picasso

Jak mówiłam: "kończymy", toteż temat zamykam.

Próbujesz pakować wprost w katalogu Windows. Mówiłam wyraźnie: "skopiuj na Pulpit cały katalog C:\Windows\Logs\CBS, zapakuj do ZIP". Pakujesz katalog skopiowany na Pulpit, a nie katalog w Windows. To tylko ukrycie problemu a nie jego rozwiązanie. .

Wszystko wykonane. Kończymy: 1. Uruchom TFC - Temp Cleaner. 2. Uruchom DelFix, a czego nie skasuje dokończ ręcznie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj cały Windows i pakiet Office. Stan obecny: Microsoft Windows 7 Ultimate (X86) OS Language: Polish Internet Explorer Version 8 ==================== Installed Programs ====================== Microsoft Office Enterprise 2007 (HKLM\...\ENTERPRISE) (Version: 12.0.4518.1014 - Microsoft Corporation) ----> instalacja SP3 .

Defragmentacja defragmentacji nierówna. Czy była wykonywana defragmentacja typu "Boot"? To oznacza: odinstaluj Avira, nie instaluj w zamian żadnego antywirusa, sprawdź jak pracuje system bez antywirusów... Poproszę o nowy zestaw raportów (FRST i GMER). .

Nie notuję tu oznak infekcji. Nie zostały podane żadne raporty pokazujące co było wykryte i w którym miejscu, same nazwy nie wystarczą. A zwłaszcza raport YAC musi być pokazany, bo te nazwy kodowe ("Sality" i inne dziwne) sugerują jakieś fałszowane wyniki, ten YAC zresztą to wątpliwy program, którego stanowczo należy się pozbyć a nie używać. 1. Rozpocznij od deinstalacji wątpliwego Yet Another Cleaner!, który pojawił się w trakcie diagnostyki problemu. 2. Wprawdzie jest tu Windows 8.1 i zapewne lepszy sprzęt, ale na wszelki wypadek zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. .

Logi z OTL usuwam, to są niepoprawne logi pokazujące przeskanowaną płytę a nie Windows. Goły OTL nie może być uruchamiany jak FRST w WinRE, nie montuje rejestru i skanuje nie to środowisko co należy. OTL działa w zewnętrznym środowisku tylko jako składnik płyty OTLPE. Nie jesteś w stanie uruchomić żadnego trybu Windows, gdyż infekcja przekonfigurowała usługę Instrumentaji Windows. Akcja: 1. Otwórz Notatnik i wklej w nim: S2 Winmgmt; C:\ProgramData\lw8rf3jq.gsa [180224 2014-03-30] (Haarlems Dagblad, Inc) Startup: C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\qj3fr8wl.lnk ShortcutTarget: qj3fr8wl.lnk -> C:\ProgramData\lw8rf3jq.gsa (Haarlems Dagblad, Inc) Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Windows powinien zostać odblokowany. Wejdź normalnie do Windows i zrób nowe raporty FRST (trzy: główny, Addition i Shortcut). Sekcje Drivers MD5 i List BCD nie mają być zaznaczone. .

Ponawiam pytanie: czy skan narzędziem rmneshta.exe został w ogóle ukończony? Jeśli nie, narzędzie uruchomić ponownie i nie zważać na ewentualne uszkodzenie otwierania EXE (w moim poście wyżej i tak jest poprawny import skojarzenia). A jeśli chodzi o ogólne skany, to będą tu jeszcze prowadzone. Po skanie dodaj świeży raport FRST. .

Expert3222 Podałeś mu zły plik rejestru - pod platformy Vista i nowsze a nie XP! Wpisy HasLUAShield (ikona UAC), runasuser (menu kontekstowe "Uruchom jako Administrator") i kilka innych wpisów też się nie zgadza. Ponadto, miałeś w raportach dokładny podklucz exefile, który jest modyfikowany przez infekcję (jeden konkretny), więc skąd taki hurtowy import. pabl00 Nie podałeś nowego raportu z FRST. Wczoraj zedytowałam mój post wstawiając informację, iż błąd podczas skanu jest już naprawiony w nowej wersji narzędzia. Pytaniem podstawowym jest: czy skan narzędziem rmneshta.exe został w ogóle ukończony? To był bardzo istotny krok, by zatrzymać infekowanie EXE. Należało ukończyć skan narzędziem i po to było uruchamianie skanerów w wersjach COM, gdyby coś się stało w trakcie leczenia z otwieraniem EXE. 1. W związku z tym, że został zrobiony błędny import rejestru, trzeba cofnąć złe dane i zaimportować dane zgodne z XP. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SystemFileAssociations\.exe] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile] @="Aplikacja" "EditFlags"=hex:38,07,00,00 "TileInfo"="prop:FileDescription;Company;FileVersion" "InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\DefaultIcon] @="%1" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open] "EditFlags"=hex:00,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command] @="\"%1\" %*" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\runas] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\runas\command] @="\"%1\" %*" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shellex] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shellex\DropHandler] @="{86C86720-42A0-1069-A2E8-08002B30309D}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shellex\PropertySheetHandlers] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shellex\PropertySheetHandlers\PifProps] @="{86F19A00-42A0-1069-A2E9-08002B30309D}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page] @="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 2. Nadal na dysku widać plik infekcji, który był usuwany (czyli się zregenerował). Otwórz Notatnik i wklej w nim: C:\WINDOWS\directx.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy plik fixlog.txt. Czy to oznacza, że wirus jest na laptopie kolegi? .

Żadnych śladów infekcji ZeroAccess, w systemie są za to śmieci adware, ale tym się nie będziemy zajmować teraz, gdyż nie jest to istotne obecnie. To były instrukcje dla XP a nie Windows 7 (i to jeszcze 64-bit), a podana tam paczka zerowała wszystkie klucze Winsock, nie wiadomo czy czegoś nie pogorszyłeś, bo błąd się zmienił. Zawsze zaczyna się od komendy netsh winsock reset a nie takich operacji, jeśli podejrzewa się Winsock. Póki co, problem z siecią jawi się w całkiem innym obszarze. Błędy z Dziennika zdarzeń: ==================== Faulty Device Manager Devices ============= Name: Ancillary Function Driver for Winsock Description: Ancillary Function Driver for Winsock Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1} Manufacturer: Service: AFD Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24) Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed. Devices stay in this state if they have been prepared for removal. After you remove the device, this error disappears.Remove the device, and this error should be resolved. Name: HTTP Description: HTTP Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1} Manufacturer: Service: HTTP Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24) Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed. Devices stay in this state if they have been prepared for removal. After you remove the device, this error disappears.Remove the device, and this error should be resolved. Dodatkowo, notowalny problem z Harmonogramem zadań: Application errors: ================== Error: (04/30/2014 05:20:27 PM) (Source: Schedule) (User: ) Description: Schedule error: 10050Initialize call failed, bailing out Poproszę o skany dodatkowe. Uruchom SystemLook x64 i do okna wklej: :reg HKLM\SOFTWARE\Microsoft\Rpc\Internet HKLM\SYSTEM\CurrentControlSet\services\AFD /s HKLM\SYSTEM\CurrentControlSet\services\HTTP /s HKLM\SYSTEM\CurrentControlSet\services\Winsock /s HKLM\SYSTEM\CurrentControlSet\services\Winsock2 /s :filefind afd.sys http.sys Klik w Look i przedstaw wynikowy raport. .

Może zrób na początek sprawdzanie dysku: 1. Start > w polu szukania wklep cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: chkdsk /f /r 2. Zresetuj system. Powinno zostać wykonane sprawdzanie dysku. Wyniki zostaną nagrane w Dzienniku zdarzeń w gałęzi Aplikacja w postaci rekordu z Wininit. Pobierz szczegóły tego rekordu, skopiuj i wklej do posta statystyki. .

Nie przedstawiłeś raportu C:\ComboFix.txt. Nie rozumiem do czego zmierzasz, jakiego usuwania SpyHunter i czego. I SpyHunter w wersji darmowej nie ma właściwości usuwających, pokazuje wyniki na wabia, by przekonać do płatnej wersji. Jak mówiłam, jest to wątpliwy skaner, który na dodatek był na czarnej liście w przeszłości, ale do dziś nie zmieniły się się pewne rzeczy. Pokaż raport narzędzia co to było. .

Do diagnostyki problemu wykorzystaj program SpaceSniffer. Program zastartuj przez opcję kontekstową "Uruchom jako Administrator", by program obliczył też obszary zablokowane. Nawet jeśli program jest instalowany na innym dysku, i tak jego elementy mogą być utworzone na C:\ w katalogach: C:\Users\Konto\AppData\Local C:\Users\Konto\AppData\Roaming .

Skrypt pomyślnie przetworzony. Kwestie sprzątania kończymy: 1. Uruchom TFC - Temp Cleaner. 2. Przez SHIFT+DEL (omija Kosz) skasuj używane narzędzia i logi z folderu C:\Users\Ewa\Desktop\pobierane. Popraw narzędziem DelFix. 3. Wyczyść foldery Przywracaia systemu: KLIK. 4. Zaktualizuj poniżej wyliczone programy: ==================== Installed Programs ====================== Adobe Flash Player 12 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 12.0.0.77 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 13 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 13.0.0.182 - Adobe Systems Incorporated) ----> wtyczka dla Firefox Google Chrome (HKLM-x32\...\Google Chrome) (Version: 34.0.1847.116 - Google Inc.) Mozilla Firefox 28.0 (x86 pl) (HKLM-x32\...\Mozilla Firefox 28.0 (x86 pl)) (Version: 28.0 - Mozilla) Temat zostawiam jeszcze otwarty, na wypadek gdyby wydarzyło się coś co by wskazywało na śledzenie. Jak mówię, ja tu nic w raportach nie widzę. .

"syf ubilem adwcleanerem" - ja nie bez powodu prosiłam o logi i nie zalecałam używania AdwClewaner bez sprawdzenia co jest. Zdaj sobie sprawę, że użycie AdwCleaner bez poprawnej deinstalacji adware przez Dodaj/Usuń oraz menedżery przeglądarek to błędna metoda, zostawia więcej śmieci. AdwCleaner nie zastępuje deinstalacji. Logi z FRST (wszystkie trzy) nadal aktualne. A skoro był używany AdwCleaner, to dostarcz logi które utworzył w katalogu C:\AdwCleaner. .

Nie prosiłam o logi z FSS (usuwam) i AdwCleaner, one są nieistotne w kontekście problemu. Zabrakło świeżego odczytu z GMER. To jest bug w nowej aktualizacji, ja również mam ten sam błąd na XP. Skanowania nie da się więc na razie przeprowadzić, ale usuwanie za pomocą narzędzia wydaje się możliwe (u mnie nie było błędów). EDIT: Błąd już naprawiony. Akcja: 1. Usuń obecną kopię FRST z dysku, może być zawirusowana. Pobierz ponownie świeżą kopię FRST i jeszcze nie uruchamiaj. Upewnij się, że w Opcjach folderów > Widok > opcja "Ukrywaj rozszerzenia znanych typów plików" jest odznaczona. Następnie ręcznie zmień nazwę z FRST.exe na FRST.com. 2. Otwórz Notatnik i wklej w nim: Reg: reg add HKLM\SOFTWARE\Classes\exefile\shell\open\command /ve /t REG_SZ /d "\"%1\" %*" /f C:\WINDOWS\svchost.com C:\WINDOWS\directx.sys C:\Program Files\GUM23.tmp C:\Documents and Settings\All Users\Dane aplikacji\TEMP SearchScopes: HKLM - DefaultScope value is missing. FF Plugin: @tools.google.com/Google Update;version=3 - C:\Program Files\Google\Update\1.3.22.5\npGoogleUpdate3.dll No File FF Plugin: @tools.google.com/Google Update;version=9 - C:\Program Files\Google\Update\1.3.22.5\npGoogleUpdate3.dll No File S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST.com i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom narzędzie AVG specjalizowane w tym wirusie: rmneshta.exe. 4. Pobierz z przyklejonego tematu świeżą kopię OTL.com (a nie EXE). Zrób nowe logi FRST i OTL. Dołącz plik fixlog.txt. .

Prośbę o logi stąd usuwam, logi były już sprawdzane i są dostępne w poprzednim temacie, do którego link wklejam w pierwszym poście. Temat w dziale malware zamykam. Nie wiem o czym mowa z tym "uciętym" wynikiem SFC, bo log podany w poście #23 wygląda kompletnie. SFC wykazuje masowe uszkodzenia (manifest is damaged) obiektów związanych ze sterownikami. To może być przyczyna problemów z instalacją sterowników, a także prawdopododobnie to i tak zablokowałoby możliwość aktualizacji systemu (pomijam, że i tak miejsca za mało, by to zrobić). 1. Uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. Gdy narzędzie ukończy skan, skopiuj na Pulpit cały katalog C:\Windows\Logs\CBS, zapakuj do ZIP i shostuj gdzieś podając link do paczki. 2. Dodaj informację ile waży u Ciebie folder C:\Windows\System32\DriverStore\FileRepository. Pytanie jest relatywne do poprzedniego o Sunrise Seven: Brak na liście zainstalowanych już dawno był potwierdzony przez raporty. To nie oznacza jednak pewności, że ktoś kiedyś na tym systemie nie zapuścił tego narzędzia i nie skorzystał z opcji czyszczenia FileRepository. To ta opcja powoduje poważne problemy ze sterownikami. 3. Drugie pytanie: co to za rodzaj Windows, czy instalacja z legalnego nośnika, czy też z pobranego z sieci, który był modyfikowany. .

Poprzednie zadania wykonane. 1. GMER został zrobiony w złych warunkach, przy czynnym sterowniku SPTD (o czym mówiłam już na początku): KLIK. Skan jest więc zaciemniony. Proszę powtórz go ponownie po deinstalacji SPTD narzędziem SPTDinst + restart systemu. 2. Dodatkowo, jeszcze na wszelki wypadek sprawdź co pokaże Kaspersky TDSSKiller. Jeśli coś wykryje, ustaw tylko Skip i zaprezentuj wynikowy raport. Jeśli nic nie wykryje, raport zbędny. .

Czekam więc na raporty. Wstępnie podejmiemy próbę usunięcia wirusa, ale nie jest pewnym czy się to uda. Jako że jest tu infekcja w wykonywalnych, każdy plik wykonywalny na pendrive może być groźny i trudno ocenić jak zareaguje antywirus i czy będzie zdolny zablokować wirusa przed jego uruchomieniem a nie już "po". Czy pod pojęciem "sprowadzę z internetu" masz na myśli coś konkretnego, jakieś linki pobierania? Jeśli plik zostanie tylko pobrany i nie uruchomiony (ani ręcznie, ani automatycznie przez "coś"), to nie powinno się nic stać. .

Na przyszłość: używaj innego serwisu wklejkowego (np. wklej.org), tu użyty rozkodowuje znaki. Log z GMER zrobiłeś w złych warunkach, przy czynnym sterowniku SPTD: KLIK. Co dopiero był używany jakiś skrypt do OTL - pokaż log z jego użycia z katalogu C:\_OTL oraz logi z folderu C:\AdwCleaner. Tematy skleję razem. W raportach nie notuję oznak infekcji. Tylko w GMER jest jakiś zablokowany plik Temp. Zastosuj TFC - Temp Cleaner, a po tym ponów skan GMER (po deaktywacji SPTD) i przedstaw log wynikowy. Z raportów nic też nie wynika pod kątem problemu głównego. Może wstępnie wyłącz określone obiekty ze startu i sprawdź czy zostanie odnotowana jakaś poprawa: 1. Uruchom Autoruns: - W karcie Scheduled Tasks odfajkuj AIDA64 AutoStart. - W karcie Services odfajkuj Survarium Update Service (notabene, data tej usługi to mniej więcej miesiąc temu) 2. Zresetuj system. Poddaj system obserwacji i podaj czy są jakieś zmiany. Dodatkowa uwaga, nie tak dawno (9-10 kwiecień) była także aktualizacja sterowników nVidia i Intel. To może być nie bez znaczenia. .

Usuń wszystkie poprzednie logi AdwCleaner, w tym cały folder C:\AdwCleaner. Następnie pobierz ponownie narzędzie, uruchom zgodnie ze wskazówkami i podaj raporty z nowo utworzonego folderu C:\AdwCleaner. .

Poprzednie zadania pomyślnie wykonane. Poprawki: 1. W Google Chrome nadal jest ta strona startowa adware: Chrome: ======= CHR HomePage: hxxp://start.qone8.com/?type=hp&ts=1398397853&from=smt&uid=WDCXWD6400BEVT-80A0RT0_WD-WXE1A30H0558H0558 Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres start.qone8.com. 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-81588081-3447371820-785248835-1000\...\Run: [GoobzoYouTubeAccelerator] => "C:\Program Files (x86)\YouTube Accelerator\YouTubeAccelerator.exe" C:\Users\Administrator\Desktop\YouTube Accelerator.lnk C:\Users\Public\Desktop\Your Software Deals.url C:\Windows\SysWOW64\sqlite3.dll Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

W raportach nie notuję żadnych oznak infekcji czy podejrzanych obiektów. Raporty są owszem ograniczone, ale rozumiem, iż były wykonywane także skany, choćby zainstalowaną Pandą. Do usunięcia tylko drobne szczątki adware Delta i wpisy puste, nie powiązane z głównym zgłoszeniem: 1. Otwórz Notatnik i wklej w nim: SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&affID=121845&babsrc=SP_ss&mntrId=A6CDD85D4C90965F Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File FF user.js: detected! => C:\Users\Ewa\AppData\Roaming\Mozilla\Firefox\Profiles\d51b2sku.default\user.js FF SearchPlugin: C:\Users\Ewa\AppData\Roaming\Mozilla\Firefox\Profiles\d51b2sku.default\searchplugins\delta.xml FF NetworkProxy: "type", 0 C:\Program Files (x86)\mozilla firefox\plugins C:\Users\Ewa\AppData\Roaming\Babylon Task: {4ECD52EF-4B89-406E-AC00-D15C2281ED27} - \{57E79126-84DD-43B6-B9A6-0DF1629C531B} No Task File Task: {A241B6B2-42F7-4145-8226-AD4AA1142AD7} - \{392F9F59-8EF7-4EEE-BD9C-6D29E518BE69} No Task File Task: {A76B6B3A-972C-4CC9-8A4E-AF631DDD0E12} - \{89ACDF50-9411-4E44-8339-4B28A78B1F92} No Task File Task: {C2D89BB7-8475-48DD-8E59-33E1829B51FA} - \{395DF40E-BE0E-4D63-B4A7-5B87AA6C146E} No Task File Task: {C92C6C91-1EF1-40D7-AB60-5D3BCD20D672} - \{98EB835F-27EE-4EB1-9921-D33925EF12A2} No Task File Task: {D0470C7F-F1D8-415F-AEA3-C8655CA59B88} - \{1DD70685-AE09-4770-9BBE-A219ED106486} No Task File Task: {D4721F6E-4838-4173-A1F1-E938F8693CBD} - \{F0511430-DC08-4500-92FC-CBEEF50C0EBB} No Task File Task: {EEF6D477-03D3-4183-B2D4-2D85607FEB68} - System32\Tasks\PCConfidential => C:\Program Files (x86)\Winferno\PC Confidential\PCConfidential.exe Task: {F75F3293-EB66-4E93-9343-5C405FE29086} - \{872563AF-BC31-4EC0-972F-4D91DE6FADC9} No Task File Task: {FA60F3CD-E527-4A4F-BA78-5C7553D5B159} - \{63D73128-0BA2-4980-80BE-14A474434505} No Task File Task: C:\Windows\Tasks\PCConfidential.job => C:\Program Files (x86)\Winferno\PC Confidential\PCConfidential.exe HKLM-x32\...\Run: [NPSStartup] => [X] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. W Google Chrome: - Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres delta-search.com - Zresetuj cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. .

Uzupełnij obowiązkowe raporty z FRST i GMER. .

Nic się nie wykonało, bo zaplątał mi się błąd (już skorygowany powyżej). Powtarzaj ten skrypt: Replace: C:\WindowsCodecs.dll C:\WINDOWS\system32\WindowsCodecs.dll Reboot: O mój Boże. Przecież pobieranie z linka nie wymaga żadnego menedżera, kliknąłeś na spodni link sponsorowany na stronie! Bezpośredni link pobierania jest tu: Poproszę o nowe logi FRST (wszystkie trzy). I do czytania czego unikać, czyli m.in. przycisków "Download" wmanewrowanych by je kliknąć: KLIK. Ten qone8 prawdopodobnie nabyto wcześniej w podobny sposób. qqxkind, ale ja chcę byś mi to wyjaśnił dokładnie. Gdzie ta "cisza", bo ciągle widzę tu multum wwariantów i nie wiem o co Ci chodzi: - klikasz na link Windows Update w Menu Start i okno się nie pokazuje - uruchamiasz Windows Update i w pokazanym oknie jest kompletnie pusto (żadnych napisów, żadnych danych) - uruchamiasz Windows Update i chcesz wyszukiwać aktualizacje, ale brak wykrytych Opisz krok po kroku co widzisz. I zważ na to, że XP nie jest już wspierany, można pobrać tylko łaty wcześniej pobrane, nowych już nie będzie. .

Nie dostarczyłeś obowiązkowego raportu z GMER. Przed skanem GMER należy się pozbyć DAEMON Tools: R1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [283064 2014-01-09] (Disc Soft Ltd) Na razie to oznak infekcji w rozumieniu trojanów tu nie widać, tylko w Google Chrome jest drobne adware, ale wątpię, by to miało związek z głównymi problemami. Doczyść śmieci i wpisy puste: 1. Otwórz Notatnik i wklej w nim: CHR HKLM-x32\...\Chrome\Extension: [bcjagnifjocnddgeknajocbkkhlgibem] - C:\Program Files (x86)\Surf Canyon\surfcanyon.crx [2013-04-17] Task: {48F58D2B-0E6A-44B7-AD81-D04F515C3A58} - System32\Tasks\DriverScanner Delayed Launch => C:\Program Files (x86)\Uniblue\DriverScanner\driverscanner.exe Task: C:\Windows\Tasks\DriverScanner Delayed Launch.job => C:\Program Files (x86)\Uniblue\DriverScanner\driverscanner.exe HKLM-x32\...\Run: [] => [X] HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-2767758455-932884820-2479865623-1000\...\Run: [AVG-Secure-Search-Update_1213b] => C:\Users\japcun\AppData\Roaming\AVG 1213b Campaign\AVG-Secure-Search-Update-1213b.exe /PROMPT /mid=c98314a359b447d3b726d168c3fbe462-1ee57a00d20f1e942295a9903ae9f362b3025ffd /CMPID=1213b HKU\S-1-5-21-2767758455-932884820-2479865623-1000\...\Policies\Explorer: [HideSCAHealth] 1 S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DrWebEngine => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DrWebEngine => ""="Service" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lollipop.lnk Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SP_963508d2 /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware Surf Canyon Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut), Farbar Service Scanner oraz zaległy GMER. Dołącz też plik fixlog.txt. Pierwsza rzecz rzucająca się w oczy to zainstalowany AVG, część jego komponentów była zresztą niedawno aktualizowana / odświeżana. Test: deinstalacja AVG. W przypadku braku rezultatów i po ocenie skanu GMER temat przeniosę do działu Sieci. .