picasso

Zrób z tego po prostu zrzut ekranu. Nie wiadomo gdzie widzisz odnośniki do "language.dll " i krzaków. Natomiast: - Wpis rdpclip w stanie "not found" jest OK. Jest tu edycja podstawowa Vista Home Basic (określone komponenty są nieaktywne / niepełne). Dla porównania ten temat: KLIK. - Sterowniki IpInIp + NwlnkFlt + NwlnkFwd w stanie "not found" są normalne na Vista i nie będą usuwane. W systemie są określone wpisy, które nie mają powiązanych plików, ale nie należy tego naprawiać. - Kilka pustych wpisów to zostanie usuniętych poniższymi działaniami. Wstępnie wykonaj następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 *etadpug; "C:\Program Files\Google\Desktop\Install\{a886596a-7018-f03a-8a2c-160be15bac0a}\ \...\???\{a886596a-7018-f03a-8a2c-160be15bac0a}\GoogleUpdate.exe" HKU\S-1-5-21-3592015403-793725120-2322176034-1000\...\Run: [Google Update**.d] => "C:\Users\Wiex\AppData\Local\Google\Desktop\Install\{a886596a-7018-f03a-8a2c-160be15bac0a}\d'x"Ů"\", &h#\. ůű[\{a886596a-7018-f03a-8a2c-160be15bac0a}\GoogleUpdate.exe" > Winsock: Catalog5 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5 05 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" FF NetworkProxy: "gopher", "" FF NetworkProxy: "gopher_port", 0 FF NetworkProxy: "share_proxy_settings", true FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn2 FF HKCU\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn2 HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver" S3 ATP; system32\DRIVERS\cmdatp.sys [X] U3 DfSdkS; No ImagePath S0 kovabf; No ImagePath U0 Partizan; system32\drivers\Partizan.sys [X] S3 taphss; system32\DRIVERS\taphss.sys [X] S3 taphss6; system32\DRIVERS\taphss6.sys [X] S3 usbbus; system32\DRIVERS\lgusbbus.sys [X] S3 UsbDiag; system32\DRIVERS\lgusbdiag.sys [X] S3 USBModem; system32\DRIVERS\lgusbmodem.sys [X] C:\ProgramData\TEMP C:\Program Files\Dll-Files.com Fixer C:\Program Files\Google\Desktop C:\Users\Wiex\AppData\Local\Google\Desktop C:\Users\Wiex\AppData\Roaming\3909 C:\Users\Wiex\AppData\Roaming\System C:\Windows\system32\Drivers\etc\hosts.ccebak C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: netsh winsock reset Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ClamWin" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) + Farbar Service Scanner. Dołącz też plik fixlog.txt. .

Pokaż o które wpisy "not found" Ci chodzi, a temat jedzie natychmiast do działu malware, w systemie działa rootkit ZeroAccess (wersja w postaci sfałszowanego Google, użycie znaków Unicode). Daj mi moment na skonstruowanie odpowiedzi.

Zwykle są loginy uniwersalne (typu admin + admin lub admin + hasło puste), co jest też powodem infekcji. Spróbuj którąś z tych kombinacji, a jeśli nie zadziała, podaj jaki to model routera. Tu jeszcze będą aktualizacje programów (wtyczki FF), więc się potem okaże jakie są końcowe rezultaty. Najpierw rozwiąż sprawę z routerem. Instalacja jakiegokolwiek antywirusa może obniżyć parametry. Jest to cena za wstawienie dodatkowych procesów do systemu. .

Brakuje pliku fixlog.txt, który powstał podczas przetwarzania skryptu FRST - uzupełnij ten plik. Częściowy wgląd w ten folder (logi są ograniczone) wskazuje, że profil jest zaśmiecony. Przetwarzałam tylko to co zdołałam zobaczyć. Nie wiem w jakim celu kopia jest przetrzymywana, ale ona raczej się nie nadaje do przywracania i trzeba tam wysprzątać. .

Niemniej log FRST wykazuje, że plik Preferences nadal trzyma śmieci. Stąd też propozycja kompleksowej reinstalacji. Błąd wskazuje, że wklejasz całą treść z mojego posta, a mnie nie o to chodziło. Masz wywołać Start, następnie Uruchom, i dopiero wtedy wklepać main.cpl i OK. .

Na zakończenie: 1. Przestarzałe oprogramowanie z podatnością infekcji było już wstępnie wyrzucane, ale pozostał jeszcze OpenOffice.org 3.1 (niestety korzysta z przeterminowanej Javy). Java już usunięta, więc pewne funkcje pakietu przestaną działać. Pakiet należy zaktualizować do najnowszej wersji + załadować najnowszą wersję Java: KLIK. 2. Proponuję zaopatrzyć się w: Avast (wersja darmowa): najnowsza wersja i nowe funkcje w puli, zupełnie inna niż ta, którą wyrzucaliśmy z systemu Malwarebytes Anti-Exploit (wersja darmowa): w wersji darmowej ochrona przeglądarek oraz Java przed eksploitami / atakami SandBoxie (po 30-dniach próbowania pojawia się nagscreen, ale z programu nadal można korzystać): wirtualne środowisko, piaskownica A MBAM zostaw sobie do skanów na żądanie. .

Kolejne poprawki: 1. Nadal widzę w Google Chrome adware jako domyślnego dostawcę wyszukiwania: Chrome: ======= CHR DefaultSearchProvider: Default -> default-search.net CHR DefaultSearchURL: Default -> http://www.default-search.net/search?sid=476&aid=132&itype=a&ver=13337&tm=295&src=ds&p={searchTerms} Czy na pewno resetowałeś ustawienia przeglądarki? Jeśli tak, to proponuję jednak Google Chrome przeinstalować, przy instalacji zatwierdzasz usuwanie "danych użytkownika". 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\.DEFAULT\...\Run: [Google Update] => C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [116648 2014-02-08] (Google Inc.) S2 ReimageRealTimeProtector; C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google CMD: del /q C:\JavaRa.log CMD: del /q "C:\Documents and Settings\All Users\Pulpit\PC Scan & Repair by Reimage.lnk" CMD: del /q C:\WINDOWS\Tasks\ReimageUpdater.job DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Dostarcz wynikowy fixlog.txt. Start > Uruchom > main.cpl i sprawdź czy są widoczne opcje konfiguracji kółka i co tam jest. .

Skrypt FRST wykonany. Jedna drobnostka: omyłkowo źle sformatowałam jedną z komend (brak ujęcia przez ""), więc już ręcznie dokasuj z Puplitu śmieciarski skrót Wyczyść rejestr za darmo!. Czy wykonałaś tę akcję i czy nadal procesor jest obciążony w 100%? Ten wpis nadal jest, więc należy zresetować ustawienia routera: zalogować się do routera poprzez przeglądarkę internetową, wejść do ustawień DNS i zmienić na te od dostawcy sieciowego. Szukaj ustawień podobnych do tych: KLIK. .

Tym razem usuwanie zakończyło się sukcesem. Nic podejrzanego nie notuję już. Przejdź do tej porcji czynności: 1. Usuń używane narzędzia z folderu E:\fixit oraz zastosuj DelFix. 2. Zrób pełne skanowanie systemu za pomocą Malwarebytes Anti-Malware (przy instalacji odznacz trial). Jeżeli coś zostanie wykryte, przedstaw raport. .

Wprawdzie podejmowałeś czynności czyszczące, ale system niestety nie jest wysprzątany. Nadal są czynne obiekty adware i dziwne że reklam / przekierowań nie notujesz. Na dokładkę jeszcze infekcja typu "Bitcoin miner" ładowana via strumienie NTFS - tu coś próbowałeś kombinować i wyłączałeś z poziomu Menedżera zadań Windows 8 taki długi wpis "AAAAA...", ale to nie wystarczy, bo w starcie jest jeszcze jeden wpis rejestrujący moduł. Przeprowadź następujące operacje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [fst_pl_171] => [X] HKU\S-1-5-21-2090350958-2652773212-1935591002-1001\...\Run: [svchost] => regsvr32 /s "C:\Temp:162B6F02.dat" HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1407358721&from=sof&uid=HitachiXHTS545050A7E380_TEJ511390HMB0P0HMB0PX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1407358721&from=sof&uid=HitachiXHTS545050A7E380_TEJ511390HMB0P0HMB0PX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1407358721&from=sof&uid=HitachiXHTS545050A7E380_TEJ511390HMB0P0HMB0PX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1407358721&from=sof&uid=HitachiXHTS545050A7E380_TEJ511390HMB0P0HMB0PX&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1407358721&from=sof&uid=HitachiXHTS545050A7E380_TEJ511390HMB0P0HMB0PX BHO-x32: CouponDownloader -> {c817d3d8-b9da-521d-971d-2c0a747ea697} -> C:\Program Files\C78087A8-C960-4464-A618-3D351DF6C0D7\gohymlmtrh.dll () GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction Task: {1A8C8425-8B12-4136-B946-980363CA1A34} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {24F88517-2C24-43F4-809B-FBEC74BA0518} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {7524AC39-61E2-43AD-88FB-BCD62CAF6943} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {97B807CA-00F1-427D-B4CF-9D8C876DEACD} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-08-06] (globalUpdate) Task: {E6F4A2D5-9D9A-4CEF-B84E-5C1996B8FF48} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-08-06] (globalUpdate) Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-08-06] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-08-06] (globalUpdate) [File not signed] R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [694784 2014-08-06] (Cherished Technololgy LIMITED) [File not signed] R1 {55dce8ba-9dec-4013-937e-adbf9317d990}w64; C:\Windows\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}w64.sys [61584 2014-08-09] (StdLib) R1 {6fcd6092-9615-4f7f-8898-8df53980e5d2}w64; C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys [61624 2014-08-06] (StdLib) U4 BthAvrcpTg; No ImagePath U4 BthHFEnum; No ImagePath U4 bthhfhid; No ImagePath ShortcutWithArgument: C:\Users\USER\Documents\Pavilion G7-2210ew\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1384375615&from=mlv&uid=HitachiXHTS545050A7E380_TEJ511390HMB0P0HMB0PX ShortcutWithArgument: C:\Users\USER\Documents\Pavilion G7-2210ew\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1384375615&from=mlv&uid=HitachiXHTS545050A7E380_TEJ511390HMB0P0HMB0PX ShortcutWithArgument: C:\Users\USER\Documents\Pavilion G7-2210ew\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1384375615&from=mlv&uid=HitachiXHTS545050A7E380_TEJ511390HMB0P0HMB0PX ShortcutWithArgument: C:\Users\USER\Documents\Pavilion G7-2210ew\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1384375615&from=mlv&uid=HitachiXHTS545050A7E380_TEJ511390HMB0P0HMB0PX ShortcutWithArgument: C:\Users\USER\Documents\Pavilion G7-2210ew\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1384375615&from=mlv&uid=HitachiXHTS545050A7E380_TEJ511390HMB0P0HMB0PX C:\Program Files\004 C:\Program Files (x86)\C78087A8-C960-4464-A618-3D351DF6C0D7 C:\Program Files (x86)\Bench C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\predm C:\ProgramData\IePluginServices C:\Users\USER\AppData\Local\*.log C:\Users\USER\AppData\Local\*.tmp C:\Users\USER\AppData\Roaming\aps.uninstall.scan.results C:\Users\USER\AppData\Roaming\ap_logs C:\Users\USER\AppData\Roaming\Mozilla C:\Users\USER\AppData\Roaming\OpenCandy C:\Users\USER\AppData\Roaming\Opera Software C:\Users\USER\AppData\Roaming\systweak C:\Users\USER\Desktop\Nowy folder (2)\Bagger-Simulator 2011 (Demo).lnk C:\Users\USER\Documents\Pavilion G7-2210ew\Desktop\VSO Downloader 3.lnk C:\Users\USER\Documents\Pavilion G7-2210ew\Desktop\dawid\*.lnk C:\Users\USER\Documents\Pavilion G7-2210ew\AppData\Roaming\Microsoft\Windows\Start Menu\FreshDownload.lnk C:\Users\USER\Documents\Pavilion G7-2210ew\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk C:\Users\USER\Documents\Pavilion G7-2210ew\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Torpedo.lnk C:\Users\USER\Documents\Pavilion G7-2210ew\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SaveSense C:\Users\USER\Documents\Pavilion G7-2210ew\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\USER\Documents\Pavilion G7-2210ew\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\IMVU C:\Users\USER\Documents\Pavilion G7-2210ew\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DealPly C:\Users\USER\Documents\Pavilion G7-2210ew\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Boxoft Toolbox C:\Users\USER\Documents\Pavilion G7-2210ew\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\*.lnk C:\Users\USER\Documents\Pavilion G7-2210ew\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mobogenie.lnk C:\Users\USER\Downloads\yet_another_cleaner_brof.exe C:\Temp C:\Windows\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}w64.sys C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Na wszelki wypadek w Google Chrome: - Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. - Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. I powiedz mi co to za folder: C:\Users\USER\Documents\Pavilion G7-2210ew Czy to "kopia" ustawień jakiegoś starego konta? .

Tak, nadal są widoczne problemy, czyli cytowany wpis potencjalnie wskazujący na infekcję routera. Ponawiam pytanie: czy masz dostęp do routera, czy jest to urządzenie w domu? Zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Należało poczekać, kilka minut to nic, zwłaszcza przy zgłaszanym problemie 100% CPU. FRST nie dostał czasu na wykonanie zadania. Niestety skrypt FRST w ogóle nie wykonany, bo mu przerwałaś. Powtarzaj zadanie, po naniesieniu poprawek na zmiany wykonane przez AdwCleaner: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S4 sptd; System32\Drivers\sptd.sys [X] HKLM\...\Run: [TaskTray] => [X] HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKLM\...\Run: [NPSStartup] => [X] Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Tcpip\Parameters: [DhcpNameServer] 100.64.0.64 RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Common Files RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\McAfee RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\McAfee Security Scan RemoveDirectory: C:\Documents and Settings\LocalService\Dane aplikacji\McAfee RemoveDirectory: C:\Documents and Settings\x\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: del /q C:\Documents and Settings\x\Pulpit\Wyczyść rejestr za darmo!.lnk Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\D52E2FDD-4553-4F81-BE20-F1405B80CAA4 /f DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie. Ma nastąpić auto-reset. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Objaśnij mi to, co Ty tam widzisz, bo podany tu filtrowany log CBS jest zgodny z tym co mówiłam: Nie ma żadnych błędów wykrytych w plikach. .

Wpis infekcji nie chce ustąpić. Kolejne podejście: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-4014269469-2975056858-994782064-1000\...\Run: [EfkuQpumz] => regsvr32.exe "C:\ProgramData\EfkuQpumz\EfkuQpumz.dat" RemoveDirectory: C:\ProgramData\EfkuQpumz DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. 2. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie plik fixlog.txt. 3. Przejdź w Tryb normalny Windows. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Wymagane poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [avast!] => C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe HKU\S-1-5-21-4014269469-2975056858-994782064-1000\...\Run: [EfkuQpumz] => regsvr32.exe "C:\ProgramData\EfkuQpumz\EfkuQpumz.dat" BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File DPF: HKLM-x32 {3860DD98-0549-4D50-AA72-5D17D200EE10} http://cdn.scan.onecare.live.com/resource/download/scanner/pl-pl/wlscctrl2.cab DPF: HKLM-x32 {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} http://quickscan.bitdefender.com/qsax/qsax.cab FF Plugin-x32: @java.com/DTPlugin,version=1.6.0_33 -> C:\Windows\SysWOW64\npdeployJava1.dll (Sun Microsystems, Inc.) S2 aswUpdSv; "C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe" [X] S3 amdkmdap; system32\DRIVERS\atikmpag.sys [X] S3 AtiHDAudioService; system32\drivers\AtihdLH6.sys [X] C:\ProgramData\EfkuQpumz C:\ProgramData\PC Tools C:\ProgramData\TEMP C:\Program Files\Alwil Software C:\Program Files (x86)\Spyware Doctor C:\Windows\Sun EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. nastąpi restart i powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. O tym pogadamy na końcu, czyszczenie jest nadal w toku. .

Nie wiem, czy da się to skrócić jeszcze bardziej, gdyż jest tu antywirus AVG 2015. Każdy antywirus dokłada solidny zestaw usług startowych. Mógłbyś jeszcze sprawdzić czy nie uzyskasz troszkę po tych działaniach: - Test z czystym rozruchem (ale omiń obiekty AVG): KB310353. - Pełna defragmentacja dysku + defragmentacja typu "Boot Time" za pomocą darmowego Puran Defrag. Z którego skrótu uruchamiasz Internet Explorer? Są tu następujące skróty na obu kontach i tylko ten z parametrem -extoff powinien inicjować przeglądarkę w trybie "bez dodatków": Shortcut: C:\Documents and Settings\admin\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) Shortcut: C:\Documents and Settings\admin\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) ShortcutWithArgument: C:\Documents and Settings\admin\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> -extoff Shortcut: C:\Documents and Settings\user\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) Shortcut: C:\Documents and Settings\user\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) ShortcutWithArgument: C:\Documents and Settings\user\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> -extoff Zakładając, że problem tyczy uruchamiania ze zwykłego skrótu, proponuję zresetować przeglądarkę: Opcje internetowe > Zaawansowane > Resetuj. Nie wiem o co chodzi. Sprecyzuj: - Chodzi o drukarkę fizyczną czy wirtualną do PDF (w systemie jest PDF Architect 2)? - Od kiedy ten problem występuje, tzn. czy pojawił się po konkretnej akcji? - Czy tymczasowe wyłączenie antywirusa zmienia postać rzeczy? .

Istotnie, mamy tu infekcję, która blokuje skanery w oparciu o restrykcje oprogramowania. Prawdopodobnie przyczyną infekcji był exploit Java (w systemie jest bardzo stara dziurawa wersja). Dodatkowo, Twoje programy skanujące też są stare i pójdą na ubój. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-4014269469-2975056858-994782064-1000\...\Run: [EfkuQpumz] => regsvr32.exe "C:\ProgramData\EfkuQpumz\EfkuQpumz.dat" HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Panda Security HKLM Group Policy restriction on software: C:\Program Files (x86)\ESET HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\McAfee HKLM Group Policy restriction on software: C:\Program Files (x86)\Kaspersky Lab HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Malwarebytes HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Kaspersky Lab HKLM Group Policy restriction on software: C:\Program Files (x86)\Malwarebytes' Anti-Malware HKLM Group Policy restriction on software: C:\Program Files\Alwil Software HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\f-secure URLSearchHook: HKCU - PC Tools Browser Guard - {472734EA-242A-422b-ADF8-83D1E48CC825} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe Toolbar: HKCU - PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - No File C:\ProgramData\EfkuQpumz C:\ProgramData\OhtoGinzo C:\ProgramData\UgkeqNutet C:\ProgramData\TEMP C:\ProgramData\F-Secure C:\Users\ADMIN\AppData\Roaming\QuickScan C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup Folder: C:\Windows\Sun Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EfkuQpumz" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\OhtoGinzo" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UgkeqNutet" /f CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj stare programy: Adobe Flash Player 10 ActiveX, Adobe Reader 9.3 - Polish, avast! Antivirus, Browser Defender 3.0, Java™ 6 Update 33, Spyware Doctor 8.0 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Zadania wykonane, a ten Tor usunę, skoro nie masz pojęcia skąd w systemie. To mógł być obiekt infekcji: KLIK. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 tor; C:\Program Files\Tor\tor.exe [3233806 2013-08-31] () [File not signed] C:\Program Files\Tor Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny plik fixlog.txt. Pokaż go. Wypowiedz się też jakie problemy są aktualnie widoczne i ile trwa start Windows. .

Ten log jest za duży, to wszystkie akcje CBS. Ty masz przefiltrować ten plik komendą: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt .

Zrób mi jeszcze jeden log z FRST, ale tym razem dla pól Registry, Services, Drivers odznacz opcję Whitelist. Pole Addition ma być za to zaznaczone.

Czy są jeszcze jakieś problemy? Wszystko pomyślnie usunięte. Na koniec: 1. Skasuj używane narzędzia z folderu D:\DOKUMENTY\Downloads i popraw narzędziem DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Odinstaluj starszą wersję Java 7 Update 45 (64-bit). Jeśli potrzebna najnowsza Java 64-bit, to w powyższym linku do pobrania. .

Widzę, że był uruchamiany MBAM, a wygląd docelowy raportu sugeruje operacje usuwania czegoś. Niemniej nadal działa w tle obskurny program adware "Performance Optimizer". Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: AppInit_DLLs: C:\PROGRA~3\PERFOR~1\PERFOR~2.DLL => C:\ProgramData\Performance Optimizer\PerformanceOptimizer_x64.dll [4303360 2014-09-12] () AppInit_DLLs-x32: c:\progra~3\perfor~1\perfor~1.dll => c:\ProgramData\Performance Optimizer\PerformanceOptimizer.dll [4125184 2014-09-12] () R2 892cc6a3; c:\ProgramData\Performance Optimizer\PerformanceOptimizerSvc.dll [186192 2014-09-12] () [File not signed] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=175&itype=n&ver=13072&tm=409&src=ds&p={searchTerms} SearchScopes: HKLM-x32 - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=175&itype=n&ver=13072&tm=409&src=ds&p={searchTerms} SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=175&itype=n&ver=13072&tm=409&src=ds&p={searchTerms} CHR HKLM\SOFTWARE\Policies\Google: Policy restriction C:\Program Files (x86)\globalUpdate C:\ProgramData\178db1682f2cc326 C:\ProgramData\Performance Optimizer C:\ProgramData\WorldWideCoupon C:\Users\DOKUMENTY\AppData\Roaming\rmi C:\Users\DOKUMENTY\AppData\Roaming\Settings Manager Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4}_is1 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Preferencje Google Chrome wyglądają na uszkodzone. W przeglądarce: - Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. - Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

DelFix też możesz usunąć. Temat rozwiązany. Zamykam.

Ogólnie to widoczne raczej szczątki adware/PUP niż pełne instalacje. Natomiast jest podejrzenie infekcji routera, stoi to następujący adres IP: Tcpip\Parameters: [DhcpNameServer] 100.64.0.64 Czy masz dostęp do konfiguracji routera? Jeśli chodzi o wolny start systemu, to prócz odpadkowych sterowników adware typu Sambreel zwraca tu uwagę koszmarnie stary Avast 4.7 z 2007 (sic!). RegClean to program niepożądany, typu PUP. W systemie są też ślady stosowania SpyHunter - kolejny wątpliwy program, od którego należy trzymać się z daleka. Wstępnie przeprowadź następujące działania: 1. Przez Dodaj/Usuń programy odinstaluj archaiczny avast! Antivirus. W razie problemów skorzystaj z Avast Uninstall Utility. Na razie nie instaluj najnowszej wersji, ani innego antywirusa. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {2635ac50-5488-40bf-9bfd-accb158f8f3f}t; C:\WINDOWS\System32\drivers\{2635ac50-5488-40bf-9bfd-accb158f8f3f}t.sys [55232 2014-06-23] (StdLib) R1 {ed7eb956-75ed-460d-8f69-29a93b07afd1}t; C:\WINDOWS\System32\drivers\{ed7eb956-75ed-460d-8f69-29a93b07afd1}t.sys [55232 2014-08-06] (StdLib) S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] HKLM\...\Run: [TaskTray] => [X] HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKLM\...\Run: [NPSStartup] => [X] Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\McAfee C:\Documents and Settings\All Users\Dane aplikacji\McAfee Security Scan C:\Documents and Settings\LocalService\Dane aplikacji\McAfee C:\Documents and Settings\x\Dane aplikacji\Babylon C:\Documents and Settings\x\Dane aplikacji\systweak C:\Documents and Settings\x\Dane aplikacji\WebExtend C:\Documents and Settings\x\Pulpit\Wyczyść rejestr za darmo!.lnk C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\globalUpdate C:\Program Files\globalUpdate C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\System32\roboot.exe C:\WINDOWS\System32\drivers\{2635ac50-5488-40bf-9bfd-accb158f8f3f}t.sys C:\WINDOWS\System32\drivers\{ed7eb956-75ed-460d-8f69-29a93b07afd1}t.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\D52E2FDD-4553-4F81-BE20-F1405B80CAA4 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia będą potem do reinstalacji. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. Wypowiedz się czy są jeszcze jakieś problemy. .

Usuwam nadwyżkę logów zostawiając tylko najnowsze. Załączyłeś też plik fixlist.txt, a to przecież był mój skrypt, miałeś pokazać plik fixlog.txt z wynikami przetwarzania skryptu. YAC nadal uruchamiany podczas startu i aktywny. Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Run: [sunJavaUpdateSched] => "C:\Program Files\Java\jre1.8.0_20\bin\jusched.exe" DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} S2 iSafeService; C:\Program Files\Elex-tech\YAC\iSafeSvc.exe [118048 2014-08-08] (Elex do Brasil Participações Ltda) R1 iSafeKrnl; C:\Program Files\Elex-tech\YAC\iSafeKrnl.sys [214592 2014-08-08] (Elex do Brasil Participações Ltda) S3 iSafeKrnlBoot; C:\WINDOWS\System32\DRIVERS\iSafeKrnlBoot.sys [40768 2014-08-08] (Elex do Brasil Participações Ltda) R1 iSafeKrnlKit; C:\Program Files\Elex-tech\YAC\iSafeKrnlKit.sys [68288 2014-08-08] (Elex do Brasil Participações Ltda) R1 iSafeKrnlR3; C:\Program Files\Elex-tech\YAC\iSafeKrnlR3.sys [37696 2014-08-08] (Elex do Brasil Participações Ltda) R1 iSafeNetFilter; C:\Program Files\Elex-tech\YAC\iSafeNetFilter.sys [55464 2014-08-06] (Elex do Brasil Participações Ltda) C:\appstoredl C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy C:\Documents and Settings\All Users\Menu Start\YAC.lnk C:\Documents and Settings\All Users\Menu Start\Programy\YAC C:\Documents and Settings\All Users\Pulpit\YAC.lnk C:\Documents and Settings\admin\Dane aplikacji\computer software market C:\Documents and Settings\admin\Dane aplikacji\isafeYAC App Store C:\Documents and Settings\admin\Dane aplikacji\eCyber C:\Documents and Settings\admin\Dane aplikacji\iSafe C:\Documents and Settings\admin\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\YAC.lnk C:\Documents and Settings\admin\Start Menu\Programs\Browser Manager C:\Program Files\Elex-tech C:\Program Files\Spybot - Search & Destroy C:\WINDOWS\system32\Drivers\iSafeKrnlBoot.sys Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\tor /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie plik fixlog.txt. 2. Reset bufora wtyczek Google Chrome: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt (nie fixlist.txt ze skryptem). Mam też pytanie: czy Tor był montowany celowo, czy też może nie wiesz skąd to się wzięło? R2 tor; C:\Program Files\Tor\tor.exe [3233806 2013-08-31] () [File not signed] .

Tylko pytałam, sądzę że ComboFix jest odinstalowany w sposób dostateczny, a odpadkowy folder ręcznie skasuj przez SHIFT+DEL (omija Kosz). Zmienne niby wyglądają poprawnie. Na razie to zostawiam, może potem zalecę i tak ich nadpisanie. Przejdź do dalszych czynności, bo sprawa infekcji nie jest rozwiązana do końca: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wykonaj pełny skan za pomocą Kaspersky Virus Removal Tool. Domyślnie program wykonuje skan ekspresowy, w opcjach zaznacz skan całego dysku. Jeśli jakieś infekcje zostaną znalezione, przeklej wyniki do oceny. .