picasso

Zacznijmy od tego co to za komputer na którym są dwa konta do których nie znasz haseł. Czy to Twój komputer i utraciłeś możliwość logowania (jaki błąd się pokazuje), czy to cudzy komputer? Czy system w ogóle pokazuje ekran wyboru użytkowników? Niejasna jest też operacja z Trybem awaryjnym z Wierszem polecenia, czemu to miało służyć przy braku znajomości danych logowania. .

Czy na pewno chodzi Ci o okno "Komputer" systemu Windows 7? Domyślnie w tym oknie nie ma takich pozycji: Sprecyzuj o co konkretnie chodzi, przedstaw obrazek gdzie oczekujesz tych folderów. .

Jeśli chodzi o Java, to nie jest normalne, iż nie ma jej na liście zainstalowanych w raportach. Wygląda to na niepoprawną instalację, której nie można nawet w naturalny sposób odinstalować, gdyż samo usunięcie Java z D to nie jest deinstalacja (nie usunie z rejestru i przeglądarek wpisów Java). Spróbuj zastosować usuwacze dedykowane do Java linkowane w przyklejonym temacie: KLIK. Po tym nie instaluj jeszcze nowej Java tylko zrób log z FRST (bez Addition i Shortcut). .

Wszystko zrobione. Poproszę jeszcze byś mi dostarczył plik (skopiuj na Pulpit, spakuj do ZIP i shostuj gdzieś podając link): C:\Users\maciek\AppData\Local\Google\Chrome\User Data\Default\Preferences I kończymy: 1. Uruchom TFC - Temp Cleaner. 2. Usuń używane narzędzia za pomocą DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Odinstaluj wszystkie stare wersje Adobe i Java, jeśli potrzebne zamontuj najnowsze wersje. Obecnie są tu starocie: ==================== Installed Programs ====================== Adobe Flash Player 10 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 10.0.32.18 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 10 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 10.1.102.64 - Adobe Systems Incorporated) ----> wtyczka dla Firefox/Opera Adobe Reader X (10.1.1) (HKLM-x32\...\{AC76BA86-7AD7-1033-7B44-AA1000000001}) (Version: 10.1.1 - Adobe Systems Incorporated) Java 7 Update 51 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217051FF}) (Version: 7.0.510 - Oracle) Java™ 6 Update 20 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83216020F0}) (Version: 6.0.200 - Sun Microsystems, Inc.) Java™ 6 Update 25 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86416025FF}) (Version: 6.0.250 - Oracle) .

Tu podejrzenia budzi COMODO Internet Security. Wejdź w Tryb awaryjny (brak aktywności CIS) i dostarcz obowiązkowe tu raporty FRST i OTL. .

Temat oczyszczam. I zasady działu przeczytaj (KLIK) na temat prawidłowych tytułów (popraw) i "refreshów" (zabronione). Używałeś ComboFix i na ten temat: KLIK. On tu zresztą nie pomoże: Niestety tu się szykuje format. W systemie grasuje Sality - wirus plików wykonywalnych atakujący wszystkie pliki tego rodzaju (pliki systemu i programów) na wszystkich dyskach. Znaki jego działania to procesy z Temp, autoryzacje "ipsec" w zaporze (procesy tym oznaczone są już zainfekowane) oraz ukryte pliki autorun.inf na wszystkich dyskach: ==================== Processes (Whitelisted) ================= () C:\Users\MATEUSZ\AppData\Local\temp\wineadfr.exe () C:\Users\MATEUSZ\AppData\Local\temp\winvsxef.exe [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\Google\Update\GoogleUpdate.exe" = C:\Program Files\Google\Update\GoogleUpdate.exe:*:Enabled:ipsec -- (Google Inc.) "C:\Program Files\AMD AVT\bin\kdbsync.exe" = C:\Program Files\AMD AVT\bin\kdbsync.exe:*:Enabled:ipsec -- () "C:\Users\MATEUSZ\AppData\Local\MEGAsync\MEGAsync.exe" = C:\Users\MATEUSZ\AppData\Local\MEGAsync\MEGAsync.exe:*:Enabled:ipsec -- (Mega Limited) "C:\Windows\system32\Dwm.exe" = C:\Windows\system32\Dwm.exe:*:Enabled:ipsec -- (Microsoft Corporation) "D:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe" = D:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe:*:Enabled:ipsec -- (LogMeIn Inc.) "C:\Windows\Explorer.EXE" = C:\Windows\Explorer.EXE:*:Enabled:ipsec -- (Microsoft Corporation) "C:\Program Files\ScreenShooter\screenshooter.exe" = C:\Program Files\ScreenShooter\screenshooter.exe:*:Enabled:ipsec -- () O32 - AutoRun File - [2014-05-07 22:20:09 | 000,000,473 | RHS- | M] () - C:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2014-05-07 22:20:09 | 000,000,293 | RHS- | M] () - D:\autorun.inf -- [ NTFS ] System nie działa poprawnie, gdyż określone pliki są już zmodyfikowane przez wirusa. Nie wiadomo jak duże są szkody. Wstępnie podejmij się leczenia, ale i tak format jest na widoku. Leczenie z Sality nie gwarantuje naprawy plików, mogą pozostać szkody (nawet niewykrywalne na pierwszy rzut oka), a ich próba naprawy może być zupełnie nieopłacalna ze względu na czas i nakład pracy. Po leczeniu Sality zwykle pozostają uszkodzone programy wymagające reinstalacji, ale może to tyczyć też plików systemu. 1. Uruchom SalityKiller. Wykonaj nim skan do skutku. Jeden przebieg nie wystarczy. Narzędzie należy uruchomić kilka razy, aż otrzymasz zwrot "zero zainfekowanych". 2. Uruchom TFC - Temp Cleaner. 3. Zresetuj reguły Zapory. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komedę netsh firewall reset i ENTER. 4. Zrób nowy logi: FRST, OTL (ma powstać ponownie Extras - opcja "Rejestr - skan dodatkowy" ma być zaznaczona), zaległy GMER (niezależnie od tego jak długo trwać będzie skan = proszę go dostarczyć) oraz USBFix z opcji Listing. Podsumuj jakie statystyki były w SalityKiller. .

Objaśnij to dokładniej, przedstaw na obrazkach gdzie to jest widoczne. Mam też pytanie czy to legalny Windows, gdyż na C są ukryte następujące pliki insynuujące jakąs kombinację z crackiem: 2014-04-13 16:43 - 2014-04-13 16:43 - 00206312 __RSH () C:\OWBHH 2014-04-13 16:43 - 2014-04-13 16:43 - 00000009 __RSH () C:\wedaolu Co do infekcji, oznak czynnej brak, tylko drobne nieczynne odpadki adware do wyczyszczenia, co nie jest zresztą powiązane z powyższymi zgłoszeniami: 1. Otwórz Notatnik i wklej w nim: IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe HKLM\...\AppCertDlls: [x86] -> C:\Program Files\Settings Manager\systemk\sysapcrt.dll HKLM\...\AppCertDlls: [x64] -> c:\program files\settings manager\systemk\x64\sysapcrt.dll HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.default-search.net?sid=476&aid=132&itype=n&ver=12302&tm=317&src=hmp SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=n&ver=12302&tm=317&src=ds&p={searchTerms} SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=n&ver=12302&tm=317&src=ds&p={searchTerms} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\47065591.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\47065591.sys => ""="Driver" C:\END CMD: rd /s /q "C:\Users\Oli\Desktop\Stare dane programu Firefox" CMD: rd /s /q C:\Users\Oli\Downloads\FRST-OlderVersion Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. 2. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Przedstaw go. .

- Co masz na myśli mówiąc "brak możliwości instalacji OLT i FRST"? O co chodzi? A trzy z pobranych kopii FRST były nieprawidłowe - wersje 32-bit zamiast 64-bit. - WiseEnhance wg raportów jest obecnie w stanie odinstalowanym, lecz pozostał po nim czynny sterownik (te nowe formy adware z grupy Sambreel nie usuwają go przy deinstalacji). Są też inne śmieciuszki. WiseEnhance prawdopodobnie weszło przez poniższy plik: C:\Users\maciek\Downloads\PDF-Split-and-Merge(27764).exe To nie jest instalator zasadniczy lecz "Asystent pobierania", wg nazwy albo z dobreprogramy.pl, albo z pliki.onet.pl. Więcej na temat takich "instalacji": KLIK. Przechodzimy do czyszczenia: 1. Otwórz Notatnik i wklej w nim: (APN LLC.) C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe (APN) C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe R2 APNMCP; C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe [166352 2014-03-26] (APN LLC.) S2 Update WiseEnhance; "C:\Program Files (x86)\WiseEnhance\updateWiseEnhance.exe" [X] R1 {2c976a7f-dbdc-4756-870f-f6d183fe7a7e}w64; C:\Windows\System32\drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}w64.sys [61120 2014-04-29] (StdLib) S3 BTCFilterService; system32\DRIVERS\motfilt.sys [X] S3 dump_wmimmc; \??\C:\ijji\ENGLISH\Gunz\GameGuard\dump_wmimmc.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 motccgp; system32\DRIVERS\motccgp.sys [X] S3 motccgpfl; system32\DRIVERS\motccgpfl.sys [X] S3 MotDev; system32\DRIVERS\motodrv.sys [X] S3 motmodem; system32\DRIVERS\motmodem.sys [X] S3 MotoSwitchService; system32\DRIVERS\motswch.sys [X] S3 Motousbnet; system32\DRIVERS\Motousbnet.sys [X] S3 motusbdevice; system32\DRIVERS\motusbdevice.sys [X] S3 NPPTNT2; \??\C:\Windows\system32\npptNT2.sys [X] HKLM-x32\...\Run: [ApnTBMon] => C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe [1801168 2014-03-26] (APN) HKU\S-1-5-21-3297936920-1529435368-2243938450-1000\...\Run: [AdobeBridge] => [X] HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://feed.snap.do/?publisher=SnapdoIMonetizer&dpid=SnapdoIMonetizer&co=AT&userid=deba6d89-f3d1-4f0b-9df1-d8fe66dd6254&searchtype=hp SearchScopes: HKLM-x32 - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snap.do/?publisher=SnapdoIMonetizer&dpid=SnapdoIMonetizer&co=AT&userid=deba6d89-f3d1-4f0b-9df1-d8fe66dd6254&searchtype=ds&q={searchTerms} SearchScopes: HKCU - ToolbarSearchProviderProgress {96bd48dd-741b-41ae-ac4a-aff96ba00f7e} SearchScopes: HKCU - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snap.do/?publisher=SnapdoIMonetizer&dpid=SnapdoIMonetizer&co=AT&userid=deba6d89-f3d1-4f0b-9df1-d8fe66dd6254&searchtype=ds&q={searchTerms} SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = SearchScopes: HKCU - {96bd48dd-741b-41ae-ac4a-aff96ba00f7e} URL = http://www.bigseekpro.com/search/browser/easygifmaker/{38C15738-0709-4C9F-A5A1-C79F3D2348EA}?q={searchTerms} SearchScopes: HKCU - {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search/web?q={searchTerms} Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll () Toolbar: HKLM - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} - No File Toolbar: HKLM-x32 - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll () Toolbar: HKLM-x32 - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} - No File Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKCU - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll () CHR HKLM-x32\...\Chrome\Extension: [pljcgbedjplidkdjahbaalanadmjfgop] - C:\ProgramData\AskPartnerNetwork\Toolbar\ORJ-V7C\CRX\ToolbarCR.crx [2014-03-26] Task: {3C94213C-14FD-478D-AD95-8EF52AA4B5E6} - System32\Tasks\{DCC21E94-88FA-42C1-9DC7-31E3B4E279CE} => Chrome.exe http://ui.skype.com/ui/0/6.7.60.102/pl/go/help.faq.installer?LastError=1601 Task: {3EB3B0F1-4EA3-4571-A5DA-F776A4CC55AE} - System32\Tasks\{90E049C5-B47F-4A74-9BC3-25F4A84AC1DB} => Chrome.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.367&LastError=404 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Puma Video Converter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intense Ragnarok Online with KRO RE v1.0 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike Source C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Collab C:\Users\maciek\AppData\Roaming\1334 C:\Users\maciek\AppData\Roaming\systweak C:\Users\maciek\AppData\Roaming\Uniblue C:\Users\maciek\Downloads\PDF-Split-and-Merge(27764).exe C:\Users\maciek\Downloads\FRST.exe C:\Users\maciek\Downloads\FRST (1).exe C:\Users\maciek\Downloads\FRST (2).exe C:\Users\maciek\Downloads\OTL*.* C:\Windows\system32\Drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}w64.sys Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: Ask Toolbar, DAEMON Tools Toolbar, YouTube Downloader 3.4, YouTube FLV to AVI converter Pro 6.0.10. 3. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adres feed.snap.do, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

Zostały podane logi z drugiego przebiegu AdwCleaner. Podaj najistotniejszy, czyli pierwszy pokazujący co było usuwane: AdwCleaner[s0].txt.

Nie szkodzi, przejdź dalej. Ewentualne poprawki zostaną naniesione potem.

Skoro reset usunął problem, to zostaje wymiana loginów na niestandardowe, by uniknąć reinfekcji. Na koniec drobnostki nie związane z tematem przewodnim: 1. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [] => [X] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adres isearch.avg.com 3. Usuń używane narzędzia za pomocą DelFix. .

Akcja pomyślnie wykonana, błąd ustąpił, toteż możesz kończyć: 1. Jeszcze drobne puste wpisy do usunięcia. Do FRST załaduj skrypt o postaci: HKLM\...\Run: [RegistryMechanic] => [X] S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X] 2. Usuń używane narzędzia z folderu C:\Documents and Settings\Administrator\Pulpit\Diagnostyka i popraw ponownie znanym Ci już DelFixem. Temat rozwiązany. Zamykam. .

Log z GMER zrobiony w złym środowisku, przy czynnym emulatorze DAEMON Tools i jego sterownikach, co wpływa na maskowanie odczytów. R0 d347bus; C:\WINDOWS\System32\DRIVERS\d347bus.sys [155136 2004-08-22] ( ) R0 d347prt; C:\WINDOWS\System32\Drivers\d347prt.sys [5248 2004-08-22] ( ) Poza tym faktem, brak tu oznak infekcji. Są tylko drobne śmieci adware, ale to w ogóle nie ten poziom ingerencji i nie ma żadnego związku z problemami. Doczyść: - W Firefox w Rozszerzeniach odmontuj adware Extension_Protected + Lightning Speed Dial. - Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Pokaż log wynikowy z folderu C:\AdwCleaner. Nie ukończył działania. I zostaw go już w spokoju. On nie służy do rozwiązywania takich problemów. Jego przeznaczeniem jest usuwanie limitowanej ilości określonych infekcji. Notabene: przed jego uruchomieniem należy usunąć emulator napędów, co nie zostało tu wykonane. Tu znacznie bardziej prawdopodobne jest, iż to skutki zmian konfiguracyjnych sprzętu (a Przywracanie systemu na XP to ograniczony system): A dnia 25 kwietnia były instalowane sterowniki nVidia: Podałam link do diagnostyki BSOD, gdyż ten autoreset to prawdopodobnie tylko działanie ustawienia domyślnego (ukrycie ekranu). Czy w ogóle sprawdziłeś i przekonfigurowałeś ustawienia zrzutów pamięci? Ponadto, temat przenoszę na diagnostykę do działu Hardware. Dokładnie opisz co to były za testy sprzętowe, w jaki sposób zostały usunięte urządzenia i ich oprogramowanie (tylko Przywracanie systemu i nic poza tym?) i dostarcz dane wymagane działem: KLIK. .

To nie jest problem infekcji. Objawom odpowiadają te błędy z Dziennika zdarzeń wskazujące na problem z grafiką: System errors: ============= Error: (05/07/2014 03:27:16 PM) (Source: nvlddmkm) (User: ) (EventID: 14) Description: \Device\Video5!06d7(2648) Error: (05/07/2014 01:14:38 PM) (Source: nvlddmkm) (User: ) (EventID: 14) Description: \Device\Video5!06d7(2648) Temat przenoszę do działu Hardware. Dostosuj się do zasad tego działu: KLIK. .

Wykonaj ponownie skan FRST oraz SystemLook na te warunki: :filefind d2d1.dll d3d10.dll d3d10_1.dll d3d10_1core.dll d3d10core.dll d3d10level9.dll d3d10warp.dll dwm.exe dxgi.dll UIAnimation.dll WindowsCodecs.dll WindowsCodecsExt.dll PS. Co do tego "Pana" z PW = Pani. .

Uwagi na temat używanych narzędzi: - ComboFix użyty niepotrzebnie, a aspekty uruchomienia objaśnia powyższy link. - AdwCleaner nie został pobrany ze strony domowej tylko z nieautoryzowanego portalu, mówi o tym nazwa pliku: AdwCleaner.pl 3.207.exe. Podejrzewam, że pokazują się tam po prostu skanowane pliki preferencji, co nie jest infekcją tylko informacją. Jest tu śmieć Show-Password-soft oraz ustawione proxy w Internet Explorer (z niego korzysta także Google Chrome). Czyszczenie: 1. Otwórz Notatnik i wklej w nim: () C:\Program Files (x86)\Show-Password-soft\Show-Passwordnt161.exe () C:\Program Files (x86)\Show-Password-soft\Show-Passwordh.exe R2 Show-Password; C:\Program Files (x86)\Show-Password-soft\Show-Passwordnt161.exe [143872 2014-04-30] () S3 catchme; \??\C:\ComboFix\catchme.sys [X] Task: {27E92876-D87A-4AB0-B97F-45776E3DD17D} - \SomotoUpdateCheckerAutoStart No Task File Task: {7F2A4DC4-1390-456B-B189-7396D8FE1B32} - System32\Tasks\Show-Password_wd => C:\Program Files (x86)\Show-Password-soft\Show-Passwordh.exe [2014-04-30] () Task: C:\Windows\Tasks\Show-Password_wd.job => C:\Program Files (x86)\Show-Password-soft\Show-Passwordh.exe FF HKCU\...\Firefox\Extensions: [{CF65F30F-93B5-EF17-1F6C-B680986E4544}] - C:\Program Files (x86)\Show-Password-soft\161.xpi GroupPolicy: Group Policy on Chrome detected ProxyEnable: Internet Explorer proxy is enabled. ProxyServer: http=127.0.0.1:14366 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - DefaultScope {5DDB52BC-A883-4865-91B7-A85ECC079FB3} URL = SearchScopes: HKCU - {5DDB52BC-A883-4865-91B7-A85ECC079FB3} URL = C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FLV Player C:\Users\user\Desktop\FLV Player.lnk C:\Windows\SysWOW64\GroupPolicy\GPT.INI C:\Windows\SysWOW64\sqlite3.dll C:\Windows\SysWOW64\㩣灜潲牧浡慤慴歜獡数獲祫氠扡慜灶㐱〮〮摜瑡屡潭畤敬彳湩敶瑮牯⹹慤 Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {5DDB52BC-A883-4865-91B7-A85ECC079FB3} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware Show-Password. 3. Są ślady naruszenia preferencji Google Chrome, toteż: - Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (potem sobie włączysz). - Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i logi z folderu C:\AdwCleaner. .

W raportach brak oznak infekcji po stronie systemu. Wygląda na to, że jest tu infekcja na poziomie routera: Tcpip\Parameters: [DhcpNameServer] 192.99.14.108 8.8.8.8 Adres IP 192.99.14.108 wg Whois pochodzi z Kanady: KLIK. Czyli należy zresetować ustawienia routera: DNS oraz login. .

Posty sklejam do oczekiwanej na starcie formy. Ale oczywiście odpowiadasz mi już w nowym poście, nie edytuj poprzedniego. Został tu użyty ComboFix i nie zostały przedstawione wyniki jego pracy. Na temat używania tego narzędzia: KLIK. System nie wygląda na zaprawiony tym rodzajem infekcji, widać ją tylko na pendrive (ukryte foldery). Ale system i tak nie jest czysty - są śmieci adware zainstalowane. Do wdrożenia następujące operacje: 1. Podczas tej operacji pendrive (obecnie widziany pod literą G) ma być podpięty. Otwórz Notatnik i wklej w nim: (SweetIM Technologies Ltd.) C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.) C:\Program Files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe Task: {0B0AE895-C0C8-4471-821F-92EB8004494C} - System32\Tasks\YourFile Update => C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe Task: {20561217-7D1C-4AEE-B41B-45DFFD973636} - System32\Tasks\Go for FilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe Task: {35346115-050F-42CD-B692-33BFAE333E27} - System32\Tasks\{D8F89288-2E34-4DB6-A959-621816085E24} => C:\Program Files (x86)\ToonCar\ToonCar.exe [2001-10-23] () Task: {7542A388-5208-4309-8E72-48EB3BA74039} - System32\Tasks\CodecUpdaterUpdaterRefreshTask => C:\ProgramData\CodecUpdate\ix_updater.exe [2012-07-18] () Task: {C871A238-9A8C-4805-8BC7-8664798A2442} - System32\Tasks\CodecUpdaterUpdaterLogonTask => C:\ProgramData\CodecUpdate\ix_updater.exe [2012-07-18] () Task: C:\Windows\Tasks\CodecUpdaterUpdaterLogonTask.job => C:\ProgramData\CodecUpdate\ix_updater.exe Task: C:\Windows\Tasks\CodecUpdaterUpdaterRefreshTask.job => C:\ProgramData\CodecUpdate\ix_updater.exe R2 svcgdp; C:\Program Files (x86)\Software Plate\svcgdp.exe [224416 2012-07-02] (Beijing ELEX Technology Co., Ltd.) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 zlportio; \??\C:\Program Files (x86)\UltraStar\zlportio.sys [X] HKLM-x32\...\Run: [sweetIM] => C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe [115032 2012-05-29] (SweetIM Technologies Ltd.) HKLM-x32\...\Run: [sweetpacks Communicator] => C:\Program Files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe [295728 2012-02-26] (SweetIM Technologies Ltd.) HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.dogpile.com/ URLSearchHook: HKLM-x32 - free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files (x86)\free-downloads.net\tbfree.dll (Conduit Ltd.) URLSearchHook: HKLM-x32 - Ashampoo PO Toolbar - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - C:\Program Files (x86)\Ashampoo_PO\prxtbAsha.dll (Conduit Ltd.) URLSearchHook: HKCU - free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files (x86)\free-downloads.net\tbfree.dll (Conduit Ltd.) URLSearchHook: HKCU - Ashampoo PO Toolbar - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - C:\Program Files (x86)\Ashampoo_PO\prxtbAsha.dll (Conduit Ltd.) StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033 SearchScopes: HKLM-x32 - {CF4F24C0-2D6C-4337-8C25-716F297656AB} URL = ${SEARCH_URL}{searchTerms} SearchScopes: HKCU - DefaultScope {CF4F24C0-2D6C-4337-8C25-716F297656AB} URL = http://www.dogpile.com/search/web?fcoid=417&fcop=topnav&fpid=27&ql=&q={searchTerms} SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=112555&tt=4212_1&babsrc=SP_ss&mntrId=be448af1000000000000c44619b30120 SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={E8878FF2-9021-43B6-906F-4B73067F3666}&mid=8e44297dae4547d08fa2150f5f57e8d3-916e3f00c35bb49f3aabeb0b7b6ab4987a0a4a36&lang=pl&ds=gm011&pr=sa&d=2012-03-27 20:55:13&v=10.2.0.3&sap=dsp&q={searchTerms} SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033 SearchScopes: HKCU - {CF4F24C0-2D6C-4337-8C25-716F297656AB} URL = http://www.dogpile.com/search/web?fcoid=417&fcop=topnav&fpid=27&ql=&q={searchTerms} SearchScopes: HKCU - {FAFEBB96-F248-4BD6-A55C-FA6A33248A5E} URL = http://search.ividi.org/?q={searchTerms}&src=tbsp&id=be448af1000000000000c44619b30120&affilt=3&r=320 BHO-x32: hosts - {11111111-1111-1111-1111-110311531182} - C:\Program Files (x86)\hosts\hosts-bho.dll No File BHO-x32: ividi Helper Object - {8B8B2E80-1444-451D-AC8E-EB9A847F3887} - C:\Program Files (x86)\Unitech LLC\ividi\1.8.23.0\bh\ividi.dll (Unitech LLC) BHO-x32: Ashampoo PO Toolbar - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - C:\Program Files (x86)\Ashampoo_PO\prxtbAsha.dll (Conduit Ltd.) BHO-x32: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files (x86)\free-downloads.net\tbfree.dll (Conduit Ltd.) BHO-x32: SweetPacks Browser Helper - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) Toolbar: HKLM-x32 - free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files (x86)\free-downloads.net\tbfree.dll (Conduit Ltd.) Toolbar: HKLM-x32 - SweetPacks Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) Toolbar: HKLM-x32 - Ashampoo PO Toolbar - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - C:\Program Files (x86)\Ashampoo_PO\prxtbAsha.dll (Conduit Ltd.) Toolbar: HKCU - No Name - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - No File Toolbar: HKCU - No Name - {ECDEE021-0D17-467F-A1FF-C7A115230949} - No File Toolbar: HKCU - No Name - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - No File CHR HKLM-x32\...\Chrome\Extension: [dhkplhfnhceodhffomolpfigojocbpcb] - C:\Users\Dusiek\AppData\Roaming\BabylonToolbar\CR\BabylonChrome1.crx [2011-12-19] CHR HKLM-x32\...\Chrome\Extension: [giacfgjdclhnmkacnfbaljbmpnelflol] - C:\Program Files (x86)\iVIDI.org plugin\ividiplg.crx [2012-11-05] CHR HKLM-x32\...\Chrome\Extension: [jcdgjdiieiljkfkdcloehkohchhpekkn] - C:\Users\Dusiek\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetFB.crx [2012-08-07] CHR HKLM-x32\...\Chrome\Extension: [kpdhgpkkloealnjnmepfhanpcleldbef] - C:\Program Files (x86)\Unitech LLC\ividi\1.8.23.0\ividi.crx [2013-07-25] CHR HKLM-x32\...\Chrome\Extension: [pgafcinpmmpklohkojmllohdhomoefph] - C:\ProgramData\Browser Manager\2.3.796.11\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.crx [2013-07-25] C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UltraStar C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Uninstall Google Chrome.lnk C:\Users\Dusiek\AppData\Local\Google\Chrome\User Data\Default\External Extensions C:\Users\Dusiek\AppData\Roaming\Babylon C:\Users\Dusiek\AppData\Roaming\DigitalSites C:\Users\Dusiek\AppData\Roaming\GoforFiles C:\Users\Dusiek\AppData\Roaming\NCdownloader C:\Users\Dusiek\AppData\Roaming\OpenCandy C:\Users\Dusiek\AppData\Roaming\YourFileDownloader C:\Users\Dusiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DownTango C:\Users\Dusiek\Desktop\Programy\ALL Media Server.lnk C:\Users\Dusiek\Desktop\Programy\ALL YouTube Downloader.lnk C:\Users\Dusiek\Desktop\Programy\ALLPlayer.lnk C:\Users\Dusiek\Desktop\Programy\Avira AntiVir Control Center.lnk C:\Users\Dusiek\Desktop\Programy\Optimizer Pro.lnk C:\Users\Dusiek\Desktop\Programy\UltraStar.lnk C:\Users\Dusiek\Desktop\Muzyczka\Skrót do Beethoven- Symphony no. 5.lnk C:\Windows\SysWOW64\sho*.tmp C:\*.log C:\END C:\msvcp100.dll C:\msvcr100.dll C:\user.js CMD: attrib /d /s -s -h G:\* CMD: sc config "PLAY ONLINE. RunOuc" start= demand Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware: Ashampoo PO Toolbar, BabylonObjectInstaller, CodecUpdater Updater, DownTango, free-downloads.net Toolbar, hosts, Internet Explorer Toolbar 4.6 by SweetPacks, iVIDI Plugin 1.3, Software Plate, SweetIM for Messenger 3.7, Unitech LLC toolbar, Update for Mipony Download Manager, Update Manager for SweetPacks 1.0. 3. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Babylon, Browser Manager, iVIDI.org plugin, iVidi Chrome Toolbar, SweetIM for Facebook, Unitech (o ile nadal będą widoczne) Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowe logi: FRST z opcji Scan (zaznacz ponownie pole Addition, by powstały dwa raporty) + USBFix z opcji Listing. Dołącz też pliki: fixlog.txt, log z AdwCleaner oraz C:\ComboFix.txt. .

Nie! Skrypty są jednorazowe, masz dostarczyć plik fixlog.txt, który jest już na dysku w tym samym katalogu skąd uruchamiano FRST. Natomiast skan FRST robisz na nowo i dostarczasz log główny + Addition.

Ad "Pan" = jestem Panią. Dostarczone raporty FRST są złe, to stare logi, a nie zrobione na świeżo po wykonaniu wszystkich czynności. Nie został tewż podany plik fixlog.txt z wynikami przetwarzania skryptu. .

Oznak czynnej infekcji nie notuję, do usunięcia tylko szczątki adware i wpisy puste, co nie jest związane z problemami głównymi. 1. Otwórz Notatnik i wklej w nim: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKCU - {DFB032D2-7495-43C1-B5F2-CD2910114376} URL = http://www.idg.pl?q={searchTerms} S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] S3 GGSAFERDriver; \??\D:\Programy\Garena Plus\Room\safedrv.sys [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] S3 XFDriver64; \??\C:\Program Files (x86)\Xfire2\XFDriver64.sys [X] AlternateDataStreams: C:\ProgramData:NT AlternateDataStreams: C:\Users\All Users:NT AlternateDataStreams: C:\ProgramData\Application Data:NT AlternateDataStreams: C:\ProgramData\Dane aplikacji:NT AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT AlternateDataStreams: C:\ProgramData\TEMP:6BE50C2B AlternateDataStreams: C:\Users\Dawid\Dane aplikacji:NT AlternateDataStreams: C:\Users\Dawid\AppData\Roaming:NT C:\Program Files (x86)\UTuubieuNNoAds C:\ProgramData\a3da1d4abc854efc C:\ProgramData\UTuubieuNNoAds Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Coś tu jest nie tak z Google Chrome: jest uruchomione w procesach, na dysku konfiguracja, ale brak wpisu na liście zainstalowanych. Czy uruchomiona w tle przelądarka była odpalona ręcznie? 3. Odinstaluj Spybot - Search & Destroy: przestarzały, mało skuteczny dziś, program 32-bit i na systemie 64-bit jest pół sprawny. W Dzienniku zdarzeń jest następujący błąd charakterystyczny dla defektu Zapory systemu Windows: System errors: ============= Error: (05/06/2014 09:33:54 PM) (Source: Service Control Manager) (User: ) (EventID: 7024) Description: Usługa Usługa nasłuchująca grup domowych zakończyła działanie; wystąpił specyficzny dla niej błąd %%-2147023143. Poproszę o log z Farbar Service Scanner. Error: (05/06/2014 09:33:49 PM) (Source: Service Control Manager) (User: ) (EventID: 7001) Description: Usługa Spybot-S&D 2 Security Center Service zależy od usługi Centrum zabezpieczeń, której nie można uruchomić z powodu następującego błędu: %%1058 Error: (05/06/2014 09:33:49 PM) (Source: Service Control Manager) (User: ) (EventID: 7001) Description: Usługa Spybot-S&D 2 Updating Service zależy od usługi Logowanie pomocnicze, której nie można uruchomić z powodu następującego błędu: %%1058 Są także ślady wyłączenia różnych usług Windows. Podaj raport z FRST, ale zrobiony na ustawieniu: w sekcji Services odznacz Whitelist. Error: (05/06/2014 09:33:50 PM) (Source: Service Control Manager) (User: ) (EventID: 7026) Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego: sptd Error: (05/06/2014 09:33:13 PM) (Source: sptd) (User: ) (EventID: 4) Description: Sterownik wykrył błąd wewnętrzny w swoich strukturach danych dla . Występuje problem ze sterownikiem SPTD od emulacji napędów. Przeinstaluj narzędziem SPTDinst: KLIK. .

Co Ty właściwie usunąłeś? Obecnie w ogóle nie ma wartości BootExecute. Uzupełnij ją. Otwórz Notatnik i wklej w nim: Reg: reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" /v BootExecute /t REG_EXPAND_SZ /d "autocheck autochk *" /f Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Przedstaw wynikowy fixlog.txt oraz wypowiedz się czy w trakcie startu systemu znów wyskoczył błąd. Zła komenda, zabrakło literki: ipv6 uninstall .

Restart jest normalny przy czyszczeniu infekcji rootkit. A TDSSKiller nie tworzy raportu tam skąd uruchamiasz narzędzie tylko wprost na dysku C:\. Jest to w opisie wyszczególnione. Tak więc dołącz poprzedni log oraz nowy, o którym mówię w powyższym poście. .

Wpis BootExecute nie jest widzialny na ustawieniu filtrującym. Poproszę o skan innego typu. Otwórz Notatnik i wklej w nim: Reg: reg query "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" File: C:\Windows\system32\AutoChk.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. PS. Przy okazji, w poprzednim temacie wspominałeś o deinstalacji IPv6. W obecnym raporcie IPv6 jest nadal w systemie, zostało przywrócone? .

Zasady działu: KLIK. Tu są obowiązkowe także raporty z FRST i GMER. Jaki był powód użycia Przywracania systemu? A diagnostyka BSOD w punkcie 5 ogłoszenia działu Windows: KLIK. Na temat używania ComboFix: KLIK. .