picasso

Czy problem nadal występuje? Wszystko pomyślnie usunięte, a AdwCleaner wyczyścił skróty LNK przeglądarek z przekierowań. Na zakończenie: 1. Mini poprawki. Otwórz Notatnik i wklej w nim: S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [x] C:\spyhunter.fix C:\Program Files (x86)\Enigma Software Group C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP C:\Windows\72AAF4551E54475BB0AB5413C78D0E63.TMP C:\Windows\SysWOW64\log Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Przez SHIFT+DEL (omija Kosz) skasuj FRST i foldery: C:\FRST C:\MATS C:\Users\Michał\Desktop\Stare dane programu Firefox W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. .

Skrypt wykonany, możesz więc przez SHIFT+DEL skasować FRST + folder C:\FRST.

Nie wiadomo co usuwałeś wcześniej programami skanującymi i czy to miało w ogóle znaczenie. I nie ma tu żadnych oznak infekcji widzialnych w raportach. Do usunięcia tylko mini odpadki po adware i odinstalowanych programach, ale to nie ma żadnego związku z opisywanymi zjawiskami. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM - DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&q={searchTerms} SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&q={searchTerms} SearchScopes: HKCU - DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&q={searchTerms} SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&q={searchTerms} SearchScopes: HKCU - {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search/web?q={searchTerms} Toolbar: HKCU - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File ShellExecuteHooks: - {AEB6717E-7E19-11d0-97EE-00C04FD91972} - No File [ ] S2 HitmanPro36CrusaderBoot; "G:\antywirusy\hitman-pro.exe" /crusader:boot [x] S2 avgntflt; system32\DRIVERS\avgntflt.sys [x] S1 avipbb; system32\DRIVERS\avipbb.sys [x] S1 avkmgr; system32\DRIVERS\avkmgr.sys [x] S3 catchme; \??\C:\Users\damian\AppData\Local\Temp\catchme.sys [x] S3 cpuz126; \??\C:\Users\damian\AppData\Local\Temp\cpuz.sys [x] U4 sptd; S1 ssmdrv; system32\DRIVERS\ssmdrv.sys [x] U3 TrueSight; \??\ [x] S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [x] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" C:\Users\damian\AppData\Local\temp\*.exe C:\Users\damian\AppData\Local\temp\*.dll Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Rozumiem, że chodzi o "World of Tanks". Czy to oryginalny niecrackowany i niezmoddowany wariant gry? I te wielokrotne wystąpienia systemowego ping.exe to chyba pochodna jakiegoś moda wpuszczonego do gry, z tego co rozumiem z tego tematu na rosyjskim forum gry (translator fatalnie to tłumaczy): KLIK. .

Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1388681340&from=wpm0102&uid=HitachiXHTS545050B9A300_100317PBG400Q7KKPE2VX HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1388681340&from=wpm0102&uid=HitachiXHTS545050B9A300_100317PBG400Q7KKPE2VX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1388681340&from=wpm0102&uid=HitachiXHTS545050B9A300_100317PBG400Q7KKPE2VX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1388681340&from=wpm0102&uid=HitachiXHTS545050B9A300_100317PBG400Q7KKPE2VX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1388681340&from=wpm0102&uid=HitachiXHTS545050B9A300_100317PBG400Q7KKPE2VX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1388681340&from=wpm0102&uid=HitachiXHTS545050B9A300_100317PBG400Q7KKPE2VX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1388681340&from=wpm0102&uid=HitachiXHTS545050B9A300_100317PBG400Q7KKPE2VX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1388681340&from=wpm0102&uid=HitachiXHTS545050B9A300_100317PBG400Q7KKPE2VX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1388681340&from=wpm0102&uid=HitachiXHTS545050B9A300_100317PBG400Q7KKPE2VX&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.dosearches.com/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=sc&from=cor&uid=HitachiXHTS545050B9A300_100317PBG400Q7KKPE2VX&ts=1383903054 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1388681340&from=wpm0102&uid=HitachiXHTS545050B9A300_100317PBG400Q7KKPE2VX&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1388681340&from=wpm0102&uid=HitachiXHTS545050B9A300_100317PBG400Q7KKPE2VX&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear C:\ProgramData\WPM C:\Users\Michał\AppData\Local\Google Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 3. Przez Panel sterowania odinstaluj SpyHunter. Następnie uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log utworzony przez AdwCleaner. .

Post skorygowałam, by eksport usługi się wyświetlał poprawnie. Co do klucza "Internet", to sprawdziłeś tylko 64-bitowy klucz, jest jeszcze możliwa modyfikacja w 32-bitowym odpowiedniku. Owe "zależności" były już podawane: nadrzędną zależnością Harmonogramu jest Dziennik zdarzeń oraz Zdalne wywoływanie procedur (ale ta druga odpada raczej jako wyłączona, bo w przeciwnym wypadku w systemie byłyby gorsze fajerwerki i masowy pad wielu funkcji). Jednakże na razie zostaw te tropy, trzeba zacząć od podstaw: Widać na obrazku, że usługa ma Typ uruchomienia ustawiony na Wyłączony (domyślnie jest Automatyczny). Usługa Harmonogramu nie może być konfigurowana przez services.msc (jest jeszcze kilka innych takich specjalnych usług). 1. Zacznij po prostu od rekonfiguracji startu tej usługi. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule] "Start"=dword:00000002 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Zresetuj system. Jeśli powyższa akcja nie pomoże i usługa mimo startu "Auto" będzie się samoczynnie wyłączać, wtedy poproszę o dodatkowe skany. .

Temat przenoszę do działu Windows. To nie jest problem infekcji. W ramach kosmetycznych działań (w ogóle nie związanych z problemem): Przyczyną jest ESET Smart Security, w Dzienniku zdarzeń są masowe nagrania pokazujące zawieszenia startu jednej z usług ESET, co przetrzymuje ogólny start Windows: System errors: ============= Error: (01/25/2014 08:40:08 AM) (Source: Service Control Manager) (User: ) Description: Usługa ESET Service zawiesiła się podczas uruchamiania. .

Zadane kroki w Google Chrome wykonane, ale punkt 2 związany z wyszukiwarkami Internet Explorer nie ma odbicia w raporcie. Czy Ty w ogóle widzisz powielone pozycje Google w Dostawcach wyszukiwania? .

Dzięki, czekam więc na ten crack. Skrypt wykonany. Na koniec usuń narzędzia: 1. Otwórz Notatnik i wklej w nim: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Gdy skrypt się wykona, przez SHIFT+DEL usuń FRST i foldery: C:\FRST C:\Users\Tadeusz\Desktop\Stare dane programu Firefox 2. Zaktualizuj Adobe Reader i Java, wersje widziane obecnie w systemie: ==================== Installed Programs ====================== Adobe Reader XI (11.0.05) - Polish (Version: 11.0.05 - Adobe Systems Incorporated) Java 7 Update 45 (Version: 7.0.450 - Oracle) To tyle. .

Wyniki Kasperskiego: rekordy z cache Java, wyniki z katalogu Temp oraz śmieci adware Mobogenie. W podanych raportach brak oznak czynnej infekcji, ale owszem widać szczątki adware (w tym w Firefox). Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=F65300A0C6000000&affID=119357&tsp=4970 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=F65300A0C6000000&affID=119357&tsp=4970 Toolbar: HKLM-x32 - No Name - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No File FF SearchPlugin: C:\Users\Kinga\AppData\Roaming\Mozilla\Firefox\Profiles\03o36sdt.default\searchplugins\babylon.xml FF SearchPlugin: C:\Users\Kinga\AppData\Roaming\Mozilla\Firefox\Profiles\03o36sdt.default\searchplugins\safeguard-secure-search.xml FF Extension: QuickStores-Toolbar - C:\Program Files (x86)\Mozilla Firefox\extensions\quickstores@quickstores.de [2013-12-12] C:\Users\Kinga\AppData\Roaming\Babylon C:\Users\Kinga\AppData\Roaming\OpenCandy S3 catchme; \??\C:\ComboFix\catchme.sys [x] S3 MEMSWEEP2; \??\C:\windows\system32\2465.tmp [x] Task: {19B92D98-6DC7-477F-B088-F053A4504381} - System32\Tasks\ASC4_PerformanceMonitor => C:\Program Files (x86)\IObit\Advanced SystemCare 4\PMonitor.exe Task: {4A3025BC-50FE-40AE-AC10-E6069BC04937} - System32\Tasks\{11CA60F0-7D25-4E19-A38E-8465FE99E5F6} => Firefox.exe http://ui.skype.com/ui/0/5.1.0.104/pl/abandoninstall?source=lightinstaller&page=tsDownload&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:offered-notinstalled Task: {5850292E-C86E-4763-926A-256DA10ECB57} - System32\Tasks\{2F4A8881-EFF8-46AC-8677-6008C90C675C} => C:\Program Files (x86)\VIDEOzilla\VIDEOzilla.exe Task: {6FF8CD3B-8D1F-4820-942F-68B9763EC399} - System32\Tasks\{89077FA5-38E8-426A-A9D2-07AF5DDD646D} => Firefox.exe http://ui.skype.com/ui/0/5.1.0.104/pl/abandoninstall?source=lightinstaller&page=tsDownload&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:offered-notinstalled Task: {77005C3A-5637-4C20-A275-5D36F6D08E08} - System32\Tasks\{8F32A1B2-5757-47EA-B472-7941BFE3E8EB} => C:\Users\Kinga\Downloads\memtest86+-4.20.exe.z.exe Task: {8739E287-0DCF-4404-BAC4-154C834F4046} - System32\Tasks\{7CE092CE-E940-4EE7-A6B1-1F1F562F44EC} => Firefox.exe http://ui.skype.com/ui/0/6.9.0.106/pl/abandoninstall?page=tsProgressBar Task: {906DE03A-E839-4521-861C-BC55A6F3987D} - System32\Tasks\{A1349CD1-90BC-4E92-B3B5-CC5853A658C1} => C:\Program Files (x86)\VIDEOzilla\VIDEOzilla.exe Task: {E61F07F8-E3DC-45FD-AF2E-9AD3F735F7F0} - System32\Tasks\{3BEBC064-EFCB-482B-B54B-15C27864FF6E} => Firefox.exe http://ui.skype.com/ui/0/6.9.0.106/pl/go/help.faq.installer?LastError=1618 Task: {E6BB5D9C-12E5-4B18-B242-F94321E9EE90} - System32\Tasks\{CA6CC1A7-91A2-46D3-A4FE-1B5878A5984F} => Firefox.exe http://ui.skype.com/ui/0/5.1.0.104/pl/abandoninstall?source=lightinstaller&page=tsDownload&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:offered-notinstalled Task: {F0413C65-C511-41E3-A1D8-9510743F5507} - System32\Tasks\{B2E89367-446B-43BE-976D-7A27CB26A0F0} => C:\Users\Kinga\Downloads\memtest86+-4.20.exe.z.exe Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Akcje w przeglądarkach: - Firefox: wyczyść konkretnie z adware poprzez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. - Google Chrome: Zresetuj cache wtyczek, by się pozbyć pustych wpisów. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Tu już nie ma czego usuwać i żadnych działań pod kątem infekcji nie podaję, stan systemu pochodzi z kompletnie innego czasu. W związku z tym, że przywróciłeś obraz systemu, nie mogę już przesłać Farbarowi wymaganych informacji o uprawnieniach. Czy nadal masz ten crack oraz kopię rejestru wykonaną z momentu działania infekcji? Jeśli crack posiadasz lub znasz źródło, proszę prześlij mi go na PW. Tylko drobne działania spoza tematu. Otwórz Notatnik i wklej w nim: Task: {AEDF363F-B86B-4208-B80E-3B02A337861D} - System32\Tasks\SomotoUpdateCheckerAutoStart => C:\Users\Tadeusz\AppData\Local\FilesFrog Update Checker\update_checker.exe SearchScopes: HKLM - DefaultScope value is missing. Unlock: C:\Users\TEMP C:\Users\TEMP Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

paweldiabel, brakuje obowiązkowych raportów z FRST. Proszę dodaj.

tada44, dlaczego dwa tematy o tym samym? Połączyłam. Oczywiście crack załatwił system, infekcja w pełnej krasie i liczne wpisy Debuggera blokujące uruchamianie wielu skanerów oraz Przywracania systemu. Infekcja już była tu na forum pomyślnie usuwana i wiem dokładnie co robić. Zanim przejdę do dzieła, poproszę o odczyt uprawnień klucza trzymającego wpisy Debuggera. Pobierz MiniRegTool. Z prawokliku na MiniRegTool.exe Uruchom jako Administrator (to istotne by pobrać pełne dane). Do okna wklej klucze: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvastSvc.exe Zaznacz List Permissions i klik w Go. Dołącz wynikowy log Result.txt. .

Do uzupełniania wypowiedzi / poprawiania posta, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, a nie post pod postem. Wszystko skleiłam. Dałeś też za dużo logów, miały być OTL i FRST, DDS nie (usunęłam). Wracając do sprawy z infekcją "Polizja Biuro Służby Kryminalnej": w ComboFix nie ma żadnych śladów usuwania czegokolwiek od infekcji, pozostałych logach także brak znaków infekcji. Wnioski: to był wariant infekcji o charakterze "tymczasowym", komunikat na poziomie przeglądarki internetowej, nie trzeba było uruchamiać ComboFix. Stosowałeś także SpyHunter, jest to skaner wątpliwej reputacji. W związku z tym, że nie widzę tu oznak infekcji, tylko drobne działania do wykonania: 1. Usunięcie wpisów pustych i inne korekty (w tym usuwanie niepoprawnie odinstalowanego Ad-aware). Otwórz Notatnik i wklej w nim: ProxyServer: :0 HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {1C7E4478-89AC-425E-930B-BA1621C09F19} URL = SearchScopes: HKCU - {5244BBA0-0BB0-4D02-9B73-31B97DA0E5F4} URL = http://websearch.ask.com/redirect?client=ie&tb=ALSV5&o=1665&src=kw&q={searchTerms}&locale=&apn_ptnrs=AU&apn_dtid=YYYYYYYYPL&apn_uid=f88a341d-a47d-4cfc-a160-78c0f8bdb8e9&apn_sauid=37B1C728-4006-4BD1-834C-E24E76049F08& SearchScopes: HKCU - {EDC1EABF-64C5-48AD-8065-1AF5BF5BD1A0} URL = FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml Task: {A439E2B9-4A02-4EB6-9CBF-D7E33756DF37} - System32\Tasks\{F1E0A289-B1FC-4C69-AAF9-A0753A6EA736} => Firefox.exe S3 GDPkIcpt; C:\Windows\system32\drivers\PktIcpt.sys [59768 2012-07-09] (G Data Software AG) S3 Lavasoft Kernexplorer; C:\Program Files (x86)\Lavasoft\Ad-Aware\KernExplorer64.sys [17152 2011-09-07] () R1 SbFw; C:\Windows\System32\drivers\SbFw.sys [253528 2011-04-05] (Sunbelt Software, Inc.) S3 SBFWIMCL; C:\Windows\System32\DRIVERS\sbfwim.sys [84568 2011-02-08] (Sunbelt Software, Inc.) R3 SBFWIMCLMP; C:\Windows\System32\DRIVERS\SBFWIM.sys [84568 2011-02-08] (Sunbelt Software, Inc.) S3 sbhips; C:\Windows\System32\drivers\sbhips.sys [60504 2011-04-05] (Sunbelt Software, Inc.) R1 SbTis; C:\Windows\System32\drivers\sbtis.sys [94296 2011-04-05] (Sunbelt Software, Inc.) S3 AndNetDiag; system32\DRIVERS\lgandnetdiag64.sys [x] S3 ANDNetModem; system32\DRIVERS\lgandnetmodem64.sys [x] S3 andnetndis; system32\DRIVERS\lgandnetndis64.sys [x] S3 catchme; \??\C:\ComboFix\catchme.sys [x] S1 inspect; system32\DRIVERS\inspect.sys [x] S3 PCDSRVC{D3412D80-CF3B4A27-06020200}_0; \??\c:\program files\my dell\pcdsrvc_x64.pkms [x] S3 Prot6Flt; system32\DRIVERS\Prot6Flt.sys [x] S1 SBRE; \??\C:\Windows\system32\drivers\SBREdrv.sys [x] S3 usbbus; system32\DRIVERS\lgx64bus.sys [x] S3 UsbDiag; system32\DRIVERS\lgx64diag.sys [x] S3 USBModem; system32\DRIVERS\lgx64modem.sys [x] U2 wuaserv; C:\Program Files\Enigma Software Group C:\Program Files (x86)\Lavasoft C:\Users\Wiki\AppData\Roaming\Ad-Aware Antivirus C:\Users\Wiki\AppData\Roaming\ArcaBit C:\Users\Wiki\AppData\Roaming\ArcaVirMicroScan C:\Users\Wiki\AppData\Roaming\f-secure C:\Windows\System32\drivers\SbFw.sys C:\Windows\System32\DRIVERS\sbfwim.sys C:\Windows\System32\DRIVERS\SBFWIM.sys C:\Windows\System32\drivers\sbhips.sys C:\Windows\System32\drivers\sbtis.sys C:\Windows\System32\Tasks\{B27A2A36-8081-4C05-835E-46C972A5129F} C:\Windows\System32\Tasks\{35686AED-AFA1-4988-98DB-D4650D8ADC6E} C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP Unlock: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Pozbądź się nadmiaru skanerów. Odinstaluj: Kaspersky Security Scan, Panda ActiveScan 2.0, Skaner on-line mks_vir, Spybot - Search & Destroy. Te dwa ostatnie to starocie. 3. Odinstaluj ComboFix w poprawny sposób. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\Wiki\Desktop\ComboFix.exe /uninstall 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

Proszę wróć do zasad działu. Tu w skład obowiązkowych raportów wchodzi FRST. Dodaj te logi.

Tak, to jest to samo. Te wyciągi z FRST mogą mieć przesunięcia czasowe.

Nie ma to znaczenia. Silnik Internet Explorer i tak jest używany przez system i zewnętrzne aplikacje. I log z FRST wykazuje że były tu co dopiero aktualizacje Windows Update i jest duża ilość uszkodzonych plików silnika Internet Explorer. Pliki nie mają sygnatury Microsoftu: 2014-01-24 15:26 - 2014-01-24 15:26 - 11220992 _____ C:\Windows\system32\ieframe.dll 2014-01-24 15:26 - 2014-01-24 15:26 - 04240384 _____ C:\Windows\system32\jscript9.dll 2014-01-24 15:26 - 2014-01-24 15:26 - 00610304 _____ C:\Windows\system32\jscript.dll 2014-01-24 15:26 - 2014-01-24 15:26 - 00553472 _____ C:\Windows\system32\jscript9diag.dll 2014-01-24 15:26 - 2014-01-24 15:26 - 00440832 _____ C:\Windows\system32\ieui.dll 2014-01-24 15:26 - 2014-01-24 15:26 - 00116736 _____ C:\Windows\system32\iepeers.dll 2014-01-24 15:26 - 2014-01-24 15:26 - 00111616 _____ C:\Windows\system32\IEAdvpack.dll 2014-01-24 15:26 - 2014-01-24 15:26 - 00108032 _____ C:\Windows\system32\ieetwcollector.exe 2014-01-24 15:26 - 2014-01-24 15:26 - 00086016 _____ C:\Windows\system32\iesysprep.dll Wg FRST masz punkt Przywracania systemu, starszy niż powstanie uszkodzonych plików: ==================== Restore Points ========================= 24-01-2014 14:16:03 Windows Update Po prostu użyj Przywracanie systemu do stanu sprzed wadliwych aktualizacji. PS. Temat przenoszę ponownie, do Windows, gdyż jednak jest to sprawa ogólna systemowa a nie związana konkretnie z grą. .

nurciak, dlaczego temat założony został w dziale diagnostyki infekcji (i to jeszcze z pominięciem zasad działu wymagających raportów)? Przenoszę. I dodaj chociaż raporty z FRST, by nabrać pojęcia ogólnego o systemie: Błąd sugeruje uszkodzony plik ieframe.dll (od Internet Explorer). Nic tu nie wiadomo: jaki system, jaka wersja Internet Explorer jest zainstalowana, czy były ostatnio aktualizacje, czy przypadkiem podczas ich wykonywania nie przerwano procesu na chama wyłączając system. .

Ale przecież tu nie koniec działań! Prosiłam o podanie materiałów końcowych: W kwestii: vs. Czy w ogóle przeczytałaś od deski do deski podlinkowany artykuł? Tam jest wyjaśnione jak nabyłaś niepożądany program = z portalu, instalując na wiarę co pokazał asystent, nie odznaczyłaś opcji instalacji Mobogenie, a taka powinna tam być widoczna. I sądząc po nazwie pliku Adobe-Reader-XI(21590).exe był to prawdopodobnie serwis dobreprogramy.pl. Jak mówiłam: to nie był poprawny instalator Adobe Reader ze strony domowej tylko śmieć sponsorujący portal. Dodatkowo podsuwam też i ten wątek na forum na temat aplikacji Unchecky: KLIK. Ale aplikacja nie zastąpi myślenia. .

Tytuł tematu dostosowałam, tytułem ma być problem zasadniczy. Zacznij od zasad działu: KLIK. Jest tam wyraźnie napisane jakie raporty są tu obowiązkowe (FRST / OTL i GMER) i są podane linki do instrukcji ich tworzenia. Proszę dostarczyć wszystkie wymagane raporty. Użycie ComboFix nie jest zgodne z "naszymi poradami". Na temat używania ComboFix, dlaczego nie należy tego robić na własną rękę: KLIK. I podane wyżej zasady działu wyraźnie mówią, że jeśli użyto narzędzie, należy przedstawić log C:\ComboFix.txt. .

Zrobione. Kończymy: 1. Uruchom TFC - Temp Cleaner. 2. Przez SHIFT+DEL (omija Kosz) skasuj foldery: C:\FRST C:\Program Files\FRST C:\Program Files\FRST-OlderVersion W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Na wszelki wypadek pozmieniaj hasła Origin, gdyż nie wiem jakie zadania konkretnie wykonywał ten skrypt VBS. 5. Na koniec drobne aktualizacje programów Adobe, Java i pakietu Office: KLIK. Stan widoczny obecnie: ==================== Installed Programs ====================== 2007 Microsoft Office Suite Service Pack 2 (SP2) (x32 Version: - Microsoft) Hidden Adobe Flash Player 11 ActiveX (x32 Version: 11.9.900.117 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Reader X (10.1.9) - Polish (x32 Version: 10.1.9 - Adobe Systems Incorporated) Java 7 Update 45 (x32 Version: 7.0.450 - Oracle) Microsoft Office Enterprise 2007 (x32 Version: 12.0.6425.1000 - Microsoft Corporation) ----> instalacja pakietu SP3 .

tomazzo9 Prawie wszystko zrobione, ale jeszcze poprawki. IOBit znów niedokładnie się odinstalował, tym razem Driver Booster zostawił zadania w Harmonogramie. Otwórz Notatnik i wklej w nim: Task: {45FE6895-93F5-499D-82A8-5C103C7EAEBA} - System32\Tasks\Driver Booster Update => C:\Program Files\IObit\Driver Booster\AutoUpdate.exe [2013-11-04] (IObit) Task: {7CDD2372-3D69-4223-9E14-146D1D4C1184} - System32\Tasks\Driver Booster Scan => C:\Program Files\IObit\Driver Booster\Scheduler.exe [2013-11-08] (IObit) Task: C:\Windows\Tasks\Driver Booster Update.job => C:\Program Files\IObit\Driver Booster\AutoUpdate.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\IMFservice => ""="Service" S3 lvupdtio; \??\C:\Program Files\ASUS\ASUS Live Update\SYS\lvupdtio.sys [x] S3 UrlFilter; \??\C:\Program Files\IObit\IObit Malware Fighter\drivers\wlh_x86\UrlFilter.sys [x] C:\Program Files\IObit C:\Users\Tommy\AppData\Local\Temp\*.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

W SystemLook był taki odczyt: [HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\Documents"="OTLand IP Changer" I MBAM to zobaczył: C:\Documents (Trojan.Agent) -> Nie wykonano akcji. Wynik jednak wygląda dość "biednie" jak na to co się tu dzieje z tą wiewiórą. Pod kątem wyników skanerów: - Usuń za pomocą MBAM wszystko co wykrył. - Przez SHIFT+DEL dokasuj foldery C:\Documents and Settings\Zurawski\Ustawienia lokalne\Dane aplikacji\OTLand + C:\Program Files\maucampo + C:\User Data. - Wyczyść Tymczasowe pliki internetowe z poziomu Opcji internetowych przeglądarki IE. - Ponownie uruchom TFC - Temp Cleaner. Po tym czyszczeniu spróbuj ponowić tę akcję z narzędziem Microsoftu: + .

Dzięki za plik. W kwestii reszty, jeszcze są odpadki adware (na razie nie tak istotne) oraz pojawił się nowy wpis w mapowaniu urządzeń relatywny do Sality: MountPoints2: {01bc2a30-ced7-11e2-acf6-00400581d323} - L:\dvtu.pif On oznacza, że w czasie leczenia systemu podpinano zainfekowane urządzenie przenośne zmapowane w owym czasie pod literą L. Czyli wynika z tego, że masz w rękach ciągle jakieś pendrive / dyski USB, które są zainfekowane. Formatując system zainfekujesz z tego ponownie Windows. 1. Uruchom Panda USB Vaccine, zastosuj opcję Computer Vaccination i zresetuj system. 2. Podepnij wszystkie nośniki USB (ile da radę na raz) i zrób nowy log USBFix z opcji Listing. .

No cóż, błędy "nie jest prawidłową aplikacją" oznaczają uszkodzenie plików. Z tego co mówisz wynika, że zdefektowany jest conajmniej AIMP oraz Notatnik Windows (czy inne pliki tekstowe się otwierają w Notatniku?). Spróbuj AIMP przeinstalować, ale reinstalacja Notatnika to niestety już podmiana pliku Windows. I powtarzam: nie jestem w stanie stwierdzić ile uszkodzeń po Ramnit naprawdę zostało. Takie niespodzianki mogą wychodzić na jaw stopniowo w trakcie używania określonych funkcji Windows lub programów. .

Marzena30, wprawdzie większość zadań wykonana, ale nie widzę żadnych zmian w katalogu Temp, nadal widać te same pozycje co na początku. Czy na pewno użyłaś TFC - Temp Cleaner przed zrobieniem skanu FRST (a nie po)? A jeśli program był jednak użyty w odpowiednim porządku instrukcji, to co się tam pokazywało, czy działanie programu nie zostało aby przerwane? .