picasso

Czy zrobiłeś skan za pomocą MBAM?

Skrypt wykonany poprawnie. Resztę zadań już podałam. To tyle z mojej strony.

Temat przenoszę do działu Software. Oznak infekcji tu nie ma. Do usunięcia są tylko małe szczątki adware i wpisy puste. Pierwsza porcja zadań usuwania w spoilerze (sprawa z Firefox omówiona dalej). Przyczyną wolnego systemu może być w tym przypadku Avast (patrz poniżej). Są tu jeszcze takie błędy w Dzienniku zdarzeń, ale na razie nie podejmuję akcji System errors: ============= Error: (12/15/2013 03:06:21 PM) (Source: Service Control Manager) (User: ) Description: Usługa Usługa Czas systemu Windows zakończyła działanie; wystąpił następujący błąd: %%1115 Error: (12/14/2013 06:41:06 PM) (Source: Service Control Manager) (User: ) Description: Nie można uruchomić usługi VAIO Power Management z powodu następującego błędu: %%1053 Error: (12/14/2013 06:41:06 PM) (Source: Service Control Manager) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą VAIO Power Management. Jako "rootkit" są oznaczone właśnie elementy Avast. To nie wygląda na infekcję, odczyt prawdopodobnie z powodu zawieszeń. Odinstaluj Avast dla testu i zobacz czy nastąpi poprawa. Po pozbyciu się Avast dalsze kroki: 1. Na początek: w Firefox są szczątki adware. Wyczyść to konkretnie: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł, ale wszystkie niedomyślne rozszerzenia zostaną wyzerowane. Przeinstalujesz je potem. 2. Filmiki Youtube: na komunikacie widnieje "wtyczka Shockwave Flash". Są tu zainstalowane dwie: FF Plugin: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF64_11_9_900_170.dll () FF Plugin-x32: @adobe.com/ShockwavePlayer - C:\Windows\SysWOW64\Adobe\Director\np32dsw_1205146.dll (Adobe Systems, Inc.) Co odpowiada temu: ==================== Installed Programs ====================== Adobe Flash Player 11 Plugin (x32 Version: 11.9.900.170) Adobe Shockwave Player 12.0 (x32 Version: 12.0.5.146) Odinstaluj Adobe Shockwave Player zostawiając tylko Adobe Flash Player. 3. Filmiki wp.pl: błąd "wystąpił problem z wyświetleniem reklamy" wygląda na dokładnie to co na błędzie, czyli ingerencja Adblock Plus: FF Extension: Adblock Plus - C:\Users\Madzia\AppData\Roaming\Mozilla\Firefox\Profiles\1de6um8o.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi Ja także mam Adblocka w Firefox i u mnie widnieje ten sam komunikat na wp.pl, problem ustępuje po poluzowaniu Adblocka. Adblock Plus zniknie podczas resetu Firefox. Po jego reinstalacji dopuść niektóre treści: na ikonce Adblocka dostęp do opcji > Wyłącz blokowanie na film.wp.tv. .

Akcja wykonana. Zadania skryptowe skasowane i nie odtworzyły się. Może przejść do partii wykańczającej: 1. Przez SHIFT+DEL skasuj: C:\FRST C:\Users\Właściciel\Desktop\Stare dane programu Firefox C:\Users\Właściciel\Downloads\FRST-OlderVersion C:\Users\Właściciel\Downloads\FIX.REG W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Dla pewności zrób skan Malwarebytes Anti-Malware (przy instalacji wybierz wersję darmową). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport. .

Zadania wykonane. W kwestii: Program i tak starawy, więc się go pozbądź: 1. Na początek odinstaluj poprawnie przez Panel sterowania. 2. Następnie wejdź w Tryb awaryjny Windows i zastosuj poprawkowy Norton Removal Tool. Po wykonaniu akcji podsumuj jaki jest stan systemu i czy coś się zawiesza. .

Czy masz na myśli reset ustawień wbudowany do Windows 8? Poza tym, zanim się posuniesz tak daleko z resetem ustawień: czy sprawdziłeś czy na pewno po ponownym uruchomieniu komputera ta blokada nadal istnieje? Ten "Komorowski" to może być jednorazowy komunikat, który zanika po restarcie. I by ocenić sytuację potrzebuję raporty z narzędzi. Ta blokada jest w wielu wariantach. Poproszę o raporty z FRST. .

Tu nie koniec. Opisz co zrobiłeś oraz podaj raporty z FRST.

Tak, VM 305_STI.EXE należy do instalacji kamery. Jeśli pojawiły się błędy, spróbuj przeinstalować oprogramowanie. A ostatni skrypt pomyślnie zrobiony. W tym zakresie już kończymy: 1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Pobierz go ponownie (KLIK) i zapisz na Pulpicie. Start > Uruchom > wklej komendę: "C:\Documents and Settings\Justyna\Pulpit\ComboFix.exe" /uninstall 2. Następnie w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie oraz przez SHIFT+DEL skasuj te foldery: C:\FRST C:\Documents and Settings\Justyna\Pulpit\FRST-OlderVersion C:\WINDOWS\erdnt 3. Zaktualizuj stare i zasobożerne Gadu-Gadu 10 (albo zamień alternatywą np. polecanym tu WTW): KLIK. I do czytania ten materiał jak omijać miny adware w instalatorach / na portalach, bo miałeś tego śmiecia trochę w systemie: KLIK. .

Pokaż mi raport co usuwał MBAM. Po wyglądzie raportów można jedynie podejrzewać, iż było to adware BrowserDefender z Delta. Co widać w logach: szkodliwe zadanie skryptowe oraz szczątki adware, i to będzie do czyszczenia. Spróbuję też od razu naprawić te błędy z Dziennika zdarzeń: System errors: ============= Error: (12/15/2013 01:16:00 PM) (Source: Service Control Manager) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (12/15/2013 01:16:00 PM) (Source: Service Control Manager) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (12/15/2013 01:16:00 PM) (Source: PNRPSvc) (User: ) Description: 0x80630801 Akcja: 1. Otwórz Notatnik i wklej w nim: Task: {4D2498BB-1EAF-4140-AC68-A111F4628A47} - System32\Tasks\0 => Iexplore.exe Task: {582BF65F-597B-4EC1-84FE-66C78D85D508} - System32\Tasks\BrowserDefendert => Sc.exe start BrowserDefendert Task: {B92C94AC-97B8-4433-AEC6-440BB6C8C98F} - System32\Tasks\4909 => C:\Users\Pietras\AppData\Local\Temp\launchie.vbs //B HKLM-x32\...\Run: [] - [x] AppInit_DLLs-x32: c:\progra~3\browse~1\261519~1.190\{c16c1~1\browse~1.dll [ ] () HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=A22C1C6F6547FCEB&affID=119357&tsp=4973 SearchScopes: HKCU - DefaultScope {4266364D-E863-41b1-8ECD-DCB2AFF6A868} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = SearchScopes: HKCU - {4266364D-E863-41b1-8ECD-DCB2AFF6A868} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD S3 GMSIPCI; \??\E:\INSTALL\GMSIPCI.SYS [x] U2 wuaserv; C:\Users\Pietras\AppData\Local\Temp\launchie.vbs C:\Users\Pietras\AppData\Roaming\Babylon C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking\idstore.* CMD: sc start PNRPsvc Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{10A0B737-33AA-4521-9C25-62FB676FC3C7}" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Odinstaluj Browser Configuration Utility. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. Jeśli podane wyżej działania nie będą mieć żadnych skutków, to wieszanie może mieć inną przyczynę. Siedzi tu stary Norton Internet Security (datowanie plików na 2011). .

Problemy główne wyglądają na rzecz odrębną, nie związaną z infekcją, z raportów nic nie wynika konkretnego. Czyli to jest efekt typu "power down"? Czy jesteś pewien, że nic się nie przegrzewa i nie reagują jakieś "bezpieczniki"? Ale i tak mamy do czyszczenia szczątki adware oraz infekcji wykonywalnych Jeefo (martwa usługa "PowerManager"): 1. Otwórz Notatnik i wklej w nim: HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.qone8.com/?type=hp&ts=1383205105&from=cor&uid=395049983_397234_C0F9D17C HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.qone8.com/?type=hp&ts=1383205105&from=cor&uid=395049983_397234_C0F9D17C HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.qone8.com/?type=hp&ts=1383205105&from=cor&uid=395049983_397234_C0F9D17C HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.qone8.com/?type=hp&ts=1383205105&from=cor&uid=395049983_397234_C0F9D17C HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.qone8.com/?type=hp&ts=1383205105&from=cor&uid=395049983_397234_C0F9D17C HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://start.qone8.com/?type=hp&ts=1383205105&from=cor&uid=395049983_397234_C0F9D17C StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1383205105&from=cor&uid=395049983_397234_C0F9D17C SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383205114&from=cor&uid=395049983_397234_C0F9D17C&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383205114&from=cor&uid=395049983_397234_C0F9D17C&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383205114&from=cor&uid=395049983_397234_C0F9D17C&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383205114&from=cor&uid=395049983_397234_C0F9D17C&q={searchTerms} SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383205114&from=cor&uid=395049983_397234_C0F9D17C&q={searchTerms} SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383205114&from=cor&uid=395049983_397234_C0F9D17C&q={searchTerms} SearchScopes: HKCU - {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo FF Plugin-x32: @pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF Plugin HKCU: pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\qone8.xml FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://start.qone8.com/?type=sc&ts=1383205105&from=cor&uid=395049983_397234_C0F9D17C CHR HKLM-x32\...\Chrome\Extension: [cekcjpgehmohobmdiikfnopibipmgnml] - C:\Users\Seba\AppData\Local\Google\Chrome\User Data\Default\Extensions\ CHR HKLM-x32\...\Chrome\Extension: [ifohbjbgfchkkfhphahclmkpgejiplfo] - C:\Users\Seba\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx Task: {3476A90F-4B65-4E05-853D-CC5942618B02} - System32\Tasks\{C6953C64-CC6A-4630-BDD1-5E11EB16BD0B} => G:\Install.exe Task: {D4600CCB-2326-4C33-B643-DD1D7AD63148} - System32\Tasks\{AECA6895-5820-4A62-A0C8-DF7F91091640} => G:\Install.exe Task: {E22E1973-FF0E-43AF-A9B5-3B1E7BB25538} - System32\Tasks\{A5F03E1A-4163-4F6C-BFA9-BA4AB47DCC69} => G:\Install.exe Task: {E24BE088-5CE9-4B42-A50F-5564C91F5FBD} - System32\Tasks\{BA05095F-AE47-46A8-A8ED-9C8928C045CB} => G:\Install.exe S2 PowerManager; C:\Windows\svchost.exe [x] S2 WsysSvc; C:\ProgramData\eSafe\eGdpSvc.exe [x] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [x] S3 VGPU; System32\drivers\rdvgkmd.sys [x] S3 xhunter1; \??\C:\Windows\xhunter1.sys [x] C:\Users\Seba\AppData\Roaming\B1Toolbar C:\Users\Seba\AppData\Roaming\eDownload C:\Users\Seba\AppData\Roaming\LOVE C:\Users\Seba\Downloads\NET-Framework(17635).exe CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj qone8 Browser Protecter, Qtrax Player, Wsys Control 10.2.1.2652. Możliwe, że instalacja "Wsys Control" jest zdefektowana, ale Windows przynajmniej powinien zapytać czy usuwać pusty wpis. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 4. W Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Ustawienia > karta Rozszerzenia > odinstaluj Extended Protection Ustawienia > karta Historia > wyczyść 5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Uruchom TFC - Temp Cleaner. 7. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Wyniki "Trojan.Backdoor" to fałszywe alarmy na plikach oprogramowania kamery, więc jeśli to usunąłeś programem, przywróć z kwarantanny. Natomiast "PUP.Optional.InstallCore.A" to owszem śmieci adware. Pobrałeś program Speccy z portalu pośredniego a nie strony domowej, to nie jest plik instalacyjny programu tylko "Asystent pobierania": C:\Users\tomek\Downloads\Speccy(15677).exe Do czytania jak unikać takich niespodzianek: KLIK. Oznak infekcji tu nie ma. Tylko drobne działania do wykonania: 1. Usunięcie szczątków, w tym Google Chrome (nie wygląda na zainstalowane). Otwórz Notatnik i wklej w nim: S3 dump_wmimmc; \??\E:\Binaries\GameGuard\dump_wmimmc.sys [x] S4 USBSTOR; \SystemRoot\system32\drivers\usbstor.sys [x] C:\Users\tomek\AppData\Roaming\Mozilla\Firefox\Profiles\107noauq.default-1354819248325\user.js C:\Users\tomek\AppData\Local\Google\Chrome Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. A po tym: 2. Usuń używane narzędzia: przez SHIFT+DEL skasuj folder C:\FRST, w OTL uruchom Sprzątanie. 3. Uruchom TFC - Temp Cleaner. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Odinstaluj starą wtyczkę Adobe Reader (wersja dla IE) i Java 6 (przyczyna tych infekcji "policyjnych" / "komorowskich" i innych) oraz zaktualizuj OpenOffice.org, by mógł korzystać z najnowszej Java: KLIK. Obecnie w systemie wersje: ==================== Installed Programs ====================== Adobe Flash Player 10 ActiveX (Version: 10.0.32.18) ----> wtyczka dla IE Adobe Flash Player 11 Plugin (Version: 11.9.900.170) Adobe Reader X (10.1.8) - Polish (Version: 10.1.8) Adobe Reader X (10.1.8) (Version: 10.1.8) Java™ 6 Update 31 (Version: 6.0.310) OpenOffice.ux.pl 3.3 (Version: 3.3.39551) .

Poproszę o log USBFix z opcji Listing zrobiony przy podpiętym owym zdefektowanym urządzeniu. .

Tu są obowiązkowe także logi z FRST. Wykonaj dwa zestawy z każdego komputera z osobna i tu dołącz. .

Skoro problem ustąpił po zmianie hasła, to wykonaj już końcowe kroki zawsze tu podawane: 1. Przez SHIFT+DEL skasuj folder C:\FRST oraz folder Stare dane programu Firefox na Pulpicie. W OTL uruchom Sprzątanie. 2. Wyczyść Tempy: KLIK. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Odinstaluj starszą Java numer 40 oraz zaktualizuj pakiet Office (instalacja SP). Stan obecny: ==================== Installed Programs ====================== Java 7 Update 40 (64-bit) (Version: 7.0.400) Microsoft Office Professional 2010 (x32 Version: 14.0.7015.1000) .

Ad "prosiłeś" = jestem kobietą. A zadania pomyślnie wykonane. Możesz kończyć: 1. Odinstaluj USBFix, przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. I zaktualizuj systemowy IE9 do wersji IE11, niezależnie od tego że korzystasz z Opery (silnik IE jest utylizowany mocno przez system / aplikacje zewnętrzne). .

Wszystko zrobione. Zakończ sprawy: 1. Przez SHIFT+DEL skasuj foldery: C:\FRST C:\Users\PC\Desktop\Stare dane programu Firefox W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj wyliczone poniżej programy: KLIK / KLIK. ==================== Installed Programs ====================== Adobe Flash Player 10 ActiveX (x32 Version: 10.0.32.18) ----> wtyczka dla IE Adobe Flash Player 11 Plugin (x32 Version: 11.9.900.117) ----> wtyczka dla Firefox/Opera Adobe Reader 6.0 CE (x32 Version: 6.0) Adobe Shockwave Player 12.0 (x32 Version: 12.0.2.122) Foxit Reader (x32 Version: 6.0.3.524) Gadu-Gadu 10 (x32) ----> do wersji GG12 lub alternatywny program np. WTW Java 7 Update 21 (64-bit) (Version: 7.0.210) Mozilla Firefox 25.0 (x86 pl) (x32 Version: 25.0) Opera 12.15 (x32 Version: 12.15.1748) ----> do wersji 12.16 .

Obiekty WMI zdają się być poprawne. Reszta zadań wykonana. Na zakończenie: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. .

Zadania owszem wykonane. Ale widzę, że znów zostały doinstalowane nowe zbędniki. 1. Odinstaluj Smarttweak FixMyRegistry. Po deinstalacji ponownie uruchom TFC - Temp Cleaner. 2. Powtórz też reset cache wtyczek Google Chrome poprzez chrome://plugins. 3. Otwórz Notatnik i wklej w nim: SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = FF Plugin-x32: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32.dll No File 2013-12-14 11:36 - 2013-12-14 11:36 - 00000000 ____D C:\ProgramData\RegClean Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 4. Zrób nowy skan FRST (zaznacz, by powstał też plik Addition). Dołącz plik fixlog.txt. .

Log z HijackThis usuwam, zupełnie zbędny. Tak jest, ComboFixa nie uruchamiać. Ale tu padła całkiem inna prośba (w skasowanym poście), by pokazać log utworzony wcześniej przez ComboFix. ComboFix definitywnie tu był uruchomiony i jest na dysku log narzędzia: 2013-12-04 18:26 - 2013-12-04 18:26 - 00012596 _____ C:\ComboFix.txt Dołącz go. .

Tylko pliki z kwarantanny FRST miały być na serwisie hostingowym, logi za to doczepione w temacie. Za paczkę dziękuję, pobrałam i link usuwam a logi wstawiam jak miały być podane. Wszystko zrobione. Ale jest nadal coś nie tak. Złośliwe zadania w Harmonogramie się odtworzyły. Pobierz najnowszą wersję FRST i zrób nowy skan, zaznacz pole Addition, by powstał drugi log i ten log mi podaj. Dopiero, gdy go dołączysz przejdź do wykonania tych punktów: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" "DisplayName"="@ieframe.dll,-12512" [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" "DisplayName"="@ieframe.dll,-12512" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Otwórz Notatnik i wklej w nim: C:\Users\Właściciel\AppData\Local\Temp\launchie.vbs Task: {084203BF-2700-4E52-8D3F-8289B1BF1665} - System32\Tasks\0 => Iexplore.exe Task: {194B572D-FB0C-44CC-A167-A50C77C864F0} - System32\Tasks\4788 => C:\Users\WACICI~1\AppData\Local\Temp\launchie.vbsC:\Users\WACICI~1\AppData\Local\Temp\launchie.vbs //B SearchScopes: HKCU - {15D5AC60-2E0D-4F21-9A38-E6B24BFC1C89} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=65D87EDD-53B3-4FEA-BD69-B194084FDABF&apn_sauid=464708B0-AA7C-4517-BF0F-EB422E29BB3F S1 lzlolicg; \??\C:\Windows\system32\drivers\lzlolicg.sys [x] Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Ponownie uruchom TFC - Temp Cleaner. 4. Zrób nowy skan FRST (zaznacz, by powstał Addition). Dołącz plik fixlog.txt. .

To nie wirus lecz adware. Zanim przejdę do usuwania dodaj brakujące, a obowiązkowe tu, logi z FRST.

Problem stanowią te klucze: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders My Music REG_SZ F:\Dokumenty HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders My Music REG_EXPAND_SZ F:\Dokumenty 1. Krok jeden: odbudowa folderu muzycznego. Utwórz ręcznie folder F:\Music. Następnie odtwórz w folderze oryginalny plik desktop.ini, który odpowiada za wyświetlanie polskiej nazwy i specjalnej ikonki. Otwórz Notatnik i wklej w nim ten tekst: [.ShellClassInfo] LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21790 InfoTip=@%SystemRoot%\system32\shell32.dll,-12689 IconResource=%SystemRoot%\system32\imageres.dll,-108 IconFile=%SystemRoot%\system32\shell32.dll IconIndex=-237 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako desktop.ini Plik wstaw do folderu F:\Music. Następnie nałóż na wszystko poprawne atrybuty. Z klawiatury klawisz z flagą Windows + X, w polu uruchom wpisz cmd i wklej te dwie komendy każdą potwierdzając przez ENTER: attrib +r F:\Music attrib +s +h F:\Music\desktop.ini 2. Krok dwa: przekierowanie na ten folder. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders] "My Music"="F:\\Music" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders] "My Music"=hex(2):46,00,3a,00,5c,00,4d,00,75,00,73,00,69,00,63,00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Zresetuj system. Podaj czy wszystko wróciło do normy. .

Skoro SysPlayer to były jednak szczątki, to trzeba je dokończyć, bo w Addition jak mówiłam są nadal zadania Harmonogramu związane z tym programem. Od razu także sprawdzę usługę Winmgmt (ten odczyt braku poboru procesów jest podejrzany). Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Winmgmt /s CMD: sc query Winmgmt CMD: winmgmt /salvagerepository CMD: C:\Windows\SysWOW64\regsvr32.exe /u /s "C:\Program Files\Common Files\System\SysPlayerMenu.dll" Task: {BCB60DB2-5A6B-44AD-8292-4BA3095FD4AB} - System32\Tasks\SPMupdate1 => C:\Program Files\Common Files\System\SysPlayerMenu.dll [2013-11-13] (Goobzo LTD) Task: {CBFE10CF-0939-459E-8732-F9E3BC039C92} - System32\Tasks\Microsoft\Windows\Multimedia\SPMupdate3 => C:\Program Files\Common Files\System\SysPlayerMenu.dll [2013-11-13] (Goobzo LTD) Task: {DC35497D-3598-4618-B673-4153597DD7EB} - System32\Tasks\Microsoft\Windows\Maintenance\SPMupdate2 => C:\Program Files\Common Files\System\SysPlayerMenu.dll [2013-11-13] (Goobzo LTD) C:\Program Files\Common Files\System\SysPlayerMenu.dll Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. .

Zostały poprawki. 1. Otwórz Notatnik i wklej w nim: 2013-11-28 04:22 - 2013-11-28 04:22 - 00000000 ____D C:\ProgramData\Guard.Mail.Ru 2013-11-28 02:12 - 2013-12-15 12:46 - 00000000 ____D C:\Users\PC\AppData\Roaming\DRPSu HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mail.ru/cnt/9134 URLSearchHook: ATTENTION ==> Default URLSearchHook is missing. URLSearchHook: HKCU - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll No File SearchScopes: HKCU - {E88E0043-C9D4-4e33-8555-FEE4F5B63060} URL = http://go.mail.ru/search?q={searchTerms}&utf8in=1&fr=ietb BHO-x32: MailRuBHO Class - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll No File Toolbar: HKLM-x32 - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll No File FF Plugin-x32: @esn/esnlaunch,version=2.3.0 - C:\Program Files (x86)\Battlelog Web Plugins\2.3.0\npesnlaunch.dll No File S3 atillk64; \??\C:\Users\PC\Desktop\winflash20113\atillk64.sys [x] S3 cpuz136; \??\C:\Users\PC\AppData\Local\Temp\cpuz136\cpuz136_x64.sys [x] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [x] S3 NPF; system32\drivers\NPF.sys [x] S3 WinRing0_1_2_0; \??\C:\Users\PC\AppData\Local\Temp\tmp35A8.tmp [x] S3 xhunter1; \??\C:\Windows\xhunter1.sys [x] Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

Odbudowa usług pomyślna. Czynności końcowe: 1. W międzyczasie doinstalowałeś niejakie Mobogenie, obecnie w stanie szczątkowym. Usuwanie tych szczątków. Otwórz Notatnik i wklej w nim: C:\Documents and Settings\shad\Ustawienia lokalne\Dane aplikacji\Mobogenie C:\Documents and Settings\shad\Ustawienia lokalne\Dane aplikacji\cache C:\Documents and Settings\shad\Moje dokumenty\Mobogenie C:\Documents and Settings\shad\daemonprocess.txt C:\Program Files\Mobogenie Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Przez SHIFT+DEL skasuj foldery: C:\FRST C:\Documents and Settings\shad\Pulpit\Stare dane programu Firefox W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Do aktualizacji wyliczone poniżej programy: KLIK. ==================== Installed Programs ====================== Adobe Reader 9.2 - Polish (Version: 9.2.0) Java 7 Update 21 (Version: 7.0.210) Microsoft Office Enterprise 2007 (Version: 12.0.4518.1014) Mozilla Firefox 25.0.1 (x86 pl) (Version: 25.0.1) Avira pewnie notuje obiekty w C:\System Volume Information (folder Przywracania systemu). To folder izolowany (nie ma wpływu bieżącego na system) i czyści się go w taki sposób jak podałam wyżej. Te instrukcje nie zostały tu wcześniej podane, bo to prowadzi się na samym końcu. Problem Ashampoo nie powiązany z tym wcale. "System Volume Information" nie ma związku z dźwiękiem, słowo "volume" jest tu w znaczeniu woluminu dysku a nie głośności. .