picasso

Brakuje głównego skanu FRST (FRST.txt). Dostarczyłeś podwójny Shortcut (usuwam) oraz dwa zestawy logów AdwCleaner: stare z zeszłego roku (usuwam) oraz nowe. WMI zostało w końcu naprawione. Zdewastowany Allin1Convert został dokasowany przez AdwCleaner. I poprawki: 1. Specjalny skrót Internet Explorer nie jest poprawny: Shortcut: C:\Documents and Settings\admin\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Documents and Settings\admin\Menu Start\Programy\Akcesoria\Narzędzia systemowe i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 2. Otwórz Notatnik i wklej w nim: CloseProcesses: DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Dostarcz wynikowy fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

A wg raportu FRST multum punktów Przywracania w systemie (funkcja była/jest czynna), w tym świeże z września (ostatni sprzed dwóch dni): ==================== Restore Points ========================= 01-08-2014 08:32:24 Punkt kontrolny systemu 01-08-2014 09:45:39 Software Distribution Service 3.0 02-08-2014 00:32:41 Installed Dark Messiah 02-08-2014 00:42:57 Zainstalowany program DirectX 02-08-2014 01:07:12 Installed Dark Messiah 02-08-2014 01:07:28 Zainstalowany program DirectX 03-08-2014 18:04:14 Punkt kontrolny systemu 04-08-2014 18:52:18 Punkt kontrolny systemu 06-08-2014 10:59:07 Punkt kontrolny systemu 06-08-2014 17:49:13 Zainstalowano AVG 2014 07-08-2014 08:09:29 Removed Dark Messiah 07-08-2014 13:56:00 Zainstalowany program DirectX 09-08-2014 09:36:42 Punkt kontrolny systemu 09-08-2014 14:04:37 Removed Java 7 Update 60 10-08-2014 15:03:04 Punkt kontrolny systemu 11-08-2014 15:58:25 Punkt kontrolny systemu 12-08-2014 16:46:40 Punkt kontrolny systemu 13-08-2014 12:31:39 Software Distribution Service 3.0 15-08-2014 08:32:29 Punkt kontrolny systemu 16-08-2014 10:21:54 Punkt kontrolny systemu 17-08-2014 10:36:45 Punkt kontrolny systemu 18-08-2014 14:52:01 Punkt kontrolny systemu 20-08-2014 12:58:43 Punkt kontrolny systemu 21-08-2014 15:34:39 Punkt kontrolny systemu 22-08-2014 17:10:15 Punkt kontrolny systemu 24-08-2014 09:52:31 Punkt kontrolny systemu 25-08-2014 10:00:09 Punkt kontrolny systemu 26-08-2014 10:01:46 Punkt kontrolny systemu 27-08-2014 16:12:02 Punkt kontrolny systemu 28-08-2014 07:10:07 Sony PC Companion 28-08-2014 07:13:31 Installed Sony Mobile Drivers 29-08-2014 13:38:49 Punkt kontrolny systemu 30-08-2014 23:11:19 Punkt kontrolny systemu 01-09-2014 05:26:12 Punkt kontrolny systemu 02-09-2014 09:43:06 Punkt kontrolny systemu 03-09-2014 11:54:00 Punkt kontrolny systemu 04-09-2014 15:18:16 Punkt kontrolny systemu 05-09-2014 16:15:14 Punkt kontrolny systemu 06-09-2014 16:15:29 Punkt kontrolny systemu 08-09-2014 08:04:30 Punkt kontrolny systemu 09-09-2014 11:18:48 Punkt kontrolny systemu 10-09-2014 13:24:13 Punkt kontrolny systemu 11-09-2014 08:44:11 Software Distribution Service 3.0 12-09-2014 11:52:50 Punkt kontrolny systemu 13-09-2014 15:28:03 Punkt kontrolny systemu 14-09-2014 18:39:29 Punkt kontrolny systemu 15-09-2014 20:03:07 Punkt kontrolny systemu 17-09-2014 08:06:17 Punkt kontrolny systemu 18-09-2014 11:06:36 Punkt kontrolny systemu 19-09-2014 12:34:30 Punkt kontrolny systemu 20-09-2014 12:43:43 Punkt kontrolny systemu 21-09-2014 09:23:01 Removed Microsoft Bootvis 22-09-2014 10:10:41 Punkt kontrolny systemu 23-09-2014 11:03:53 Punkt kontrolny systemu Tak więc ponownie kieruję do czyszczenia punktów. .

Brakuje pliku FRST Shortcut. Tak, dołącz widok kwarantanny Avast. Jedyne co z nazw na razie mogę wyciągnąć to Mindspark-A = niepożądany pasek Allin1Convert, który wg raportów nie został poprawnie odinstalowany lecz stratowany skanerem. Jak sądzę to wszystko to pokłosie tego co mówiłeś w poprzednim temacie (pobranie downloaderów). Ponadto, widzę że dysfunkcja WMI nadal ma miejsce i komenda aktualizacji repozytorium WMI nie zadziałała. Przechodzimy do czyszczenia tego co widać w raportach: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 IePluginServices; C:\Documents and Settings\All Users\Dane aplikacji\IePluginServices\PluginService.exe [715656 2014-09-21] (Cherished Technololgy LIMITED) R2 WindowsMangerProtect; C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect\ProtectWindowsManager.exe [528896 2014-09-21] (Fuyu LIMITED) [File not signed] HKU\S-1-5-21-3258611155-3004601454-3534232741-1006\...\Run: [RDReminder] => C:\Program Files\RCP\RegCleanPro.exe [8078152 2014-08-29] () HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search.ask.com/?tpid=ORJ-SPE&o=APN11406&pf=V7&trgb=IE&p2=^BBE^OSJ000^YY^PL&gct=hp&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=launcher.exe_0_24.0.1558.61&apn_uid=B7B81001-944F-47B3-A48A-A7492A087256&itbv=12.16.2.53&doi=2014-09-25&psv=&pt=tb HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1411308529&from=cor&uid=FUJITSUXMHV2080BHXPL_NW9ZT6729HY5&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1411308529&from=cor&uid=FUJITSUXMHV2080BHXPL_NW9ZT6729HY5&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank URLSearchHook: HKCU - (No Name) - {D8278076-BC68-4484-9233-6E7F1628B56C} - No File URLSearchHook: HKCU - (No Name) - {5bcf818d-78c8-41b8-ba89-65c5fdac4fc4} - C:\Program Files\Allin1Convert_8h\bar\1.bin\8hSrcAs.dll No File SearchScopes: HKLM - {75b4241f-171e-44a3-bf44-23613b6e3e03} URL = http://search.tb.ask.com/search/GGmain.jhtml?p2=^AYY^man000^YYA^&ptb=4DD23672-744C-499E-A903-FD938BD9A261&ind=2014092213&n=780c9bb5&psa=&st=sb&searchfor={searchTerms} SearchScopes: HKCU - DefaultScope {3A5B682D-D4F1-477C-A829-DFEA54211D58} URL = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^PL&gct=sb&itbv=12.16.2.53&apn_uid=B7B81001-944F-47B3-A48A-A7492A087256&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=launcher.exe_0_24.0.1558.61&doi=2014-09-25&trgb=IE&q={searchTerms}&psv=&pt=tb SearchScopes: HKCU - {3A5B682D-D4F1-477C-A829-DFEA54211D58} URL = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^PL&gct=sb&itbv=12.16.2.53&apn_uid=B7B81001-944F-47B3-A48A-A7492A087256&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=launcher.exe_0_24.0.1558.61&doi=2014-09-25&trgb=IE&q={searchTerms}&psv=&pt=tb SearchScopes: HKCU - {75b4241f-171e-44a3-bf44-23613b6e3e03} URL = http://search.tb.ask.com/search/GGmain.jhtml?p2=^AYY^man000^YYA^&ptb=4DD23672-744C-499E-A903-FD938BD9A261&ind=2014092213&n=780c9bb5&psa=&st=sb&searchfor={searchTerms} BHO: Rich Media Downloader -> {A7DF592F-6E2A-45C4-9A87-4BD217D714ED} -> C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Rich Media Player\BrowserExtensions\IE\RichMediaDownloader.dll No File FF Plugin: @Allin1Convert_8h.com/Plugin -> C:\Program Files\Allin1Convert_8h\bar\1.bin\NP8hStub.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CustomCLSID: HKU\S-1-5-21-3258611155-3004601454-3534232741-1006_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Documents and Settings\admin\Dane aplikacji\Dropbox\bin\Dropbox.exe /autoplay No File CustomCLSID: HKU\S-1-5-21-3258611155-3004601454-3534232741-1006_Classes\CLSID\{5bcf818d-78c8-41b8-ba89-65c5fdac4fc4}\InprocServer32 -> C:\Program Files\Allin1Convert_8h\bar\1.bin\8hSrcAs.dll No File CustomCLSID: HKU\S-1-5-21-3258611155-3004601454-3534232741-1006_Classes\CLSID\{E69341A3-E6D2-4175-B60C-C9D3D6FA40F6}\localserver32 -> C:\Documents and Settings\admin\Dane aplikacji\Dropbox\bin\Dropbox.exe /wiacallback No File C:\Documents and Settings\admin\Dane aplikacji\PriceFountain C:\Documents and Settings\admin\Dane aplikacji\SampleView C:\Documents and Settings\admin\Dane aplikacji\sweet-page C:\Documents and Settings\admin\Dane aplikacji\Systweak C:\Documents and Settings\admin\Moje dokumenty\*.opdownload C:\Documents and Settings\admin\Moje dokumenty\*_(www_dodane_pl).* C:\Documents and Settings\admin\Moje dokumenty\driver*.* C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\PriceFountain C:\Documents and Settings\All Users\Dane aplikacji\boost_interprocess C:\Documents and Settings\All Users\Dane aplikacji\SP_FT_Logs C:\Program Files\RCP C:\Program Files\Mozilla Firefox C:\WINDOWS\jumpshot.com C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\roboot.exe CMD: net stop winmgmt C:\WINDOWS\system32\wbem\Repository Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj adware Allin1Convert Internet Explorer Toolbar, WindowsMangerProtect20.0.0.722, WinRAR 5.11 Packages oraz niebezpieczną starą Java w wersji J2SE Runtime Environment 5.0 Update 6. Allin1Convert może zwrócić błąd, bo jak mówiłam jest uszkodzony skanerem, w takim przypadku zajmę się odpadkiem później. Jeśli stara Java stawi opór, zastosuj firmowy usuwacz do Java: Java Uninstall Tool. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut. Dołącz też plik fixlog.txt i log z AdwCleaner. .

Temat doklejam do poprzedniego, bo to jest kontynuacja i jakby zamknięcie tamtych wątków, podane logi umożliwiające odniesienie się do określonych aspektów. Odnosząc się do nowych pytań: 1. Detekcje infekcji: - Hitman: Detekcje plików nVidia, skanera HerdProtect oraz FRST wyglądają na fałszywe alarmy. A FRST miał zostać już dawno usunięty, ale nie zauważyłam, że Ty umieściłeś go w podfolderze C:\Users\Spid3r\Desktop\Nowy folder - DelFix nie robi skanu rekursywnego, kasuje narzędzia tylko z root Pulpitu i Pobranych. FRST po prostu usuń, bo i tak za każdym razem należy go pobierać od nowa. - Adware Removal Tool: nic szczególnego, tylko drobne i już nieczynne odpadki adware Babylon Toolbar i SmartBar wykryte. Te wyniki relatywne do adware łączą się z poprzednimi odczytami COMODO z folderu C:\Windows\Installer. Przypadkowo także usunięte odnośniki PCTools Browser Defender, ale program i tak już nie istniał w Twoim systemie, więc uszkodzeń brak. Poleciały też pliki Opera, tu nie jestem pewna czy to była rzeczowa detekcja i co było tak naprawdę w tych plikach INI. 2. Jeśli chodzi o programy: - SuperAntiSpyware Pro: W mojej opinii to poboczny skaner i nie ta sama liga co np. Malwarebytes Antimalware Premium. Zalecam raczej jako skaner na żądanie drugiej instancji, z wyłączonym rezydentem, by nie przeciążać systemu. - VitRegistryFix nie jest lewym programem, ale bez wyników skanu trudno cokolwiek powiedzieć, a każdy czyściciel rejestru ma inny algorytm. Ogólnie też nie przykładam zbyt dużej wagi do czyszczenia rejestru, a nawet w wielu przypadkach całkowicie odradzam to mniej zaawansowanym użytkownikom, którzy nie rozumieją wyników. Czyściciel rejestru ma ograniczoną inteligencję, potem się okazuje, że wyczyszczono za dużo i jest poważny problem z przywróceniem systemu do pożądanego stanu. Tu kilka razy na forum były historie tego typu z różnymi czyścicielami rejestru, o zgrozo użytkownik nawet kopii rejestru nie zrobił i było ciężko dojść co zostało właściwie uszkodzone. Czyszczenie rejestru nie ma też zbyt dużego wpływu na wydajność, o wiele większy wpływ ma defragmentacja dysku (pomijając dyski SSD). Popatrz także tu: KLIK. .

Kolejne podejście, tym razem deaktywacja buforowania proxy. Otwórz Notatnik i wklej w nim: Reg: reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v EnableAutoProxyResultCache /t REG_DWORD /d 0x0 /f Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Restart. Podaj fixlog.txt i powiedz czy są jakieś zmiany. Owszem, AVG tu pasuje, jeśli efekt pojawił się po jego instalacji. .

Podejrzenie budzą określone wpisy Proxy Auto Detect (WPAD) strony bieżącego użytkownika: Otwórz Notatnik i wklej w nim: Reg: reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad" /v WpadOverride /t REG_DWORD /d 0x1 /f Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Przedstaw fixlog.txt i powiedz czy są notowale zmiany. .

Zadania wykonane. Drobne poprawki. Otwórz Notatnik i wklej w nim: S0 qvxbmitw; System32\drivers\glfjyrcp.sys [X] CMD: del /q C:\windows\SysWOW64\sqlite3.dll RemoveDirectory: C:\AdwCleaner DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Popatrz tu: KLIK / KLIK. Spróbuj przeinstalować Google Chrome. .

Podaj mi dodatkowy skan. Otwórz Notatnik i wklej w nim: CMD: netsh winhttp show proxy Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /s Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. .

Skoro dwie przeglądarki na trzy mają problem, a inne programy realizujące funkcje sieciowe się łączą, to mi jednak wygląda na proxy po stronie IE, co mogłoby dotknąć także i Operę. Wg śladów w logu Opera wygląda na tę nową linię na silniku Blink, więc tak jak Google Chrome korzysta z proxy IE. Tylko w raportach nic nie widać. Otwórz Panel sterowania > Sieć i Internet > Opcje internetowe > Połączenia: - Czy coś stoi w oknie połączeń? - Czy w "Ustawienia sieci LAN" jest ustawione "Automatycznie wykryj ustawienia"? To nic szczególnego i bez wpływu na obecny stan systemu, o ile te pliki ponownie nie zostaną uruchomione. To pobrane pliki "downloaderów" portalowych lub instalatory programów zawierające adware. Oczywiście do wyrzucenia. Więcej na temat tych zjawisk: KLIK. .

Tematy po prostu łączę razem, gdyż właściwie tu jest kontynuacja. Zalecone operacje pomyślnie przetworzone i nie notuję już tych podejrzanych modułów z Temp. Idziemy dalej: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=180&d=20140622 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=180&d=20140622 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=180&d=20140622 BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File CMD: del /q C:\Users\Bartek\Downloads\938mzrcx.exe CMD: del /q C:\Windows\SysWOW64\sqlite3.dll RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Java RemoveDirectory: C:\Program Files (x86)\MyFree Codec RemoveDirectory: C:\Windows\System32\log RemoveDirectory: C:\Windows\SysWOW64\Adobe RemoveDirectory: C:\Windows\SysWOW64\Macromed DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Powstanie kolejny fixlog.txt. Przedstaw go. 2. Zainstaluj najnowszą wersję Malwarebytes Anti-Malware (przy instalacji odznacz trial), wykonaj pełny skan systemu i dostarcz wynikowy log, o ile coś zostanie znalezione. .

Kolejne mini poprawki: 1. AdwCleaner wywalił na siłę z Google Chrome rozszerzenie avast! SafePrice. Na wszelki wypadek w przeglądarce Ustawienia > karta Rozszerzenia > potwierdź że wejście nie jest już jest widoczne. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: del /q C:\Windows\SysWOW64\sqlite3.dll RemoveDirectory: C:\Users\Marta\AppData\Local\Google\Chrome\User Data\Default\Extensions\eofcbnmajmjmplflapaojjnihcjkigck RemoveDirectory: C:\AdwCleaner DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Dostarcz wynikowy fixlog.txt. .

1. Na tych kontach zastosuj Usuń w AdwCleaner. Po tym przywróć im charakter limitowany, a dalsze akcje już z poziomu admina: 2. Pozbądź się narzędzi z C:\Czyszczenie i popraw przy udziale DelFix. 3. Wyczyść foldery Przywracania systemu i porównaj co wymaga aktualizacji: KLIK. .

Jeśli chodzi o otwieranie Dokumentów przy starcie, to trudno coś zalecić, gdyż to zależy po prostu od wpisów w starcie, a trudno kontrolować z wyprzedzeniem co dana instalacja ma w zamiarze i jaką konstrukcję wpisu stworzy. Jeśli chodzi o odpadki adware, to do czytania ten materiał: KLIK. Tak jak już raportowałeś, gładko poszło i możemy kończyć: 1. Był uruchamiany GMER, toteż na wszelki wypadek zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Usuń używane narzędzia za pomocą DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Do aktualizacji stary Internet Explorer 6, tylko że wersja IE8 dla XP została usunięta ze stron pobierania Microsoftu, więc sprawdź czy Windows Update go podsuwa. .

Tak, to płaszcz chodzący na automacie. W konfiguracji tylko decydujesz który komponent ma być chroniony.

Temat przenoszę do działu Windows. Tu jest dysproporcja tematyczna. W zakresie infekcji nic szczególnego tu nie widzę, jedynie adware, a i to wygląda na szczątki. Czyszczeniem tego zajmę się oczywiście, ale to nie może być przyczyna zamulenia, nie ten poziom ingerencji. Natomiast te błędy "Zły obraz" ujawnione podczas skanu FRST, punktujące systemowy plik C:\Windows\system32\gameux.dll (Eksplorator gier), wskazują na jego uszkodzenie. I tu problemem może być właśnie to: uszkodzenia plików i błędy struktury plików. Wstępnie: 1. Doczyszczanie śmieci: 2. Sprawdzanie błędów na dysku: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: chkdsk /f /r Zatwierdź uruchomienie przy następnym starcie i resetuj system, by checkdisk wykonał pracę. Wynik zostanie nagrany w Dzienniku zdarzeń w gałęzi Aplikacja w postaci rekordu z Wininit. Pobierz szczegóły tego rekordu, skopiuj i wklej do posta statystyki. 3. Weryfikacja plików systemowych: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. .

OK, tamte klucze z głowy. Jeśli chodzi o te trzy logi z AdwCleaner, to obawiam się że "uruchomienie jako Administrator" zmieniło kontekst konta i klucze HKCU są wykryte tylko na jednym koncie, czyli admin. Uruchom z poziomu admina AdwCleaner, zastosuj Szukaj + Usuń. Następnie sprawdź czy na pozostałych kontach AdwCleaner coś wykrywa. .

Zestaw logów niekompletny, brakuje pliku FRST Shortcut, logów z OTL i GMER. Wróć do instrukcji i uzupełnij braki: KLIK.

FF Extension: Flash Video Downloader - YouTube Full HD Download - C:\Users\Grzegorz\AppData\Roaming\Mozilla\Firefox\Profiles\mng7pk1p.default\Extensions\artur.dubovoy@gmail.com [2014-08-02] FF Extension: DownloadHelper - C:\Users\Grzegorz\AppData\Roaming\Mozilla\Firefox\Profiles\mng7pk1p.default\Extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2014-09-06] FF Extension: Iplex to ALLPlayer - C:\Users\Grzegorz\AppData\Roaming\Mozilla\Firefox\Profiles\mng7pk1p.default\Extensions\IplextoALL@ALLPlayer.org.xpi [2011-11-14] FF Extension: Eliminator Slajdów - C:\Users\Grzegorz\AppData\Roaming\Mozilla\Firefox\Profiles\mng7pk1p.default\Extensions\jid0-GaZOxvWNYcafEsmayJDIG3XXVi8@jetpack.xpi [2013-01-22] FF Extension: Adblock Plus - C:\Users\Grzegorz\AppData\Roaming\Mozilla\Firefox\Profiles\mng7pk1p.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2012-11-16] Jeśli chodzi o wyniki MBAM: RiskWare.Tool.CK to crack do Office (do ominięcia), a reszta to szczątki adware i downloadery je wprowadzające (usuń). Do czytania też ten materiał: KLIK. I finalizacja spraw: 1. Wyczyść foldery Przywracania systemu: KLIK. 2. Zainstaluj wybranego antywirusa. Ten najnowszy AVG 2015 może być, ale przy instalacji omiń instalację paska typu "AVG Secure Search" lub coś brzmiącego podobnie. Była tu także infekcja związana z eksploitami Java, proponuję więc też uzupełnienie w postaci darmowej wersji Malwarebytes Anti-Exploit. .

Wszystko wygląda lepiej, infekcje adware pomyślnie usunięte, na liście programów pojawiły się też dodatkowe pozycje. Niemniej nadal są problematyczne uruchomione programy, których nie ma na liście zainstalowanych, a być powinny. 1. A teraz zadaję czyszczenie szczątków. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 aswHwid; C:\Windows\system32\drivers\aswHwid.sys [29208 2014-08-01] () Task: {C687F9A4-5C88-42F5-8203-E963D74ADFC1} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe HKU\S-1-5-21-1814759783-3317407556-1525104232-1000\...\Run: [ChomikBox] => C:\Program Files (x86)\ChomikBox\chomikbox.exe ShellIconOverlayIdentifiers: 00avast -> {472083B0-C522-11CF-8763-00608CC02F24} => No File BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre7\bin\ssv.dll No File BHO-x32: No Name -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll No File Handler: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - No File Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - No File Handler-x32: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - No File Handler-x32: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - No File S3 AdobeARMservice; "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe" [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Astroburn Lite RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gameforge RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Topaz Labs RemoveDirectory: C:\Users\pc\AppData\Roaming\AVAST Software CMD: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\µTorrent.lnk" CMD: del /q "C:\Users\pc\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk" CMD: del /q C:\Users\pc\AppData\Local\ACCCx2_7_1_418.zip.* CMD: del /q C:\Users\pc\Downloads\acrobat_ittools*.zip CMD: del /q C:\Users\pc\Downloads\AdobeAIRInstaller*.exe CMD: del /q C:\Users\pc\Downloads\JavaRa*.zip CMD: del /q C:\Users\pc\Downloads\MCPR*.exe CMD: del /q C:\Users\pc\Downloads\MozBackup*.exe CMD: del /q C:\Windows\system32\drivers\aswHwid.sys DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Powstanie kolejny fixlog.txt. Pokaż go. 2. Potem do przeinstalowania będą kolejne programy ze zniszczonym wejściem deinstalacyjnym: AccuRender nXt, Acme CAD Converter, Adobe Acrobat 11, Adobe Photoshop CS6, Any DWG to Image Converter Pro, ArchiCAD 16, AutoCAD 2012, Autodesk 3ds Max 2013, CodeMeter od WIBU, Creative, Geodezja, iCloud od Apple, iTunes, K-Lite Codec Pack, Nitro Pro, Origin, PDF Decrypt 2009, QuickTime, Realtek, SketchUp 2013, SMPlayer, TeamSpeak, TERA, TP-LINK, UltraDefrag, V-Ray for SketchUp, WinRAR i wszystkie gry. Niestety co więcej to już zagadka. Gdyby jeszcze jakiś program został zdiagnozowany jako pozbawiony wejścia na liście deinstalacji, po prostu go przeinstaluj. .

Komenda wykonana pomyślnie, więc możesz przejść do dalszych czynności końcowych.

Nic, pomijamy usuwanie katalogu, tylko zaznaczyłam że nastąpiła kolizja zadaniowa. Finalizacja: 1. Pousuwaj z Pulpitu folery narzędzi i popraw za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. To tyle. .

Tu widać tylko szczątki adware i mam wątpliwości czy to w ogóle jest powiązane z: Ta usterka jest prowokowana przez jedno z tych: niepoprawna wartość Userinit lub niepoprawna składnia któregoś wpisu w starcie. Tu brak oznak defektu na poziomie Userinit. Jeśli chodzi o wpisy w starcie, to też trudno ocenić sprawę, gdyż stosowane narzędzia obcinają argumenty uruchomienia i postać wpisów nie jest 100% wierna. Póki co, wpis zbędnika "AVG Secure Search" ma dość podejrzaną budowę. Na początek usuń szczątkowe wpisy, które widać: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: C:\WINDOWS\Tasks\AVG_SYS_TASK_0814av.job => C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_0814av\AVG-Secure-Search-Update_0814av.exe Task: C:\WINDOWS\Tasks\AVG_SYS_TASK_0814av_DELETE.job => C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_0814av\AVG-Secure-Search-Update_0814av.exe Task: C:\WINDOWS\Tasks\OGHF.job => C:\Documents and Settings\wierszcz\Dane aplikacji\OGHF.exe Task: C:\WINDOWS\Tasks\YHSNBE.job => C:\Documents and Settings\wierszcz\Dane aplikacji\YHSNBE.exe S3 e4usbaw; system32\DRIVERS\e4usbaw.sys [X] S2 IKANLOADER2; System32\Drivers\e4ldr.sys [X] S3 PCAMPR5; \??\C:\WINDOWS\system32\PCAMPR5.SYS [X] S3 SANDRA; \??\C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2012.SP4c\WNt500x86\Sandra.sys [X] HKU\S-1-5-21-1935655697-1965331169-725345543-1004\...\Run: [AVG-Secure-Search-Update_0814av] => C:\Documents and Settings\Zwierszcz\Dane aplikacji\Avg_Update_0814av\AVG-Secure-Search-Update_0814av.exe /PROMPT /mid=0181fd34b89d4e3887dad00ae870dc6b-48c509dde6808136529a66293ed6d56a3b11f74c /CMPID= (the data entry has 6 more characters). ShellIconOverlayIdentifiers: 00avast -> {472083B0-C522-11CF-8763-00608CC02F24} => No File BootExecute: autocheck autochk * ???????????????????? ????????????? ????? ???????????????????????????? ????????????? ????? ???????? URLSearchHook: HKLM - Default Value = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} CHR NewTab: Default -> "chrome-extension://pelmeidfhdlhlbjimpabfcbnnojbboma/index.html" CHR DefaultSearchKeyword: Default -> istartsurf CHR DefaultSearchURL: Default -> http://www.istartsurf.com/web/?type=ds&ts=1410028189&from=ild&uid=SAMSUNGXHD161HJ_S0V3J9CQ109876&q={searchTerms} CHR DefaultSuggestURL: Default -> FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\Świerszcz\Dane aplikacji\OGHF C:\Documents and Settings\Świerszcz\Dane aplikacji\YHSNBE C:\Program Files\mozilla firefox\plugins C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Hoolapp Android" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KernelFaultCheck" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WebCake Desktop" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser" /v {10921475-03CE-4E04-90CE-E2E7EF20C814} /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser" /v {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy istartsurf. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są zmiany. .

Nie wykonała się ostatnia komenda usuwania kwarantanny FRST, źle wkleiłeś ostatnią linię obcinając kropki DeleteQuarantine:. Powtórz w FRST skrypt o zawartości: DeleteQuarantine: .

DelFix możesz już usunąć. Temat rozwiązany. Zamykam.

Temat przenoszę wstępnie do Windows, ale może i do Hardware pójdzie na diagnostykę. Brak oznak infekcji. Na liście zainstalowanych tylko martwy odpadek po adware LinkSwift, ale to nie ma żadnego znaczenia i na teraz nie będziemy się zajmować "kosmetyką", bo nie pomoże w niczym. Z raportów nic konkretnego nie wynika, w Dzienniku zdarzeń też brak konkretów (pokazane "zdefektowane urządzenia" i błędy to głównie naturalny skutek startu w awaryjnym). Czyli mam rozumieć, iż zawiasy zachodzą też w Trybie awaryjnym? Sugerują to logi z Windows wykonane w Trybie awaryjnym, które są obcięte. Uwględniając oba scenariusze: 1. Jeśli Tryb awaryjny pracuje poprawnie: Z niedomyślnych obiektów rzuca się w oczy Avast. W takim przypadku można go odinstalować w Trybie awaryjnym Windows (jest to możliwe, gdyż Avast nie jest oparty na Instalatorze Windows) i poprawić narzędziem Avast Uninstall Utility. 2. Jeśli jednak również okrojony Tryb awaryjny jest zdefektowany (Avast nie jest ładowany wcale), to już na myśl przychodzi usterka pokroju sprzętowego. Niemniej jest tu jedna sprawa, mało wolnego miejsca na dysku i to może być przyczyna zawieszeń: ==================== Drives ================================ Drive c: () (Fixed) (Total:50 GB) (Free:5.04 GB) NTFS Sprawdź co się stanie po zwolnieniu więcej, conajmniej 10GB w zapasie. Jeśli to nie pomoże, dostarcz tyle danych relatywnych do sprzętu ile zdołasz: KLIK. .