Miszel03

W raportach brak oznak infekcji, temat przenoszę do działu Windows 7. Zadję instrukcje kosmetyczne oraz czyszczenie Google Chrome może to coś pomoże, ewentualnie pozostaje kompleksowa reinstalacja. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-2270227710-3598119519-4052884031-1000_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.31.5\psuser_64.dll => Brak pliku HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku GroupPolicy: Ograniczenia BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll => Brak pliku StartMenuInternet: (HKLM) OperaStable - C:\Program Files\Opera\Launcher.exe U0 aswVmm; Brak ImagePath S3 dbx; system32\DRIVERS\dbx.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym. Polecam rozszerzenie uBlock Origin. 3. Sprawdź czy problem ustąpił. Nie musisz dostarczać żadnych raportów.

Ilość realokowanych sektorów dotarła do wartości progowej, czyli prawdopodobnie wykorzystałeś wszystkie zapasowe sektory i jak padną kolejne to już nie będzie z czego realokować i możesz utracić dane - dysk może w każdej chwili odmówić posłuszeństwa. Sformatowałeś dysk, więc kopie zapasową danych raczej również zrobiłeś (jeśli nie, a jakieś dane masz to zrób ją).

Dostarcz raporty z przeprowadzenia tych działań (+ widzę, że pobrałeś jakieś fixy do FRST - pobieram ich zawartość w celu weryfikacji). W systemie jeszcze widać adware. Wspominana samoistnie włączająca się strona w Google Chrome jest spowodowana szkodliwym wpisem w Harmonogramie Zadań. Do tego dochodzi niewiadomy klucz uruchamiający przeglądarkę, który usuwam. HKU\S-1-5-21-1706106373-1807487178-1385189351-1000\...\Run: [GoogleChromeAutoLaunch_97F6DB1979184FEB69629C32DFCD380A] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [1116504 2017-02-01] (Google Inc.) 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-1706106373-1807487178-1385189351-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\ddrawex.dll => Brak pliku Task: {C77E4E06-166D-470E-ACE8-05CE6EB97812} - System32\Tasks\httpgdslkeee1rurupowersm => Chrome.exe hxxp://gdslkeee1ru.ru/powersm HKU\S-1-5-21-1706106373-1807487178-1385189351-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-1706106373-1807487178-1385189351-1000\...\Run: [Opos] => [X] HKU\S-1-5-21-1706106373-1807487178-1385189351-1000\...\Run: [GoogleChromeAutoLaunch_97F6DB1979184FEB69629C32DFCD380A] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [1116504 2017-02-01] (Google Inc.) S3 TunngleService; F:\Program Files\Tunngle\Tunngle\TnglCtrl.exe [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] S4 NVHDA; system32\drivers\nvhda64v.sys [X] S4 nvlddmkm; system32\DRIVERS\nvlddmkm.sys [X] S3 NvStreamKms; \??\C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] U0 Partizan; system32\drivers\Partizan.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] CMD: type "C:\Users\Win7\Downloads\fixlist.txt" CMD: type "C:\Users\Win7\Downloads\Fixlog.txt" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Upewnij się, że AdwCleaner już niczego nie wykrywa. Jeśli coś wykyrwa to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W takim razie stopujemy. To problem Hardware, prawdopodobnie dysk jest poważnie uszkodzony. Zrób raport z CrystalDiskInfo. Ze strony tego działu powiem tyle, że jeśli komunikat okaże się błędem to przejdziemy do włączenia i rekonstrukcji usług (FSS wykazał poważne uszkodzenia, a w skrypcie FRST zrobiłem literówkę w dyrektywach, więc za dużo się nie dowiedziałem). Wyniki z MBAM nie nadają się do usunięcia - to elementy COMODO.

To je wywalam. Czekam na odpowiedź dot. pkt. 2. Otwórz Notatnik w nim wklej: ShortcutWithArgument: C:\Users\oliwia\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> –safebrowsing-disable-download-protection Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nie musisz dostarczać żadnych raportów.

Próbujesz odświeżać temat, a nie dostarczyłeś wszystkich danych, o które prosiłem. 1. Wszystkie zagrożenia wykryte przez AdwCleaner'a daj do usuwania (używając opcji Oczyść). Dostarcz raport z tego działania. 2. Podsumuj obecną sytuację, czy problem ustąpił itd.

Może warto najpierw poszukać innych rozwiązań?

Dostarcz raport z przeprowadzenia tych działań. 1. Wersja jest już trochę za bardzo stara, bo z 14 stycznia, pobierz nową - KLIK. 2. Dołączyłeś tylko jeden raport, a powinny być trzy - KLIK.

Posty znowu łącze, używaj opcji "Edytuj". Na przyszłość: nie mieszaj wersji programu FRST, bo informacje mogą zrobić się sprzeczne. Tak samo z czasem, jeśli zachodzi sytuacja, że zapomnaiłeś zrobić danego raportu to robisz wszystkie od nowa. FRST: Wersja: 29-01-2017 Addition i Shortcut: Wersja: 05-02-2017 System wymaga tylko posprzątania po adware. P.S: Czy poniższe ustawinie na skrócie przeglądarki Google Chrome jest ustawieniem celowym? ShortcutWithArgument: C:\Users\oliwia\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> –safebrowsing-disable-download-protection 1. Przez panel sterowania odinstaluj: Adware: Amazon 1Button App 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [] => [X] SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3748271482-3157857226-2612363529-1001 -> DefaultScope {076EB35A-BB75-43AB-BEFD-10EA11145247} URL = SearchScopes: HKU\S-1-5-21-3748271482-3157857226-2612363529-1001 -> {076EB35A-BB75-43AB-BEFD-10EA11145247} URL = U3 uxldypow; \??\C:\Users\oliwia\AppData\Local\Temp\uxldypow.sys [X] AlternateDataStreams: C:\ProgramData\Temp:6BE50C2B [464] HKU\S-1-5-21-3748271482-3157857226-2612363529-1001\Software\Classes\regfile: regedit.exe "%1" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Deluge\Deluge daemon.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Deluge\Deluge webUI.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Deluge\Deluge.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Deluge\Project homepage.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Deluge\Uninstall Deluge.lnk C:\Users\oliwia\Desktop\Elf Bot for DBKO v4.1\Elf Bot for DBKO v4.1\ElfBotNG.4.5.4.Final.Crack.by.EvOlUtIoN\ElfBotNG.4.5.4.Final.Crack.by.EvOlUtIoN — skrót.lnk C:\Users\Public\Desktop\Deluge.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\oliwia\AppData\Local\Mozilla C:\Users\oliwia\AppData\Roaming\Mozilla C:\Users\oliwia\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Jeszcze tylko drobna poprawka i kończymy, Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-899261099-702920328-1542426104-1001\...\Run: [svchost0] => C:\Program Files (x86)\sbqh\uc.exe Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v app /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v svchost0 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nie musisz dostarczać nowych raportów, ani raportu wynikowego (pliku Fixlog.txt). Ze strony tego działu to byłoby na tyle, opisywany przez Ciebie problem nie ma podłoża infekcyjnego, więc temat przenoszę do działu Windows 8. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK.

Posty łączę, by był porządek. Te 2 raporty w porządku, ale nie widzę pozostałych dwóch czyli Addition i Shortcut generowanych przez narzędzie FRST.

Jeśli założyłeś temat w tym dziale to prawdopodobnie podejrzewasz infekcje systemu, aby to sprawdzić potrzebuję sporej ilości danych. Dostarcz raporty FRST oraz GMER.

W raportach brak oznak infekcji, poniżej zadaję zadania poboczne kasujące odpadkowe elementy adware itd. Temat przenoszę do działu Windows XP. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = URLSearchHook: [s-1-5-21-1844237615-492894223-725345543-1056] UWAGA => Brak domyślnego URLSearchHook HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-1844237615-492894223-725345543-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S4 IntelIde; Brak ImagePath U1 WS2IFSL; Brak ImagePath CustomCLSID: HKU\S-1-5-21-1844237615-492894223-725345543-1003_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1844237615-492894223-725345543-1003_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1844237615-492894223-725345543-1003_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:65D36A19 [129] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog.txt). Ze strony tego działu to by było na tyle.

Nigdy nie wiesz co dokładnie siedzi w tym cracku, a MBAM sygnalizuje tylko o jego obecność. 1. Wszystkie zagrożenia wykryte przez AdwCleaner'a daj do kasacji (używając opcji Oczyść), a następnie dostarcz raport z tego działania. 2. Podsumuj obecną sytuację, czy problem ustąpił, czy nie zrobiło się ich więcej itd.

W systemie widać szczątki po infekcjach adware, do tego wyniki z Malwarebytes wykazują elementy infekcji Adware.Elex, która zdolna jest uszkodzić usługę Themes dodając niestandardową wartość DependOnService - dlatego pobieram wygląda całości usługi. Kilku rozszerzeń w przeglądarce Opera nie mogę zweryfikować, więc najlepiej będzie jak sam je przejrzysz, bo najlepiej wiesz co instalowałeś celowo (patrz pkt. 3). 1. Wszystkie zagrożenia (to są odpadki po adware) oprócz poniższych (bo chyba dobrze wiesz od czego to jest) możesz dać do kasacji. RiskWare.GameHack, C:\PROGRAM FILES (X86)\GRAND THEFT AUTO V\STEAM_API64.DLL, Brak akcji, [555], [305544],1.0.1178 RiskWare.GameHack.Generic, C:\USERS\NATALKA\DOWNLOADS\1434897790_GRAND THEFT AUTO V V1.0.323.1-V1.0.372.2 PLUS 19 TRAINER.RAR, Brak akcji, [2097], [339459],1.0.1178 RiskWare.Tool.CK, C:\USERS\NATALKA\DOWNLOADS\XP-ACTIVATO.ZIP, Brak akcji, [339], [295484],1.0.1178 2. Otwórz Notatnik w nim wklej. CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-899261099-702920328-1542426104-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Natalka\AppData\Local\Microsoft\OneDrive\17.3.6517.0809\amd64\FileSyncShell64.dll => Brak p (dane wartości zawierają 4 znaków więcej). CustomCLSID: HKU\S-1-5-21-899261099-702920328-1542426104-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Natalka\AppData\Local\Microsoft\OneDrive\17.3.6517.0809\amd64\FileSyncShell64.dll => Brak p (dane wartości zawierają 4 znaków więcej). CustomCLSID: HKU\S-1-5-21-899261099-702920328-1542426104-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Natalka\AppData\Local\Microsoft\OneDrive\17.3.6517.0809\amd64\FileSyncShell64.dll => Brak p (dane wartości zawierają 4 znaków więcej). AlternateDataStreams: C:\ProgramData\Temp:FB6A21E3 [226] HKU\S-1-5-18\...\Run: [] => 0 HKLM-x32\...\Run: [app] => C:\Program Files (x86)\sbqh\uc.exe C:\Program Files (x86)\sbqh HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Natalka\AppData\Local\Mozilla C:\Users\Natalka\AppData\Roaming\Mozilla C:\Users\Natalka\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Otwórz przeglądarkę Opera, następnie użyj kombinacji klawiszy CTRL+SHIFT+E i za pomocą "X" odinstaluj wszystkie nieznane oraz niepotrzebne Ci rozszerzenia. 4. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W imieniu całego zepsołu Fixitpc.pl bardzo dziękuje za wsparcie, dzięki któremu będzie można utrzymać serwis Jeszcze raz przepraszam za pożną odpowiedź. W takim razie będziemy kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) oraz zaktualizuj ważne programy - KLIK / KLIK.

Nie ma takiej potrzeby. OK. W takim razie kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK. W takim razie musiało mi się coś pomylić z tą modyfikacją. Dzięki za informację.

W raportach brak oznak infekcji, a Avast ostrzega przed crackiem aktywacyjny osadzony w Harmonogramie zadań: Task: {22B9C955-D020-4BF2-8461-B06BD25672C4} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-03-02] () Ten crack sam w sobie nie jest "infekcją", niemniej będzie on prowokował reakcje niektórych skanerów (częściowo dewastuje go też AdwCleaner), a poza tym jest zbędnym obiektem startowym. Kasuję. Komentując zaś wynik z Dr.Web CureIt to nie wykrył on infekcji, a modyfikacje pliku Hosts, który wg mnie nie wygląda szkodliwe: 0.0.0.0 choice.microsoft.com 0.0.0.0 choice.microsoft.com.nstac.net 0.0.0.0 df.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com 0.0.0.0 oca.telemetry.microsoft.com.nsatc.net 0.0.0.0 redir.metaservices.microsoft.com 0.0.0.0 reports.wes.df.telemetry.microsoft.com 0.0.0.0 services.wes.df.telemetry.microsoft.com 0.0.0.0 settings-sandbox.data.microsoft.com 0.0.0.0 settings-win.data.microsoft.com 0.0.0.0 sqm.df.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.microsoft.com 0.0.0.0 sqm.telemetry.microsoft.com.nsatc.net 0.0.0.0 telecommand.telemetry.microsoft.com 0.0.0.0 telecommand.telemetry.microsoft.com.nsatc.net 0.0.0.0 telemetry.appex.bing.net 0.0.0.0 telemetry.microsoft.com 0.0.0.0 telemetry.urs.microsoft.com 0.0.0.0 vortex-sandbox.data.microsoft.com 0.0.0.0 vortex-win.data.microsoft.com 0.0.0.0 vortex.data.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com 0.0.0.0 watson.telemetry.microsoft.com.nsatc.net 0.0.0.0 watson.ppe.telemetry.microsoft.com 0.0.0.0 wes.df.telemetry.microsoft.com 0.0.0.0 vortex-bn2.metron.live.com.nsatc.net 0.0.0.0 vortex-cy2.metron.live.com.nsatc.net 0.0.0.0 watson.live.com 0.0.0.0 watson.microsoft.com 0.0.0.0 feedback.search.microsoft.com Wykryto więcej niż wyliczono: 6 linii. Z tym, że nie wiem czy system jest oryginalny (a nie np. zcrakowny, bo podobną modyfikacje widziałem właśnie na nieoryginalnym systemie). W skrypcie oprócz powyższego sama kosmetyka, działania poboczne. P.S: Program SpyBot polecam odinstalować, bo to przestarzały twór. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF Homepage: Mozilla\Firefox\Profiles\xydq8z04.default-1465656535853 -> about:superstart S2 NVIDIA Wireless Controller Service; "C:\Program Files\NVIDIA Corporation\GeForce Experience Service\nvwirelesscontroller.exe" [X] S3 cpuz138; \??\C:\Users\JORMUN~1\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] S3 hwusb_cdcacm; \SystemRoot\system32\DRIVERS\ew_cdcacm.sys [X] S3 hwusb_wwanecm; \SystemRoot\system32\DRIVERS\ew_wwanecm.sys [X] S3 MSICDSetup; \??\E:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] U3 kxtdafod; \??\C:\Users\JORMUN~1\AppData\Local\Temp\kxtdafod.sys [X] Task: {22B9C955-D020-4BF2-8461-B06BD25672C4} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-03-02] () C:\ProgramData\Microsoft\Windows\GameExplorer\{77D821FD-96B2-4CA6-95A9-E127BCAEF504}\PlayTasks\4\Detect Tool.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{77D821FD-96B2-4CA6-95A9-E127BCAEF504}\PlayTasks\3\Game Manual.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{77D821FD-96B2-4CA6-95A9-E127BCAEF504}\PlayTasks\2\ReadMe.txt.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{77D821FD-96B2-4CA6-95A9-E127BCAEF504}\PlayTasks\1\Registration.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{77D821FD-96B2-4CA6-95A9-E127BCAEF504}\PlayTasks\0\Play.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nie musisz dostarczać nowych raportów, ani raportu wynikowego (pliku Fixlog.txt).

Wygląda to już w porządku, a skoro nie zgłaszasz już problemów to będziemy kończyć. Usuń narzędzia diagnostyczno / dezynfekcyjne oraz zaktualizuj ważne programy - KLIK / KLIK.

W raportach brak oznak infekcji, tą politykę grup GroupPolicyScripts: Ograniczenia traktuję jako nieszkodliwą (prawdopodobnie ustawił ją ESET) Temat ESS7 - Brak połączeń na liście odświeżam i uzupełniam o zgłoszone przez Ciebie tutaj inne problemy.

W takim razie czekam na rozwój wydarzeń

Skype przeinstalowany? Co do haseł to przeczytałem wiadomość Sprawdziłem otrzymane linki i wynik mam taki, że jeden producent oznaczył obie strony jako podejrzane - KLIK / KLIK (i ja też je tak oznaczyłem). Czy linki dalej się rozsyłają? Znajomym, którzy otrzymali linki poleć by założyli temat tutaj lub chociaż przeskanowali system za pomocą Malwarebytes.

Kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK.

Dzięki, log poprawny

Wygląda to już w porządku, jak oceniasz obecną sytuacje?