picasso

Temat przenoszę do działu Vista. To nie jest wynik infekcji. Z raportów nic też nie wynika, brak wyraźnych śladów czy błędów, które mogłyby się wiązać z objawami. Spróbuj ograniczyć ilość uruchamianych procesów. Na początek pozbądź się "firmowego PUPa" AVG Web TuneUp, co powinno odciąć przynajmniej jedną usługę i zlikwidować błędy ScriptHelper.exe z Dziennika zdarzeń. W dalszej kolejności test z czystym rozruchem: KLIK. Na koniec weryfikacja całego AVG jako potencjalnej przyczyny. PS. Do deinstalacji adware Yahoo Search Set, a w menedżerze dodatków Firefox New Tab by Yahoo. Ale to nie ma związku z objawami.

Raporty FRST nie zostały zrobione wg wskazówek tutaj na forum. Opcje Lista BCD, MD5 sterowników i Pliki z 90 dni nie miały być zaznaczone. Chyba masz na myśli "Necurs". Rootkit ten nie jest przenoszony za pomocą pendrive. Droga jego nabycia to odwiedzenie zainfekowanej strony i instalacja typu "drive-by". A system masz nieodporny, kompletny brak aktualizacji (brakuje pakietu SP1, IE11 i reszty łat = gdzieś około kilkaset pozycji) i stara niebezpieczna wersja Adobe Reader. To poprawne pliki systemowe. Pliki desktop.ini odpowiadają za nakładanie ikonek i polonizowanych nazw specjalnym folderom w eksploratorze Windows. Przykładowy folder to Desktop (w eksploratorze dzięki desktop.ini widziany jako "Pulpit"). W systemie jest nadal aktywna infekcja typu "bezplikowego". W starcie uruchamia się komenda PowerShell ładująca infekcję z rejestru. Akcje wstępne: 1. Odinstaluj Adobe Reader 9.0.1 - Polish. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3667417282-2828754835-1521732128-1003\...\Run: [{0D70B82D-A7E3-4533-9F9A-35D64D29952C}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\QHKTNLCJW').MOQEIFUCUPOPB))); DeleteKey: HKCU\Software\Classes\QHKTNLCJW DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CyberGhost DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mcagent_exe S3 EagleXNt; \??\C:\windows\system32\drivers\EagleXNt.sys [X] S3 mdareDriver_63; \??\C:\Program Files\Fortinet\FortiClient\mdare32_63.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\41439825.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\66218137.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\41439825.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\66218137.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" FF Plugin: @nexon.net/NxGame -> C:\ProgramData\NexonUS\NGM\npNxGameUS.dll [Brak pliku] C:\Users\brunon\cd C:\windows\system32\attrib C:\windows\system32\cd CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowe logi: FRST z opcji Skanuj (Scan) wg ustawień forum (ale już bez Addition i Shortcut) oraz USBFix z opcji Listing przy podpiętym pendrive. Dołącz też plik fixlog.txt oraz logi TDSSKiller: 2016-03-17 23:47 - 2016-03-18 00:51 - 00004288 _____ C:\TDSSKiller.3.1.0.9_17.03.2016_23.47.46_log.txt 2016-03-17 23:26 - 2016-03-17 23:46 - 00807482 _____ C:\TDSSKiller.3.1.0.9_17.03.2016_23.26.35_log.txt 2016-03-17 23:24 - 2016-03-17 23:25 - 00009096 _____ C:\TDSSKiller.3.1.0.9_17.03.2016_23.24.13_log.txt

Raptor, przeklej te instrukcje z PW do oceny (frantz12 nie jest autoryzowanym pomocnikiem) oraz dostarcz zestaw świeżych raportów FRST.

To robak Brontok, z tym że wg raportów infekcja nie jest czynna. Widać drobne odpadki po niej oraz również innogogatunkowe śmieci adware. Akcja do wdrożenia: 1. Odinstaluj stare wersje Adobe oraz adware: Adobe Flash Player 18 ActiveX, Adobe Flash Player 19 PPAPI, FlvPlayer, YTD Video Downloader 4.9.1. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {16a92140-918d-4afb-9edb-46f22437bb10}w64; C:\Windows\System32\drivers\{16a92140-918d-4afb-9edb-46f22437bb10}w64.sys [48792 2015-01-26] (StdLib) R2 HPSLPSVC; C:\Users\młodzidlaJezusa\AppData\Local\Temp\7zS13DD\hpslpsvc64.dll [1039360 2013-07-19] (Hewlett-Packard Co.) [brak podpisu cyfrowego] S1 eegqukat; \??\C:\Windows\system32\drivers\eegqukat.sys [X] HKU\S-1-5-21-1825552802-435318253-4084369653-1000\...\Run: [Tok-Cirrhatus] => "C:\Users\młodzidlaJezusa\AppData\Local\smss.exe" HKU\S-1-5-21-1825552802-435318253-4084369653-1000\...\Run: [Flvto YouTube Downloader] => "\FlvtoYoutubeDownloader.exe" /minimize HKU\S-1-5-21-1825552802-435318253-4084369653-1000\...\Run: [ALLPlayer WiFi Remote] => C:\Program Files (x86)\ALLPlayer Remote\ALLPlayerRemoteControl.exe HKU\S-1-5-21-1825552802-435318253-4084369653-1000\...\Policies\system: [DisableCMD] 0 Task: {0E91A5F0-5227-4F9B-B6EE-C200EC0156E7} - System32\Tasks\{A57D1615-6FC7-44F6-B6AA-A685A1B6D92D} => pcalua.exe -a "E:\paluch\Liturgia Godzin\kompleta\kompleta.exe" -d "E:\paluch\Liturgia Godzin\kompleta" Task: {125C314E-150A-4DF7-B9C8-30162C2A8EFC} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-03-05] (AVAST Software) Task: {1661EB8E-2366-4D21-941E-6F8488E8625E} - System32\Tasks\{7D35AEA9-BAFC-42FD-9BAC-67FA666EEE23} => C:\Users\młodzidlaJezusa\Desktop\Keyboard 4\Keyboard 4.exe Task: {2B6969EF-4D57-4C3D-BFBF-80EDA2BD9D02} - System32\Tasks\{8162338B-D10A-48B2-B449-A5E13A94E05C} => pcalua.exe -a "F:\katedra 30.11.14\katedra 30.11.14`.exe" -d "F:\katedra 30.11.14" Task: {2C119A37-C4B7-4817-A492-0AB1E55B9920} - System32\Tasks\{5F8BBB5F-378A-442D-8B73-626FAE5DC067} => C:\Users\młodzidlaJezusa\Downloads\winrar-x64-501.exe [2015-02-19] () Task: {3389F761-4809-4697-AE41-C33B96DBA9D9} - System32\Tasks\{BFCFCE4D-2A50-434D-9DCC-3F2EFB9E0E6A} => pcalua.exe -a E:\paluch\paluch.exe -d E:\paluch Task: {43F51063-12A6-4EB9-8C88-3DEF8F1B4F86} - System32\Tasks\{9EDEE8B2-F51B-419A-8C4F-67A592D75D11} => C:\Users\młodzidlaJezusa\Desktop\Keyboard 4\Keyboard 4.exe Task: {51AF9A58-543C-45E7-90E7-10EECB9FF786} - System32\Tasks\{EEB95FDE-8DF8-45AC-A0CF-B5DEEAE4ACDB} => C:\Users\młodzidlaJezusa\Desktop\Keyboard 4\Keyboard 4.exe Task: {5753CEF8-1563-4AEB-96EA-44D12FED4F85} - System32\Tasks\{D859E44A-50C9-4836-BB2E-3CDC7280056A} => C:\Users\młodzidlaJezusa\Desktop\Synthesia-0.7.0\Synthesia.exe Task: {6252E06F-F10A-4FFB-95DE-D06D95831CD1} - System32\Tasks\{4036C51F-3FAC-4C9D-8CF2-7D152278CD19} => pcalua.exe -a "C:\Users\młodzidlaJezusa\Desktop\R0990_40 (D)\Setup.exe" -d "C:\Users\młodzidlaJezusa\Desktop\R0990_40 (D)" Task: {67D50943-8B95-4685-9ACF-251C09733A32} - System32\Tasks\{8541CE96-6464-4BC8-AAF5-64C136E272B7} => pcalua.exe -a E:\Postulat\1.Arka\1.Arka`.exe -d E:\Postulat\1.Arka Task: {7EE6BBF3-23C4-4960-A297-CAAEB9D0FB48} - System32\Tasks\{A114DF57-0BC3-4BEE-A94E-779F6DA16EF4} => Firefox.exe Task: {9799E1F8-06C7-452F-BCF9-A7628D362ED8} - System32\Tasks\{4D3E0D49-8832-474B-8C58-06A4AD1A3A4B} => pcalua.exe -a "F:\adoracja osób konsekrowanych 10.01 Panewniki\adoracja osób konsekrowanych 10.01 Panewniki`.exe" -d "F:\adoracja osób konsekrowanych 10.01 Panewniki" Task: {AA580F40-53BA-4AD7-86CC-577AEDB54324} - System32\Tasks\{0C3770AB-B6F1-4680-B206-BE6BAC78C489} => C:\Users\młodzidlaJezusa\Desktop\Synthesia-0.7.0\Synthesia.exe Task: {AEE1F27A-C5D4-4E9E-8A75-05BF145E425B} - System32\Tasks\Price Fountain => C:\Users\MODZID~1\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: {AFEC1B82-78D7-478F-A5C7-9A243A12B248} - System32\Tasks\{E3A4CBAB-FD7F-4A69-88B5-CF54F873344E} => pcalua.exe -a D:\100KC330.exe -d D:\ Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\MODZID~1\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1422301960&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1422301960&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1825552802-435318253-4084369653-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-1825552802-435318253-4084369653-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKU\S-1-5-21-1825552802-435318253-4084369653-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&ts=1422302043&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&ts=1422302043&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&ts=1422302043&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> {40569913-25E4-44D6-8857-7D12FE1FC9B4} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&ts=1422302043&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> {B8F9A4C2-1288-4438-AFA2-C6D463BD6652} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&ts=1422302043&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&ts=1422302043&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} BHO-x32: Brak nazwy -> {1F91A9A1-01BA-4c81-863D-3BA0751E1419} -> Brak pliku BHO-x32: Brak nazwy -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> Brak pliku BHO-x32: Brak nazwy -> {b608cc98-54de-4775-96c9-097de398500c} -> Brak pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MaintainerSvc1.65.3138243 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\RelevantKnowledge DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^młodzidlaJezusa^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Empty.pif DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files\Common Files\AV\avast! Antivirus C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\0c3a7392-abfa-41f5-95a9-5e339ac76b7b C:\ProgramData\AVAST Software C:\ProgramData\Mozilla C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlvPlayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge C:\Users\młodzidlaJezusa\AppData\Local\Bron.tok.A12.em.bin C:\Users\młodzidlaJezusa\AppData\Local\Kosong.Bron.Tok.txt C:\Users\młodzidlaJezusa\AppData\Local\Mozilla C:\Users\młodzidlaJezusa\AppData\Roaming\FlvPlayer C:\Users\młodzidlaJezusa\AppData\Roaming\Mozilla C:\Users\młodzidlaJezusa\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\młodzidlaJezusa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Flvto YouTube Downloader.lnk C:\Users\młodzidlaJezusa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\młodzidlaJezusa\Desktop\postulat\postulantki\materiały\FlvPlayer.lnk C:\Windows\pss\Empty.pif.Startup C:\Windows\System32\Drivers\aswNdisFlt.sys C:\Windows\System32\drivers\{16a92140-918d-4afb-9edb-46f22437bb10}w64.sys C:\Windows\System32\Tasks\AVAST Software CMD: for /d %f in (C:\Users\młodzidlaJezusa\AppData\Local\*bron*) do rd /s /q "%f" CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Obecnie brak ustawionej domyślnej przeglądarki. W opcjach Opery ustaw ją jako domyślną. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Załatwmy to w tym temacie.

Wprawdzie było prowadzone jakieś usuwanie (widzę co najmniej ślady AdwCleaner), ale ostatnia porcja logów nadal wykazuje problemy z adware (aktywny qksee). I korzystałeś z wątpliwego skanera SpyHunter, z daleka od niego. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware qksee. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 qkseeService; C:\Program Files (x86)\qksee\qkseeSvc.exe [699952 2016-03-14] (Qksee Pvt Ltd.) Task: {4334A04A-629F-498E-8A07-D71316062CF9} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe Task: {B5C9CBCC-EDA0-4BE2-BEEB-70D1286681A8} - System32\Tasks\Norton Anti-Theft\Norton Error Processor => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\SymErr.exe Task: {F52B63CA-CA8B-4FD5-9771-0493E370E14F} - System32\Tasks\Norton Anti-Theft\Norton Error Analyzer => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\SymErr.exe HKLM\...\Run: [] => [X] Startup: C:\Users\Basia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Wysyłanie do programu OneNote.lnk [2015-11-19] BootExecute: autocheck autochk * sh4native Sh4Removal HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKU\S-1-5-21-1659662942-3678176710-1018204553-1001 -> {884B5FE9-FDA5-4924-A5F2-10AE2EBC0FFE} URL = C:\Program Files\Enigma Software Group C:\Program Files (x86)\SSFK.exe C:\Program Files (x86)\qksee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\qksee C:\spyhunter.fix C:\tvwZdHxHI7ZY36AE C:\Users\Basia\AppData\Roaming\qksee C:\Users\Basia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee.lnk C:\Users\Basia\Desktop\kma\DSC* - Shortcut.lnk C:\Users\Basia\Downloads\sh-remover.exe C:\Users\Basia\Downloads\SpyHunter 4.21.10.4585 eng-full- x32 bit C:\Users\Basia\Downloads\SpyHunter 4.21.10.4585 eng-full- x32 bit.rar C:\Users\Basia\Pictures\Nowy folder\dla iwony\Skrót do 421.lnk C:\Users\Public\Desktop\qksee.lnk C:\Windows\System32\Tasks\Norton Anti-Theft C:\Windows\SysWOW64\123.html C:\Windows\SysWOW64\pl.html C:\Windows\SysWOW64\sh4native.exe C:\Windows\SysWOW64\_tWm C:\Windows\SysWOW64\xxp' DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Anti-Theft Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IgfxTray /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "McAfee Security Scan Plus.lnk" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f DisableService: PLAY ONLINE. RunOuc EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Opis infekcji Locky: KLIK. Bardzo mi przykro, ale niestety nie ma możliwości odszyfrowania plików... Jeśli nie było kopii zapasowej plików w bezpiecznym miejscu, to jedyne co pozostaje to próba szukania danych przy udziale oprogramowania do odzyskiwania skasowanych plików. Tylko nie wiadomo kiedy nastąpiła infekcja. Szanse na odzysk są znikome, im dłużej działa komputer (zapisy na dysku). Na punkty Przywracania systemu tu nie ma chyba co liczyć, bo Locky usuwania punkty, a widoczny tu zestaw jest podejrzanie świeży: ==================== Punkty Przywracania systemu ========================= 24-02-2016 20:09:10 Zaplanowany punkt kontrolny 03-03-2016 14:04:50 Zaplanowany punkt kontrolny 13-03-2016 08:49:20 Zaplanowany punkt kontrolny 20-03-2016 17:18:37 Zaplanowany punkt kontrolny Raporty nie wskazują, by infekcja była czynna, widać tylko drobne odpadki nie powiązanych adware oraz skutki infekcji Locky. Na razie się tym nie zajmuję, jeśli mają być podejmowane próby odzysku danych.

Nazwy logów FRST wskazują, że je wyciągasz z folderu C:\FRST\Logs. To jest archiwum logów, bieżące powstają zawsze tam skąd uruchamiasz FRST, czyli w tym przypadku w katalogu Pobrane. I to tam jest też log Shortcut. Dołącz go.

Raporty FRST zostały zrobione przed uruchomieniem AdwCleaner i pokazują wszystko to co jakoby zostało już usunięte. Poproszę o nowe raporty FRST.

Rucek post wydzielił i usunął logi OTL nie brane tu już w ogóle pod uwagę, a ja dodam że niepoprawne są również raporty FRST - otwórz plik FRST.txt załączony powyżej, jest urwany. Dostarcz pro forma nowy pełny log. To tylko by się upewnić co jest dalej, ponieważ definitywnie tu wygląda na inną przyczynę niż infekcja. Masz problem sprzętowy, w Dzienniku zdarzeń błędy złych bloków dysku, co wyjaśnia drastyczne spowolnienie systemu, nawet po formacie: Dziennik System: ============= Error: (03/24/2016 08:52:52 AM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Jedna z konsekwencji złych bloków to uszkodzenia rejestru (conajmniej wymagane założenie nowego konta): Dziennik Aplikacja: ================== Error: (03/24/2016 08:40:21 AM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1542) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować pliku rejestru klas. SZCZEGÓŁY — Operacja We/Wy zainicjowana przez rejestr nie powiodła się w sposób nieodwracalny. Rejestr nie może wczytać, wypisać lub opróżnić jednego z plików zawierających obraz rejestru systemu. Error: (03/24/2016 08:40:21 AM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1508) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować rejestru. Częstą przyczyną tego problemu jest za mała ilość pamięci lub brak wystarczających praw zabezpieczeń. SZCZEGÓŁY - Operacja We/Wy zainicjowana przez rejestr nie powiodła się w sposób nieodwracalny. Rejestr nie może wczytać, wypisać lub opróżnić jednego z plików zawierających obraz rejestru systemu. for C:\Users\Adam\AppData\Local\Microsoft\Windows\\UsrClass.dat Temat przenoszę do działu Hardware. Prócz poprawnego pliku FRST.txt, dostarcz także dane wymagane działem Hardware: KLIK. I kto inny się zajmie tematyką sprzętową. Od razu jednak radzę zrobić kopię zapasową cennych danych na dysku, by zapobiec ich ewentualnej utracie, a ponadto od stanu dysku zależy co się dalej stanie z systemem i danymi. Może to tylko jeden z pośrednich skutków powyższego globalnego problemu z dyskiem. Nie wiem gdzie to widziałeś (w tym niepełnym FRST brak takich śladów). A czy przypadkiem booking.com to nie był element obrazu instalacyjnego ASUS? Niektórzy producenci integrują takie śmieci. Ten booking.com widziałam m.in. na komputerach ACER.

Jest tu więcej obiektów adware niż tylko zgłoszony problem. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware PriceFountain, qksee, Sparta, Update for PriceFountain oraz zbędny co dopiero doinstalowany Trojan Remover 6.9.4.2943. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Paweł\AppData\Roaming\TSv\TSvr.exe [116368 2016-03-11] (tsvr.com) R2 qkseeService; C:\Program Files (x86)\qksee\qkseeSvc.exe [699952 2016-03-08] (Qksee Pvt Ltd.) ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1457616819&z=eb3fdeb65f9f964376a5457gezew6m9q6gcq2b1oce&from=wpm06023&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1457616819&z=eb3fdeb65f9f964376a5457gezew6m9q6gcq2b1oce&from=wpm06023&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1457616819&z=eb3fdeb65f9f964376a5457gezew6m9q6gcq2b1oce&from=wpm06023&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1457616819&z=eb3fdeb65f9f964376a5457gezew6m9q6gcq2b1oce&from=wpm06023&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1457616819&z=eb3fdeb65f9f964376a5457gezew6m9q6gcq2b1oce&from=wpm06023&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX Edge HomeButtonPage: HKU\S-1-5-21-1527049857-3966740355-1081886749-1001 -> hxxp://www.yoursites123.com/?type=hp&ts=1457946990&z=8b56f61cb354d03d27d071egbz0w6m5tbz6q3tetag&from=wpm0314&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1457946990&z=8b56f61cb354d03d27d071egbz0w6m5tbz6q3tetag&from=wpm0314&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1457946990&z=8b56f61cb354d03d27d071egbz0w6m5tbz6q3tetag&from=wpm0314&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX" CHR DefaultSearchURL: Default -> hxxp://yoursites123.com/web?type=ds&ts=1457946990&z=8b56f61cb354d03d27d071egbz0w6m5tbz6q3tetag&from=wpm0314&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX&q={searchTerms} CHR DefaultSearchKeyword: Default -> yoursites123 StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1457616819&z=eb3fdeb65f9f964376a5457gezew6m9q6gcq2b1oce&from=wpm06023&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1457616819&z=eb3fdeb65f9f964376a5457gezew6m9q6gcq2b1oce&from=wpm06023&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.yoursites123.com/?type=sc&ts=1457616819&z=eb3fdeb65f9f964376a5457gezew6m9q6gcq2b1oce&from=wpm06023&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1457946990&z=8b56f61cb354d03d27d071egbz0w6m5tbz6q3tetag&from=wpm0314&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1457946990&z=8b56f61cb354d03d27d071egbz0w6m5tbz6q3tetag&from=wpm0314&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1452246889&z=9efa50a809597cab3aaf86dgaz9wdododzcqab5tee&from=wpm01073&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1452246889&z=9efa50a809597cab3aaf86dgaz9wdododzcqab5tee&from=wpm01073&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1457946990&z=8b56f61cb354d03d27d071egbz0w6m5tbz6q3tetag&from=wpm0314&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1457946990&z=8b56f61cb354d03d27d071egbz0w6m5tbz6q3tetag&from=wpm0314&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1452246889&z=9efa50a809597cab3aaf86dgaz9wdododzcqab5tee&from=wpm01073&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1452246889&z=9efa50a809597cab3aaf86dgaz9wdododzcqab5tee&from=wpm01073&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX&q={searchTerms} HKU\S-1-5-21-1527049857-3966740355-1081886749-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449651705&z=8c201e92005a15c88f66f02g4z7zatbq2w4g1maeeq&from=ient07021&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX&q={searchTerms} HKU\S-1-5-21-1527049857-3966740355-1081886749-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1457946990&z=8b56f61cb354d03d27d071egbz0w6m5tbz6q3tetag&from=wpm0314&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX HKU\S-1-5-21-1527049857-3966740355-1081886749-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1457946990&z=8b56f61cb354d03d27d071egbz0w6m5tbz6q3tetag&from=wpm0314&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX HKU\S-1-5-21-1527049857-3966740355-1081886749-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449651705&z=8c201e92005a15c88f66f02g4z7zatbq2w4g1maeeq&from=ient07021&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-1527049857-3966740355-1081886749-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = BHO: HP Network Check Helper -> {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} -> C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPNetworkCheck\HPNetworkCheckPluginx64.dll => Brak pliku BHO-x32: Crazy Score -> {f439aa7e-a2a0-4635-99a2-164180e848ca} -> C:\Program Files (x86)\Crazy Score\Extensions\f439aa7e-a2a0-4635-99a2-164180e848ca.dll => Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia FF HKLM-x32\...\Firefox\Extensions: [firefox@bho.com] - C:\Program Files\Hewlett-Packard\SimplePass\FFBHOExt FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [blueStacks Agent] => C:\Program Files (x86)\BlueStacks\HD-Agent.exe Task: {0EF69011-9907-4E78-86A7-5F0D9BDCDEF6} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {164EACF4-D349-423E-B55E-27329C76199B} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {1A9F482D-E600-4E5C-82D6-7A134732EDB5} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {1BDF7289-3C06-4220-B8B9-273E99EA24CD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {1E403F14-1F18-416C-BDB3-D3FCF0DC82DB} - System32\Tasks\PawełPaddyAdmiringV2 => Rundll32.exe QueenliestRecurrence.dll,main 7 1 Task: {216DF7FA-9D53-410C-97BA-5BFAB6FB4F57} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {840FB214-B101-43F3-8523-9D5095447604} - System32\Tasks\PriceFountainUpdateVer => C:\Users\Paweł\AppData\Roaming\PriceFountainUpdateVer\UpdateProc\UpdateTask.exe [2016-03-10] () Task: {8E785614-6758-4FAF-B0F0-7C5043C164F7} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {94868A7A-5D2A-4E22-93FA-FDEBDB0AD766} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {AB60656C-EC98-41C0-99D0-AA1B062A3051} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {B6835CA6-8D4B-4674-8A78-CB089C416ABE} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {CF7555BC-8CB0-4F5B-BE3D-AC04819AC48F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {F9E778F4-77E3-4C2E-99CA-FF3EE10C4E72} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: C:\WINDOWS\Tasks\PriceFountainUpdateVer.job => DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Napisy24Update /f C:\Program Files (x86)\SSFK.exe C:\Program Files (x86)\SFK C:\Program Files (x86)\qksee C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\5WdM5 C:\ProgramData\MWdMM C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\qksee C:\Users\Paweł\AppData\Local\AION C:\Users\Paweł\AppData\Local\PaddyAdmiring C:\Users\Paweł\AppData\Local\Sparta C:\Users\Paweł\AppData\Local\TarpaperStylizes C:\Users\Paweł\AppData\Roaming\PriceFountainUpdateVer C:\Users\Paweł\AppData\Roaming\qksee C:\Users\Paweł\AppData\Roaming\sparta111 C:\Users\Paweł\AppData\Roaming\TSv C:\Users\Paweł\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk C:\Users\Paweł\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Sparta.lnk C:\Users\Paweł\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee.lnk C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sparta C:\Users\Paweł\Downloads\_\_\_01\ARCHIWUM- do przejrzenia\PDF-XChange Viewer.lnk C:\WINDOWS\SysWOW64\data.bin C:\WINDOWS\SysWOW64\upddf DisableService: Mobile Partner. RunOuc CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Opisz w jaki sposób i przedstaw nowe raporty FRST to obrazujące.

Są tu dwie infekcje: zmodyfikowane proxy (stop-block.org) oraz skróty przeglądarek (esurf.biz). Działania do przeprowadzenia: 1. Odinstaluj stare wersje i zbędniki: Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Flash Player 18 PPAPI, Adobe Reader X MUI, Bing Bar, eBay Worldwide. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: RemoveProxy: ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://esurf.biz/?ssid=1456221895&a=1003679&src=sh&uuid=d69bdcb2-934b-46d5-90ce-8fe760f281e2" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Packard Bell - Security & Support\Contact.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1456221895&a=1003679&src=sh&uuid=d69bdcb2-934b-46d5-90ce-8fe760f281e2" ShortcutWithArgument: C:\Users\Lary Kubiak\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1456221895&a=1003679&src=sh&uuid=d69bdcb2-934b-46d5-90ce-8fe760f281e2" ShortcutWithArgument: C:\Users\Lary Kubiak\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1456221895&a=1003679&src=sh&uuid=d69bdcb2-934b-46d5-90ce-8fe760f281e2" ShortcutWithArgument: C:\Users\Lary Kubiak\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://esurf.biz/?ssid=1456221895&a=1003679&src=sh&uuid=d69bdcb2-934b-46d5-90ce-8fe760f281e2" ShortcutWithArgument: C:\Users\Lary Kubiak\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1456221895&a=1003679&src=sh&uuid=d69bdcb2-934b-46d5-90ce-8fe760f281e2" ShortcutWithArgument: C:\Users\Lary Kubiak\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://esurf.biz/?ssid=1456221895&a=1003679&src=sh&uuid=d69bdcb2-934b-46d5-90ce-8fe760f281e2" ShortcutWithArgument: C:\Users\Lary Kubiak\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1456221895&a=1003679&src=sh&uuid=d69bdcb2-934b-46d5-90ce-8fe760f281e2" ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://esurf.biz/?ssid=1456221895&a=1003679&src=sh&uuid=d69bdcb2-934b-46d5-90ce-8fe760f281e2" HKU\S-1-5-21-3934186232-1553188465-2461470855-1002\...\Policies\Explorer: [] HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3934186232-1553188465-2461470855-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3934186232-1553188465-2461470855-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://securityresponse.symantec.com/avcenter/fix_homepage/ HKU\S-1-5-21-3934186232-1553188465-2461470855-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKU\S-1-5-21-3934186232-1553188465-2461470855-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3934186232-1553188465-2461470855-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.msn.com/spbasic.htm HKU\S-1-5-21-3934186232-1553188465-2461470855-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://securityresponse.symantec.com/avcenter/fix_homepage/ HKU\S-1-5-21-3934186232-1553188465-2461470855-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKU\S-1-5-21-3934186232-1553188465-2461470855-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3934186232-1553188465-2461470855-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3934186232-1553188465-2461470855-1002\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.msn.com/spbasic.htm SearchScopes: HKU\S-1-5-21-3934186232-1553188465-2461470855-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3934186232-1553188465-2461470855-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKU\S-1-5-21-3934186232-1553188465-2461470855-1002 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Temp C:\ProgramData\Norton C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\GameExplorer\{471351f0-4e8a-47bf-a6b3-3de3c99ae340} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Jewel Match 3.lnk C:\Users\Lary Kubiak\AppData\Local\cache C:\Windows\System32\results.xml C:\Windows\System32\Tasks\SidebarExecute EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. Tytułowe problemy nie są z winy infekcji. Mam wątpliwości czy komunikat o niedziałaniu WMI wymagał naprawy, bo tu jest niedomyślny Windows instalowany z mocno modyfikowanej płyty XP robionej za pomocą nLite. Na takich systemach zdarza się, że WMI jest naruszone i nie podejmuje się wtedy działań. Ale równie dobrze ten komunikat może być wynikiem tego: Natomiast jest tu problem modyfikacji ważnych plików Windows. Poniższy zestaw nie ma sygnatury Microsoftu. Kluczowe usługi Zdalne wywoływanie procedur (RpcSs) oraz Program uruchamiający proces serwera DCOM (DcomLaunch) nie działają i to jest powód dla opisywanych problemów. Usługa RpcSs jest nadrzędną zależnością dla wszystkich innych usług, więc i one padły. S2 DcomLaunch; C:\WINDOWS\system32\rpcss.dll [401408 2009-02-09] () S3 dmadmin; C:\WINDOWS\System32\dmadmin.exe [225280 2008-04-14] () S3 napagent; C:\WINDOWS\System32\qagentrt.dll [293376 2008-04-14] () S2 RpcSs; C:\WINDOWS\System32\rpcss.dll [401408 2009-02-09] () S3 SCardSvr; C:\WINDOWS\System32\SCardSvr.exe [98304 2008-04-14] () S3 upnphost; C:\WINDOWS\System32\upnphost.dll [186880 2008-04-14] () Handler: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll [2014-02-06] () Handler: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll [2014-02-06] () Handler: mailto - {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll [2014-02-06] () Handler: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll [2014-02-06] () Handler: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll [2014-02-06] () Filter: application/octet-stream - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - C:\WINDOWS\system32\mscoree.dll [2009-11-07] () Filter: application/x-complus - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - C:\WINDOWS\system32\mscoree.dll [2009-11-07] () Filter: application/x-msdownload - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - C:\WINDOWS\system32\mscoree.dll [2009-11-07] () To kolejny objaw uszkodzenia plików. I prawdopodobnie jest więcej naruszeń niż może przedstawić to bardzo selektywny log FRST. Naprawa polegałaby na podmianie uszkodzonych plików poprawnymi, a że zakres uszkodzeń nie do sprawdzenia, musiałoby zostać uruchomione sfc /scannow lub reperacja nakładkowa systemu. Do obu tych działań jest wymagana polska płyta Windows ze zintegrowanym SP3. Mówisz że płyty nie posiadasz, to czy jest możliwe jej pożyczenie lub "skombinowanie"?

Tym razem zgodnie z planem zadanie wykonane. Na zakończenie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Opisz w jaki sposób problem został rozwiązany i dostarcz nowe logi obrazujące to.

W starcie uruchamia się szkodliwy obiekt "Indexer", który uaktywnia skrypt SGLIndexer.vbs. Poza tym są drobne martwe ślady innych infekcji. To normalne zachowanie nie powiązane z infekcją: KLIK. Występuje na wszystkich systemach operacyjnych. Działania do przeprowadzenia: 1. Odinstaluj stare wersje: Java 7 Update 25, Java 8 Update 45 (64-bit). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-118448563-3675886309-3321917299-1001\...\Run: [WerFault] => C:\Users\Thomas\AppData\Roaming\61778.exe HKU\S-1-5-21-118448563-3675886309-3321917299-1001\...\CurrentVersion\Windows: [Load] C:\Users\Thomas\LOCALS~1\Temp\mschchmam.exe <===== UWAGA HKU\S-1-5-21-118448563-3675886309-3321917299-1001\...\Winlogon: [Shell] C:\WINDOWS\Explorer.exe [4502352 2016-01-29] (Microsoft Corporation) <==== UWAGA Startup: C:\Users\Thomas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Indexer.lnk [2016-03-15] GroupPolicy: Ograniczenia - Chrome <======= UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = CHR HomePage: Default -> gazeta.allplayer.org/ CHR StartupUrls: Default -> "hxxp://search.babylon.com/?affID=112555&tt=3612_7&babsrc=HP_ss&mntrId=2070d0960000000000000617c4f19fb4","hxxp://home.sweetim.com/?crg=3.1010000&st=12&barid={5A41FD70-A53D-434C-975F-5B7B5B667113}","hxxp://do-search.com/?type=hp&ts=1432454299&z=1f9bc17b04fb7a2aff2a4a0g5z3cdo7zcwbzeodq3o&from=cor&uid=ST1000LM024XHN-M101MBB_S30YJ9HF816434","hxxp://www.istartsurf.com/?type=hp&ts=1433940339&z=2cf5db7b1000730097babf7g0z4c2c7tfz1e4c5e0e&from=cornl&uid=ST1000LM024XHN-M101MBB_S30YJ9HF816434" CHR HKU\S-1-5-21-118448563-3675886309-3321917299-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efhdjkbfpoohkmfaldijcpbnmbpefpkb] - C:\Program Files (x86)\ALLPlayer\AllPlayer.crx <nie znaleziono> CHR HKLM-x32\...\Chrome\Extension: [dhigneefebkcagnpnpbibganpmfgebnk] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [efhdjkbfpoohkmfaldijcpbnmbpefpkb] - C:\Program Files (x86)\ALLPlayer\AllPlayer.crx <nie znaleziono> Task: {073EE70A-22A7-486A-AC5E-94743A271C19} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA Task: {0D372DFD-AB74-4DF4-9A40-264159540867} - System32\Tasks\System Monitor => C:\ProgramData\734579\sysmon.exe Task: {2CDD8E2D-8E6C-4305-AAF0-6D185D168F8A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA Task: {41B2715D-D973-4578-A994-D0B1709AF79B} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe Task: {4314DA4C-ABC7-4A0A-8BCB-5B3C29D3748A} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2016-01-08] (Lenovo) Task: {6C69D9EA-A9A0-400F-9B47-9C3AD8F7652E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: {777BA029-620D-4DD6-BD73-E703E9A294FE} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku <==== UWAGA Task: {7E888819-0CD4-4F09-B653-3DF7BA285E63} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA Task: {95CC55AF-50C5-4A23-815D-39FE2BF7CAAF} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku <==== UWAGA Task: {B69982F8-BCEE-4ACD-B62A-B7E0E594F393} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA Task: {C4DE3F84-A979-43A8-BAC9-F4CB3D61D4C6} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA Task: {C6B50AC3-9CCD-482A-9593-87B7CCC6C28E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA Task: {CA87B543-4DF3-4B19-91CF-E47E55EF7CFE} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA Task: {D6890FBD-30C7-4F9A-8804-62769DBEFAAB} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA Task: {F97B466D-64BE-4947-A9F8-AC198135D2F7} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\*.bin C:\ProgramData\c20be4b830f5a1130178a8e9050c3e8fdf334631 C:\ProgramData\XML C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CyberLink PowerDirector 10 C:\Users\Thomas\AppData\Local\Chromium C:\Users\Thomas\AppData\Roaming\SGLIndexer.vbs C:\Users\Thomas\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\Thomas\AppData\Roaming\Microsoft\Word\CURRICULUM%20VITAE305022511050895358\CURRICULUM%20VITAE.docx.lnk DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Energy Manager" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Lenovo Utility" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Persistence /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v mcpltui_exe /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v NvBackend /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v IAStorIcon /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Drobna sprawa w Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Gazeta.pl. To dodatek sponsorowany pozostawiony po odinstalowanym AllPlayer. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy ustąpiły.

W raportach mało co widać, tylko drobne szczątki adware. Jest prawdopodobne, że pliki przelądarki Google Chrome są zmodyfikowane. Ale na razie wyczyść co widać i zobaczymy co z tego wyniknie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {2e51ecb5-0dda-44be-a9f9-06a446586d39}Gw64; C:\Windows\System32\drivers\{2e51ecb5-0dda-44be-a9f9-06a446586d39}Gw64.sys [48752 2016-03-19] (StdLib) S2 Kownofaj; "C:\Users\Lamberttychuju\AppData\Roaming\KucqatLyp\Fiobo.exe" -cms [X] Task: {9107264B-315F-4C8C-8AFB-2A4CBD397303} - System32\Tasks\Eavup => C:\PROGRA~1\SHOPPE~1\Erhoe.bat HKLM-x32\...\Run: [gupdate] => C:\Program Files (x86)\Company\gupdate\gupdate.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\extensions C:\uninst C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\Lamberttychuju\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 C:\Users\Lamberttychuju\AppData\Local\Sparta C:\Users\Lamberttychuju\AppData\Local\Tempfolder C:\Users\Lamberttychuju\AppData\LocalLow\Company C:\Users\Lamberttychuju\AppData\Roaming\System.dll C:\Users\Lamberttychuju\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Windows\system32\drivers\{2e51ecb5-0dda-44be-a9f9-06a446586d39}Gw64.sys C:\Windows\system32\Drivers\cherimoya.sys C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\system32\podk Folder: C:\Users\Public\Documents\dmp Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy są pozytywne zmiany.

Napisałeś wiele tematów o tym samym. Wszystkie usunęłam, z wyjątkiem najnowszego. Na przyszłość: duplikowanie nie przyśpiesza pomocy, jeśli mnie nie ma. Adware PriceFountain uruchamia się poprzez Harmonogram zadań. To nie jedyny problem tutaj. System jest ogólnie zaśmiecony, są tu także liczne odpadki starych adware nie wyczyszczonych wcześniej, stare programy narażające bezpieczeństwo (np. luki w Adobe mogą doprowadzić do infekcji szyfrującej dane) oraz nadmiar antywirusów. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj: - Adware: BitGuard, Internet Explorer Toolbar 4.6 by SweetPacks, LiveVDO, SweetIM for Messenger 3.7, SweetPacks bundle uninstaller, Update Manager for SweetPacks 1.1, uTorrentControl_v2 Toolbar, VirtualDub Packages. - Stare programy i zbędniki: Adobe AIR, Adobe Flash Player 12 ActiveX, Adobe Flash Player 12 Plugin, Adobe Reader 9.5.5 - Polish, Facebook Video Calling 2.0.0.447, Gadu-Gadu 7.7, Gadu-Gadu 10, GG Tools, Java 7 Update 11, JavaFX 2.1.0, McAfee Security Scan Plus, Norton Internet Security, Norton Online Backup, PTC Quality Agent, Real Alternative 2.0.2, Visual Studio 2012 x64 Redistributables + Visual Studio 2012 x86 Redistributables (odpadki po deinstalacji AVG), Windows Live 程式集. Jeśli coś nie będzie się dało odinstalować lub nie będzie widoczne, kontynuuj. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {f29e81af-9943-4f9f-9bf8-64524ebe0b41}w64; C:\Windows\System32\drivers\{f29e81af-9943-4f9f-9bf8-64524ebe0b41}w64.sys [48784 2014-12-29] (StdLib) S3 CrystalSysInfo; \??\D:\Program Files (x86)\MediaCoder\SysInfoX64.sys [X] S1 wfdrvr_vt_1_10_0_25; system32\drivers\wfdrvr_vt_1_10_0_25.sys [X] Task: {034FC438-375D-4E70-99C9-93BF59693BE8} - System32\Tasks\{C6AB5B57-A79F-4E9A-B358-005D0847E5B8} => Chrome.exe hxxp://ui.skype.com/ui/0/6.1.0.129.272/pl/abandoninstall?page=tsProgressBar Task: {03A5CD7D-538B-4FB5-B2B1-9D0258CDE1B7} - System32\Tasks\DorotaNonspecificFragmentedV2 => Rundll32.exe GlobalistsVandals.dll,main 7 1 Task: {68DBA077-6D76-465E-A0FE-DD4DDBD46EEB} - System32\Tasks\Odkurzacz => C:\Program Files (x86)\Odkurzacz\odkurzacz.exe Task: {7B7F90E4-FF34-4F1B-9544-CD988C79422B} - System32\Tasks\AVGPCTuneUp_Task_BkGndMaintenance => C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe Task: {A54BC252-60F0-47A7-A987-86EA52C41D72} - System32\Tasks\WordFly Auto Updater 1.10.0.25 Pending Update => C:\Program Files (x86)\WordFly_1.10.0.25\Update\WordflyAutoUpdateClient.exe Task: {C873C96C-89A0-4900-A860-ADA65A1C9694} - System32\Tasks\WordFly Auto Updater 1.10.0.25 Core => C:\Program Files (x86)\WordFly_1.10.0.25\Update\WordflyAutoUpdateClient.exe Task: {CE4FFE68-873F-4414-817A-74085B999D28} - Brak ścieżki do pliku Task: {E89CC18F-0781-4F4E-B360-EDBC80933A21} - System32\Tasks\EasyPartitionManager => C:\Windows\MSetup\BA46-12225A02\EPM.exe HKU\S-1-5-21-3099691929-597136357-677967994-1001\...\Run: [HW_OPENEYE_OUC_] => C:\Program Files (x86)\blueconnect\UpdateDog\ouc.exe [110592 2009-12-31] (Huawei Technologies Co., Ltd.) Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\NexonUp.vbs [2015-09-27] () ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{38216570-5DB1-45F8-A344-B0C4E252B14B}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.26.7\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll => Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csNBe8YCEujMDfpEJP4EyJ6_Ay2Rg4OmXux9oG2NXO8Nbcz0ZFHRKQeU2C-PX5W38YGuHDeSLpdwv89a-1YFkXJxJnZdJdktNTJUnWYBrl0dytWsG8w45OSqQfI6oCRYokrOxN7LBjy1jA,, CHR StartupUrls: Default -> "hxxps://www.google.pl/search?q=google&aq=f&oq=go&aqs=chrome.3.60l3j59l2j57.3141j0&sourceid=chrome&ie=UTF-8#hl=pl&gs_rn=12&gs_ri=psy-ab&pq=google&cp=6&gs_id=18&xhr=t&q=menostop&es_nrs=true&pf=p&sclient=psy-ab&oq=menost&gs_l=&pbx=1&bav=on.2,or.r_qf.&bvm=bv.46340616,d.Yms&fp=ca266102337a30ad&biw=796&bih=596","","hxxp://www.yessearches.com/?mode=nnnb&ptid=ior&uid=4E6152729E4773FFDA4987D6C6989BB8&v=20160108&ts=AHEpAnUoBHAkAk.." HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=AV01 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419888650&from=cor&uid=SAMSUNGXHN-M101MBB_S2R8J9FBA14001&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419888650&from=cor&uid=SAMSUNGXHN-M101MBB_S2R8J9FBA14001&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3099691929-597136357-677967994-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-3099691929-597136357-677967994-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki HKU\S-1-5-21-3099691929-597136357-677967994-1001\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = hxxp://www.buenosearch.com/?babsrc=HP_ss&mntrId=169CB803051C2579&affID=128491&tsp=5162 HKU\S-1-5-21-3099691929-597136357-677967994-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-3099691929-597136357-677967994-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} URLSearchHook: HKLM-x32 - (Brak nazwy) - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - Brak pliku SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {15431241-F15B-43FE-B204-ED85884C491B} URL = hxxp://www.bing.com/search?q={searchTerms}&form=SMSTDF&pc=MASM&src=IE-SearchBox SearchScopes: HKLM-x32 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKLM-x32 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10025&barid={8AB90565-6719-11E2-AD3B-B803051C257C} SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> DefaultScope {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://startsear.ch/?src=sp&aff=51&cf=0e282bf6-47c2-11e2-8f12-b803051c257c&q={searchTerms} SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www.buenosearch.com/?q={searchTerms}&babsrc=SP_ss&mntrId=169CB803051C2579&affID=128491&tsp=5162 SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> {139DD132-0CCB-4F7B-AD1D-0EA93F8C0329} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468 SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10025&barid={8AB90565-6719-11E2-AD3B-B803051C257C} SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} BHO-x32: High Stairs -> {45e60e41-85ee-4c01-9dac-1ecb9bf64179} -> C:\Program Files (x86)\High Stairs\Extensions\45e60e41-85ee-4c01-9dac-1ecb9bf64179.dll => Brak pliku BHO-x32: Brak nazwy -> {7473b6bd-4691-4744-a82b-7854eb3d70b6} -> Brak pliku BHO-x32: Brak nazwy -> {EEE6C35C-6118-11DC-9C72-001320C79847} -> Brak pliku Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku Toolbar: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku Toolbar: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> Brak nazwy - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - Brak pliku Toolbar: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> Brak nazwy - {EEE6C35B-6118-11DC-9C72-001320C79847} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://isearch.omiga-plus.com/?type=sc&ts=1419888650&from=cor&uid=SAMSUNGXHN-M101MBB_S2R8J9FBA14001 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files (x86)\AVG C:\Program Files (x86)\LiveVDO plugin C:\Program Files (x86)\SearchesToYesbnd C:\ProgramData\Avg C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 v48 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Odkurzacz C:\Users\Default\AppData\Local\AVG C:\Users\Default\AppData\Roaming\AVG C:\Users\Dorota\AppData\Local\{3339D366-4C3A-4ABA-A74E-C415D6A5CAD4} C:\Users\Dorota\AppData\Local\AvgSetupLog C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847} C:\Users\Dorota\AppData\Local\Mozilla C:\Users\Dorota\AppData\Local\NonspecificFragmented C:\Users\Dorota\AppData\Roaming\AVG C:\Users\Dorota\AppData\Roaming\Mozilla C:\Users\Dorota\AppData\Roaming\WarThunder C:\Users\Dorota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Dorota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard C:\Users\Dorota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\Users\Dorota\Desktop\Continue Apache OpenOffice installation.lnk C:\Users\Dorota\Desktop\Odkurzacz.lnk C:\Users\Dorota\Desktop\Play Games Online.url C:\Users\Dorota\Downloads\sh-remover.exe C:\Users\Public\Desktop\avast! Internet Security.lnk C:\windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\System32\drivers\{f29e81af-9943-4f9f-9bf8-64524ebe0b41}w64.sys CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj LiveVDO.tv plugin, o ile sam nie zniknie po deinstalacjach w punkcie 1. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Opera: Odłącz synchronizację (o ile włączona): KLIK Ustawienia > karta Rozszerzenia > odinstaluj adware High Stairs 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition i Shortcut. Dołącz też plik fixlog.txt.

Nadal są modyfikacje coldsearch w systemie (polityki Google i kilka innych drobnych śmieci), przy okazji do usunięcia szczątki po aktualizacji do Windows 10 ze starszego systemu. Akcja: 1. Odinstaluj stare programy: DivX Setup, Windows Media Player Firefox Plugin oraz jeśli nie korzystasz z Podstawowe programy Windows Live, Windows Live Sync. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKU\S-1-5-21-56604747-4067415843-783896686-1000\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-56604747-4067415843-783896686-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://pl.search.yahoo.com/?&fr=hp-avast&type=odc414 SearchScopes: HKLM-x32 -> {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = hxxp://pl.yhs4.search.yahoo.com/yhs/search?hspart=avast&hsimp=yhs-001&type=odc414&p={searchTerms} SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = SearchScopes: HKU\S-1-5-21-56604747-4067415843-783896686-1000 -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKU\S-1-5-21-56604747-4067415843-783896686-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku BHO-x32: Brak nazwy -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> Brak pliku Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.coldsearch.com/?type=sc&uid=b4b75edf-f95b-441c-818d-82f66315c8c4 FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF S3 McComponentHostServiceSony; C:\Program Files (x86)\Sony\MSS\3.8.130\McCHSvc.exe [235216 2013-10-16] (McAfee, Inc.) U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku Task: {001A9B8F-4182-479A-84A5-7E7782125FAD} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {0171F0B8-02B1-46F2-B752-55088CDB7FB2} - System32\Tasks\SidebarExecute => C:\Program Files\Windows Sidebar\sidebar.exe Task: {0D70F1F7-8F7A-4F75-91D5-E59D2DA3BF34} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {0EC8D4FC-8D80-43B0-B4B8-73DEF9BC9AA0} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {0FACC785-4059-4998-B0F7-1AAFAA5E4C65} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {17923074-153A-48E5-85DB-56562CB1E765} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {1F2EDF92-EA41-456E-8C27-DD95D2F40854} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {2375E01A-8C55-4B80-8C63-33A29BC86D55} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {251DF3B5-CEAD-44A3-82E9-D56C783BA1B8} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {27F51064-1243-4730-B0EF-710912A4341C} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {28F2296C-89F4-46BF-B517-C74E97C7F175} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {2A2FA7BA-FA95-4EE9-8273-D4CB36524AA5} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {2AF6B35B-F81F-4AB6-9FD8-F9CCBD87D941} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {34642866-B291-4F68-B009-1E52014BFB1B} - System32\Tasks\{39880C34-AE18-408C-B021-2FA1659492C3} => pcalua.exe -a "C:\Program Files (x86)\Corel\Corel Paint Shop Pro Photo X2 - Installation Files\setup.exe" -d "C:\Program Files (x86)\Corel\Corel Paint Shop Pro Photo X2 - Installation Files" Task: {3A0BC6C5-D737-4DF5-ACCF-9570FD0E6124} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {3C5915DE-427C-42EB-9522-637D2BA4C9DC} - System32\Tasks\{646D268F-0B09-426D-B262-394C57AA8ADF} => pcalua.exe -a "C:\Users\Kasiarzynka\Desktop\ZOO_TYCOON_2_PL\ZOO 2 PL - dodatki\Zoo_Tycoon_2_Addon_Hotfix.exe" -d "C:\Users\Kasiarzynka\Desktop\ZOO_TYCOON_2_PL\ZOO 2 PL - dodatki" Task: {406D9FE1-A2D8-4B55-B3DB-4F221BDA6035} - System32\Tasks\{C8D26D62-1F22-4681-B2FC-3F2FFB660B79} => pcalua.exe -a "C:\Users\Kasiarzynka\Desktop\Adobe\Photoshop Lightroom 5.7.1\Install Lightroom 5.exe" -d "C:\Users\Kasiarzynka\Desktop\Adobe\Photoshop Lightroom 5.7.1" Task: {440446B4-2DEE-4B2E-9972-3E9929ECD746} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {49140EB1-1735-4C0B-B1C5-F9FF231892ED} - System32\Tasks\{B1948F05-A0A9-42B5-86D7-E3D37A18C731} => pcalua.exe -a C:\Users\Kasiarzynka\Desktop\ZOO_TYCOON_2_PL\Zoo_Tycoon_2_Addon_Hotfix.exe -d C:\Users\Kasiarzynka\Desktop\ZOO_TYCOON_2_PL Task: {61E815B3-9DEC-4B5F-9C55-C276E63F1CEE} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {677978DD-C171-480A-A88F-F60282A6A391} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {6AA45898-3DCD-46C7-B452-B46FBA8C6FD9} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {77B68D9E-83D1-489D-AC44-57423AE2EA09} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {7D1BA18F-DD11-4A40-8A6E-A51CE750D50A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {809B4B14-8500-4F18-8676-9C1BD0350FBF} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {940299DD-F528-4962-A88A-57F22ADCBB7A} - System32\Tasks\{940F26B3-C83D-4E2C-8048-96CAD8D8F0F0} => pcalua.exe -a D:\directx\dxsetup.exe -d D:\directx Task: {94FA0432-5102-4B8B-8E62-B04E5610FC21} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {9A506955-AC9C-4EDA-91C4-B7631387EA2B} - System32\Tasks\{AEEF624B-C476-4C06-BED1-8732CC3DCE47} => pcalua.exe -a C:\Users\Kasiarzynka\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor Task: {9AE89564-9106-43F4-AA24-77F307FD7E81} - System32\Tasks\{A8BD7A6B-90FC-49CC-9B96-0473C54BE8A2} => pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{F9657EF6-C156-4CE9-A0A2-562CD3E94842}\Setup.exe" -d "C:\Program Files (x86)\Eidos Interactive\Beach Life" Task: {9BC3C1A1-FC1C-4331-8E61-7D4F6A573D3E} - System32\Tasks\{107F1BD6-05A3-459B-9E57-60FBEC1B03CC} => pcalua.exe -a "F:\Corel Paint Shop Pro Photo X2 v12.01 CZ PL\PSPP12_Corel_TBYB_CZ_PL_ESD\setup.exe" -d "F:\Corel Paint Shop Pro Photo X2 v12.01 CZ PL\PSPP12_Corel_TBYB_CZ_PL_ESD" Task: {A041E254-8634-4930-9A76-FDF435E768C1} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {A736298B-92E2-4F4B-AF61-605FDF970BB8} - System32\Tasks\{8932C48B-2392-4AE3-BE03-538F3E847DA2} => pcalua.exe -a "C:\Users\Kasiarzynka\Desktop\Zoo Tycoon 2 PL.exe" -d C:\Users\Kasiarzynka\Desktop Task: {B1AF5E3B-428A-4450-B014-471365233ED9} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {B4952F30-EB0E-42D1-8576-5883CC7DC0EF} - System32\Tasks\{E388F6B4-8865-4132-84B6-BA236AB1912B} => pcalua.exe -a C:\Users\Kasiarzynka\Downloads\jxpiinstall.exe -d C:\Users\Kasiarzynka\Downloads Task: {B65376A9-FA4D-45A2-BC28-8332BFDA90AC} - System32\Tasks\{D9BE421A-7B35-43DC-8200-0C22D8C5C8C7} => pcalua.exe -a D:\autorun.exe -d D:\ Task: {C0AF4BA2-6A39-40ED-84EC-7504C032637E} - System32\Tasks\{D9F8CFBB-32A3-4399-B221-909D2CF9EFD0} => pcalua.exe -a "C:\Users\Kasiarzynka\Desktop\Corel Paint Shop Pro Photo X2 v12.01 CZ PL\PSPP12_Corel_TBYB_CZ_PL_ESD\setup.exe" -d "C:\Users\Kasiarzynka\Desktop\Corel Paint Shop Pro Photo X2 v12.01 CZ PL\PSPP12_Corel_TBYB_CZ_PL_ESD" Task: {C1D966DC-64AE-4CA4-8F12-CB71C7B66CA3} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {C5E0E46F-948B-406B-A9C7-5B929FE6475B} - System32\Tasks\{0A8E30F1-B352-4E32-8753-2A5383E83F6C} => Firefox.exe hxxp://ui.skype.com/ui/0/6.3.0.105/pl/abandoninstall?page=tsProgressBar Task: {C8E36C1A-EF64-41AA-8F88-2E4395940920} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {C98C691B-EC45-47A5-971D-97458FE1799F} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {D6E59995-BC8E-461F-B265-8A428C3B1DE8} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {DCC4CCF0-EA03-4C16-A6D7-2CF34DCB2B97} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {DE349F28-E836-4A22-A97B-A59F534A209C} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {E14E4831-5517-42D1-BF55-B8345CB04333} - System32\Tasks\{1B1596F0-D99B-4027-879F-9BA33AAD49CD} => pcalua.exe -a "C:\Users\Kasiarzynka\Desktop\beach life\Setup.exe" -d "C:\Users\Kasiarzynka\Desktop\beach life" Task: {E16E0014-C6AB-4941-94A0-619B1B305B0F} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {E251D312-070E-4C1E-B589-285BCF75B603} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {E8DDE171-4E9A-4122-AB07-6B6E4686E7CF} - System32\Tasks\{F411FD4A-2576-4CF4-ACA6-7B179A502777} => Firefox.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=5.3.0.111.259&LastError=12002 Task: {EA140F4E-6C41-435D-B3A3-82D4845615EB} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {FAAACEF3-D74B-48BF-8B54-D7091065E879} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {FEF24019-2CE4-4DF9-A82A-7F3904F55E21} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe DeleteKey: HKCU\Software\Google\Chrome DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webget DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AvgUi /f C:\Program Files (x86)\AVG C:\ProgramData\Avg C:\ProgramData\Microsoft\Windows\GameExplorer\{A2672015-A91C-428D-B83E-FFF7EC4903A2} C:\ProgramData\Microsoft\Windows\GameExplorer\SupportTasks\1 C:\ProgramData\Microsoft\Windows\GameExplorer\PlayTasks\0 C:\Users\Kasiarzynka\AppData\Local\Avg C:\Users\Kasiarzynka\AppData\Local\AvgSetupLog C:\Users\Kasiarzynka\AppData\Local\Google\Chrome C:\Users\Kasiarzynka\AppData\Local\Microsoft\Windows\GameExplorer\{A2672015-A91C-428D-B83E-FFF7EC4903A2} C:\Users\Kasiarzynka\AppData\Roaming\Microsoft\Windows\SendTo\Evernote for VAIO.lnk C:\Windows\ehome C:\Windows\System32\Tasks\Microsoft\Windows\Media Center CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

Podałeś po raz drugi log z szukania AdwCleaner, miałeś dostarczyć log z usuwania. Wróć do opisu AdwCleaner jakie oznaczenie w nazwie ma log z usuwania. Poza tym, upłynęło dużo czasu, więc dla pewności zrób jeszcze świeże logi z FRST.

Log sugeruje, że problemy rozpoczęły się od pobrania cracka aktywacji Windows Loader. W systemie liczne modyfikacje adware (usługi, zaplanowane zadania, zmodyfikowane skróty przeglądarek). Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {b62cb561-fced-4cde-aa45-8be9df6fa758}Gw64; C:\Windows\System32\drivers\{b62cb561-fced-4cde-aa45-8be9df6fa758}Gw64.sys [48752 2016-02-22] (StdLib) R2 caMyciloP; C:\ProgramData\\caMyciloP\\caMyciloP.exe [528384 2016-02-23] () [brak podpisu cyfrowego] R2 CloudPrinter; C:\ProgramData\\CloudPrinter\\CloudPrinter.exe [667136 2016-02-22] () [brak podpisu cyfrowego] R2 dowoloadad; C:\Users\Rob\AppData\Local\Unocare.exe [28160 2016-02-22] () [brak podpisu cyfrowego] R2 serfev; C:\ProgramData\\serfev\\serfev.exe [528384 2016-02-24] () [brak podpisu cyfrowego] Task: {287407D4-8F10-4C2C-B49D-F64C180D3A12} - System32\Tasks\psv_Kanlab => /c regedit.exe /s "C:\ProgramData\caMyciloP\Volbam.reg" & del "C:\ProgramData\caMyciloP\Volbam.reg" & SCHTASKS /Delete /TN "psv_Kanlab" /F Task: {2FE92D6B-ADB3-43C7-9475-E57355B19F4C} - System32\Tasks\psv_Gravefresh => /c regedit.exe /s "C:\ProgramData\caMyciloP\Transtantouch.reg" & del "C:\ProgramData\caMyciloP\Transtantouch.reg" & SCHTASKS /Delete /TN "psv_Gravefresh" /F Task: {3A47E767-56D2-487A-9D92-05FAD1E7222A} - System32\Tasks\psv_Zamtom => /c regedit.exe /s "C:\ProgramData\caMyciloP\Freetop.reg" & del "C:\ProgramData\caMyciloP\Freetop.reg" & SCHTASKS /Delete /TN "psv_Zamtom" /F Task: {3C9F33CA-2BB0-4C2C-A794-EA638DD53438} - System32\Tasks\snp => C:\ProgramData\serfev\serfev.exe [2016-02-24] () Task: {3F8956D8-BD3E-44B8-9D09-6135477FACE7} - System32\Tasks\psv_Homesolfan => /c regedit.exe /s "C:\ProgramData\caMyciloP\GoodDublex.reg" & del "C:\ProgramData\caMyciloP\GoodDublex.reg" & SCHTASKS /Delete /TN "psv_Homesolfan" /F Task: {4D5EEDC0-18A1-42E2-8C1E-DB4E8B1EC579} - System32\Tasks\Mirfeodl => C:\PROGRA~1\GROOVE~1\Uwofnyka.bat Task: {63CE4D12-4F95-4F77-8E66-7B64376E7ECF} - System32\Tasks\psv_StrongAnin => /c regedit.exe /s "C:\ProgramData\serfev\Vivacore.reg" & del "C:\ProgramData\serfev\Vivacore.reg" & SCHTASKS /Delete /TN "psv_StrongAnin" /F Task: {6DE13F49-A12D-4E5F-AFC8-80B6E3032E8D} - System32\Tasks\Mojkussa => C:\PROGRA~1\SHOPPE~1\Zilgo.bat Task: {6F544E0B-F862-46CB-8241-AC76C2E0CA0F} - System32\Tasks\psv_Triotam => /c regedit.exe /s "C:\ProgramData\serfev\Touch-Lux.reg" & del "C:\ProgramData\serfev\Touch-Lux.reg" & SCHTASKS /Delete /TN "psv_Triotam" /F Task: {87804C4F-4D58-4AF8-A567-4893957FB1B2} - System32\Tasks\psv_GoldenRonsing => /c regedit.exe /s "C:\ProgramData\serfev\Sailhome.reg" & del "C:\ProgramData\serfev\Sailhome.reg" & SCHTASKS /Delete /TN "psv_GoldenRonsing" /F Task: {98BD5125-FBEB-44A5-8A9C-D607C0BB6590} - System32\Tasks\webdpwneob => C:\Windows\system32\config\systemprofile\AppData\Local\Duobam [2016-02-22] () Task: {AFBA87F4-40E7-45E7-9A92-2B701024FF40} - System32\Tasks\psv_Pluslattech => /c regedit.exe /s "C:\ProgramData\serfev\Tres-Plus.reg" & del "C:\ProgramData\serfev\Tres-Plus.reg" & SCHTASKS /Delete /TN "psv_Pluslattech" /F Task: {C2892CBE-2067-45CE-83AD-E9BD681F3BFA} - System32\Tasks\snf => C:\ProgramData\serfev\serfev.exe [2016-02-24] () Task: {E9923B76-4D2E-4019-9F0A-69F81FF3DF3F} - System32\Tasks\{FAA1C03F-2A8D-491D-8EEB-8CA2AE02C736} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Santop\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Santop\uninstall.dat" -a uninstallme 53E9D72C-4AE1-4AA8-942F-9A30524BC1EE DeviceId=9e76dd48-5251-7351-7ace-91dd6daf5860 BarcodeId=50027003 ChannelId=3 DistributerName=APSnapdoAMRev Task: {F63EDF63-6EA9-4B31-898E-09C96A6221C6} - System32\Tasks\psv_Stat-Tough => /c regedit.exe /s "C:\ProgramData\caMyciloP\Alphatax.reg" & del "C:\ProgramData\caMyciloP\Alphatax.reg" & SCHTASKS /Delete /TN "psv_Stat-Tough" /F CMD: type C:\Windows\System32\Tasks\webdpwneob HKLM-x32\...\Run: [gmsd_pl_005010245] => [X] HKU\S-1-5-21-454545797-384275535-3432456732-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ73GTkshPEmajQEFylJmYlPn2BoG33XbVJ13zSDMfwI7WfIOjwADQbDe_I8N4LQS1JgCD7X73flRI6tqEIMkflfAnctn9Q8s8s8W1MvAZ_hTBd5jZAfI9tX_HX4dJ76rUqf21N2Y0IY7du3ALD49Ykyh_ePEPmc,&q={searchTerms} HKU\S-1-5-21-454545797-384275535-3432456732-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ73GTkshPEmajQEFylJmYlPn2BoG33XbVJ13zSDMfwI7WfIOjwADQbDe_I8N4LQS1JRmAvKTdMatTN9vc2mQeGzomn5x1pLrVtf8EQLn51gDmlleMZfAf9Nuln7QMCq0xwoeX9WnLIk6jP3gRc64wyZ7UPG5ONg, HKU\S-1-5-21-454545797-384275535-3432456732-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ73GTkshPEmajQEFylJmYlPn2BoG33XbVJ13zSDMfwI7WfIOjwADQbDe_I8N4LQS1JgCD7X73flRI6tqEIMkflfAnctn9Q8s8s8W1MvAZ_hTBd5jZAfI9tX_HX4dJ76rUqf21N2Y0IY7du3ALD49Ykyh_ePEPmc,&q={searchTerms} HKU\S-1-5-21-454545797-384275535-3432456732-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ73GTkshPEmajQEFylJmYlPn2BoG33XbVJ13zSDMfwI7WfIOjwADQbDe_I8N4LQS1JgCD7X73flRI6tqEIMkflfAnctn9Q8s8s8W1MvAZ_hTBd5jZAfI9tX_HX4dJ76rUqf21N2Y0IY7du3ALD49Ykyh_ePEPmc,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ73GTkshPEmajQEFylJmYlPn2BoG33XbVJ13zSDMfwI7WfIOjwADQbDe_I8N4LQS1JgCD7X73flRI6tqEIMkflfAnctn9Q8s8s8W1MvAZ_hTBd5jZAfI9tX_HX4dJ76rUqf21N2Y0IY7du3ALD49Ykyh_ePEPmc,&q={searchTerms} SearchScopes: HKU\S-1-5-21-454545797-384275535-3432456732-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ73GTkshPEmajQEFylJmYlPn2BoG33XbVJ13zSDMfwI7WfIOjwADQbDe_I8N4LQS1JgCD7X73flRI6tqEIMkflfAnctn9Q8s8s8W1MvAZ_hTBd5jZAfI9tX_HX4dJ76rUqf21N2Y0IY7du3ALD49Ykyh_ePEPmc,&q={searchTerms} SearchScopes: HKU\S-1-5-21-454545797-384275535-3432456732-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ73GTkshPEmajQEFylJmYlPn2BoG33XbVJ13zSDMfwI7WfIOjwADQbDe_I8N4LQS1JgCD7X73flRI6tqEIMkflfAnctn9Q8s8s8W1MvAZ_hTBd5jZAfI9tX_HX4dJ76rUqf21N2Y0IY7du3ALD49Ykyh_ePEPmc,&q={searchTerms} CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ73GTkshPEmajQEFylJmYlPn2BoG33XbVJ13zSDMfwI7WfIOjwADQbDe_I8N4LQS1JgZrlR0setODzLiXRtdCfS-ndll2C1vtopY-DuDs5LAKloQoNJFIVWC5yzc29AuQXbCjYvpHTBJ-JO3RyUGoWtJVWaP4o8, ShortcutWithArgument: C:\Users\Rob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Rob\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Rob\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Rob\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Rob\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% C:\Program Files (x86)\Windows Loader C:\ProgramData\caMyciloP C:\ProgramData\CloudPrinter C:\ProgramData\serfev C:\ProgramData\serfevs C:\uninst C:\Users\Rob\AppData\Local\*.* C:\Users\Rob\AppData\Local\Tempfolder C:\Users\Rob\AppData\LocalLow\Company C:\Users\Rob\AppData\Roaming\*.* C:\Users\Rob\AppData\Roaming\FatceqCedeti C:\Users\Rob\AppData\Roaming\gplyra C:\Users\Rob\AppData\Roaming\GousFoavfu C:\Windows\system32\geku C:\Windows\system32\siur C:\Windows\system32\config\systemprofile\AppData\Local\Duobam C:\Windows\system32\drivers\{b62cb561-fced-4cde-aa45-8be9df6fa758}Gw64.sys C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\findit.xml C:\Windows\SysWOW64\Number of results Folder: C:\Users\Public\Documents\dmp Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

U mnie też tak jest na Windows 10 (wszystkie foldery na C i D) i nie ma to żadnego wpływu na zdolność operacji na tych elementach. Przedstaw jaki był cel manipulacji na atrybutach, w czym one "przeszkadzały"? Natomiast jest tu inny problem w raporcie i nie wiem czy przypadkiem sam do tego nie doprowadziłeś próbując zmienić atrybuty, gdyż wspominasz też o matactwie w uprawnieniach, otóż utraciłeś dostęp do swojego profilu jak wskazuje nowszy zestaw logów FRST: Uruchomiony z C:\Users\TEMP\Downloads Załadowane profile: Łukasz (Dostępne profile: Łukasz) W raportach brak oznak infekcji, ale oglądam niewłaściwe środowisko (profil tymczasowy). Upłynęło też sporo czasu, więc poproszę dla pewności o nowy zestaw raportów FRST.

Dziś w skład zespołu weszli: Groszexxx - Moderator działu Hardware. Rucek - Moderator działu Malware, rola ograniczona do porządkowej.

Kcurek, wstępnie ruszyłam temat komunikatorów. Wymaga gruntownego przepisania, więc nie byłam w stanie zrobić za jednym zamachem wszystkiego, choć siedzę już nad tym od ponad tygodnia. Na razie: przetasowania sieciowe i mają wejść opisy Facebook, Google i Swift (przygotowałam "dziury" na zrobienie opisów), wywalona masa starych programów (wyleciało 12 kompleksowych opisów i różne linki z indeksu), nowe tabelki zgodności GG uwzględniające cechy protokołu GG11/12, opisy GG, Kadu i WTW zaktualizowane w oparciu o najnowsze wersje, wstępne edycje w pozostałych opisach (ogromna praca to wszystko zainstalować, więc na wyrywki po kawałku aktualizuję opisy).

Temat (oraz powiązane) odkryty. Przepisany od zera, wszystkie opisy w oparciu o najnowsze dostępne wersje.