picasso

Brakuje raportu z GMER. Oznak infekcji brak. Tylko wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner. Temat przenoszę do działu Windows XP. Cytuję z innego tematu: .

Temat spoza infekcji, przechodzi do innego działu. Brakuje raportu Addition FRST. Dołącz. Na początek sprawdź czy nie został filtr sieciowy na karcie: Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej > pobór Właściwości wszystkich połączeń > w karcie Ogólne zwyryfikuj używane komponenty czy nie ma czegoś od COMODO. .

Założyłeś temat w dziale diagnostyki infekcji. Zasady mówią o dostarczaniu obowiązkowo również raportów FRST i GMER. Co do restartów, do wykonania diagnostyka w punkcie 5: KLIK. .

Akcje wykonane. Kończymy: 1. Mini poprawki. Otwórz Notatnik i wklej w nim: HKCU\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.7.9012.1008\swg.dll No File Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File 2013-10-15 21:36 - 2012-09-07 23:28 - 00000000 ____D C:\Documents and Settings\Mazurkiewiczowie\Ustawienia lokalne\Dane aplikacji\CRE Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Powtórz reset cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. 3. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w OTL uruchom Sprzątanie. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Widzę, że już w międzyczasie instalowałeś Java 7 Update 45, ale czy usunąłeś starą wersję Java 7 Update 21? I jeszcze te do aktualizacji: ==================== Installed Programs ====================== Adobe Reader XI (11.0.05) - Polish (Version: 11.0.05) Gadu-Gadu 7.7 Microsoft Office Professional Edition 2003 (Version: 11.0.5614.0) Microsoft Silverlight (Version: 5.1.20513.0) Opera 12.15 (Version: 12.15.1748) .

Dostarczony tu zestaw: - SystemLook nie wiadomo po co (ten skan zawierają FRST i OTL), na dodatek narzędzie w wersji 32-bit a nie 64-bit użyte. Usuwam. - Log z "OTL" fałszywy, to jest kopia raportu ComboFix. Również usuwam. - Na temat używania ComboFix: KLIK. Użyty niepotrzebnie. Proszę wróćić do zasad działu jakie raporty się tu pokazuje: KLIK. Proszę dostarczyć raporty z FRST, OTL i GMER. Co to oznacza? Jeśli błąd "nie masz uprawnień", to znaczy, że plik został zapisany jako *.LOG (niezdowwolone w załącznikach) a nie *.TXT. Jest powiedziane, by użyć funkcję Kopiuj i zapisać do nowego pliku. .

ProKoksu, jeśli nikt jeszcze nie odpisał, nie pisz posta pod postem, lecz używaj opcję Edytuj. Posty skleiłam. Logi proszę umieszczam metodą Załączników forum (w edytorze Więcej opcji > jest funkcja dołączania plików). Dodaj ten wcześniejszy oraz nowy co jest pokazywane obecnie. .

Wszystko poprawnie wykonane. Jeszcze drobna poprawka. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM - DefaultScope value is missing. DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

xvelektryk: dla mnie koncepcja infekcji jest mocno nieprawdopodobna. Nastąpiła zmiana dysku, zmiana systemów i to na bardzo różne architektoniczne, podane raporty nie przedstawiały żadnych modyfikacji infekcyjnych, a te objawy: ... nie potwierdzają infekcji, nie są jej ekskluzywnym znakiem. Takie objawy prędzej sugerują: konfiguracje typu "Wake" w BIOS lub opcjach zasilania systemów, zacięcie klawiszy, sterowniki. .

Temat założony w złym dziale Serwis (zgłaszanie problemów z naszą stronę). Przenoszę do działu diagnostyki infekcji. Przedstaw raport z MBAM co i gdzie wykryte. To komunikat braku pliku adware Ask Toolbar, które jest instalowane z Avira pod przykrywką "Avira SearchProtection" (KLIK). Poproszę o raporty z FRST. .

Chodzi mi o tradycyjne Przywracanie systemu a nie o nowe funkcje Windows 8 Odśwież / Resetuj PC. Przywracanie systemu owszem zdegraduje określone programy, które pojawiły się po wybranym punkcie Przywracania, ale dane osobiste użytkownika nie zostaną dotknięte tym procesem. .

W takiej sytuacji logi AdwCleaner są bezużyteczne (usuwam je), gdyż nie pokazują nic co było wcześniej usuwane. Niestety usuwanie FRST niepomyślne, nie był zdolny usunąć tego ukrytego pliku. Ponowne podejście: 1. Otwórz Notatnik i wklej w nim: HKCU\...\Run: [Xyqmqj] - C:\Documents and Settings\Zosia\Dane aplikacji\Xyqmqj.exe [0 ] () C:\Documents and Settings\Zosia\Dane aplikacji\Xyqmqj.exe C:\Documents and Settings\Zosia\.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Jeśli FRST nie wymusi restartu, zrób go ręcznie. Po tym wykonaj nowe skany: FRST (bez Addition) + GMER. .

Czy zaznaczyłeś pole Addition do skanu?

ComboFix i MBAM wykryły to samo o czym już mówiłam, czyli adware. Usuwanie tych obiektów nie powinno mieć wpływu na niemożność startu Windows. Nasuwa się, iż to uruchomienie ComboFix mogło to spowodować, gdyż to najsilniejszy wdrożony proces. Tym bardziej, że log z ComboFix ma dziwne odczyty typu "Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces". Zadania wykonane. Poprawki 1. FRST nie był zdolny przetworzyć tego krzaczastego wpisu: SearchScopes: HKCU - ŰźĆîZ§’2ąŢpv¨IÍá*X(Ž2s(ŰÎŔJşÔÓµť± vË°!×—(äĽ48иpatm6ęo^Mp`Ëő÷_iŁwľ!„Áű†x˘8€ŮjŔ˙ţ ´Ń;áa´[¦†8 ş~ŹRŮxśňÜ8'Ł-)x­ä­ URL = Start > w polu szukania wpisz regedit > z prawokliku skasuj: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\ten krzak 2. Odinstaluj w prawidłowy sposób ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\1\Downloads\ComboFix-tamindir.exe /uninstall 3. Następnie przez SHIFT+DEL skasuj foldery: C:\FRST C:\Users\1\Desktop\Stare dane programu Firefox C:\Users\1\Desktop\Stare dane programu Firefox-1 W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 4. Uruchom TFC - Temp Cleaner. 5. Ponów skan MBAM i przedstaw wynikowy raport, o ile coś zostanie znalezione. .

Mało danych. Proszę dostarczyć konkretniejsze materiały: - Logi z OTL - Log z MGADiag - Uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. Gdy narzędzie ukończy, skopiuj na Pulpit cały folder C:\Windows\Logs\CBS, zapakuj do ZIP, rzuć na jakiś hosting i podaj tu link do paczki. .

xvelektryk, nie mam podstaw sądzić, by to była infekcja (wcześniej podane logi w ogóle nie pokazały żadnego obiektu infekcji, zmieniałeś całe systemy, Twoje koncepcje z "wirusem płyty głównej" są nieprawdopodobne). Skoro problem zaczyna się po instalacji DriverPack (jaki / skąd), to prędzej nasuwa się, iż instalowane sterowniki są problemem. .

Ostatni fiks to tylko usunięcie martwych szczątków paska AVG. Czy on się wykonał? Jeśli tak, reszta instrukcji nadal aktualna. Co do BSOD: zadane akcje nie powinny mieć żadnego związku z jego wystąpieniem. Co robiłeś, gdy pojawił się BSOD? Skopiuj na Pulpit katalog C:\Windows\Minidump (o ile niepusty), spakuj do ZIP, shostuj gdzieś i podaj link. .

Podałam Ci przecież linki do instrukcji tworzenia raportów z FRST i GMER. Poza tym, musisz mi pokazać co wykryły Avast + MBAM, bo tego nie da się zgadnąć z raportów tu dostarczonych, a poza tym mogło być coś co nie powinno być usuwane i nastąpiło pogorszenie spraw. .

Są tu dwie sprawy: 1. Usuwanie kodeków Shark to robota innej natury, są wymagane zupełnie inne raporty orientowane na listy kodeków. Na początek przeprowadź usuwanie wstępne: - Przez SHIFT+DEL skasuj foldery: C:\Program Files\Shark007 C:\ProgramData\Shark007 C:\Users\Bodek\AppData\Roaming\Shark007 - Usuń martwy wpis w Panelu sterowania tym narzędziem: KLIK. Wybierz tryb nieautomatyczny i na liście deinstalacji wskaż x64 Components v4.2.8. - Usuń naruszenia w kodekach: w Codec Tweak Tool zastosuj Fixes, po tym stwórz log ze spisem kodeków i zaprezentuj tutaj. 2. Szczątki adware owszem są, ale to inna sprawa. Adware nabyte na dwa sposoby: AVG zareagował, gdyż paczka Shark jest sponsorowana adware (KLIK) + wpakowałeś dodatkowe adware pobierając z portali niebezpośrednie instalatory tylko niejakich "Asystentów pobierania". Widać tu pliki śmieci dobrychprogramów.pl, Onet Pliki, KomputerŚwiat: C:\Users\Bodek\Downloads\Preferred-Filter-Tweaker-for-Windows-7(15660).exe C:\Users\Bodek\AppData\Local\Temp\ICReinstall_AdwCleaner 3.006_isdmgr.exe C:\Users\Bodek\AppData\Local\Temp\ICReinstall_DownloadManagerSetup.exe C:\Users\Bodek\AppData\Local\Temp\ICReinstall_Mozilla.Firefox.zoptymalizowany.dla.Onet_24.0%20(33721)[1].exe Do czytania na potem dlaczego należy unikać pobierania z portali i co się dzieje tam: KLIK. AdwCleaner już używałeś. Usuń pozostałe szczątki adware. W spoilerze instrukcje, gdyż temat przesuywam do działu Software. O jakim śmieciu mówisz? .

Wszystko wykonane. Możemy kończyć: 1. Ostatni fiks (omyłkowo nie załączyłam poprzednio). Otwórz Notatnik i wklej w nim: S2 vToolbarUpdater17.0.12; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\17.0.12\ToolbarUpdater.exe [x] Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Przez SHIFT+DEL skasuj foldery: C:\FRST C:\Users\Tommy\Desktop\Stare dane programu Firefox W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj wyliczone poniżej programy: KLIK. ==================== Installed Programs ====================== Adobe Flash Player 11 ActiveX (x32 Version: 11.8.800.94) ----> wtyczka dla IE Adobe Flash Player 11 Plugin (x32 Version: 11.8.800.168) ----> wtyczka dla Firefox/Opera Gadu-Gadu 7.7 (x32) Java 7 Update 25 (x32 Version: 7.0.250) Mozilla Firefox 23.0.1 (x86 pl) (x32 Version: 23.0.1) A stare słabowite GG7 proponuję zastąpić przez alternatywny WTW: KLIK. .

1. MBAM wykrył tylko szczątki adware. Drobna poprawka. Start > w polu szukania wpisz regedit > z prawokliku skasuj klucz: HKEY_CURRENT_USER\Software\BabSolution 2. Zaktualizuj cały system oraz odinstaluj poniżej wymienione pozycje Adobe + Java na korzyść najnowszych: KLIK. Windows 7 Home Premium (X64) OS Language: Polish Internet Explorer Version 8 ==================== Installed Programs ====================== Adobe Flash Player 10 ActiveX (x32 Version: 10.0.42.34) ----> wtyczka dla IE Java 7 Update 25 (x32 Version: 7.0.250) Java™ 7 Update 5 (64-bit) (Version: 7.0.50) 3. Prewencyjnie zmień hasła logowania w serwisach. .

Zasady działu, tu są obowiązkowe logi także z FRST i GMER. I objaśnij skąd w ogóle koncepcja wirusa, co go pokazało i w czym, oraz w jaki sposób "przestał się już nawet włączać". .

Zadania wykonane. Przepraszam, pomyliło mi się z Windows 7, a tu jest Vista. W Vista są tickboxy i Ochrona powinna być zaznaczona dla dysku z systemem. Czy wykonałeś checkdisk? Jeśli nie, w linii komend uruchomionej jako Administrator wpisz komendę chkdsk /f /r i zresetuj system. Po wykonaniu sprawdzania dysku ponów próbę z TFC. .

1. Czyszczenie z adware wykonane. Mini poprawka na wpisy szczątkowe. Otwórz Notatnik i wklej w nim: Winlogon\Notify\klogon: %SystemRoot%\System32\klogon.dll [X] C:\Windows\system32\ljkb_old C:\Users\milenka21\AppData\Local\CRE Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {6A1806CD-94D4-4689-BA73-E35EA1EA9990} /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {6A1806CD-94D4-4689-BA73-E35EA1EA9990} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {6A1806CD-94D4-4689-BA73-E35EA1EA9990} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. W folderze Minidump był tylko jeden plik. Wyniki jego debugowania nic mi nie mówią: Czy po deinstalacji Avast + Kaspersky BSODy nadal występują? W żadnym wypadku tego nie ruszać. To podstawa Windows, folder komponentów. .

Wygląda na to, że śmieci adware były już wstępnie usuwane, gdyż widzę jedynie szczątki. Pod tym kątem: 1. Otwórz Notatnik i wklej w nim: HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-search.com/?babsrc=HP_ss&mntrId=8E85001CBF0DE2E0&affID=121284&tl=gpn65238&tsp=5032 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=8E85001CBF0DE2E0&affID=121284&tl=gpn65238&tsp=5032 Task: {11E04E9E-A9BD-4FCD-B4A8-2A36A7C8029F} - System32\Tasks\AnySendUpdateLogin => C:\Program Files\AnySend\AnySendUpdater.exe Task: {27685D08-0BDD-4CB9-BFD7-592D9968B0B1} - System32\Tasks\DSite => C:\Users\komp\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE Task: {98AAA76E-C8ED-4F7D-AE38-07B97322FC5F} - System32\Tasks\AnySendUpdate => C:\Program Files\AnySend\AnySendUpdater.exe C:\Windows\system32\roboot.exe C:\ProgramData\IBUpdaterService C:\ProgramData\DSearchLink C:\Program Files\Mozilla Firefox C:\Users\komp\AppData\Roaming\AnySend C:\Users\komp\AppData\Roaming\Babylon C:\Users\komp\AppData\Roaming\DSite C:\Users\komp\AppData\Roaming\File Scout C:\Users\komp\AppData\Roaming\mozilla C:\Users\komp\AppData\Roaming\PerformerSoft C:\Users\komp\AppData\Roaming\SeeSimilar02 C:\Users\komp\AppData\Roaming\SpeedAnalysis3 C:\Users\komp\AppData\Roaming\tmpatd C:\Users\komp\AppData\Roaming\TuneUp Software C:\Users\komp\Downloads\CodecPerformerSetup.exe C:\Users\komp\Downloads\*.crdownload C:\Users\komp\Downloads\iLividSetup-r362-n-bc.exe Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. W Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adres delta-search.com, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Historia > wyczyść 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log AdwCleaner. Wypowiedz się wyraźnie czy są jakieś konkretne problemy notowane po czyszczeniu. .

Obiekty Browser Protect i TUTO4PC są składnikami adware. Do doczyszczenia jeszcze inne szczątki adware. Akcja: 1. Otwórz Notatnik i wklej w nim: C:\Users\Jacek\AppData\Local\Temp*.html C:\Users\Jacek\AppData\Roaming\Babylon C:\Users\Jacek\AppData\Roaming\Claro C:\Users\Jacek\AppData\Roaming\PerformerSoft HKLM-x32\...\Run: [] - [x] SearchScopes: HKLM-x32 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://startsear.ch/?aff=1&src=sp&cf=9cf495fa-c86a-11e1-840c-4cedde05832f&q={searchTerms} SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://startsear.ch/?aff=1&src=sp&cf=9cf495fa-c86a-11e1-840c-4cedde05832f&q={searchTerms} SearchScopes: HKCU - 34FF8BF52F6949EFAD7C6A9DE0E1C388 URL = http://startsear.ch/?aff=1&src=sp&cf=9cf495fa-c86a-11e1-840c-4cedde05832f&q={searchTerms} SearchScopes: HKCU - {0E253610-45E0-4601-A6C7-42D611C1CA2D} URL = http://startsear.ch/?aff=2&src=sp&cf=9cf495fa-c86a-11e1-840c-4cedde05832f&q={searchTerms} CHR HKLM-x32\...\Chrome\Extension: [pbiamblgmkgbcgbcgejjgebalncpmhnp] - C:\Program Files (x86)\StartSearch plugin\vshareplg.crx S3 massfilter; system32\drivers\massfilter.sys [x] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [x] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [x] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [x] CMD: sc config "PLAY ONLINE. RunOuc" start= demand Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj LiveVDO plugin 1.3 (tak, to też adware). Następnie w Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Ustawienia > karta Rozszerzenia > odinstaluj LiveVDO plugin, StartSearch Video plug-in (mogą być nieobecne po normalnej deinstalacji) 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .