picasso

Kilka rzeczy organizacyjnych: - Nie pokazuj mi obrazka z błędem DaemonProcess.exe z systemu XP (usuwam). Ja wiem jak błąd wygląda, co go generuje i jak go naprawić. - Proszę trzymaj się konfiguracji FRST opisanej w przyklejonym temacie. Nie zaznaczaj opcji Drivers MD5 i List BCD. - Nowy log OTL też zbędny (był źle skonfigurowany i go usuwam), miałeś uzupełnić tylko brakujący plik Extras. 1. Zacznę od czegoś innego niż zgłaszane, w Dzienniku zdarzeń jest dręczony błąd uszkodzenia rejestru klas użytkownika: Application errors: ================== Error: (01/10/2014 04:57:17 PM) (Source: Microsoft-Windows-User Profiles Service) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować pliku rejestru klas. SZCZEGÓŁY — Baza danych rejestru konfiguracji jest uszkodzona. Error: (01/10/2014 04:57:17 PM) (Source: Microsoft-Windows-User Profiles Service) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować rejestru. Częstą przyczyną tego problemu jest za mała ilość pamięci lub brak wystarczających praw zabezpieczeń. SZCZEGÓŁY - Baza danych rejestru konfiguracji jest uszkodzona. for C:\Users\adam\AppData\Local\Microsoft\Windows\\UsrClass.dat Załóż nowe konto użytkownika Windows i się na nie zaloguj. Stare uszkodzone konto adam będzie do usunięcia. Po przeprowadzeniu tego zabierz się za wyczyszczenie adware, podaję instrukcje z ominięciem wpisów konta adam, bo konto nie ma już być czynne w tym momencie: 2. Otwórz Notatnik i wklej w nim: AppInit_DLLs: [ ] () AppInit_DLLs-x32: [ ] () IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\browsemngr.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browsermngr.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\bundlesweetimsetup.exe: [Debugger] tasklist.exe IFEO\cltmngsvc.exe: [Debugger] tasklist.exe IFEO\delta babylon.exe: [Debugger] tasklist.exe IFEO\delta tb.exe: [Debugger] tasklist.exe IFEO\delta2.exe: [Debugger] tasklist.exe IFEO\deltainstaller.exe: [Debugger] tasklist.exe IFEO\deltasetup.exe: [Debugger] tasklist.exe IFEO\deltatb.exe: [Debugger] tasklist.exe IFEO\deltatb_2501-c733154b.exe: [Debugger] tasklist.exe IFEO\iminentsetup.exe: [Debugger] tasklist.exe IFEO\rjatydimofu.exe: [Debugger] tasklist.exe IFEO\sweetimsetup.exe: [Debugger] tasklist.exe IFEO\tbdelta.exetoolbar783881609.exe: [Debugger] tasklist.exe SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=429&systemid=406&v=n9602-141&apn_uid=9550206250934495&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snapdo.com/?publisher=TightropeYB&dpid=TightropeYB&co=GB&userid=db778518-0be0-bbdf-c713-33cfa763e6fb&searchtype=ds&q={searchTerms}&installDate=10/11/2013 SearchScopes: HKLM-x32 - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snapdo.com/?publisher=TightropeYB&dpid=TightropeYB&co=GB&userid=db778518-0be0-bbdf-c713-33cfa763e6fb&searchtype=ds&q={searchTerms}&installDate=10/11/2013 Toolbar: HKLM - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} - No File Toolbar: HKLM-x32 - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} - No File C:\Program Files (x86)\Mobogenie C:\Program Files (x86)\mozilla firefox Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Przez Panel sterowania odinstaluj iLivid, Updater Service, VideoPerformer. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

To wiem już z raportu, ale mówię, że się nie zgadzają obliczenia. Wg odczytu MBR te dwa dyski fizyczne mają po dwie partycje (czyli w sumie 4 a nie 5), nie wiadomo gdzie ta piąta, zwłaszcza że wg MBR jedna z partycji ma rozmiar jak suma dwóch. Nie wiem jak mam traktować tę niezgodność, czy jest jakiś błąd w poborze danych, czy problematyka "obsługi dużych dysków", czy błąd w partycjach, czy problemy z dyskiem. I ja sądzę, że tu trzeba zacząć od tej strony: Załóż nowy temat w dziale Hardware realizując zasady tego działu: KLIK. Zlinkuj tam do tego tematu, by wiedziano jaka geneza tematu. .

Wyniki MBAM: Ten "patch mezzmo.exe" jest dla mnie niejasny. Reszta do unięcia (adware / trojan / niepewny crack). Na koniec odinstaluj starą Java 7 Update 40 (64-bit). Wyposaż się też w oprogramowanie zabezpieczające, gdyż KIS tu był awaryjnie usuwany. .

W związku z tym ręcznie to usuniemy z listy. Rozumiem, że nie doszłaś jeszcze do punktu numer 2 w poprzedniej instrukcji. W tym punkcie zamiast podanego tam skryptu zastosuj ten: Task: {077BAF54-1453-4BBE-9BF2-F788485FE1F5} - \VuuPCUpdateLogin No Task File Task: {17CFEACB-52B3-42C3-8300-7CAC6A3D4C15} - \FoxTab No Task File Task: {39757C85-6E23-4C4D-8153-C3BC7BAFFCA1} - \RegClean Pro_DEFAULT No Task File Task: {C5A45621-A6AC-4EC0-ABFA-41B0C25A6C40} - \RegClean Pro_UPDATES No Task File Task: {E0BAC0BB-0A83-413B-8F1B-B27ECDAEEFB9} - \RegClean Pro No Task File Task: {F18E8E4F-B047-41C3-BCB5-854F29930FEC} - \VuuPCUpdate No Task File CHR HKLM-x32\...\Chrome\Extension: [gdnafjfahbdfphihncgadbegiaebehio] - C:\Program Files (x86)\SquirrelWeb\gdnafjfahbdfphihncgadbegiaebehio.crx C:\Program Files (x86)\SquirrelWeb C:\Program Files (x86)\WebexpEnhancedV1 C:\Users\Monika\.android C:\Users\Monika\daemonprocess.txt C:\Users\Monika\AppData\Local\cache C:\Users\Monika\AppData\Local\genienext C:\Users\Monika\AppData\Roaming\0C1I1L1R1J0M1P0I1G C:\Users\Monika\AppData\Roaming\newnext.me C:\Users\Monika\Desktop\Continue AnyProtect Installation.lnk C:\Users\Monika\Desktop\My VuuPC.lnk C:\Users\Monika\Downloads\Setup.exe Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\VuuPC Packages" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\foxtab /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Webexp Enhanced" /f .

AdwCleaner w ogóle nie związany z tematem, nie służy do usuwania takich infekcji. Uruchomiony niepotrzebnie i wg podanego raportu nic nie znalazł. Te ścieżki, które tam widać, to jest informacja który plik konfiguracyjny przeglądarki był otwierany do skanu... Ta informacja zawsze występuje, nawet na kompletnie czystym systemie, o ile są zainstalowane inne przeglądarki niż systemowy IE. W raportach nie ma żadnych oznak infekcji, wnioskuję więc, że była to blokada niepermanentna. Wykonaj za to inne działania: 1. Odinstaluj KMP Service, czyli PANDORA.TV, to zbędny dodatek szmuglowany w KMPlayer. 2. Jeśli wyszukiwarka IDG ustawiona jako domyślna w Internet Explorer nie jest celowym ustawieniem: Opcje internetowe > Programy > Zarządzaj dodatkami > Dowstawcy wyszukiwania > przestaw domyślną wyszukiwarkę na coś innego, po tym skasuj z listy IDG. 3. Uruchom TFC - Temp Cleaner. 4. Usuń narzędzia: przez SHIFT+DEL skasuj FRST i folder C:\FRST, w AdwCleaner użyć opcję Odinstaluj. 5. Wyczyść foldery Przywracania systemu: KLIK. To tyle. .

1. Przez Panel sterowania odinstaluj: Foxtab, SquirrelWeb, VuuPC Packages, Webexp Enhanced. Wpisy są raczej naruszone. Jeśli będzie jakikolwiek problem z ich deinstalacją, wykorzystaj to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wadliwe wpisy > Dalej. 2. Otwórz Notatnik i wklej w nim: Task: {077BAF54-1453-4BBE-9BF2-F788485FE1F5} - \VuuPCUpdateLogin No Task File Task: {17CFEACB-52B3-42C3-8300-7CAC6A3D4C15} - \FoxTab No Task File Task: {39757C85-6E23-4C4D-8153-C3BC7BAFFCA1} - \RegClean Pro_DEFAULT No Task File Task: {C5A45621-A6AC-4EC0-ABFA-41B0C25A6C40} - \RegClean Pro_UPDATES No Task File Task: {E0BAC0BB-0A83-413B-8F1B-B27ECDAEEFB9} - \RegClean Pro No Task File Task: {F18E8E4F-B047-41C3-BCB5-854F29930FEC} - \VuuPCUpdate No Task File CHR HKLM-x32\...\Chrome\Extension: [gdnafjfahbdfphihncgadbegiaebehio] - C:\Program Files (x86)\SquirrelWeb\gdnafjfahbdfphihncgadbegiaebehio.crx C:\Program Files (x86)\SquirrelWeb C:\Program Files (x86)\WebexpEnhancedV1 C:\Users\Monika\.android C:\Users\Monika\daemonprocess.txt C:\Users\Monika\AppData\Local\cache C:\Users\Monika\AppData\Local\genienext C:\Users\Monika\AppData\Roaming\0C1I1L1R1J0M1P0I1G C:\Users\Monika\AppData\Roaming\newnext.me C:\Users\Monika\Desktop\Continue AnyProtect Installation.lnk C:\Users\Monika\Desktop\My VuuPC.lnk C:\Users\Monika\Downloads\Setup.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Powtórz resety obu przeglądarek, Firefox i Google Chrome. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST, zaznacz po raz kolejny pole Addition. Dołącz plik fixlog.txt. Wypowiedz się czy nadal są problemy. .

Monika, nie wiem co pobierałaś, ale po przeprowadzeniu czyszczenia ... system został ponownie zanieczyszczony z jakiegoś pliku setup! Pojawiły się kolejne śmieci typu SquirrelWeb... Zanim przejdziesz dalej proszę przeczytaj ten materiał, by w trakcie kolejnych działań nie doszło do reinfekcji: KLIK. I w tej sytuacji potrzebuję powtórnie zrobiony plik FRST Addition. Uruchom program, zaznacz to pole, dostarcz wynikowy log. .

Na czym to polega, jaki konkretnie błąd się pokazuje? Baidu wygląda jakby nie został odinstalowany, pozostawił w systemie czynne komponenty (sterowniki). Zajmę się nim, ale sprecyzuj w/w wątek. Na dysku były pliki gatunku "trial reset"... .

Klucza tam nie ma domyślnie i jest to poprawne. Ten klucz nie ma związku z tematem, jest relatywny do mechanizmu odświeżania polityk archaicznych systemów: KB168231. Przeprowadziłeś wadliwą modyfikację, skasuj sztucznie dodany klucz "Update". Na początek zainteresuj się silną wtórną ingerencją w systemie, czyli COMODO. Jest prawdopodobne, że program może mieć związek. Podobna historia tu już była, tylko tyczyła innego obszaru, tzn. blokowania przez COMODO wyświetlania miniatur w folderach: KLIK. PS. I usuń szczątkowe wpisy (głównie po adware i Ad-aware), ale nie ma to żadnego związku z problemem. W spoilerze instrukcje. .

Wyniki MBAM to nie powiązane z wątkiem przewodnim drobnostki, czyli adware (instalator iLivid i platforma OpenCandy zintegrowana w PrimoPDF). Wyniki do usunięcia. Przez SHIFT+DEL skasuj cały folder C:\Program Files (x86)\Nitro PDF\PrimoPDF\OpenCandy. I zaktualizuj ten program: ==================== Installed Programs ====================== Adobe Reader X (10.1.8) (x32 Version: 10.1.8 - Adobe Systems Incorporated) To tyle z mojej strony. .

Proszę podawaj zgodnie z wytycznymi w zasadach linki szkodników / reklam w formie nieklikalnej. Zedytowałam. W systemie jest zainstalowane adware, dwa obiekty w pełni sprawne, a trzeci z kompletu (Mobogenie) w szczątkach. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: Task: {B6609A44-1449-4E53-AA48-4D43F14A5491} - System32\Tasks\AmiUpdXp => C:\Users\Monika\AppData\Local\SwvUpdater\Updater.exe [2013-12-11] (Amonetizé Ltd) Task: C:\windows\Tasks\AmiUpdXp.job => C:\Users\Monika\AppData\Local\SwvUpdater\Updater.exe HKLM-x32\...\Run: [NWEReboot] - [x] HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKCU\...\Run: [iSUSPM] - "C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe" -scheduler HKCU\...\Run: [NextLive] - C:\windows\SysWOW64\rundll32.exe "C:\Users\Monika\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://idg.pl/start HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=147 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=147 SearchScopes: HKCU - DefaultScope {969AF36E-0CE4-4F3C-8AA3-EE72556C182A} URL = http://www.idg.pl?q={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=2E6E8A039ACB1212&affID=119357&tt=160713_91114&tsp=4945 SearchScopes: HKCU - {969AF36E-0CE4-4F3C-8AA3-EE72556C182A} URL = http://www.idg.pl?q={searchTerms} Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File BHO-x32: Webexp Enhanced - {f7444c6b-3578-46e1-abbd-d03999042fe6} - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha6238\ie\WebexpEnhancedV1alpha6238.dll () FF HKLM-x32\...\Firefox\Extensions: [ext@WebexpEnhancedV1alpha6238.net] - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha6238\ff CHR HKLM-x32\...\Chrome\Extension: [boabmhagdlngcpliiindolpjoljjggla] - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha6238\ch\WebexpEnhancedV1alpha6238.crx C:\Program Files (x86)\Mobogenie C:\Users\Monika\.android C:\Users\Monika\daemonprocess.txt C:\Users\Monika\AppData\Local\cache C:\Users\Monika\AppData\Local\genienext C:\Users\Monika\AppData\Local\Mobogenie C:\Users\Monika\AppData\Roaming\eCyber C:\Users\Monika\AppData\Roaming\iSafe C:\Users\Monika\AppData\Roaming\newnext.me C:\Users\Monika\Documents\Mobogenie Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware Software Version Updater, Webexp Enhanced. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Webexp Enhanced (o ile nie zniknie po w/w deinstalacji). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki Ustawienia > karta Historia > wyczyść Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log utworzony przez AdwCleaner. .

Nie podawaj logów zbędnych (FSS, usuwam), ani danych o które nie jesteś proszony (zaznaczone zbędne opcje w FRST). Tanzuki to mogła być przyczyna wcześniej. Ale aktualnie są notowane nowe niepożądane zmiany. W międzyczasie nabyłeś więcej, widać nowy szkodliwy element "GS-Supporter 1.80". Czyszczenie w spoilerze. Poza tym, ominąłeś że użyty został AdwCleaner, przedstaw raporty utworzone w C:\AdwCleaner. Dziennik zdarzeń notuje, że awarii ulega krytyczna usługa związana z aktualizacjami: ==================== Event log errors: ========================= Application errors: ================== Error: (12/16/2013 09:59:41 AM) (Source: Application Error) (User: ) Description: Nazwa aplikacji powodującej błąd: TrustedInstaller.exe, wersja: 6.1.7601.17514, sygnatura czasowa: 0x4ce7989b Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.18247, sygnatura czasowa: 0x521eaf24 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x000000000003076a Identyfikator procesu powodującego błąd: 0x390 Godzina uruchomienia aplikacji powodującej błąd: 0xTrustedInstaller.exe0 Ścieżka aplikacji powodującej błąd: TrustedInstaller.exe1 Ścieżka modułu powodującego błąd: TrustedInstaller.exe2 Identyfikator raportu: TrustedInstaller.exe3 System errors: ============= Error: (12/16/2013 09:59:42 AM) (Source: Service Control Manager) (User: ) Description: Usługa Instalator modułów systemu Windows niespodziewanie zakończyła pracę. Wystąpiło to razy: 39. Na razie powód dla tego jest dla mnie niejasny. Dostarczyłeś mi też nie do końca poprawne / pełne dane. Ta paczka ZIP tak strasznie wielka (ponad 130MB), bo zapakowałeś omyłkowo cały Pulpit z plikami osobistymi! Rzecz jasna to zmieniłam i zuploadowałam ponownie (paczka docelowa ma tylko 4MB). W paczce brakuje raportu generowanego tym procesem: Tak więc: kiedy to narzędzie było uruchomione, przed skopiowaniem folderu CBS czy po? Pracę tego narzędzia należy ocenić, zbadać log, a tu nie ma żadnych śladów uruchomienia. Opisz co robiłeś, dokładnie, które instrukcje były wdrażane. Poza tym, skoro robiłeś manipulacje, to poprzednie dane zostały anulowane, to czego tu właśnie brakuje to nowej kopii całego katalogu CBS. Powtórz to, by wygenerować nowe dane: .

OK. Zakończ sprawy: 1. Przez SHIFT+DEL skasuj logi, używane narzędzia i te foldery: C:\FRST C:\Users\acer\Desktop\FRST-OlderVersion C:\Windows\ERDNT C:\ProgramData\Spybot - Search & Destroy 2. Odinstaluj stare wersje Adobe i Java. I do czytania o Java: KLIK. 3. Wyczyść foldery Przywracania systemu: KLIK. Temat rozwiązany. Zamykam. .

Rzeczy podrzędne nie związane z problemem chowam do spoilerów. onufree Widać, że: 1. Występuje dysfunkcja WMI. Tu są ślady infekcji policyjnej runctf.lnk -> wgsdgsdgdsgsd.dll, czyli jest możliwe, że niepoprawnie to usuwano i zniszczono usługę Winmgmt. 2. W raporcie Net-log, a także świeżo egzekwowanym poleceniu resetu Winsock pojawiła się adnotacja o braku którejś usługi: ========= netsh winsock reset ========= OSTRZEŻENIE: Nie można uzyskać informacji o hoście z komputera: [TADEK]. Niektóre polecenia mogą być niedostępne. Określona usługa nie istnieje jako usługa zainstalowana. Pierwszy raport OTL Extras pokazywał także i to: Error - 14-01-06 09:07:49 | Computer Name = TADEK | Source = RemoteAccess | ID = 20103 Description = Nie można załadować C:\WINDOWS\System32\iprtrmgr.dll. Proszę o pełny spis usług Windows. Uruchom FRST, przy polu Services odfajkuj pole Whitelist i dostarcz wynikowy raport. muzyk75 ShortcutTarget: runctf.lnk -> C:\DOCUME~1\ADMIN~1.TAD\wgsdgsdgdsgsd.dll (No File) ShortcutTarget: OpenOffice.org 3.0.lnk -> C:\Program Files\OpenOffice.org 3\program\quickstart.exe (No File) ShortcutTarget: OpenOfficeT7 2.3.1.lnk -> C:\Program Files\OpenOfficeT7 2.3.1\program\quickstart.exe (No File) Nie ma sensu załączenie tego. Czytaj ze zrozumieniem informację: ShortcutTarget (plik docelowy skrótu) = No File (brak), to chcesz przetwarzać coś co nie istnieje? Zupełnie na opak działanie, usuwasz nieistniejące pliki, omijasz te które istnieją, czyli skróty per se: Startup: C:\Documents and Settings\Admin.TADEK\Menu Start\Programy\Autostart\runctf.lnk .

Wszystko wykonane, czynności końcowe: 1. Był uruchamiany GMER. Na wszelki wypadek zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Porządki po narzędziach: przez SHIFT+DEL skasuj FRST i folder C:\FRST, odinstaluj USBFix, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj Internet Explorer, pakiet Office i Foxit Reader: KLIK. Wersje widziane jako zainstalowane: Internet Explorer Version 6 ==================== Installed Programs ====================== Foxit Reader 5.1 (Version: 5.1.4.104 - Foxit Corporation) Microsoft Office Enterprise 2007 (Version: 12.0.4518.1014 - Microsoft Corporation) .

Skryptów nie powtarza się, są jednorazowego użytku, nie zostaną ponownie przetworzone te same rzeczy. Na przyszłość: w takich przypadkach przerywasz działanie i zgłaszasz się na forum z nowymi logami (mówią o tym nawet zasady działu). Ostatni skrypt pomyślnie wykonany. Podałam już końcowe kroki. Temat rozwiązany, zamykam. .

Widzę instalację HijackThis. Na systemie 64-bit i to jeszcze Windows 8 program niezdatny. Jest przestarzały, 32-bitowy, niezgodny z platformami x64 i pokazuje głupoty, których "naprawienie" może uszkodzić system. Przedstaw dokładnie ścieżkę dostępu skąd infekcja była usuwana. W raportach nie ma żadnych oznak czynnej infekcji. Są jedyne drobne odpadki adware a2zLyrics-16 w Harmonogramie zadań i jakieś szczątki w Google Chrome. Na razie to zostawiam, bo to nie ma znaczenia dla tego co się dzieje i usuwanie nie ma sensu w stanie obecnym. Tu są inne zastanawiające punkty, które wskazują na poważniejsze usterki: 1. Wg raportu OTL zmienna środowiskowa wykazuje, iż system działa z katalogu C:\Windows: %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files (x86) Ale w raportach są znaki, że się uruchamiają procesy z katalogu odpadkowego C:\Windows.old (czy robiłeś jakąś reinstalację?): HKCU\...\Run: [spotify Web Helper] - C:\Windows.old\Users\makil_000\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe [1168896 2013-12-05] (Spotify Ltd) HKCU\...\Run: [spotify] - C:\Windows.old\Users\makil_000\AppData\Roaming\Spotify\spotify.exe [5951488 2013-12-05] (Spotify Ltd) ==================== Loaded Modules (whitelisted) ============= 2013-09-01 21:44 - 2013-12-05 20:25 - 36967424 _____ () C:\Windows.old\Users\makil_000\AppData\Roaming\Spotify\Data\libcef.dll 2013-09-26 10:13 - 2013-12-05 20:25 - 00887808 _____ () C:\Windows.old\Users\makil_000\AppData\Roaming\Spotify\Data\libglesv2.dll 2013-09-26 10:13 - 2013-12-05 20:25 - 00109568 _____ () C:\Windows.old\Users\makil_000\AppData\Roaming\Spotify\Data\libegl.dll 2. Były problemy ze strukturą systemu plików, gdyż są na dysku odpadki po pracy checkdisk: 2014-01-05 18:30 - 2014-01-05 18:30 - 00000000 __SHD C:\found.002 2014-01-05 11:12 - 2014-01-05 11:12 - 00000000 __SHD C:\found.001 2014-01-05 11:12 - 2014-01-05 11:12 - 00000000 __SHD C:\found.000 3. Nie mogę się doliczyć partycji: ==================== Drives ================================ Drive c: () (Fixed) (Total:48.83 GB) (Free:3.98 GB) NTFS Drive d: () (Fixed) (Total:35.46 GB) (Free:7.99 GB) NTFS ==>[system with boot components (obtained from reading drive)] Drive e: () (Fixed) (Total:195.31 GB) (Free:34.08 GB) NTFS Drive f: () (Fixed) (Total:221.62 GB) (Free:28.58 GB) NTFS Drive g: () (Fixed) (Total:39.06 GB) (Free:12.19 GB) NTFS ==================== MBR & Partition Table ================== ======================================================== Disk: 0 (MBR Code: Windows 7 or 8) (Size: 466 GB) (Disk ID: 3C8D3C8C) Partition 1: (Active) - (Size=49 GB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=417 GB) - (Type=OF Extended) ======================================================== Disk: 1 (MBR Code: Windows 7 or 8) (Size: 75 GB) (Disk ID: 34033402) Partition 1: (Active) - (Size=35 GB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=39 GB) - (Type=OF Extended) Jakoby 5, ale wyciąg z MBR pokazuje 4. Ta jedna wielka partycja 417 GB ma rozmiar jak te dwie 195.31 GB + 221.62 GB. 4. W Dzienniku zdarzeń jest taki oto błąd oznajmiający wyłączoną usługę Windows: System errors: ============= Error: (01/09/2014 09:40:20 PM) (Source: Service Control Manager) (User: ) Description: Nie można uruchomić usługi Klient zasad grupy z powodu następującego błędu: %%1053 Error: (01/09/2014 09:40:20 PM) (Source: Service Control Manager) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji z usługi gpsvc. 5. Kolejny błąd wskazujący z kolei na uprawnienia (KLIK): Application errors: ================== Error: (01/09/2014 07:52:24 PM) (Source: Microsoft-Windows-CAPI2) (User: ) Description: Przetwarzanie wywołania OnIdentity() w obiekcie System Writer przez Usługi kryptograficzne nie powiodło się. Details: AddLegacyDriverFiles: Unable to back up image of binary Protokół LLDP (Link-Layer Discovery Protocol) firmy Microsoft. System Error: Odmowa dostępu. Są i inne błędy w Dzieniku, które sugerują uprawnienia. I jeszcze budzą mi się podejrzenia na temat odczytu w GMER (określone usługi Windows stoją jako zablokowane, tak jakby nie było uprawnień). Jeśli tu faktycznie był Conficker, a sam mówisz, że określone funkcje nagle zostały wyłączone, to mogą być potężne szkody w uprawnieniach, tzn. zresetowana cała gałąź SYSTEM i usunięte specjalne konta dostępowe. Korekta tej usterki to karkołomne zadanie, robiłam to kilka razy (odtwarzanie wszystkich uprawnień via SetACL), ale jak mówię to straszna pracochłonna sprawa i lepiej zacząć od metod odkręcania wbudowanych w system, o ile dostępne. O ile tu nie ma problemu z dyskiem, na razie mi się nasuwa, by cofnąć system do tyłu, zaczynając od Przywracania systemu, ale tu jest tylko jeden punkt Przywracania zrobiony wczoraj: ==================== Restore Points ========================= 09-01-2014 18:52:01 Removed Apple Mobile Device Support Czy ta data to już gdy wystąpiły usterki czy przed? Jeśli niestety pochodzi z nieodpowiedniego czasu, są dostępne inne metody przywracania specyficzne dla platformy Windows 8: Odśwież komputer (zachowuje ustawienia, ale degraduje wszystkie aplikacje desktopowe) oraz Resetuj ustawienia (kompletna reinstalacja). .

Wszystko zrobione, toteż kończymy: 1. Odinstaluj w prawidłowy sposób ComboFix. Poprzednio uruchomiony z Pulpitu, pliku już tam nie widzę. Pobierz ponownie (KLIK) i zapisz na Pulpicie. Start > Uruchom > wklej komendę: "C:\Documents and Settings\User\Pulpit\ComboFix.exe" /uninstall 2. Następnie przez SHIFT+DEL skasuj FRST i foldery: C:\Documents and Settings\User\Pulpit\Upload C:\FRST C:\WINDOWS\ERDNT W AdwCleaner opcja Odinstaluj, w OTL uruchom Sprzątanie. 3. Produktami Adobe już się zajmowałam, usuń jeszcze Theorica Divx ;-) Codecs (jakoś ominęłam ten wpis), a do aktualizacji reszta poniżej zakreślona: KLIK. Internet Explorer Version 7 ==================== Installed Programs ====================== Microsoft Silverlight (Version: 5.1.10411.0 - Microsoft Corporation) OpenOffice.org 3.2 (Version: 3.2.9483 - OpenOffice.org) 4. Uruchom TFC - Temp Cleaner. 5. Mini Monitoring: pozmieniaj wszędzie hasła, bo nie wiadomo ile danych zostało już przechwyconych. No cóż, w tym przypadku zostaje blokada gatunku hasłowanie (BIOS, konta). Z tym, że to także można obejść, są bootowalne narzędzia które potrafią resetować hasła... Można także pokusić się o szyfrowanie TrueCrypt z autentyfikacją preboot: KLIK. .

Wyraźnie powiedziane, że "obok FRST", który jest uruchamiany, a nie w folderze C:\FRST. I skoro powstał plik fixlog.txt, to go przedstaw. SHIFT+DEL usuwa bez przechodzenia przez Kosz, w przeciwieństwie do zwykłego DEL. Podaję zawsze z SHIFTEM, bo nie widzę sensu "przemieszczać" po dysku tego samego, co ma być usunięte. .

Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze tematy (wydzielone), a zastaw obowiązkowych raportów nie dostarczony. Niepełny OTL (brak Extras), ba, wstawiłeś cudze raporty z FRST (!), które usunęłam. Proszę wykonaj logi z FRST i podaj. Ponadto: Objaśnij szczegółowo jak to się objawia dla Desktopu oraz Modern UI, co widzisz, czy jest jakiś konkretny błąd? Nie, to nie jest poprawna metoda rozwiązania tego problemu. Ten błąd tworzy zdefektowana instalacja programu Mobogenie (notabene: zła reputacja, instalacje wymuszane metodami adware) i to czego właśnie nie należy robić, to uzupełniać pliku. Należy ten poszkodowany program po prostu kompletnie usunąć. Dostarczysz wymagane raporty, przejdę do dzieła. .

Wszystko pomyślnie wykonane. Norton się ujawnił, gdyż został ściągnięty Debugger go blokujący. Ustąpiły także podejrzane odczyty notowane uprzednio przez GMER. 1. Pozbądź się w całości Avira System Speedup. Jest to z torrent, nie wiadomo co tam jeszcze jest "zmodyfikowane". To bardzo ryzykowny biznes pobierać programy tuningujące i zabezpieczające (sic!) z takich miejsc, mogą mieć zaszyte backdoory. Podobne zastrzeżenia mam do niejakiego "Norton Trial Reset". I darmowe programy wcale nie są gorsze. 2. Usuń używane narzędzia. Przez SHIFT+DEL skasuj GMER, FRST oraz te pozycje: C:\AdwCleaner C:\FRST C:\TDSSKiller_Quarantine C:\ProgramData\Doctor Web C:\Users\Damian\Doctor Web C:\Users\Damian\Downloads\Kaspersky-Rescue-Disk(12771).exe * W OTL uruchom Sprzątanie. I mam pytanie: czy Baidu Security jest już odinstalowany? Nie widzę takiego wejścia na liście zainstalowanych, a z drugiej strony stanowczo zbyt dużo elementów w systemie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. System był już skanowany rozmaitymi narzędziami, jednakże odbywało się to w czasie, gdy infekcja była aktywna, toteż skanery były blokowane. Widzę, że masz zainstalowany m.in. Malwarebytes Anti-Malware. Na wszelki wypadek zrób jeszcze w nim pełny skan. W razie wykrycia czegoś przedstaw raport. W przeciwnym wypadku jest on zbędny. * Kaspersky-Rescue-Disk(12771).exe to nie jest poprawny oryginalny plik, tylko "Asystent pobierania", którego cel to zabrudzić system. Do wglądu materiał: KLIK. .

Nie przedstawiłeś pliku fixlog.txt, który powstał podczas przetwarzania skryptu. Dołącz. Jaki błąd? W związku z tym należy wypiąć te wpisy ręcznie ze struktury Instalatora Windows. Najszybciej pójdzie mi diagnostyka na kompletnej kopii rejestru. Podczas pierwszego uruchomienia zrzucił ją FRST. Spakuj do ZIP plik C:\FRST\Hives\SOFTWARE, shostuj gdzieś i prześlij mi na PW link do paczki. Nie obiecuję szybkiego wdrożenia tego, jest to bardziej czasochłonne. .

Czy wyczyściłeś pliki tymczasowe? Zastosuj także odświeżenie strony poprzez kombinację CTRL+F5 (omija cache). W ramach zakończenia: 1. Przez SHIFT+DEL skasuj OTL i FRST oraz folder C:\FRST. W AdwCleaner zastosuj opcję Odinstaluj. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Adobe Reader X (10.1.8) MUI. PS. Konta forumowe połączę wolnej chwili, gdy się zaloguję do panelu ACP. .

matterz, proszę się dostosować do zasad działu: KLIK. Nie podałeś żadnych obowiązujących tu raportów. Proszę dostarczyć logi z FRST, OTL i GMER. A skoro był używany AdwCleaner, to także i raporty przez niego utworzone (są w katalogu C:\AdwCleaner). .

To był bug w FRST (już naprawiony). Pliki zostały przesunięte do kwarantanny C:\FRST\Quarantine. Nie ma co wyciągać stamtąd plików, bo z tego co rozumiem miałeś tam tylko używane tu w diagnostyce materiały, a my właśnie kończymy, i tak byśmy to usuwali. Wg najnowszego raportu FRST wszystko pomyślnie usunięte, sam to zresztą potwierdzasz wspominając ustąpienie błędu. Finalizujemy sprawy: 1. Przez SHIFT+DEL skasuj FRST i folder C:\FRST. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Dla pewności zrób jeszcze pełne skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. Jeśli nic, raport oczywiście zbędny. .