dysk wymienny" to prawdopodobnie jakiś czytnik USB. Przykładowo u mnie czytnik bez podłączonych urządzeń owocuje aż 4 ukrytymi dyskami: Z prawokliku na ten dysk G > Właściwości > karta Sprzęt > podaj zrzut ekranu z tego. Nie sądzę, by tu były problemy i że należy usuwać to urządzenie.

W Windows 8 są nowe funkcje: "Odśwież komputer" (reinstalacja systemu z zachowaniem danych i aplikacji Modern UI) + "Resetuj ustawienia" (pełna reinstalacja Windows z utratą wszystkich danych). Dostęp z poziomu ustawień Modern UI: KLIK.