picasso

Wyniki sprawdzania domeny trainstationgame.com pod kątem certyfikatów: KLIK. Był resetowany Firefox, w profilu Firefox jest trzymana baza certyfikatów (cert8.db). Skutki resetu powinny być dokładnie odwrotne od tu zastanych, czyli raczej naprawa niż szkody, ale kto to wie. Spróbuj instalacji certyfikatu RapidSSL CA wg kroków: 1. Otwórz ten link: KLIK. Przeklej treść pierwszego certyfikatu do Notatnika i zapisz plik jako: Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.CRT 2. W Firefox: Opcje > Zaawansowane > Szyfrowanie > Wyświetl certyfikaty > Importuj > wskaż plik FIX.CRT. We właściwościach ma być zaznaczone "Ten certyfikat identyfikuje witryny". 3. Zamknij Firefox i uruchom ponownie. .

W związku z tym użyj zamiennie Junkware Removal Tool. Po tym zrób też nowy log z FRST. .

Problemem na pewno było rozszerzenie adware a2zLyrics-1. Ten DblClicker oceniłam zbyt pochopnie (ale reset Firefox i tak wywaliłby go niezależnie od oceny), zainstaluj go sobie ponownie. Pokaż mi obrazek z konfiguracją tych opcji, co tam jest, bo nie pamiętam opcji ESET. Poza tym, sprawdź też co się dzieje po wyłączeniu osłon ESET. .

Wykonane. Przechodzimy do kolejnej porcji zadań: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST i używane fiksy/SetACL, w OTL uruchom Sprzątanie. 2. Uruchom TFC - Temp Cleaner. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Na wszelki wypadek zrób jeszcze pełne skanowanie w Malwarebytes Anti-Malware. Jeżeli program coś znajdzie, przedstaw raport. .

Zadania pomyślnie wykonane. Kończąc sprawę czyszczenia systemu: 1. Przez SHIFT+DEL skasuj z dysku foldery: C:\FRST C:\Users\Zombol\Desktop\Stare dane programu Firefox W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. Sprawdź opcje ESET, na forum wystąpił problem certyfikatów relatywny do ustawień programu: KLIK. .

Kolejne rzeczy do wykonania: 1. Zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Przetestuj tzw. "czysty rozruch": KB310353. 3. W Dzienniku zdarzeń jest taki oto błąd WMI: [ Application Events ] Error - 2013-09-26 13:26:21 | Computer Name = PATRYK-A3577D23 | Source = SecurityCenter | ID = 1802 Description = Usługa Centrum zabezpieczeń systemu Windows nie może ustanowić kwerend zdarzeń z WMI, aby monitorować zaporę i program antywirusowy innej firmy. Wstępnie zresetuj Repozytorium WMI. Start > Uruchom > services.msc i na liście zatrzymaj usługę Instrumentacja zarządzania Windows. Następnie skasuj cały folder C:\Windows\system32\wbem\repository. Wznów pracę usługi Instrumentacji. 4. System w fatalnym stanie aktualizacyjnym i wszystko do nadrobienia: KLIK. Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.11) Wszystko gra. Cytuję z mojego artykułu (KLIK): Po prostu dwuklik na ramkę. .

Wszystko poprawnie wykonane. Przechodzimy dalej. Konkretnie usunięcie zablokowanej kwarantanny FRST. Otwórz Notatnik i wklej w nim: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Możemy więc przejść do ostatecznej części zabezpieczającej: 1. Aktualizacje oprogramowania: KLIK. Konkretnie z Twojej listy kwalifikacje mają: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3 "{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 17 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera) "ENTERPRISE" = Microsoft Office Enterprise 2007 ----> instalacja SP3 "Mozilla Firefox 4.0.1 (x86 en-US)" = Mozilla Firefox 4.0.1 (x86 en-US) "Opera 11.64.1403" = Opera 11.64 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_7_700_202.dll () FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation) Należy zwrócić uwagę, że obecnie Java to zagrożenie, luki / exploity. Najlepiej Java w ogóle nie posiadać. U Ciebie jest OpenOffice.org, który jednak jej wymaga, więc aktualizacja Java + OpenOffice.org przy jednoczesnym wyłączeniu Java w przeglądarkach: KLIK. 2. Wyposażenie się w dodatkową metodę zabezpieczeń, inną niż klasyczny antywirus, a konkretnie wirtualne środowisko / piaskownicę. Przykładem takiej aplikacji jest komercyjne SandBoxie. W wymaganiach systemowych jest podany ogólny zakres platform od XP do Windows 8, nie jestem pewna jednak czy biorą pod uwagę platformy serwerowe. .

Zabrakło pliku fixlog.txt, który FRST utworzył podczas usuwania. Dodaj go. I przejdę do dodatkowego usuwania, bo kurcze załadowałeś w międzyczasie adware!

To jest szczątek (już nieaktywny) po rootkicie ZeroAccess, a konkretnie odpadek po usłudze etadpug. Upewnij się, że podkreślone tu usuwanie było skuteczne (klucz jest zablokowany przez uprawnienia), tzn. ponów skan, by sprawdzić czy na pewno MBAM już tego nie notuje. .

Ten zrzut ekranu z procesów niepełny (wykluczone procesy systemowe), nie zaznaczyłeś opcji "Pokaż procesy wszystkich użytkowników", ale on nie jest mi potrzebny. Nie można ocenić co siedzi w Operze, gdyż żadne z używanych tu narzędzi analitycznych nie skanuje preferencji Opery. To co wykrył MBAM jest w większości bez znaczenia (nieczynna kwarantanna AdwCleaner + konfiguracja powiadomień Centrum zabezpieczeń), z wyjątkiem owych luźnych plików na C:\, które zapewne są skorelowane z tym: W raportach są ślady infekcji wirusem Sality, który niszczy wszystkie pliki wykonywalne na wszystkich dyskach: ukryte pliki autorun.inf na dyskach oraz autoryzacje z opisem "ipsec" w Zaporze. Błąd "Aplikacja nie została właściwie uruchomiona" jest charakterystyczny dla obecności tego wirusa (uszkodzona aplikacja). Dodatkowa rzecz, która zwraca uwagę w raportach (w tym GMER,) to obecność i aktywność odpadkowego sterownika McAfee relatywnego do firewalla 1. Uruchom SalityKiller. Skan masz wykonać tyle razy, aż otrzymasz zwrot "zero zainfekowanych". Wtedy: 2. Otwórz Notatnik i wklej w nim: Task: {79D0B2B6-FAE6-41DF-872D-7291BD70C032} - System32\Tasks\McDefragTask => c:\PROGRA~1\mcafee\mqc\QcConsol.exe Task: {EE789BB2-CA6B-4CCF-89EB-C2210E86F800} - System32\Tasks\McQcTask => c:\PROGRA~1\mcafee\mqc\QcConsol.exe AlternateShell: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" R1 MPFP; C:\Windows\System32\Drivers\Mpfp.sys [130424 2009-04-09] (McAfee, Inc.) S3 EagleXNt; \??\C:\windows\system32\drivers\EagleXNt.sys [x] S3 vtany; \??\C:\windows\vtany.sys [x] S3 xhunter1; \??\C:\windows\xhunter1.sys [x] C:\Windows\System32\Drivers\Mpfp.sys C:\autorun.inf D:\autorun.inf Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /f Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Uruchom TFC - Temp Cleaner. 4. Uruchom McAfee Consumer Product Removal Tool i zresetuj system. 5. Zrób nowe logi: skan FRST (bez Addition) + USBFix z opcji Listing. Dołącz plik fixlog.txt. Wypowiedz się co robił SalityKiller. .

Na dysku jest folder: ==================== One Month Created Files and Folders ======== 2013-10-02 23:58 - 2013-10-03 00:02 - 00000000 ____D C:\AdwCleaner Co w nim jest? .

Dokończ sprawy czyszczenia systemu: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Porównaj co wymaga aktualizacji: KLIK. Czasem się to zdarza, problem nie jest ekskluzywny dla Avast. Programy antywirusowe są rozbudowanym softem (inwazyjne sterowniki / obiekty). Piastuję przekonanie, że dowolny antywirus z puli silnych marek (nic niszowego) jest dobrym rozwiązaniem. Avast który tu był też w to się wpisuje, ostatecznie mógłbyś spróbować ponowić jego instalację. I zainteresuj się dodatkowymi metodami zabezpieczeń w rodzaju SandBoxie. .

W ramach finalizacji: 1. Przez SHIFT+DEL skasuj foldery: C:\FRST C:\Users\Artur\Desktop\Stare dane programu Firefox W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zrób pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. Wnioskując po braku dekryptera i głuszy na Google, klucz jest po stronie serwerowej, czyli niedostępny. Dekrypcja awykonalna.

Założyłeś temat w dziale diagnostyki infekcji, zasady działu mówią o obowiązkowych raportach z FRST i GMER. Dołącz je to przejdę do czyszczenia systemu, bo widać w starcie podejrzany obiekt, poza tym jest i adware. .

Wszystko zdaje się być wykonane. Przechodzimy dalej: 1. W OTL uruchom Sprzątanie, a resztę narzędzi usuń ręcznie. 2. W raporcie OTL widziałam skaner MBAM. Upewnij się, że ma zaktualizowane definicje. Wykonaj nim pełny (nie ekspresowy) skan dla pewności. Jeśli coś zostanie wykryte, przedstawraport. .

W starcie masz obiekty "SysLogger" (KLIK), w załadowanych modułach również. Przeprowadź następujące operacje: 1. Otwórz Notatnik i wklej w nim: HKLM\...\Winlogon: [userinit] c:\windows\system32\userinit.exe HKLM\...\Policies\Explorer\Run: [sysLogger32] - C:\ProgramData\SysLogger\core32_175.dll [455680 2012-04-24] ( ()) HKLM\...\Policies\Explorer\Run: [sysLogger64] - C:\ProgramData\SysLogger\core64_175.dll [575488 2012-04-24] ( ()) C:\ProgramData\SysLogger SearchScopes: HKLM-x32 - DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640 SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640 SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640 Handler: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - No File Task: {DFC14080-06FE-4732-B2EA-93FE1CB82D8D} - System32\Tasks\EasyPartitionManager => C:\Windows\MSetup\BA46-12225A02\EPM.exe S3 clwvd; system32\DRIVERS\clwvd.sys [x] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Jeśli FRST nie wymusi restartu komputera, zrób to ręcznie. 2. Niepowiązana kosmetyka preferencji przeglądarek: - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. - Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

Nie widzę tu żadnego raportu z wynikami OTL... To omówimy na końcu, bo jeszcze nie zostały skończone operacje z czyszczeniem. .

Cóż, jest tu adware.... A ze w Temp widać pliki mające w nazwie słowo "Downloader", będzie do czytania ten materiał: KLIK. Był już używany AdwCleaner i nie dostarczyłeś raportu z niego. Akcja do wykonania: 1. Przez Panel sterowania odinstaluj: Ask Toolbar, Ask Toolbar Updater, BitGuard, Delta Chrome Toolbar, Delta toolbar. 2. Google Chrome ma uszkodzone preferencje. Przeprowadź te działania: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Ustawienia > karta Ustawienia > Po uruchomieniu > usuń strony tam otwierane (przypuszczalnie Delta), przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń strony tam otwierane (przypuszczalnie Delta) Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy śmieci (przypuszczalnie Delta). Ustawienia > karta Historia > wyczyść 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowy skan FRST (bez Addition) i OTL (bez Extras). Dołącz zaległy log AdwCleaner wyciągnięty z folderu C:\AdwCleaner. .

Jest tu adware, przypuszczalnie objawy produkuje niejaki "BitGuard". Akcja do wykonania: 1. Otwórz Notatnik i wklej w nim: S2 BitGuard; C:\ProgramData\BitGuard\2.6.1673.238\{16cdff19-861d-48e3-a751-d99a27784753}\BitGuard.exe [3029472 2013-09-13] () AppInit_DLLs-x32: c:\progra~3\bitguard\261673~1.238\{16cdf~1\bitguard.dll [2700768 2013-09-13] () HKLM-x32\...\Run: [] - [x] HKLM-x32\...\Run: [ActiveCollector] - C:\Program Files (x86)\NetNucleous\ActiveCollector\ActiveCollector.exe [1269760 2012-09-04] () HKCU\...\Run: [LonelyWalker] - C:\Program Files (x86)\NetNucleous\ActiveCollector\AcRecover.exe [61440 2012-07-02] () HKCU\...\Run: [Mobile Partner] - C:\Program Files (x86)\Plus Web partner\Plus Web partner Task: {2ED8A262-EC83-420D-A9C1-CB47B48AB54F} - \AdobeFlashPlayerUpdate No Task File Task: {36D9C824-D1F5-48B0-9E90-080F16AF8CFC} - \AdobeFlashPlayerUpdate 2 No Task File Task: {3BF7DA0D-BF9B-4BD5-92FC-A40BAEAE66CA} - System32\Tasks\YourFile Update => C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe Task: {671E36B1-8815-4046-A329-8A231FD31288} - System32\Tasks\BitGuard => Sc.exe start BitGuard Task: {AC309EF4-CCB3-44C7-B011-91B01717EC19} - System32\Tasks\ProtectedSearch\Protected Search => C:\Program Files (x86)\Protected Search\ProtectedSearch.exe [2012-11-26] (Simplygen) HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q= HKCU\Software\Microsoft\Internet Explorer\Main,BrowserMngr Start Page = http://www.google.pl/ HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.google.pl/ HKCU\Software\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=41460&home=true&tid=2937 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q= HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q= HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q= HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q= HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=41460&home=true&tid=2937 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=41460&tid=2937&bs=true&q= SearchScopes: HKLM-x32 - DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.certified-toolbar.com?si=41460&bs=true&tid=2937&q={searchTerms} SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms} SearchScopes: HKLM-x32 - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.certified-toolbar.com?si=41460&bs=true&tid=2937&q={searchTerms} SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://isearch.babylon.com/?q={searchTerms}&affID=112555&tt=071012_24_4012_1&babsrc=SP_ss&mntrId=643bce4700000000000018f46a88c454 SearchScopes: HKCU - BrowserMngrDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://startsear.ch/?aff=1&q={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://isearch.babylon.com/?q={searchTerms}&affID=112555&tt=071012_24_4012_1&babsrc=SP_ss&mntrId=643bce4700000000000018f46a88c454 SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.babylon.com/?q={searchTerms}&affID=112089&tt=3612_3&babsrc=SP_ss&mntrId=643bce4700000000000018f46a88c454 SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms} BHO: ActiveCollectorPluginBHO Class 64 - {07202B0E-149C-4568-90DF-ACC2B4057809} - C:\Program Files (x86)\NetNucleous\ActiveCollector\ActiveCollectorPlugin64.dll (NetNucleus Inc.) BHO-x32: ActiveCollectorPluginBHO Class - {07202B0D-149C-4568-90DF-ACC2B4057809} - C:\Program Files (x86)\NetNucleous\ActiveCollector\ActiveCollectorPlugin.dll (NetNucleus Inc.) BHO-x32: IE5BarLauncherBHO Class - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files (x86)\vShare.tv plugin\BarLcher.dll (VShare Inc.) BHO-x32: DownTango Launcher - {e327b07a-0e11-4fd4-bef2-b2c5605b59c6} - C:\Users\Paulina\AppData\Roaming\DownTangoFTToolbar\DownTangoFTToolbar.dll (Simplytech Ltd.) Toolbar: HKLM-x32 - VShareToolBar - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files (x86)\vShare.tv plugin\BarLcher.dll (VShare Inc.) Toolbar: HKLM-x32 - DownTango Launcher - {e327b07a-0e11-4fd4-bef2-b2c5605b59c6} - C:\Users\Paulina\AppData\Roaming\DownTangoFTToolbar\DownTangoFTToolbar.dll (Simplytech Ltd.) Toolbar: HKCU - No Name - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No File CHR HKLM-x32\...\Chrome\Extension: [dhkplhfnhceodhffomolpfigojocbpcb] - C:\Users\Paulina\AppData\Roaming\BabylonToolbar\CR\BabylonChrome1.crx CHR HKLM-x32\...\Chrome\Extension: [gladcbhcbkdeddbidiblppadjdjalidb] - C:\Program Files (x86)\DownTangoFTToolbar\chrome\DownTangoFTToolbar.crx CHR HKLM-x32\...\Chrome\Extension: [kpionmjnkbpcdpcflammlgllecmejgjj] - C:\Program Files (x86)\vShare.tv plugin\vshareplg.crx S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [x] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [x] C:\Users\Paulina\AppData\Roaming\File Scout C:\Users\Paulina\AppData\Roaming\YourFileDownloader C:\Program Files (x86)\vShare.tv plugin C:\Windows\SysWow64\ChromeLog.dll C:\Windows\SysWOW64\*.tmp Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: for /d %f in (C:\Users\Paulina\AppData\Local\{*}) do rd /s /q "%f" CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przejdź w Tryb normalny Windows. Odinstaluj adware: - Przez Panel sterowania: Active Collector, ActiveCollector, BabylonObjectInstaller, BitGuard, DownTango Launcher, Protected Search 1.1. - W Google Chrome w Rozszerzeniach: DownTango Launcher, vshare plugin. O ile będą widzialne. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Wszystko zrobione. Kolejne kroki: 1. Drobna poprawka. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM - DefaultScope value is missing. 2013-09-17 16:59 - 2013-09-17 16:59 - 00000000 ____D C:\ProgramData\SummerSoft 2013-09-17 16:58 - 2013-09-17 17:00 - 00000000 ____D C:\ProgramData\InstallMate Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. A po tym: 2. Odinstaluj w prawidłowy sposób ComboFix. Poprzednio uruchamiany ze ścieżki h:\wirusy\ComboFix.exe. Pobierz go ponownie (KLIK) i zapisz na Pulpicie. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\admin\Desktop\ComboFix.exe /uninstall 3. Usuń pozostałe narzędzia. Przez SHIFT+DEL skasuj foldery: C:\FRST C:\Windows\erdnt W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 4. Zrób pełne skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. .

Temat przenoszę do działu Windows 7. Oznak infekcji brak. W systemie są drobne szczątki adware, ale to nie ma znaczenia dla podstawowego problemu. W spoilerze instrukcje doczyszczania. 1. Co konkretnie wykonywałeś w mięczasie? Widzę rozbieżność między raportami OTL i FRST w kwestii kalkulacji wolnego miejsca na dysku: Drive C: | 226.40 Gb Total Space | 2.23 Gb Free Space | 0.99% Space Free | Partition Type: NTFS vs Drive c: (Acer) (Fixed) (Total:226.4 GB) (Free:50.96 GB) NTFS Niski poziom wolnego miejsca na dysku jest zwykle przyczyną spowolnienia systemu, zwłaszcza przy dużym stopniu fragmentacji. Ale skoro widać tu sporą różnicę między logami, a Ty nie zgłaszasz poprawy stanu Windows, ten argument zdaje się być nieaktualny. 2. W Dzienniku zdarzeń są następujące błędy: Error: (09/24/2013 01:25:38 PM) (Source: Service Control Manager) (User: ) Description: Wywołanie ScRegSetValueExW dla FailureActions nie powiodło się i wystąpił następujący błąd: %%5. Błąd kojarzony z aktywnością antywirusów. Czyli podejrzanym jest tu AVG 2013. Wykonaj testową deinstalację i podaj czy są jakieś zmiany w wydajności systemu. Error: (09/22/2013 11:27:41 PM) (Source: volsnap) (User: ) Description: Kopie w tle woluminu C: zostały przerwane z powodu usterki We/Wy w woluminie C:. Błąd sugerujący problem z dyskiem. .

Temat przenoszę do działu Windows 7. Od razu proponuję redukcję firmowego oprogramowania. Tu spis co można usunąć, wybrać co jest nie używane: ==================== Installed Programs ====================== ASUS CopyProtect (x32 Version: 1.0.0015) > zabezpieczenie przed nieautoryzowanym kopiowaniem danych ASUS Data Security Manager (x32 Version: 1.00.0014) > szyfrowanie danych ASUS FancyStart (x32 Version: 1.0.8) > wymiana grafiki ekranu bootowania ASUS LifeFrame3 (x32 Version: 3.0.20) > zrzuter ekranu / edytor powiązany z kamerą ASUS Live Update (x32 Version: 2.5.9) > autoaktualizacja sterów/BIOS ASUS MultiFrame (x32 Version: 1.0.0021) > system dzielenia okien ASUS Power4Gear Hybrid (Version: 1.1.37) > tweaker zasilania ASUS SmartLogon (x32 Version: 1.0.0008) > logowanie do komputera za pomocą rozpoznawania twarzy ASUS Splendid Video Enhancement Technology (x32 Version: 1.02.0028) > Asusowe "poprawianie" jakości obrazu ASUS Video Magic (x32 Version: 6.0.4015) ASUS Virtual Camera (x32 Version: 1.0.20) ASUS WebStorage (x32 Version: 2.0.46.1429) Bing Bar (x32 Version: 7.1.391.0) CyberLink LabelPrint (x32 Version: 2.5.1908) CyberLink MediaShow Espresso (x32 Version: 5.0.1606_25588) CyberLink PhotoNow (x32 Version: 1.1.6904) CyberLink Power2Go (x32 Version: 6.1.3602c) CyberLink PowerDirector (x32 Version: 8.0.2609a) CyberLink PowerDVD 9 (x32 Version: 9.0.3009.50) Fast Boot (Version: 1.0.6) > Asusowy menedżer startu + wszystkie programy Windows Live Dysk wirtualny ASUS WebStorage powoduje problemy, liczne tematy na forum punktujące błędy explorer.exe. 1. Podaj konkretniejsze dane: - Uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. Gdy ukńczy: - Skopiuj na Pulpit cały folder C:\Windows\Logs\CBS, zapakuj do ZIP, rzuć na jakiś hosting i podaj tu link do paczki. 2. Poza tym, jest tu inna przeszkoda dla instalacji SP1, czyli starawy sterownik grafiki Intel: DRV:64bit: - [2010-04-30 04:19:29 | 010,331,840 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\igdkmd64.sys -- (igfx) Sądząc po dacie tu widzialnej (30 kwiecień 2010) to trefna wersja 8.15.10.2125. Więcej informacji: KB2498452 + z forum. .

Narzędzie odtworzyło iphlpsvc, ale pozostały nadal dwie do odbudowy: PolicyAgent + RemoteAccess. Wykonaj następujące akcje: 1. Odtworzenie kluczy usług. Pobierz poniższy plik. Zmień mu nazwę z TXT na REG, z prawokliku na plik Scal i potwierdź import do rejestru. usługi.txt 2. Odtworzenie uprawnień usług. SetACL już posiadasz i wiesz jak tym działać. Zapisz w Notatniku poniższy tekst (plik ma być umieszczony w lokalizacji C:\fix.txt): "machine\SYSTEM\CurrentControlSet\Services\PolicyAgent",4,"O:BA" "machine\SYSTEM\CurrentControlSet\Services\PolicyAgent\Parameters",4,"O:BA" "machine\SYSTEM\CurrentControlSet\Services\PolicyAgent\Parameters\Cache",4,"O:BAD:PAI(A;OICI;CCDCLCSWRPRC;;;S-1-5-80-3044542841-3639452079-4096941652-1606687743-1256249853)" "machine\SYSTEM\CurrentControlSet\Services\PolicyAgent\TriggerInfo",4,"O:BA" "machine\SYSTEM\CurrentControlSet\Services\PolicyAgent\TriggerInfo\0",4,"O:BA" Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent" -ot reg -actn restore -bckp C:\fix.txt Drugi plik C:\fix.txt z serii: fix.txt Komenda do cmd: SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\RemoteAccess" -ot reg -actn restore -bckp C:\fix.txt 3. Zresetuj system i zrób nowy log z Farbar Service Scanner. .

Czy po przeprowadzeniu sprawdzania dysku są jakieś zmiany w działaniu systemu?