picasso

Oglądasz niepełną listę procesów, nie widzisz połowy. Zaznacz opcję "Pokaż procesy wszystkich użytkowników" - to podnosi uprawnienia i pozwala ujrzeć rzeczy, do których jako użytkownik "Sebastian" nie masz dostępu. I dopiero po tym wyszukaj te procesy zajmujące pasujące KB pamięci (o ile to się nie zmieni). Przedstaw zrzut ekranu z tego.

Ryjcio, ale prosiłam byś mi pokazał na zrzucie ekranu to: Czyli owe "trzy procesy", które widzisz.

Założyłeś temat w dziale diagnostyki infekcji, a objawy tytułowe = kluje się problem sprzętowy. Temat przenoszę do Hardware, a Ty wdróż zasady działu: KLIK. PS. W systemie są różne adware, ale to nie ma zupełnie związku. I wygląda na to, że niektóre świńskie rzeczy to świeżutki nabytek przy próbie diagnozowania problemu: z instalacją Driver Fusion dorobiłeś się conajmniej przychówku w postaci "Mobogenie" (program szmuglowany metodami adware). Doczyść oczywiście. W spoilerze instrukcje: .

Istotnie, Mobogenie szczerzy zęby odpadkami, ale to nie jest jedyny problem, tu jest większa ilość adware (PirritUpdater i inne odpadki) oraz działa w tle aktywna infekcja (proces nhrij.exe). Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: () C:\Program Files\Mobogenie\DaemonProcess.exe () C:\Documents and Settings\asd\nhrij.exe HKLM\...\Run: [mobilegeni daemon] - C:\Program Files\Mobogenie\DaemonProcess.exe [761536 2014-01-02] () HKCU\...\Run: [nhrij] - C:\Documents and Settings\asd\nhrij.exe [49152 2013-11-06] () HKCU\...\Run: [NextLive] - C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\asd\Dane aplikacji\newnext.me\nengine.dll",EntryPoint -m l HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=510EF81A671828A6&affID=119357&tt=110913_221&tsp=5002 HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=510EF81A671828A6&affID=119357&tt=110913_221&tsp=5002 SearchScopes: HKCU - DefaultScope {6A1806CD-94D4-4689 URL = SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=510EF81A671828A6&affID=119357&tt=110913_221&tsp=5002 SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear R2 PirritUpdater; C:\Program Files\Pirrit\AutoUpdater.exe [55296 2013-11-28] () S2 SystemTimer; S1 cjcqjpiu; \??\C:\WINDOWS\system32\drivers\cjcqjpiu.sys [x] S3 GMSIPCI; \??\F:\INSTALL\GMSIPCI.SYS [x] S3 NTACCESS; \??\F:\NTACCESS.sys [x] S3 PCAMPR5; \??\C:\WINDOWS\system32\PCAMPR5.SYS [x] S3 SetupNTGLM7X; \??\F:\NTGLM7X.sys [x] S3 taphss; system32\DRIVERS\taphss.sys [x] C:\Documents and Settings\asd\nhrij.exe C:\Documents and Settings\asd\syslinux.exe C:\Documents and Settings\asd\.android C:\Documents and Settings\asd\daemonprocess.txt C:\Documents and Settings\asd\Dane aplikacji\newnext.me C:\Documents and Settings\asd\Dane aplikacji\Pirrit C:\Documents and Settings\asd\Dane aplikacji\Systweak C:\Documents and Settings\asd\Moje dokumenty\Mobogenie C:\Documents and Settings\asd\Ustawienia lokalne\Dane aplikacji\cache C:\Documents and Settings\asd\Ustawienia lokalne\Dane aplikacji\genienext C:\Documents and Settings\asd\Ustawienia lokalne\Dane aplikacji\Mobogenie C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\{D1D4879F-2279-49C9-AEBF-3B95C84EAA8F} C:\Documents and Settings\All Users\Dane aplikacji\Tarma Installer C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Program Files\Mobogenie C:\Program Files\Pirrit CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f" Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Uruchom TFC - Temp Cleaner. 4. Uruchom Menedżer urządzeń i sprawdź czy zniknął wadliwy odpadek Anchorfree HSS Adapter (usuwałam szczątek sterownika skryptem FRST). 5. Zrób nowy skan FRST (bez Addition) oraz ponów próbę z GMER (wypróbuj Tryb awaryjny). Dołącz plik fixlog.txt i log z AdwCleaner. .

Żadnych wybitnych zmian odpowiadających efektowi. Ja jednak sądzę, że te wpisy usług Microsoftu, które zakreślałam, mogą mieć jakieś znaczenie: ========================== Services (Whitelisted) ================= R2 DcomLaunch; C:\Windows\system32\svchost.exe [21504 2008-01-19] (Microsoft Corporation) R2 RpcSs; C:\Windows\system32\svchost.exe [21504 2008-01-19] (Microsoft Corporation) R2 TrkWks; C:\Windows\System32\svchost.exe [21504 2008-01-19] (Microsoft Corporation) One widnieją w GMER jako zablokowane, tak jakby nie było doń uprawnień. Kiedyś rozwiązywałam sprawę czarnego ekranu przy starcie systemu z powodu rozwalenia uprawnień usługi RpcSs. Być może zmiana wystąpiła między restartami systemu, co spowodowało, że dopiero przy kolejnym restarcie ujrzałeś czarny ekran. Poproszę o pełną kopię rejestru SYSTEM do wglądu. Zakładam, że nadal jest dostępny pendrive pod literą F, gdyż nań będę kopiować plik. Otwórz Notatnik i wklej w nim: CMD: copy /y C:\Windows\system32\config\SYSTEM F:\ Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Na F powstanie plik fixlog.txt oraz plik SYSTEM. Spakuj wszystko do ZIP, na hosting i podaj link do paczki. .

Temat chyba przeniosę do działu Windows. Nie ma tu oznak czynnej infekcji. Ale jest podejrzana sprawa, nienormalny stan, multum plików sterowników ma replikę w postaci plików *.bak: 2013-12-20 00:50 - 2013-12-20 00:50 - 08939296 _____ (NVIDIA Corporation) C:\Windows\system32\Drivers\nvlddmkm.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 03240400 _____ (Realtek Semiconductor Corp.) C:\Windows\system32\Drivers\RTKVHDA.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 01383488 _____ (QLogic Corporation) C:\Windows\system32\Drivers\ql2300.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 01294272 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tcpip.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 01211752 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\ntfs.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00712048 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\ndis.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00586752 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\PEAuth.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00527064 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\Wdf01000.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00466008 _____ (Duplex Secure Ltd.) C:\Windows\system32\Drivers\sptd.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00405504 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\spsys.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00355744 _____ (BitDefender S.R.L.) C:\Windows\system32\Drivers\trufos.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00347264 _____ (NVIDIA Corporation) C:\Windows\system32\Drivers\nvm62x32.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00337720 _____ (Synaptics Incorporated) C:\Windows\system32\Drivers\SynTP.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00311808 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\srv.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00310272 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\srv2.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00298216 _____ (NVIDIA Corporation) C:\Windows\system32\Drivers\nvmf6232.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00297040 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\volmgrx.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00284672 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbport.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00267264 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\nwifi.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00258560 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbhub.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00246784 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\udfs.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00245632 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\volsnap.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00242688 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\rdbss.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00240496 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\netio.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00235584 _____ (LSI Corporation, Inc.) C:\Windows\system32\Drivers\MegaSR.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00233344 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\msiscsi.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00231760 _____ (TrueCrypt Foundation) C:\Windows\system32\Drivers\truecrypt.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00223744 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxsmb10.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00188176 _____ (Oracle Corporation) C:\Windows\system32\Drivers\VBoxDrv.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00187904 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\netbt.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00183808 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\rdpwd.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00180288 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\pcmcia.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00177152 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\portcls.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00175360 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\vmbus.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00173440 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\rdyboost.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00162896 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\msrpc.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00160128 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\vhdmp.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00155136 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\WUDFRd.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00153984 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\pci.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00148864 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\storport.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00143744 _____ (NVIDIA Corporation) C:\Windows\system32\Drivers\nvstor.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00141904 _____ (VIA Technologies Inc.,Ltd) C:\Windows\system32\Drivers\vsmraid.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00140160 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\scsiport.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00133632 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\rdpdr.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00130432 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mpio.sys.bak etc. Nie wiem skąd te "kopie", co je utworzyło i w jakim celu. Nic nie dzwoni? Takie coś widziałam ostatnio w temacie, w którym była infekcja wirusem wykonywalnych Ramnit, ale nie było tam dowodu na to co utworzyło *.bak + tu nie ma żadnych śladów. Skopiuj na Pulpit przykładową parę: C:\Windows\system32\Drivers\tcpip.sys C:\Windows\system32\Drivers\tcpip.sys.bak Rzuć oba pliki na VirusTotal i podaj linki do wyników. Może okopy zabezpieczające to powodują. Jest tu solidny majdan działający w tle (wszystko jeździ na sterownikach): Bitdefender Total Security, HitmanPro.Alert, Malwarebytes Anti-Exploit, Sandboxie i SpyShelter Personal Free. Najbardziej rozgałęzionym softem jest BitDefender, multum usług. Niestety on mi się nasuwa na myśl... Sprawdź chociaż wstępnie co się stanie jak poluzujesz rezydenta / wyłączysz go. W Dzienniku zdarzeń są też niesprecyzowane błędy: Application errors: ================== Error: (01/02/2014 06:27:32 PM) (Source: NetBalancer 6.7.2) (User: ) Description: System.UnauthorizedAccessException: Odmowa dostępu do klucza rejestru 'HKEY_CLASSES_ROOT\CLSID\{12275AF4-E724-470c-8B28-9121FBD34B89}\InprocServer32'. w Microsoft.Win32.RegistryKey.Win32Error(Int32 errorCode, String str) w Microsoft.Win32.RegistryKey.CreateSubKeyInternal(String subkey, RegistryKeyPermissionCheck permissionCheck, Object registrySecurityObj, RegistryOptions registryOptions) w Microsoft.Win32.RegistryKey.CreateSubKey(String subkey, RegistryKeyPermissionCheck permissionCheck) w Microsoft.Win32.RegistryKey.CreateSubKey(String subkey) w e0.f[a](String a, a A) Error: (01/02/2014 06:27:03 PM) (Source: ESENT) (User: ) Description: taskhost (3440) WebCacheLocal: Wystąpił błąd -1811 podczas otwierania pliku dziennika C:\Users\T\AppData\Local\Microsoft\Windows\WebCache\V0100002.log. System errors: ============= Error: (01/02/2014 07:29:45 PM) (Source: Disk) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Harddisk0\DR0. Netbalancer dobija się do jakiegoś klucza, odmowa dostępu niejasna (czy klucz zablokowany przez uprawnienia, czy może któryś program zabezpieczający uzbroił zbyt mocno). Kolejne błędy także dla mnie niezbyt jasne. Sprawdź w oryginalnym Dzienniku zdarzeń czy ten "błąd kontrola" dysku się powtórzył więcej niż raz. Jak mówię, spora ilość sterowników zabezpieczających. GMER się mógł tu źle poczuć w tym towarzystwie. PS. Usuń sobie kilka pustych wpisów i folderów po odinstalowanych aplikacjach, ale to działanie stricte kosmetyczne i w niczym tu nie pomoże. Otwórz Notatnik i wklej w nim: Task: {3629C5C1-E67C-49C8-8E64-C1074406F9EA} - System32\Tasks\Norton Internet Security\Norton Error Analyzer => C:\Program Files\Norton Internet Security\Engine\21.1.0.18\SymErr.exe Task: {8032AB25-1C73-451D-B6FC-692FFF94E5E9} - System32\Tasks\Norton Internet Security\Norton Error Processor => C:\Program Files\Norton Internet Security\Engine\21.1.0.18\SymErr.exe Task: {E44E0BB2-1C08-427A-9F37-45ECD25A4C81} - System32\Tasks\Norton WSC Integration => C:\Program Files\Norton Internet Security\Engine\21.1.0.18\WSCStub.exe S3 62638432; No ImagePath S3 85925564; No ImagePath S4 A2DDA; \??\C:\EEK\RUN\a2ddax86.sys [x] S4 cleanhlp; \??\C:\EEK\RUN\cleanhlp32.sys [x] U0 Partizan; system32\drivers\Partizan.sys [x] U3 TrueSight; \??\ [x] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver" 2013-12-17 15:23 - 2013-12-17 15:41 - 00000000 ____D C:\ProgramData\TinyWall 2013-12-17 15:23 - 2013-12-17 15:41 - 00000000 ____D C:\Program Files\TinyWall 2013-12-14 22:09 - 2013-12-20 18:48 - 00000000 ____D C:\Users\T\AppData\Local\AdFender 2013-12-14 22:09 - 2013-12-20 18:48 - 00000000 ____D C:\Program Files\AdFender 2013-12-12 22:38 - 2013-12-13 17:18 - 00000000 ____D C:\Users\T\AppData\Roaming\Crystal Security 2013-12-05 15:25 - 2013-12-05 15:25 - 00000000 ____D C:\ProgramData\McAfee ShellExecuteHooks: - {4F07DA45-8170-4859-9B5F-037EF2970034} - No File [ ] SearchScopes: HKLM - DefaultScope value is missing. Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy plik fixlog.txt. .

Zacznijmy od podstaw, czyli rzetelnego opisu z konkretami: Proszę mi zaprezentować zrzut ekranu z tymi "trzema procesami" oraz podać konkretnie jaki plik (dokładna ścieżka dostępu) chciał usuwać Trojan Remover. W Twoich raportach nie widać ani podejrzanych procesów, ani infekcji trojanami, są tylko drobne (i mało istotne w kontekście sprawy) odpadki adware, ale tym się zajmę po rozpoznaniu gruntu do czego zmierzasz z tajemniczymi procesami.

majster1976, nie jestem w stanie powiedzieć zbyt dużo, bo jedną wielką niewiadomą jest co wykrył Avast. Wg GMER powinien wykryć jako "rootkita" ... komponenty samego siebie, gdyż log GMER pokazuje tylko składniki Avast jako "rootkity". Taki odczyt być może pochodzi ze stanu zawieszania / zablokowania systemu. Tu prawdopodobnie w ogóle nie było żadnej infekcji. Poza tym, w raportach nie widzę nic podejrzanego. .

Temat przeniosę do działu Windows, tylko do którego (Windows 7 / Vista?). Nie został podany cały log z FRST, a te fragmenty nie nadają się do analizy. To co cytujesz nie wygląda na rzeczy do naprawy "punktowej", tylko kompletną niemożność odczytu rejestru Windows i fałszwe zgłoszenia zawartości, te wzmianki "ZeroAccess" to wcale nie jest ZeroAccess (ta infekcja ma inną formę wpisów). Conajmniej nie można załadować pliku SYSTEM, plik SOFTWARE jest w podejrzanym stanie tutaj (wygląda na "spustoszony"), a co z resztą to już czarna masa. Czyli: Niestety tu nie ma już zbyt dużego wyboru, bo uszkodzonego rejestru nie da się "reanimować" tylko musi być zastąpiony poprawną kopią. Odpada kopia RegBack (zbyt świeża, ma pewnie nagrane wady), nie ma w systemie już żadnych innych kopii rejestru z wyjątkiem punktów Przywracania systemu. Jeśli Przywracanie systemu było czynne i są jakiekolwiek punkty Przywracania, z poziomu WinRE go zastosuj. W przeciwnym wypadku zostaje reinstalacja Windows. .

Trudno coś powiedzieć nie mając danych co uruchamia się w systemie. Dorzuć raporty FRST i OTL.

Sprawy wyglądają na załatwione. Temat uznaję za zakończony. Zamykam.

Wszystko wykonane. Kończymy: 1. Przez SHIFT+DEL skasuj FRST i jego folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Do aktualizacji te pozycje na liście zainstalowanych: ==================== Installed Programs ====================== Adobe Reader 6.0 CE (Version: 6.0 - Adobe Systems Incorporated) Gadu-Gadu 7.7 (Version: - ) Java™ 6 Update 6 (Version: 1.6.0.60 - Sun Microsystems, Inc.) Microsoft Office Professional Edition 2003 (Version: 11.0.5614.0 - Microsoft Corporation) Microsoft Silverlight (Version: 5.1.20125.0 - Microsoft Corporation) Pozbądź się strasznie starych wersji Adobe i Java. Gadu-Gadu 7.7 to jest archaiczna ledwo żywa wersja (nie obsługuje wcale cech nowego protokołu GG) i kiepsko zabezpieczona (brak szyfrowania połączeń). Proponuję wymienić to na chudą nowoczesną alternatywę z dobrą obsługą Gadu (w tym cech GG8 do GG12), czyli WTW. Pełny opis komunikatora: KLIK. .

Skrypt wykonany pomyślnie, a teraz FRST magicznie pobrał już listę procesów, więc sprawa z dysfunkcją WMI także nieaktualna. Jeszcze drobne poprawki, w tym skasowanie martwego Dziennika po odinstalowaniu TuneUp. 1. Otwórz Notatnik i wklej w nim: S2 Wpm; C:\Documents and Settings\All Users\Dane aplikacji\WPM\wprotectmanager.exe -service [x] C:\Documents and Settings\Piotrek\Dane aplikacji\newnext.me CMD: sc config Eventlog start= disabled Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Skopiuj go gdzieś do innego folderu niż FRST, bo zostanie nadpisany w kolejnym punkcie. Zresetuj system. 2. Uwaga: tymczasowo przekonfigurowałam usługę Dziennik zdarzeń na Wyłączoną, by móc skasować odpadkowy Dziennik, więc start systemu może być dłuższy i z błędami. Wszystko wróci do normy po kolejnym skrypcie i restarcie. Otwórz Notatnik i wklej w nim: C:\WINDOWS\system32\config\TuneUp.evt CMD: sc config Eventlog start= auto Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Zresetuj system. 3. Dostarcz oba pliki fixlog.txt. Nie działał, bo AdwCleaner usuwał jego folder (C:\Program Files\GreenTree Applications)... Notabene, ten program jest klasyfikowany jako "adware", bo ma śmieci w instalatorze. .

Zbyt pochopnie sytuację oceniłeś. Wg danych: skrypt FRST miał co robić (usuwał zadane przeze mnie wpisy aartemisa), co więcej AdwCleaner także go usuwał (zainfekowane skróty wszystkich przeglądarek). Teraz mogę uznać, że aartemis został poprawnie usunięty. Idziemy dalej: 1. Odinstaluj skaner Kaspersky Virus Removal Tool. To jednorazówka. 2. Odinstaluj w prawidłowy sposób ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\SAMSUNG\Documents\1.exe /uninstall 3. Odinstaluj AdwCleaner posługując się stosowną opcją w interfejsie. 4. Przez SHIFT+DEL skasuj foldery: C:\1 (jeśli nie zniknie po deinstalacji ComboFix) C:\AdwCleaner (jeśli nie zniknie po deinstalacji AdwCleaner) C:\FRST C:\windows\erdnt W OTL uruchom Sprzątanie. 5. Uruchom TFC - Temp Cleaner.

Skrypt pomyślnie wykonany. A czy nadal widzisz folder tego programu na dysku? Ja sobie rzeczywiście przypominam z forum, że ktoś też miał problem z deinstalacją tego. Przy niepewności, możemy spróbować usunąć ręcznie to co było uprzednio widoczne. 1. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [HOSTS Anti-Adware_PUPs] - C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware_main.exe [302961 2013-12-23] () S2 HOSTS Anti-PUPs; C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware.exe [285795 2013-12-23] () C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zresetuj plik HOSTS do postaci domyślnej narzędziem Fix-it: KB972034. .

Ten błąd produkuje Mobogenie. Jest tu jeszcze co czyścić po aartemisie. Poza tym, jest jakiś problem z WMI, gdyż FRST nie był zdolny pobrać procesów. Akcja: 1. Przez Dodaj/Usuń programy odinstaluj adware WPM17.8.0.3159. Poza tym, widzę że w tym samym czasie powstały komponenty YTD Video Downloader, czy to na pewno celowa instalacja? 2. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [mobilegeni daemon] - C:\Program Files\Mobogenie\DaemonProcess.exe [761024 2013-12-13] () HKCU\...\Run: [zASRockInstantBoot] - [x] HKCU\...\Run: [] - [x] HKCU\...\Run: [NextLive] - C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\Piotrek\Dane aplikacji\newnext.me\nengine.dll",EntryPoint -m l HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aartemis.com/web/?type=ds&ts=1388752541&from=cor&uid=ST3500320AS_9QM6M7VZXXXX9QM6M7VZ&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.aartemis.com/web/?type=ds&ts=1388752541&from=cor&uid=ST3500320AS_9QM6M7VZXXXX9QM6M7VZ&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://aartemis.com/?type=sc&ts=1388752541&from=cor&uid=ST3500320AS_9QM6M7VZXXXX9QM6M7VZ SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1388752541&from=cor&uid=ST3500320AS_9QM6M7VZXXXX9QM6M7VZ&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1388752541&from=cor&uid=ST3500320AS_9QM6M7VZXXXX9QM6M7VZ&q={searchTerms} Task: C:\WINDOWS\Tasks\Registry Optimizer_DEFAULT.job => C:\Program Files\WinZip Registry Optimizer\Winzipro.exe Task: C:\WINDOWS\Tasks\Registry Optimizer_UPDATES.job => C:\Program Files\WinZip Registry Optimizer\Winzipro.exe C:\Program Files\Mobogenie C:\Documents and Settings\All Users\Dane aplikacji\AVG C:\Documents and Settings\All Users\Dane aplikacji\WPM C:\Documents and Settings\Piotrek\.android C:\Documents and Settings\Piotrek\daemonprocess.txt C:\Documents and Settings\Piotrek\Dane aplikacji\AVG C:\Documents and Settings\Piotrek\Dane aplikacji\aartemis C:\Documents and Settings\Piotrek\Dane aplikacji\newnext.me C:\Documents and Settings\Piotrek\Ustawienia lokalne\Dane aplikacji\cache C:\Documents and Settings\Piotrek\Ustawienia lokalne\Dane aplikacji\genienext C:\Documents and Settings\Piotrek\Ustawienia lokalne\Dane aplikacji\Mobogenie C:\Documents and Settings\Piotrek\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files C:\Documents and Settings\Piotrek\Moje dokumenty\Mobogenie Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Winmgmt /s CMD: sc query winmgmt Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

Tak, to koniec. Przypominam link, który wcześniej podawałam, jak uniknąć takich śmieci adware w systemie: KLIK. Temat rozwiązany. Zamykam. .

Temat przenoszę do działu Windows. Tu tylko drobnostki do czyszczenia, czyli szczątki adware i wpisy puste. To w spoilerze, bo jest rzeczą podrzędną, nie powiązaną z głównymi problemami. Trudno mi coś na ten temat powiedzieć. Z tych logów nic nie wynika. Ten rodzaj problemu to do działu Sieci, dział ma inne wymogi w kwestii raportów. No cóż, jest tu kilka możliwości: 1. Schemat z natychmiastowym wybudzaniem: w Menedżerze urządzeń przeleć się zwłaszcza po Właściwościach Kart sieciowych > karta "Zarządzanie energią" > odznacz "Zezwalaj temu urządzeniu na wznawianie pracy komputera". Coś podobnego może być zdefiniowane w BIOS pod nazwami typu "Wake on..." "Power on...". 2. Aktualizacja BIOS i sterowników chipsetu. Wg Addition.txt są jakieś wadliwe urządzenia (nie wiadomo co to właściwie jest), do których nie ma zainstalowanych sterowników: ==================== Faulty Device Manager Devices ============= Name: Description: Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. Name: Description: Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. Dodatkowo, sypie też błędami sterowników grafiki ATI (sugerowana aktualizacja, ATI to teraz AMD): System errors: ============= Error: (01/01/2014 05:41:59 PM) (Source: atikmdag) (User: ) Description: Display is not active Error: (01/01/2014 05:41:59 PM) (Source: atikmdag) (User: ) Description: CPLIB :: General - Invalid Parameter vs. DRV - [2009-08-18 03:48:06 | 004,994,560 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\atikmdag.sys -- (atikmdag) 3. Problem z zasilaniem. .

macqo0024, mam szczere wątpliwości, czy to co widziałam w logach "samo zniknęło", bo było to obecne w momencie napisania tematu i zrobienia logów po czyszczeniu. Proszę o wykonanie zadanych czynności i przedstawienie końcowych raportów.

Tym razem zadanie wykonane poprawnie. Czyli możemy kończyć: 1. Ponownie uruchom narzędzie Microsoftu do usuwania programów > Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Adobe Reader X (10.1.0) MUI > Dalej. 2. Usuń używane narzędzia. Przez SHIFT+DEL skasuj z dysku FRST oraz foldery: C:\FRST C:\MATS C:\Users\Admin\Desktop\Stare dane programu Firefox Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > skasuj klucz o nazwie "MATS": HKEY_LOCAL_MACHINE\SOFTWARE\MATS W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Masz za dużo antywirusów, wspólnie działają avast! Free Antivirus + Microsoft Security Essentials. Jeden z nich odinstaluj, proponuję zostawić Avast, bo jest bogatszy. .

Zrób log FRST z poziomu środowiska zewnętrznego: KLIK.

Ale nic nie wkleiłaś do Notatnika... Powtórz zadanie.

Jeszcze jedna poprawka na odpadki. Jednak AdwCleaner nie usuwa dobrze zadań z Harmonogramu. Otwórz Notatnik i wklej w nim: Unlock: "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\BitGuard" Unlock: "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\BonanzaDealsUpdate" Unlock: "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\BonanzaDealsLiveUpdateTaskMachineCore" Unlock: "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\BonanzaDealsLiveUpdateTaskMachineUA" Unlock: "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\FoxTab" Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\BitGuard" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\BonanzaDealsUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\BonanzaDealsLiveUpdateTaskMachineCore" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\BonanzaDealsLiveUpdateTaskMachineUA" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\FoxTab" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie nowy plik fixlog.txt. Przedstaw go. .

Ale czy Ty otwierałeś Google Chrome przez skrót LNK? Program miał być otworzony wprost z EXE: C:\Users\acer\AppData\Local\Google\Chrome\Application\chrome.exe. A Tryb awaryjny z Wierszem polecenia? .

Szymi, zakładasz temat w dziale diagnostyki infekcji, a nie realizujesz zasad działu: KLIK. Obowiązkowe są tu raporty FRST + OTL + GMER. Proszę je dostarczyć, wszystko w linkach objaśnione. I rozwiń tę treść, o jakich "dziwnych nazwach" konkretnie mowa. .