picasso

Kończymy: 1. Mała poprawka. Otwórz Notatnik i wklej w nim: SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Przez SHIFT+DEL skasuj foldery: C:\FRST C:\Users\Bartosz\Desktop\Stare dane programu Firefox W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj wtyczki Adobe i Java oraz OpenOffice.org: KLIK. Wersje widziane jako zainstalowane: ==================== Installed Programs ====================== Adobe Flash Player 11 ActiveX (x32 Version: 11.8.800.175) ----> wtyczka dla IE Adobe Flash Player 11 Plugin (x32 Version: 11.8.800.168) ----> wtyczka dla Firefox Adobe Reader X (10.1.8) - Polish (x32 Version: 10.1.8) Java 7 Update 25 (x32 Version: 7.0.250) Java™ 6 Update 22 (x32 Version: 6.0.220) OpenOffice.org 3.4.1 (x32 Version: 3.41.9593) Spelling Dictionaries Support For Adobe Reader 9 (x32 Version: 9.0.0) Spybot - Search & Destroy odinstalowałabym. .

Zrobione. Kończymy: 1. Porządki po narzędziach: odinstaluj UsbFix, przez SHIFT+DEL skasuj folder C:\FRST, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj wtyczki Adobe: KLIK. Wersje widziane w Twoim raporcie: ==================== Installed Programs ====================== Adobe Flash Player 10 ActiveX (Version: 10.0.42.34) ----> wtyczka dla IE Adobe Flash Player 11 Plugin (Version: 11.8.800.168) ----> wtyczka dla Firefox Adobe Reader 9.5.5 (Version: 9.5.5) .

Wszystko wykonane. Przejdź do wykończeń: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Dla pewności zrób jeszcze skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. .

Jayix bez podbijania. Posty połączyłam wcześniej, a Ty ponawiasz działania. Udzielam odpowiedzi gdy: jestem, mogę, mam czas i wiem co powiedzieć. W systemie są następujące wady: - Podejrzane zadanie "CPU Grid Computing" w Harmonogramie zadań, które autoryzowało plik c:\windows\syswow64\dfrg\minerd.exe w Zaporze systemowej. - Inwazyjne adware nabyte z portali i trefnych instalatorów. Do czytania na potem: KLIK. A to skąd pobierałeś demaskuje np. taki plik, to nie jest instalator aplikacji tylko "Asystent pobierania" ładujący adware: C:\Users\private\Downloads\FormatFactory(13295).exe - Monstrualnie zmodyfikowany plik HOSTS, co także może pogarszać stan systemu. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=106E00FFAE90A036&affID=125032&tsp=5024 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://en.v9.com/?utm_source=b&utm_medium=update&from=update&uid=WDCXWD10EZEX-60ZF5A0_WD-WMC1S303103631036&ts=1369827968 HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.delta-search.com/?affID=119816&tt=gc_&babsrc=HP_ss&mntrId=106E00FFAE90A036 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://en.v9.com/?utm_source=b&utm_medium=update&from=update&uid=WDCXWD10EZEX-60ZF5A0_WD-WMC1S303103631036&ts=1369827968 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://en.v9.com/?utm_source=b&utm_medium=update&from=update&uid=WDCXWD10EZEX-60ZF5A0_WD-WMC1S303103631036&ts=1369827968 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://en.v9.com/?utm_source=b&utm_medium=update&from=update&uid=WDCXWD10EZEX-60ZF5A0_WD-WMC1S303103631036&ts=1369827968 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://en.v9.com/?utm_source=b&utm_medium=update&from=update&uid=WDCXWD10EZEX-60ZF5A0_WD-WMC1S303103631036&ts=1369827968 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://en.v9.com/?utm_source=b&utm_medium=update&from=update&uid=WDCXWD10EZEX-60ZF5A0_WD-WMC1S303103631036&ts=1369827968 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=pbr&from=pbr&uid=WDCXWD10EZEX-60ZF5A0_WD-WMC1S303103631036&ts=4587568 SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=pbr&from=pbr&uid=WDCXWD10EZEX-60ZF5A0_WD-WMC1S303103631036&ts=4587568 SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=pbr&from=pbr&uid=WDCXWD10EZEX-60ZF5A0_WD-WMC1S303103631036&ts=4587568 SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=pbr&from=pbr&uid=WDCXWD10EZEX-60ZF5A0_WD-WMC1S303103631036&ts=4587568 SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=119816&tt=gc_&babsrc=SP_ss_sps&mntrId=106E00FFAE90A036 SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=119816&tt=gc_&babsrc=SP_ss_sps&mntrId=106E00FFAE90A036 BHO-x32: DealPly Shopping - {4B6ACEA2-308A-4876-AD36-57CEC5B4FCC7} - No File FF Plugin-x32: @tools.bdupdater.com/BonanzaDealsLive Update;version=3 - C:\Program Files (x86)\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll (BonanzaDeals) FF Plugin-x32: @tools.bdupdater.com/BonanzaDealsLive Update;version=9 - C:\Program Files (x86)\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll (BonanzaDeals) FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\delta-homes.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\qvo6.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD10EZEX-60ZF5A0_WD-WMC1S303103631036&ts=1373384933 AppInit_DLLs-x32: c:\progra~3\browse~1\261519~1.190\{c16c1~1\browse~1.dll [ ] () Task: {193729B6-CB10-4AC7-9A94-0902ADE47245} - System32\Tasks\AdobeFlashPlayerUpdate 2 => C:\Windows\SysWOW64\FlashPlayerUpdateService.exe Task: {26B24E6E-37A9-4F89-84DC-ECC294553CD5} - System32\Tasks\DealPlyUpdate => C:\Program Task: {604D1970-680E-473A-84FE-7E0B277C2143} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-10-03] (BonanzaDeals) Task: {8C40C45D-472E-478C-9FF6-00149161C63E} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-10-03] (BonanzaDeals) Task: {93965F96-4B14-47AB-9B68-ACB7D7517B24} - System32\Tasks\DealPly => C:\Users\private\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE Task: {96BDE704-0118-4889-851C-0A5E6713991B} - System32\Tasks\CPU Grid Computing => C:\Windows\SysWOW64\dfrg\runner.exe [2013-09-19] () Task: {986EEFC2-133D-4926-8583-192CAFE7A453} - System32\Tasks\BonanzaDealsUpdate => C:\Program Task: {A5FE45EB-FECE-49E1-BAF9-CA4FA61BB50C} - System32\Tasks\Omiga Plus RunAsStdUser => C:\Program Files (x86)\Omiga Plus\omigaplus.exe Task: {AF121485-66C6-41D4-BBE2-E063361346D9} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe Task: {CE104CC6-5659-4D9A-AAAA-BA4FF44031CF} - System32\Tasks\DigitalSite => C:\Users\private\AppData\Roaming\DigitalSite\UpdateProc\UpdateTask.exe [2013-04-12] () Task: {D687AF5D-7E9A-4381-9887-BA732940E513} - System32\Tasks\AdobeFlashPlayerUpdate => C:\Windows\SysWOW64\FlashPlayerUpdateService.exe Task: {E069ED27-9833-4D7E-9162-5FE634848831} - System32\Tasks\EPUpdater => C:\Users\private\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe Task: {FB26A949-A582-473E-B605-B4F7334F513B} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\Windows\Tasks\DigitalSite.job => C:\Users\private\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE S2 bonanzadealslive; C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-10-03] (BonanzaDeals) S3 bonanzadealslivem; C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-10-03] (BonanzaDeals) R2 Update WebConnect; C:\Program Files (x86)\WebConnect\updateWebConnect.exe [65320 2013-10-04] (WebConnect) R2 Util WebConnect; C:\Program Files (x86)\WebConnect\bin\utilWebConnect.exe [65320 2013-10-04] (WebConnect) S3 gdrv; \??\C:\Windows\gdrv.sys [x] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [x] S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [x] C:\Windows\SysWOW64\dfrg C:\ProgramData\eSafe C:\Program Files (x86)\FreeTime C:\Users\private\AppData\Local\Babylon C:\Users\private\AppData\Local\Google\Chrome C:\Users\private\AppData\Roaming\BabSolution C:\Users\private\AppData\Roaming\Babylon C:\Users\private\AppData\Roaming\DealPly C:\Users\private\AppData\Roaming\Desk 365 C:\Users\private\AppData\Roaming\DigitalSite C:\Users\private\AppData\Roaming\eDownload C:\Users\private\AppData\Roaming\eIntaller C:\Users\private\AppData\Roaming\eUpdate C:\Users\private\AppData\Roaming\File Scout C:\Users\private\AppData\Roaming\Omiga Plus C:\Users\private\Downloads\FormatFactory(13295).exe Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware: Bonanza Deals, BrowserProtect, Bundled software uninstaller, DealPly (2 wystąpienia), Delta Chrome Toolbar, Delta toolbar, Search-Gol Chrome Toolbar, searchgol toolbar, Update for Codec Pack, WebConnect 3.0.0. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zresetuj plik HOSTS narzędziem Fix-it: KB972034. 7. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. Wypowiedz się czy jest poprawa. .

Prócz infekcji blokującej system jest także infekcja podmieniająca filtr PNG i powinien być notowalny problem z wyświetlaniem obrazków PNG conajmniej w Internet Explorer. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: HKCU\...\Winlogon: [shell] explorer.exe,C:\Documents and Settings\Mazurkiewiczowie\Dane aplikacji\data.dat [102400 2010-12-09] () HKCU\...\InprocServer32: [Default-pngfilt] C:\DOCUME~1\MAZURK~1\USTAWI~1\Temp\DB9.tmp HKLM\...\Run: [KernelFaultCheck] - %systemroot%\system32\dumprep 0 -k CHR HKLM\...\Chrome\Extension: [ejpbbhjlbipncjklfjjaedaieimbmdda] - C:\Documents and Settings\Mazurkiewiczowie\Ustawienia lokalne\Dane aplikacji\CRE\ejpbbhjlbipncjklfjjaedaieimbmdda.crx C:\Documents and Settings\Mazurkiewiczowie\Dane aplikacji\data.dat C:\Documents and Settings\Mazurkiewiczowie\Dane aplikacji\settings.ini Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Opuść Tryb awaryjny. 2. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. 3. Odinstaluj McAfee Security Scan Plus. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

To spory przypadek, że już trzeci raz łapiesz tę samą infekcję. Ten "plik od kolegi": czy jest jakiś dowód, że plik był zainfekowany już na poziomie jego komputera? Od kiedy posiadasz ten plik i czy ten plik był zgromadzony na którymś dysku wcześniej? W Twoich raportach są pliki autorun.inf infekcji na wszystkich dyskach, a to sugeruje, że infekcja mogła być nabyta przez media przenośne. Co do formata: SalityKiller to "protetyka", leczenie z wirusa w wykonywalnych zawsze ma skutki uboczne, system nigdy nie uzyskuje stanu jak przed infekcją, tylko że wady / uszkodzenia plików mogą się ujawnić w późniejszym czasie. Dlatego też po pomyślnym zdeaktywowaniu infekcji i tak się powinno zrobić format. Nadal nie podałeś raportów z FRST i GMER. Na teraz działania: 1. Uruchom SalityKiller. Kilka przebiegów narzędziem, aż zostanie uzyskany stan zero zainfekowanych. 2. Uruchom TFC - Temp Cleaner. 3. Zrób komplet logów: FRST, OTL, GMER i USBFix z opcji Listing. .

Oznak infekcji "Polizją" brak, ale system należy wyczyścić z adware. Log z OTL pokazywał drobne adware, niestety FRST wykazuje nową niekorzystną zmianę i o wiele większą ilość nowych adware. Wygląda na to, że nieuważnie coś pobierałeś i na potem będzie do czytania materiał: KLIK. Do przeprowadzenia następujące działania: 1. Otwórz Notatnik i wklej w nim: HKCU\...\Run: [NTRedirect] - C:\windows\SysWOW64\rundll32.exe "C:\Users\arekw77\AppData\Roaming\BabSolution\Shared\enhancedNT.dll",Run HKLM-x32\...\Run: [tuto4pc_pl_16] - [x] HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC07854&ts=1381741559 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC07854&ts=1381741559 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC07854&ts=1381741559 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC07854&ts=1381741559 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC07854&ts=1381741559 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC07854&ts=1381741559 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC07854&ts=1381741559 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC07854&ts=1381741559&type=default&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC07854&ts=1381741559&type=default&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC07854&ts=1381741559&type=default&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC07854&ts=1381741559&type=default&q={searchTerms} SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC07854&ts=1381741559&type=default&q={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=16E7CAF73313FF93&affID=119357&tsp=4975 SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC07854&ts=1381741559&type=default&q={searchTerms} FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC07854&ts=1381741559 FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\qvo6.xml CHR StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC07854&ts=1381741559 CHR HKLM-x32\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\arekw77\AppData\Roaming\BabSolution\CR\Delta.crx CHR HKLM-x32\...\Chrome\Extension: [ifohbjbgfchkkfhphahclmkpgejiplfo] - C:\Users\arekw77\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx CHR HKLM\SOFTWARE\Policies\Google: Policy restriction Task: {08DF1242-74D0-44C4-86FF-99C542A13CCF} - System32\Tasks\EPUpdater => C:\Users\arekw77\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-08-04] () Task: {4E19DDF5-3BB0-4B89-A8E3-4BEFB5E42D9A} - System32\Tasks\DigitalSite => C:\Users\arekw77\AppData\Roaming\DigitalSite\UpdateProc\UpdateTask.exe [2013-04-12] () Task: {6D7CF1A1-1B90-4003-BCC7-A211AD4E25F8} - System32\Tasks\QtraxPlayer => C:\Program Files (x86)\Microsoft Silverlight\sllauncher.exe [2013-09-13] (Microsoft Corporation) Task: {7E3CEC02-8123-4E44-AC6C-86A6BD8DD516} - System32\Tasks\BonanzaDealsUpdate => C:\Program Task: {D06D6490-FF7C-4231-B481-6B08408D384E} - System32\Tasks\Dealply => C:\Users\arekw77\AppData\Roaming\Dealply\UpdateProc\UpdateTask.exe [2013-04-12] () Task: {F9C15E7E-CE7E-4E08-A35D-1F8F2F7335A7} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-10-14] (BonanzaDeals) Task: {FB35A378-FFFD-4EAD-B441-5E4F665910D9} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-10-14] (BonanzaDeals) Task: C:\windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\windows\Tasks\Dealply.job => C:\Users\arekw77\AppData\Roaming\Dealply\UpdateProc\UpdateTask.exe S2 bonanzadealslive; C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-10-14] (BonanzaDeals) S3 bonanzadealslivem; C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-10-14] (BonanzaDeals) R2 PanService; C:\Program Files (x86)\PANDORA.TV\PanService\PandoraService.exe [625304 2012-09-28] (Pandora.TV) R2 WsysSvc; C:\ProgramData\eSafe\eGdpSvc.exe [1706064 2013-10-14] (Wsys Co., Ltd.) S3 SBIOSIO; \??\C:\Windows\Temp\SBIOSIO64.SYS [x] S3 TVICPORT; \??\C:\windows\system32\DRIVERS\TVICPORT.SYS [x] C:\Users\arekw77\AppData\Roaming\0D0S1L2Z1P1B0T1P1B2Z C:\Users\arekw77\AppData\Roaming\BabSolution C:\Users\arekw77\AppData\Roaming\Babylon C:\Users\arekw77\AppData\Roaming\Dealply C:\Users\arekw77\AppData\Roaming\Delta C:\Users\arekw77\AppData\Roaming\DigitalSite C:\Users\arekw77\AppData\Roaming\DSite C:\Users\arekw77\Desktop\DownloadAcceleratorSetup.exe Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: Bonanza Deals, Bundled software uninstaller, MiPony 2.0.2, Mipony Download Accelerator Packages, Pandora Service, Update for Mipony Download Accelerator, Wsys Control 10.2.1.2652. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Wyczyść Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adresy tam otwierane, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adresy tam otwierane Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy śmieci. Ustawienia > karta Rozszerzenia > odinstaluj Delta Toolbar, BonanzaDeals Ustawienia > karta Historia > wyczyść 5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Logi pochodzą z systemu Windows 8, a była mowa o podpinaniu dysku do systemu XP. Czy ten XP jest dostępny? To z niego powinny być zrobione raporty, by wyczyścić źródło infekcji. W kwestii urządzenia: widoczneb skróty są obiektami infekcji, foldery właściwe są ukryte (widoczne tylko po odznaczeniu opcji "Ukryj chronione pliki systemu operacyjnego"). 1. Otwórz Notatnik i wklej w nim: E:\*.lnk CMD: attrib /d /s -s -h E:\* C:\Users\KlaudiaM\AppData\Local\Temp\ICReinstall_OTL_3.2.70.2 (25180).exe SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&affID=119816&tt=gc_&babsrc=SP_ss&mntrId=8AEC0026C623F1CB HKCU\...\Run: [AdobeBridge] - [x] S3 hwusbdev; \SystemRoot\system32\DRIVERS\ewusbdev.sys [x] S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [x] S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [x] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Dodatkowe działania nie związane z infekcją skrótami: - Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. - Zresetuj cache wtyczek Google Chrome: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. 3. Zrób nowy log USBFix z opcji Listing (bez Addition). Dołącz plik fixlog.txt. .

Czy Ty sobie "zgadywałeś" te braki ATI/nVidia w WinSxS czy robota precyzyjna? Poproszę o dokładne dane, które spowodowały uzupełnianie tych konkretnych plików plus informacja jak to uzupełnianie wyglądało. A aktualizowanie w Trybie awaryjnym zwraca błędy, gdyż są niektóre procesy, które nie mogą być prowadzone w Trybie awaryjnym. Kilka adnotacji z CBS.LOG: 2013-10-01 17:33:45, Info CBS Failed to get IVssSnapshotMgmt interface. [hrESULT = 0x8007043c - ERROR_NOT_SAFEBOOT_SERVICE]2013-10-01 17:33:45, Info CBS SQM: Warning: Failed to get System Restore max diff area. The data won't be available. [hrESULT = 0x8007043c - ERROR_NOT_SAFEBOOT_SERVICE] 2013-10-01 17:36:47, Info CBS Obtained poqexec from Cbs key. C:\Windows\System32\poqexec.exe /display_progress \SystemRoot\WinSxS\pending.xml 2013-10-01 17:36:47, Error CBS Startup: SafeMode: Safemode entered while needing to process Primitives, rolling back and cancelling the transaction. [hrESULT = 0x80004005 - E_FAIL] 2013-10-01 17:36:47, Info CBS Setting ExecuteState key to: CbsExecuteStateStageDrivers | CbsExecuteStateFlagRollback | CbsExecuteStateFlagDriversFailed 2013-10-01 17:36:47, Info CBS Progress: UI message updated. Operation type: Service Pack. Stage: 1 out of 1. Rollback. 2013-10-01 17:36:47, Info CBS Progress: UI message updated. Operation type: Service Pack. Stage: 1 out of 1. Rollback. CBS.LOG wskazuje, że problem stanowi aktualizacja sterowników: 2013-10-01 17:35:45, Info CBS Progress: UI message updated. Operation type: Service Pack. Stage: 1 out of 1. Percent progress: 9.2013-10-01 17:35:45, Info CBS INSTALL index: 67, phase: 2, result 0, inf: keyboard.inf 2013-10-01 17:35:45, Info CBS INSTALL index: 68, phase: 2, result 0, inf: input.inf 2013-10-01 17:35:45, Info CBS INSTALL index: 69, phase: 2, result 0, inf: usbstor.inf 2013-10-01 17:35:45, Info CBS INSTALL index: 70, phase: 2, result 0, inf: vhdmp.inf 2013-10-01 17:35:45, Info CBS INSTALL index: 71, phase: 2, result 0, inf: 1394.inf 2013-10-01 17:35:45, Info CBS INSTALL index: 72, phase: 2, result 0, inf: nvraid.inf 2013-10-01 17:35:45, Info CBS INSTALL index: 73, phase: 2, result 0, inf: iastorv.inf 2013-10-01 17:35:45, Info CBS INSTALL index: 74, phase: 2, result 0, inf: amdsata.inf 2013-10-01 17:35:45, Info CBS INSTALL index: 75, phase: 2, result 0, inf: hpsamd.inf 2013-10-01 17:35:46, Info CBS INSTALL index: 76, phase: 2, result 0, inf: volume.inf 2013-10-01 17:35:46, Info CBS INSTALL index: 77, phase: 2, result 0, inf: sbp2.inf 2013-10-01 17:35:46, Info CBS INSTALL index: 78, phase: 2, result 0, inf: cdrom.inf 2013-10-01 17:35:46, Info CBS INSTALL index: 80, phase: 2, result 0, inf: usb.inf 2013-10-01 17:35:47, Info CBS INSTALL index: 81, phase: 2, result 0, inf: usbport.inf 2013-10-01 17:35:47, Info CBS INSTALL index: 82, phase: 2, result 0, inf: umbus.inf 2013-10-01 17:35:47, Info CBS INSTALL index: 84, phase: 2, result 0, inf: mchgr.inf 2013-10-01 17:35:47, Info CBS INSTALL index: 85, phase: 2, result 0, inf: iscsi.inf 2013-10-01 17:35:47, Info CBS INSTALL index: 86, phase: 2, result 0, inf: ipmidrv.inf 2013-10-01 17:35:47, Info CBS INSTALL index: 87, phase: 2, result 0, inf: mdmcpq.inf 2013-10-01 17:35:47, Info CBS INSTALL index: 88, phase: 2, result 0, inf: prnms002.inf 2013-10-01 17:35:47, Info CBS INSTALL index: 89, phase: 2, result 0, inf: wpdcomp.inf 2013-10-01 17:35:47, Info CBS INSTALL index: 96, phase: 2, result 0, inf: netrndis.inf 2013-10-01 17:35:47, Info CBS INSTALL index: 102, phase: 2, result 0, inf: bth.inf 2013-10-01 17:35:47, Info CBS INSTALL index: 103, phase: 2, result 0, inf: bth.inf 2013-10-01 17:35:47, Info CBS INSTALL index: 104, phase: 2, result 0, inf: usbport.inf 2013-10-01 17:35:47, Info CBS INSTALL index: 105, phase: 2, result 0, inf: usb.inf 2013-10-01 17:35:47, Info CBS INSTALL index: 106, phase: 2, result 0, inf: usbstor.inf 2013-10-01 17:35:47, Info CBS INSTALL index: 107, phase: 2, result 0, inf: nvraid.inf 2013-10-01 17:35:47, Info CBS INSTALL index: 108, phase: 2, result 0, inf: iastorv.inf 2013-10-01 17:35:47, Info CBS INSTALL index: 109, phase: 2, result 0, inf: amdsata.inf 2013-10-01 17:35:47, Info CBS INSTALL index: 44, phase: 3, result 0, inf: tsgenericusbdriver.inf 2013-10-01 17:35:47, Info CBS INSTALL index: 45, phase: 3, result 0, inf: tsusbhubfilter.inf 2013-10-01 17:35:47, Info CBS INSTALL index: 46, phase: 3, result 3, inf: winusb.inf 2013-10-01 17:35:48, Info CBS DriverUpdateInstallUpdates failed [hrESULT = 0x80070003 - ERROR_PATH_NOT_FOUND] 2013-10-01 17:35:48, Error CBS Doqe: Failed installing driver updates [hrESULT = 0x80070003 - ERROR_PATH_NOT_FOUND] 2013-10-01 17:35:48, Info CBS Perf: Doqe: Install ended. 2013-10-01 17:35:48, Info CBS Failed installing driver updates [hrESULT = 0x80070003 - ERROR_PATH_NOT_FOUND] 2013-10-01 17:35:48, Error CBS Shtd: Failed while processing non-critical driver operations queue. [hrESULT = 0x80070003 - ERROR_PATH_NOT_FOUND] 2013-10-01 17:35:48, Info CBS Shtd: Rolling back KTM, because drivers failed. 2013-10-01 17:35:48, Info CBS Progress: UI message updated. Operation type: Service Pack. Stage: 1 out of 1. Temporary Rollback. 2013-10-01 17:35:48, Info CBS Progress: UI message updated. Operation type: Service Pack. Stage: 1 out of 1. Temporary Rollback. Dostarcz dodatkowy raport C:\Windows\inf\setupapi.dev.log. .

Na wszelki wypadek pokaż jeszcze nowy log z FRST, który ma udowodnić poprawne wykonanie zadań ze spoilera.

Gekonica I jeszcze poproszę o log z FRST zrobiony spod Windows (ma powstać także plik Addition), gdyż w raporcie wcześniej podanym były widoczne szczątki adware. Aktualizacje są istotne, nie wyłączaj ich. oskar1415 Pewne aktualizacje i tak wymagają restartu komputera i są aplikowane w fazie przy zamykaniu systemu + kontynuacja zaraz po starcie, więc ryzyko wystąpienia podobnej usterki nadal istnieje, jeśli ten proces zostanie przerwany ręcznym resetem. .

W systemie są kopie brakującego pliku. Przekopiuj jedno z wystąpień do katalogu system32: 1. W Notatniku przygotuj plik o treści: CMD: copy /y C:\Windows\winsxs\x86_microsoft-windows-gdi_31bf3856ad364e35_6.1.7601.22195_none_ac0e7fd2d22636de\lpk.dll C:\Windows\System32\lpk.dll Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Sprawdź czy możesz wejść do Windows. Dołącz plik fixlog.txt. .

dejko, sprawa z adware to sprawa podrzędna i nie powinno mieć to żadnego związku z innymi objawami. AdwCleaner dokończył sprawy, tylko że mam zastrzeżenie do tego skąd go pobierałeś: z Instalek a nie strony domowej, a jak biję tu na alarm tylko na stronie domowej jest gwarant najnowszej wersji. Dodatkowa uwaga: GMER robiony w niewłaściwym środowisku (czynny sterownik SPTD od emulatora napędów wirtualnych). Temat przenoszę do działu Windows. 1. Sterowniki: nie objaśniłeś o jakie konkretnie chodzi. Ja tu z raportów nie jestem w stanie konkretnie się tego dowiedzieć, widzę tylko tyle, że aktualnie w Menedżerze urządzeń jest taki defekt Ericsson: ==================== Faulty Device Manager Devices ============= Name: Ericsson F3507g Mobile Broadband Minicard Composite Device Description: Ericsson F3507g Mobile Broadband Minicard Composite Device Class Guid: {4D36E97E-E325-11CE-BFC1-08002BE10318} Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. ... oraz że rzuca błędami czytnika: System errors: ============= Error: (10/08/2013 00:55:30 PM) (Source: Service Control Manager) (User: ) Description: Usługa AuthenTec Fingerprint Service niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. Error: (09/13/2013 08:41:29 AM) (Source: SCardSvr) (User: ) Description: Obiekt Czytnik kart inteligentnych „ACS ACR38U 0” odrzucił IOCTL EJECT: Żądanie nie jest obsługiwane. Error: (09/13/2013 08:41:28 AM) (Source: SCardSvr) (User: ) Description: Obiekt Czytnik kart inteligentnych „ACS ACR38U 0” odrzucił IOCTL POWER: Karta inteligentna nie odpowiada na resetowanie. Error: (09/13/2013 08:41:28 AM) (Source: 0) (User: ) Description: IOCTL POWER failed with status 0xc0000014 Error: (09/13/2013 08:41:27 AM) (Source: SCardSvr) (User: ) Description: Obiekt Czytnik kart inteligentnych „ACS ACR38U 0” odrzucił IOCTL POWER: Karta inteligentna nie odpowiada na resetowanie. Error: (09/13/2013 08:41:27 AM) (Source: 0) (User: ) Description: IOCTL POWER failed with status 0xc0000014 Error: (09/13/2013 08:41:26 AM) (Source: SCardSvr) (User: ) Description: Obiekt Czytnik kart inteligentnych „ACS ACR38U 0” odrzucił IOCTL POWER: Karta inteligentna nie odpowiada na resetowanie. Error: (09/13/2013 08:41:26 AM) (Source: 0) (User: ) Description: IOCTL POWER failed with status 0xc0000014 Error: (08/27/2013 01:31:37 PM) (Source: SCardSvr) (User: ) Description: Obiekt Czytnik kart inteligentnych „ACS ACR38U 0” odrzucił IOCTL GET_STATE: Urządzenie zostało usunięte. W kwestii czytnika proponuję przeczytać wstępnie ten wątek: KLIK. 2. Problem z zamykaniem systemu: prawdopodobnie jest to związane z owym czytnikiem. Dodatkowo możesz też przeprowadzić inne działania: - Zrób klasyczny test z czystym rozruchem (KB310353), by sprawdzić czy to wniesie coś do sprawy. - W Dzienniku zdarzeń widzę też takie błędy: Application errors: ================== Error: (10/08/2013 01:06:16 PM) (Source: Bonjour Service) (User: ) Description: Task Scheduling Error: m->NextScheduledSPRetry 328375 Error: (10/08/2013 01:06:16 PM) (Source: Bonjour Service) (User: ) Description: Task Scheduling Error: m->NextScheduledEvent 328375 Error: (10/08/2013 01:06:16 PM) (Source: Bonjour Service) (User: ) Description: Task Scheduling Error: Continuously busy for more than a second Odinstaluj Bonjour. .

Skrypt pomyślnie wykonany. Kończ sprawy u siebie: 1. Przez SHIFT+DEL skasuj foldery: C:\FRST C:\Users\Keleth\Desktop\Stare dane programu Firefox Odinstaluj USBFix, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Do aktualizacji cały Windows i wyliczone poniżej programy: KLIK / KLIK. Stan notowany w raporcie: Microsoft Windows 7 Ultimate (X86) OS Language: Polish Internet Explorer Version 8 ==================== Installed Programs ====================== Adobe Flash Player 11 Plugin (Version: 11.8.800.168) ----> wtyczka dla Firefox Gadu-Gadu 10 Google Chrome (Version: 29.0.1547.76) Java 7 Update 17 (Version: 7.0.170) Mozilla Firefox 23.0.1 (x86 pl) (Version: 23.0.1) Dostarcz komplet logów z jej komputera (FRST, OTL, GMER, USBFix z opcji Listing). .

Temat przenoszę do działu Windows. Nie ma żadnych oznak, iż problem tworzy infekcja. W systemie widać owszem adware, ale to nie może mieć wpływu na niezdolnoś uruchomienia Windows. W raportu jest dostępny punkt Przywracania systemu sprzed dwóch dni: ==================== Restore Points ========================= 1 Restore point made on: 2013-10-11 19:58:32 Toteż proponuję: start do WinRE i uruchomienie Przywracania systemu. Jeśli to się uda, po przejściu do Windows zrób nowe raporty FRST (zaznacz, by powstał plik Addition), które posłużą do precyzyjnego usuwania śmieci adware. .

Zasady działu do wglądu. Tu są obowiązkowe także logi z FRST i GMER. Proszę dostarcz. .

W systemie działa infekcja uruchamiana przez Harmonogram zadań. Infekcja ta wyłącza Centrum zabezpieczeń, Przywracanie systemu i Windows Defender / MSSE. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: Task: {B2ECE1E3-8F8D-4081-AC7F-0704A21E5D92} - System32\Tasks\Kvkzm => C:\Windows\system32\RPCNDFPV.dll [2013-07-17] () Task: C:\Windows\Tasks\Kvkzm.job => C:\Windows\system32\RPCNDFPV.dll C:\Windows\system32\RPCNDFPV.dll C:\Users\Ziom Forever\AppData\Local\Temp*.html C:\Users\Ziom Forever\AppData\Local\Google\Chrome BHO: No Name - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No File FF HKLM\...\Firefox\Extensions: [{00ADD29A-66F4-4f22-BCC0-4C1D29DA647B}] - C:\Program Files\LG Electronics\LG PC Suite IV\LinkAir\{00ADD29A-66F4-4f22-BCC0-4C1D29DA647B}\ U1 eabfiltr; S3 usbbus; system32\DRIVERS\lgusbbus.sys [x] S3 UsbDiag; system32\DRIVERS\lgusbdiag.sys [x] S3 USBModem; system32\DRIVERS\lgusbmodem.sys [x] U2 wuaserv; Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zaktywuj funkcje wyłączone przez malware: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Windows Defender nie będzie tu włączany, gdyż w tle działa NIS. Ochrona systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików" 3. Odinstaluj zbędny Pasek narzędzi AOL 5.0. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition) + OTL (bez Extras). Dołącz plik fixlog.txt. .

Brakuje pliku Addition FRST, proszę dodaj.

Gekonica, proszę nie podbijaj tematu pytaniami, bo to nic nie przyśpieszy. Zasady działu wyraźnie mówią o ciepliwości. Nikt tu nie siedzi 24/7. Temat przenoszę do działu Windows, bo nie ma związku z infekcją. Dropbox bez związku, kompletnie inna sfera modyfkacji. Raport FRST pokazuje, że brakuje tego pliku Windows (związany z pakietami językowymi) z kategorii KnownDLLs: ==================== Known DLLs (Whitelisted) ============ C:\Windows\System32\LPK.dll IS MISSING Brak pliku uniemożliwia start Windows. Poproszę o skan dodatkowy. Uruchom FRST, w linii Search wpisz nazwę pliku: LPK.dll Klik w Search File(s). Przedstaw wynikowy log Search.txt utworzony w tym samym katalogu z którego uruchamiano FRST. .

Skrypt pomyślnie wykonany. Natomiast wyniki skanu SystemLook mówią, iż nie ma uszkodzeń. Zresetuj system i zrób nowy log z FRST (bez Addition) dla pewności czy na pewno odczyt został automatycznie skorygowany. .

Kombinowałeś z podstawianiem pliku rundll32, jedna z lokalizacji nieprawidłowa: 2013-10-12 10:15 - 2008-04-14 22:51 - 00033280 ____C (Microsoft Corporation) C:\WINDOWS\system32\dllcache\rundll32.exe 2013-10-12 10:15 - 2008-04-14 22:51 - 00033280 _____ (Microsoft Corporation) C:\WINDOWS\system32\rundll32.exe 2013-10-12 08:23 - 2008-04-14 22:51 - 00033280 _____ (Microsoft Corporation) C:\WINDOWS\rundll32.exe Fixlog wskazuje, że skrypt został użyty dwa razy, co nie ma sensu, gdyż skrypt nie powtórzy usuwania tych samych elementów. Poza tym, Fixlog wygląda na niekompletny, jest odcięta mniej więcej połowa wyników. Powtórka: 1. Otwórz Notatnik i wklej w nim: C:\WINDOWS\rundll32.exe BHO: No Name - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No File BHO: No Name - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No File Unlock: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v 3656936363 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f FF HKLM\...\Firefox\Extensions: [wrc@avast.com] - C:\Program Files\AVAST Software\Avast\WebRep\FF AV: avast! Antivirus (Disabled - Up to date) {7591DB91-41F0-48A3-B128-1A293FD8233D} Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

Wszystko wykonane. Kończymy: 1. Przez SHIFT+DEL skasuj foldery: C:\32788R22FWJFW C:\FRST C:\Users\Olga Wiesio\Desktop\Stare dane programu Firefox C:\windows\erdnt W OTL uruchom Sprzątanie. 2. Uruchom TFC - Temp Cleaner. 3. Wyczyść foldery Przywracania systemu: KLIK. .

Ponawiam pytanie: czy nadal widzisz stronę blokady? Wpis PUM.Disabled.SecurityCenter bez znaczenia, to nawet nie jest infekcja w rozumieniu potocznym, tylko komunikat iż są wyłączone powiadomienia Centrum zabezpieczeń. Ta modyfikacja może mieć różne źródła: celowe ręczne akcje użytkownika / tweaker lub infekcja. Program nie jest zdolny wskazać źródło. .

Są nowe zasady działu i obowiązkowe są raporty z FRST. Kolejna sprawa: skoro infekcja ma miejsce już po raz trzeci, gdzieś jest źródło wirusa, które uruchamiasz i reinfekujesz system. Poza tym, to już trzeci raz, więc tu zalecam format dysku a nie czyszczenie. Po pomyślnym czyszczeniu Sality format i tak jest dobrym rozwiązaniem, ponieważ nawet wyleczone pliki mogą być po prostu uszkodzone. Zakres szkód trudny do zdiagnozowania, naprawy ręczne nieopłacalne. .

Do przeprowadzenia następujące działania: 1. Otwórz Notatnik i wklej w nim: U2 *etadpug; "C:\Program Files (x86)\Google\Desktop\Install\{44ed8363-71b7-b030-c4a3-bda14e250c8f}\ \...\???\{44ed8363-71b7-b030-c4a3-bda14e250c8f}\GoogleUpdate.exe" HKCU\...\Run: [Google Update*] - [x] HKCU\...\Policies\Explorer: [RestrictRun] 0 HKLM\...\Policies\Explorer: [RestrictRun] 0 HKLM-x32\...\Run: [tuto4pc_pl_17] - [x] Task: {247463FE-FD5F-40EC-BE19-9118AB08F2F6} - System32\Tasks\0 => Iexplore.exe Task: {32065735-1A8A-4CF8-BCE8-F36624A53C61} - System32\Tasks\4702 => C:\Users\admin\AppData\Local\Temp\launchie.vbsC:\Users\admin\AppData\Local\Temp\launchie.vbs //B AlternateDataStreams: C:\Users\admin\Local Settings:qZ8udoIq3xBhSNPTcITW AlternateDataStreams: C:\Users\admin\AppData\Local:qZ8udoIq3xBhSNPTcITW AlternateDataStreams: C:\Users\admin\AppData\Local\Application Data:qZ8udoIq3xBhSNPTcITW AlternateDataStreams: C:\Users\admin\AppData\Local\Temporary Internet Files:FLGftShT5xX4DR6v27GgYjgx1FWgj HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" S3 SwitchBoard; "C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [x] S3 catchme; \??\C:\ComboFix\catchme.sys [x] C:\Program Files (x86)\predm C:\Program Files (x86)\Google\Desktop C:\Users\admin\AppData\Local\Google\Desktop C:\Users\admin\Desktop\Antivirus Security Pro.lnk C:\Users\admin\Desktop\Antivirus Security Pro support.url C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antivirus Security Pro C:\Users\admin\AppData\Roaming\Mozilla\Firefox\profiles\extensions\extensions C:\Users\admin\AppData\Roaming\Mozilla\Firefox\profiles\extensions\prefs.js C:\Users\admin\AppData\Roaming\logs C:\Users\admin\Desktop\SkryBot-doMowy(22258).exe DeleteJunctionsInDirectory: C:\Program Files\Windows Defender DeleteJunctionsInDirectory: C:\Program Files\Microsoft Security Client CMD: netsh winsock reset Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Jeśli FRST nie wymusi restartu, zrób to ręcznie. 2. Uruchom ServicesRepair i zresetuj system. 3. Uruchom TFC - Temp Cleaner. 4. Wyczyść Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy qvo6. Ustawienia > karta Historia > wyczyść 5. Zrób nowe logi: FRST (bez Addition) + Farbar Service Scanner. Dołącz plik fixlog.txt. .