picasso

Nowe zasady działu, obowiązkowe są raporty z FRST. Ale to już odpuśćmy. Temat przenoszę do działu Windows (a może i w Hardware wyląduje), nie wygląda to wcale na ingerencję infekcji. Tylko minimalna drobnostka, przez SHIFT+DEL dokasuj odpadkowy folder po adware: C:\ProgramData\eSafe. Zamarzanie, zanik obrazu, przemiany kursora raczej sugerują problemy z grafiką (sterowniki lub sprzętowa strona). W raporcie widać nie tak odległą instalację / aktualizację nVidia: W Dzienniku zdarzeń taki świeży powtarzający błąd punktujący sterownik nVidia (nie wiadomo co mówi, wejdź do Dziennika by pobrać szczegóły): [ System Events ] Error - 2013-09-03 19:01:53 | Computer Name = Home | Source = nvlddmkm | ID = 11141134 Description = Czy to jedyny Minidump? .

Nie odpowiedziałeś mi na pytanie o synchronizację w Google Chrome. Wprawdzie ja już nie widzę w Google Chrome strony Delta, ale nie wiem jakim cudem zniknęła (AdwCleaner w raporcie nie ma żadnej adnotacji o czyszczeniu tego). Tak więc: czy w Google Chrome nadal gdzieś widzisz jeszcze Delta? Dodatkowo: - W ustawieniach > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzaj wyszukiwarkami > na liście widzisz jakieś śmieci? - Kilka wpisów wtyczek ma oznaczenie "not found". Zresetuj cache wtyczek: w pasku adresów wpisz chrome://plugins i ENTER. na liście wtyczek wybierz dowolną i kliknij Wyłącz, następnie wtyczkę ponownie włącz. Nie jest to normalne w kontekście prowadzonych działań, które w ogóle nie miały związku z dźwiękiem. Czy ponowny restart też wykazuje te cechy? .

Akcja wygląda na wykonaną. Tak więc kończąc sprzątanie po infekcji: 1. Odinstaluj USBFix, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj foldery: C:\FRST C:\Documents and Settings\Administrator\Desktop\Stare dane programu Firefox 2. Wyczyść foldery Przywracania systemu: KLIK. Trudno mi powiedzieć o co chodzi. Czy kolejny start systemu też wykazuje opóźnienia? .

Nie dodałeś raportu utworzonego przez AdwCleaner. I nie wygląda na to, że zresetowałeś Firefox.

Temat przenoszę do działu Windows. Widzę dysproporcję, owszem w systemie jest adware Optimizer Pro, ale zdaje się, że jest tu kombinacja problemów składająca się na ten efekt: 1. Na początek wyczyść adware (w spoilerze instrukcje). 2. Wyłącz ze startu zbędne wpisy. W Autoruns w karcie Logon odznacz: HKCU\...\Run: [Google Update] - C:\Users\Bowflan\AppData\Local\Google\Update\GoogleUpdate.exe [116648 2012-05-07] (Google Inc.) HKCU\...\Run: [speech Recognition] - C:\Windows\Speech\Common\sapisvr.exe [44544 2009-07-14] (Microsoft Corporation) HKCU\...\Run: [uTorrent] - C:\Program Files (x86)\uTorrent\uTorrent.exe [802136 2013-06-17] (BitTorrent Inc.) HKCU\...\Run: [DAEMON Tools Lite] - C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe [3671872 2012-04-17] (DT Soft Ltd) HKCU\...\Run: [RGSC] - D:\Games\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe [305064 2008-11-14] (Take-Two Interactive Software, Inc.) HKLM-x32\...\Run: [HP Software Update] - C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe [49208 2010-06-09] (Hewlett-Packard) HKLM-x32\...\Run: [bCSSync] - C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe [91520 2010-03-13] (Microsoft Corporation) HKLM-x32\...\Run: [Adobe ARM] - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [937920 2011-06-06] (Adobe Systems Incorporated) HKLM-x32\...\Run: [sunJavaUpdateSched] - C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [252848 2012-07-03] (Sun Microsystems, Inc.) W karcie Services odznacz: SRV:64bit: - [2009-07-14 03:41:27 | 001,011,712 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend) SRV - [2013-02-28 18:45:16 | 000,161,384 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files (x86)\Skype\Updater\Updater.exe -- (SkypeUpdate) SRV - [2012-03-01 02:02:00 | 002,348,352 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe -- (nvUpdatusService) SRV - [2011-06-06 12:55:28 | 000,064,952 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice) Zresetuj system. 3. W Dzienniku zdarzeń widzę takie oto błędy nieresponsywnych usług Avira i Windows Presentation Foundation Font Cache: System errors: ============= Error: (09/04/2013 05:12:24 PM) (Source: Service Control Manager) (User: ) Description: A timeout (30000 milliseconds) was reached while waiting for a transaction response from the AntiVirSchedulerService service. Error: (09/03/2013 08:26:18 AM) (Source: Service Control Manager) (User: ) Description: The Windows Presentation Foundation Font Cache 3.0.0.0 service failed to start due to the following error: %%1053 Error: (09/03/2013 08:26:18 AM) (Source: Service Control Manager) (User: ) Description: A timeout was reached (30000 milliseconds) while waiting for the Windows Presentation Foundation Font Cache 3.0.0.0 service to connect. Error: (09/02/2013 01:22:48 PM) (Source: Service Control Manager) (User: ) Description: A timeout (30000 milliseconds) was reached while waiting for a transaction response from the AntiVirSchedulerService service. Error: (09/01/2013 08:12:39 PM) (Source: Service Control Manager) (User: ) Description: A timeout (30000 milliseconds) was reached while waiting for a transaction response from the AntiVirSchedulerService service. Trudno mi powiedzieć czy to tylko skutki innej usterki, czy przyczyna zasadnicza. Ale na wszelki wypadek: - Windows Presentation Foundation Font Cache: Wykonaj kroki rozpisane tu: KLIK. - Avira: testowa deinstalacja dla pewności. 4. System kompletnie nieaktualizowany (brak SP1+IE10 oraz reszty łat opublikowanych po): Windows 7 Ultimate (X64) OS Language: English(US) Internet Explorer Version 8 I tu też pytanie, to pirat? W Dzienniku zdarzeń charakterystyczne błędy licencyjne: Application errors: ================== Error: (09/04/2013 07:20:09 PM) (Source: Winlogon) (User: ) Description: Windows license activation failed. Error 0x80070005. .

Pobrana wersja FRST jest w tył o kilka, od końca sierpnia do początku września nastąpiło kilka aktualizacji. Ale zostaw to już. Temat przenoszę do działu Windows. Nie wygląda to na sprawę infekcji. Zapuść tylko kosmetyczny skrypt. W spoilerze instrukcje. Kroki wstępne: 1. Był uruchamiany GMER, więc zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. W systemie jest obecna kontrolka rozszerzonej wersji Microsoft Update. Do przeprowadzenia wszystkie kroki z tego posta: KLIK. 3. Odinstaluj szczątkowe aplikacje (w skrypcie do FRST już likwiduję ich punkty startowe): AOL Uninstaller (Choose which Products to Remove), AOLIcon, LiveUpdate Notice (Symantec Corporation). Pozbądź się też wszystkich archaicznych wersji Adobe i Java oraz Google Desktop. 4. Po deinstalacjach uruchom TFC - Temp Cleaner. 6. Jeśli nadal nie będzie wyników, upewnij się, że problemu powolnego działania i otwierania stron nie tworzy Avast. Testowa deinstalacja. 7. Poza tym, w Dzienniku zdarzeń błąd insynuujący aktualizację BIOS: Error - 2013-08-28 08:38:05 | Computer Name = TEE | Source = ACPIEC | ID = 327681 Description = \Device\ACPIEC: The embedded controller (EC) hardware didn't respond within the timeout period. This may indicate an error in the EC hardware or firmware, or possibly a poorly designed BIOS which accesses the EC in an unsafe manner. The EC driver will retry the failed transaction if possible. Ale ta metoda "spolszczenia" nie jest normalna ani pożądana. To powoduje, że angielski system ma wymieszane wersje komponentów i plików (SP3 nie zawiera wszystkich elementów systemu). Mogą być problemy. Jedyna oficjalna i poprawna droga spolszczania XP Pro to instalacja MUI (niedostępne do pobrania, pakiet ma określone licencjonowanie). XP Home nie wchodzi w ten zakres. To może być jeden ze skutków ubocznych oszustwa z polonizacją, ponieważ manipulując Service Packiem nie uwzględniłeś innych łat (wcześniej zainstalowanych), które mają odmienne wersje językowe. Nie podejmuję się diagnostyki tego na tak zamieszanym podkładzie. System nie jest obecnie w normalnym stanie. To nie pomyłka? Jest rozbieżność w wykrytej wersji systemu (Ty mówisz o XP Pro, a tu widać XP Home), a dodatkowo coś nie tak i z Internet Explorer (wykryta wersja IE7, ale na liście zainstalowanych błąka się i IE8): Microsoft Windows XP Home Edition Dodatek Service Pack 3 (X86) OS Language: Polish Internet Explorer Version 7 vs. ==================== Installed Programs ======================= Internet Explorer (Version: 8) Windows Internet Explorer 7 (Version: 20061107.210142) Moim zdaniem to system do stawiania od zera i bez oszustw... Ja podałam wprawdzie szczegółowe instrukcje powyżej usuwania śmieci, ale to mi się w całości wydaje nieopłacalne w sytuacji, gdy zmiksowano system angielski z polskim SP... .

Tom75, proszę Cię tytułuj tematy poprawnie. "Sprawdzanie logów" to nie jest pożądany tu tytuł. Zasady to objaśniają. Zmieniam. I temat przenoszę do działu Windows, bo oznak infekcji nie notuję. Tylko: 1. Usuń drobne wpisy puste (nie ma to w ogóle związku z problemami). Otwórz Notatnik i wklej w nim: HKLM\...\Run: [] - [x] HKLM\...\Run: [userFaultCheck] - %systemroot%\system32\dumprep 0 -u [x] SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKCU - {5B160960-3E29-4D0B-9D63-0DD2F279E83F} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=3CABE8A4-B093-4A10-9B29-288EE2C7C8F2&apn_sauid=851B3376-A153-4BC2-8441-C6E03E43A220 S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [x] Reg: reg delete "HKCU\\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Ze względu na fakt uruchamiania GMER, zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. System errors: ============= Error: (09/04/2013 09:37:43 PM) (Source: 0) (User: ) Description: \Device\Ide\IdePort0 Diagnostyka BSOD w punkcie 5: KLIK. Awaria usługi Bufor wydruku, w Dzienniku zdarzeń jako (i trudno powiedzieć o co chodzi): Application errors: ================== Error: (08/28/2013 01:48:30 PM) (Source: Application Error) (User: ) Description: Aplikacja powodująca błąd spoolsv.exe, wersja 5.1.2600.6024, moduł powodujący błąd unknown, wersja 0.0.0.0, adres błędu 0x00000000. Przetwarzanie zdarzenia określonego nośnika dla [spoolsv.exe!ws!] Dodatkowo, widzę jeszcze w Menedżerze urządzeń taki odczyt sugerujący coś z obszaru sterowników chipsetu / aktualizacji BIOS: ==================== Faulty Device Manager Devices ============= Name: Kontroler przerwań systemowych Description: Kontroler przerwań systemowych Class Guid: {4D36E97E-E325-11CE-BFC1-08002BE10318} Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. Jakie? Czy chodzi o to (?): .

Proszę nie oszukuj rozszerzeń. Nie bez powodu blokuję w załącznikach formaty inne niż TXT. Wadliwe pliki usunięte, istotny plik DMP zlinkowany. Reklamy to jedna ze spraw. W systemie jest po prostu zainstalowane adware i to nie weszło "z lotu" tylko na skutek działań użytkownika, który pobierał nie ten plik co należy lub w instalatorze nie odznaczył "bonusów". Natomiast BSOD to inna sprawa, debugger zgłasza jako przyczynę sterownik PeerBlock 1.1: Wnioski: odinstaluj PeerBlock 1.1. Natomiast po kątem adware i brakującego pliku HOSTS: 1. Poprawne deinstalacje: - Przez Panel sterowania odinstaluj: ADDICT-THING, Ask Toolbar, IB Updater Service, Incredibar Toolbar on IE, Internet Explorer Toolbar 4.6 by SweetPacks, KMPlayer Toolbar Updater, LiveVDO plugin 1.3, McAfee Security Scan Plus, Pandora Service, SweetIM for Messenger 3.7, SweetPacks bundle uninstaller, Update Manager for SweetPacks 1.1, Web Assistant 2.0.0.600. Jeśli DebugBar v6.1 for Internet Explorer to także niecelowa instalacja, też go wywal. - W Google Chrome: w Rozszerzeniach odinstaluj LiveVDO plugin, Web Assistant, o ile będzie widoczne po w/w punkcie. - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Uruchom TFC - Temp Cleaner. 4. Uruchom narzędzie Fix-it: KLIK. 5. Zrób nowy skan FRST (bez Addition). Dołącz log z AdwCleaner. Na wszelki wypadek sprawdź też co powie Kaspersky TDSSKiller. Jeśli coś wykryje, ustaw Skip i przedstaw log utworzony na C:\. Jeśli nic nie wykryje, log zbędny. .

Nowe zasady działu wprowadzają wymóg podania raportów z FRST. Temat przenoszę i tak do działu Windows, bo oznak infekcji nie notuję. Z raportów nic nie wynika konkretnego. Sugestie: - Wg raportu świeża instalacja sprzed zaledwie kilku dni to sterowniki NVidia. Więc może coś tu jest nie tak. PS. Do aktualizacji sterowników nie używaj wynalazków automatycznych typu DriverGenius. - Na wszelki wypadek odinstaluj Malwarebytes' Anti-Malware (tu wersja z rezydentem). Było kilka przypadków na forum z efektem czarnego ekranu. - Zaktualizuj Windows (brak SP1 i reszty majdanu wydanego po SP1): 64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) .

Temat przenoszę do działu Vista. Oznak infekcji brak. W Dzienniku zdarzeń sypie takimi błędami: Zacznij od tego co sugerują komunikaty, czyli od: 1. Wyłączenia Windows Defener ("Aplikacja powodująca błąd svchost.exe_WinDefend"). Start > w polu szukania wpisz msconfig > z prawokliku Uruchom jako Administrator > w kartach Uruchamianie i Usługi odznacz oba wpisy WinDefend i zresetuj system. 2. Sprawdzenia dysku: - Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklep chkdsk /f /r i zresetuj system. - Start > w polu szukania wpisz eventvwr.msc > w sekcji Aplikacja wyszukaj zdarzenie Wininit. Skopiuj tekst ze statystykami checkdiska i wklej do posta. .

Temat idzie do działu Windows. Brak oznak infekcji. Natomiast zaszalałeś, w systemie działają wspólnie: Ad-Aware Antivirus + Avast. To wystarczy, by coś niekorzystnego zaczęło się dziać w systemie. W Dzienniku zdarzeń także widać wykładanie Google Chrome przez moduł Ad-aware oraz błąd sterownika Ad-aware: ==================== Event log errors: ========================= Error: (09/03/2013 02:39:56 AM) (Source: Application Error) (User: ) Description: Nazwa aplikacji powodującej błąd: chrome.exe, wersja: 29.0.1547.62, sygnatura czasowa: 0x5218ce75 Nazwa modułu powodującego błąd: adawarebp.dll_unloaded, wersja: 0.0.0.0, sygnatura czasowa: 0x51c4a8d7 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x100258d9 Identyfikator procesu powodującego błąd: 0x1c78 Godzina uruchomienia aplikacji powodującej błąd: 0xchrome.exe0 Ścieżka aplikacji powodującej błąd: chrome.exe1 Ścieżka modułu powodującego błąd: chrome.exe2 Identyfikator raportu: chrome.exe3 ==================== Faulty Device Manager Devices ============= Name: SBRE Description: SBRE Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1} Manufacturer: Service: SBRE Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24) Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed. Devices stay in this state if they have been prepared for removal. After you remove the device, this error disappears.Remove the device, and this error should be resolved. 1. Czyli zacznij od podstawowych kroków: odinstaluj Ad-Aware Antivirus i Ad-Aware Browsing Protection. Zresetuj system. 2. W ramach kosmetyki usunięcie wpisów wyszczerbionych. 3. Na dalszą metę radzę się wyposażyć w oryginalny Windows 7. W Dzienniku zdarzeń sypie błędami aktywacji (mataczenie), zmodyfikowane pliki MS, w IE układ rosyjskich wyszukiwarek (już je usuwam w punkcie 2), a Windows nieaktualizowany: Microsoft Windows 7 Ultimate (X86) OS Language: Polish Internet Explorer Version 8 I prawdopodobnie go nie dasz rady zaktualizować. Ja widziałam ten rodzaj systemu tu już kilka razy i były problemy z instalacją SP1 (wycięte komponenty Windows uniemożliwiające poprawną instalację aktualizacji). .

Log z OTL niepełny (brak pliku Extras), a są tu i nowe zasady działu, tzn. obowiązkowe są raporty z FRST. Podaj logi z FRST oraz log USBFix z opcji Listing (a nie Research tu wstawiony). Po uzyskaniu wymaganych raportów przejdę do usuwania infekcji, bo w systemie jest aktywny robak Gamarue, który przerabiać będzie wszystkie urządzenia do omawianej tu postaci. O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 1220 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccrnra.exe (Lampi) Poza tym, w systemie działa też adware. Pewnie część to niestety skutek pobierania z dobrychprogramów.pl. Załatwmy to już tu. Podaj z lapka logi, tylko oznacz mi w nazwach który plik z którego kompa. .

Na przyszłość: na stronie pobierania należy ominąć duży zielony przycisk "Pobierz program" (celowo wyróżniony, by odwrócić uwagę) i skupić się na tzw. "linkach bezpośrednich" podanych po prawej stronie. Z raportów wynika, że po adware faktycznie została ta strona w Google Chrome: Chrome: ======= CHR HomePage: hxxp://www.delta-search.com/?affID=1215612&babsrc=HP_ss&mntrId=508B00FFE90F417B Pytanie wstępne: czy w Google Chrome masz włączoną synchronizację z serwerem? Jeśli tak, czyszczenie Google Chrome lokalnie będzie nieskuteczne. Jeśli nie, przejdź do tych czynności: 1. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 2. Zrób nowy skan FRST (bez Addition). Dołącz log AdwCleaner.

Wszystko zrobione. Drobna poprawka. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM - DefaultScope value is missing. Toolbar: HKCU - No Name - {472734EA-242A-422B-ADF8-83D1E48CC825} - No File C:\Users\TEMP Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Co masz na myśli? W raporcie widać, że w systemie już jest zainstalowany IE10: Windows 7 Home Premium Service Pack 1 (X64) OS Language: Polish Internet Explorer Version 10 Chodzi o C:\Users\TEMP (ten widzę w logu), czy również o C:\Users\Expert? Tego Tempa to w skrypcie powyżej już załączyłam. .

Wszystko prawie zrobione, ale ten wpis (w fixlog niby oznaczony "skasowany") nadal siedzi: HKU\KOMENDANT\...\Run: [Google Update] - [x] Widzę, że logi pochodzą z konta admintech, a tu jest tylko częściowy montaż z konta KOMENDANT. Zaloguj się na konto KOMENDANT. Zrób nowy log z FRST (bez Addition). .

1. Drobne poprawki. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKCU\...\Run: [AppsHat] - C:\Users\malgorzata_knapek\AppData\Local\WebPlayer\AppsHat\WebPlayer.exe [202752 2012-10-26] () HKCU\...\Policies\Explorer: [] HKU\Default\...\RunOnce: [] - [x] HKU\Default User\...\RunOnce: [] - [x] C:\Users\malgorzata_knapek\AppData\Local\WebPlayer C:\Users\malgorzata_knapek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AppsHat C:\Users\malgorzata_knapek\Downloads\PDFtoDWGConverter_downloader_by_Downloadnetpl.exe C:\Users\malgorzata_knapek\Downloads\VuuPC_Setup.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Odinstaluj stary Adobe Flash Player 9 ActiveX. 4. Uruchom TFC - Temp Cleaner. 5. Wyczyść foldery Przywracania systemu: KLIK. .

Skrypt kompletnie z czapy, żadnych wspólnych cech z Twoim systemem. I jeszcze bezmyślnie przetwarzałeś linię profilu C:\Users\Witek, a Twoje konto to C:\Users\Kuba. Wszystko zrobione. Kroki końcowe: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Windows (instalacja SP1 + IE10) i poniżej wyliczone programy: KLIK / KLIK. Wg raportu masz obecnie wersje: Windows 7 Home Premium (X64) OS Language: Polish Internet Explorer Version 9 ==================== Installed Programs ======================= Adobe Flash Player 10 ActiveX (x32 Version: 10.0.42.34) ----> wtyczka dla IE Adobe Flash Player 10 Plugin (x32 Version: 10.0.42.34) ----> wtyczka dla Firefox Adobe Reader 9.0.1 - Polish (x32 Version: 9.0.1) Gadu-Gadu 10 (x32) Java™ 6 Update 26 (x32 Version: 6.0.260) Opera 11.60 (x32 Version: 11.60.1185) .

Niestety, ale tu nie ma innego rozwiązania niż aktualizacja Windows, tego nic nie zastąpi, ani antywirus, ani powierzchowne triki. Tu są braki przestrzeni kilku lat! WWDC to tylko podstawowe zamknięcie luk. ESET będzie w nieskończoność notował próby ataku robaków, a nie daj Boże ESET przestanie działać lub któryś atak go znokautuje, a infekcja się rozpleni w sposób rzeczywisty. Czy były podejmowane próby z aktualizacją sterowników przed instalacją SP3? To ja proponuję inną rzecz: zrobić nową płytę XP ze zintegrowanym SP3 (czyli instalacja go od razu nałoży, a po tym do uzupełnienia będą inne aktualizacje z Windows Update). Instrukcja robienia takiej płyty: KLIK. .

Na zakończenie: 1. Pełna aktualizacja Windows plus wyrzucenie starych wersji Adobe/Java: KLIK. Wersje widziane w systemie: Windows 7 Professional (X64) OS Language: Polish Internet Explorer Version 9 ==================== Installed Programs ======================= Adobe Reader X (10.1.7) - Polish (x32 Version: 10.1.7) Java 7 Update 15 (x32 Version: 7.0.150) Java™ 6 Update 39 (64-bit) (Version: 6.0.390) 2. Prewencyjna wymiana haseł logowania w serwisach. .

1. Otwórz Notatnik i wklej w nim: Startup: C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\jirbsvdcupedlhlhmls.lnk ShortcutTarget: jirbsvdcupedlhlhmls.lnk -> C:\Users\PAWE~1\AppData\Local\Temp\slmhlhldepucdvsbrij.bfg () HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=1024001B24AB2420&affID=119357&tsp=4980 SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=1024001B24AB2420&affID=119357&tsp=4980 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=1024001B24AB2420&affID=119357&tsp=4980 SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://tbsearch.ask.com/redirect?client=ie&tb=PTV&o=15184&src=crm&q={searchTerms}&locale=en_US BHO: KMPlayer Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com) Toolbar: HKLM - KMPlayer Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com) Toolbar: HKCU -KMPlayer Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com) Task: {3F6E612A-CF59-4700-B478-F82F21408517} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files\Ask.com\UpdateTask.exe [2009-07-10] () C:\32788R22FWJFW C:\Windows\system32\Extensions C:\Windows\system32\searchplugins C:\Program Files\v9Soft C:\ProgramData\Babylon C:\Users\Paweł\AppData\Roaming\Babylon C:\Users\Paweł\Downloads\avast-Free-Antivirus(13266).exe Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Zaloguj się w Trybie normalnym (system powinien zostać odblokowany) i kolejne akcje: 2. Przeprowadź deinstalacje adware Ask Toolbar oraz nadwyżki antywirusów (aktualnie są Avast + Eset i jeden z nich musi zniknąć). 3. Wyczyść przeglądarki z adware: - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. - Google Chrome: ma kompletnie uszkodzone preferencje. Wejdź do ustawień i w Rozszerzeniach odinstaluj Delta Toolbar. Następnie Ustawienia > sekcja Wyszukiwanie > klik w Zarządzaj wyszukiwarkami > na liście ustaw Google jako domyślną, a po tym skasuj z listy śmieci (m.in. przypuszczalnie powinna stać Delta). 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. PS. A adware Delta nabyte z dobrychprogramów.pl. Na dysku widać plik "Asystenta pobierania" tego serwisu, czyli avast-Free-Antivirus(13266).exe. Asystent ładuje gnój w system (Delta Toolbar + Browser Defender + obiekty Babsolution i Babylon). .

Skrypt pomyślnie wykonany. Na zakończenie: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Internet Eplorer, Silverlight i Office (instalacja SP1 dla Office): KLIK. Aktualnie w systemie widać wersje: Internet Explorer Version 9 ==================== Installed Programs ======================= Microsoft Office Professional Plus 2010 (Version: 14.0.4763.1000) Microsoft Silverlight (Version: 5.1.10411.0) .

Opuść to, być może AdwCleaner się nim zajmie. Jeśli nie, potem podam jak ręcznie wpis załatwić. .

Konto Expert na odstrzał. Tzn. z poziomu Panelu sterowania skasuj je, przy pytaniu o usuwanie danych użytkownika wyraź zgodę (to powinno usunąć folder związany z kontem, czyli w tym przypadku TEMP), na koniec ręcznie usuń z C:\Users dawnego Experta. Po tych akcjach przechodzimy do czyszczenia adware, wpisów szczątkowych i nadwyżki utworzonej w systemprofile na skutek tymczasowego logowania: 1. Otwórz Notatnik i wklej w nim: Task: {0443A5E1-31B6-4887-B0FC-B2E92004811D} - \ACMON No Task File Task: {0565C2EA-CABC-4CC1-9807-0D29B5D09742} - \RMSmartUpdate No Task File Task: {113F31A4-610B-4E2E-9D2B-90BAE926A8B8} - \GoogleUpdateTaskMachineCore No Task File Task: {19F78EF8-6620-43CD-AB43-7FA62CB45605} - \P4GIntlCtrl No Task File Task: {39766F7A-8C84-4B8E-A4DF-54038795B1C4} - \P4G Sidebar No Task File Task: {3D7BD3F4-EC48-4595-AC57-CB5566B3FFDA} - \ASUSControlDeck No Task File Task: {3E20A4E8-AB25-42CD-B416-F5E58CF302F0} - \{9C8BC204-BA1C-443C-A4F4-BC6CA7A9A60A} No Task File Task: {43F674A2-2382-4589-9D80-38C346F0C172} - \ASUS P4G No Task File Task: {4AEB62FA-579A-420D-B932-3BBD6D5843B1} - \DealPlyLiveUpdateTaskMachineCore No Task File Task: {518AA36F-1FD2-4188-8DA9-4D76C608D3FD} - \ASUS SmartLogon Console Sensor No Task File Task: {55CF32B3-B075-4DD2-AEC6-1A51CCC946F7} - \AVG-Secure-Search-Update_MAY2013_TB_rel No Task File Task: {5A48D281-E129-4CE7-A96C-DD2FCA058DB1} - \{37BD3497-4AAA-42B0-A023-FBC1179DFF0F} No Task File Task: {6F5250E1-30F7-40A4-9BDB-167E528D39AE} - \Dealply No Task File Task: {745D1F2E-115E-49FE-8726-A5647EDCDBC2} - \GoogleUpdateTaskMachineUA No Task File Task: {74A81926-00EA-4C93-9D23-35A451DAA6C5} - \{7A103352-8647-4F2C-82E3-B7EA2F6BA18F} No Task File Task: {7C6D238A-77B3-4E3D-B871-46C4366836E2} - \{A4C249BA-CF18-45DC-AAD3-3DAD370DF7BF} No Task File Task: {7CD5DBE4-192A-4975-918C-B56D6AC85028} - \SidebarExecute No Task File Task: {8A6C4D86-04DB-4E61-8145-520E80538166} - \RMSchedule No Task File Task: {937940F6-470E-4A6C-A2F8-D2B0235E2856} - \{B2943C22-568D-42F1-B26B-D5A2142812A8} No Task File Task: {AD0C977D-0144-4C03-AB39-69C5CC55E584} - \Scheduled Update for Ask Toolbar No Task File Task: {B85B9B10-4321-4596-8541-335B45E420F5} - \{02D9C3D5-AFC5-4376-9629-143251C0E20B} No Task File Task: {BE4214B2-E2D9-4DC4-92A7-BDE7540E9CDC} - \WC3 No Task File Task: {D4AB9AEE-3489-409A-95B8-8EF0C2542F29} - \DealPlyLiveUpdateTaskMachineUA No Task File Task: {F47641B6-5988-4E7A-AE2D-19B5C874A3C2} - \{6A597AD3-86C5-4E29-A3E2-E827CAAE6441} No Task File Task: {F67DD01F-6245-4F32-B135-D4C69A90E247} - \Norton Security Scan for Expert No Task File Task: {FB1242AE-F859-4625-BBCF-11E766C66ECC} - \Adobe Flash Player Updater No Task File Task: {FC7A496E-1CFD-424E-AEAF-4C232FEC586C} - \Express FilesUpdate No Task File Task: {FD9D35B2-E4B9-4CCC-9F33-8E1423D2AA3E} - \{0F170541-37C5-4607-B910-B854C8E43C3E} No Task File Task: C:\Windows\Tasks\AVG-Secure-Search-Update_MAY2013_TB_rel.job => C:\Program Files (x86)\AVG SafeGuard toolbar\AVG-Secure-Search-Update_MAY2013_TB.exe Task: C:\Windows\Tasks\Dealply.job => C:\Users\Expert\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineCore.job => C:\Program Files (x86)\DealPlyLive\Update\DealPlyLive.exe Task: C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineUA.job => C:\Program Files (x86)\DealPlyLive\Update\DealPlyLive.exe Task: C:\Windows\Tasks\Norton Security Scan for Expert.job => C:\PROGRA~2\NORTON~2\Engine\300~1.103\Nss.exe HKLM-x32\...\Run: [vProt] - C:\Program Files (x86)\AVG SafeGuard toolbar\vprot.exe [2314416 2013-08-15] () AppInit_DLLs-x32: c:\progra~3\browse~1\261519~1.190\{c16c1~1\browse~1.dll [2691536 2013-07-26] () SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO-x32: AVG SafeGuard toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files (x86)\AVG SafeGuard toolbar\15.5.0.2\AVG SafeGuard toolbar_toolbar.dll (AVG Secure Search) BHO-x32: DealPly Shopping - {ae48ed75-5a56-4c5f-bbce-6f1ac3875f66} - C:\Program Files (x86)\DealPly\DealPlyIE.dll (DealPly) BHO-x32: delta Helper Object - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files (x86)\Delta\delta\1.8.22.0\bh\delta.dll (Delta-search.com) Toolbar: HKLM-x32 - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files (x86)\Delta\delta\1.8.22.0\deltaTlbr.dll (Delta-search.com) Toolbar: HKLM-x32 - AVG SafeGuard toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files (x86)\AVG SafeGuard toolbar\15.5.0.2\AVG SafeGuard toolbar_toolbar.dll (AVG Secure Search) Handler-x32: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files (x86)\Common Files\AVG Secure Search\ViProtocolInstaller\15.5.0\ViProtocol.dll (AVG Secure Search) FF Plugin-x32: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin - C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\15.5.0\\npsitesafety.dll (AVG Technologies) FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\adawaretb.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\safeguard-secure-search.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\safeguard-secure-search.xml FF HKLM-x32\...\Firefox\Extensions: [avg@toolbar] C:\ProgramData\AVG SafeGuard toolbar\FireFoxExt\15.5.0.2 R2 BrowserProtect; C:\ProgramData\BrowserProtect\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [2847696 2013-07-26] () S2 dealplylive; C:\Program Files (x86)\DealPlyLive\Update\DealPlyLive.exe [148000 2013-08-02] (DealPly Technologies Ltd) S3 dealplylivem; C:\Program Files (x86)\DealPlyLive\Update\DealPlyLive.exe [148000 2013-08-02] (DealPly Technologies Ltd) R2 vToolbarUpdater15.5.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\15.5.0\ToolbarUpdater.exe [1643184 2013-08-15] (AVG Secure Search) S3 ALSysIO; \??\C:\Users\Expert\AppData\Local\Temp\ALSysIO64.sys [x] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [x] S3 GGSAFERDriver; \??\C:\Program Files (x86)\Garena Plus\Room\safedrv.sys [x] U3 tmlwf; U3 tmwfp; C:\Windows\system32\Drivers\tbmbyllk.sys C:\Windows\SysWOW64\BrowserProtect C:\Windows\SysWOW64\shoAD65.tmp C:\Windows\SysWOW64\config\systemprofile\Desktop C:\Windows\system32\config\systemprofile\Documents C:\Windows\system32\config\systemprofile\AppData\Local\GDIPFONTCACHEV1.DAT C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft Games C:\Windows\system32\config\systemprofile\AppData\Local\LogMeIn Hamachi C:\Windows\system32\config\systemprofile\AppData\Roaming\Adobe C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Start Menu Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Odinstaluj adware: - Przez Panel sterowania: AVG SafeGuard toolbar, BrowserProtect, DealPly, Delta Chrome Toolbar, Delta toolbar, FoxTab PDF Converter, Norton Security Scan, SweetIM for Messenger 3.7, Web Cake 3.00. Możesz też pozbyć się Panda Security Toolbar, pasek nie jest potrzebny do działania funkcji URL filtering. - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Fixlog OK. Możesz już przez SHIFT+DEL skasować folder C:\FRST. Nie podejmuję się oceny poprzez skalę. Z jednej strony: modyfikacje infekcji były proste do usunięcia (tu na forum są o wiele bardziej złożone infekcje, a niekiedy nie można wyjść bez formatu). Z drugiej strony: infekcje były w większej ilości, robiły podejrzane rzeczy (naciskałam, by wymienić hasła!), nie można ich ignorować poprzez "numery skali". .

Problem stanowi wartość MoveImages w kluczu: HKLEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management Przykład z forum pomyślnego rozwiązania tego błędu: KLIK. .