picasso

Czy na pewno mówimy o pliku C:\TDSSKiller.wersja_data_czas_log.txt? Skoro z nim jest problem, spakuj do ZIP, shostuj gdzieś i podaj do tego link. .

vs. I program wykonał co należy, wszystkie uprzednio widoczne elementy McAfee zniknęły. Tak więc co się aktualnie dzieje po pomyślnym usunięciu McAfee? .

Tak, Tryb Testu tu cały czas jest włączony (warunek, by sterownik Necurs się załadował), tylko go uprzednio nie widziałeś gołym okiem (czynny rootkit). Po usunięciu rootkita uwidacznia się znak wodny na Pulpicie. To się łatwo usunie, jest stosowny rekord w raporcie FRST widoczny. Na teraz masz dokończyć operację z Kasperskym i dostarczyć końcowe logi. .

Komenda nie podołała. Przejdź w Tryb awaryjny Windows i ponów to co podałam. Dostarcz wynikowy fixlog.txt. .

Plik jest poprawny, u mnie zresztą po instalacji bezpośredniej rozszerzenia FRST również nie wykrywa nazwy (zgłoszę to). Czyli kończymy: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Adobe Shockwave Player 12.0. Posiadasz wersję 12.0.9.149, a najnowsza to 12.1.1.151. Link pobierania też w/w odnośniku. Koniec. .

Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Users\mati\AppData\Local\Google\Chrome\User Data\Default Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

No to z głowy. Te "kilka opcji" = nie pamiętasz co to było? Wracając do czyszczenia laptopów, to logów nie sprawdziłam wtedy, a tu dynks. Mamy kupę problemów: LAPTOP SAMSUNG Adware wyczyszczone, ale pojawiła się poważna infekcja, czyli rootkit Necurs. 1. Uruchom Kaspersky TDSSKiller. Dla wyniku Rootkit.Win32.Necurs.gen (173ac4b2719b9b72) oraz UDS:DangerousObject.Multi.Generic (syshost32) wybierz akcję Delete. Natomiast wszystkie wyniki typu LockedFile.Multi.Generic mają mieć przyznane Skip, gdyż to prawidłowe sterowniki zablokowane przez rootkita. Zresetuj system. Na dysku C powstanie log z usuwania. 2. Otwórz Notatnik i wklej w nim: (Dimagi) C:\Users\Samsung\AppData\Local\Temp\Buij\evvi.exe HKLM-x32\...\Run: [aaaaaaaa] => C:\windows\SysWOW64\aaaaaaaa.exe [173056 2014-05-21] (Trifecta Technologies) HKU\S-1-5-21-392818877-1939927122-1532879338-1001\...\Run: [aaaaaaaa] => C:\Users\Samsung\aaaaaaaa.exe [173056 2014-05-21] (Trifecta Technologies) HKU\S-1-5-21-392818877-1939927122-1532879338-1001\...\Run: [Evvi] => C:\Users\Samsung\AppData\Local\Temp\Buij\evvi.exe [652800 2012-10-19] (Dimagi) Task: {44939CC7-9AEE-46D0-A93D-BD6C66308063} - \RegClean Pro No Task File C:\Users\Samsung\AppData\Local\Temp C:\Users\Samsung\Downloads\setup (2).exe C:\Users\Samsung\aaaaaaaa.exe C:\windows\SysWOW64\aaaaaaaa.exe C:\windows\SysWOW64\sqlite3.dll RemoveDirectory: C:\AdwCleaner Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz log z Kasperskiego. LAPTOP ASUS Źle wykonane instrukcje.... Fixlist się praktycznie nie wykonał. Uruchomiłeś "translator" na stronie forum, który zepsuł mój fix (przetłumaczył z angielskiego na polski słowa, które nie mogą być po polsku, oraz rozwalił ścieżki). Wkleiłeś do Notatnika śmieci. Pobierz najnowszą wersję FRST i zrób nowe logi dla pewności, bo tamte są sprzed ponad tygodnia. .

Nic tu nowego nie widać. To mi pachnie uszkodzonym profilem. 1. Poproszę o odtworzenie tego wadliwego układu, tzn. doprowadź do stanu, gdy otwierasz Chrome i: brakuje Ad-blocka, Avast jest wyłączony, a Novalx na miejscu. Gdy ten układ uzyskasz, skopiuj na Pulpit cały folder: C:\Users\mati\AppData\Local\Google\Chrome\User Data\Default Spakuj do ZIP, shostuj gdzieś i podaj do tego link. 2. Następnie w oryginalnej lokalizacji User Data usuń folder Default i uruchom Google Chrome. Zrzuci nowy czysty profil. Zainstaluj AdBlocka. Następnie sprawdź co się dzieje przy kolejnych startach Google. .

Poproszę o nowy raport FRST, włącznie z Addition. Wg Twojego raportu Addition jest tu zainstalowana wersja 11.0.00. Najnowsza to 11.0.07. Link w przyklejonym: KLIK. .

Efekt wskazuje na to, że próbowałeś kompresować wprost w folderze C:\Windows\Logs. To się nie uda, tam zawsze jest odmowa dostępu. Dlatego pierwszym krokiem było kopiowanie całego folderu CBS na Pulpit i to z poziomu Pulpitu miałeś kompresować. Póki co, Checksur wypluł uszkodzenia systemowe. Naprawa się nie odbyła ze względu na braki plików potrzebnych do tego procesu: Unavailable repair files: winsxs\manifests\amd64_0e06d2ed6f93d560f6a34c100512684b_31bf3856ad364e35_6.1.7601.18444_none_8c92b13960b1699a.manifest winsxs\manifests\amd64_a0d92b4f53e4925dd4c0341fd365f25e_31bf3856ad364e35_11.2.9600.17105_none_debff1480037668c.manifest winsxs\manifests\amd64_decd919d90e8825e76adc9988e2245f0_31bf3856ad364e35_6.1.7601.18444_none_a1a3cdcea8866bdb.manifest winsxs\manifests\amd64_423d04ba87e48f1e56d8e4abd90cb62b_31bf3856ad364e35_6.1.7601.18444_none_692ba3b4a3cfb708.manifest winsxs\manifests\amd64_16cbf424d7594e8669560c8f53a5590c_31bf3856ad364e35_11.2.9600.17105_none_8cc205d2a9719982.manifest winsxs\manifests\amd64_microsoft-windows-ie-versioninfo_31bf3856ad364e35_11.2.9600.17105_none_e19ba7a549f17a38.manifest winsxs\manifests\x86_microsoft-windows-ie-versioninfo_31bf3856ad364e35_11.2.9600.17105_none_857d0c2191940902.manifest winsxs\manifests\amd64_microsoft-windows-a..rience-program-data_31bf3856ad364e35_6.1.7601.18444_none_cf6dcf3199c084a3.manifest winsxs\manifests\wow64_microsoft-windows-ie-htmlrendering_31bf3856ad364e35_11.2.9600.17105_none_000d856a6b819880.manifest winsxs\manifests\amd64_microsoft-windows-a..de-compat-telemetry_31bf3856ad364e35_6.1.7601.18444_none_e5b1b7ec100d8e3b.manifest winsxs\manifests\amd64_microsoft-windows-a..ence-telemetry-sdbs_31bf3856ad364e35_6.1.7601.18444_none_66295be460b59c2a.manifest winsxs\manifests\amd64_microsoft-windows-ie-htmlrendering_31bf3856ad364e35_11.2.9600.17105_none_f5b8db183720d685.manifest servicing\packages\Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.1.3.mum servicing\packages\Package_1_for_KB2964358~31bf3856ad364e35~amd64~~11.2.1.0.mum servicing\packages\Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.1.3.mum servicing\packages\Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.1.3.mum servicing\packages\Package_for_KB2952664~31bf3856ad364e35~amd64~~6.1.1.3.mum servicing\packages\Package_for_KB2964358_RTM~31bf3856ad364e35~amd64~~11.2.1.0.mum servicing\packages\Package_for_KB2964358~31bf3856ad364e35~amd64~~11.2.1.0.mum servicing\packages\Package_1_for_KB2952664~31bf3856ad364e35~amd64~~6.1.1.3.cat servicing\packages\Package_1_for_KB2964358~31bf3856ad364e35~amd64~~11.2.1.0.cat servicing\packages\Package_3_for_KB2952664~31bf3856ad364e35~amd64~~6.1.1.3.cat servicing\packages\Package_for_KB2952664_SP1~31bf3856ad364e35~amd64~~6.1.1.3.cat servicing\packages\Package_for_KB2952664~31bf3856ad364e35~amd64~~6.1.1.3.cat servicing\packages\Package_for_KB2964358_RTM~31bf3856ad364e35~amd64~~11.2.1.0.cat servicing\packages\Package_for_KB2964358~31bf3856ad364e35~amd64~~11.2.1.0.cat Niestety wyszukiwanie tych plików u mnie na systemie o podobnej konfiguracji potrwa i na razie nie jestem w stanie podać instrukcji. Z tymi starymi szóstkami to bym sobie dała spokój, wcześniej była pierwsza z serii i w systemie liczne problemy. W kwestii siódemki: - Czy odinstalowałeś MSSE przed instalacją CIS? - Może to coś w tym stylu: KLIK. .

Czy w Google Chrome wykonałeś wszystkie trzy zalecone akcje, nie tylko reset przeglądarki? Na zakończenie: 1. Uruchom TFC - Temp Cleaner. 2. Usuń używane narzędzia z folderu C:\Users\mati\Desktop\Nowy folder (2). Zastosuj DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Te dwa programy Adobe zaktualizuj: ==================== Installed Programs ====================== Adobe Reader XI - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.00 - Adobe Systems Incorporated) Adobe Shockwave Player 12.0 (HKLM-x32\...\Adobe Shockwave Player) (Version: 12.0.6.147 - Adobe Systems, Inc.) .

Ostatnia edycja to informacja o potencjalnym formacie. To nie taki głupi pomysł patrząc na: archaiczny system XP bez wsparcia, z syndromem braku aktualizacji (widoczny IE6), na dodatek porządnie zaśmiecony. Z tym, że tu rozważałabym od razu skok na nowszą platformę, o ile pozwalają na to możliwości: KLIK. Na wypadek, gdybyś jednak formatu jeszcze nie wykonał: - Nic tu nie wskazuje na infekcję jako przyczynę objawów. W raportach widać multum adware, ale to w ogóle nie ten obszar modyfikacji. Czyszczenie adware nie jest tu priorytetowe i za to zabiorę się po ewentualnym rozwiązaniu zasadniczego problemu, a jest nim brak łączności sieciowej: - Bardzo dobry podejrzany dla problemów to avast! Internet Security z funkcją firewalla, filtrujący urządzenia sieciowe. Program wg logów rezyduje od kwietnia. Zaleciłaby więc jego deinstalację, by sprawdzić rezultaty. Po deinstalacji dodatkowa weryfikacja, czy filtry Avast zostały wypięte z urządzeń sieciowych: Panel sterowania > Połączenia sieciowe > z prawokliku na każde z tam obecnych pobierz Właściwości > karta Ogólne > jeśli będzie tam cokolwiek od Avast, podświetl + odinstaluj i zrestartuj komputer. .

Nadal brak GMER. Skoro zakres szkód wygląda na "minimalny", a sytuacja na opanowaną, to zajmę się usunięciem pozostałych śmieci / wpisów pustych i martwych skrótów programów: 1. Uruchom TFC - Temp Cleaner. 2. Jest tu zdefektowna niepoprawnie odinstalowana Panda Cloud Antivirus. - Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście ukryty wpis Panda Cloud Antivirus > Dalej. - Uruchom firmowy usuwacz Panda Cloud Antivirus Uninstaller. 3. Otwórz Notatnik i wklej w nim: AppInit_DLLs: ä¨ => ä¨ File Not Found Task: {23B44D02-EACC-4C70-8202-0DAA9B3E7AF9} - System32\Tasks\RegClean Pro => C:\Program Files\RegClean Pro\RegCleanPro.exe Task: {349672CB-7678-42A9-870B-7F696BF21E2A} - \BrowserDefendert No Task File Task: {48C9BEC1-9D68-45BD-9C88-8E1535B04201} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe Task: {9522F753-8D58-4CCD-9EE5-5CDEBBB2CB36} - System32\Tasks\EPUpdater => C:\Users\ADMINI~1\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe HKU\S-1-5-21-234371888-3948212710-2272451499-1000\...\Run: [skype] => "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun HKU\S-1-5-21-234371888-3948212710-2272451499-1000\...\Run: [AQQ] => C:\PROGRA~1\WapSter\WAPSTE~1\AQQ.exe HKU\S-1-5-21-234371888-3948212710-2272451499-1001\...\Run: [AQQ] => C:\PROGRA~1\WapSter\WAPSTE~1\AQQ.exe Startup: C:\Users\Paulina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TorpedoCopy.lnk GroupPolicyUsers\S-1-5-21-234371888-3948212710-2272451499-1006\User: Group Policy restriction detected GroupPolicyUsers\S-1-5-21-234371888-3948212710-2272451499-1001\User: Group Policy restriction detected CHR Extension: (Free Lunch Design TB) - C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Extensions\jfkghimahkenmlpdjngbjnjcnijklbpi [2013-11-10] CHR HKLM\...\Chrome\Extension: [aicancafipiklohohmoognddncljhkio] - C:\Users\Administrator\AppData\Local\CRE\aicancafipiklohohmoognddncljhkio.crx [2013-11-10] CHR HKLM\...\Chrome\Extension: [jfkghimahkenmlpdjngbjnjcnijklbpi] - C:\Users\Administrator\AppData\Local\CRE\jfkghimahkenmlpdjngbjnjcnijklbpi.crx [2013-03-02] CHR HKCU\...\Chrome\Extension: [aicancafipiklohohmoognddncljhkio] - C:\Users\Administrator\AppData\Local\CRE\aicancafipiklohohmoognddncljhkio.crx [2013-03-02] CHR HKCU\...\Chrome\Extension: [jfkghimahkenmlpdjngbjnjcnijklbpi] - C:\Users\Administrator\AppData\Local\CRE\jfkghimahkenmlpdjngbjnjcnijklbpi.crx [2013-03-02] ProxyServer: 37.59.49.163:3128 SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119357&tt=120613_ctrl&babsrc=SP_ss&mntrId=407DC83A35C928B4 SearchScopes: HKCU - {7486E92E-F7B5-4751-887A-C9C3AFA785CB} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3282722&CUI=UN10528078262793127 FF Plugin: @videolan.org/vlc,version=2.0.2 - C:\Program Files\VideoLAN\VLC\npvlc.dll No File C:\Program Files\Mozilla Firefox\extensions FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 S3 catchme; \??\C:\Users\ADMINI~1\AppData\Local\Temp\catchme.sys [X] S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X] S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tlen.pl C:\ProgramData\Microsoft\Windows\Start Menu\Programs\San Andreas Multiplayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Exodus C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BEST C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AbiWord Word Processor C:\Users\Administrator\AppData\Local\CRE C:\Users\Administrator\AppData\Roaming\Systweak C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\724e6c6e1aea27c4\COMODO Internet Security.lnk C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Gadu-Gadu.lnk C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\SendTo\Dropbox.lnk C:\Users\Administrator\AppData\Local\GG\Application.old C:\Users\Paulina\Desktop\Miranda IM.lnk C:\Users\Paulina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google+ Auto Backup C:\Users\Szymon\Links\SkyDrive.lnk C:\Users\Szymon\Desktop\AQQ.lnk C:\Users\Szymon\Desktop\Counter-Strike 1.6 LH 2012.lnk C:\Users\Szymon\Desktop\CyberGhost VPN.lnk C:\Users\Szymon\Desktop\Fraps.lnk C:\Users\Szymon\Desktop\Gadu-Gadu.lnk C:\Users\Szymon\Desktop\IVONA MiniReader.lnk C:\Users\Szymon\Desktop\IVONA Reader.lnk C:\Users\Szymon\Desktop\Miranda IM.lnk C:\Users\Szymon\Desktop\Mozilla Thunderbird.lnk C:\Users\Szymon\Desktop\muzo.lnk C:\Users\Szymon\Desktop\Portal 2.lnk C:\Users\Szymon\Desktop\Psi+.lnk C:\Users\Szymon\Desktop\SlimDrivers.lnk C:\Users\Szymon\Desktop\Virtual CloneDrive.lnk C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\Start Menu\AQQ.lnk C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft SkyDrive.lnk C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WapSter C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Fraps C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\SendTo\AQQ.lnk C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\SendTo\IVONA Reader.lnk C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\SendTo\Skype.lnk C:\Users\Szymon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Thunderbird.lnk C:\Users\Szymon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Uruchom AQQ.lnk C:\Users\Szymon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Fraps.lnk C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\VMware Player.lnk C:\Windows\PEV.exe C:\Windows\MBR.exe C:\Windows\sed.exe C:\Windows\grep.exe C:\Windows\zip.exe C:\Windows\System32\dmwu.exe C:\Windows\System32\ImHttpComm.dll C:\Windows\System32\drivers\sfi.dat RemoveDirectory: D:\Autorun.inf RemoveDirectory: E:\Autorun.inf Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /f CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia będą do deinstalacji. 5. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy Delta Search i inne niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 6. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 7. Wygląda na to, że są tu aż trzy konta (Administrator, Paulina i Szymon). Logi bieżące zostały wykonane z poziomu Administrator. Loguj się na każde konto po kolei i na każdym zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

To nie jest proste ustalić w ciemno, bo tylko na podstawie słownego opisu, o co chodzi. Tu na forum wielokrotnie były przypadki identyczne z opisu słownego, lecz powodowane kompletnie różnymi infekcjami lub nawet poza infekcynymi przyczynami. Bez oceny wyglądu systemów nie potrafię dopasować diagnozy na oko. Mogę się zastanawiać, zgadywać i sobie coś typować, ale bez konkretnych materiałów analitycznych jest to wróżenie. .

Tu jeszcze jest kilka baboli, ale potrzebuję więcej czasu na precyzyjne stworzenie fiksów zamykających linki. To poprawny składnik systemów Vista - Windows 8. To nie jest folder, to właśnie jeden z owych symlinków: KLIK. C:\Documents and Settings to link do C:\Users. .

Potwierdzam usunięcie używanych narzędzi za pomocą DelFix. Możesz skasować ten log C:\delfix.txt z dysku. Skończyłyśmy. Ja sądzę, że problemu już nie ma, ale asekuracyjnie zostawię temat otwarty przez kilka najbliższych dni. .

Wszystko wykonane, tylko drobne poprawki oraz resztówki COMODO: 1. Otwórz Notatnik i wklej w nim: C:\7za.dll C:\cmdinstall.exe C:\cmdhtml.dll C:\cmdstat.dll C:\cis C:\translations C:\ProgramData\Comodo C:\ProgramData\Comodo Downloader C:\Users\Seweryn\AppData\Local\Google C:\Users\Seweryn\AppData\Roaming\Mozilla\Firefox\Profiles\wk3acalw.default-1401371051926\user.js C:\Windows\system32\Drivers\sfi.dat C:\Windows\System32\Tasks\COMODO C:\Windows\SysWOW64\{1606DC18-9578-4cbd-8312-8E9868F06A1D}.conf C:\Windows\SysWOW64\{7995330B-E01F-4645-B702-53481E7CB778}.cmdfile RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Qoobox CMD: del /q C:\ComboFix.txt CMD: del /q C:\Windows\grep.exe CMD: del /q C:\Windows\MBR.exe CMD: del /q C:\Windows\NIRCMD.exe CMD: del /q C:\Windows\PEV.exe CMD: del /q C:\Windows\sed.exe CMD: del /q C:\Windows\SWREG.exe CMD: del /q C:\Windows\SWSC.exe CMD: del /q C:\Windows\zip.exe CMD: del /q C:\Users\Seweryn\Desktop\AdwCleaner*.* CMD: del /q C:\Users\Seweryn\Desktop\OTL.exe CMD: rd /s /q "C:\Users\Seweryn\Desktop\Stare dane programu Firefox" CMD: rd /s /q "C:\Users\Seweryn\Desktop\FRST-OlderVersion" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom TFC - Temp Cleaner. Jakim błędem? O jakiej wersji mowa, tej samej co poprzednio rezydowała? Poprzednio siedziała tu linia 6.x, najnowszy CIS to linia 7.x. ==================== Installed Programs ====================== COMODO Internet Security Premium (HKLM\...\{F1EC4151-805B-4097-B9BB-7D71A417AAF1}) (Version: 6.1.14723.2813 - COMODO Security Solutions Inc.) Poza tym, skoro MSSE się wstawił, to go po prostu odinstaluj, by oczyścić pole do instalacji majdanu CIS. Uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. Gdy narzędzie ukończy skan, skopiuj na Pulpit folder C:\Windows\Logs\CBS, zzipuj go i rzuć na jakiś hosting podając tu link do paczki. .

Temat przesuwam do działu Windows 8. To nie jest kwestia infekcji, i robiłeś dwa razy reset Windows 8. Logi najwyraźniej zrobione po deinstalacji McAfee, bo brak jego wejścia na liście zainstalowanych, ale była to pozorowana deinstalacja. Program działa pełną parą: ==================== Processes (Whitelisted) ================= (McAfee, Inc.) C:\Program Files\Common Files\mcafee\Platform\McSvcHost\McSvHost.exe (McAfee, Inc.) C:\Windows\System32\mfevtps.exe (McAfee, Inc.) C:\Program Files\Common Files\mcafee\systemcore\mfefire.exe ==================== Registry (Whitelisted) ================== HKLM-x32\...\Run: [mcpltui_exe] => C:\Program Files\Common Files\McAfee\Platform\mcuicnt.exe [645168 2013-09-11] (McAfee, Inc.) ==================== Services (Whitelisted) ================= R2 HomeNetSvc; C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe [328928 2013-07-30] (McAfee, Inc.) R2 mcpltsvc; C:\Program Files\Common Files\mcafee\Platform\McSvcHost\McSvHost.exe [328928 2013-07-30] (McAfee, Inc.) R2 mfefire; C:\Program Files\Common Files\McAfee\SystemCore\\mfefire.exe [219752 2014-04-03] (McAfee, Inc.) R2 mfevtp; C:\Windows\system32\mfevtps.exe [189912 2014-04-03] (McAfee, Inc.) ==================== Drivers (Whitelisted) ==================== S3 cfwids; C:\Windows\System32\drivers\cfwids.sys [70592 2014-04-03] (McAfee, Inc.) S3 mfeapfk; C:\Windows\System32\drivers\mfeapfk.sys [177544 2014-04-03] (McAfee, Inc.) R3 mfeavfk; C:\Windows\System32\drivers\mfeavfk.sys [311856 2014-04-03] (McAfee, Inc.) S0 mfeelamk; C:\Windows\System32\drivers\mfeelamk.sys [69352 2014-04-03] (McAfee, Inc.) R3 mfefirek; C:\Windows\System32\drivers\mfefirek.sys [522360 2014-04-03] (McAfee, Inc.) R0 mfehidk; C:\Windows\System32\drivers\mfehidk.sys [784760 2014-04-03] (McAfee, Inc.) R0 mfewfpk; C:\Windows\System32\drivers\mfewfpk.sys [346760 2014-04-03] (McAfee, Inc.) ==================== Safe Mode (whitelisted) =================== HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefire => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp => ""="Driver" I w Dzienniku zdarzeń sypie błędami: System errors: ============= Error: (05/29/2014 09:36:20 AM) (Source: Service Control Manager) (EventID: 7031) (User: ) Description: Usługa McAfee Platform Services niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. W przeciągu 60000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie. Error: (05/29/2014 09:36:20 AM) (Source: Service Control Manager) (EventID: 7031) (User: ) Description: Usługa McAfee Home Network niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. W przeciągu 60000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie. Error: (05/29/2014 08:43:46 AM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa McAfee Network Agent zależy od usługi McAfee Firewall Core Service, której nie można uruchomić z powodu następującego błędu: %%1068 Error: (05/29/2014 08:43:46 AM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa McAfee Firewall Core Service zależy od usługi McAfee Validation Trust Protection Service, której nie można uruchomić z powodu następującego błędu: %%0 Error: (05/29/2014 08:43:46 AM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa McAfee McShield zależy od usługi McAfee Validation Trust Protection Service, której nie można uruchomić z powodu następującego błędu: %%0 Taki zdefektowany gigant (policz ile sterowników się ładuje) może być poważnym problemem. Wejdź w Tryb awaryjny Windows i zastosuj McAfee Consumer Product Removal Tool. Potencjalne błędy zignoruj. Po jego użyciu wejdź w Tryb normalny i zrób dwa logi FRST (główny + Addition). .

Problem podstawowy rozwiązany. Teraz możemy przejść do usunięcua tych resztek adware, o którech zagajałam: 1. Otwórz Notatnik i wklej w nim: Task: {909F0B92-2E02-4093-9C9D-49D793433BF3} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe HKLM-x32\...\Run: [fst_pl_15] => [X] HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKU\S-1-5-21-1421982054-181811182-3819869769-1000\...\Policies\Explorer: [] SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - DefaultScope {5DDB52BC-A883-4865-91B7-A85ECC079FB3} URL = C:\ProgramData\McAfee C:\Users\Emilia\AppData\Local\SwvUpdater C:\Users\Emilia\AppData\Roaming\AVG C:\Users\Emilia\AppData\Roaming\DefaultTab C:\Users\Emilia\AppData\Roaming\GoforFiles C:\Users\Emilia\AppData\Roaming\newnext.me C:\Users\Emilia\AppData\Roaming\OpenCandy C:\Users\Emilia\AppData\Roaming\VOPackage Folder: C:\Windows\system32\GroupPolicy Folder: C:\Windows\SysWOW64\GroupPolicy Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Nie potwierdziłeś czy obciążenie GPU zniknęło. Wszystko wykonane. Finalizuj sprawy: 1. Skasuj ręcznie używane narzędzia z folderu C:\Downloads\Software. Popraw za pomocą DelFix. 2. Wyczyść foldery Przywracani systemu: KLIK. 3. Zaktualizuj te dwa programy: ==================== Installed Programs ====================== Java 7 Update 45 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217025FF}) (Version: 7.0.450 - Oracle) Mozilla Thunderbird 24.3.0 (x86 pl) (HKLM-x32\...\Mozilla Thunderbird 24.3.0 (x86 pl)) (Version: 24.3.0 - Mozilla) To tyle. .

Wszysto wykonane. Poproszę Cię o przesłanie mi do testów kopii zapasowej, zapakuj do ZIP cały folder C:\FRST\Hives, shostuj gdzieś i na PW wyślij link. I po tym przejdź do kolejnego etapu: 1. Uruchom TFC - Temp Cleaner. 2. Uruchom DelFix. Dokasuj z dysku ręcznie te dwa pliki: C:\Users\Tomek\Desktop\0e01wteu.exe C:\Windows\SysWOW64\sqlite3.dll 3. Dla pewności zrób pełne skany za pomocą Malwarebytes Anti-Malware oraz Hitman Pro. Jeśli skanery coś wykryją, dostarcz ich raporty, w przeciwnym wypadku są one zbędne. .

To infekcja routera, z którego Windows pobiera zainfekowane DNS. Oba IP wg Whois są z Kanady: KLIK / KLIK. Tcpip\Parameters: [DhcpNameServer] 192.99.14.132 192.99.14.132 1. Należy zresetować router, tzn. zalogować się do niego i zmienić DNS na poprawne właściwego dostawcy oraz hasło dostępu na niestandardowe. Jeśli nie jest możliwe logowanie, można zrobić reset do ustawień fabrycznych za pomocą przycisku na obudowie, ale po tym i tak należy się zalogować, by zmienić login, w przeciwnym wypadku infekcja wróci. 2. Po rozwiązaniu problemu infekcji do wykonania kosmetyczne drobnostki (usunięcie wpisów pustych). Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-841550925-795274711-2327896098-1000\...\Run: [nito.exe] => C:\Users\User\AppData\Roaming\Irceiz\nito.exe C:\Users\User\AppData\Roaming\Afuxus C:\Users\User\AppData\Roaming\Irceiz FF Plugin HKCU: ubisoft.com/uplaypc - C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File S3 TBPanel; No ImagePath S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 upperdev; system32\DRIVERS\usbser_lowerfltx64.sys [X] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. PS. Był tu używany ComboFix i na ten temat: KLIK. .

W takim układzie rzuca się w oczy niezdefiniowane rozszerzenie "Novalx" zamontowane w Google Chrome, identyfikator unikatowy (Twój temat jest jedynym). Kolejne działania: 1. Otwórz Notatnik i wklej w nim: CHR Extension: (Novalx) - C:\Users\mati\AppData\Local\Google\Chrome\User Data\Default\Extensions\pclbjfileoiccmnljjmamenllkhcgbjn [2014-05-29] Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. W Google Chrome spróbuj przeprowadzić to: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Podaj co się dzieje. .

Jestem przekonana, że problem jest rozwiązany. Na zakończenie: 1. Uruchom TFC - Temp Cleaner. 2. Uruchom DelFix. Ręcznie dokasuj Upload i te elementy: C:\Program Files\ExterminateIt C:\Walka z malware\FRST C:\Windows\erdnt 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj Internet Explorer 10 do wersji 11. Dzięki! Ja jestem wdzięczna nawet za najdrobniejsze datki. .

1. Skrypt pomyślnie wykonany, toteż zastosuj już DelFix. 2. System ma zostać przetestowany jak się zachowuje bez Avast, czy nadal będą BSODy. By mieć pewność w tej kwestii, na czas sprawdzania nie należy montować żadnego innego antywirusa (to są bardzo silne softy wprowadzające rozległy układ sterowników). Antywirus przywrócisz, gdy się okaże co z BSOD. .