picasso

Wymagane poprawki. Jeśli to logi po deinstalacji STOPZilla, to nadal jej sterowniki są w systemie. 1. Otwórz Notatnik i wklej w nim: S0 is3srv; G:\Windows\SysWow64\drivers\is3srv64.sys [74768 2013-11-19] (iS3 Inc.) R0 szkg5; G:\Windows\SysWow64\DRIVERS\szkg64.sys [74768 2013-11-19] (iS3 Inc.) G:\Windows\SysWow64\drivers\is3srv64.sys G:\Windows\SysWow64\DRIVERS\szkg64.sys Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zostanie wymuszony restart. Powstanie kolejny plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. I proszę o końcowy log FRST (włącznie z Addition) pokazujący zmiany w DNS routera i systemu. Poprzedni log nadal ma takie same dane jak pierwszy log. Np. pierwsze dwa od Google. Ale tu wg uznania. .

Ten Fix-it niestety nie wykonał poprawnie zadania, nie zdołał pliku skorygować i plik został usunięty, co skutkuje teraz błędami: Hosts: Hosts file not detected in the default directory System errors: ============= Error: (04/12/2014 08:58:27 PM) (Source: Microsoft-Windows-DNS-Client) (User: ZARZĄDZANIE NT) Description: Wystąpił błąd podczas próby odczytu lokalnego pliku hosts. 1. Włącz pokazywanie rozszerzeń: w Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Z prawokliku na C:\Windows\notepad.exe wybierz Uruchom jako Administrator. W Notatniku wklej: # 127.0.0.1 localhost # ::1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik ma być zapisany w folderze C:\Windows\system32\drivers\etc. 2. Zrób nowy log FRST, zaznacz pole Addition i tylko ten log Addition mi dostarcz do weryfikacji. .

Poprzednie zadania wykonane. Kończąc: 1. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM - DefaultScope value is missing. C:\Documents and Settings\Administrator\Dane aplikacji\SampleView C:\WINDOWS\system32\lsass.log Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Usuń używane narzędzia za pomocą DelFix. Co zostanie to już ręcznie. 3. Wyczyść foldery Przywracania systemu: KLIK. - Folder C:\AdwCleaner = kwarantanna programu i się nie liczy, zostanie usunięta DelFixem. - Folder C:\System Volume Information = zostanie przeczyszczony w/w klasyczną procedurą. - E:\PRELOAD\BASE_X.inp = to są cząstkowe obiekty kopii "HP_RECOVERY" i tu trudno powiedzieć o co Avast chodzi, może to fałszywy alarm. Z tego co wyszukałam na Google, te pliki ProgramX.RPT to crash-raporty generowane przez określone gry. Sądzę że usunąć można, ale i można się spodziewać regeneracji tych plików w określonych okolicznościach. Do przetestowania: - Sprawdzanie dysku za pomocą checkdisk - Konfiguracja osłon Avast (skanowanie plików w czasie rzeczywistym) - Test na rozszerzenia powłoki w ShellExView .

Jeszcze drobna poprawka na szczątki po Nortonie. Do Notatnika wklej: S2 Norton PC Checkup Application Launcher; C:\Program Files (x86)\Norton PC Checkup\Engine\2.0.18.16\SymcPCCULaunchSvc.exe /s [X] S2 PCCUJobMgr; "C:\Program Files (x86)\Norton PC Checkup\Engine\2.0.18.16\ccSvcHst.exe" /s "PCCUJobMgr" /m "C:\Program Files (x86)\Norton PC Checkup\Engine\2.0.18.16\diMaster.dll" /prefetch:1 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przedstaw wynikowy fixlog.txt. O której metodzie deinstalacji tu mowa, Wyświetl zainstalowane aktualizacje czy Włącz lub Wyłącz funkcje systemu? Wstępnie spróbuj zresetować ustawienia przeglądarki: Panel sterowania > Sieć i internet > Opcje internetowe > Zaawansowane > Resetuj. Jeśli chodzi o błąd "aktualnie jest uruchomiony inny program instalacyjny", na razie go zostaw, dopóki nie ukończysz z MBAM i nie będzie kolejnego resetu systemu. Jeśli chodzi o błąd instalacji MBAM, to jest to pierwszy znak problemów, o których mówiłam = uszkodzone uprawnienia. Uruchom GrantPerms i w oknie wklej: C:\ProgramData\Malwarebytes Nie wiem co jest w folderze C:\ProgramData\Malwarebytes. Jeśli w nim jest jakiś podfolder oraz pliki, każdą ze ścieżek doklej w GrantPerms. Po odblokowaniu tego folderu przez SHIFT+DEL go skasuj i ponów instalację MBAM. .

Poprzednie zadania wykonane, zostały poprawki. Sprawdzę również co jest w kluczu na którym staje GMER. 1. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{2F4G15W2-A471-B6LD-DL6B-PG171P1I2W6B}" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run" /f Reg: reg query "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /s Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f SearchScopes: HKLM - DefaultScope value is missing. C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\McAfee Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny plik fixlog.txt. 2. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się też czy są jakieś zmiany w działaniu systemu. .

Wszystko zrobione. 1. Poprawki. Otwórz Notatnik i wklej w nim: C:\Program Files\SweetPacks SearchScopes: HKLM - DefaultScope value is missing. FF Plugin: @java.com/JavaPlugin - C:\Program Files\Java\jre7\bin\new_plugin\npjp2.dll No File FF Plugin: @pandonetworks.com/PandoWebPlugin - C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Przez SHIFT+DEL skasuj używane narzędzia w folderze C:\Users\Ela\Desktop\logi. Dodatkowo, zastosuj DelFix. 3. Zrób ponownie pełny skan za pomocą MBAM i pokaż log, jeśli coś wykryje. Jeśli nic nie wykryje, log zbędny. .

Zrób raporty z FRST i OTL, opisy robienia tych raportów są tu: KLIK. Chodzi tylko o FRST i OTL, inne opisane tam narzędzia Cię nie interesują. Jaki błąd? .

Temat przenoszę do działu Windows. Brak oznak infekcji. Uwagi wstępne: 1. Zacznij od deinstalacji zbędnych programów uruchamiających się w starcie (kilka procesów odpadnie): AVG SafeGuard toolbar, Spybot - Search & Destroy. Ten Spybot to przestarzały i dziś mało skuteczny skaner. Dodatkowe instrukcje pod kątem paska AVG: KLIK. 2. Uruchom msconfig, w karcie Uruchamianie odfajkuj pozycje SunJavaUpdateSched, uTorrent i zresetuj system. 3. Problemem może być też AVG per se. W Dzienniku zdarzeń są błędy zatrzymania jednej z usług: System errors: ============= Error: (04/11/2014 05:51:49 PM) (Source: Service Control Manager) (User: ) Description: Usługa AVGIDSAgent zakończyła działanie; wystąpił następujący specyficzny dla niej błąd: %%3758213661 4. Są tu jeszcze takie błędy: System errors: ============= Error: (04/12/2014 09:48:14 PM) (Source: Microsoft-Windows-Kernel-Power) (User: ) Description: 4 Otwórz Dziennik zdarzeń, wejdź do sekcji SYSTEM, wyszukaj błędy ze żródłem Microsoft-Windows-Kernel-Power i przeklej tu co stoi w opisie błędu. .

Ten efekt powinien pochodzić z jednego z wpisów startowych 32-bit o błędnym formatowaniu. Z raportów nic jednak konkretnego nie wynika. Taki temat już był na forum, a łączy go z Twoim obecność G Data: KLIK. Zalecam to samo co w tamtym temacie. Jednak przed testem: .

Post poprawiony (log był sklejony). I proszę dostosusuj się do zasad działu (KLIK) podając wymagane tu raporty z FRST i OTL (KLIK). Raporty wstaw jako załączniki, nie wklejaj ich w poście. Raportu z ComboFix oczywiście nie usuwaj, on musi być podany, by można było ocenić całość sytuacji i tę kasację. .

MBAM wykrył ogromną ilość wpisów, gdyż adware jest w postaci pełnych instalacji. Dodatkowo plączą się tu szczątki robaka Gamarue. Do wdrożenia: 1. Otwórz Notatnik i wklej w nim: (Somoto LTD) C:\Program Files\Movies Toolbar\SafetyNut\SafetyNutManager.exe (Somoto LTD) C:\Program Files\Movies Toolbar\SafetyNut\SafetyNutManager.exe (Somoto LTD) C:\Program Files\Movies Toolbar\SafetyNut\safetynut.exe (Somoto) C:\Users\Ela\AppData\Local\FilesFrog Update Checker\update_checker.exe () C:\Users\Ela\AppData\Local\WebPlayer\FLV Player\WebPlayer.exe (Google Inc.) C:\Windows\TEMP\CR_233C4.tmp\setup.exe HKLM\...\Policies\Explorer\Run: [61029] - C:\PROGRA~2\LOCALS~1\Temp\ccqmkzdie.pif No File HKU\.DEFAULT\...\Run: [fts-reg] - c:\fts-reg\ftsreg.exe HKU\S-1-5-21-1707032505-553885810-4120097439-1002\...\Run: [FLV Player] - C:\Users\Ela\AppData\Local\WebPlayer\FLV Player\WebPlayer.exe [202752 2012-10-26] () HKU\S-1-5-21-1707032505-553885810-4120097439-1002\...\CurrentVersion\Windows: [Load] C:\Users\Ela\LOCALS~1\Temp\cclyyuoom.exe IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browsemngr.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browsermngr.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\bundlesweetimsetup.exe: [Debugger] tasklist.exe IFEO\cltmngsvc.exe: [Debugger] tasklist.exe IFEO\delta babylon.exe: [Debugger] tasklist.exe IFEO\delta tb.exe: [Debugger] tasklist.exe IFEO\delta2.exe: [Debugger] tasklist.exe IFEO\deltainstaller.exe: [Debugger] tasklist.exe IFEO\deltasetup.exe: [Debugger] tasklist.exe IFEO\deltatb.exe: [Debugger] tasklist.exe IFEO\deltatb_2501-c733154b.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\iminentsetup.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\rjatydimofu.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\sweetimsetup.exe: [Debugger] tasklist.exe IFEO\tbdelta.exetoolbar783881609.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe HKLM\...\AppCertDlls: [x64] -> c:\program files\movies toolbar\safetynut\x64\safetycrt.dll HKLM\...\AppCertDlls: [x86] -> C:\Program Files\Movies Toolbar\SafetyNut\safetycrt.dll [490504 2014-04-07] () R2 SafetyNutManager; C:\Program Files\Movies Toolbar\SafetyNut\SafetyNutManager.exe [3544072 2014-04-07] (Somoto LTD) R1 F06DEFF2-5B9C-490D-910F-35D3A9119622; C:\Program Files\Movies Toolbar\SafetyNut\configmgrc1.cfg [31104 2014-04-07] (Somoto LTD) S3 adusbser; system32\DRIVERS\adusbser.sys [X] S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 DlinkUDSMBus; System32\Drivers\DlinkUDSMBus.sys [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] Task: {4B337A06-2304-4294-A1C4-8BE72AE32355} - System32\Tasks\{995C96E6-02A1-4C51-8D90-B82E50962B80} => Iexplore.exe http://ui.skype.com/ui/0/6.0.0.126/pl/abandoninstall?page=tsProgressBar Task: {D38A30E5-85A7-4011-B4B0-A8035DD9AE2A} - System32\Tasks\{5018004A-9D03-44FA-A936-94ED7AE42008} => Chrome.exe http://ui.skype.com/ui/0/6.1.0.129.272/pl/go/help.faq.installer?LastError=1601 Task: {D4662090-A0EF-4D91-B601-9EBCF65666B4} - System32\Tasks\SomotoUpdateCheckerAutoStart => C:\Users\Ela\AppData\Local\FilesFrog Update Checker\update_checker.exe [2013-10-17] (Somoto) Task: {E77133DC-B1E4-4525-9F4B-E70E19A543E2} - System32\Tasks\DealPly => C:\Users\Ela\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe [2013-03-10] () Task: {F5C3E424-9A2B-4E18-97A7-3615EC3311C4} - System32\Tasks\DealPlyUpdate => C:\Program Files\DealPly\DealPlyUpdate.exe [2012-05-09] (DealPly) HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search.ask.com/?o=APN10640A&gct=hp&d=473-108&v=a12281-257&t=4 HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie URLSearchHook: HKLM - gry Toolbar - {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - C:\Program Files\gry\prxtbgry.dll (Conduit Ltd.) URLSearchHook: HKCU - gry Toolbar - {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - C:\Program Files\gry\prxtbgry.dll (Conduit Ltd.) SearchScopes: HKLM - DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2417076 SearchScopes: HKLM - {52db1893-8a90-4192-aede-08e00b8f8473} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=108&systemid=473&v=a12281-257&apn_uid=6870899205544012&apn_dtid=BND101&o=APN10640&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKLM - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2417076 SearchScopes: HKLM - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 SearchScopes: HKCU - {0388404D-6072-4CEB-B521-8F090FEAEE57} URL = http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=PL&install_date=20110815&user_guid=91B0C43CB494414385882BABE5096E2A&machine_id=c021039c160099d988692e42b99f78a9&browser=IE&os=win&os_version=6.0-x86-SP1&iesrc={referrer:source} SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=3A0A0ACA-68CB-4487-8D1F-1530291D4DCA&apn_sauid=F913F490-E9DE-4153-9306-543626F7A891 SearchScopes: HKCU - {3E9089D4-4E67-462F-9EC2-BE96D002B3A6} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&type=867034&p={searchTerms} SearchScopes: HKCU - {52db1893-8a90-4192-aede-08e00b8f8473} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=108&systemid=473&v=a12281-257&apn_uid=6870899205544012&apn_dtid=BND101&o=APN10640&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2417076 BHO: No Name - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No File BHO: gry Toolbar - {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - C:\Program Files\gry\prxtbgry.dll (Conduit Ltd.) BHO: DealPly - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files\DealPly\DealPlyIE.dll (DealPly Technologies Ltd) BHO: Movies Toolbar (Dist. by Somoto Ltd.) - {c75a2d66-6d1d-4735-8f63-9d85dcc026a6} - C:\PROGRA~1\MOVIES~1\SAFETY~1\SRTOOL~1\IE\searchresultsDx.dll No File Toolbar: HKLM - gry Toolbar - {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - C:\Program Files\gry\prxtbgry.dll (Conduit Ltd.) Toolbar: HKLM - Movies Toolbar (Dist. by Somoto Ltd.) - {c75a2d66-6d1d-4735-8f63-9d85dcc026a6} - C:\PROGRA~1\MOVIES~1\SAFETY~1\SRTOOL~1\IE\searchresultsDx.dll No File Toolbar: HKCU - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File Toolbar: HKCU - gry Toolbar - {8532A8B7-C06A-41BB-936A-8CE73E4711ED} - C:\Program Files\gry\prxtbgry.dll (Conduit Ltd.) Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\Ask.xml FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ FF HKLM\...\Firefox\Extensions: [{7BA52691-1876-45ce-9EE6-54BCB3B04BBC}] - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\coFFPlgn\ FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKCU\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 CHR HKLM\...\Chrome\Extension: [aaaaimdcedbpbcjjbbnfcbbjcngmomic] - C:\Users\Ela\AppData\Local\somotomoviestoolbar181\GC\toolbar.crx [2014-01-24] CHR HKLM\...\Chrome\Extension: [gaiilaahiahdejapggenmdmafpmbipje] - C:\Program Files\DealPly\DealPly.crx [2012-05-09] CHR HKLM\...\Chrome\Extension: [jmfkcklnlgedgbglfkkgedjfmejoahla] - C:\Program Files\AVG\AVG10\Chrome\safesearch.crx [2012-05-09] CHR HKCU\...\Chrome\Extension: [gaiilaahiahdejapggenmdmafpmbipje] - C:\Program Files\DealPly\DealPly.crx [2012-05-09] C:\Users\Ela\AppData\Local\Temp*.html C:\Users\Marta\AppData\Roaming\AVG10 C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh advfirewall reset Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware: Bundled software uninstaller, DealPly (2 pozycje), FilesFrog Update Checker, FLV Player, gry Toolbar, Movies Toolbar for Chrome (Dist. by Somoto Ltd.), Movies Toolbar for Internet Explorer (Dist. by Somoto Ltd.), SweetIM for Messenger 3.7, Video Converter, Video Converter Bundle by SweetPacks 3. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj DealPly, Movies Toolbar (o ile nadal będą po w/w deinstalacjach) Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy ask.com i inne niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Uruchom TFC - Temp Cleaner. 7. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

W systemie jest adware i to na początek idzie pod młotek. Ale BSOD to już wygląda na zupełnie odrębną rzecz i być może (na razie zgadując i opierając się na Dzienniku zdarzeń) jest powiązany ze sterownikami ATI/AMD. System errors: ============= Error: (04/08/2014 04:37:38 PM) (Source: atikmdag) (User: ) Description: Display is not active Error: (04/08/2014 08:07:01 AM) (Source: atikmdag) (User: ) Description: CPLIB :: General - Invalid Parameter Error: (04/08/2014 07:03:29 AM) (Source: BugCheck) (User: ) Description: 0x000000f4 (0x00000003, 0x88021d40, 0x88021eac, 0x82df4ff0)C:\Windows\MEMORY.DMP040814-15537-01 Error: (04/08/2014 07:03:21 AM) (Source: atikmdag) (User: ) Description: Display is not active Jaki błąd? POD KĄTEM ADWARE: 1. Otwórz Notatnik i wklej w nim: (TODO: ) C:\Users\Domunuta\AppData\Local\ConvertAd\ConvertAd.exe () C:\Users\Domunuta\AppData\Roaming\defaulttab\defaulttab\dtupdate.exe () C:\Program Files\LinkSwift\bin\utilLinkSwift.exe () C:\Program Files\LinkSwift\updateLinkSwift.exe HKLM\...\Run: [ConvertAd] - C:\Users\Domunuta\AppData\Local\ConvertAd\ConvertAd.exe [1776640 2013-09-30] (TODO: ) HKU\S-1-5-21-3867551667-1530956314-2525137787-1001\...\Run: [softonic for Windows] - C:\Users\Domunuta\AppData\Local\Softonic\Softonic.exe [4144112 2014-02-11] (Softonic) S2 bonanzadealslive; C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-09-16] (BonanzaDeals) S3 bonanzadealslivem; C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-09-16] (BonanzaDeals) R2 DefaultTabUpdate; C:\Users\Domunuta\AppData\Roaming\defaulttab\defaulttab\dtupdate.exe [107520 2013-11-12] () R2 Update LinkSwift; C:\Program Files\LinkSwift\updateLinkSwift.exe [350496 2014-04-08] () R2 Util LinkSwift; C:\Program Files\LinkSwift\bin\utilLinkSwift.exe [350496 2014-04-08] () Task: {0E7110F2-DC41-4A03-8FC2-88D67BB222E8} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-09-16] (BonanzaDeals) Task: {1F136746-1F52-4C30-838E-BA6DF35D26BA} - System32\Tasks\DTReg => C:\Users\Domunuta\AppData\Roaming\defaulttab\defaulttab\DTReg.exe [2014-02-06] (Search Results, LLC) Task: {286623BA-1D20-4AAD-8CC2-D1D6B44B4376} - System32\Tasks\BonanzaDealsUpdate => C:\Program Task: {7E1E35BD-7B5B-44D6-B224-5C368177E4D4} - System32\Tasks\Norton Security Scan for Domunuta => C:\Program Files\Norton Security Scan\Engine\4.0.1.16\Nss.exe [2013-05-07] (Symantec Corporation) Task: {AFA52EAB-2B54-49CE-AEA5-4DBA54F5F05D} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-09-16] (BonanzaDeals) Task: {E695ABB6-F2DA-4801-89CE-0C7326D9E445} - System32\Tasks\EPUpdater => C:\Users\Domunuta\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-08-04] () Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\Windows\Tasks\Norton Security Scan for Domunuta.job => C:\PROGRA~1\NORTON~2\Engine\401~1.16\Nss.exe ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1382507543&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXA1A10F9699F9699 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://start.qone8.com/?type=sc&ts=1382507543&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXA1A10F9699F9699 ShortcutWithArgument: C:\Users\Domunuta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1382507543&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXA1A10F9699F9699 ShortcutWithArgument: C:\Users\Domunuta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://start.qone8.com/?type=sc&ts=1382507543&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXA1A10F9699F9699 ShortcutWithArgument: C:\Users\Domunuta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1382507543&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXA1A10F9699F9699 HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mysearchresults.com/?c=3524&t=01 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.qone8.com/?type=hp&ts=1382507543&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXA1A10F9699F9699 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.qone8.com/?type=hp&ts=1382507543&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXA1A10F9699F9699 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.qone8.com/?type=hp&ts=1382507543&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXA1A10F9699F9699 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1382507543&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXA1A10F9699F9699 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382507543&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXA1A10F9699F9699&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382507543&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXA1A10F9699F9699&q={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=22760C6076C5A678&affID=120695&tsp=4995 SearchScopes: HKCU - {69AACB7B-1D29-44CD-B7A1-ADCCFFFBDF23} URL = http://www.mysearchresults.com/search?c=3524&t=01&q={searchTerms} BHO: LinkSwift - {323420b6-65e5-4657-8106-a27392d4d4aa} - C:\Program Files\LinkSwift\LinkSwiftBHO.dll (LinkSwift) BHO: DefaultTab Browser Helper - {7F6AFBF1-E065-4627-A2FD-810366367D01} - C:\Users\Domunuta\AppData\Roaming\defaulttab\defaulttab\DefaultTabBHO.dll (Search Results LLC.) BHO: delta Helper Object - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files\Delta\delta\1.8.24.6\bh\delta.dll (Delta-search.com) BHO: BonanzaDeals - {fe063412-bea4-4d76-8ed3-183be6220d17} - C:\Program Files\BonanzaDeals\BonanzaDealsIE.dll (BonanzaDeals) Toolbar: HKLM - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files\Delta\delta\1.8.24.6\deltaTlbr.dll (Delta-search.com) FF Plugin: @tools.bdupdater.com/BonanzaDealsLive Update;version=3 - C:\Program Files\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll (BonanzaDeals) FF Plugin: @tools.bdupdater.com/BonanzaDealsLive Update;version=9 - C:\Program Files\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll (BonanzaDeals) FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\qone8.xml CHR HKLM\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\Domunuta\AppData\Roaming\BabSolution\CR\Delta.crx [2013-09-04] CHR HKLM\...\Chrome\Extension: [ifohbjbgfchkkfhphahclmkpgejiplfo] - C:\Users\Domunuta\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx [2013-08-14] CHR HKLM\...\Chrome\Extension: [kdidombaedgpfiiedeimiebkmbilgmlc] - C:\Program Files\DefaultTab\DefaultTab.crx [2013-10-07] CHR HKLM\...\Chrome\Extension: [odpccdgkmiicgocepijnaeihjnjnomca] - C:\Program Files\LinkSwift\odpccdgkmiicgocepijnaeihjnjnomca.crx [2014-02-01] C:\Program Files\mozilla firefox\plugins C:\Users\Domunuta\AppData\Roaming\AVG2013 C:\Users\Domunuta\AppData\Roaming\BabSolution C:\Users\Domunuta\AppData\Roaming\systweak C:\Users\Domunuta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BonanzaDeals C:\Users\Domunuta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\Domunuta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Softonic C:\Users\Domunuta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mobogenie.lnk C:\Users\Domunuta\Desktop\Mobogenie.lnk C:\Users\Domunuta\Desktop\Softonic.lnk Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Extensions\cekcjpgehmohobmdiikfnopibipmgnml /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware Bonanza Deals, ConvertAd, DefaultTab, Delta Chrome Toolbar, Delta toolbar, LinkSwift 3.0.0, Mobogenie, qone8 Browser Protecter, Softonic for Windows oraz skanery sponsorowane McAfee Security Scan Plus, Norton Security Scan. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj DefaultTab, Delta Toolbar, LinkSwift (części może nie być po w/w deinstalacjach) Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Uruchom TFC - Temp Cleaner. 7. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. POD KĄTEM BSOD: Dostarcz dane z ogłoszenia (punkt 5): KLIK. .

Prawdopodobnie Fix-it nie jest kompatybilny z Windows 8.1 (artykuł wymienia jednak Windows 8). 1. Prawoklik na plik Fix-it > wejdź do karty Zgodność > sprawdź czy się da ustawić Windows 8 lub Windows 7. Jeśli tak, uruchom ponownie Fix. 2. Jeśli nie, zrób ręczną edycję. Z prawokliku na C:\Windows\notepad.exe wybierz Uruchom jako Administrator. W Notatniku otwórz plik C:\Windows\system32\drivers\etc\hosts i z pliku wytnij tę linię: 54.204.28.26 nikdaiaidiiiogaidkkekcmokcgcdeac Zapisz zmiany w pliku. .

MBAM wykrywa składniki Bitcoin Minera w katalogu tymczasowym. To nie są wszystkie jego składniki, stąd usuwanie niepomyślne, ten miner uruchamia się przez Harmonogram zadań. Do wdrożenia następująca operacja: 1. Otwórz Notatnik i wklej w nim: () C:\Windows\Temp\svchost.exe Task: {8524FD40-C7C9-410C-93C3-C8753334C2A0} - System32\Tasks\Origin => C:\Users\DarekW\AppData\Roaming\Origin\update.vbe [2014-04-05] () C:\Users\DarekW\AppData\Roaming\Origin\update.vbe HKLM\...\Run: [] - [X] HKLM-x32\...\Run: [fst_pl_81] - [X] HKLM\...\Policies\Explorer: [NoControlPanel] 0 S3 GPU-Z; \??\C:\Users\DarekW\AppData\Local\Temp\GPU-Z.sys [X] GroupPolicy: Group Policy on Chrome detected StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKCU - {5348BE2E-5B3A-4F26-98AF-A7FBDB67F2CA} URL = Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {5348BE2E-5B3A-4F26-98AF-A7FBDB67F2CA} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {5348BE2E-5B3A-4F26-98AF-A7FBDB67F2CA} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Uruchom narzędzie Fix-it restujące plik HOSTS: KLIK. 4. Zrób nowy skan FRST, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). .

karol995, proszę trzymaj się wytycznych w zasadach na temat tytułowania wątków. Tytuł dopasowany do treści. Temat przenoszę do działu Windows, tu nie jest widoczny problem infekcji. W spoilerze drobne działania, ale to błahostki nie powiązane z problemami. Do sprawdzenia COMODO Internet Security. Dodatkowo: instalacja GeekBuddy od COMODO to zbędnik. Jest tu jeszcze taki zestaw błędów: ==================== Restore Points ========================= Could not list Restore Points. Check "winmgmt" service or repair WMI. Application errors: ================== Error: (03/23/2014 08:21:54 PM) (Source: System Restore) (User: ) Description: Nie można utworzyć punktu przywracania (Proces = C:\Program Files (x86)\Sony\Sony PC Companion\PCCompanion.exe Files (x86)\Sony\Sony PC Companion\PCCompanion.exe" /WEB; Opis = Sony PC Companion; Błąd = 0x800706be). Podaj jeszcze log z Farbar Service Scanner. .

Prawie wszystko zrobione. Kolejne czynności: 1. Mała poprawka. Otwórz Notatnik i wklej w nim: Task: {796A1235-0361-441B-A0E8-320387A4AED5} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe C:\Program Files\AVAST Software C:\Users\User\AppData\Roaming\AVAST Software ProxyServer: 192.168.1.100:80 SearchScopes: HKLM - DefaultScope value is missing. Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: del /q C:\Users\User\Downloads\avastclear*.exe CMD: rd /s /q C:\Users\User\Downloads\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 2. Nie ma śladów użycia TFC. On jest na dysku, ale FRST nadal wykrywa masę plików w Temp. Ponownie uruchom program, a jeśli z nim jest jakiś problem, opisz go dokładnie. 3. Zrób nowy log FRST (bez Addition i Shortcut) oraz dołącz nowy fixlog.txt. .

Niestety nie ma automatycznej metody. Sprawdzałam co widzi GMER, gdyż w nim w sposób limitowany mogą się pokazać ścieżki bez uprawnień, ale nie wykrył nic oczywistego. Tak więc, jeśli jakiś program nie chce się uruchomić lub jego uruchomienie zwróci błąd typu "nie można uzyskać dostępu..." / "odmowa dostępu", wklejasz jego ścieżki z c:\Program files, C:\Program files (x86) i C:\ProgramData do GrantPerms. Podobnie jeśli trafisz na jakiś konkretny pli8k sypiący takimi błędami. Akurat w Twoim logu nie jest zbyt widoczne co powstawało tuż przed infekcją. Ale ta infekcja wchodzi z cracków / keygenów. Na forum były m.in. przypadki cracka do komercyjnej wersji CCleaner oraz crackowanych gier. .

Nie notuję tu żadnych oznak infekcji. Czy problem na owym forum nadal się powtarza? Tutaj na forum widzę Cię pod IP od Vectra.pl, czyli prawie na pewno masz publiczne IP. Fraza "spam z tego adresu IP lub zakresu adresów IP" może też oznaczać, że inny delikwent sieci Vectra miał tu coś do rzeczy. PS. Drobne korekty na wpisy szczątkowe. To tylko kosmetyka nie związana z problem zasadniczym: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3869118491-3186794339-2645200222-1000\...\Run: [uSB Server] - [X] SearchScopes: HKCU - {B15057AF-2866-4642-B005-E394B7FC5FDE} URL = http://search.daum.net/cgi-bin/nsp/search.cgi?w=tot&nil_ch=MSKR&q={searchTerms} Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Task: {A217416F-F5A5-4007-AD9B-1E534305F207} - System32\Tasks\{2E2330B6-A803-456B-8C76-74C5DA8674F7} => Chrome.exe http://ui.skype.com/ui/0/6.14.0.104/pl/abandoninstall?page=tsProgressBar R3 ALSysIO; \??\C:\Users\Efik\AppData\Local\Temp\ALSysIO64.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] C:\Users\Efik\AppData\Local\desktop.ini Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2" /f Reg: reg delete "HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete "HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f Reg: reg delete "HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete "HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f Reg: reg delete "HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete "HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom TFC - Temp Cleaner. .

Zadania pomyślnie wykonane. Zostały poprawki. Na razie jednak: Tu nie było usuwane nic związanego z klawiszami funkcyjnymi. W ostatnim dostarczonym logu z FRST oprogramowanie ASUS związane z Fn jest nadal w starcie i w procesach: ==================== Processes (Whitelisted) ================= (ASUS) C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\ASLDRSrv.exe (ASUS) C:\Program Files (x86)\ASUS\ATK Package\ATKGFNEX\GFNEXSrv.exe ==================== Registry (Whitelisted) ================== HKLM-x32\...\Run: [ATKOSD2] - C:\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe [5732992 2010-08-18] (ASUS) HKLM-x32\...\Run: [ATKMEDIA] - C:\Program Files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe [170624 2010-10-08] (ASUS) HKLM-x32\...\Run: [HControlUser] - C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe [105016 2009-06-19] (ASUS) Nie działają wszystkie klawisze czy tylko wybrane? Czy sytuacja ma miejsce po ponownym resecie komputera? Wstępnie proponuję przeinstalować ATK Package. .

Deinstalacja była sprawą opcjonalną. Skoro ją przeprowadziłeś, to zrób nowy log z FRST, który ma zobrazować które elemenmty się ostały. .

Posty scalam. Logi dodane. Logi pochodzą z dwóch różnych kont, OTL zrobiony z: Computer Name: DOMEK | User Name: ja | Logged in as Administrator. FRST zrobiony z: Ran by bulib_000 (ATTENTION: The logged in user is not administrator) on DOMEK on 03-04-2014 20:00:04 W żadnym z logów nie widać infekcji rozsyłającej linki na Facebooku. Podejrzana jest też widoczność pewnych usług Microsoftu na ustawieniu Whitelist (usług nie powinno być widać, więc prawdopodobnie są zablokowane). Zrób log z GMER. .

Usuwanie zostało przeprowadzone pomyślnie. Teraz: 1. Infekcja może resetować uprawnienia obiektów. Tu jest niewiadome czy cokolwiek i gdzie zostało tak potraktowane. W przypadku wykrycia takich zdefektowanych ścieżek posłuż się GrantPerms x64. Obsługa programu: w oknie wklejasz ścieżki i klik w Unlock. 2. Norton nie ma wpisu w starcie, jego pasek jest też oznaczony jako wybrakowany. Przeinstaluj program. Na początek odinstaluj normalnie przez Panel sterowania wszystkie pozycje związane z Nortonem, następnie wejdź w Tryb awaryjny i zastosuj Norton Removal Tool. 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowy log FRSt (bez Addition i Shortcut). Opisz co się dzieje, czy są gdzieś notowane problemy / błędy dostępu. .

Pobierz wszystkie narzędzia na innym sprawnym komputerze, zapisz na pendrive, podepnij pendrive do tutejszego komputera działającego w Trybie awaryjnym (mam nadzieję, że pendrive zostanie wykryty) i uruchom po kolei z pendrive te usuwacze oraz FRST, by zrobić log. .

Problem tworzy wpis infekcji w starcie odwołujący się do jednego z brakujących plików. Ponadto w systemie są obiekty adware. Dodatkowa uwaga: Avast nie został poprawnie odinstalowany i nadal działa, a doinstalowałaś na to starego antywirusa Bitdefender Antivirus Plus 2012. Do wdrożenia następujące działania: 1. Otwórz Notatnik i wklej w nim: R1 wStLib64; C:\Windows\System32\drivers\wStLib64.sys [61120 2014-03-18] (StdLib) C:\Windows\System32\drivers\wStLib64.sys U2 ehdrv; S3 zlportio; \??\D:\Programs\ultra star deluxe\UltraStar Deluxe\zlportio.sys [X] HKLM-x32\...\Run: [tuto4pc_pl_13] - [X] HKU\S-1-5-21-2222448136-738814564-1578169591-1001\...\Run: [AdobeBridge] - [X] HKU\S-1-5-21-2222448136-738814564-1578169591-1001\...\Run: [AdobeUpdate] - wscript "C:\Users\User\AppData\Roaming\PTSGPU\invis.vbs" "C:\Users\User\AppData\Roaming\PTSGPU\bat.bat" GroupPolicy: Group Policy on Chrome detected CHR HKLM-x32\...\Chrome\Extension: [fjkndgpgkiomekpgdaclpoecngmjonhe] - C:\Users\User\AppData\Local\CouponDropDown\Chrome\CouponDropDown.crx [2013-12-02] CHR HKCU\SOFTWARE\Policies\Google: Policy restriction SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear BHO-x32: No Name - {A7C77E32-D1D5-AB43-A75A-7E1B4687769B} - No File BHO-x32: BonanzaDeals - {fe063412-bea4-4d76-8ed3-183be6220d17} - C:\Program Files (x86)\BonanzaDeals\BonanzaDealsIE.dll (BonanzaDeals) FF Plugin-x32: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32.dll No File FF Plugin-x32: @Bitdefender.com/PasswordManager;version=17.8 - C:\Program Files\Bitdefender\Bitdefender\Antispam32\pmbxnp.dll No File FF Plugin-x32: @tools.bdupdater.com/BonanzaDealsLive Update;version=3 - C:\Program Files (x86)\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll (BonanzaDeals) FF Plugin-x32: @tools.bdupdater.com/BonanzaDealsLive Update;version=9 - C:\Program Files (x86)\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll (BonanzaDeals) S2 bonanzadealslive; C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-12-23] (BonanzaDeals) S3 bonanzadealslivem; C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-12-23] (BonanzaDeals) Task: {1FBF0F36-9C99-4A1A-BD9A-F6051A6BC08E} - System32\Tasks\BonanzaDealsUpdate => C:\Program Task: {38754E4A-914C-457B-AD3F-7A0F4E8D7505} - System32\Tasks\bench-sys => C:\Program Files (x86)\Bench\Updater\Updater.exe [2013-10-30] () Task: {58FD89B8-1409-4AAE-A6F2-DC0777FF5399} - \DealPly No Task File Task: {6096E8B8-CA41-4796-84FA-CA72D7336DE2} - \RegClean Pro_DEFAULT No Task File Task: {6FD4BCD8-2EBD-40E0-BED2-415F1286E92D} - \DealPlyUpdate No Task File Task: {A6B84D97-4342-4671-8E7D-076DDE4EE794} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-12-23] (BonanzaDeals) Task: {ADF3A962-BF47-42EF-9872-4D8FF5CB506F} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-12-23] (BonanzaDeals) Task: {C55A02D0-7117-4C5F-B6B9-05D17F9634B6} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe Task: {C8CD0361-A125-4BCE-838F-FC8E21C8EC86} - System32\Tasks\bench-Updater removing Task: {EF9A02D1-FEBA-4C0D-AEBC-7744193AA902} - System32\Tasks\{7D53263F-CA02-4375-B72A-C0AE700C4D7F} => Chrome.exe http://ui.skype.com/ui/0/6.9.59.106/pl/abandoninstall?page=tsProgressBar Task: {F8D1BA96-F79E-47E2-9552-A1D32193D95D} - \RegClean Pro_UPDATES No Task File Task: C:\Windows\Tasks\bench-sys.job => C:\Program Files (x86)\Bench\Updater\Updater.exe Task: C:\Windows\Tasks\bench-Updater removing.job => ? Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe AlternateDataStreams: C:\ProgramData:51F4828AF3F1ABAD AlternateDataStreams: C:\Users\All Users:51F4828AF3F1ABAD AlternateDataStreams: C:\Program Files\Common Files\Microsoft Shared:LNfz0GhVZlLjzEK4n8T9E AlternateDataStreams: C:\ProgramData\Application Data:51F4828AF3F1ABAD AlternateDataStreams: C:\ProgramData\Microsoft:lSruynI64wN2h8uwfmNOJJICn AlternateDataStreams: C:\ProgramData\Microsoft:yoNCysbek3O9N9fwZTg AlternateDataStreams: C:\ProgramData\Temp:373E1720 AlternateDataStreams: C:\Users\User\Downloads\EIE11_PL-PL_WOL_WIN764.EXE:BDU AlternateDataStreams: C:\Users\User\Downloads\FRST64.exe:BDU AlternateDataStreams: C:\Users\User\Downloads\Metallica_Multitracks,_Stems,_Alternate_Versions (1).exe:BDU AlternateDataStreams: C:\Users\User\Downloads\Metallica_Multitracks,_Stems,_Alternate_Versions.exe:BDU AlternateDataStreams: C:\Users\User\Downloads\MicrosoftInstaller.exe:BDU AlternateDataStreams: C:\Users\User\Downloads\OTL.exe:BDU AlternateDataStreams: C:\Users\User\Downloads\SkypeSetup.exe:BDU AlternateDataStreams: C:\Users\User\Downloads\word2007-kb974631-fullfile-x86-glb.exe:BDU AlternateDataStreams: C:\Users\User\AppData\Local\Temp:2exxCVyc2o5KQwkmnPT18kG AlternateDataStreams: C:\Users\User\AppData\Local\Temporary Internet Files:Xz6w18bxU93SNndePmCzePY C:\Program Files (x86)\Bench C:\Users\User\AppData\Local\CrashDumps C:\Users\User\AppData\Local\CouponDropDown C:\Users\User\AppData\Roaming\PTSGPU C:\Users\User\AppData\Roaming\Mozilla\Firefox\profiles\extensions C:\Users\User\Downloads\Ned Beattys NETWORK speech-by Paddy Chayefsky.mp4.crdownload C:\Windows\SysWOW64\sho*.tmp Reg: reg delete "HKCU\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wejdź w Tryb awaryjny i zastosuj narzędzie Avast Uninstall Utility. 3. Przejdź z powrotem w Tryb normalny i przez Panel sterowania odinstaluj adware Bonanza Deals (remove only), TornTV. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowe logi FRST, zaznacz ponownie pole Addition, by powstały dwa logi, Shortcut już niepotrzebny. Dołącz też plik fixlog.txt i log z AdwCleaner. .

Czyli ścieżka to C:\Users\Ewa? Zrób mi z poziomu awaryjnego nowy log z FRST.