picasso

A gdzie te programy zapisałeś? Jeśli w jakiś podkatalogach folderów Pulpit lub Pobieranie, to wszystko musisz usunąć ręcznie, bo DelFix adresuje tylko określone miejsca i nie robi rekursywnego skanu (trawałoby to potwornie długo). .

Tak + pobraną paczkę. DelFix ma skasować FSS i instrukcja nakazuje przedstawić log wynikowy. SetACL podałam do usuwania ręcznego, bo wątpię, by DelFix to adresował.

Finalizujemy sprawy: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Odinstaluj te stare pozycje, zastąp najnowszymi: ==================== Installed Programs ====================== Adobe Flash Player 12 ActiveX (HKLM-x32\...\{60AED4A0-3092-4DF4-A0A2-31F121122E92}) (Version: 12.0.0.70 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 14 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 14.0.0.179 - Adobe Systems Incorporated) -----> wtyczka dla Firefox/Opera Adobe Reader X (10.1.12) MUI (HKLM-x32\...\{AC76BA86-7AD7-FFFF-7B44-AA0000000001}) (Version: 10.1.12 - Adobe Systems Incorporated) Java 7 Update 51 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86417051FF}) (Version: 7.0.510 - Oracle) .

Pełne zaćmienie miałam, szukałam wg nazwy wejścia menu. Wygląda na to, że omawiana opcja to te wpisy: "HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers" "" "" "" "2014-09-17 01:05" + "SimpleShlExt" "IntelliStor ShContextMenu Module" "Clarus, Inc." "c:\program files\clarus\samsung auto backup\shcontextmenu.dll" "2010-08-28 14:46" "HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers" "" "" "" "2014-08-20 00:08" + "SimpleShlExt" "IntelliStor ShContextMenu Module" "Clarus, Inc." "c:\program files\clarus\samsung auto backup\shcontextmenu.dll" "2010-08-28 14:46" By to potwierdzić na 100%, w Autoruns w karcie Explorer wyłącz oba wejścia SimpleShlExt od Samsung i zresetuj system. Jeśli opcja zniknie z widoku, jasna sprawa. .

Usługi pomyślnie odbudowane. Myślę, że możemy przejść do czynności końcowych: 1. Usuń ręcznie SetACL i C:\Users\Wiex\Downloads\FRST. Popraw narzędziem DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Drobne aktualizacje, są nowsze wersje tych dwóch programów: ==================== Installed Programs ====================== Adobe Reader XI (11.0.05) - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.05 - Adobe Systems Incorporated) Java 7 Update 60 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217040FF}) (Version: 7.0.600 - Oracle) .

Błąd w Dzienniku zdarzeń jest konkretny: Application errors: ================== Error: (09/17/2014 09:50:07 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: explorer.exe, wersja: 6.1.7601.17567, sygnatura czasowa: 0x4d672ee4 Nazwa modułu powodującego błąd: ASUSWSShellExt64.dll, wersja: 1.1.0.27, sygnatura czasowa: 0x4c7f631d Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x00000000000051da Identyfikator procesu powodującego błąd: 0x%9 Godzina uruchomienia aplikacji powodującej błąd: 0xexplorer.exe0 Ścieżka aplikacji powodującej błąd: explorer.exe1 Ścieżka modułu powodującego błąd: explorer.exe2 Identyfikator raportu: explorer.exe3 Błąd powoduje firmowy program ASUS WebStorage zarejestrowany jako rozszerzenie powłoki (ikona nakładkowa): HKLM-x32\...\Run: [ASUSWebStorage] => C:\Program Files (x86)\ASUS\ASUS WebStorage\3.0.84.161\AsusWSPanel.exe [731472 2011-02-23] (ecareme) ShellIconOverlayIdentifiers: AsusWSShellExt_B -> {6D4133E5-0742-4ADC-8A8C-9303440F7190} => C:\Program Files (x86)\ASUS\ASUS WebStorage\3.0.84.161\ASUSWSShellExt64.dll (eCareme Technologies, Inc.) ShellIconOverlayIdentifiers: AsusWSShellExt_O -> {64174815-8D98-4CE6-8646-4C039977D808} => C:\Program Files (x86)\ASUS\ASUS WebStorage\3.0.84.161\ASUSWSShellExt64.dll (eCareme Technologies, Inc.) To znany problem na Asusowych systemach 64-bit i przewijał się przez forum multum razy. Po prostu odinstaluj ten program - to firmowy zbędnik (internetowy dysk wirtualny) - i potwierdź pozytywne zmiany. PS. W ramach kosmetyki drobne poprawki i czyszczenie wpisów pustych oraz lokalizacji tymczasowych: .

Prawie wszystko zrobione, nie wykonała się jednak zbiorcza komenda usuwania plików śmieci. Poprawki: 1. W pasku adresów eksploratora Windows wklej poniższą ścieżkę i ENTER: C:\Users\Sayuri\AppData\Roaming Przez SHIFT+DEL (omija Kosz) skasuj wszystkie alfanumeryczne pliki. Tu przykład o co mi chodzi: 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\ffe3cf02 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\ff5396f2 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\f78af34 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\f41745fa 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\f387b5c0 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\ef889c5a 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\ee744215 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\d569b1dc 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\d4d6cb34 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\99eeaf8d 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\993ad5ba 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\7d1f2050 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\7ca0ea57 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\7c186f7c 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\7b91c277 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\7a216c19 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\789bab0c 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\754f1be 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\6b630c 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\5c5cba8 2014-09-18 13:06 - 2014-09-18 13:06 - 00004638 _____ () C:\Users\Sayuri\AppData\Roaming\102a1148 etc... 2. Na wszelki wypadek zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). .

Autoruns nie widzi pozycji "Run QuickBackup". Podaj raport z SilentRunners. Tak, zrozumiałam co mówisz. Komentowałam fakt resetu Firefox, bo to nie reperuje żadnych skrótów. .

Ten log jest źle skonfigurowany. Wyłączyłeś Whitelist dla opcji Internet, a miałeś to zrobić dla zupełnie innych pozycji:

Nie wiem skąd ta opcja się tam znalazła, ale reset Firefox w ogóle nie zajmuje się korektą skrótów aplikacji, skróty muszą być ręcznie korygowane. To mi wygląda na opcję wprowadzoną przez Samsung Auto Backup (figuruje na Twojej liście zainstalowanych). Na wszelki wypadek zrób log z Autoruns (zapisz log w formacie TXT a nie ARN). Narzędzie uwzględnia skan ContextMenuHandlers, tych sfer nie skanują FRST i OTL. Wprawdzie poświęciłam sporo czasu dla tego XP i zdaje się być dostatecznie wyczyszczony (będą jeszcze ogólne skany i końcowe kroki), ale moje stanowisko jest raczej jasne w przyklejonym temacie. System przestarzały i bez wsparcia. Nie namawiam na używanie XP, zakładam że ktoś używając go nadal po prostu nie ma możliwości zmiany systemu (za stary sprzęt, brak finansów i podobne). .

Pomimo błędu przejdź do wykonania akcji z SetACL, a po tym dostarcz świeży log z Farbar Service Scanner.

Po pierwsze, skąd pobierany FRST? Jest stary, a log źle skonfigurowany. Posługujesz się wersją sprzed dwóch miesięcy (najnowszy FRST jest z września): Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version:21-07-2014 Pobierz najnowszy z przyklejonego i zrób log wg wytycznych działu, czyli opcje Drivers MD5 i List BCD nie mają być zaznaczone: KLIK. Po drugie: opisz problem dokładniej, co to oznacza "Nie mogę się zalogować na swoje konto", co widzisz (jakiś błąd?). .

Za opisywane zachowanie odpowiada jeden prosty wpis "CMD" w starcie. Dodatkowo, w przeglądarkach są szczątki obiektów adware. Przeprowadź poniższe działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-2176411516-3333787489-937677154-1001\...\Run: [CMD] => cmd.exe /c start http://extendedunlimited.org && exit Task: {FC94AEA3-F260-43FB-80F3-A7474576FD81} - \AutoKMS No Task File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\omiga-plus.xml S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S2 hjlkfdajklfed3dfa; \??\C:\Program Files (x86)\SupTab\cfgdrv64.cfg [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S1 MpKsl79e54222; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{39A6E709-9DF0-4A1E-832F-393F34B67496}\MpKsl79e54222.sys [X] C:\ProgramData\pkeimendennphbobgjmacnnkbglgfpkg C:\ProgramData\pcpgkhkhigppdedocfembbglnapkinoi C:\ProgramData\Temp C:\Users\Sayuri\AppData\Roaming\* C:\Users\Sayuri\Downloads\*(*).exe Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Uninstall C:" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Używany AdwCleaner źle naprawił specjalny skrót IE: Shortcut: C:\Users\Sayuri\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Sayuri\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Bez zmian, a to dlatego, bo jak na PW zgłosiłeś w ogóle plik REG nie został zaimportowany. Dopóki nie wykonasz importu pliku, akcja z SetACL jest bezcelowa (przetwarzanie nieistniejących obiektów). PS. I nadal brakuje pliku fixlog.txt z tego działania:

hunter121 Ciężko nam idzie, przypominam się ponownie. Masz zrobić trzy raporty z FRST (FRST.txt, Addition.txt i Shortcut.txt). Raporty te wstawić tu w temacie jako załączniki (nie wklejać w poście) i przejdziemy do dzieła. ArekAVGpl Ja tylko przypomnę, że oficjalna metoda nie zawsze działa. Przykład z forum, gdzie skończyło się na ręcznym usuwaniu i modyfikacji prefs.js: KLIK. .

Mnie nie chodzi o próbowanie innego adresu routera, lecz o metodę numer dwa nakreśloną w linku, czyli reset routera do ustawień fabrycznych (poprzez przytrzymanie przycisku na obudowie) i dopiero po tym próba logowania przy udziale domyślnego hasła. .

Log z OTL usuwam, nie jest potrzebny. Natomiast log FRST poświadcza wyczyszczenie preferencji Google Chrome. Od kiedy kółko przestało przewijać, przed infekcją czy już po? Czy próbowałeś przeinstalować mysz via Menedżer urządzeń? Czy masz możliwość podpięcia innej myszki PS/2, by sprawdzić czy defekt jest relatywny do konkretnej myszy czy może wszystkich tego samego typu? Czy to się powtarza? .

Jeśli chodzi o log z Farbar Service Scanner, to nadal jest notowany brak usług PolicyAgent i RemoteAccess (obie skasowane przez ZeroAccess). Odbudowa usług: 1. Pobierz SetACL (na spodzie strony "Administrators: Download the EXE version of SetACL 3.0.6 for 32-bit and 64-bit Windows."). Z folderu x86 przekopiuj plik SetACL.exe do folderu C:\Windows. Następnie wykonaj instrukcje z tego posta: KLIK. 2. Zresetuj system i zrób nowy log z Farbar Service Scanner. Usuwam log FRST, mnie chodzi o wyniki skryptu z posta numer #6. Czy Ty go w ogóle wykonałeś? U mnie na Windows 7 jest identyczny odczyt z klucza HKLM\Software\Microsoft\Windows NT\CurrentVersion\WOW\boot, oba wpisy są w stanie "not found", a także sterownik Winsock jest "not found". Tak więc te wpisy także zostawiasz w spokoju. .

Wszystko zdaje się być rozwiązane. DelFix też możesz usunąć. Na koniec: 1. Wyczyść foldery Przywracania systemu: KLIK. 2. I rozważ darmową aktualizację systemu do Windows 8.1: Platform: Windows 8 (X64) OS Language: Polski (Polska) Internet Explorer Version 10 .

Opisz mi którą metodę próbujesz (w linku są dwie), krok po kroku.

Popatrz tutaj: KLIK. A po zmianie ustawień DNS należy zabezpieczyć router zmieniając domyślny login. .

Log z FRST nie pokazuje modyfikacji BootExecute (powinien), ale już wiem do czego zmierzasz. Krzaki to nie jest problem, w tej wartości często to występuje. Tu na dodatek BootExecute było zaprzężone do roboty dodatkowej, gdyż FRST przesuwał metodą przy bootowaniu katalog ZeroAccess. Dla świętego spokoju możesz przebić BootExecute dla bieżącej konfiguracji (alternatywne konfigi się nie liczą) przepuszczając w FRST taki skrypt: Reg: reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" /v BootExecute /t REG_MULTI_SZ /d "autocheck autochk" /f .

Usuwanie infekcji poszło gładko. Log z Farbar Service Scanner wykazuje dewastację usług poczynioną przez infekcję. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC} /v AutoStart /t REG_SZ /d "" /f CMD: del /q C:\ProgramData\D__Programy_HideIPEasy_HideIPEasy.exe CMD: del /q C:\Windows\System32\libs.exe DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Zastosuj ServicesRepair, zresetuj system i zrób nowy log z Farbar Service Scanner. 3. I jeszcze pokaż na obrazku gdzie widzisz tych delikwentów: Po prostu masz mi zrobić zrzuty ekranu pokazujące "not found", ale tak by było widać który odgórny klucz jest skanowany, bo Ty obciąłeś dane. .

Nie notuję podejrzanych rzeczy. Możesz wykonać rzeczy poboczne: 1. Te dwa foldery skasuj: C:\ProgramData\TEMP C:\Users\ctarx\AppData\Roaming\OpenCandy 2. Odinstaluj zbędny Browser Configuration Utility, to taki "firmowy PUP" preinstalowany na określonych systemach. A po tym wyczyść lokalizacje tymczasowe przy udziale TFC - Temp Cleaner. 3. Napraw poniższy błąd posiłkując się narzędziem Fix-it z artykułu KB2545227. Application errors: ================== Error: (09/17/2014 07:02:30 PM) (Source: WinMgmt) (EventID: 10) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 4. O ile odczyt z SecurityCheck jest wiarygodny, a dysk nie jest typem SSD, zrób pełną defragmentację dysku (włącznie z tzw. trybem "Boot Time") za pomocą Puran Defrag. To tyle. .

Wszystko przetworzone pomyślnie. 1. Drobna poprawka, bo zapomniałam jednego klucza załączyć. Otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SOFTWARE\Mozilla /f CMD: del /q C:\Windows\SysWOW64\sqlite3.dll RemoveDirectory: C:\Users\USER\AppData\Roaming\Mozilla DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt przed podjęciem działania poniżej (skasuje ten plik). 2. Następnie zastosuj DelFix i też dostarcz log wynikowy. Uwaga dodatkowa: posługiwałeś się HijackThis (DelFix go skasuje). Program jest 32-bitowy i niezgodny z systemami 64-bit. Nie potrafi odczytać natywnie 64-bitowej części (nie stosuje żadnych obejść jak np. OTL) zgłaszając fałszywe braki. Program ten nie powinien być uruchamiany na systemach 64-bit. Zapomnij o nim. .