picasso

Odinstaluj AdwCleaner posługując się przyciskiem w głównym oknie. Następnie zrób skan za pomocą Hitman Pro i dostarcz wynikowy log.

Drobny błąd przy przeklejaniu zrobiłeś, załączyłeś w skrypcie tag forum "no parse", dlatego nie skasował się odpadkowy folder G:\ProgramData\ArcaBit. Ręcznie go dokasuj. I jak mówię, po posprzątaniu ogólnym dysków możesz dodać raporty FRST z drugiego systemu.

Te logi się nie nadają do diagnostyki problemu. A problem nie wygląda na infekcję, więc temat przenoszę: ... do działu Hardware na diagnostykę. Dane wymagane działem: KLIK.

Fix FRST pomyślnie wykonany. AdwCleaner znalazł dużo resztek adware. Uruchom go ponownie, tym razem wybierz po kolei opcje Skanuj + Usuń i dostarcz wynikowy log z czyszczenia. Gdy go potwierdzę, zadam kolejny skan innym narzędziem.

Obecnie problemem nie jest PriceFountain lecz DNS Unlocker i zmodyfikowane serwery DNS. Operacje do wdrożenia: 1. Odinstaluj starą wersję Adobe Flash Player 10 ActiveX oraz adware DNS Unlocker version 1.4. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {1C30139F-F71B-4C0B-BAB7-D18420B9C23F} - System32\Tasks\DNSWALTERS => C:\Program Files (x86)\DNS Unlocker\dnswalters.exe [2016-02-28] () Task: {447D303C-1DCE-45E2-B732-608F4846DDDA} - System32\Tasks\{E4535B86-4D1F-4602-9F8D-CB281C3163F3} => pcalua.exe -a G:\IN2WLN47WW5.exe -d G:\ S3 iscFlash; C:\Users\Marta\AppData\Local\Temp\7zS897A.tmp\iscflashx64.sys [28736 2010-03-25] (Insyde Software) Tcpip\Parameters: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{C74DF588-878A-4B72-B940-31E91D33EB54}: [NameServer] 82.163.143.171 82.163.142.173 DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\DNS Unlocker C:\ProgramData\{1fbd7107-712c-1} C:\ProgramData\{0fe147f9-312c-1} C:\ProgramData\{05679657-212c-0} C:\ProgramData\{0140438a-012c-0} C:\ProgramData\4492502a C:\ProgramData\daa430b9-06f1-1 C:\ProgramData\daa430b9-35c7-0 C:\ProgramData\daa430b9-3507-1 C:\ProgramData\daa430b9-6f47-0 C:\Users\Marta\AppData\Roaming\PriceFountainUpdateVer CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt.

Tak, to bardzo niepożądane szkodniki. Są trudności z ich usunięciem ze względu na typ punktu ładowania. Działania do przeprowadzenia; 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware PriceFountain, SafeFinder, Update for PriceFountain. Jeśli będą błędy deinstalacji, nie szkodzi, zajmiemy się potem doczyszczaniem wpisów. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\Quotenamron\Namdom.dll => C:\ProgramData\Quotenamron\Namdom.dll [361984 2016-04-21] () AppInit_DLLs-x32: C:\ProgramData\Quotenamron\Zathphase.dll => C:\ProgramData\Quotenamron\Zathphase.dll [257536 2016-04-21] () S4 Quotenamron; C:\ProgramData\\Quotenamron\\Quotenamron.exe [1213440 2016-04-21] () [brak podpisu cyfrowego] Task: {CB89FE5D-81B9-4051-A7FD-DF229395DA6D} - System32\Tasks\lenovoMuttsDisincliningV2 => Rundll32.exe ScriptsPosting.dll,main 7 1 HKLM-x32\...\Run: [] => [X] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms} HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqebI93e0NwtMs8fFEisMHuEuhxqdaStf1zv9facjht4K78RiOemXSepAQQ4IMN6D4ddmr6jmmbudMVyDFnq4Sg1LML HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms} HKU\S-1-5-21-2576432662-3230786984-552761320-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7yFfQs_CSIA5rcPprDT3Xv2ic&q={searchTerms} SearchScopes: HKU\S-1-5-21-2576432662-3230786984-552761320-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOKbTmMTs4JCnrAQ5sdmH5aGx5m6x4OlP83972DXA1ygaHX645CVfHfYMJWFHNwXEqSciBFdziUGE6gglZlFyyg1GpYsnl5IYW79hHEEwLADzmSVXLIa2x-DF9rzptx8Pp7y CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\Quotenamron C:\ProgramData\Quotenamrons C:\Users\lenovo\AppData\Local\MuttsDisinclining C:\Users\lenovo\AppData\Roaming\*.* C:\Users\lenovo\AppData\Roaming\{0AA72162-031C-D2D3-7C26-757935C77ABA} C:\Users\lenovo\AppData\Roaming\Mozilla C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\allegro.pl .lnk C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Booking .lnk C:\WINDOWS\SysWOW64\findit.xml RemoveDirectory: C:\Users\TEMP EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Rozszerzenia > odinstaluj OneTab. Rozszerzenie kojarzone z instalacjami adware: KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszysrko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym Addition. Dołącz też plik fixlog.txt.

Gdy już ogarniesz układ, możesz zrobić na wszelki wypadek raporty FRST z poziomu tego drugiego systemu. Mogę doczyścić tam ewentualne śmieci. Nie widzę załącznika... Zapomniałam wypunktować, by nie przesadzić i nie załadować zbyt dużo na raz, unikając krzyżowania pewnych funkcji. Np. jeśli EMET, to nie Malwarebytes Anti-Exploit. Zresztą program Malwarebytes nawet wykrywa EMET i nie pozwala się zainstalować. To niby można zmanipulować przestawiając kolejność instalacji, ale nie sądzę, że to dobry pomysł.

W przypadku jeśli na pewno z ustawień na Facebooku usunięto wszystkie aplikacje, a efekt nadal występuje, infekcja rzeczywiście może być na poziomie któregoś z urządzeń. Skoro na telefonie nic jakoby nie przybyło, to tablet z Androidem wydaje się być bardziej podejrzany. Czyli na tablecie: sprawdzić wykaz zainstalowanych aplikacji, przejść na tryb Safe mode urządzenia i wyeliminować wszystkie nieznane / nierozpoznawane aplikacje. W przypadku braku rezultatów klaruje się reset urządzeń do ustawień fabrycznych.

Podaj raporty FRST i GMER z poziomu głównego systemu na którym działasz. Telefon odpada, te programy nie działają na platformach mobilnych.

Widzę, że Fix się chyba zaciął w pierwszym podejściu i drugi raz go uruchomiłeś. Na przyszłość: jeśli Fix (jednorazowego użytku) nie działa / jest błąd, przerwij działanie i nie powtarzaj skryptu, do czasu weryfikacji. W każdym razie zadania wykonane, ale Firefox poprzednio wyglądający na czysty został ponownie zainfekowany adware (obecnie widać przekierowania nicesearches.com). Czyli: 1. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

Czyli mam rozumieć, że problem z nieładowaniem stron ustąpił po jego deinstalacji? Avasta przywrócisz po ukończeniu czyszczenia systemu z adware, bo tu jeszcze sporo przed nami. Nie sądzę, aczkolwiek po ukończeniu czyszczenia dla świętego spokoju możesz zmienić login do banku. Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Classes\jIxmRfRHTM DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\jIxmRfR DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\jIxmRfR_server_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\jIxmRfR_server_RASMANCS DeleteKey: HKU\S-1-5-21-1141579635-3649818015-3828442440-1000\Software\jIxmRfR DeleteKey: HKU\S-1-5-21-1141579635-3649818015-3828442440-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\8011fc28_0 Reg: reg delete HKLM\SOFTWARE\RegisteredApplications /v jIxmRfR /f Reg: reg delete "HKU\S-1-5-21-1141579635-3649818015-3828442440-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Skan SFC bez zarzutu. I nie musiałeś go ponawiać. Kolejne rundy SFC są nagrywane do tego samego pliku CBS.log, a znaczniki czasowe identyfikują instancje. Tylko wtedy byłoby potrzebne ponowienie skanu, gdybyś nie uzyskał wyników filtrowania, co świadczyłoby, że Windows ocenił CBS.log jako "za duży" i zarchiwizował poprzednią postać. Wszystko wskazuje na to, że tu niestety był jednak jakiś rekursywny reset uprawnień na całej gałęzi SYSTEM. Ogromna ilość usług wykazuje te same cechy, tzn. utrata oryginalnego układu uprawnień (brak specjalnych kont dostępowych, np. dla Dhcp jest to konto o nazwie Dhcp). Ślady w rejestrze sugerują, że przyznając dostęp zrobiłeś jedno z dwóch: dodałeś grupę Wszyscy i/lub siebie samego (te uprawnienia nie występują w domyślnym układzie uprawnień). Przyznanie grupy Wszyscy owszem doraźnie likwiduje "Odmowę dostępu", choć to "brudny reset", nie jest wiernym układem i otwiera za dużo luk dostępowych. Przywrócenie oryginalnych uprawnień to koszmarna robota. Wykonywałam to kilka razy na forum, ale obecnie ze względu na brak czasu i stan zdrowia nie jestem w stanie tego przygotować dla Ciebie. Układ z "Wszyscy" musi więc pozostać do czasu reinstalacji systemu. Druga sprawa, widoczna dewastacja klucza WinSock2: w widoku głównym podklucza Parameters brak kilku wartości, w ogóle nie ma podklucza AppId_Catalog, a podklucze NameSpace_Catalog5 i Protocol_Catalog9 mocno zredukowane. Na razie spróbuj więc zrekonstruować poprawny wygląd tego klucza. Swoją drogą, z kolei w kluczu Winsock jest przetrzebiona lista bindowanych dostawców, ale to akurat może nie mieć znaczenia. Mam pytanie: czy przypadkiem nie próbowałeś rozwiązywać problemu z siecią całkowicie kasując klucze Winsock + WinSock2 z rejestru? Czyli: 1. Rekonstrukcja brakujących wartości w widoku Parameters oraz całych podkluczy AppId_Catalog i NameSpace_Catalog5. Do Notatnika wklej: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters] "NameSpace_Callout"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,\ 00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,\ 5c,00,66,00,77,00,70,00,75,00,63,00,6c,00,6e,00,74,00,2e,00,64,00,6c,00,6c,\ 00,00,00 "AutodialDLL"="rasadhlp.dll" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\AppId_Catalog] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\AppId_Catalog\06EBDCB1] "AppFullPath"="C:\\Windows\\system32\\wininit.exe" "PermittedLspCategories"=dword:80000040 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\AppId_Catalog\2C69D9F1-0F0A6651] "AppFullPath"="C:\\Windows\\system32\\svchost.exe" "AppArgs"="-k NetworkService" "PermittedLspCategories"=dword:80000044 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\AppId_Catalog\2C69D9F1-1F4968A0] "AppFullPath"="C:\\Windows\\system32\\svchost.exe" "AppArgs"="-k LocalServiceNetworkRestricted" "PermittedLspCategories"=dword:80000040 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\AppId_Catalog\2C69D9F1-215FDCCA] "AppFullPath"="C:\\Windows\\system32\\svchost.exe" "AppArgs"="-k LocalServiceAndNoImpersonation" "PermittedLspCategories"=dword:80000044 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\AppId_Catalog\2C69D9F1-34FFF7C0] "AppFullPath"="C:\\Windows\\system32\\svchost.exe" "AppArgs"="-k LocalService" "PermittedLspCategories"=dword:80000044 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\AppId_Catalog\343305C9] "AppFullPath"="C:\\Windows\\system32\\lsass.exe" "PermittedLspCategories"=dword:80000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] "Num_Catalog_Entries"=dword:00000006 "Serial_Access_Num"=dword:00000028 "Num_Catalog_Entries64"=dword:00000006 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000002] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000003] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000004] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000005] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000006] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Natomiast, by zresetować Protocol_Catalog9: Start > w polu szukania wklep cmd > z prawokliku Uruchom jako Administrator > wklep netsh winsock reset 3. Zresetuj system i podaj czy widzisz pożądane zmiany.

Mam pytanie: czy na pozostałych dyskach są zainstalowane inne systemy? W wynikach Fixlog widzę: - Na D katalogi starego XP D:\Documents and Settings + D:\WINDOWS, pełne folderów starych programów i śmieci. - Na G katalogi G:\Users + G:\Windows nowszego systemu, bardzo bogate w programy. A może to jakieś kopie zapasowe, bądź "odpadki" po innych instalacjach gotowe do upłynnienia? Jeśli chodzi o podane akcje, pomyślnie wykonane. Drobne korekty dodatkowe: 1. Do zestawu, który trzeba odinstalować, wchodzi QuickTime + Obsługa programów Apple. Co dopiero wykryto krytyczną lukę w programie, Apple zamiast naprawić ... usunęło wsparcie dla Windows i zalecana jest deinstalacja. 2. W Google Chrome są adresy adware. Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > ustaw jako domyślną Google, skasuj z listy śmieci. 3. Otwórz Notatnik i wklej w nim: S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Blizzard Entertainment\Battle.net\Cache RemoveDirectory: C:\Users\Janusz\AppData\Roaming\Opera Software RemoveDirectory: G:\ProgramData\APN RemoveDirectory: G:\ProgramData\ArcaBit Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Będzie bardzo mały i wejdzie do załącznika. W samo Chrome nie należy pokładać zbyt dużej wiary. Z tematu przydatne pozycje w kontekście infekcji szyfrujących: Ponadto, oczywiście kopie zapasowych danych, gromadzone w bezpiecznym izolowanym miejscu (dysk nie podpięty na stałe).

Na przyszłość: należy zakładać własne tematy, nie podpinać się do innych wątków. Tak, dostarcz podobne skany FRST (te z posta numer 2) jak dla poprzednika.

DelFix wykonał robotę. Skasuj z dysku plik raportu C:\delfix.txt. Temat rozwiązany. Zamykam. Wielkie dzięki za ewentualne wsparcie.

O jakie konkretnie strony chodzi, może z prefiksami https? I czy to na pewno wynik infekcji? W systemie działa też pakiet Avast Internet Security z firewallem i osłoną web, co także może mieć coś do rzeczy. W Dzienniku zdarzeń jest nawet błąd ładowania jednego ze składników: Dziennik System: ============= Error: (04/26/2016 07:06:39 PM) (Source: Service Control Manager) (EventID: 7026) (User: ) Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego: aswNetSec vs. S1 aswNetSec; C:\Windows\system32\drivers\aswNetSec.sys [552880 2016-02-24] (AVAST Software) Prawie wszystko wykonane. Kolejna porcja zadań: 1. Na próbę odinstaluj Avast Internet Security i zresetuj system, by sprawdzić czy to ma związek z problemem stron. Potem go ewentualnie zainstalujesz ponownie. 2. Odinstaluj stary sterownik SPTD pozostawiony po deinstalacji DAEMON Tools posługując się narzędziem SPTDinst. 3. Otwórz Notatnik i wklej w nim: Task: {7523F310-F624-4DC8-A9B3-738902BED371} - \jIxmRfRCheckTask -> Brak pliku Task: {75A31E1F-80AE-414C-ABF3-3EC50865E12A} - \jIxmRfRBrowserUpdateUA -> Brak pliku Task: {F69E5E56-7F72-4A5C-9060-210818F33239} - \jIxmRfRBrowserUpdateCore -> Brak pliku RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Adobe RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\ProgramData\Adobe CMD: del /q C:\Users\OEM\AppData\Local\{AEFCAA06-3105-4DA4-B367-6D50F50C322B} Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 4. Uruchom FRST, w polu Szukaj wklej: jIxmRfR Klik w Szukaj w rejestrze i przedstaw wynikoy log.

W tej sytuacji uważam, że nie ma co dalej kombinować, by nie przekombinować. Gra bez modów działa OK, więc problem wygląda na pochodną modów. Nie wiem jaki to problem i dlaczego nagle im się "pogorszyło", ale skutki pozbycia się ich są oczywiste. Właśnie na stronie wsparcia tego modelu: KLIK. Nie sprawdzałam czy w którejś paczce jest ten "Qualcomm Atheros" i czy w ogóle jest, oczywistego downloadu "KillerNetwork" jakoś nie widzę. Ale jak mówię wyżej, skoro już jest dobrze, zostawić wątek w spokoju. Czyszczenie systemu zostało ukończone. Czynności końcowe już dawno wdrożone. Myślę, że na tym możemy poprzestać. Na dalszą metę sugeruję rozważenie aktualizacji do Windows 10.

Prawie wszystko zrobione, ale tu nie koniec czyszczenia. 1. W Operze nadal widzę adware High Stairs. Czy na pewno nie widzisz tego na liście deinstalacji? Jeśli nie, poniższy skrypt FRST i tak to wywali. 2. Pod kątem wejść których nie da się odinstalować. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpisy Internet Explorer Toolbar 4.6 by SweetPacks, SweetIM for Messenger 3.7, Update Manager for SweetPacks 1.1, uTorrentControl_v2 Toolbar > Dalej. Narzędzie trzeba uruchomić 4 razy, nie umożliwia usunięcia wszystkiego za jednym zamachem. Jeśli któryś wpis będzie niewidoczny, nie szkodzi, dokasujemy go potem inną metodą. 3. Otwórz Notatnik i wklej w nim: Task: {C4F273AA-74A4-446D-9D19-76EE8B92E802} - System32\Tasks\Remediation\AntimalwareMigrationTask => C:\Program Files\Common Files\AV\Norton Internet Security\Upgrade.exe [2015-08-06] (Symantec Corporation) DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Remediation DisableService: Mobile Partner. RunOuc RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Common Files\AV\Norton Internet Security RemoveDirectory: C:\Program Files (x86)\Adobe RemoveDirectory: C:\ProgramData\Adobe RemoveDirectory: C:\ProgramData\Norton RemoveDirectory: C:\Users\Dorota\AppData\Local\Adobe RemoveDirectory: C:\Users\Dorota\AppData\Roaming\Opera Software\Opera Stable\Extensions\dmlmbdgogacbbglbjomfbcpcnoglbgcm RemoveDirectory: C:\Windows\System32\Tasks\Remediation CMD: for /d %f in (C:\Users\Dorota\AppData\Local\{*}) do rd /s /q "%f" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 4. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Liczne problemy infekcyjne w systemie: - Infekcja DNS Unlocker (zadanie PowerShell w Harmonogramie i zmodyfikowane masowo serwery DNS przekierowujące na izraelskie IP) - Uruchomiony fałszywy klon Google Chrome jIxmRfR ze zintegrowanym adware, ustawiony jako domyślna przeglądarka, który podmienił wszystkie skróty Google Chrome. Przypuszczalnie wydaje Ci się, że uruchomiłaś Google Chrome, a to podróbka. - Problem pieserch także nie rozwiązany (zmodyfikowane skróty przeglądarek i preferencje Firefox). Akcje do wykonania: 1. Odinstaluj stare niebezpieczne wersje: Adobe AIR, Apple Application Support, Apple Software Update, Java 8 Update 40, Gadu-Gadu 10, Opera 10.50, QuickTime. Tak, cały majdan Quicktime, ponieważ ostatnio wykryto poważną lukę w programie, Apple się wypięło i usuwa wsparcie dla Windows, zalecana kompletna deinstalacja. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 DeskTop_F; C:\ProgramData\desktopfind\desktop244.exe [236728 2016-03-16] (DeskTopService) R2 jIxmRfR_protect; C:\ProgramData\jIxmRfR\protect\protect.exe [303016 2016-04-21] () S2 jIxmRfR_update; C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe [473000 2016-04-21] () Task: {2D111878-3D8C-419B-ADDE-2C07AD40D75B} - System32\Tasks\jIxmRfRBrowserUpdateCore => C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe [2016-04-21] () Task: {2D3FB577-46E9-4516-9F40-65F56CC11E63} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\CE27B5CEDB198923421F52D8D274356E\Update\BrowserUpdate.exe [2016-04-08] (Tencent) Task: {2E125864-79D1-4527-ABE8-403129516330} - System32\Tasks\{163E9032-7509-4DB5-9B49-2C9F925F1F05} => pcalua.exe -a C:\Users\OEM\Downloads\chromeinstall-7u67.exe -d C:\Users\OEM\Downloads Task: {329BC00C-CC95-40D7-ABB0-AA6DDBFEA258} - System32\Tasks\{B09836DB-37DC-4E1A-8ADC-0823D06892C0} => C:\Program Files (x86)\Camy II v2.3\Camy2.exe Task: {4510E2CF-C195-4129-91E3-2BA3136E3D30} - System32\Tasks\{50319244-F92C-4AF6-BADA-4AF495E42C1C} => C:\Program Files (x86)\Camy II v2.3\Camy2.exe Task: {51850AE3-AD21-433A-BE99-DDAE9893375F} - System32\Tasks\{0C0B7A47-7A0B-0E7F-7E11-0D7A0508110D} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand JABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAIgA7ACQAVwBhAHIAbgBpAG4AZwBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AJABzAGMAOwAkAFAAcgBvAGcA (dane wartości zawierają 9448 znaków więcej). Task: {7D5718D0-2CF9-43F4-83AC-8272570ABDCB} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Updater – Install HPSA Logon Task => C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\Modules\HPSSFUpdater.exe Task: {7D9F93C0-67D4-4D00-A2CF-0AB69B7B7076} - System32\Tasks\{2E97FE42-6004-45C2-BEFB-A603AE56EA6B} => C:\Program Files (x86)\Camy II v2.3\Camy2.exe Task: {8DC7FCD3-28D4-4244-B2C0-C74C781B447A} - System32\Tasks\jIxmRfRBrowserUpdateUA => C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe [2016-04-21] () Task: {A447D529-E569-4BD9-8483-4ECA5FCA3A52} - System32\Tasks\WinTaske => C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe [2016-02-03] () Task: {B72FD7B7-0FE1-45BE-ADD5-DBE410A14A33} - System32\Tasks\jIxmRfRCheckTask => C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe [2016-04-21] () Task: {F95473AA-C127-4614-8397-FC0CFA50B19C} - System32\Tasks\{9A821CF0-9181-49A8-B0EC-2ABE2EBE8768} => C:\Program Files (x86)\Camy II v2.3\Camy2.exe HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-1141579635-3649818015-3828442440-1000\...\Run: [GoogleChromeAutoLaunch_344DDB7B60937B1E369F7AD19F7CD062] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [874648 2016-04-06] (Google Inc.) HKU\S-1-5-21-1141579635-3649818015-3828442440-1000\...\Run: [793893109BBBD53AF57A2AEA9CEEF7B06516C20F._service_run] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [874648 2016-04-06] (Google Inc.) ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.piesearch.com/?uid=80fdcc12-18c0-4026-af5f-eb5f0a08f5cd ShortcutWithArgument: C:\Users\OEM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.piesearch.com/?uid=80fdcc12-18c0-4026-af5f-eb5f0a08f5cd ShortcutWithArgument: C:\Users\Public\Desktop\Avast SafeZone Browser.lnk -> C:\Program Files\AVAST Software\SZBrowser\launcher.exe (Avast Software) -> hxxp://www.piesearch.com/?uid=80fdcc12-18c0-4026-af5f-eb5f0a08f5cd ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.piesearch.com/?uid=80fdcc12-18c0-4026-af5f-eb5f0a08f5cd HKU\S-1-5-21-1141579635-3649818015-3828442440-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.us.com/?guid={B498C0B8-DB67-494B-A93F-6983C5C64445} HKU\S-1-5-21-1141579635-3649818015-3828442440-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://search.us.com/?guid={B498C0B8-DB67-494B-A93F-6983C5C64445} SearchScopes: HKU\S-1-5-21-1141579635-3649818015-3828442440-1000 -> {6C0B584D-6935-4C23-84CA-9371887E42F5} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=11433 SearchScopes: HKU\S-1-5-21-1141579635-3649818015-3828442440-1000 -> {D8DEF47E-1B7D-48B0-986F-3FEE2334582A} URL = hxxp://search.us.com/serp?guid={B498C0B8-DB67-494B-A93F-6983C5C64445}&k={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.piesearch.com/?uid=80fdcc12-18c0-4026-af5f-eb5f0a08f5cd StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.piesearch.com/?uid=80fdcc12-18c0-4026-af5f-eb5f0a08f5cd StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.piesearch.com/?uid=80fdcc12-18c0-4026-af5f-eb5f0a08f5cd CHR HKLM-x32\...\Chrome\Extension: [dkmjljdbbgogihjcapfhgkonfmccbffp] - hxxps://clients2.google.com/service/update2/crx FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF Tcpip\Parameters: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{9506D651-7D0D-4122-8524-9FD5F47614CD}: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{ADF0E688-D307-4D46-9A33-584F845183CD}: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{DC85143D-8AE0-4F46-9CC2-2DC2B61D52D0}: [NameServer] 82.163.142.7 95.211.158.134 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Classes\jIxmRfRHTM DeleteKey: HKCU\Software\Clients\StartMenuInternet\jIxmRfRHTM DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera DeleteKey: HKLM\SOFTWARE\Wow6432Node\jIxmRfR DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v jIxmRfRHTM_.html /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v jIxmRfRHTM_.xht /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v jIxmRfRHTM_https /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v jIxmRfRHTM_http /f Reg: reg delete HKCU\Software\RegisteredApplications /v jIxmRfRHTM /f Reg: reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe" /f C:\Program Files (x86)\jIxmRfR C:\Program Files (x86)\QQBrowser C:\Program Files (x86)\SearchesToYesbnd C:\Program Files (x86)\WinTaske C:\Program Files (x86)\WinZipper C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\desktopfind C:\ProgramData\jIxmRfR C:\ProgramData\XwinpX C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TopWare Interactive C:\Users\OEM\AppData\Local\jIxmRfR C:\Users\OEM\AppData\Roaming\Drimar C:\Users\OEM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DAEMON Tools Lite.lnk C:\Users\OEM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\OEM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\OEM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome (2).lnk C:\Users\OEM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\OEM\Desktop\Pressure.lnk C:\Users\Public\Desktop\Google Chrome.lnk C:\Windows\system32\log C:\Windows\SysWOW64\pl.html CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Ręcznie zrób skróty przeglądarki na Pulpicie / Pasku zadań i w Menu Start. Wybraną przeglądarkę ustaw jako domyślną, by przebiła ustawienia fałszywego klona. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też plik fixlog.txt.

GrindujTopy Jeśli chodzi o problem z załączeniem pliku, to w instrukcji było podane, by zmienić rozszerzenie z *.log na *txt. 1. Usuń za pomocą Hitman pliki sklasyfikowane jako "malware" oraz wszystkie wykryte cookies. Hitman możesz odinstalować lub zostawić do skanów na żądanie w przyszłości. 2. Zastosuj DelFix, następnie wyczyść foldery Przywracania systemu: KLIK. To wszystko, jeśli chodzi o czyszczenie z adware. Obecnie widać następujące pozycje: ==================== Zainstalowane programy ====================== CCSDK (HKLM-x32\...\{AE75190B-11B4-4F90-8254-DAB275CF2557}_is1) (Version: 1.1.0.7 - Lenovo) Lenovo Bluetooth with Enhanced Data Rate Software (HKLM\...\{C6D9ED03-6FCF-4410-9CB7-45CA285F9E11}) (Version: 12.0.0.9840 - Broadcom Corporation) Lenovo Dependency Package (HKLM\...\Lenovo Dependency Package_is1) (Version: 1.6.38.00 - Lenovo Group Limited) Lenovo EasyCamera (HKLM-x32\...\{E0A7ED39-8CD6-4351-93C3-69CCA00D12B4}) (Version: 6.2.9200.10292 - Realtek Semiconductor Corp.) Lenovo FusionEngine (HKLM-x32\...\Lenovo FusionEngine) (Version: 1.0.13.0 - Lenovo, Inc.) Lenovo OneKey Recovery (HKLM-x32\...\InstallShield_{46F4D124-20E5-4D12-BE52-EC177A7A4B42}) (Version: 8.1.0.2619 - CyberLink Corp.) Lenovo PhoneCompanion (HKLM-x32\...\InstallShield_{0F82EA83-B0C5-4AB9-9695-DFE92C5FD57B}) (Version: 2.0.0.19 - Lenovo) Lenovo Photo Master (HKLM-x32\...\InstallShield_{BC94C56A-3649-420C-8756-2ADEBE399D33}) (Version: 1.0.1826.01 - CyberLink Corp.) Lenovo PowerDVD10 (HKLM-x32\...\InstallShield_{DEC235ED-58A4-4517-A278-C41E8DAEAB3B}) (Version: 10.0.6806.52 - CyberLink Corp.) Lenovo Settings - Camera Audio (HKLM\...\{88C6A6D9-324C-46E8-BA87-563D14021442}_is1) (Version: 4.3.5.0 - Lenovo Corporation) Lenovo Settings (HKLM\...\{D14CCBF5-1A3A-4C08-955B-BE6D519835C4}_is1) (Version: 2.0.0.4 - Lenovo) Lenovo Settings Dependency Package (HKLM\...\{3694BA2E-BE31-4B7E-886B-A0B559E69D4D}_is1) (Version: 2.3.1.28 - Lenovo Group Limited) Lenovo Settings Service (HKLM\...\{8C6F1EBA-17F1-4481-B688-9777E63E985F}_is1) (Version: 2.3.0.20 - Lenovo Group Limited) Lenovo Settings UMDF driver (HKLM\...\{2BDC7413-65EA-4B99-8C4B-02F11075BE6D}_is1) (Version: 1.2.0.6 - Lenovo Group Limited) Lenovo Settings WiFi (HKLM\...\{86045A6C-C156-4349-A3E2-47A88A42F5C2}_is1) (Version: 2.0.0.2 - Lenovo) Lenovo Solution Center (HKLM\...\{4C2B6F96-3AED-4E3F-8DCE-917863D1E6B1}) (Version: 2.7.003.00 - Lenovo Group Limited) Lenovo VeriFace Pro (HKLM\...\Lenovo VeriFace) (Version: 5.1.14.6181 - Lenovo) Lenovo_Wireless_Driver (HKLM-x32\...\{5D642A72-8194-4A22-80DA-11FE610CCA8E}) (Version: 6.30.223.201 - Lenovo) OneKey Optimizer (HKLM-x32\...\InstallShield_{D5D573DC-D989-4769-9B56-D6A7EA503D7F}) (Version: 1.1.20.16 - Lenovo) Z tej grupy ruszyłabym tylko CCSDK (jakoś go przeoczyłam, to element "zbierania statystyk") oraz o ile z nich nie korzystacie Lenovo PhoneCompanion (związane z synchronizacją telefonu), Lenovo Photo Master i Lenovo PowerDVD10. Ewentualnie Lenovo VeriFace Pro, jeśli nie jest używany system identyfikacji za pomocą twarzy. Rucek On nie ma takich programów na liście. A Pokki już odinstalowane. Zadałam do deinstalacji Host App Service (Pokki), Lenovo Web Start (Pokki) i Metric Collection SDK 35 + usunęłam skryptem FRST zbędne zadania "Lenovo Customer Feedback Program" zbierające dane.

Skrypt FRST pomyślnie wykonany. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Jak zaktualizować oprogramowanie routera ADSL (dla TD-W8840T, TD-W8901G, TD-W8951ND oraz TD-W8961ND) Firmware dla TD-W8901G

W Dzienniku zdarzeń tylko jakieś niesprecyzowane błędy które trudno dopasować. Jaki błąd jest zwracany podczas instalacji aktualizacji? Czy tu przypadkiem nie występuje ten problem: KLIK? Jeśli nie jest to jednak identyczny przypadek, dostarcz te same dane, o które prosiłam tamtego użytkownika. PS. W spoilerze kosmetyczne usunięcie śmieci i szczątków Firefoxa, kompletnie bez związku ze zgłoszonym problemem.

Temat przenoszę do działu Windows, "dzisiaj kupiony laptop" i nie ma tu co szukać infekcji. Z raportów FRST nic nie wynika. Widać, że już próbowałaś redukować firmowe integracje i deinstalowałaś McAfee. Pojawił się za to ESET - czy laptop wolno działał również po deinstalacji McAfee ale przed instalacją ESET? Na razie wstępne sugestie: 1. McAfee nie odinstalował się w pełni - zastosuj narzędzie McAfee Consumer Product Removal Tool. 2. Sprawdź czy problem stanowią wpisy w starcie i usługach, przeprowadzając tzw. "czysty rozruch": KLIK. 3. Można się pozbyć też tych integracji (pomijając programy z których jednak korzystasz): ==================== Installed Programs ====================== CyberLink PhotoDirector 3 (HKLM-x32\...\InstallShield_{39337565-330E-4ab6-A9AE-AC81E0720B10}) (Version: 3.0.1.4107 - CyberLink Corp.) CyberLink PowerDirector 10 (HKLM-x32\...\InstallShield_{B0B4F6D2-F2AE-451A-9496-6F2F6A897B32}) (Version: 10.0.0.2810 - CyberLink Corp.) Dolby Digital Plus Home Theater (HKLM\...\{7E3D8FA1-6092-469A-955B-68FC4A2C67CA}) (Version: 7.5.1.1 - Dolby Laboratories Inc) Dragon Assistant Application en-US version 1.5.8 (HKLM-x32\...\{1CCBE73F-4948-4711-8D12-22E2FD65D706}_is1) (Version: 1.5.8 - Nuance Communications, Inc.) Dragon Assistant Core Recognition Service version 1.1.10 (HKLM-x32\...\{E97BA7A6-46FC-4EBF-B24A-B8362948C696}_is1) (Version: 1.1.10 - Nuance Communications, Inc.) Dragon Assistant Installer version 1.5.8 (HKLM-x32\...\{D57A8269-3BE5-4D10-B882-64D0F2D448BF}_is1) (Version: 1.5.8 - Nuance Communications, Inc.) Dragon Assistant Language Data en-US version 1.1.3 (HKLM-x32\...\{4C0C1E4E-D3B1-4496-98EC-DA14D45EC855}_is1) (Version: 1.1.3 - Nuance Communications, Inc.) Lenovo Experience Improvement (HKLM\...\LenovoExperienceImprovement) (Version: 1.0.4.0 - Lenovo) Lenovo Motion Control (HKLM-x32\...\InstallShield_{0D740B00-2307-44AC-B91B-F3E67444ECA6}) (Version: 2.0.1.0107 - PointGrab) Lenovo PhoneCompanion (HKLM-x32\...\InstallShield_{0F82EA83-B0C5-4AB9-9695-DFE92C5FD57B}) (Version: 1.2.0.2 - Lenovo) Lenovo PowerDVD10 (HKLM-x32\...\InstallShield_{DEC235ED-58A4-4517-A278-C41E8DAEAB3B}) (Version: 10.0.5630.52 - CyberLink Corp.) Lenovo Smart Voice (HKLM\...\Lenovo SmartVoice) (Version: 1.0.2.2 - Lenovo) Lenovo VeriFace Pro (HKLM\...\Lenovo VeriFace) (Version: 5.1.14.2111 - Lenovo) Magic Transfer (HKLM-x32\...\InstallShield_{AD2B2BD1-A1D7-4798-8FDD-B2A58FD94E68}) (Version: 1.1.1.11 - Lenovo) Nitro Pro 8 (HKLM\...\{392C767D-4EE2-49B5-A3B4-A4C3AB6DC145}) (Version: 8.5.7.1 - Nitro) NVIDIA GeForce Experience 1.8.2 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.GFExperience) (Version: 1.8.2 - NVIDIA Corporation) Pokki Start Menu (HKU\S-1-5-21-1571231700-2717941315-1072459818-1001\...\Pokki) (Version: 0.267.1.191 - Pokki)

Drobnostki końcowe: 1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku folder C:\$Windows.~BT wykazujący podobne naruszenia. W przypadku gdyby nie chciał się usunąć (błąd "Odmowa dostępu"), zastosuj skrypt fixlist.txt do FRST o zawartości: RemoveDirectory: C:\$Windows.~BT 2. A na szarym końcu skorzystaj z DelFix i wyczyść foldery Przywracania systemu: KLIK

Zapomniałam zapytać, a jaki jest stan: Zatrzymano czy Uruchomiono? Jeśli to pierwsze, to jaki błąd zwraca próba uruchomienia usługi? Na razie to nie kombinuj za bardzo, dopóki się nie wyjaśni co jest nie tak z usługą Dziennika zdarzeń. Usługa ta musi być sprawna, są różne zależności wymagające poprawnego funkcjonowania tego komponentu. Tu nie tylko chodzi o to, że nie można odczytać logów Dziennika. Zakładając, że FRST nie był zawieszony, to jedyna możliwość jaką widzę to wykonanie przez FRST operacji "Unlock" na docelowych folderach C:\Users i C:\Program files a nie na linkach, pomimo że Fixlog tego nie potwierdza (tzn. w Fixlog jest że operacja była na linkach)... W tym przypadku byłoby to bardzo niepożądane, to by oznaczało rekursywny reset uprawnień tych katalogów. To byłby pierwszy taki przypadek na forum, nigdy tego nie widziałam na forum w tematach z komendami Unlock.