picasso

To było planowane skryptem do FRST, skrypt przetworzył wartości Domyślne, ale nie znalazł owych wpisów adware DSite i Qtrax w Harmonogramie (sam mówisz, że coś usuwałeś). Raczej więcej tu nie ma nic do roboty w Harmonogramie. Z niedomyślnych wpisów jest jeszcze Google i CCleaner. Wpisy nie pokazane w Addition.txt są domyślnymi zadaniami Windows. Czeka Cię więc żmudna ręczna weryfikacja, czyli wyłączanie po jednym wpisie startowym > restart > obserwacja skutków. W Autoruns (na ustawieniu domyślnym nie pokazującym wpisów MS) w kartach Logon i Services odznacz po jednym wpisie na raz i restart. Ten wpis, którego wyłączenie spowoduje zanik efektu, jest winowajcą. .

Podałam przecież link do artykułu opisującego ten błąd i jego diagnostykę. Który fragment jest niezrozumiały?

Ten efekt powinien generować któryś wadliwy 32-bitowy wpis startowy mający błędną / niekompletną ścieżkę lub formę "null". Nie widzę tu nic wyraźnego, poza Domyślnymi wartościami nie będącymi jednak domyślnymi (mają spacje). Kolejna sprawa (widziana w OTL) to bardzo dziwne wyniki wyszukiwania plików z nazwami Unicode, w C:\Windows\SysWow64 jest cała grupa plików z "chińskimi" nazwami, w tym pliki menedżera transakcji. Może na początek usuń wspominane wartości Domyślne w stanie niedomyślnym oraz szczątki adware w Harmonogramie zadań. Otwórz Notatnik i wklej w nim: SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119357&tt=gc_&babsrc=SP_ss&mntrId=44090019DB68BE01 Task: {8B07F6E3-8924-4791-8A0A-578A578DE49A} - System32\Tasks\DSite => C:\Users\Marek\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE Task: {BDC804D0-01B2-4DED-AA42-1329BA19564E} - System32\Tasks\QtraxPlayer => C:\Program Files (x86)\Microsoft Silverlight\sllauncher.exe [2013-09-13] (Microsoft Corporation) Task: C:\Windows\Tasks\DSite.job => C:\Users\Marek\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE HKLM-x32\...\Run: [] - [x] HKCU\...\Run: [] - [x] S3 GMSIPCI; \??\L:\INSTALL\GMSIPCI.SYS [x] S3 IT9135BDA; System32\Drivers\IT9135BDA.sys [x] C:\Users\Marek\AppData\Roaming\DSite Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Zresetuj system i podaj czy są jakieś zmiany. PS. OTL jeden powstał, bo nie skonfigurowałeś wedle zaleceń. Opcja "Rejestr - skan dodatkowy" ma być zaznaczona, by powstał Extras. .

Ta problematyka już wystąpiła na forum. Wykonaj działania z artykułu KB949384.

Proszę podaj raporty FRST i OTL, by było jasne co się uruchamia przy starcie systemu i jak są sformułowane ścieżki obiektów startowych. .

W Trybie normalnym uruchom menedżer zadań, zaznacz "Pokaż procesy wszystkich użytkowników" (podniesienie uprawnień) i zabij kompletnie explorer.exe. I tu do wyboru: 1. Od razu deinstalacja. W menedżerze zadań z menu Plik > Nowe zadanie > wklep regedit. W edytorze rejestru wyszukaj klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{C2F438B6-7010-453B-93EC-B2FC053AA97B} W kluczu tym popatrz na wartość UninstallString jaka jest komenda deinstalacji. W menedżerze zadań z menu Plik > Nowe zadanie > wklep cmd i zaznacz pole "Utwórz to zadanie z uprawnieniami administracyjnymi". W cmd wpisz komendę punktowaną w UninstallString. 2. Zamiast deinstalacji w takich warunkach można tylko wyrejestrować moduł, czyli w Menedżerze zadań uruchom cmd na uprawnieniach administracyjnych i wklep komendę regsvr32 /u shlxthdl_x64.dll. Zresetuj system. A po tym można normalnie odinstalować LibreOffice. PS. Jak się wykaraskasz z tego system musi być wyczyszczony z adware. Instrukcje potem. .

Avast wykazuje jako aktywność rootkit plik jednej z usług Windows (Distributed Transaction Coordinator). Czy te zgłoszenia nadal mają miejsce? I dodaj brakujący raport z GMER. Dorzuć też log z Farbar Service Scanner, gdyż w Dzienniku zdarzeń jest i błąd relatywny do usługi BITS (Inteligenty transfer w tle). .

Prosiłam się o wykonanie zadania w FRST, które tworzy plik EasyBits.reg i dostarczenie tego pliku. Co do podanych wpisów: nie ma nic szkodliwego, w(y)łączenie wpisów to już kwestia wyboru czy z danej funkcji korzystasz czy nie. .

les nie wykonujesz poleceń jak należy. Zajmujesz się rzeczami bez znaczenia dla problemów podstawowych. Mówiłam wyraźnie, że podane logi są bezużyteczne przy problemie oraz by nie wykonywać tych podrzędnych operacji podanych w spoilerze, dopóki nie otrzymasz konkretów na temat stanu dysku. A Ty od razu się na to rzuciłeś. Podałam link do zasad działu Hardware, przeczytaj dokładnie co podać, opuszczasz obrazek z diskmgmt.msc. Co tu jest niejasne? .

Uciąłeś ścieżkę "Katalog", sam plik sugeruje wynik z podfolderu Temp. Nie zajmuj się tym na razie i przejdź do podanych czynności usuwania aktywnych obiektów adware.

Myszor, proszę podaj w czym jest widziana ta infekcja, sama nazwa nie wystarczy, musi być podana ścieżka dostępu do pliku. Wygrzeb to z Dzienników skanowania Avast. A infekcję owszem widzę, numeryczne serwisy i wpis Appinit_Dlls. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" R2 31181965; C:\Documents and Settings\All Users\Dane aplikacji\Windows net-clean\Windowsnet-cleanSvc.dll [180048 2013-12-31] () R2 93bcfb25; C:\Documents and Settings\All Users\Dane aplikacji\Filteligent\FilteligentSvc.dll [173904 2013-12-31] () R2 b3457450; C:\Documents and Settings\All Users\Dane aplikacji\WinFilter\WinFilterSvc.dll [178000 2013-12-31] () R2 c81eb536; C:\Documents and Settings\All Users\Dane aplikacji\Fast And Safe\FastAndSafeSvc.dll [181584 2013-12-27] () AppInit_DLLs: C:\Documents and Settings\All Users\Dane aplikacji\Windows net-clean\Windowsnet-clean.dll [4155904 2013-12-31] () c:\Program Files\Ss-Helper HKCU\...\Run: [] - [x] HKCU\...\Policies\Explorer: [NoSaveSettings] 0 SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = BHO: No Name - {A7DF592F-6E2A-45C4-9A87-4BD217D714ED} - No File Toolbar: HKCU - No Name - {EEF280F3-B6ED-46D8-A8FD-57BD0C4A9ECF} - No File S0 mv61xx; No ImagePath S0 mv64xx; No ImagePath U4 WinRM; C:\Documents and Settings\Administrator\trial_setup.msi C:\Documents and Settings\Administrator\trial_setup.exe C:\Documents and Settings\Administrator\trial_setup.ini Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Extensions\{A7DF592F-6E2A-45C4-9A87-4BD217D714ED}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{A7DF592F-6E2A-45C4-9A87-4BD217D714ED}" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj niepożądane obiekty Fast And Safe, Filteligent, Performance Optimizer, Windows net-clean, WinFilter. 3. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware BonanzaDeals) > Dalej. 4. Preferencje Firefox są rozgrzebane i wpisy adware w środku też są obecne, konkretne czyszczenie: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła intactum, ale używane rozszerzenia trzeba będzie przeinstalować. 5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Raporty z OTL nadal są obowiązkowe, choć głównym narzędziem jest FRST. Do spowolnienia prędzej przyczynia się zdewastowana niepoprawna deinstalacja Trend Micro (brak takiego wejścia na liście zainstalowanych, a nadal czynny sterownik) lub zupełnie co innego. Adware sweet-page nie powinno mieć żadnego związku z muleniem, nie te obszary ingerencji. Ponadto, objaśnij co tu się w ogóle działo, bo widzę ślady używania AdwCleaner (a żaden log z jego działania nie dostarczony) oraz narzędzi związanych z usuwaniem infekcji ZeroAccess + świeżo zmodyfikowany plik systemowy services.exe sugerujący, że jednak coś w tym pliku było: 2014-01-16 13:19 - 2014-01-16 13:19 - 00000000 ____D C:\Users\Public\Desktop\CC Support 2014-01-16 13:08 - 2009-07-14 02:39 - 00328704 _____ (Microsoft Corporation) C:\Windows\system32\Services.exe C:\Users\Asus\AppData\Local\Temp\ESETSirefefCleaner.exe Przeprowadź następujące działania pod kątem usuwania sweet-page i wpisów odpadkowych: 1. Po pierwsze, FRST jest uruchomiony z niepoprawnej lokalizacji tymczasowej: Running from C:\Users\Asus\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\SU7RJGQ3 Pobierz go ponownie i zapisz na Pulpicie. Otwórz Notatnik i wklej w nim: StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = Toolbar: HKCU - No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKCU - No Name - {1392B8D2-5C05-419F-A8F6-B9F15A596612} - No File Toolbar: HKCU - No Name - {D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0} - No File CHR HKLM-x32\...\Chrome\Extension: [hphehadppenpmajgnkjdcopcfijjegaf] - C:\Program Files (x86)\Jump Flip\hphehadppenpmajgnkjdcopcfijjegaf.crx [2014-01-16] DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab HKU\Gość\...\Run: [swg] - "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" Task: {1D0033F7-0FFF-4743-9023-A83CD2A7D5FB} - System32\Tasks\RealUpgradeScheduledTaskS-1-5-21-1720854903-721639992-1052711666-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {24E238C5-D358-4530-987F-543DAEA16018} - System32\Tasks\{CD9E8B49-D7EF-4321-A0CC-B224F9F04A79} => C:\Program Files (x86)\Gadu-Gadu 10\gg.exe Task: {600C2D23-CFD2-43F0-825F-29228D388218} - \DealPly No Task File Task: {8F5C2CBB-DBCB-4D6F-AECF-E53224F19CDF} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Task: {B9A865E6-4BCB-4994-A26E-F81F6DF0DB6B} - System32\Tasks\{BDBF8BD8-8E77-4C2E-934E-EF0315049A4F} => C:\Program Files (x86)\Gadu-Gadu 10\gg.exe S2 SfCtlCom; C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe [838528 2009-08-04] (Trend Micro Inc.) R0 pavboot; C:\Windows\System32\Drivers\pavboot64.sys [30792 2010-06-22] (Panda Security, S.L.) S3 ipswuio; System32\DRIVERS\ipswuio.sys [x] S3 Prot6Flt; system32\DRIVERS\Prot6Flt.sys [x] C:\aaw7boot.log C:\Program Files\SkanerOnline C:\Program Files\Trend Micro C:\ProgramData\Lavasoft C:\Users\Asus\daemonprocess.txt C:\Users\Asus\AppData\Local\Tem C:\Windows\system32\ServiceFilter.ini C:\Windows\System32\Drivers\pavboot64.sys C:\Windows\System32\Tasks\{17D7BE86-F65A-4335-86FD-D92354FDBC53} C:\Windows\SysWOW64\rp_stats.dat C:\Windows\SysWOW64\rp_rules.dat Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST na Pulpicie. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Jump Flip (o ile będzie widoczne). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasłanie zostaną naruszone. Ustawienia > karta Historia > wyczyść 3. Uruchom Trend Micro Diagnostic Toolkit. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowe skany: FRST (bez Addition), zaległe raporty z OTL oraz Farbar Service Scanner. Dołącz plik fixlog.txt. .

Zasady działu na temat tytułowania tematów, "Sprawdzanie logów" to nie jest pożądany tytuł. Tytułem ma być problem z którym przychodzisz, a nie logi (tu każdy je podaje "do sprawdzenia", to tylko narzędzie poboru danych). Proszę zmień tytuł na bardziej pasujący. Jakie programy i w jaki sposób usuwane? W raportach nie widać żadnych oznak infekcji, nie ma też za bardzo czym się zajmować. Co najwyżej minimalne poprawki w konfiguracji IE do wdrożenia (nawet nie odczujesz ich skutków, bo to błahostki). Otwórz Notatnik i wklej w nim: HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Klasyczną defragmentację (z wyjątkiem dysków SSD) robi się wtedy, gdy są podstawy do jej wykonania, tzn. skan defragmentatora wykaże duży stopień fragmentacji. Proponowane darmowe programy: PerfectDisk Free Defrag, Puran Defrag. Uwaga: pobieranie Perfect Disk kieruje do strony CNET, należy opuścić przycisk "Download Now" (ładuje portalowe adware) i wybrać Direct Download Link. .

Nie widzę tu żadnych oznak czynnej infekcji. Do usunięcia będą tylko odpadki adware i wpisy puste (ale to nie ma związku z problemem): 1. Otwórz Notatnik i wklej w nim: Task: {0937DDC0-D8DE-456C-A16F-19E0E38CE550} - \QtraxPlayer No Task File Task: {0B17990D-D70F-4A64-BC59-82B287FCAD6F} - \EPUpdater No Task File Task: {14E3047B-9387-4B5D-82EE-08BF034B0324} - \DealPlyUpdate No Task File Task: {31B10909-F931-4CE9-869B-FDC6F66B0EBF} - \DSite No Task File Task: {3D34D6BA-92D2-4300-A1CC-92408D657B08} - \DealPly No Task File Task: {578A257E-EB47-45A4-8479-3B4914698D36} - \Desk 365 RunAsStdUser No Task File Task: {B47A8E7E-609B-4E9B-8A33-7FEAEA4FB64B} - \Omiga Plus RunAsStdUser No Task File Task: {C61FA1D6-3D4D-460B-8AEC-AD3397120F0A} - System32\Tasks\{553F07D0-224D-448C-9F92-97BE9FAAEF69} => C:\Users\xxx\Desktop\Mazurski 8.6\loader\tibialoader.exe Task: {F1BF0EF1-84BC-4C8E-954F-4911F07A0EEC} - System32\Tasks\{18E3EC70-C610-4B09-9277-43BA3C17C723} => Firefox.exe http://ui.skype.com/ui/0/6.0.0.126/pl/abandoninstall?source=lightinstaller&page=tsBing AppInit_DLLs-x32: c:\progra~3\bitguard\261694~1.246\{c16c1~1\bitguard.dll [ ] () SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {47AE1BA9-0BD1-44F4-88AE-45F8F7B605EF} URL = http://www.basicserve.com/?prt=bscsrvlink1&sp=&keywords={searchTerms} SearchScopes: HKCU - {69ABAE4C-47BC-4EAD-A2B3-ED08ED617830} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=ct3135048 Toolbar: HKCU - No Name - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No File CHR HKCU\...\Chrome\Extension: [pacgpkgadgmibnhpdidcnfafllnmeomc] - C:\Users\xxx\AppData\Local\CRE\pacgpkgadgmibnhpdidcnfafllnmeomc.crx [2013-12-20] CHR HKLM-x32\...\Chrome\Extension: [cgbegiielglenofblbeiaohlbadmkcal] - C:\ProgramData\wxDownload\cgbegiielglenofblbeiaohlbadmkcal.crx [2013-12-20] CHR HKLM-x32\...\Chrome\Extension: [pacgpkgadgmibnhpdidcnfafllnmeomc] - C:\Users\xxx\AppData\Local\CRE\pacgpkgadgmibnhpdidcnfafllnmeomc.crx [2013-05-06] FF Extension: BasicServe - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{740B3FD5-4483-469D-BE7F-8555B153BD04} [2013-05-23] FF Plugin: @divx.com/DivX VOD Helper,version=1.0.0 - C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll No File FF Plugin-x32: @nexon.net/NxGame - C:\ProgramData\NexonUS\NGM\npNxGameUS.dll No File FF Plugin-x32: @ngm.nexoneu.com/NxGame - C:\ProgramData\NexonEU\NGM\npNxGameeu.dll No File FF Plugin HKCU: @unity3d.com/UnityPlayer,version=1.0 - C:\Users\xxx\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll No File S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [x] S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [x] S3 SNP2UVC; system32\DRIVERS\snp2uvc.sys [x] S3 usbbus; system32\DRIVERS\lgx64bus.sys [x] S3 UsbDiag; system32\DRIVERS\lgx64diag.sys [x] S3 USBModem; system32\DRIVERS\lgx64modem.sys [x] S3 vproiah; system32\DRIVERS\vproiah.sys [x] S3 X6va011; \??\C:\Windows\SysWOW64\Drivers\X6va011 [x] C:\ProgramData\wxDownload C:\Users\xxx\AppData\Local\CRE C:\Users\xxx\AppData\Local\Temp\ICReinstall_Setup.exe C:\Users\xxx\AppData\Roaming\0D1F1S1C1P0P1C1F1N1C1T1H2UtF1E1I C:\Users\xxx\Desktop\Continue VuuPC Installation.lnk C:\Users\xxx\Downloads\Setup.exe Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f CMD: type D:\autorun.inf Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. 2. W przeglądarkach: - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia będą do reinstalacji. - Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Przez Panel sterowania odinstaluj adware Update for Ultimate Codec, Ultimate Codec Packages. Błąd sugeruje wirusa Sality, oznak tego wirusa brak, poza faktem że tu jest jakiś ukryty plik autorun.inf (które zawartość i tak sprawdzam powyższym skryptem FRST): O32 - AutoRun File - [2013-12-30 08:18:04 | 000,000,265 | RHS- | M] () - D:\autorun.inf -- [ NTFS ] I czy partycja D była skanowana antywirusem? Zakładając, że to nie wirus, czy próbowałeś po prostu przeinstalować grę z nowego świeżego instalatora (usuwając przed deinstalacją cały folder gry z D)? .

Raporty muszą być tworzone z poziomu właściwego konta, dane pochodzą głównie z konta ms_user, a podnoszenie uprawnień w OTL nie jest do końca pełną zmianą kontekstu konta. Na razie to zostawiam. Skoro twierdzisz, że efekt zbiegł się tak jakby z aktualizacjami, to nasuwa się, by cofnąć system do stanu sprzed. Nie mam tu spisu punktów Przywracania, gdyż widnieje błąd: ==================== Restore Points ========================= Could not list Restore Points. Check WMI. Zastartuj do WinRE i sprawdź czy są jakieś punkty Przywracania systemu sprzed usterki i czy da się zrolować system. .

Wszystko zrobione i możemy kończyć: 1. Przed usunięciem FRST podaj mi jeszcze dane na temat usługi EasyBits, gdyż FRST pokazują ją w niepoprawny sposób. Otwórz Notatnik i wklej w nim: Reg: reg export HKLM\SYSTEM\CurrentControlSet\Services\ezSharedSvc C:\Users\EWA\Desktop\EasyBits.reg Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy plik fixlog.txt. NaPulpicie powstanie plik EasyBits.reg, shostuj go gdzieś i podaj link do tego. Po pokazaniu tych danych przejdź dalej: 2. Przez SHIFT+DEL skasuj FRST i foldery: C:\FRST C:\Users\EWA\Desktop\Stare dane programu Firefox W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj wyliczone poniżej programy: KLIK / KLIK. Wg raportu są tu zainstalowane wersje: ==================== Installed Programs ====================== Adobe Flash Player 11 ActiveX (x32 Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 11 Plugin (x32 Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla Firefox Adobe Reader X (10.1.8) - Polish (x32 Version: 10.1.8 - Adobe Systems Incorporated) Gadu-Gadu 10 (x32 Version: - GG Network S.A.) Google Chrome (x32 Version: 31.0.1650.63 - Google Inc.) Java 7 Update 45 (x32 Version: 7.0.450 - Oracle) Ale do czego zmierzasz z tymi wyłączonymi wpisami? Jaki to ma mieć tu związek? Nie, nie widzę wpisów wyłączonych (via msconfig lub narzędzie trzecie), gdyż raporty adresują tylko to co ma znaczenie (wpisy aktywnie ładowane). I nie mogę ocenić czy możesz je "bezpiecznie włączyć", skoro nie mam żadnych danych co i za pomocą czego wyłączałeś. Tak więc: co i czym? .

Zasady działu, w skład obowiązkowych raportów wchodzi FRST. Proszę dodaj.

MBAM usuwał tylko adware i to nie było nic szczególnego. W bieżących logach również nic szczególnego: adware (IObit Apps Toolbar v7.0, Discount Buddy w profilu konta user) oraz wpisy puste. To wszystko nie może być jednak przyczyną opisywanych objawów z utraconym dostępem. Na razie to zostawiam, bo czyszczenie nie ma sensu, gdy są ograniczenia o niewiadomym podłożu. Dostarczone tu logi pochodzą w ogóle z dwóch różnych kont, OTL pokazuje zalogowane konto: Computer Name: USER-PC | User Name: user | Logged in as Administrator. Ale już FRST mówi, że zalogowano limitowane konto ms_user: Ran by ms_user (ATTENTION: The logged in user is not administrator) on USER-PC on 15-01-2014 09:32:23 Rzecz jasna są to dwa różne środowiska, więc elementy kont nie są między sobą dostępne (np. zupełnie inny profil Firefox). To konto ms_user to twór ręczny czy z automatu czymś utworzony? Braki uprawnień mogą pochodzić od programów zabezpieczających, które manipulują w dostępie. W tym przypadku przede wszystkim rzuca się w oczy EMET. Czy przypadkiem w EMET nie ograniczono nieumiejętnie zbyt dużo? Czy problem występuje w Trybie awaryjnym Windows? PS. Widzę zainstalowany sfatygowany BootLog XP. To program dla XP, dla systemów Vista i nowszych jest Windows Performance Toolkit: KLIK. .

Tematy zostały połączone, gdyż jest to tak jakby kontynuacja. Dla uściślenia: poprzednio były czyszczone fałszywe elementy wstawione do folderu Adobe, a nie Adobe. I tu nie było pliku "rundll.exe". W nowych logach nic nie ma, tylko jedna niejasność: widać świeżo utworzone na dysku obiekty AVG PC TuneUp 2014 (to było przecież deinstalowane) = czy była tu jakaś reinstalacja? Opisz skąd uruchamiasz PDF: czy chodzi o jakąś wewnętrzną przeglądarkę PDF któregoś programu (Google Chrome, Office)? Pytam, gdyż na liście zainstalowanych programów nie ma żadnej indywidualnej przeglądarki PDF (np. Adobe Reader, Foxit Reader, Sumatra PDF) widocznej jako zainstalowana. .

Wpis browseui.dll wrócił pomyślnie na miejsce: Toolbar: HKCU - &Adres - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\Windows\system32\browseui.dll (Microsoft Corporation) W skrócie: () = brak producenta, w niektórych wpisach jest to też pośredni znak braku pliku. [x] = plik nie został znaleziony, a powodów dla tego może być multum (prawdziwy brak pliku, jak i niezdolność jego znalezienia, mimo obecności, np. z powodu niemożności odczytania przez narzędzie ścieżki) W FRST są jeszcze dwa inne oznaczenia dla "braku", ale fraza "file missing" nie występuje. I nie chodziło mi tu o status szkodliwości wpisu. Miałam na myśli inną rzecz: wszelkie wpisy sugerujące "brak", niezależnie od zastosowanego oznaczenia, muszą by weryfikowane czy są rzeczywistym brakiem czy tylko niemożnością pobrania danych przez narzędzie. Tu przypominam chorobę o nazwie "not found w OTL", czyli bezrozumne usuwanie przez "analizujących" wszystkich wpisów tego typu jak leci bez zastanowienia się czy przypadkiem narzędzie nie przedstawia fałszywego obrazu sytuacji. .

Tego tematu raczej nie będę prowadzić. Moją specjalizacją jest Malware i Windows. Na forum są bardziej zorientowane w temacie sprzętowym osoby. .

Pod kątem tego folderu, otwórz Notatnik i wklej w nim: RemoveDirectory: C:\ProgramData\ESET Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Pytanie: czy nadal jest na dysku folder C:\ProgramData\ESET? .

Nie notuję tu żadnych oznak infekcji, na tyle na ile oczywiście mogą to wykazać raporty (są ograniczone i bez pełnego skany antymalware i tak się nie obejdzie). Do usunięcia tylko szczątki adware i wpisy puste (nie ma to związku z problemem). Otwórz Notatnik i wklej w nim: CHR HKCU\...\Chrome\Extension: [cflheckfmhopnialghigdlggahiomebp] - C:\Users\Iskander\AppData\Local\CRE\cflheckfmhopnialghigdlggahiomebp.crx [2013-11-21] CHR HKLM-x32\...\Chrome\Extension: [cflheckfmhopnialghigdlggahiomebp] - C:\Users\Iskander\AppData\Local\CRE\cflheckfmhopnialghigdlggahiomebp.crx [2013-11-21] HKCU\...\Run: [AdobeBridge] - [x] S3 digiSPTIService64; "C:\Program Files\Avid\Pro Tools\digisptiservice64.exe" [x] R3 ALSysIO; \??\C:\Users\Iskander\AppData\Local\Temp\ALSysIO64.sys [x] C:\ProgramData\APN C:\Users\Iskander\AppData\Local\CRE C:\Users\Iskander\AppData\Local\Temp\*.dll C:\Users\Iskander\AppData\Local\Temp\*.exe AlternateDataStreams: C:\ProgramData:48C6E5B13E778F0D AlternateDataStreams: C:\Users\All Users:48C6E5B13E778F0D AlternateDataStreams: C:\ProgramData\Application Data:48C6E5B13E778F0D AlternateDataStreams: C:\ProgramData\Dane aplikacji:48C6E5B13E778F0D AlternateDataStreams: C:\ProgramData\Microsoft:8M9LWMTg6a79DLrtfP332TCa AlternateDataStreams: C:\ProgramData\Microsoft:cM4SqvSTtQZ7NAtyc23B5 AlternateDataStreams: C:\ProgramData\Microsoft:crxQZTZwRTjrmE4AuXtymycIvRT AlternateDataStreams: C:\ProgramData\Microsoft:dG7JRSw2jd7EFjEHuo96q9oS AlternateDataStreams: C:\ProgramData\Microsoft:pdqUIAFaTVxBVnw3d11 AlternateDataStreams: C:\ProgramData\Microsoft:TwbDbrF8oXyK2mzpxt8kvhrGN AlternateDataStreams: C:\ProgramData\Microsoft:Z3wFjGYux9VmLlzkIsa7b9 AlternateDataStreams: C:\ProgramData\Microsoft:z4ke3K6uWdHYSabYL6Izyt AlternateDataStreams: C:\Users\Iskander\Ustawienia lokalne:bXugJ9eHZ4GCZ0k2A2tfyu AlternateDataStreams: C:\Users\Iskander\Ustawienia lokalne:nxMPjyYfdMjEfO6YagxTS3D2U7yN AlternateDataStreams: C:\Users\Iskander\AppData\Local:bXugJ9eHZ4GCZ0k2A2tfyu AlternateDataStreams: C:\Users\Iskander\AppData\Local:nxMPjyYfdMjEfO6YagxTS3D2U7yN AlternateDataStreams: C:\Users\Iskander\AppData\Local\8V0lixyKr:QQrV7oJ2FNGdsBCBBQ5KEOwbtG AlternateDataStreams: C:\Users\Iskander\AppData\Local\Dane aplikacji:bXugJ9eHZ4GCZ0k2A2tfyu AlternateDataStreams: C:\Users\Iskander\AppData\Local\Dane aplikacji:nxMPjyYfdMjEfO6YagxTS3D2U7yN AlternateDataStreams: C:\Users\Iskander\AppData\Local\Temp:eVdVNsd5MZRu90Tpi3NCd6hJWK AlternateDataStreams: C:\Users\Iskander\AppData\Local\Temp:mVfGBCCLZBC0lydmjLTgAjK0T AlternateDataStreams: C:\Users\Iskander\AppData\Local\Temporary Internet Files:9qGYAjhxZISYcv716C9dXl Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Po zmianie haseł są one zapamiętywane w TC? Czy jest inny komputer z którego korzystasz? Czy są inne osoby mające dostęp do FTP i logujące się przy udziale podanego przez Ciebie hasła? I problemem może być sieć, w której działa Twój komputer, a nie Twój komputer. Dokument PDF opisujący metodologię infekcji iframe: KLIK. Cytuję końcowy fragment: "Attention! The virus may be listening in (eavesdropping) on bypassing network traffic originating from other computers on the local network (packet sniffing) to steal FTP passwords! This means that you can clean up your PC but if another PC is infected located in the same network segment, the virus can still intercept the passwords you have entered on the clean PC! Also, be careful with FTP passwords you have saved in the past. The virus may have the potential to extract those saved passwords. Considering the dangers involved it is advisable to login to your FTP server using the SSH over FTP protocol. Source: KLIK." + Cytat z linka: "As it turned out, the malware steals FTP passwords with network sniffing a.k.a. promiscuous mode (at least among other ways, because I heard it can also read the stored passwords of well-know FTP clients). This means, it even steals the FTP user names and passwords that were used from a clean computer, if that computer was in the same Ethernet collision domain as the infected computer, and the password was actually used (i.e. the user has logged in to an FTP account) when the infected computer was on (and hence eavesdropping). In general, if you have some Ethernet hubs as opposed to Ethernet switches in your LAN, then depending on the exact network topology, possibly not only the infected computer is affected. Needless to say, the infected computer itself is always in its own collision domain, so even if you don't store the passwords in your FTP client (and you shouldn't), the malware still steals the password when you log in. The infected computer sends the stolen FTP credentials (and who knows what else it captured) to its masters, so the computer that will update the index.html-s via FTP (maybe hours, maybe days later) will be some random computer from around the world." Powodów takiego zachowania jest multum, nie tylko infekcje. .

Duża ilość logów FRST zbędna, zostawiam tylko najświeższy. I powątpiewam czy to wymiana antywirusa miała związek z obciążeniem, tu był Bitcoin miner, który rezydował do wczoraj. Avast został pobrany z portalu a nie strony domowej, to nie jest instalator Avast tylko śmieć mający w zamiarze zanieczyścić system: C:\Users\Jarek\Downloads\avast-Free-Antivirus(13266).exe. To tzw. "Asystent pobierania", pewnie z dobrychprogramów. Do czytania jakie jest prawdziwe oblicze owych "Asystentów": KLIK. Wszystko wykonane, tylko drobne poprawki: 1. Otwórz Notatnik i wklej w nim: S3 taphss6; C:\Windows\System32\DRIVERS\taphss6.sys [42184 2013-11-13] (Anchorfree Inc.) C:\Windows\System32\DRIVERS\taphss6.sys C:\Users\Jarek\Downloads\avast-Free-Antivirus(13266).exe C:\ProgramData\AVG2014 C:\ProgramData\MFAData Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom menedżer urządzeń i sprawdź czy przypadkiem nie figuruje tam zdefektowane urządzenie o nazwie Anchorfree HSS Adapter. Jeśli takowe będzie, odinstaluj i zresetuj system. .