picasso

"Problem sam się rozwiązał" - czy na pewno wyłączanie w ShellExView nie miało nic do rzeczy? A w kwestii zapisu raportu: zaznaczyć wszystkie wpisy na liście i klik w ikonę dyskietki na pasku narzędziowym co podaje opcję zapisu raportu do formatu TXT. .

Temat przenoszę do działu Windows XP. Nie widać tu żadnych oznak infekcji. aswMBR wykrył określone sterowniki jako "zablokowane", z kolei TDSSKiller w ogóle nic takiego nie notuje. W GMER nic podejrzanego, przede wszystkim czynności Kasperskiego. To nie jest dokładny debug. Skopiuj ten plik Minidump, spakuj do ZIP i shostuj gdzieś podając link. Ale skoro "trzy pierwsze były podświetlone", to wskazuje to na Kasperskiego. I to wszystko to też może być wina Kaspersky Internet Security 2013. Solidny test to tymczasowa deinstalacja pakietu, gdyż nie jest możliwe wyłączenie wszystkich czynności sterowników w prosty sposób (wymagany duży nakład pracy, deinstalacja jest pewniejsza i szybciej pójdzie). .

OK. Czyli zostało do wdrożenia: 1. Wymiana haseł (logowanie w systemach płatności, poczta, serwisy społecznościowe etc.). 2. Aktualizacje poniżej wymienionych programów: KLIK. ==================== Installed Programs ====================== Adobe Flash Player 11 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 11.5.502.135 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 11 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 11.5.502.135 - Adobe Systems Incorporated) ----> wtyczka dla FF Adobe Reader X (10.1.0) - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-AA1000000001}) (Version: 10.1.0 - Adobe Systems Incorporated) AVG 2013 (HKLM\...\AVG) (Version: 2013.0.3469 - AVG Technologies) Java™ 6 Update 45 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83216045FF}) (Version: 6.0.450 - Oracle) ----> deinstalacja, nowsza Java jest już w systemie Microsoft Office Home and Student 2010 (HKLM-x32\...\Office14.SingleImage) (Version: 14.0.4763.1000 - Microsoft Corporation) ----> instalacja SP2 Mozilla Firefox 17.0.1 (x86 pl) (HKLM-x32\...\Mozilla Firefox 17.0.1 (x86 pl)) (Version: 17.0.1 - Mozilla) Nie mam kontaktu ani konta na tamtym forum. My się z filutką "znamy" tylko na zasadzie wiedzy kto na jakim forum działa. .

Kończymy: 1. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM - DefaultScope value is missing. FF Plugin: @java.com/DTPlugin,version=10.15.2 - C:\WINDOWS\system32\npDeployJava1.dll No File FF Plugin: @pandonetworks.com/PandoWebPlugin - C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File CMD: del /q C:\WINDOWS\system32\sqlite3.dll CMD: del /q "C:\Documents and Settings\Agata\Pulpit\cnvvhyp3.exe" CMD: del /q "C:\Documents and Settings\Agata\Pulpit\Shortcut.txt" CMD: rd /s /q "C:\Documents and Settings\Agata\Pulpit\FRST-OlderVersion" CMD: rd /s /q "C:\Documents and Settings\Agata\Pulpit\Stare dane programu Firefox" Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Oporne programy oparte o MSI usuń za pomocą tego narzędzia: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz je na liście > Dalej. 3. Uruchom TFC - Temp Cleaner. 4. Usuń używane narzędzia za pomocą DelFix. 5. Wyczyść foldery Przywracania systemu: KLIK. .

Ślady w logu wskazują, że wpis startowy Chew7Hale został tylko wyłączony przez msconfig, powiązany plik jest nadal na dysku, nie wiadomo też co jeszcze od tego cracka występuje. Pełna deinstalacja cracka odbywa się poprzez uruchomienie tego samego pliku za pomocą którego crack instalowano - pokazuje się przeciwstawna opcja Uninstall. Wygląda na to, że infekcja została pomyślnie usunięta. Kolejna porcja działań: 1. Usuń używane narzędzia za pomocą DelFix. Co nie zostanie skasowane dokasuj ręcznie. 2. Zrób pełne skanowanie za pomocą Malwarebytes Anti-Malware. W przypadku wykrycia czegoś przedstaw raport. .

Coś mnie zaćmiło. Zadałam usunięcie tego folderu, po czym kierowałam doń. Po prostu przeinstaluj sobie program, tylko przy instalacji omiń sponsorów (instalację paska). I kończymy: 1. Usuń używane narzędzia za pomocą DelFix. Przez SHIFT+DEL (omija Kosz) dokasuj z Pobranych ponownie utworzony folder FRST-OlderVersion. 2. Wyczyść foldery Przywracania systemu, o ile coś powstało od momentu założenia tematu (pierwotnie brak punktów): KLIK. 3. Odinstaluj stare wtyczki: ==================== Installed Programs ====================== Adobe Flash Player 12 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 12.0.0.77 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Shockwave Player 11.6 (HKLM-x32\...\Adobe Shockwave Player) (Version: 11.6.6.636 - Adobe Systems, Inc.) Java™ 7 Update 5 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86417005FF}) (Version: 7.0.50 - Oracle) .

Tu jeszcze nie wszystko. Czekam na wyniki skanu. Po tym jest planowana wymiana wszystkich haseł logowania w serwisach (w systemie był bootkit) i aktualizacje programów. Zachomikowane programy do usunięcia. Przy kolejnej "aferze" pobiera się je na nowo, by mieć gwarancję najnowszych usprawnionych wersji. Możesz zostawić sobie tylko OTL i TFC, bo te nie są już rozwijane i nowych wersji nie należy się spodziewać. filutce przecież możesz podziękować bezpośrednio na tamtym forum w założonym temacie. .

- Brakuje pliku fixlog.txt, który powstał podczas przetwarzania skryptu FRST w katalogu Pobieranie. Dostarcz, nie uruchamiaj przypadkiem ponownie skryptu, chodzi o poprzednie uruchomienie. - Dołączone tu logi z AdwCleaner są z wcześniejszego użycia (4 kwiecień). Miałeś narzędzie uruchomić ponownie i dostarczyć wszystkie logi AdwCleaner (stare i nowe) o formule nazwy AdwCleanerSnumer.txt (a nie AdwCleanerRnumer.txt). Czy AdwCleaner w ogóle został użyty ponownie? .

Temat przenoszę do działu Windows. Nic tu nie wskazuje na infekcję. Poproszę jednak o uruchomienie z poziomu OTLPE innego nowszego skanera czyli FRST. Z poziomu dowolnego dostępnego komputera zapisz program na pendrive, pendrive podepnij pod zdefektowany komputer, zbootuj OTLPE i z pendrive uruchom FRST. Faza zawiasu insynuuje sterowniki. W raportach brak konkretów. Są za to dziwne ślady braku określonych kluczy: O20 - HKLM Winlogon: Shell - ( ) - (Registry key not found) O20 - HKLM Winlogon: UserInit - ( ) - (Registry key not found) Jest tu kilka zastanawiających pozycji sterownikowych: DRV - File not found [Kernel | On_Demand] -- -- (slabser) DRV - File not found [Kernel | On_Demand] -- -- (slabbus) CP210x USB Composite Device driver (WDM) DRV - [2009/07/13 11:51:12 | 000,034,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\winusb.sys -- (WinUSB) DRV - [2008/05/02 04:58:28 | 000,008,064 | ---- | M] (Windows ® Codename Longhorn DDK provider) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys -- (UsbserFilt) Na razie jak mówię proszę o raport z FRST. .

1. Przesyłam poprawny plik: KLIK. Rozpakuj i ulokuj plik wprost na C:\. Otwórz Notatnik i wklej w nim: Replace: C:\WindowsCodecs.dll C:\WINDOWS\system32\WindowsCodecs.dll Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. 2. Przedstaw wynikowy plik fixlog.txt i potwierdź ustąpienie błędu. Nadal nie rozumiem opisu. Opisz mi dokładnie co widzisz, czy strona Windows Update jest w ogóle niedostępna, czy też jest lecz nie pokazuje nic do pobrania, czy może są jakieś błędy. .

Temat przenoszę do działu Sieci. Oznak infekcji brak. A log z przeterminowanego HijackThis usuwam - tu od lat na forum nikt nie prosi o ten log, jest bezużyteczny, FRST i OTL są znacznie bardziej zaawansowane i na spółkę skanują wszystkie miejsca które uwzględnia HijackThis i znacznie więcej. Za to nie został podany trzeci log FRST Shortcut. Dodatkowe uwagi: 1. Były używane następujące narzędzia: - SpyHunter: skaner wątpliwej reputacji, do deinstalacji. - ComboFix: nie został pokazany raport C:\ComboFix.txt (jest na dysku). Na temat używania tego narzędzia: KLIK. - AdwCleaner: nie zostały pokazane raporty z katalogu C:\AdwCleaner (jest na dysku). 2. Drobna kosmetyka (bez wpływu na problem zasadniczy). Otwórz Notatnik i wklej w nim: SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKCU - {67771B8E-AA58-4E02-A4AF-60B2CF333E72} URL = http://www.sweet-page.com/web/?type=ds&ts=1394470207&from=cor&uid=HitachiXHTS542525K9SA00_080225BB0F00WDHTKGHAX&q={searchTerms} HKU\.DEFAULT\...\RunOnce: [Del295328] - cmd.exe /Q /D /c del "C:\WINDOWS\TEMP\0.del" HKU\.DEFAULT\...\RunOnce: [Del432531] - cmd.exe /Q /D /c del "C:\WINDOWS\TEMP\0.del" S3 catchme; \??\C:\ComboFix\catchme.sys [X] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Zwraca tu uwagę świeża instalacja ESET Endpoint Antivirus wykonana 18 kwietnia. Tak więc do wykonania testowa deinstalacja. Jeśli nie pomoże, dostarcz dane wymagane działem Sieci: KLIK. .

Kolejne podejście na nowe elementy adware: 1. Otwórz Notatnik i wklej w nim: (Cherished Technololgy LIMITED) C:\ProgramData\IePluginService\PluginService.exe R2 IePluginService; C:\ProgramData\IePluginService\PluginService.exe [705136 2014-04-11] (Cherished Technololgy LIMITED) ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\opera.exe (Opera Software) -> hxxp://start.qone8.com/?type=sc&ts=1398397853&from=smt&uid=WDCXWD6400BEVT-80A0RT0_WD-WXE1A30H0558H0558 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://start.qone8.com/?type=sc&ts=1398397853&from=smt&uid=WDCXWD6400BEVT-80A0RT0_WD-WXE1A30H0558H0558 ShortcutWithArgument: C:\Users\Krystian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1398397853&from=smt&uid=WDCXWD6400BEVT-80A0RT0_WD-WXE1A30H0558H0558 ShortcutWithArgument: C:\Users\Krystian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1398397853&from=smt&uid=WDCXWD6400BEVT-80A0RT0_WD-WXE1A30H0558H0558 ShortcutWithArgument: C:\Users\Krystian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://start.qone8.com/?type=sc&ts=1398397853&from=smt&uid=WDCXWD6400BEVT-80A0RT0_WD-WXE1A30H0558H0558 ShortcutWithArgument: C:\Users\Krystian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1398397853&from=smt&uid=WDCXWD6400BEVT-80A0RT0_WD-WXE1A30H0558H0558 ShortcutWithArgument: C:\Users\Krystian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://start.qone8.com/?type=sc&ts=1398397853&from=smt&uid=WDCXWD6400BEVT-80A0RT0_WD-WXE1A30H0558H0558 ShortcutWithArgument: C:\Users\Krystian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera11.61 1250.lnk -> C:\Program Files (x86)\Opera\opera.exe (Opera Software) -> hxxp://start.qone8.com/?type=sc&ts=1398397853&from=smt&uid=WDCXWD6400BEVT-80A0RT0_WD-WXE1A30H0558H0558 HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qone8.com/web/?type=ds&ts=1398397853&from=smt&uid=WDCXWD6400BEVT-80A0RT0_WD-WXE1A30H0558H0558&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.qone8.com/?type=hp&ts=1398397853&from=smt&uid=WDCXWD6400BEVT-80A0RT0_WD-WXE1A30H0558H0558 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.qone8.com/?type=hp&ts=1398397853&from=smt&uid=WDCXWD6400BEVT-80A0RT0_WD-WXE1A30H0558H0558 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qone8.com/web/?type=ds&ts=1398397853&from=smt&uid=WDCXWD6400BEVT-80A0RT0_WD-WXE1A30H0558H0558&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qone8.com/web/?type=ds&ts=1398397853&from=smt&uid=WDCXWD6400BEVT-80A0RT0_WD-WXE1A30H0558H0558&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.qone8.com/?type=hp&ts=1398397853&from=smt&uid=WDCXWD6400BEVT-80A0RT0_WD-WXE1A30H0558H0558 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.qone8.com/?type=hp&ts=1398397853&from=smt&uid=WDCXWD6400BEVT-80A0RT0_WD-WXE1A30H0558H0558 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qone8.com/web/?type=ds&ts=1398397853&from=smt&uid=WDCXWD6400BEVT-80A0RT0_WD-WXE1A30H0558H0558&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qone8.com/web/?type=ds&ts=1398397853&from=smt&uid=WDCXWD6400BEVT-80A0RT0_WD-WXE1A30H0558H0558&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.qone8.com/?type=hp&ts=1398397853&from=smt&uid=WDCXWD6400BEVT-80A0RT0_WD-WXE1A30H0558H0558 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://start.qone8.com/?type=hp&ts=1398397853&from=smt&uid=WDCXWD6400BEVT-80A0RT0_WD-WXE1A30H0558H0558 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.qone8.com/web/?type=ds&ts=1398397853&from=smt&uid=WDCXWD6400BEVT-80A0RT0_WD-WXE1A30H0558H0558&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1398397853&from=smt&uid=WDCXWD6400BEVT-80A0RT0_WD-WXE1A30H0558H0558 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1398397853&from=smt&uid=WDCXWD6400BEVT-80A0RT0_WD-WXE1A30H0558H0558&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1398397853&from=smt&uid=WDCXWD6400BEVT-80A0RT0_WD-WXE1A30H0558H0558&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = BHO-x32: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files (x86)\SupTab\SupTab.dll (Thinknice Co. Limited) BHO-x32: No Name - {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} - No File Task: {4B627FC8-228D-4E47-96DF-148B67099E92} - \Driver Booster Update No Task File Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Facebook Update" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ooVoo.exe" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f C:\Program Files (x86)\SupTab C:\ProgramData\IePluginService C:\Users\Krystian\AppData\Roaming\SupTab C:\Users\Krystian\AppData\Roaming\qone8 C:\Users\Public\Documents\GOOBZO C:\Users\Public\Documents\ShopperPro Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy qone8. Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Uruchom Uruchom TFC - Temp Cleaner. 4. Odinstalowałeś Kasperskiego, lecz nie wszystkie jego składniki zostały usunięte. Przejdź w Tryb awaryjny Windows i zastosuj Kaspersky Remover. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Plik HOSTS nareszcie pomyślnie zresetowany. Możemy przejść do finalizacji: 1. Usuń używane narzędzia za pomocą DelFix. Jeśli coś nie zostanie skasowane, dokończ ręcznie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Jako że AVG poprzednio reagował dopiero przy próbach zapisu na D:\, dla pewności wykonaj jeszcze ręczny pełny skan partycji C i D. .

Główny klucz związany z filtrem sieciowym został skasowany, nie skasowały się klasy (zapomniałam uwzględnić zablokowane podklucze "Properties"), ale jakoś wątpię by to miało związek z siecią. Dokończ oporne klucze. Otwórz Notatnik i wklej w nim: Unlock: HKLM\SYSTEM\CurrentControlSet\Control\Class\{03F52937-1FD6-44FB-82C6-FE988F1B1D61}\Properties Unlock: HKLM\SYSTEM\CurrentControlSet\Control\Class\{24A0C840-2C3D-4410-8236-8B40816C7B90}\Properties Unlock: HKLM\SYSTEM\CurrentControlSet\Control\Class\{522119B9-1B9A-498A-AC52-148B533EFD50}\Properties Unlock: HKLM\SYSTEM\CurrentControlSet\Control\Class\{87C077B2-3D3B-4156-938A-EA51B451D6C6}\Properties Unlock: HKLM\SYSTEM\CurrentControlSet\Control\Class\{8AE85550-832C-4A9B-81BB-2A49DBEE72B4}\Properties Unlock: HKLM\SYSTEM\CurrentControlSet\Control\Class\{AB4964A5-4361-4899-BA0A-180305F2BF92}\Properties Unlock: HKLM\SYSTEM\CurrentControlSet\Control\Class\{C4A06E97-ED42-47B9-83E1-F12299B286A5}\Properties Unlock: HKLM\SYSTEM\CurrentControlSet\Control\Class\{C777C165-D422-426D-8EBF-6EAF3FB83ADF}\Properties Unlock: HKLM\SYSTEM\CurrentControlSet\Control\Class\{FB58BE68-EA9E-4803-847F-2CE814E7B159}\Properties Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{03F52937-1FD6-44FB-82C6-FE988F1B1D61} /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{24A0C840-2C3D-4410-8236-8B40816C7B90} /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{522119B9-1B9A-498A-AC52-148B533EFD50} /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{87C077B2-3D3B-4156-938A-EA51B451D6C6} /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{8AE85550-832C-4A9B-81BB-2A49DBEE72B4} /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{AB4964A5-4361-4899-BA0A-180305F2BF92} /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{C4A06E97-ED42-47B9-83E1-F12299B286A5} /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{C777C165-D422-426D-8EBF-6EAF3FB83ADF} /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{FB58BE68-EA9E-4803-847F-2CE814E7B159} /f Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. .

Dodaj pełny skan elementów Harmonogramu, analiza tego zajmie mi jednak więcej czasu. Uruchom SystemLook x64 i do okna wklej: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule /s HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Schedule /s :dir C:\Windows\system32\Tasks /s C:\Windows\SysWOW64\Tasks /s C:\Windows\Tasks Klik w Look. .

W rejestrze nadal są klucze Avast (filtr aswNdisFlt i klasy urządzeń Avast). Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Test\ControlSet002\Control\Network\{4d36e974-e325-11ce-bfc1-08002be10318}\{3A7B79C0-1126-4D3D-9928-31C43D843D94}] "Characteristics"=dword:00040000 "InfPath"="oem41.inf" "InfSection"="Install.Vista.Amd64" "LocDescription"="@oem41.inf,%afwdescriptionfree%;Avast! Firewall Driver" "Description"="Avast! Firewall Driver" "ComponentId"="aswNdisFlt" "InstallTimeStamp"=hex:de,07,04,00,05,00,04,00,0e,00,0f,00,26,00,e3,01 [HKEY_LOCAL_MACHINE\Test\ControlSet002\Control\Network\{4d36e974-e325-11ce-bfc1-08002be10318}\{3A7B79C0-1126-4D3D-9928-31C43D843D94}\Ndi] "Service"="aswNdisFlt" "CoServices"=hex(7):61,00,73,00,77,00,4e,00,64,00,69,00,73,00,46,00,6c,00,74,\ 00,00,00,00,00 "HelpText"="Avast! Firewall Driver" "FilterClass"="failover" "FilterType"=dword:00000002 "FilterRunType"=dword:00000002 "TimeStamp"=hex:de,07,04,00,05,00,04,00,0e,00,0f,00,26,00,d3,01 [HKEY_LOCAL_MACHINE\Test\ControlSet002\Control\Network\{4d36e974-e325-11ce-bfc1-08002be10318}\{3A7B79C0-1126-4D3D-9928-31C43D843D94}\Ndi\Interfaces] "UpperRange"="noupper" "LowerRange"="nolower" "FilterMediaTypes"="ethernet, wan, ppip" Kolejne podejście: 1. Otwórz Notatnik i wklej w nim: Unlock: HKLM\SYSTEM\CurrentControlSet\Control\Network\{4d36e974-e325-11ce-bfc1-08002be10318}\{3A7B79C0-1126-4D3D-9928-31C43D843D94} Unlock: HKLM\SYSTEM\CurrentControlSet\Control\Network\{4d36e974-e325-11ce-bfc1-08002be10318}\{3A7B79C0-1126-4D3D-9928-31C43D843D94}\Ndi Unlock: HKLM\SYSTEM\CurrentControlSet\Control\Network\{4d36e974-e325-11ce-bfc1-08002be10318}\{3A7B79C0-1126-4D3D-9928-31C43D843D94}\Ndi\Interfaces Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Network\{4d36e974-e325-11ce-bfc1-08002be10318}\{3A7B79C0-1126-4D3D-9928-31C43D843D94} /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Network /v Config /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{03F52937-1FD6-44FB-82C6-FE988F1B1D61} /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{24A0C840-2C3D-4410-8236-8B40816C7B90} /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{522119B9-1B9A-498A-AC52-148B533EFD50} /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{87C077B2-3D3B-4156-938A-EA51B451D6C6} /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{8AE85550-832C-4A9B-81BB-2A49DBEE72B4} /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{AB4964A5-4361-4899-BA0A-180305F2BF92} /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{C4A06E97-ED42-47B9-83E1-F12299B286A5} /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{C777C165-D422-426D-8EBF-6EAF3FB83ADF} /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{FB58BE68-EA9E-4803-847F-2CE814E7B159} /f Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. 2. Dostarcz wynikowy fixlog.txt i wypowiedz się czy są jakieś zmiany. .

FRST wykazuje jedno z zadań jako wybrakowane. Usuń to i zobaczymy czy wpłynie to na sytuację. Otwórz Notatnik i wklej w nim: Task: {0D18908F-4361-4013-A2D5-0FE78CFA5C8B} - \SidebarExecute No Task File Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Przedstaw wynikowy fixlog.txt. .

kosa4321, na początek podaj raporty z FRST (pole Addition ma być zaznaczone). Plik Addition wstępnie przedstawi niedomyślne zadania Harmonogramu.

Dostarcz mi pełną kopię rejestru gałęzi SYSTEM. Zrzuć rejestr za pomocą RegBack, z kopii wybierz plik SYSTEM, spakowany do ZIP podlinkuj gdzieś. Nie obiecuję szybkiej analizy, to są czasochłonne zadania. .

Przepraszam, oczywiście mówiliśmy już o tym i poprzednie logi pochodzą pewnie sprzed aktualizacji. Wymazuję ustęp o aktualizacji. Nie wiem czy dobrze rozumiem. Co to oznacza? Widzisz coś w oknie do pobrania, ale to nie chce się pobrać? Komunikat mówi, iż jest uszkodzony plik wymieniony na komunikacie. Podaj skan na wystąpienia tego pliku. Uruchom SystemLook i do okna wklej: :filefind windowscodecs.dll Klik w Look i przedstaw wynikowy raport. .

Zrób Przywracanie systemu z poziomu WinRE, o ile w ogóle były dostępne jakiekolwiek punkty Przywracania: KLIK. .

drakon79, temat założony w złym dziale, przenoszę. Zgłaszany problem nie jest związany z infekcją tylko ze sprzętem. Odpadki adware do czyszczenia owszem są, ale teraz to nieistotne i później te drobnostki się przetworzy, a dostarczony zestaw logów niekompletny (brakuje głównego FRST oraz dodatkowego FRST Shortcut). W Trybie awaryjnym uruchom Menedżer urządzeń i odinstaluj urządzenia, by Windows je przebudował po restarcie: KLIK. .

Usunięcie pozostałych wpisów. Otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0F44DC3F-6E62-4961-A14B-95323C512F9B}_is1 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{1EE9BBA1-312F-4EC0-9DEA-A8FE22BBABAA}_is1 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Dll-Files.com Fixer_is1" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt oraz zrób nowy log Addition (główny log FRST nie jest mi potrzebny). .

Akcje pomyślnie wykonane. Kończymy: 1. Uruchom TFC - Temp Cleaner. 2. Usuń używane narzędzia za pomocą DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. .

Na temat używania ComboFix: KLIK. Zestaw logów niepełny. Logi nie mają być wklejane w poście tylko w postaci załączników, usuwam ten wklejony OTL (zresztą niepełny). Proszę dostosuj się do zasad działu: KLIK. Uzupełnij raporty z FRST i OTL (poprawnie skonfigurowany, by powstały dwa raporty). A ComboFix nie usuwaj, musi być wiadome co robił. .