picasso

Na XP zupełnie inny typ infekcji: robak sieciowy Brontok (owszem, pendrive to jedna z dróg) oraz infekcja w MBR (o ile to jest prawdziwy odczyt). A to co było tu w temacie to instalacje adware/PUP, nabyte podczas instalacji sponsorowanych i zatwierdzone przez Ciebie przez nieuwagę. Metodologia ogólna opisana tu: KLIK. Niestety, sytuacja zmieniła się na widzianym tu systemie. Brontoka przeniosłeś również na ten system, ale jak mówię, to jest zupełnie odrębna infekcja niż wcześniejsze. Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [bron-Spizaetus] => C:\Windows\ShellNew\ElnorB.exe [102400 2009-03-17] ( ) HKU\S-1-5-21-3047276897-3179028656-1573973646-1000\...\Run: [Tok-Cirrhatus] => C:\Users\Dominik\AppData\Local\smss.exe [102400 2009-03-17] ( ) HKU\S-1-5-21-3047276897-3179028656-1573973646-1000\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-3047276897-3179028656-1573973646-1000\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-3047276897-3179028656-1573973646-1000\...\Policies\Explorer: [NoFolderOptions] 1 Startup: C:\Users\Dominik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif [2009-03-17] ( ) C:\Users\Dominik\AppData\Local\*.* C:\Windows\ShellNew\ElnorB.exe CMD: for /d %f in (C:\Users\Dominik\AppData\Local\*bron*) do rd /s /q "%f" CMD: dir /a C:\Users\Dominik\AppData\Local CMD: dir /a C:\Users\Dominik\AppData\LocalLow CMD: dir /a C:\Users\Dominik\AppData\Roaming EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart systemu. Powstanie kolejny fixlog.txt. 2. Operacje związane z Google Chrome: Ustawienia > karta Ustawienia > Osoby > skasuj poprzedni profil z dysku, o ile widzisz w oknie więcej niż jeden. Uruchom instalator Google Chrome: KLIK. W zamiarze tu jest uzupełnienie brakującego wejścia deinstalacji w Panelu sterowania. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut. Dołącz też plik fixlog.txt.

Proszę dostarczyć oryginalne pliki FRST (FRST.txt, Addition.txt, Shortcut.txt) i brakujący GMER jako załączniki forum. Serwis wklej.to zepsuł formatowanie logów (usunięte wszystkie slesze).

Adware wcale nie usunęło się w pełni, inwazyjny "YouTube Accelerator" ostał się w Winsock (w stanie aktywnym). I jeszcze widzę aktywny sterownik po odinstalowanym już podejrzanym antywirusie firmy "UtilTool Ltd". Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: netsh winsock reset Task: {8041857F-53C3-4D27-80A6-AB03F82F7D83} - System32\Tasks\YTAUpdate => C:\PROGRA~2\YOUTUB~1\Updater.exe Task: {B077699F-4323-4CC7-BCE4-70E55E15F13D} - System32\Tasks\YTAUpdate_logon => C:\PROGRA~2\YOUTUB~1\Updater.exe HKU\S-1-5-21-1687086191-1766106099-2116064288-1000\...\Run: [GoobzoYouTubeAccelerator] => "C:\Program Files (x86)\YouTube Accelerator\YouTubeAccelerator.exe" /startup R1 netcontroller; C:\Windows\System32\drivers\netcontroller.sys [59336 2015-12-29] (UtilTool Ltd) S2 AV Scanning Service; C:/Program Files (x86)/UtilTool/Antivirus/AVScanningService.exe [X] S3 AVFSFilter; system32\DRIVERS\avfsfilter.sys [X] R4 SPDRIVER_1.42.1.10633; \??\C:\Program Files (x86)\ShopperPro3\JSDriver\1.42.1.10633\jsdrv.sys [X] S2 YouTubeAcceleratorService; C:\PROGRA~2\YOUTUB~1\YouTubeAcceleratorService.exe -start -scm [X] C:\Program Files (x86)\YouTube Accelerator C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YouTube Accelerator C:\Windows\system32\Archive.rar C:\Windows\System32\drivers\netcontroller.sys DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318} /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Wprawdzie wątpię, by to było powiązane, ale zacznij od wyczyszczenia systemu z adware: 1. Odinstaluj adware Shopper-Pro, YouTube Accelerator. Zresetuj system. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition.

Skoro system się w końcu uruchomił, to jak mówiłam wykonaj sfc /scannow spod Windows i dostarczasz filtrowany raport zrobiony wg instrukcji: KLIK.

Niestety, fazy z aktualizacją nie da się ominąć, jeśli system ma być zabezpieczony... Aktualizacje muszą się ukończyć w pełni. Przypuszczalnie po reinstalacji będzie podobna sytuacja. Windows 7 to już stary system i jest bardzo dużo łat do instalacji, nawet jeśli bazową instalacją jest Windows 7 ze zintegrowanym SP1.

Hmmm, powtórz proszę szukanie w FRST na winload.exe. I czy na pewno błąd wygląda identycznie jak w innym temacie:

Usuwaniem tych folderów zajmę się potem. Wykonaj w pierwszej kolejności zadane czynności.

Temat czyszczenia ukończony. Ostatnie kroki: 1. Przez SHIFT+DEL (omija Kosz) skasuj folder C:\Users\Pawcio\Desktop\123\frst. 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Oczywiście, adresowałam tylko te główne. Nie zapomnij dostarczyć w nowym temacie danych wymaganych zasadami działu. Zlinkuj też ten temat, by było wiadome co wcześniej robiono i skąd się wziął wątek.

Czyli zdaje się, że problem Updatusa samoczynnie się rozwiązał. Ostatni Fix FRST pomyślnie wykonany. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z folderu H:\AV FRST i jego logi, plus z Pulpitu folder Stare dane programu Firefox (już do niczego nie jest potrzebny). 2. Zastosuj DelFix, wyczyść foldery Przywracania systemu, oraz wymień Adobe Flash Player NPAPI + Java najnowszą wersją (o ile już tego nie zrobiłeś). Wszystkie akcje rozpisane w przyklejonym: KLIK. To wszystko.

Dziennik Aplikacja: ================== Error: (05/05/2016 12:28:07 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: csgo.exe, wersja: 0.0.0.0, sygnatura czasowa: 0x56da83c3 Nazwa modułu powodującego błąd: unknown, wersja: 0.0.0.0, sygnatura czasowa: 0x00000000 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x80000008 Identyfikator procesu powodującego błąd: 0x1598 Godzina uruchomienia aplikacji powodującej błąd: 0xcsgo.exe0 Ścieżka aplikacji powodującej błąd: csgo.exe1 Ścieżka modułu powodującego błąd: csgo.exe2 Identyfikator raportu: csgo.exe3 Temat przenoszę do stosowniejszego działu, bo nie jest to problem infekcji. Uruchomienie ComboFix było zbędne, nie służy do naprawy takich błędów. A z podanych raportów nic kompletnie nie wynika. Poproś moderatora mgrzeg, by ewentualnie przyjrzał się tematowi i zadał może jakieś zrzuty pamięci do analizy. PS. W spoilerze poboczne tematy - usuwanie programów i doczyszczanie elementów adware / wpisów szczątkowych, kompletnie bez związku z problemami.

1. Jedna wartość po tym fałszywym "Chrome" się nie usunęła, jakoś przeoczyłam, że to wartość domyślna. Mini poprawka, tzn. do Notatnika wklej: Reg: reg add HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Clients\StartMenuInternet /ve /t REG_SZ /d "FIREFOX.EXE" /f Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). 2. Wracając do problemu z kontem UpdatusUser od nVidia: folder C:\Users\TEMP nagle zniknął z nowego raportu, czy usuwałeś ręcznie ten folder? Uruchom Reprofiler i podaj czy widzisz konto UpdatusUser połączone z folderem C:\Users\UpdatusUser i czy program aby nie zgłasza, że to konto o charakterze "tymczasowym".

Wszystko wykonane, poprawki na wyniki wyszukiwania. Otwórz Notatnik i wklej w nim: DeleteKey: HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Clients\StartMenuInternet\IHeeaWAHTM DeleteKey: HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice DeleteKey: HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice DeleteKey: HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\Roaming\OpenWith\FileExts\.htm\UserChoice DeleteKey: HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\Roaming\OpenWith\FileExts\.html\UserChoice DeleteKey: HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\Roaming\OpenWith\FileExts\.shtml\UserChoice DeleteKey: HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\Roaming\OpenWith\FileExts\.xht\UserChoice DeleteKey: HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\Roaming\OpenWith\FileExts\.xhtml\UserChoice DeleteKey: HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\Roaming\OpenWith\UrlAssociations\ftp\UserChoice DeleteKey: HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\ftp\UserChoice Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Clients\StartMenuInternet /v IHeeaWAHTM /f Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\RegisteredApplications /v IHeeaWAHTM /f Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Classes\.htm\OpenWithProgids /v IHeeaWAHTM /f Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Classes\.html\OpenWithProgids /v IHeeaWAHTM /f Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Classes\.shtml\OpenWithProgids /v IHeeaWAHTM /f Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Classes\.xht\OpenWithProgids /v IHeeaWAHTM /f Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Classes\.xhtml\OpenWithProgids /v IHeeaWAHTM /f Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v IHeeaWAHTM_.htm /f Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v IHeeaWAHTM_.html /f Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v IHeeaWAHTM_.shtml /f Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v IHeeaWAHTM_.xht /f Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v IHeeaWAHTM_.xhtml /f Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v IHeeaWAHTM_https /f Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v IHeeaWAHTM_ftp /f Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v IHeeaWAHTM_http /f CMD: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk" RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Temat przenoszę do innego działu. To nie jest problem infekcji, a z raportów FRST mało co wynika. Sugestie: 1. Zresetuj plik HOSTS do postaci domyślnej (obecnie mieli ponad 4 tysiące wpisów): KLIK. 2. Sprawdź czy efekt występuje też w czystym rozruchu: KLIK. PS. Potem można wdrożyć jeszcze mini korekty na puste / odpadkowe wpisy, w ogóle nie powiązane z problemami.

Wszystkie pliki zostały podstawione. Sprawdź czy sfc uruchomiony spod RE nadal zgłasza ten sam komunikat "Funkcja Ochrona zasobów systemu Windows odnalazła uszkodzone pliki, ale nie może naprawić niektórych z tych plików.". Jeśli tak, reinstaluj system. Jeśli komunikat będzie jednak inny, ewentualnie będzie można rozważać co jeszcze jest uszkodzone.

Jest kopia pliku ACPI.sys zgodna z wersją komponentów. Dla pozostałych plików brak poprawnych kopii, nie można użyć plików innej wersji komponentów. Podejście z podstawianiem plików: 1. Paczka Pliki.zip do pobrania: KLIK. Na pendrive utwórz katalog G:\Pliki i w nim umieść rozpakowane z ZIP pliki. Następnie przygotuj skrypt podstawiania plików, tzn. do Notatnika wklej: CMD: copy /y C:\Windows\System32\DriverStore\FileRepository\acpi.inf_amd64_neutral_aed2e7a487803437\acpi.sys C:\Windows\System32\drivers\acpi.sys CMD: copy /y G:\Pliki\nlasvc.dll C:\Windows\System32\nlasvc.dll CMD: copy /y G:\Pliki\nlasvc.dll C:\Windows\winsxs\amd64_microsoft-windows-nlasvc_31bf3856ad364e35_6.1.7601.18685_none_c561372a21c1c35c\nlasvc.dll CMD: copy /y G:\Pliki\rasmans.dll C:\Windows\System32\rasmans.dll CMD: copy /y G:\Pliki\rasmans.dll C:\Windows\winsxs\amd64_microsoft-windows-rasmanservice_31bf3856ad364e35_6.1.7601.17514_none_fce39bb0b7480d9a\rasmans.dll CMD: copy /y G:\Pliki\WUDFSvc.dll C:\Windows\System32\WUDFSvc.dll CMD: copy /y G:\Pliki\WUDFSvc.dll C:\Windows\winsxs\amd64_microsoft-windows-d..frameworks-usermode_31bf3856ad364e35_6.1.7601.17803_none_fb416b4f0bdbe260\WUDFSvc.dll Plik zapisz pod nazwą fixlist.txt na pendrive obok FRST64.exe. 2. Uruchom FRST, wybierz opcję Napraw (Fix) i przedstaw plik fixlog.txt utworzony na pendrive. 3. W zależności od wyników powyższej akcji: - Jeśli powyższa operacja się wykona poprawnie i system zastartuje, robisz sfc /scannow spod Windows i dostarczasz filtrowany raport zrobiony wg instrukcji w artykule. - Jeśli jednak zamiana plików nic nie wskóra, reinstalacja systemu, bo nie mam możliwości wykrycia wszystkich naruszeń w plikach.

Przecież wyraźnie mówiłam: "log z naprawy nie jest dostępny w RE". To samo jest opisane w instrukcjach do których Cię odesłałam. Niestety nie ma możliwości sprawdzić co narzędzie wykryło. Jedyne więc co mogę zrobić, to spróbować naprawić widziane w FRST naruszone pliki (ten ACPI.sys jest przypuszczalną przyczyną niemożności bootowania), a jeśli to nie pomoże, szykuje się reinstalacja systemu. Na razie podaj wyniki wyszukiwania na wystąpienia uszkodzonych plików. Uruchom FRST, w polu Szukaj wklep co poniżej, klik w Szukaj plików i dostarcz wynikowy log. ACPI.sys;nlasvc.dll;rasmans.dll;WUDFSvc.dll Przypuszczalnie w systemie nie będzie żadnej poprawnej kopii, co oznacza, że będę musiała przesłać wierne kopie plików z mojej wirtualnej maszyny do zamiany. Analiza tego niestety zajmie mi czas i nie obiecuję szybkiej odpowiedzi.

Na chwilę obecną zakładam, że powyższe nie ma związku, gdyż w systemie owszem widać niepożądane instalacje, w tym aktywny sterownik adware grupy Sambreel oraz "skaner" Bytefence (replika Reason Core Security, MBAM i nie wiadomo czego jeszcze). Rozpocznij od: 1. Deinstalacje: - Przez Panel sterowania odinstaluj adware/PUP: Booking.com version 1.1.0.5019, ByteFence Anti-Malware, Native Info, Sparta, WarThunder. A także stare wersje: Adobe Flash Player 10 Plugin, Adobe Flash Player 12 ActiveX, Adobe Shockwave Player 12.1, Bonjour, Gadu-Gadu 10, Java 8 Update 65. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {3f538614-b636-4023-9ec2-564ada4b07b3}w64; C:\Windows\System32\drivers\{3f538614-b636-4023-9ec2-564ada4b07b3}w64.sys [61112 2014-07-08] (StdLib) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S1 wfdrvr_vt_1_10_0_28; system32\drivers\wfdrvr_vt_1_10_0_28.sys [X] Task: {1E256B6A-6D10-487A-A0A0-0CC946F36863} - System32\Tasks\{4C7644A2-F2F9-422B-9760-2334D06628B6} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=6.6.0.106&LastError=2 Task: {3192F00F-178A-4ADF-BBEE-621F31C9B25E} - System32\Tasks\ByteFence Scan => C:\Program Files\ByteFence\ByteFence.exe [2016-03-29] (Byte Technologies LLC) Task: {38681C30-FA96-421F-B136-8236F0AB0AC1} - System32\Tasks\ByteFence => C:\Program Files\ByteFence\ByteFence.exe [2016-03-29] (Byte Technologies LLC) Task: {4023F048-50A4-479F-A50C-9651F4538CC2} - System32\Tasks\{13906C8A-E5DE-41AA-AFE4-092A6784890D} => pcalua.exe -a C:\Users\Gabrysia\Downloads\Minecraft-Setup.exe -d C:\Users\Gabrysia\Downloads Task: {42A61F4A-8440-4906-AEF4-168B84E78AA1} - System32\Tasks\{5AE06147-A4BA-448F-87EB-195589D923F8} => pcalua.exe -a "C:\Users\kacper i martyna\AppData\Roaming\webssearches\UninstallManager.exe" -c -ptid=amt -simple=0 Task: {4E9967DC-75A3-4CBC-A39E-BC7B00B057C1} - System32\Tasks\RunAsStdUser Task => C:\Users\Gabrysia\AppData\Local\Temp\{86D4B82A-ABED-442A-BE86-96357B70F4FE}\RunIE.exe Task: {6D2917A2-F962-4F0A-863C-5C9554837FBE} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {91F8F384-1EE5-4000-8553-CC0549FA7512} - \Dealply -> Brak pliku Task: {A3D6DD62-F9CB-4D8A-B210-8BC622617910} - \EPUpdater -> Brak pliku Task: {B2FFCD6A-6D6B-427C-A452-2E0EB58CF3F6} - System32\Tasks\AmiUpdXp => C:\Users\kacper i martyna\AppData\Local\3584\Updater.exe Task: {DA025766-3B8D-47C5-8602-04747BCA9400} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe Task: C:\Windows\Tasks\AmiUpdXp.job => C:\Users\kacper i martyna\AppData\Local\3584\Updater.exe HKLM-x32\...\Run: [fst_en_103] => [X] HKLM-x32\...\Run: [fst_pl_139] => [X] IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://searchinterneat-a.akamaihd.net/hm?eq=U0EeCFZVBB8SRghFI1sAWVxCQxhFJQkKTA1BFAUOIQgOBRRCRwBHcQsPUQkQRAcFIk0FA1ADB0VXfVBdFElXTwhtIU1RF1w4T1NM HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1180481510-4086299747-2033843143-1015\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRghFI1sAWVxCQxhFJQkKTA1BFAUOIQgOBRRCRwBHcQsPUQkQRAcFIk0FA1ADB0VXfVBdFElXTwhtIU1RF1w4T1NM SearchScopes: HKLM -> DefaultScope {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfV9bAwFJRAZBbV9dUQtcFQUWcBRZUA8VDAZFdV0JUw5BEVRGch9aFQQTSEcFME0FCFwEURNNfXdZFVAHRHxNJlY=&q={searchTerms} SearchScopes: HKLM -> OldSearch URL = SearchScopes: HKLM -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfV9bAwFJRAZBbV9dUQtcFQUWcBRZUA8VDAZFdV0JUw5BEVRGch9aFQQTSEcFME0FCFwEURNNfXdZFVAHRHxNJlY=&q={searchTerms} SearchScopes: HKLM -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://v9.com/web?type=ds&ts=1450270928&from=zzgbkk123&uid=st9500325as_s2w7k24vxxxxs2w7k24v&z=4b5a878395111bc5b8f17d4g4z5w8e1o1m8e5tfc0e&q={searchTerms} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = hxxp://www.default-search.net/search?sid=476&aid=175&itype=n&ver=13001&tm=394&src=ds&p={searchTerms} SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://v9.com/web?type=ds&ts=1450270928&from=zzgbkk123&uid=st9500325as_s2w7k24vxxxxs2w7k24v&z=4b5a878395111bc5b8f17d4g4z5w8e1o1m8e5tfc0e&q={searchTerms} SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = hxxp://www.default-search.net/search?sid=476&aid=175&itype=n&ver=13001&tm=394&src=ds&p={searchTerms} SearchScopes: HKLM-x32 -> {FDC320A9-B4B2-491E-B140-815C11613CB6} URL = hxxp://search.yahoo.com/search?p={searchTerms} BHO-x32: Treasure Track -> {1ef422df-c387-4f0d-88d1-b75bdfd51013} -> C:\Program Files (x86)\Treasure Track\Extensions\1ef422df-c387-4f0d-88d1-b75bdfd51013.dll => Brak pliku BHO-x32: Native Info -> {20ffc3e2-8613-4800-a80c-73ae470177af} -> C:\Program Files (x86)\Native Info\Extensions\20ffc3e2-8613-4800-a80c-73ae470177af.dll [2016-02-02] () Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku DPF: HKLM-x32 {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab CHR HKLM\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Gabrysia\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [2014-12-29] CHR HKLM-x32\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Gabrysia\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [2014-12-29] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeFlashPlayerUpdateSvc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Amsp DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Bonjour Service DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\dealplylive DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\dealplylivem DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\IePluginService DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\TiMiniService DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\winzipersvc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Wpm DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ASUSWebStorage DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Nuance PDF Reader-reminder DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Trend Micro Titanium DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VizorHtmlDialog.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Firefox C:\Program Files (x86)\Lenovo C:\Program Files (x86)\Native Info C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\175B47DD6.zot C:\ProgramData\mntemp C:\ProgramData\oqztiqep.adk C:\ProgramData\074d595f-0c31-4ea0-91ea-d03ba1a766fb C:\ProgramData\Temp C:\Users\Alicja.asus1\AppData\Roaming\WarThunder C:\Users\Alicja.asus1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Alicja.asus1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\Alicja.asus1\Downloads\*-dp*.exe C:\Users\Gabriela ♥\AppData\Roaming\WarThunder C:\Users\Gabriela ♥\Downloads\*-dp*.exe C:\Windows\System32\drivers\{3f538614-b636-4023-9ec2-564ada4b07b3}w64.sys C:\Windows\System32\Tasks\Lenovo CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Google Chrome: Ustawienia > karta Ustawienia > Osoby > załóż nowy profil i zaloguj się na niego, a poprzedni usuń całkowicie. Pobierz instalator Google Chrome i nadpisz nim pliki Chrome (są prawdopodobnie zainfekowane) Opera: Odłącz synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj adware Native Info, o ile nadal będzie widoczne po w/w deinstalacjach. 4. W systemie są dwa aktywne konta, na razie dostarczono tylko logi z konta Alicja: ==================== Konta użytkowników: ============================= Alicja (S-1-5-21-1180481510-4086299747-2033843143-1015 - Administrator - Enabled) => C:\Users\Alicja.asus1 Gabriela ♥ (S-1-5-21-1180481510-4086299747-2033843143-1019 - Administrator - Enabled) => C:\Users\Gabriela ♥ Po kolei zaloguj się na każde poprzez pełny restart systemu i na każdym zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Mam też pytanie dodatkowe związane z kontami. Wg wykazu są tylko te dwa powyższe i Gość, ale na dysku widać ogromną ilość folderów nie powiązanych z kontami. Czy można je usunąć? 2016-05-01 05:15 - 2016-02-25 09:12 - 00000000 ____D C:\Users\Gabriela ♥ 2016-05-01 05:15 - 2016-02-15 12:07 - 00000000 ____D C:\Users\Gabrysia.asus1 2016-05-01 05:15 - 2016-02-07 12:14 - 00000000 ____D C:\Users\Alicja.asus1 2016-05-01 05:15 - 2015-12-09 17:56 - 00000000 ____D C:\Users\Rodzina.asus1 2016-05-01 05:15 - 2015-12-03 16:14 - 00000000 ____D C:\Users\Goscie 2016-05-01 05:15 - 2015-11-08 12:24 - 00000000 ____D C:\Users\Gabriela 2016-05-01 05:15 - 2014-02-01 16:09 - 00000000 ____D C:\Users\Mateusz 2016-05-01 05:15 - 2012-08-11 10:32 - 00000000 ____D C:\Users\alicja 2016-05-01 05:15 - 2012-06-23 07:43 - 00000000 ____D C:\Users\Gość 2016-05-01 05:15 - 2012-05-20 15:25 - 00000000 ____D C:\Users\Gabrysia

Wszystko zrobione, problem rozwiązany. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder frst z programem i jego logami, a także GMER z Pobranych. Następnie skorzystaj z DelFix i wyczyść foldery Przywracania systemu: KLIK. 2. Materiał edukacyjny na co uważać, przypuszczalnie PriceFountain weszło z "Asystenta pobierania" dobrychprogramów: KLIK.

Zostały tylko odpadki po instalacjach adware. Poza tym, jest problem z kontem aktualizatora nVidia, zostało rozlinkowane z folderem C:\Users\UpdatusUser i obecnie ma charakter tymczasowy, ale tym wątkiem zajmę się potem. UpdatusUser (S-1-5-21-27256294-3351816481-630482978-1002 - Limited - Enabled) => C:\Users\TEMP Akcje wstępne do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {5C7B3621-DC94-4002-B270-08E57D6D2290} - System32\Tasks\IHeeaWABrowserUpdateCore => C:\Program Files (x86)\IHeeaWA\IHeeaWA\bin\IHeeaWA_server.exe Task: {7C440D8F-427A-4254-A228-37596E206593} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe Task: {8630F342-2BB4-47D3-A361-72F85240FE95} - System32\Tasks\IHeeaWACheckTask => C:\Program Files (x86)\IHeeaWA\IHeeaWA\bin\IHeeaWA_server.exe Task: {B347B652-86EB-45B1-B655-7C8A9BEAEC87} - System32\Tasks\IHeeaWABrowserUpdateUA => C:\Program Files (x86)\IHeeaWA\IHeeaWA\bin\IHeeaWA_server.exe Task: C:\Windows\Tasks\AutoKMS.job => C:\Windows\AutoKMS\AutoKMS.exe R2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2909472 2015-10-08] (IObit) S3 X6va031; \??\C:\Windows\SysWOW64\Drivers\X6va031 [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\str => ""="service" HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=188 FF HKLM-x32\...\Firefox\Extensions: [arthurj8283@gmail.com] - C:\Users\Kasia\AppData\Roaming\Mozilla\Firefox\Profiles\zmo9a9aj.default\extensions\arthurj8283@gmail.com => nie znaleziono DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WinZip C:\$AVG C:\Program Files (x86)\IHeeaWA C:\Program Files (x86)\IObit C:\ProgramData\IHeeaWA C:\ProgramData\MFAData C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\Users\Kasia\AppData\Local\Avg C:\Users\Kasia\AppData\Local\AvgSetupLog C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\Kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Public\Documents\IHeeaWA C:\Windows\system32\log C:\Windows\SysWOW64\pl.html CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale uBlock trzeba będzie przeinstalować. Używasz zresztą nierozwijanej gorszej edycji, powinieneś zainstalować uBlock Origin, a nie uBlock. Menu Historia > Wyczyść całą historię przeglądania. 3. Zrób nowy logwe logi z FRST: - Log z opcji Skanuj (Scan), bez Addition i Shortcut. - Log z wynikami szukania na szczątki po fałszywym Google Chrome. Uruchom FRST, w oknie Szukaj wklej co poniżej, klik w Szukaj w rejestrze i dostarcz log. IHeeaWA Dołącz też plik fixlog.txt.

Dziennik zdarzeń czyściutki. Koniec tematu. Pousuwaj z dysku FRST i jego logi, wliczając C:\FRST. Wyczyść też foldery Przywracania systemu.

vs. Dziennik System: ============= Error: (05/05/2016 09:00:51 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi System zdarzeń COM+ z powodu następującego błędu: %%1079 To wytyczne dla starego XP. W nowszych systemach są inne parametry. Usługa System zdarzeń COM+ domyślnie na Windows 7 ma przypisaną Usługę lokalną. Tak więc to jest poprawne ustawienie, nie należy go zmieniać, i jak rozumiem już je przywróciłeś. Wracając do problemu, jest w oknie pokazywany conajmniej jeden obiekt, więc usterka zdaje się być nie na poziomie globalnych elementów (wtedy spodziewane całkowicie puste okno), lecz w obszarze konfiguracji sieciowej. Podaj dane o bieżącej konfiguracji: Otwórz Notatnik i wklej w nim: Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network /s Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Narzędzie autonaprawcze mówi o uszkodzonym pliku. W logu FRST pośrednio widać uszkodzenia conajmniej 4 plików, brak producenta Microsoft: ==================== Usługi (filtrowane) ======================== S2 NlaSvc; C:\Windows\System32\nlasvc.dll [303616 2014-12-06] () S3 RasMan; C:\Windows\System32\rasmans.dll [344064 2010-11-20] () S3 wudfsvc; C:\Windows\System32\WUDFSvc.dll [84992 2012-07-26] () ===================== Sterowniki (filtrowane) ========================== S0 ACPI; C:\Windows\System32\drivers\ACPI.sys [334208 2010-11-20] () Raport FRST jest mocno ograniczony i uszkodzeń może być znacznie więcej w miejscach nie obejmowanych skanowaniem. Rozpocznij od wykonania skanu SFC spod RE: KLIK. Opisz co pokazało się w oknie (log z naprawy nie jest dostępny w RE).

Uwagi: 1. Zainstalowane programy: Do deinstalacji próchna QuickTime Alternative 3.2.2, Real Alternative 2.0.2. Doinstaluj też najnowszą łatkę 11.0.15 dla Adobe Reader oraz wymień wersję Java. Ponadto, widzę Sunrise Seven - ostrzegam przed użyciem opcji czyszczenia FileRepository, to ma skutki uboczne. 2. Dziennik zdarzeń: Są różne błędy, być może niektóre nieaktualne po przywróceniu rejestru. Na pewno jednak jeden błąd WMI przetrwał, bo jest na innym poziomie, usuń go narzędziem: KLIK. Po zastosowaniu tego narzędzia wyczyść Dzienniki zdarzeń: Start > w polu szukania wklep eventvwr.msc > z prawokliku Uruchom jako Administrator. W gałęzi Dzienniki systemu Windows z prawokliku wyczyść Aplikacja i System. Zresetuj system i zrób nowy log FRST Addition (tylko Addition dostarcz).

Opcje folderów i wyszukiwania > Widok > Podczas wpisywania w widoku listy > przestaw z "Automatycznie wpisz w okienku wyszukiwania" na "Zaznacz wpisany element w widoku".