picasso

Proszę dostarcz raporty z FRST, by było wiadome środowisko w którym dokonuje się instalacja.

Dostarcz raporty z FRST.

Fix wykonany pomyślnie. Usuń używane narzędzia z folderu C:\_Downloads, dodatkowo zastosuj DelFix.

Temat przenoszę do działu Windows 8. Brak oznak infekcji, tylko częściowo zdewastowany pasek Ask Toolbar typu adware/PUP, ale on nie ma związku z objawami i na tym etapie nie ma znaczenia. Wg Dziennika zdarzeń rysują się grubsze usterki, masowe błędy explorer.exe oraz błędy uruchomienia usług rodzaju "Odmowa dostępu" (to często świadczy o zepsutych uprawnieniach całej gałęzi SYSTEM rejestru): Application errors: ================== Error: (10/07/2014 09:29:27 PM) (Source: Software Protection Platform Service) (EventID: 1001) (User: ) Description: Nie można uruchomić usługi ochrony oprogramowania. 0x80070005 6.3.9600.16497 System errors: ============= Error: (10/07/2014 09:37:25 PM) (Source: DCOM) (EventID: 10010) (User: dom) Description: {4991D34B-80A1-4291-83B6-3328366B9097} Error: (10/07/2014 09:36:21 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Usługa autowykrywania serwera proxy w sieci Web WinHTTP zależy od usługi Klient DHCP, której nie można uruchomić z powodu następującego błędu: %%5 Error: (10/07/2014 09:36:21 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Klient DHCP zakończyła działanie; wystąpił następujący błąd: %%5 Error: (10/07/2014 09:36:21 PM) (Source: Microsoft-Windows-Dhcp-Client) (EventID: 1004) (User: ZARZĄDZANIE NT) Description: Wystąpił błąd zatrzymywania usługi klienta Dhcpv4. Kod błędu: 5. Wartość flagi ShutDown: 0 Error: (10/07/2014 09:36:21 PM) (Source: Microsoft-Windows-Dhcp-Client) (EventID: 17270) (User: ZARZĄDZANIE NT) Description: Wystąpił błąd inicjowania protokołu DHCPv4. Kod błędu: 5 Error: (10/07/2014 09:35:25 PM) (Source: Service Control Manager) (EventID: 7024) (User: ) Description: Usługa Usługa inteligentnego transferu w tle zakończyła działanie; wystąpił następujący specyficzny dla niej błąd: %%2147943468 Error: (10/07/2014 09:35:25 PM) (Source: Microsoft-Windows-Bits-Client) (EventID: 16392) (User: ZARZĄDZANIE NT) Description: Uruchomienie usługi BITS nie powiodło się. Błąd 2147943468. Error: (10/07/2014 09:35:25 PM) (Source: DCOM) (EventID: 10005) (User: ZARZĄDZANIE NT) Description: 1068netprofmNiedostępny{A47979D2-C419-11D9-A5B4-001185AD2B89} Error: (10/07/2014 09:35:25 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Klient DHCP zakończyła działanie; wystąpił następujący błąd: %%5 Error: (10/07/2014 09:35:25 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Usługa listy sieci zależy od usługi Rozpoznawanie lokalizacji w sieci, której nie można uruchomić z powodu następującego błędu: %%1068 Pytaniem jest: od kiedy występują objawy? Sugerowane Przywracanie systemu, tylko że są tu tylko dwa punkty dostępne i nie wiem czy ten "Zaplanowany punkt kontrolny" sprzed tygodnia jest dostatecznie stary: ==================== Restore Points ========================= 01-10-2014 13:02:51 Zaplanowany punkt kontrolny 06-10-2014 07:41:07 Windows Update .

Niestety przy infekcji Sality nie da się nic innego zrobić, jak próbować leczyć pliki, a te których się nie da lub zostały leczeniem uszkodzone całkowicie wyrzucić. Sality jest infekcją zbyt obszerną, by uzyskać 100% pomyślne wyniki, i tak jest zalecany format, nawet jeśli teoretycznie skanery jakoś się z tym uporają. Podane tu logi (skoncentrowane na dysku C) to jedynie malutki wycinek z systemu i na ich podstawie nie jestem nawet w stanie stwierdzić zakresu dewastacji wykonywalnych, nie wspominając już o tym, że są aż trzy partycje, Sality atakuje wszystkie dostępne: ==================== Drives ================================ Drive c: () (Fixed) (Total:42.64 GB) (Free:0.35 GB) NTFS ==>[Drive with boot components (Windows XP)] Drive d: () (Fixed) (Total:24.67 GB) (Free:0.65 GB) NTFS Drive e: () (Fixed) (Total:230.78 GB) (Free:3.17 GB) NTFS Co widzę obecnie w Twoich logach: - To jakiś modyfikowany nieoryginalny XP instalowany z nośnika zrobionego via nLite. Wykazuje też syndromy staroci: stary IE7, potwornie stary Avast 4.8. Stosowałeś ComboFix, nie dostarczyłeś wynikowego raportu i prawdopodobnie go już nie ma (nie widzę na dysku pliku C:\ComboFix.txt). On tu zresztą nie pomoże, nie jest antywirusem i nie leczy zainfekowanych plików. Skutki uboczne użycia ComboFix: "uzupełnił" usługi sztucznie wycięte z Twojego XP przy udziale nLite, tworząc serię zdewastowanych niedziałających usług. I nie wiadomo co jeszcze ComboFix zmajstrował na systemie zmodyfikowanym. ==================== Drivers (Whitelisted) ==================== U5 Browser; C:\WINDOWS\system32\svchost.exe [14336 2008-04-15] (Microsoft Corporation) U5 lanmanserver; C:\WINDOWS\system32\svchost.exe [14336 2008-04-15] (Microsoft Corporation) U5 Messenger; C:\WINDOWS\system32\svchost.exe [14336 2008-04-15] (Microsoft Corporation) U5 Netlogon; C:\WINDOWS\system32\lsass.exe [13312 2008-04-15] (Microsoft Corporation) - Pośrednie ślady Sality są. Brak wprawdzie widocznego sterownika Sality, ale na wszystkich dyskach są ukryte pliki autorun.inf Sality, w Zaporze systemu są też charakterystyczne autoryzacje z oznaczeniem "ipsec" oznaczające infekcję owych programów. System jest też zanieczyszczony innymi szkodnikami (Reboot.exe w starcie i adware). O32 - AutoRun File - [2014-10-06 18:38:07 | 000,000,235 | RHS- | M] () - C:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2014-10-06 18:38:07 | 000,000,251 | RHS- | M] () - D:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2014-10-06 18:38:07 | 000,000,277 | RHS- | M] () - E:\autorun.inf -- [ NTFS ] ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe" = C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe:*:Enabled:ipsec "C:\WINDOWS\system32\nwiz.exe" = C:\WINDOWS\system32\nwiz.exe:*:Enabled:ipsec "C:\Program Files\Common Files\Java\Java Update\jusched.exe" = C:\Program Files\Common Files\Java\Java Update\jusched.exe:*:Enabled:ipsec "C:\Program Files\Mozilla Firefox\plugin-container.exe" = C:\Program Files\Mozilla Firefox\plugin-container.exe:*:Enabled:ipsec -- (Mozilla Corporation) "C:\WINDOWS\explorer.exe" = C:\WINDOWS\explorer.exe:*:Enabled:ipsec -- (Microsoft Corporation) Widząc to wszystko stawiałabym system od zera. Jeśli mimo wszystko się zdecydujesz kontynuować czyszczenie, wstępnie: 1. Pobierz SalityKiller. Wykonaj nim skan do skutku. Musi być powtórzony tyle razy, aż będzie odczyt zero zainfekowanych. Dopiero po tym: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /v "" /t REG_SZ /d @SYS:DoesNotExist /f CMD: netsh firewall reset R1 {572f484b-455f-44b0-9d6a-da3ad2071365}t; C:\WINDOWS\System32\drivers\{572f484b-455f-44b0-9d6a-da3ad2071365}t.sys [55232 2014-05-22] (StdLib) S2 Update webporpoise; "C:\Program Files\webporpoise\updatewebporpoise.exe" [X] Startup: C:\Documents and Settings\Lewandowski\Menu Start\Programy\Autostart\Reboot.exe () AlternateShell: FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Dane aplikacji\Conduit C:\Documents and Settings\All Users\Dane aplikacji\FileOpen C:\Documents and Settings\All Users\Dane aplikacji\ParetoLogic C:\Documents and Settings\Lewandowski\Dane aplikacji\.ACEStream C:\Documents and Settings\Lewandowski\Dane aplikacji\DriverCure C:\Documents and Settings\Lewandowski\Dane aplikacji\FileOpen C:\Documents and Settings\Lewandowski\Dane aplikacji\ParetoLogic C:\Documents and Settings\Lewandowski\Dane aplikacji\RoxTemp C:\Documents and Settings\Lewandowski\Dane aplikacji\RST C:\Documents and Settings\Lewandowski\Ustawienia lokalne\Dane aplikacji\Eraser 6 C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\System32\drivers\{572f484b-455f-44b0-9d6a-da3ad2071365}t.sys C:\autorun.inf D:\autorun.inf E:\autorun.inf EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Odinstaluj stary Avast. Po tym zastosuj Avast Uninstall Utility. Na razie nie instaluj najnowszej wersji, to zrobimy potem. 4. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 5. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) i USBFix z opcji Listing (o ile możliwe, zrób go przy podpiętym zainfekowanym pendrive). Dołącz też plik fixlog.txt. .

Wszystko wygląda dobrze. Przez SHIFT+DEL (omija Kosz) skasuj odpadki GPO i kwarantanny: C:\FRST\Quarantine C:\Users\pb\Doctor Web C:\Windows\system32\GroupPolicy\User C:\Windows\SysWOW64\GroupPolicy\gpt.ini (+ te paczki Google z Pulpitu) Na razie FRST zostawiam, jeśli zajdzie potrzeba go ponownie uruchomić. I teraz pozostaje czekać, czy to wredne rozszerzenie nie wróci po jakimś czasie. Na teraz nic więcej nie jestem w stanie zrobić. Jest wiele programów ukrytych, których nie widzisz w Panelu sterowania. Log z Addition wszystkie pokazuje, ukryte mają etykietę "Hidden". Te dwa konkretne są od Activision i AMD: ==================== Installed Programs ====================== Prototype™ (x32 Version: 1.0 - Activision) Hidden PX Profile Update (x32 Version: 1.00.1. - AMD) Hidden .

Nie rozumiem co Ty zrobiłeś, skombinowałeś i to błędnie (obcięcie specjalnych znaczników odróżniających dyrektywy od innych obiektów) poprzedni nieaktualny już Fixlist z nowym. Miałeś tym razem zrobić całkiem nowy Fixlist zawierający tylko dwie linie, które podałam powyżej! Oczywiście taki karykaturalny plik nie zrobił nic z poprzednich zadań (błędy i to już wykonane dawno), ale te dostawione dwie mimo wszystko się wykonały. Na przyszłość: wykonuj moje zadania 1:1, nie łącz plików z poprzednich postów "w całość". Odkrycie folderów pomyślnie wykonane. Natomiast co z tym uporczywym odpadkowym dyskiem przenośnym G? Czy akcja w USB-set pomogła? .

Temat przenoszę do działu Windows 8. To nie jest problem infekcji. W Dzienniku zdarzeń błędy wskazujące na uszkodzenia rejestru użytkownika: ==================== Event log errors: ========================= Application errors: ================== Error: (10/03/2014 01:20:11 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1542) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować pliku rejestru klas. SZCZEGÓŁY — Baza danych rejestru konfiguracji jest uszkodzona. Error: (10/03/2014 01:20:11 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1508) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować rejestru. Częstą przyczyną tego problemu jest za mała ilość pamięci lub brak wystarczających praw zabezpieczeń. SZCZEGÓŁY - Baza danych rejestru konfiguracji jest uszkodzona. for C:\Users\Acer\AppData\Local\Microsoft\Windows\\UsrClass.dat 1. Pierwsza rzecz do wypróbowania, to założenie via klasyczny Panel sterowania nowego konta użytkownika i zalogowanie się nań. Jeśli nowe konto będzie sprawne, stare usuniesz. Jeśli jednak wystąpią problemy lub akcja jest awykonalna: 2. Odśwież system. Spróbuj aktywować "stary" typ menu startowego, by móc wejść do ustawień typu "Napraw komputer" z pominięciem nieosiągalnych opcji w Windows: Z klawiatury kombinacja klawisz z flagą Windows + X, z menu wybierz Wiersz polecenia (Administrator). W linii komend wklej poniższą komendę i ENTER: bcdedit /set {default} bootmenupolicy legacy Zresetuj system. Podczas startu po załadowaniu BIOS powinien zadziałać klawisz F8 podający tradycyjne menu znane z Windows 7, w którym jest pozycja Napraw komputer. W tym module powinny być dostępne opcje odświeżania. .

Czy cofnąłeś czysty rozruch, by zdiagnozować który konkretnie wpis wpływa na opóźnienia? Cofnij czysty rozruch, a następnie powyłączaj na trwałe część wpisów, które uważam za zbędne, ale za pomocą innego narzędzia. W Autoruns w karcie Logon odznacz: ==================== Registry (Whitelisted) ================== HKLM\...\Run: [Windows Mobile Device Center] => C:\Windows\WindowsMobile\wmdc.exe [660360 2007-05-31] (Microsoft Corporation) HKLM\...\Run: [mwlDaemon] => C:\Program Files (x86)\EgisTec MyWinLocker\x86\mwlDaemon.exe [349552 2010-05-27] (Egis Technology Inc.) HKLM-x32\...\Run: [backupManagerTray] => C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe [265984 2010-06-29] (NewTech Infosystems, Inc.) HKLM-x32\...\Run: [EgisUpdate] => C:\Program Files (x86)\EgisTec IPS\EgisUpdate.exe [201584 2010-03-11] (Egis Technology Inc.) HKLM-x32\...\Run: [EgisTecPMMUpdate] => C:\Program Files (x86)\EgisTec IPS\PmmUpdate.exe [407920 2010-03-11] (Egis Technology Inc.) HKLM-x32\...\Run: [nmctxth] => C:\Program Files (x86)\Common Files\Pure Networks Shared\Platform\nmctxth.exe [647216 2009-07-07] (Cisco Systems, Inc.) HKLM-x32\...\Run: [GrooveMonitor] => C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe [31016 2006-10-27] (Microsoft Corporation) HKLM-x32\...\Run: [APSDaemon] => C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe [59720 2013-04-21] (Apple Inc.) HKLM-x32\...\Run: [ArcadeDeluxeAgent] => C:\Program Files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe [419112 2011-01-28] (CyberLink Corp.) HKLM-x32\...\Run: [PlayMovie] => C:\Program Files (x86)\Acer Arcade Deluxe\PlayMovie\PMVService.exe [181480 2011-01-28] (Acer Corp.) HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959176 2014-08-21] (Adobe Systems Incorporated) Startup: C:\Users\Mirek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\aluagent.lnk ShortcutTarget: aluagent.lnk -> C:\ProgramData\Acer\Acer Updater\aluagent.exe (Acer Incorporated) W karcie Scheduled Tasks odznacz wszystkie obiekty Motoroli: ==================== Scheduled Tasks (whitelisted) ============= Task: {1EA0F850-DC47-48DE-9853-BFE6B131CF86} - System32\Tasks\Motorola Device Manager Engine => C:\Program Files (x86)\Motorola Mobility\Motorola Device Manager\MotorolaDeviceManagerUpdate.exe [2013-10-31] () Task: {2889E20D-95AA-445F-83C5-5390D2B817F1} - System32\Tasks\Motorola Device Manager Initial Update => C:\Program Files (x86)\Motorola Mobility\Motorola Device Manager\MotorolaDeviceManagerUpdate.exe [2013-10-31] () Task: {481A515C-4D8B-45F5-9378-00347B1321CD} - System32\Tasks\Motorola Device Manager Update => C:\Program Files (x86)\Motorola Mobility\Motorola Device Manager\MotorolaDeviceManagerUpdate.exe [2013-10-31] () Task: {7D408046-6003-4FE6-B40B-28331DCF37CD} - System32\Tasks\MotoCast Update => C:\Program Files (x86)\Motorola Mobility\MotoCast\LiveUpdate\MotoCastUpdate.exe [2012-07-24] () Zresetuj system. Podsumuj na czym stoimy. .

Adware zostało pomyślnie usunięte, więc brak związku z tym: To już może być kwestia sprzętowo-sterownikowa. Ale jeszcze możesz w Autoruns wyłączyć kilka zbędnych wpisów ze startu. W karcie Logon wpis "Adobe Reader..." usuń (to szczątek), a resztę wyłącz poprzez odznaczenie: HKLM-x32\...\Run: [iAStorIcon] => C:\Program Files (x86)\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe [277504 2012-07-09] (Intel Corporation) HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" HKLM-x32\...\Run: [RemoteControl10] => C:\Program Files (x86)\CyberLink\PowerDVD10\PDVD10Serv.exe [97392 2012-08-15] (CyberLink Corp.) HKLM-x32\...\Run: [CLMLServer_For_P2G8] => C:\Program Files (x86)\CyberLink\Power2Go8\CLMLSvc_P2G8.exe [111120 2012-06-08] (CyberLink) HKLM-x32\...\Run: [CLVirtualDrive] => C:\Program Files (x86)\CyberLink\Power2Go8\VirtualDrive.exe [491120 2012-07-12] (CyberLink Corp.) HKLM-x32\...\Run: [intel AppUp(SM) center] => C:\Program Files (x86)\Intel\IntelAppStore\bin\ismagent.exe [155488 2012-07-13] (Intel Corporation) HKLM-x32\...\Run: [HPUsageTrackingLEDM] => C:\Program Files (x86)\HP\HP UT LEDM\bin\hppusg.exe [30264 2009-08-04] (Hewlett-Packard Company) HKLM-x32\...\Run: [startCCC] => C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\amd64\CLIStart.exe [767200 2014-09-15] (Advanced Micro Devices, Inc.) W karcie Scheduled Tasks wyłącz zadania kierujące do Intel® Update Manager: Task: {3506A887-9D77-495B-821A-8BA16067F631} - System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 => C:\Program Files (x86)\Intel\Intel® Update Manager\bin\iumsvc.exe [2014-02-28] () Task: {44F549CF-A8EA-455D-AB27-900476E9A7F3} - System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473-Logon => C:\Program Files (x86)\Intel\Intel® Update Manager\bin\iumsvc.exe [2014-02-28] () Zresetuj system. Podsumuj co się obecnie dzieje. .

To jest ciągle ten sam Fixlog, uruchomienie numer dwa: Ran by magiera at 2014-09-30 13:27:09 Run:2 Na pewno nie ma dwóch plików Fixlog w C:\FRST\Logs? Zostawmy to już. Zadania wyglądają na w większości wykonane. Od McAfee pozostał jeszcze jeden czynny sterownik. Przejdź do kolejnej porcji czynności. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 MPFP; C:\windows\System32\Drivers\Mpfp.sys [130424 2009-04-09] (McAfee, Inc.) C:\windows\System32\Drivers\Mpfp.sys C:\windows\system32\sqlite3.dll RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 2. Widzę, że pojawiły się komponenty MBAM na dysku. Jeśli program jest zainstalowany i nadal nie działa, odinstaluj i zastosuj specjalny usuwacz mbam-clean.exe. 3. Pobierz najnowszą wersję FRST. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Wszystko wykonane. Kroki końcowe: 1. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "C:\Windows\system32\nvinitx.dll" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "C:\Windows\SysWOW64\nvinit.dll" /f CMD: del /q C:\windows\SysWOW64\sqlite3.dll RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Malin\Desktop\Stare dane programu Firefox DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Przedstaw fixlog.txtszy punkt (usunie te log). 2. Usuń używane narzędzia za pomocą DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. vs. Metody nabycia to sponsorowany instalator programu, bądź portalowy "downloader". Artykuł dedykowany zjawiskom, skąd nie pobierać, na co uważać: KLIK. .

1. Spróbuj narzędzia Google Software removal tool. Jedna z procedur to automatyczny reset ustawień. 2. Po tym pobierz najnowszy FRST, zrób nowy log z opcji Scan. Wypowiedz się czy nadal są problemy Google i ogólne w systemie. .

dregon, proszę nie przypominaj się tworząc bezużyteczne posty z pytajnikami etc. Usuwam. Odpowiadam, gdy jestem w stanie: jestem obecna, mam czas i siły, by przetworzyć temat. Stworzenie odpowiedzi wymaga ode mnie silnej koncentracji i uwagi. I tu jeszcze nie koniec działań. W ostatnim Fixlist źle przekleiłeś zawartość do Notatnika i linia punktująca usuwanie C:\Program Files (x86)\Temp miała doklejony tag BBCode forum, dlatego folder nie został usunięty. I o ile adware zostało sprawnie usunięte (jeszcze potem zadam dodatkowe skany), są nadal w Twoim systemie rzeczy wymagające napraw. A konkretnie niesygnowany plik Windows, który nawet nie może być sprawdzony za pomocą wbudowanego w system narzędzia SFC: ==================== Drivers (Whitelisted) ==================== S3 usbuhci; C:\Windows\system32\drivers\usbuhci.sys [30720 2013-12-19] (Microsoft Corporation) [File not signed] ========= sfc /scanfile=C:\Windows\system32\drivers\usbuhci.sys ========= Funkcja Ochrona zasobów systemu Windows nie moze wykonac zadanej operacji. Kolejne działania: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Temp DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Pokaż wynikowy fixlog.txt. 2. Skopiuj na Pulpit cały folder C:\Windows\Logs\CBS, zapakuj do ZIP, shostuj gdzieś i podaj mi link do tego. .

Fixlog OK, zadanie wykonane. A nie występuje to pod nazwą "AVG SafeGuard toolbar"? Na wszelki wypadek możesz dać nowy skan FRST (Addition zaznaczony). .

Ten McAfee to się tylko częściowo odinstalował. 1. Na liście zainstalowanych nadal jest pozycja McAfee Agent. Spróbuj to normalnie odinstalować. 2. Przejdź w Tryb awaryjny Windows i ponownie uruchom McAfee Consumer Product Removal Tool. Ewentualne błędy zignoruj. 3. Przejdź w Tryb normalny Windows i zrób nowy log FRST z opcji Scan, ponownie zaznacz Addition. .

Nie mówię o pokazywaniu raportu w poście, gdyż jest to po prostu w instrukcji narzędzia. Narzędzie coś mało usunęło, zakładam, że przed jego użyciem ręcznie pozbyłeś się FRST ze ścieżek D:\IDM\Programs, C:\Users\Robert\Desktop. Dzięki! .

Śpieszyłam się i wkleiłam komendę zdejmowania atrybutów, ale nie dopasowałam liter. Poprawki: 1. Jeśli chodzi o odpadkowy dysk przenośny G, uruchom USB-set: Cleaning traces > Traces of previous connected removable devices > zaznaczyć wszystkie sekcje > Cleaning selected sections. 2. Jeśli chodzi o kindle, otwórz Notatnik i wklej w nim: CMD: attrib /d /s -s -h H:\* CMD: attrib /d /s -s -h I:\* Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw fixlog.txt. I zrób nowy log USBFix z opcji Listing. .

Log z Procmon nie dostarczył żadnych dodatkowych informacji. Kolejne podejście z czyszczeniem, lecz zmodyfikowałam pierwotny plan. Proponuję przeinstalować przeglądarkę "na czysto", gdyż doszukałam się jeszcze śmieci po eksperymentalnej wersji Google (build "Canary"). Czyli: 1. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. 2. Odinstaluj Google Chrome. Przy deinstalacji zatwierdź usuwanie danych użytkownika. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > sprawdź czy na liście widać Google Update Helper > jeśli tak to zaznacz > Dalej. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {AD346D7C-7294-4616-B542-32DCBFD11F99} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2014-07-10] (Google Inc.) Task: {F67E1252-BF33-4109-BF34-F5BCB40F8766} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2014-07-10] (Google Inc.) Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe C:\extensions.ini C:\Program Files (x86)\Google C:\Program Files (x86)\GoforFiles Updater C:\Program Files (x86)\PANDORA.TV C:\ProgramData\McAfee C:\Users\pb\AppData\Local\Google C:\Users\pb\AppData\Local\Comodo C:\Users\pb\AppData\Roaming\appdataFr2.bin C:\Users\pb\AppData\Roaming\PDFReaderPackages DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google Folder: C:\Windows\system32\GroupPolicy Folder: C:\Windows\system32\GroupPolicyUsers Folder: C:\Windows\SysWOW64\GroupPolicy Folder: C:\Windows\SysWOW64\GroupPolicyUsers EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie plik fixlog.txt. 4. Zainstaluj najnowszą wersję Google Chrome: KLIK. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz fixlog.txt. .

Temat przenoszę do działu Windows. Brak oznak czynnej infekcji. W spoilerze doczyszczanie tylko starych proramów, odpadków adware i wpisów pustych, lecz to nie ma związku ze zgłoszonymi problemami: 1. Tu się klaruje inny podejrzany, czyli Kaspersky Internet Security. Porządny test to tymczasowa deinstalacja, wyłączanie w opcjach nie znosi wszystkich aktywności. 2. Dodatkowo, malutko wolnego miejsca na dysku systemowym, co może być problemem w kontekście szybkości, zwłaszcza jeśli jest duży stopień fragmentacji danych: ==================== Drives ================================ Drive c: () (Fixed) (Total:80.09 GB) (Free:4.2 GB) NTFS ==>[Drive with boot components (obtained from BCD)] Po akcji ze spoilera (komenda czyszczenia plików tymczasowych) prawdopodobnie statystyki będą nieco inne na korzyść, ale mam silne wątpliwości czy to załatwi sprawę do końca. .

Zadanie pomyślnie przetworzone. Jeśli chodzi o czyszczenie systemu, to nic więcej nie widzę i w tym zakresie możesz przejść do finalizacji: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu, o ile coś powstało (pierwszy Addition pokazywał brak punktów): KLIK. To jest nadal niejasne, ale nie mam podstaw, by obwiniać infekcję. Sugerowałam, iż to może być wynik kolizji z innym programem ładującym sterowniki na tym samym poziomie, czyli tu: ==================== Drivers (Whitelisted) ==================== R3 asvpndrv; C:\Windows\System32\DRIVERS\asvpndrv.sys [31744 2014-05-17] (Astrill) R0 diskpt; C:\Windows\System32\drivers\diskpt.sys [275176 2013-09-24] (SHADOWDEFENDER.COM) R1 eamonm; C:\Windows\System32\DRIVERS\eamonm.sys [239320 2013-09-17] (ESET) U5 edevmon; C:\Windows\System32\Drivers\edevmon.sys [239296 2013-09-17] (ESET) R1 ehdrv; C:\Windows\System32\DRIVERS\ehdrv.sys [168256 2013-09-17] (ESET) R2 epfwwfpr; C:\Windows\System32\DRIVERS\epfwwfpr.sys [157432 2013-09-17] (ESET) R0 FileLock; C:\Windows\System32\DRIVERS\FileLock.sys [49248 2013-11-16] (Gili Soft Inc.) R3 MBAMProtector; C:\windows\system32\drivers\mbam.sys [25816 2014-05-12] (Malwarebytes Corporation) S3 MBAMSwissArmy; C:\windows\system32\drivers\MBAMSwissArmy.sys [122584 2014-10-06] (Malwarebytes Corporation) S3 MBAMWebAccessControl; C:\windows\system32\drivers\mwac.sys [63704 2014-05-12] (Malwarebytes Corporation) R3 SbieDrv; C:\Program Files\Sandboxie\SbieDrv.sys [202600 2014-01-17] (Sandboxie Holdings, LLC) R1 Spyshelter; C:\Program Files (x86)\SpyShelter Firewall\SpyShelter.sys [559456 2014-10-04] (SpyShelter) R2 SpyshelterFw; C:\Program Files (x86)\SpyShelter Firewall\SpyshelterWFP.sys [115040 2014-10-02] () R1 SpyshelterKb; C:\Program Files (x86)\SpyShelter Firewall\SpyshelterKb.sys [168800 2014-10-02] (SpyShelter) R2 WiseFS; D:\Portable\Wise Folder Hider\WiseFs64.sys [10280 2014-03-14] () R0 WRkrn; C:\Windows\System32\drivers\WRkrn.sys [115744 2014-09-28] (Webroot) .

Dorzuć mi nowy log FRST z opcji Scan, zaznacz też pole Addition.

Niestety żadnych dodatkowych danych skąd to rozszerzenie się ładuje. To prawdziwe cuda. Będziemy usuwać to co widać, czyli te obiekty z "Local Storage" (poprzednio to nie było adresowane) + cały folder "Chrome SxS" (pozostałość buildu typu "Canary", szczątki adware Costmin w środku), plus dodatkowe korekty. Jednakże przed usunięciem czegokolwiek nagraj log czasu rzeczywistego co uzyskuje dostęp do tego tajemniczego rozszerzenia: Uruchom Process Monitor. Następnie uruchom Google Chrome, a w nim: doprowadź do wyświetlenia reklam, następnie wejdź do Ustawienia > Rozszerzenia, by się wyświetliła lista z Red AdBlocker > wyłącz rozszerzenie, po czym po chwili znów włącz. Zatrzymaj nagrywanie Process Monitor (ikonka "lupki" na pasku narzędzi). File > Save > wynikowy plik PML spakuj do ZIP, shostuj gdzie i wyślij mi link na PM. .

Nie tym razem, w przeciwnym wypadku bym wyraźnie to napisała. Poprzednio UTF-8 było wymagane, by przetworzyć "chińszczyznę".

Proszę popatrz na mój komentarz, logi już dawno sprawdzone, w przeciwnym wypadku temat nie zostałby przeniesiony z działu diagnostyki infekcji. Brak oznak infekcji i innych uwag. Umieściłam komentarz w tej formie, bo nie ma tu co za bardzo analizować w raportach, one nie pomogą w opisywanym problemie. To są raporty koncentrowane na określonych rzeczach i tylko tyle co z nich wynika to, że była świeża instalacja Windows, bo logi są bardzo krótkie i niezbyt dużo niedomyślnych elementów. Logi te nie mają też specjalizacji w materii sprzętowej, a tu się może klarować problem tego poziomu. Groszexxx zadał też pytanie: ... co jak sądzę m.in. jest pod kątem nie zainstalowanych sterowników: ==================== Faulty Device Manager Devices ============= Name: Description: Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. Name: Ralink_RT3290_Bluetooth_01 Description: Ralink_RT3290_Bluetooth_01 Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. Name: Description: Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. W Menedżerze urządzeń jest więc kilka obiektów z pytanikiem bądź wykrzyknikiem. .