picasso

To by sugerowało nadal resztki MSSE gdzieś w czeluściach. Zrób jeszcze taką próbę: 1. Pobierz ponownie FRST. Otwórz Notatnik i wklej w nim: CMD: sc stop MpFilter CMD: sc delete MpFilter CMD: sc stop MsMpSvc CMD: sc delete MsMpSvc CMD: sc stop NisSrv CMD: sc delete NisSrv CMD: del /q C:\Windows\System32\DRIVERS\MpFilter.sys CMD: TAKEOWN /F "C:\Program Files\Microsoft Security Client" /R /A /D T CMD: TAKEOWN /F "C:\ProgramData\Microsoft\Microsoft Security Client" /R /A /D T CMD: TAKEOWN /F "C:\ProgramData\Microsoft\Microsoft Antimalware" /R /A /D T CMD: icacls "C:\Program Files\Microsoft Security Client" /grant Wszyscy:F /T CMD: icacls "C:\ProgramData\Microsoft\Microsoft Security Client" /grant Wszyscy:F /T CMD: icacls "C:\ProgramData\Microsoft\Microsoft Antimalware" /grant Wszyscy:F /T CMD: rd /s /q "C:\Program Files\Microsoft Security Client" CMD: rd /s /q "C:\ProgramData\Microsoft\Microsoft Security Client" CMD: rd /s /q "C:\ProgramData\Microsoft\Microsoft Antimalware" Task: {07B70E96-1798-4928-AA9A-0DF1A77103F8} - System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan => C:\Program Files\Microsoft Security Client\MpCmdRun.exe [2012-09-12] (Microsoft Corporation) Unlock: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware Reg: reg delete "HKLM\SOFTWARE\Microsoft\Microsoft Antimalware" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Microsoft Antimalware Setup" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Microsoft Security Client" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v MSC /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{50779A29-834E-4E36-BBEB-B7CABC67A825}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{98EABC7F-B1A1-43A5-B505-5B4EC3908DCD}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Microsoft Security Client" /f Reg: reg delete "HKLM\SOFTWARE\Policies\Microsoft\Microsoft Antimalware" /f CMD: winmgmt /salvagerepository Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. Gdy potwierdzę wykonanie akcji: 2. Uruchom ponownie narzędzie Microsoftu i sprawdź dokładnie czy nie ma tam żadnych obiektów o nazwie "Microsoft Security Client" lub "Microsoft Antimalware". 3. Po wszystkim zresetuj system i spróbuj ponownie uruchomić instalator MSSE. .

Proszę wrócić do zasad działu i opisu tworzenia narzędzi. - Log z OTL niekompletny (brak Extras) - Obowiązkowe są także raporty z FRST i GMER. Nie podałeś też w czym (konkretne ścieżki dostępu) CureIt wykrył infekcje. .

Akcje w FRST wykonane pomyślnie. Możesz już usunąć narzędzia: przez SHIFT+DEL skasuj folder C:\FRST, w OTL zastosuj Sprzątanie. To może być związane ze sterownikami kontrolera Intel (KLIK). U Ciebie w raporcie widać następujące datowanie: ========== Services (SafeList) ========== SRV - [2010-03-03 15:42:02 | 002,320,920 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files (x86)\Intel\Intel® Management Engine Components\UNS\UNS.exe -- (UNS) SRV - [2010-03-03 15:41:58 | 000,268,824 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files (x86)\Intel\Intel® Management Engine Components\LMS\LMS.exe -- (LMS) ========== Driver Services (SafeList) ========== DRV:64bit: - [2009-09-17 13:54:54 | 000,056,344 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\HECIx64.sys -- (HECIx64) Sprawdź na stronie Toshiba czy są aktualizacje sterowników do Twojego sprzętu. .

W logach nic podejrzanego. Tylko drobne działania: 1. W Autoruns w karcie Drivers usuń te szczątkowe wpisy: DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\Drivers\SSPORT.sys -- (SSPORT) DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Lineage II\system\npkcrypt.sys -- (npkcrypt) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\irenum.sys -- (IRENUM) DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Garena\Garena Plus\Room\safedrv.sys -- (GGSAFERDriver) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\Drivers\DgiVecp.sys -- (DgiVecp) 2. Do aktualizacji poniższe pozycje: ==================== Installed Programs ======================= Java 7 Update 21 (Version: 7.0.210) Java™ 6 Update 31 (Version: 6.0.310) Microsoft Office Enterprise 2007 (Version: 12.0.4518.1014) ----> instalacja SP3 Microsoft Silverlight (Version: 5.1.10411.0) 3. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner. .

Zrobione. 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj poniżej wyliczone programy: KLIK. ==================== Installed Programs ======================= Adobe Reader X (10.1.6) MUI (x32 Version: 10.1.6) Java 7 Update 17 (64-bit) (Version: 7.0.170) Java 7 Update 17 (x32 Version: 7.0.170) Microsoft Office Starter 2010 - Polski (x32 Version: 14.0.4763.1000) ----> instalacja SP1 Microsoft Silverlight (Version: 5.1.20125.0) Opera 12.15 (x32 Version: 12.15.1748) 4. Polecałam deinstalację IObit Malware Fighter. W raporcie nadal obecny. Naciskam na pozbycie się go z następujących powodów: - Przy Avast takie wynalazki nie są potrrzebne. - Firma IOBit nie jest godna zaufania. W przeszłości kradzież bazy danych MBAM, związki z podejrzanymi partnerami, adware w instalatorach. .

Akcje wykonane, ale jeszcze drobnostki: 1. Preferencje Google Chrome wyglądają na uszkodzone i stoi tam adware: Chrome: ======= CHR HomePage: hxxp://www.searchnu.com/406 CHR RestoreOnStartup: "hxxp://www.searchnu.com/406"]},"tabs":{"use_vertical_tabs" Proponuję przeinstalować przeglądarkę. Po deinstalacji usuń folder C:\Users\mookie\AppData\Local\Google\Chrome. 2. Usunięcie szczątków AVG i Avast. Otwórz Notatnik i wklej w nim: U4 avgtp; C:\windows\system32\aswBoot.exe C:\Program Files\AVAST Software C:\ProgramData\AVAST Software Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 3. Uruchom TFC - Temp Cleaner. .

To wygląda mimo wszystko na problem cache. Sprawdź co się stanie, jeżeli: - Na stronie Twitter wywołasz kombinację SHIFT+Odśwież. - Ustawienia > Szybka konfiguracja > Preferencje dla witryny > Sieć > "Używaj pamięci podręcznej aplikacji" przestawione na "Nie" i restart Opery. .

1. Komentując wyniki MBAM: - PUM.Hijack.System.Hidden: wpis uniemożliwiający włączenie ukrytych plików, pozostałość po infekcji. - PUP.Optional.OpenCandy: instalator DAEMON Tools określony jako adware, co jest zgodne z prawdą. - PUM.Disabled.SecurityCenter: wyłączone powiadomienia o aktualizacjach w Centrum zabezpieczeń. Źródło ustawienia może być różne (infekcja lub celowa ręczna akcja użytkownika). 2. Na zakończenie zaktualizuj poniżej wymienione programy: KLIK. ==================== Installed Programs ======================= Adobe Flash Player 11 ActiveX (Version: 11.7.700.224) ----> wtyczka dla IE Java™ 6 Update 22 (Version: 6.0.220) Microsoft Office Professional Edition 2003 (Version: 11.0.7969.0) I zaopatrz system w oprogramowanie ochronne. .

Tak, o to mi chodziło. Ten cały folder to preferencje Google Chrome, różne składniki (historia, wyszukiwarki, rozszerzenia oraz konfiguracja w pliku Preferences). Skoro folder nie był usuwany, powtórz procedurę deinstalacji wg kroków: - Odinstaluj Google Chrome. - Po deinstalacji przez SHIFT+DEL skasuj cały folder C:\Users\ŁukiAsia\AppData\Local\Google\Chrome - Zainstaluj najnowszą wersję Google Chrome. Podaj jakie są skutki tej akcji. .

htw, zasady działu się zmieniły. Teraz są także obowiązkowe raporty z FRST. Nie łącz logów w jednej wklejce, każdy log = osobna wklejka.

Podaj raporty stworzone w środowisku zewnętrznym przez FRST. Jest mnóstwo wariantów blokady. Wpis Winlogon to tylko jedna z możliwości. .

Ale to co próbujesz robić odpada. Pobrana wersja OTL jest wersją pod Windows a nie WinRE. I tak nie będzie działać. Pomijam już, że niezgodność bitów zachodzi (32-bitowy program w 64-bitowym środowisku WinRE). Jest tu aż kilka wariacji blokady: - Główna blokada: Sterownik vBszKyhV2.sys zaimplementowany przy udziale modyfikacji pliku rozruchowego BCD (włączony Tryb testu). - Skutek nieumiejętnego usuwania infekcji: Uszkodzona wartość Shell (brak odnośnika do sytemowego explorer.exe). - Nie doczyszczone poprawnie szczątki innego wariantu infekcji: Skrót ctfmon.lnk w Autostarcie, ale już pusty. Infekcja także zaszyfrowała dane. Są widoczne na dysku pliki z rozszerzeniem *.crypted. Nie wiem czy istnieje narzędzie dekrypcji. 2013-08-10 13:47 - 2013-08-10 13:47 - 00157312 _____ C:\Users\Artur\AppData\Local\GDIPFONTCACHEV1.DAT.crypted 2013-08-10 13:47 - 2013-08-10 13:47 - 00019072 _____ C:\Users\Artur\AppData\Local\WebpageIcons.db.crypted 2013-08-10 13:47 - 2013-08-10 13:47 - 00008320 _____ C:\Users\Artur\AppData\Local\Resmon.ResmonCfg.crypted 2013-08-10 13:47 - 2013-08-10 13:47 - 00005120 _____ C:\Users\Artur\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini.crypted 2013-08-10 12:08 - 2013-08-10 12:08 - 00039552 _____ C:\ProgramData\FullRemove.exe.crypted 2013-08-10 12:08 - 2013-08-10 12:08 - 00009216 _____ C:\ProgramData\ArcadeDeluxe3.log.crypted Prócz tego i adware, ale to rzecz podrzędna i tym zajmę się w drugiej fazie. Wstępnie usunę tylko punkty startowe rejestru. 1. Przygotuj plik naprawczy. Otwórz Notatnik i wklej w nim: HKLM\...\Winlogon: [Shell] [x ] () <=== ATTENTION HKLM-x32\...\Run: [SweetIM] - C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe [115032 2012-05-29] (SweetIM Technologies Ltd.) HKLM-x32\...\Run: [Sweetpacks Communicator] - C:\Program Files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe [231768 2012-08-15] (SweetIM Technologies Ltd.) HKLM-x32\...\Run: [ApnUpdater] - C:\Program Files (x86)\Ask.com\Updater\Updater.exe [1391272 2012-01-03] (Ask) HKLM-x32\...\Run: [] - [x] AppInit_DLLs: c:\progra~3\browse~1\23787~1.43\{16cdf~1\browse~1.dll [162336 2009-07-21] () AppInit_DLLs-x32: c:\progra~3\browse~1\261519~1.190\{16cdf~1\browse~1.dll [2691536 2013-07-26] () Startup: C:\Users\Artur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk S2 Browser Manager; C:\ProgramData\Browser Manager\2.6.1519.190\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.exe [2847696 2013-07-26] () S1 vBszKyhV2; C:\Windows\system32\drivers\vBszKyhV2.sys [46528 2013-08-10] () C:\Windows\System32\Drivers\vBszKyhV2.sys C:\Windows\System32\vBszKyhV.bmp C:\Windows\System32\vBszKyhV2.exe C:\Windows\System32\vBszKyhV1.exe C:\Windows\System32\vBszKyhV.dll C:\Windows\SysWOW64\searchplugins C:\Windows\SysWOW64\Extensions C:\Users\Artur\AppData\Roaming\Cyral C:\Users\Artur\AppData\Roaming\Fedeif C:\Users\Artur\AppData\Roaming\Geseov C:\Users\Artur\AppData\Roaming\Gifuo C:\Users\Artur\AppData\Local\Temp C:\Users\Artur\Downloads\solidcam_2012_keygen_downloader_pl_99412.exe C:\Users\Artur\Desktop\Continue installation - Promt Downloader Installation.lnk C:\ProgramData\dsgsdgdsgdsgw.pad testsigning: ==> Check for possible unsigned rootkit driver <===== ATTENTION! Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Sprawdź czy jesteś w stanie wejść do Windows. Jeśli tak, zrób raporty spod Windows z OTL (ma powstać też plik Extras) i FRST (ma powstać też plik Addition). Dodaj plik fixlog.txt.

Nie odinstalowałeś sterownika SPTD (KLIK). R0 sptd; C:\Windows\System32\Drivers\sptd.sys [691696 2011-02-02] () U3 ar2k9on6; No ImagePath W systemie obecna większa ilość infekcji oraz adware. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS] "Type"=dword:00000020 "Start"=dword:00000003 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Usługa inteligentnego transferu w tle" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Używa przepustowości bezczynnej sieci do transferu danych. Jeżeli BITS zostanie wyłączone, funkcje takie jak Windows Update przestaną działać." "FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,68,e3,0c,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Enum] "0"="Root\\LEGACY_BITS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Centrum zabezpieczeń" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\ 6d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="LocalSystem" "Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\ 00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum] "0"="Root\\LEGACY_WSCSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Aktualizacje automatyczne" "ObjectName"="LocalSystem" "Description"="Umożliwia pobieranie i instalowanie ważnych aktualizacji systemu Windows. Jeśli ta usługa zostanie wyłączona, komputer nie będzie umożliwiał korzystania z funkcji Automatyczne aktualizacje lub strony Windows Update." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters] "ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,75,00,\ 61,00,75,00,73,00,65,00,72,00,76,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Enum] "0"="Root\\LEGACY_WUAUSERV\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego" "DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\ 6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:0000042e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\ 00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup] "ServiceUpgrade"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate] "All"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Adnotacja dla innych czytających: import dopasowany do Windows XP. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Plik umieść na C:\. Ma być dostępna ścieżka C:\FIX.REG. 2. Otwórz Notatnik i wklej w nim: Winsock: Catalog5 01 mswsock.dll File Not found (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5 03 mswsock.dll File Not found (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" HKLM\...\Run: [dideap] - C:\Documents and Settings\Administrator\Dane aplikacji\dideap.dll [155648 2013-07-05] (Broadcom Corporation) HKCU\...\Run: [MSConfig] - C:\Documents and Settings\Administrator\leajbjp.exe [49671168 2013-02-10] () HKCU\...\Run: [PC Performer43885.exe] - C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\1C0.tmp [6077 2013-07-08] () HKCU\...\Run: [Overwolf] - C:\Program Files\Overwolf\Overwolf.exe -silent [x] HKCU\...\Run: [RGSC] - F:\gta\Rockstar Games Social Club\RGSCLauncher.exe /silent [x] URLSearchHook: uTorrentBar Toolbar - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTor.dll No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://pl.v9.com/?utm_source=b&utm_medium=nps SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59} URL = http://search.imesh.com/web?src=ieb&systemid=1&q={searchTerms} SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=119370&babsrc=SP_ss_gin2g&mntrId=843664700222AC86 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=119370&babsrc=SP_ss_gin2g&mntrId=843664700222AC86 SearchScopes: HKCU - {1F096B29-E9DA-4D64-8D63-936BE7762CC5} URL = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=84369321000000000000001d7d96b835&tlver=1.4.19.19&affID=19949 SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59} URL = http://search.imesh.com/web?src=ieb&systemid=1&q={searchTerms} SearchScopes: HKCU - {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9} URL = http://www.daemon-search.com/search/web?q={searchTerms} SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 SearchScopes: HKCU - {B0913AE6-ECE6-49BA-B228-404620E2EE20} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=FC81F599-06B1-4456-9A4A-499B3E0CAB17&apn_sauid=C4C7E94C-10BD-4383-88E0-D366A6A99878 BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.) BHO: Bcool Class - {8FC51463-2E71-7EC4-737B-DABC51BCF47E} - C:\Documents and Settings\All Users\Dane aplikacji\Bcool\bhoclass.dll () BHO: uTorrentBar Toolbar - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTor.dll No File Toolbar: HKLM - No Name - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - No File Toolbar: HKLM - No Name - !{2318C2B1-4965-11d4-9B18-009027A5CD4F} - No File Toolbar: HKLM - No Name - !{30F9B915-B755-4826-820B-08FBA6BD249D} - No File Toolbar: HKLM - No Name - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No File Toolbar: HKLM - No Name - !{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No File Toolbar: HKCU -No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF Plugin: @java.com/JavaPlugin - C:\Program Files\Java\jre7\bin\new_plugin\npjp2.dll No File FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\babylon.xml FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\iMeshWebSearch.xml FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\v9.xml CHR HKLM\...\Chrome\Extension: [bejbohlohkkgompgecdcbbglkpjfjgdj] - C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\crxBB.tmp CHR HKLM\...\Chrome\Extension: [dhkplhfnhceodhffomolpfigojocbpcb] - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbar.crx CHR HKLM\...\Chrome\Extension: [kblmphpogdfcdifooapmpfigpjdipnhd] - C:\Documents and Settings\All Users\Dane aplikacji\Bcool\kblmphpogdfcdifooapmpfigpjdipnhd.crx R2 IBUpdaterService; C:\Documents and Settings\All Users\Dane aplikacji\IBUpdaterService\ibsvc.exe [622336 2013-07-08] () S3 EagleNT; \??\C:\WINDOWS\system32\drivers\EagleNT.sys [x] S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [x] S3 sony_ssm.sys; \??\C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\sony_ssm.sys [x] C:\Documents and Settings\Administrator\leajbjp.exe C:\Documents and Settings\Administrator\Dane aplikacji\dideap.dll C:\Documents and Settings\All Users\Dane aplikacji\IBUpdaterService C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\1C0.tmp C:\WINDOWS\$NtUninstallKB25440$ CMD: reg import C:\FIX.REG CMD: netsh winsock reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Zresetuj system, to wymagane, by dokończyć reset Winsock. 4. Odinstaluj adware: - Przez Panel sterowania: Bcool, Conduit Engine, V9 HomeTool. - Google Chrome: W Rozszerzeniach powtórz deinstalację Bcool. W zarządzaniu wyszukiwarkami upewnij się, że jest ustawione Google jako domyślne, skasuj śmieciowe wyszukiwarki z listy. - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 5. Uruchom AdwCleaner i zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Uruchom TFC - Temp Cleaner. 7. Zrób nowe logi: skan FRST (bez Addition) + Farbar Service Scanner. Dołącz plik fixlog.txt. .

Prosiłam też o raporty z FRST.

1. Podaj nowe raporty z OTL i FRST (mają też powstać pliki Extras i Additioon). 2. Na wszelki wypadek (był skan GMER) sprawdź ustęp Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Sytuacja dotyczy tylko dysków pracujących w trybie IDE. .

Themes zostało wykryte jako "Unsigned", co sugeruje, że prawdopodobnie mataczono z wprowadzeniem obsługi niedomyślnych tematów (spoza puli MS). Takich wyników "Unsigned" nie rusza się w TDSSKiller, nie na darmo domyślna akcja to Skip. Rekonstrukcja uszkodzonej usługi Themes: 1. Uzupełnij brakujący plik. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. 2. Uzupełnij skasowaną usługę. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Themes] "Start"=dword:00000002 "DisplayName"="@%SystemRoot%\\System32\\themeservice.dll,-8192" "ErrorControl"=dword:00000001 "Group"="ProfSvc_Group" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Type"=dword:00000020 "Description"="@%SystemRoot%\\System32\\themeservice.dll,-8193" "ObjectName"="LocalSystem" "RequiredPrivileges"=hex(7):53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,\ 00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,\ 72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,44,00,65,\ 00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,00,61,00,74,\ 00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Themes\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceMain"="ThemeServiceMain" "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 74,00,68,00,65,00,6d,00,65,00,73,00,65,00,72,00,76,00,69,00,63,00,65,00,2e,\ 00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost] "netsvcs"=hex(7):41,00,65,00,4c,00,6f,00,6f,00,6b,00,75,00,70,00,53,00,76,00,\ 63,00,00,00,43,00,65,00,72,00,74,00,50,00,72,00,6f,00,70,00,53,00,76,00,63,\ 00,00,00,53,00,43,00,50,00,6f,00,6c,00,69,00,63,00,79,00,53,00,76,00,63,00,\ 00,00,6c,00,61,00,6e,00,6d,00,61,00,6e,00,73,00,65,00,72,00,76,00,65,00,72,\ 00,00,00,67,00,70,00,73,00,76,00,63,00,00,00,49,00,4b,00,45,00,45,00,58,00,\ 54,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,46,00,61,\ 00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\ 69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\ 00,69,00,74,00,79,00,00,00,49,00,61,00,73,00,00,00,49,00,72,00,6d,00,6f,00,\ 6e,00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,\ 00,00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,\ 69,00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,\ 00,74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,\ 73,00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,\ 00,63,00,65,00,73,00,73,00,00,00,53,00,45,00,4e,00,53,00,00,00,53,00,68,00,\ 61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,00,73,00,73,00,00,00,53,00,52,\ 00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,54,00,61,00,70,00,69,00,\ 73,00,72,00,76,00,00,00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,\ 00,6d,00,53,00,70,00,00,00,54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,00,\ 69,00,63,00,65,00,00,00,77,00,75,00,61,00,75,00,73,00,65,00,72,00,76,00,00,\ 00,42,00,49,00,54,00,53,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,\ 44,00,65,00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,4c,00,6f,00,67,\ 00,6f,00,6e,00,48,00,6f,00,75,00,72,00,73,00,00,00,50,00,43,00,41,00,75,00,\ 64,00,69,00,74,00,00,00,68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,00,75,\ 00,70,00,6c,00,6f,00,61,00,64,00,6d,00,67,00,72,00,00,00,69,00,70,00,68,00,\ 6c,00,70,00,73,00,76,00,63,00,00,00,73,00,65,00,63,00,6c,00,6f,00,67,00,6f,\ 00,6e,00,00,00,41,00,70,00,70,00,49,00,6e,00,66,00,6f,00,00,00,6d,00,73,00,\ 69,00,73,00,63,00,73,00,69,00,00,00,4d,00,4d,00,43,00,53,00,53,00,00,00,77,\ 00,65,00,72,00,63,00,70,00,6c,00,73,00,75,00,70,00,70,00,6f,00,72,00,74,00,\ 00,00,45,00,61,00,70,00,48,00,6f,00,73,00,74,00,00,00,50,00,72,00,6f,00,66,\ 00,53,00,76,00,63,00,00,00,73,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,00,\ 00,00,68,00,6b,00,6d,00,73,00,76,00,63,00,00,00,53,00,65,00,73,00,73,00,69,\ 00,6f,00,6e,00,45,00,6e,00,76,00,00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,\ 74,00,00,00,62,00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,54,00,68,00,65,\ 00,6d,00,65,00,73,00,00,00,42,00,44,00,45,00,53,00,56,00,43,00,00,00,41,00,\ 70,00,70,00,4d,00,67,00,6d,00,74,00,00,00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Zresetuj system. Folder C:\VTRoot to sandbox COMODO. Czyli do wglądu konfiguracja programu. Został podany tylko log Addition, brak głównego raportu FRST. .

Plik fixlog.txt nie został podany. Nowy skan FRST wygląda OK. Ale potwierdź mi, czy to martwe urządzenie Avast na pewno się usunęło bez problemu z Menedżera urządzeń? .

Czyli kończymy: 1. Porządki po narzędziach: - Przez SHIFT+DEL skasuj folder C:\FRST oraz z Pulpitu: folder "Stare dane programu Firefox", pliki logów i pozostałe narzędzia, w tym HijackThis(12030).exe (to nawet nie jest instalator programu, tylko śmieć "Asystent pobierania" dobrychprogramów.pl). - W AdwCleaner uruchom Odinstaluj. W OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Odinstaluj stare wersje Adobe / Java / Silverlight i zastąp najnowszymi, zaktualizuj resztę poniżej wyliczonych: KLIK. ==================== Installed Programs ======================= Adobe Flash Player 11 Plugin (Version: 11.7.700.224) ----> wtyczka dla FF Adobe Flash Player 9 ActiveX (Version: 9.0.16.0) ----> wtyczka dla IE Adobe Shockwave Player (Version: 10.1.3.18) J2SE Runtime Environment 5.0 Update 8 (Version: 1.5.0.80) Java 7 Update 9 (Version: 7.0.90) Microsoft Office Professional Plus 2010 (Version: 14.0.4763.1000) ----> instalacja SP1 Microsoft Silverlight (Version: 5.0.61118.0) Mozilla Firefox 17.0.1 (x86 pl) (Version: 17.0.1) Opera 12.16 (Version: 12.16.1860) .

To plik od oprogramowania kamery. Cały ten zestaw należy do tego: O4 - HKLM..\Run: [tsnp325] C:\Windows\tsnp325.exe () [2013-03-21 14:40:37 | 000,835,584 | ---- | C] () -- C:\Windows\vsnp325.exe [2013-03-21 14:40:37 | 000,270,336 | ---- | C] () -- C:\Windows\tsnp325.exe [2013-03-21 14:40:36 | 000,015,498 | ---- | C] () -- C:\Windows\snp325.ini [2013-03-21 14:40:34 | 000,057,344 | ---- | C] ( ) -- C:\Windows\SysWow64\vsnp325.dll [2013-03-21 14:40:34 | 000,053,248 | ---- | C] ( ) -- C:\Windows\SysWow64\csnp325.dll [2013-03-21 14:40:33 | 000,147,456 | ---- | C] ( ) -- C:\Windows\SysWow64\rsnp325.dll PS. Skoryguj sobie tylko drobnostki. Otwórz Notatnik i wklej w nim: C:\Users\nasz\AppData\Roaming\GoforFiles Task: {A8B49BA8-A1E1-464D-8F52-49BE68B5A9C7} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe No File Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove No Task File Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f S3 catchme; \??\C:\ComboFix\catchme.sys [x] S3 WinRing0_1_2_0; \??\C:\Users\nasz\AppData\Local\Temp\tmpAEF5.tmp [x] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. .

Czy na pewno? Ja w logu widzę masę plików schematu nazwy C:\Temp\etilqs_losowe, wygenerowane przez SQL Firefoxa. Te pliki są ukryte. Upewnij się, że masz włączone pokazywanie ukrytych plików w Opcjach folderów, wejdź w Tryb awaryjny i skoś wszystkie pliki. .

Zrobione. Czyli kończymy: 1. Przez SHIFT+DEL skasuj C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Do aktualizacji poniżej wymienione (stara Java jedną z furtek tej infekcji): ==================== Installed Programs ======================= Java 7 Update 9 (Version: 7.0.90) Mozilla Firefox 22.0 (x86 pl) (Version: 22.0) .

Uruchom MiniRegTool x64 i do okna wklej: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd Zaznacz opcję Delete Keys/Values including Locked/Null embedded i klik w Go. Przedstaw wynikowy log z akcji. Narzędzie usuwało odpadki adware are nic z preferencji Google Chrome. Czy Delta nadal tam straszy? I przez SHIFT+DEL dokasuj jeszcze te dwa foldery: [2013-08-06 14:36:45 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\searchplugins [2013-08-06 14:36:45 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\Extensions .

No tak, a czy w Autostarcie nadal siedzi CoreTemp? Jeśli tak, będzie plik konfiguracji INI odtwarzał.

Przemilczałeś użycie ComboFix, na ten temat: KLIK. Pozbądź się HijackThis. Program niezgodny z systemem x64, pokazuje nieprawdziwe dane. Temat przenoszę do działu Windows. Oznak infekcji brak. Tylko drobnostki w Google Chrome. Otwórz przeglądarkę i: - W ustawieniach: Przestaw na "Otwórz stronę nowej" karty. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym skasuj z listy adware Delta Search. Wyczyść Historię. - Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Wg loga "wczoraj" to 26 sierpień i jest to dzień instalacji AVG 2013. Odinstaluj antywirusa na próbę. A jeśli to jakieś przekłamania z datą i antywirus pojawił się dopiero post factum, w Dzienniku zdarzeń są błędy: 1. Error: (08/27/2013 10:43:00 AM) (Source: NvStreamSvc) (User: ) Description: NvStreamSvcNvVAD endpoint registered successfully [0] Jakiś niesprecyzowany błąd oprogramowania nVidia (wg raportu aktualizacja / instalacja nVidia nastąpiła 21 sierpnia). Nic mi to nie mówi. 2. Error: (08/27/2013 11:40:56 AM) (Source: Service Control Manager) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Internet Manager. OUC. Wyłącz tę usługę: S2 Internet Manager. RunOuc; C:\Program Files (x86)\T-Mobile\InternetManager_H\UpdateDog\ouc.exe [224096 2013-08-04] () Uruchom Autoruns i w karcie Services odznacz uruchamianie Internet Manager. OUC. Przy okazji, w karcie Drivers usuń puste wpisy. 3. Error: (08/27/2013 10:43:49 AM) (Source: WinMgmt) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Zastosuj narzędzie Fix-it: KB2545227. 4. Error: (08/27/2013 10:41:14 AM) (Source: Service Control Manager) (User: ) Description: Wywołanie ScRegSetValueExW dla FailureActions nie powiodło się i wystąpił następujący błąd: %%5. Ten błąd "Odmowa dostępu" może być wynikiem pobytu AVG. .

Nie widzę tu oznak infekcji. Tylko kosmetyczne działania: 1. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Zamknij Google Chrome. 2. Otwórz Notatnik i wklej w nim: CHR HKLM-x32\...\Chrome\Extension: [oejkcgajlodefenbbjdnaiahmbnnoole] - C:\Program Files (x86)\adawaretb\chrome-newtab-search.crx CHR HKLM-x32\...\Chrome\Extension: [phegaokedjdajgnfphbnpkcfdgjbidko] - C:\ProgramData\adawaretb\toolbar\chrome\toolbar.crx DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab S1 8392457drv; C:\Windows\System32\DRIVERS\8392457drv.sys [556632 2013-08-23] () S3 ENTECH; \??\C:\Windows\system32\DRIVERS\ENTECH.SYS [x] S3 hwusbfake; system32\DRIVERS\ewusbfake.sys [x] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [x] C:\Windows\System32\DRIVERS\8392457drv.sys Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. W Menedżerze urządzeń jest martwe urządzenie po komercyjnej wersji Avast. Sprawdź czy da się to odinstalować bez błędu rodzaju "to urządzenie jest wymagane do rozruchu"... ==================== Faulty Device Manager Devices ============= Name: avast! Firewall NDIS Filter Miniport Description: avast! Firewall NDIS Filter Miniport Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: ALWIL Software Service: aswNdis Problem: : This device is disabled. (Code 22) Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .