picasso

W systemie są też odpadki po F-Secure oraz ślady cracka aktywacji Chew7Hale (wyłączony w msconfig) - czy crack został odinstalowany? Wdróż następujące działania: 1. Otwórz Notatnik i wklej w nim: () C:\Users\ewunia\AppData\Roaming\regsrv64.exe (F-Secure Corporation) C:\Program Files\Bezpieczny Internet Premium\fshoster32.exe (F-Secure Corporation) C:\Program Files\Bezpieczny Internet Premium\fshoster32.exe HKU\S-1-5-21-743547813-428604125-3645034512-1000\...\Run: [Microsoft DLL Registration] => C:\Users\ewunia\AppData\Roaming\regsrv64.exe [77824 2014-04-25] () Startup: C:\Users\ewunia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{be62610d-322b-3431-dc31-96f6be62610d}.exe (Nero StartSmart Essentials) R2 fshoster; C:\Program Files\Bezpieczny Internet Premium\fshoster32.exe [188400 2013-01-18] (F-Secure Corporation) C:\Program Files\Bezpieczny Internet Premium C:\Users\ewunia\AppData\Roaming\*.exe C:\Users\ewunia\AppData\Roaming\{be62610d-322b-3431-dc31-96f6be62610d} Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

To co jest w skanie AVG to kompletnie inny plik, czyli FlashUpdater.exe (dwie kopie pobrane ręcznie), a podany program to TFC.exe. Prawdopodobnie ten szkodliwy FlashUpdater.exe już był wcześniej na dysku w tym folderze D:\Download, ale AVG się obudził dopiero, gdy zacząłeś zapisywać tam TFC. To co wykrył AVG do usunięcia. Plik HOSTS bez zmian. Kolejne podejście: 1. Otwórz Notatnik i wklej w nim: Unlock: C:\Windows\system32\Drivers\etc\hosts Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny plik fixlog.txt. 2. Ponownie uruchom narzędzie Fix-it resetujące HOSTS. 3. Zrób nowy log FRST, ale dodaj mi tylko plik Addition. Dołącz też plik fixlog.txt. .

Wszystko pomyślnie wykonane (w tym Google Chrome wygląda już poprawnie), ale to jeszcze nie koniec działań. 1. Uruchom TFC - Temp Cleaner. 2. Usuń używane narzędzia za pomocą DelFix. Ręcznie dokasuj z Pobieranych plik 8f2u218c.exe (GMER) oraz Shortcut.txt. 3. Zrób pełny skan za pomocą Malwarebytes Anti-Malware. Jeśli coś zostanie wykryte, przedstaw raport. .

Brakuje danych po czyszczeniu: A to co wykrył CureIt to instalator sponsorów w Temp. Czego unikać: KLIK. .

Na pewno plik był utworzony na świeżo ręcznie, mówią o tym daty jego utworzenia i modyfikacji (nanieś poprawkę na cofnięty czas systemowy): 2014-04-23 20:12 - 2014-04-25 20:22 - 00000977 _____ () C:\Windows\system32\Drivers\etc\hosts.txt Plik powstał tuż przed instalacją MBAM i używaniem AdwCleaner. Tak więc owszem, mógł być w momencie, gdy na tamtym forum zadano modyfikację HOSTS, co nie zmienia faktu, że plik został utworzony (nie było go wcześniej) i otwierałeś zły plik. Plik systemowy jest na dysku, nie ma rozszerzenia i nie jest to powyższy plik. Rootkit został pomyślnie usunięty, o czym zawiadamia GMER i ustąpienie procesów iexplore.exe, ale plik HOSTS w ogóle nie został zresetowany. Może plik jest zablokowany przez uprawnienia? Google Chrome stosuje antyawaryjny system separacji kart i rozszerzeń do osobnych procesów. Powielenie procesu chrome.exe nie jest nienormalne, jeśli przeglądarka była ręcznie uruchomiona. Np. u mnie przy otwartych 8 kartach Google Chrome mam 11 procesów chrome.exe. Poprzednio wspominane powielenie iexplore.exe to było co innego (ciche uruchomienie procesów nie używanej przeglądarki). Sytuacja, gdy działał rootkit: ==================== Processes (Whitelisted) ================= (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) C:\Program Files\Internet Explorer\iexplore.exe Obecna sytuacja: ==================== Processes (Whitelisted) ================= (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe A MBAM prawdopodobnie reaguje na przekierowania HOSTS. Skoro reset HOSTS narzędziem Fix-it się nie udaje, ręcznie zostanie wdrożona akcja: 1. Otwórz Notatnik i wklej w nim: 146.0.75.221 www.google-analytics.com. 146.0.75.221 google-analytics.com. 146.0.75.221 connect.facebook.net. 146.0.75.221 bing.com. 146.0.75.221 www.bing.com. 146.0.75.221 gb.bing.com. 146.0.75.221 au.bing.com. 146.0.75.221 ca.bing.com. 79.142.66.242 www.google-analytics.com. 79.142.66.242 google-analytics.com. 79.142.66.242 connect.facebook.net. 79.142.66.242 bing.com. 79.142.66.242 www.bing.com. 79.142.66.242 gb.bing.com. 79.142.66.242 au.bing.com. 79.142.66.242 ca.bing.com. C:\Windows\system32\Drivers\etc\hosts.txt C:\Windows\SysWOW64\sqlite3.dll HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\67791575.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\67791575.sys => ""="Driver" Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Zrób nowy log FRST z opcji Scan (główny + Addition). Dołącz też plik fixlog.txt. .

Log ma być zapisany do formatu TXT, inne są zabronione w załącznikach. .

Skoro odcinanie oczywistych procesów niedomyślnych nic nie wnosi, przetestuj rozszerzenia powłoki. Uruchom ShellExView x64, z wciśniętym CTRL zaznacz wszystkie niedomyślne wpisy (są wyróżnione na różowym the) i je wyłącz. Zresetuj komputer. Podaj także log z narzędzia ShellExView. .

Opuść Tryb awaryjny i postaraj się wyciągnąć pożądane dane HWiNFO w tej "luce" kilkuminutowej, która występuje przed wystąpieniem awarii.

Wprawdzie w raportach FRST i OTL nie było poprzednio nic szczególnego w Firefox - z tą różnicą, iż narzędzia widziały inne profile (FRST wykrywał Kaspersky Lab SafeBrowser) - ale nie jest wykluczone, że problem jest jednak w przeglądarce. Spróbuj tych akcji w Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. Po operacji zrób nowe raporty i podsumuj co się dzieje, czy te reklamy nadal występują. .

Wykonaj jeszcze test z czystym rozruchem: KLIK. Podaj czy są jakieś zmiany. .

Ten crash i kolorowe zmazy na ekranie sugerują tu teraz całkiem inny problem: z grafiką. Przesuwam temat na diagnostykę sprzętową. Dostarcz wymagane dane: KLIK.

Tak, zgodnie z podejrzeniami jest tu rootkit (GMER po odsianiu aktywności SPTD lepiej to wykazuje + TDSSKiller ma konkretną detekcję typu), a modyfikacja HOSTS to tylko część zestawu. Plik HOSTS nie został zresztą wcale zresetowany, prawdopodobnie infekcja blokuje, choć nie jestem pewna czy w ogóle uruchomiłeś narzędzie Fix-it. Wdróż następujące działania: 1. Uruchom ponownie Kaspersky TDSSKiller, ale tym razem dla wyniku Rootkit.Boot.Cidox.b wybierz akcję domyślnie zaproponowaną przez narzędzie. Zresetuj system. Narzędzie zapisze kolejny log na C:\. 2. Ponów reset pliku HOSTS narzędziem Fix-it: KLIK. 3. Zrób nowe logi: FRST (główny + Addition) oraz GMER. Dołącz log z Kasperskiego. Nie, ten plik *.txt Ty utworzyłeś. Tu są obecnie dwa pliki w systemie: Plik właściwy bez rozszerzenia (to ten miał być modyfikowany): 2009-07-14 04:34 - 2014-04-24 08:51 - 00001659 ____N C:\Windows\system32\Drivers\etc\hosts Plik sztuczny dorobiony przez Ciebie (nie jest interpretowany przez Windows): 2014-04-23 20:12 - 2014-04-25 20:22 - 00000977 _____ () C:\Windows\system32\Drivers\etc\hosts.txt .

Plik PDF opisujący konfigurację tego modelu: KLIK. Karta Interface Setup > sekcja LAN > DHCP ustawione na Enabled > na spodzie są ustawienia DNS (Primary + Secondary DNS Server). .

Nie wiem jaki to router, ani jak wygląda interfejs ustawiania DNS. Przydałby się obrazek z konfiguracji. Jeśli nie wiesz co tam wpisać w polach DNS, możesz tymczasowo wstawić adresy Google (zresztą jeden z nich był wcześniej obok adresu złośliwego): Podstawowy: 8.8.8.8 Zapasowy: 8.8.4.4 .

Nie, logi nie są już potrzebne. Temat rozwiązany. Zamykam.

W tym podejściu McAfee został usunięty i nie jest już czynny, widać jeszcze po nim drobne odpadki oraz nadal uszkodzone Google Chrome, ale to zostawiam na potem. Skoro nadal występuje problem, to jeszcze jako podejrzani są Avast w kombinacji z MBAM. Ale wstępnie sprawdź inny układ, który może ograniczy obszar poszukiwań, tzn. czy efekt występuje na czystym rozruchu: KLIK. .

Zrób bardziej kompletny test: tymczasowo odinstaluj w całości tego Kasperskiego, zresetuj system, nie instaluj na razie żadnych innych antywirusów, wypowiedz się czy jest różnica. .

Jak sądzę, system powinien już śmigać. Ustosunkuj się jeszcze do tego, bo może trzeba na siłę usuwać te pozycje: I po tym zadam czynności końcowe. .

Folder definitywnie jest, tylko go nie widzisz (zaznaczona opcja "Ukryj chronione pliki systemu operacyjnego"), i nie jest pusty. A lista punktów jest następująca: ==================== Restore Points ========================= 26-04-2014 11:16:55 avast! antivirus system restore point 26-04-2014 11:21:36 Installed SpyHunter 26-04-2014 11:27:33 Windows Update 26-04-2014 11:39:51 Removed SpyHunter 26-04-2014 11:40:41 Removed SpyHunter Tego folderu nie czyści się ręcznie (i nie wolno tego zrobić na systemach Vista i nowszych)! Przecież w linku są podane metody poprzez opcje Windows. Wykonaj podane tam akcje. .

Zabrakło obowiązkowego raportu z GMER. Uzupełnij. Przed uruchomieniem należy odinstalować emulatory napędów wirtualnych i sterownik SPTD: KLIK. R0 sptd; C:\Windows\System32\Drivers\sptd.sys [503352 2013-04-23] () Były używane narzędzia: SpyHunter (to wątpliwy skaner) oraz AdwCleaner (dostarcz logi z folderu C:\AdwCleaner). Na razie nie widzę tu żadnych oznak czynnej infekcji, tylko odpadki adware i wpisy puste do usunięcia. Doczyść, ale to jednak nie wpłynie na poprawę stanu systemu: Czekam jeszcze na GMER, ale póki co do sprawdzenia: 1. Wyłączenie zbędnych procesów. Uruchom msconfig: - W karcie Uruchamianie odznacz wpisy: AdobeAAMUpdater-1.0, Adobe ARM, AdobeCS6ServiceManager, BCSSync, SunJavaUpdateSched, SwitchBoard, Windows Defender - W karcie Usługi odznacz wpisy: Adobe Acrobat Update Service, Adobe SwitchBoard, Autodesk Content Service, Nero Update, Skype Updater, Windows Defender Zresetuj system. Przy braku zmian: 2. Testowa deinstalacja Avira. .

Na tym etapie działań prosiłam Cię o konkretne logi, czyli już tylko FRST i to bez Shortcut. Usuwam nadwyżkę. A fixlog.txt wykazuje, że był prawdopodobnie uruchomiony dwa razy, gdyż nic nie zostało znalezione, a obecnie wpisów i tak nie ma. Czy to na pewno logi FRST po użyciu McAfee Consumer Products Removal tool? W ogóle na to nie wygląda, zmian brak. McAfee odinstalowany tylko pozornie. Wpis z listy programów zniknął, niestety reszta działa pełną parą. Program jest czynny w procesach i multum usług / sterowników.... Kolejne podejście: 1. Uruchom McAfee Consumer Products Removal tool. Nie zważaj na ewentualne błędy podawane przez narzędzie. 2. Zresetuj system, sprawdź czy da się wejść w Tryb normalny. Zrób nowe raporty z FRST (zaznacz ponownie pole Addition, by powstały dwa logi). .

Poprzedni skrypt pomyślnie wykonany. Sprawdź czy przypadkiem nie ponosi winy Kaspersky Anti-Virus 2013. Test wstępny: zdeaktywuj wszystkie osłony i zresetuj system. Podaj czy jest jakaś zmiana. .

Wszystko przetworzone pomyślnie. Nie udzieliłeś jednak odpowiedzi na temat widzialności pendrive oraz używania Nero. W Dzienniku zdarzeń ponawiają się te błędy: System errors: ============= Error: (04/26/2014 04:20:08 PM) (Source: NetBT) (User: ) Description: Zainicjowanie nie powiodło się, ponieważ transport odmówił otwarcia adresów początkowych. Sprawdź: - Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > po lewej Zmień ustawienia karty sieciowej > dla wszystkich widzialnych połączeń z prawokliku wybierasz Właściwości > w pierwszej karcie zweryfikuj listę czy nie ma tam aby czegoś od Avast. Ewentualne znaleziska odinstaluj i zresetuj system. W razie wątpliwości pokaż zrzut ekranu. - Start > w polu szukania wklep devmgmt.msc > z prawokliku Uruchom jako Administrator > z menu Widok włącz pokazywanie ukrytych urządzeń > odinstaluj wszystkie urządzenia sieciowe i zresetuj system. - Przy braku wyników dodaj log z Farbar Service Scanner .

Teraz zadanie się wykonało. Jeszcze dokasuj sobie ręcznie plik Shortcut.txt z Pobieranie.

Brakuje obowiązkowego raportu z GMER. Dostarcz także logi z folderu C:\AdwCleaner (był używany). W pozostałych raportach brak oznak infekcji w stanie czynnym, tylko drobne odpadki adware i na razie szczerze wątpię, by chodziło o infekcję. Usuń te odpadki i wpisy puste, ale nie ma to żadnego związku z problemami: 1. Otwórz Notatnik i wklej w nim: Task: C:\WINDOWS\Tasks\AppleSoftwareUpdate.job => C:\Program Files\Apple Software Update\SoftwareUpdate.exe Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\apple3\DANEAP~1\DIGITA~1\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\At2.job => C:\DOCUME~1\NETWOR~1\DANEAP~1\DIGITA~1\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\ROC_JAN2013_TB_rmv.job => C:\Program Files\AVG Secure Search\PostInstall\ROC.exe HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKLM - {E0330E2C-F2B2-478F-B629-4EE252F5065A} URL = http://startsear.ch/?aff=1&src=sp&cf=edaa28ae-d9b0-11e1-94db-002608d91702&q={searchTerms} SearchScopes: HKCU - DefaultScope 6F09D7F7060E4EAAB00D19067F92DCC9 URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=081F00FF8894748A&affID=125032&tsp=5033 SearchScopes: HKCU - 6F09D7F7060E4EAAB00D19067F92DCC9 URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=081F00FF8894748A&affID=125032&tsp=5033 SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {C0FDD538-41A0-44FE-9E0F-8EA45DA09E22} URL = http://www.search.ask.com/web?tpid=ORJ-V7C&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^PL&gct=sb&itbv=12.10.3.34&apn_uid=DBD0480D-8181-4B71-A2FA-73F313B1D5BC&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=ie_8.0.6001.18702&doi=2014-03-18&trgb=IE&q={searchTerms}&psv= SearchScopes: HKCU - {E0330E2C-F2B2-478F-B629-4EE252F5065A} URL = http://startsear.ch/?aff=1&src=sp&cf=edaa28ae-d9b0-11e1-94db-002608d91702&q={searchTerms} BHO: IEPluginBHO Class - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll No File Toolbar: HKCU - No Name - {4F524A2D-5637-4300-76A7-7A786E7484D7} - No File DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S2 zumbus; system32\DRIVERS\zumbus.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\188F1432-103A-4ffb-80F1-36B633C5C9E1 C:\Documents and Settings\All Users\Dane aplikacji\APN C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\MFAData C:\Documents and Settings\All Users\Dane aplikacji\WPM C:\Documents and Settings\apple3\Dane aplikacji\SupTab C:\Program Files\Mozilla Firefox\extensions C:\Program Files\mozilla firefox\plugins C:\Program Files\Enigma Software Group C:\WINDOWS\455F074C814E4520B69B5584BD90400C.TMP Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom TFC - Temp Cleaner. Diagnostyka BSOD w punkcie 5 ogłoszenia: GMER. Stosowny plik DMP jest na dysku: 2014-04-27 03:42 - 2014-04-27 03:41 - 00131072 _____ () C:\WINDOWS\Minidump\Mini042714-01.dmp Error: (04/26/2014 11:10:33 AM) (Source: Microsoft Office 12) (User: ) Description: Rejected Safe Mode action : Microsoft Office Outlook. Error: (04/26/2014 11:10:07 AM) (Source: Application Hang) (User: ) Description: Aplikacja zawieszająca OUTLOOK.EXE, wersja 12.0.6691.5000, moduł zawieszenia hungapp, wersja 0.0.0.0, adres zawieszenia 0x00000000. Może baza Outlook jest uszkodzona. Dostarcz poprzedni log z aswMBR (nie uruchamiaj narzędzia ponownie ponownie, chodzi o poprzedni log). I nie wiadomo co Ty właściwie naprawiłeś i czy w ogóle była to poprawna akcja. Ten Fix mógł tylko pogorszyć coś. Twój układ jest kombinowany, czyli przepisywanie na ślepo "boot recordów" nie wchodzi w grę, na dodatek tu jest typ GPT a nie MBR: ==================== Drives ================================ Drive c: (BOOTCAMP) (Fixed) (Total:74.85 GB) (Free:8.82 GB) NTFS ==>[Drive with boot components (Windows XP)] Drive g: (Macintosh HD) (Fixed) (Total:73.88 GB) (Free:54.99 GB) HFS ==================== MBR & Partition Table ================== Disk: 0 (Size: 149 GB) (Disk ID: 00002EAD) Partition: GPT Partition Type. Partition 2: (Not Active) - (Size=74 GB) - (Type=AF) Partition 3: (Active) - (Size=75 GB) - (Type=07 NTFS) .