picasso

Prosiłam o konkretne raporty z FRST, Shortcut i GMER już nie potrzebne po raz drugi, więc je usuwam. Za to nie został dostarczony plik fixlog.txt z wynikami skryptu. Dołącz, jest w katalogu Pobrane tam skąd uruchamiałeś FRST. Nie uruchamiaj skryptu ponownie. Nie odinstalowałeś Crossbrowse, on nie wygląda na uszkodzony. Nie wykonałeś także tego: A resztadeinstalacja "chińczyka" już jest raczej awykonalna, został uruchomiony skrypt FRST usuwający foldery. Deinstalacja była nie bez przyczyny podana jako krok numer 1. Folder Appdata jest tylko że ukryty, nie masz włączonych stosownych opcji w Opcjach folderów. A instrukcja już nieaktualna, była zadana przed uruchomieniem skryptu FRST, który i tak w całości usuwał ten folder. Założyłeś nowy profil Google Chrome, w starym nadal siedzi ten pierwszy delikwent. Natomiast niezmiennie oba wyliczane widzę w Operze. Jeśli na pewno tego nie widzisz w opcjach Opery będzie usuwanie na siłę.

Proszę nie omijaj zasad działu i dostarcz obowiązujące tu raporty z FRST i GMER, bo musi być sprawdzone czy system został zainfekowany. Pendrive jest zainfekowany tą metodą: KLIK. Jeśli chodzi o log z USBFix, to poproszę o krótki z opcji Listing, bez włączonej rekursywności. Logi proszę dostarcz w formie załączników forum.

Wyborem w dziale malware jest najnowsza dostępna wersja dla danego systemu operacyjnego (DC dla Windows 7 i nowszych, XI dla Vista i XP), a nie starsza acz załatana. Obierając inny tok rozumowania równie dobrze można byłoby akceptować wersję Reader X 10.1.16 - ona też jest "maksymalnie załatana" w swej gałęzi i ma te same ekwiwalenty zabezpieczeń co Reader XI 11.0.13. Podobnie wybiegałam na przód z Java, gdy były dostępne jeszcze dwie równoległe gałęzie, a dziś już wycofany całkowicie support dla starszej, ale zrobione wtedy przeze mnie systemy zostały zabezpieczone "na wyrost" (o ile oczywiście użytkownik nie kombinował potem samodzielnie). XI nie jest już aktywnie rozwijany, robi się tylko mniejsze "fiksy" w tej linii. Oczywiście ktoś kto nie trawi wersji "DC" może jeszcze zostać na starszej linii. W odróżnieniu od poprzednich edycji, można mieć zainstalowane dwie wersje równolegle, tzn. DC i XI.

"Na dole raport" - nie widzę... Nie zapytałam o zacytowanie przykładowego mejla, ale czy na pewno to był spam "z Twojej skrzynki", nie była to aby prosta manipulacja pól adresowych?

Raport z GMER zapisałeś jako plik *.log (wykluczony z załączników) posługując się bezpośrednim przyciskiem zapisu raportu, a w instrukcji jest zaznaczone, że należy użyć Kopiuj i ręcznie stworzyć plik *.txt. Po prostu przeklej zawartość do Notatnika i zapisz pod nową nazwą. Akcje do przeprowadzenia: 1. Deinstalacje adware: - Przez Panel sterowania odinstaluj: CinemaP-1.9cV12.10, Crossbrowse, GamesDesktop 008.005010109, PhraseProfessor 1.10.0.24, SmartWeb, Software Version Updater, 爱奇艺影音 (czyli IQIYI Video). - Uruchom ten plik: C:\Users\Ja\AppData\Local\B5T\6.0.5.3\B5TUninstall.exe - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis globalupdate Helper > Dalej. Jeśli wystąpi jakiś błąd podczas deinstalacji, kontynuuj dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 B5TService; C:\Users\Ja\AppData\Local\B5T\Share\B5TService.exe [574280 2015-07-31] () R2 ihpmServer; C:\Program Files (x86)\RayDld\ihpmServer.exe [270568 2015-10-12] () S2 NetTcpHandler; C:\Users\Ja\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] () R2 PerfTraceService; C:\Program Files (x86)\Tencent\QQBrowser\Service\PerfTraceService.exe [278880 2015-09-27] () S2 BrsHelper; C:\PROGRA~2\YTDOWN~1\BROWSE~2.EXE [X] S3 AIDA64Driver; \??\C:\Users\Ja\AppData\Local\Temp\AIDA64Driver.sys [X] S3 EraserUtilDrv11510; \??\C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilDrv11510.sys [X] S1 pnnlitmi; \??\C:\Windows\system32\drivers\pnnlitmi.sys [X] S2 SPDRIVER_1.42.1.2651; \??\C:\Program Files (x86)\ShopperPro\JSDriver\1.42.1.2651\jsdrv.sys [X] HKLM-x32\...\Run: [mbot_pl_014010109] => [X] HKU\S-1-5-21-3932816958-4066117016-696730429-1000\...\Run: [apphide] => C:\Program Files (x86)\baidu\pps.exe Task: {1666F6A9-E5F3-4B10-9696-E06A99669534} - System32\Tasks\QQBrowser Udpater Task(Core) => C:\Program Files (x86)\Tencent\QQBrowser\QQBrowser.exe [2015-09-27] (Tencent Inc.) Task: {29C538A4-FA41-4117-B4B7-328BB164F9E1} - \SPBIW_UpdateTask_Time_3638333438333531372d55783745342a2d3432325b57 -> Brak pliku Task: {3A44E23C-40E2-45C9-97E8-62D0A2805E42} - \YTDownloader -> Brak pliku Task: {68A5DBA9-70FA-4776-9A3A-533DBF996058} - System32\Tasks\QQBrowser Udpater Task => C:\Program Files (x86)\Tencent\QQBrowser\QQBrowser.exe [2015-09-27] (Tencent Inc.) Task: {7408DA11-AC23-4B8E-9E13-DBDEF73C8E0C} - \SPDriver -> Brak pliku Task: {837D421A-00E8-421E-81B4-BFCF6B673075} - \ShopperPro -> Brak pliku Task: {A8732760-2D8B-423B-98D6-0D6847AC0577} - \YTDownloaderUpd -> Brak pliku Task: {AEF1939E-28C9-4033-8136-75868FF8928F} - System32\Tasks\PhraseProfessor Auto Updater 1.10.0.24 Pending Update => C:\Program Files (x86)\PhraseProfessor_1.10.0.24\Update\PhraseProfessorAutoUpdateClient.exe [2015-09-02] (PhraseProfessor) Task: {E58C6442-6D4B-4A58-A98E-B6147199407A} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\Ja\AppData\Local\SmartWeb\SmartWebHelper.exe [2015-02-17] (SoftBrain Technologies Ltd.) Task: {EDDADB1E-3FCC-43ED-AD7C-D9AF9578C46E} - \ShopperProJSUpd -> Brak pliku Task: {F347768D-7D46-4F76-AFA9-6700E2E3A0A4} - System32\Tasks\PhraseProfessor Auto Updater 1.10.0.24 Core => C:\Program Files (x86)\PhraseProfessor_1.10.0.24\Update\PhraseProfessorAutoUpdateClient.exe [2015-09-02] (PhraseProfessor) Task: C:\Windows\Tasks\QQBrowser Udpater Task(Core).job => C:\Program Files (x86)\Tencent\QQBrowser\QQBrowser.exe Task: C:\Windows\Tasks\QQBrowser Udpater Task.job => C:\Program Files (x86)\Tencent\QQBrowser\QQBrowser.exe CustomCLSID: HKU\S-1-5-21-3932816958-4066117016-696730429-1000_Classes\CLSID\{58d47fff-63ef-572e-843f-e5dd6aa0005d}\InprocServer32 -> C:\Users\Ja\AppData\Local\B5T\Plugin\npB5TPlugin64.dll (B5MSoft) BHO: B5T Shopping Assistant -> {260669B1-FC2C-41C0-BAA2-6EF3BB188660} -> C:\Users\Ja\AppData\Local\B5T\Plugin\B5TShoppingAssistant64.dll [2015-07-31] (B5MSoft) BHO-x32: B5T Shopping Assistant -> {260669B1-FC2C-41C0-BAA2-6EF3BB188660} -> C:\Users\Ja\AppData\Local\B5T\Plugin\B5TShoppingAssistant.dll [2015-07-31] (B5MSoft) BHO-x32: Web Amplified 1.0.0.7 -> {4f93c386-c677-4212-9bc8-47814de68c52} -> C:\Program Files (x86)\Web Amplified\WebAmplifiedbho.dll => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130891327060541813&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NS&pvid=22.5.0.124 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.oursurfing.com/web/?type=ds&ts=1444658824&z=5ee8710ef49b64ae41dfd58g0zbz3z6qcwcb0b4o2z&from=amt&uid=wdcxwd10s21x-24r1bt0-sshd-8gb_wd-wx91ab3h5653h5653&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hp&ts=1444658824&z=5ee8710ef49b64ae41dfd58g0zbz3z6qcwcb0b4o2z&from=amt&uid=wdcxwd10s21x-24r1bt0-sshd-8gb_wd-wx91ab3h5653h5653 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1444658824&z=5ee8710ef49b64ae41dfd58g0zbz3z6qcwcb0b4o2z&from=amt&uid=wdcxwd10s21x-24r1bt0-sshd-8gb_wd-wx91ab3h5653h5653&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1444658824&z=5ee8710ef49b64ae41dfd58g0zbz3z6qcwcb0b4o2z&from=amt&uid=wdcxwd10s21x-24r1bt0-sshd-8gb_wd-wx91ab3h5653h5653&q={searchTerms} HKU\S-1-5-21-3932816958-4066117016-696730429-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3932816958-4066117016-696730429-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NS&pvid=22.5.0.124 HKU\S-1-5-21-3932816958-4066117016-696730429-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKU\S-1-5-21-3932816958-4066117016-696730429-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3932816958-4066117016-696730429-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.msn.com/spbasic.htm SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-3932816958-4066117016-696730429-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-3932816958-4066117016-696730429-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-3932816958-4066117016-696730429-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [nklfajnmfbchcceflgddnkignfheooic] - C:\Users\Ja\AppData\Local\B5T\6.0.5.3\Extensions\B5TShoppingAssistantNativeMsg.crx [2015-10-15] CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx C:\IQIYI Video C:\ppsfile C:\qycache C:\Program Files (x86)\CinemaP-1.9cV12.10 C:\Program Files (x86)\Crossbrowse C:\Program Files (x86)\d6cd8f5e-ab4e-4b79-9dc3-e758a83acaed C:\Program Files (x86)\e05945c7-3db0-433c-a92f-f3bc9b697f4c C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\PhraseProfessor_1.10.0.24 C:\Program Files (x86)\RayDld C:\Program Files (x86)\Tencent C:\ProgramData\4997GameBox_Data C:\ProgramData\adb C:\ProgramData\IQIYI Video C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crossbrowse C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GAMESDESKTOP C:\Users\Ja\AppData\Local\1F97B14F-1444666110-E411-B2A0-F0761C0D1586 C:\Users\Ja\AppData\Local\B5T C:\Users\Ja\AppData\Local\BrowserHelper C:\Users\Ja\AppData\Local\Crossbrowse C:\Users\Ja\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\Ja\AppData\Local\globalUpdate C:\Users\Ja\AppData\Local\gmsd_pl_005010109 C:\Users\Ja\AppData\Local\Mozilla C:\Users\Ja\AppData\Local\SmartWeb C:\Users\Ja\AppData\Local\SysassistByHotWheel C:\Users\Ja\AppData\LocalLow\B5T C:\Users\Ja\AppData\LocalLow\SmartWeb C:\Users\Ja\AppData\Roaming\ejDMUuuWQthALMTtuFfT12Ym4NG C:\Users\Ja\AppData\Roaming\IQIYI Video C:\Users\Ja\AppData\Roaming\Mozilla C:\Users\Ja\AppData\Roaming\NetService C:\Users\Ja\AppData\Roaming\RunDir C:\Users\Ja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk C:\Users\Ja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\QQ浏览器.lnk C:\Users\Ja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Crossbrowse.lnk C:\Users\Ja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\QQ浏览器.lnk C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\帮5淘 C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Ja\Desktop\QQ浏览器.lnk C:\Users\Ja\Downloads\Windows 7 Aktywator Downloader* C:\Users\Public\QiYi C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj CinemaP-1.9cV12.10, 帮5淘—帮5买旗下购物助手 Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. OperaCTRL+SHIFT+E i na liście rozszerzeń za pomocą iksów usuń CinemaP-1.9cV12.10, 帮5淘—帮5买旗下购物助手 Wybraną przeglądarkę ustaw jako domyślna, obecnie jest przypisany Crossbrowse. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition Dołącz też plik fixlog.txt.

Te raporty FRST wyglądają bardzo dziwnie, tzn. całkowicie pusta lista zainstalowanych programów (nie widać ani jednej pozycji, mimo że ewidentnie są zainstalowane określone programy), multum sekcji jest pustych, co jest po prostu niemożliwe przy zainstalowanych określonych programach. Np. jest tu ESET, a nie ma ani jednej usługi czy sterownika tego programu. Czy to na pewno raporty FRST nie manipulowane w żaden sposób, nic z nich nie wycinałeś ręcznie? Jeśli to na pewno logi oryginalne, to masz poważny problem ogólny i wymagana byłaby reinstalacja prawie wszystkiego, nie wspominając o tym, że jest niewiadome ile jest jeszcze uszkodzone. Raportujesz, że nie jesteś nawet w stanie nic instalować. Nie jest wykluczone, że skończy się na reinstalacji całego systemu. Co do Google Chrome, to jest zaśmiecone adware. Nie wiem w jaki sposób deinstalowałeś przeglądarkę, ale są wątpliwości czy usuwałeś jej profil z dysku podczas deinstalacji. Z tym że w obliczu powyższej usterki problem Google Chrome jest podrzędny i na razie się nim nie zajmuję.

Owszem, 64-bitowy C:\Program Files\Windows Photo Viewer\PhotoBase.dll i kilka innych plików jest uszkodzonych, a narzędzie SFC nie było w stanie ich naprawić ze względu na brak poprawnej kopii w repozytorium (wszystkie instancje uszkodzone). Wymagana ręczna podmiana plików idealnie dopasowanymi kopiami z mojego systemu. Skompletowanie instrukcji potrwa i nie spodziewaj się szybkiej odpowiedzi z mojej strony. Na razie podaj mi spis wszystkich wystąpień plików wyliczanych przez SFC jako nienaprawialne, co pomoże zestawić ścieżki wymagające interwencji: Uruchom FRST, w Szukaj wklej: dsound.dll.mui;Microsoft.VisualC.Dll;PhotoBase.dll;sbdrop.dll.mui;System.AddIn.dll;System.AddIn.Contract.dll;tbssvc.dll.mui;wmpnetwk.exe.mui;xmlfilter.dll Klik w Szukaj plików i dołącz log wynikowy.

To zadanie "Idle" mimo podejrzanego opisu wydaje się być pochodną instalacji któregoś narzędzia Samsung, na co wskazuje zawartość folderu. Ale to i tak już usunięte. I drobna poprawka. Otwórz Notatnik i wklej w nim: Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 1. W teorii można usunąć wszystkie aplikacje Samsung, o ile z nich nie korzystasz, co rzecz jasna spowoduje utratę specjalnych ficzerów (np. sterowanie klawiszami funkcyjnymi): KLIK. ==================== Zainstalowane programy ====================== BatteryLifeExtender (HKLM\...\{FFD0E594-823B-4E2B-B680-720B3C852588}) (Version: 1.0.11 - Samsung) ChargeableUSB (HKLM\...\{92D50865-FC60-4EA8-BA7A-5581B0D13EFB}) (Version: 1.0.0.0 - SAMSUNG) Connection Manager (HKLM\...\InstallShield_{92BF2245-BE42-486E-A1CF-DBABCD4F0C43}) (Version: 2.1.0.0133 - Samsung Electronics Co., Ltd.) CyberLink YouCam (HKLM\...\InstallShield_{01FB4998-33C4-4431-85ED-079E3EEFE75D}) (Version: 2.0.3911 - CyberLink Corp.) Easy Content Share (HKLM\...\{2DDC70C1-C77A-4D08-89D2-9AB648504533}) (Version: 1.0 - Samsung Electronics Co., LTD) Easy Display Manager (HKLM\...\{17283B95-21A8-4996-97DA-547A48DB266F}) (Version: 3.2 - Samsung Electronics Co., Ltd.) Easy Network Manager (HKLM\...\{8732818E-CA78-4ACB-B077-22311BF4C0E4}) (Version: 4.4.7 - Samsung) Easy Resolution Manager (HKLM\...\{A8DDD59F-1413-40BD-B61C-77A0BDB2B22B}) (Version: 1.1.0 - Samsung) Easy SpeedUp Manager (HKLM\...\{EF367AA4-070B-493C-9575-85BE59D789C9}) (Version: 2.1.1.1 - Samsung Electronics Co.,Ltd.) EasyBatteryManager (HKLM\...\{607DA1C8-34EC-4D7A-AD83-F8E5C70736DF}) (Version: 4.0.0.4 - Samsung) EasyFileShare (HKLM\...\{1181AA5B-8EFD-4AC5-8CDE-A1F7307B3427}) (Version: 1.0.13 - Samsung) Fast Start (HKLM\...\{77F45ECD-FAFC-45A8-8896-CFFB139DAAA3}) (Version: 2.2.0.1 - SAMSUNG) Samsung HSPA DataCard CD and SS 5.36.9704 (HKLM\...\{5D409C50-57A2-4EEF-846B-11B66E3E7B56}) (Version: 5.36.9704 - Samsung) Samsung Recovery Solution 4 (HKLM\...\{145DE957-0679-4A2A-BB5C-1D3E9808FAB2}) (Version: 4.0.0.6 - Samsung) Windows Live 程式集 (HKLM\...\WinLiveSuite) (Version: 15.4.3508.1109 - Microsoft Corporation) Windows Live od razu można się pozbyć, co zlikwiduje też modyfikację Winsock. A z pozostałych tylko niektóre są uruchamiane automatycznie via Harmonogram, więc te są bardziej podejrzane pod kątem ewentualnego wpływu na pracę systemu: ==================== Zaplanowane zadania (filtrowane) ============= Task: {16AEDD46-8EF8-466E-8233-3C9C6811136A} - System32\Tasks\BatteryLifeExtender => C:\Program Files\Samsung\BatteryLifeExtender\BatteryLifeExtender.exe [2010-12-18] (Samsung Electronics. Co. Ltd.) Task: {49ECD949-97BD-43D7-B009-9E6699E77D63} - System32\Tasks\advSRS4 => C:\Program Files\Samsung\Samsung Recovery Solution 4\WCScheduler.exe [2010-01-19] (SEC) Task: {56C7F4B7-B5DE-48D3-803C-6A66E3C295F6} - System32\Tasks\SmartRestarter => C:\Program Files\Samsung\SamsungFastStart\SmartRestarter.exe [2010-08-05] (Samsung Electronics Co., Ltd.) Task: {5A12CF89-72F6-4C51-93CE-1C1C4F0EEADB} - System32\Tasks\EasyDisplayMgr => C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe [2010-06-08] (Samsung Electronics Co., Ltd.) Task: {BBCF5E54-AA8B-4A26-A59E-08E74B7304EB} - System32\Tasks\EasySpeedUpManager => C:\Program Files\Samsung\EasySpeedUpManager\EasySpeedUpManager2.exe [2010-12-23] (Samsung Electronics) Task: {CAA0EBD8-A38F-4FF3-95E4-3CA56F21EB6D} - System32\Tasks\EasyBatteryManager => C:\Program Files\Samsung\EasyBatteryManager\EasyBatteryMgr4.exe [2011-06-18] (SAMSUNG Electronics co., LTD.) Przed rzuceniem się w jakąkolwiek deinstalację narzędzi Samsunga raczej sprawdziłabym czy wyłączenie powyższych ma jakieś skutki. Test mógłbyś przeprowadzić przy udziele Autoruns (karta Scheduled Tasks). 2. Tu jest mało pamięci fizycznej, więc pole manewru mocno ograniczone: ==================== Statystyki pamięci =========================== Procesor: Intel® Atom™ CPU N455 @ 1.66GHz Procent pamięci w użyciu: 91% Całkowita pamięć fizyczna: 1013.3 MB Dostępna pamięć fizyczna: 88.8 MB Całkowita pamięć wirtualna: 2037.3 MB Dostępna pamięć wirtualna: 1073.16 MB

Fix pomyślnie wykonany. Na koniec: Skasuj pobrane narzędzia i ich logi z D:\Downloads\vir. Popraw jeszcze narzędziem DelFix oraz wyczyść foldery Przuwracania systemu: KLIK.

Ta "spacja" jako nazwa folderu nie wygląda na normalną spację tylko na jakiś niestandardowy znak, co utrudnia bezpośrednie komendy. Spróbuj tego (pendrive widziany nadal pod literą F): Otwórz Notatnik i wklej w nim: CMD: del /q /s "\\?\F:\lpt1.UsbFix" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Dostarcz wynikowy fixlog.txt.

1. Hitman wykrył jeszcze szczątki adware ("Potential Unwanted Programs"). Usuń za pomocą programu te wyniki. 2. Na koniec wyczyść foldery Przywracania systemu: KLIK.

Te pliki również nie są naruszone - identyczne sumy kontrolne na moim systemie. W tej sytuacji zrób jeszcze ogólne sprawdzanie plików: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj.

wojtuq, folder Windows.old nie ma nic do rzeczy. Jeśli miałeś ESET (piję do tego tematu), to prawdopodobnie ta samoistna naprawa nastąpiła przy udziale ESET per se.

Może to pliki MUI PowerViewer są uszkodzone. Zastosuj inną maskę szukania plików. W FRST w polu Szukaj wklej PhotoViewer.dll.mui, klik w Szukaj plików i dostarcz log wynikowy.

Usuwanie przeprowadzone pomyślnie. Kolejna porcja czynności: 1. Zastosuj DelFix w celu usunięcia używanych skanerów. GMER dokasuj ręcznie. 2. Zrób skan za pomocą Hitman Pro. Nic jeszcze nie usuwaj, dostarcz tylko wniki skanu.

To malware typu "bezplikowego", tzn. trzymane w rejestrze i uruchamiane via PowerShell. Rozrusznik PowerShell już usunięty, teraz trzeba usunąć loader malware. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\Classes\SIHBRVNNQEQZUX DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

1. Ten wpis PowerShell to na bank była infekcja. Wpis odwoływał się do drugiego klucza i będę sprawdzać czy on jest. Otwórz Notatnik i wklej w nim: HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1430072474&from=cor&uid=HGSTXHTS721075A9E630_JR1A006P0LZETF0LZETFX&q={searchTerms} Reg: reg query HKCU\Software\Classes\SIHBRVNNQEQZUX /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Problem z przeładowaniem Pulpitu (czyli błąd explorer.exe) to już mówiłam, że tworzy moduł QtCore_Ad_SyncNs_4.dll należący do funkcji Autodesk Sync. Jeśli go rzeczywiście nie ma w ShellExView, to zostają następujące możliwości: Ręczne wyrejestrowanie modułu (co zapewne "uszkodzi" jakąś funkcjonalność pakietu). Próba wyłączenia funkcji Autodesk Sync w opcjach: KLIK. Całkowita deinstalacja programu Autodesk 360 (i sprawdzenie czy nie ma nowszej jego wersji), co zresztą jest widziane przez oficjalny support jako jedyne rozwiązanie tego problemu: KLIK. Dla porównania co jest u Ciebie zainstalowane z grupy Autodesk: ==================== Zainstalowane programy ====================== AutoCAD 2012 - Polski (HKLM\...\AutoCAD 2012 - Polski) (Version: 18.2.51.0 - Autodesk) AutoCAD 2012 - Polski (Version: 18.2.51.0 - Autodesk) Hidden AutoCAD 2012 Language Pack - Polski (Version: 18.2.51.0 - Autodesk) Hidden AutoCAD 2014 — Polski (Polish) (Version: 19.1.18.0 - Autodesk) Hidden AutoCAD 2014 Language Pack – Polski (Polish) (Version: 19.1.18.0 - Autodesk) Hidden AutoCAD Architecture 2012 - Polski (HKLM\...\AutoCAD Architecture 2012 - Polski) (Version: 6.7.49.0 - Autodesk) AutoCAD Architecture 2012 - Polski (Version: 6.7.49.0 - Autodesk) Hidden AutoCAD Architecture 2012 Language Pack - Polski (Version: 18.2.51.0 - Autodesk) Hidden Autodesk 360 (HKLM\...\{52B28CAD-F49D-47BA-9FFE-29C2E85F0D0B}) (Version: 4.0.27.1 - Autodesk) Autodesk App Manager (HKLM-x32\...\{C070121A-C8C5-4D52-9A7D-D240631BD433}) (Version: 1.1.0 - Autodesk) Autodesk AutoCAD 2014 — Polski (Polish) (HKLM\...\AutoCAD 2014 — Polski (Polish)) (Version: 19.1.18.0 - Autodesk) Autodesk Content Service (HKLM-x32\...\Autodesk Content Service) (Version: 3.1.3.0 - Autodesk) Autodesk Content Service (x32 Version: 3.1.3.0 - Autodesk) Hidden Autodesk Content Service Language Pack (x32 Version: 3.1.3.0 - Autodesk) Hidden Autodesk Featured Apps (HKLM-x32\...\{F732FEDA-7713-4428-934B-EF83B8DD65D0}) (Version: 1.1.0 - Autodesk) Autodesk Inventor Fusion 2012 (HKLM\...\Autodesk Inventor Fusion 2012) (Version: 1.0.0.79 - Autodesk, Inc.) Autodesk Inventor Fusion 2012 (Version: 1.0.0.79 - Autodesk, Inc.) Hidden Autodesk Inventor Fusion 2012 Language Pack (Version: 1.0.0.79 - Autodesk, Inc.) Hidden Autodesk Inventor Fusion plug-in for AutoCAD 2012 (HKLM\...\Dodatek Autodesk Inventor Fusion dla programu AutoCAD 2012) (Version: 0.0.1.138 - Autodesk) Autodesk Material Library 2012 (HKLM-x32\...\{8F0837C2-EE09-4903-88F3-1976FE7FFF4E}) (Version: 2.5.0.8 - Autodesk) Autodesk Material Library 2014 (HKLM-x32\...\{644F9B19-A462-499C-BF4D-300ABC2A28B1}) (Version: 4.0.19.0 - Autodesk) Autodesk Material Library Base Resolution Image Library 2012 (HKLM-x32\...\{65420DC9-306E-4371-905F-F4DC3B418E52}) (Version: 2.5.0.8 - Autodesk) Autodesk Material Library Base Resolution Image Library 2014 (HKLM-x32\...\{51BF3210-B825-4092-8E0D-66D689916E02}) (Version: 4.0.19.0 - Autodesk) Dodatek Autodesk Inventor Fusion dla programu AutoCAD 2012 (Version: 0.0.1.138 - Autodesk) Hidden Dodatek Autodesk Inventor Fusion Language Pack dla programu AutoCAD 2012 (Version: 0.0.1.138 - Autodesk) Hidden SketchUp Import for AutoCAD 2014 (HKLM-x32\...\{644E9589-F73A-49A4-AC61-A953B9DE5669}) (Version: 1.1.0 - Autodesk)

FRST wszystkie klucze usunął (omija uprawnienia). To że wracają nie jest związane z uprawnieniami. Co to tego że nie mogłeś usunąć kluczy: tak, bo wyzerowałeś uprawnienia - tam jest zadawane pytanie czy przy ściąganiu dziedziczenia kopiować uprawnienia czy usuwać. Lepiej nie grzeb ręcznie. Tak, bo instalator CCleaner jest sponsorowany. Wg nazwy "zagrożenia" ESET widzi zintegrowany w instalatorze pasek Google, możliwe też paski Yahoo i inne śmieci. Czyste wersje CCleaner to slim i portable, przy czym obecnie na stronie pobierania widać tylko wariant portable: KLIK. Proszę odrzuć koncepcję infekcji. To nie jest problem infekcji, powtarzam to już po raz drugi. Nie wiem co przywraca wpisy, ale te klasy nie są szkodliwe same w sobie i należą do wymienianych wcześniej programów. W diagnostyce co odtwarza te wpisy mógłby pomóc Process Monitor: 1. Ponownie zastosować Fix FRST usuwający klucze podany w poście #18. 2. W Process Monitor operacje: Zatrzymać bieżące nagrywanie poprzez klik w lupkę na pasku narzędzi (ma się "przekreślić"), następnie wyczyścić bieżący widok w menu Edit > Clear Display. W menu Filter > Filter... > skonfigurować filtry dodając trzy warunki: Path contains 7-Zip then Include + Path contains ANotepad++64 then Include + Path contains {4A7C4306-57E0-4C0C-83A9-78C1528F618C} then Include. Dla każdego klik w Add. Zacząć nagrywanie poprzez odkreślenie lupki i czekać aż się pojawią wyniki w oknie, co oznacza nie wyłączanie systemu. W tym czasie nie grzebać w rejestrze i nie wyszukiwać podanych nazw ręcznie, bo stworzysz "fałszywe" wyniki, tzn. Process Monitor nagra Ciebie w oknie. Jeśli coś się pojawi, dostarcz log (File > Save).

Twoje wyniki: C:\Windows\winsxs\x86_microsoft-windows-photoviewer_31bf3856ad364e35_6.1.7601.17514_none_de45f5282dfa523b\PhotoViewer.dll [2010-11-21 04:25][2010-11-21 04:25] 1456128 ____A (Microsoft Corporation) 5170D04359E5D54A06B084AA5D833115 [Plik podpisany cyfrowo] C:\Windows\winsxs\amd64_microsoft-windows-photoviewer_31bf3856ad364e35_6.1.7601.17514_none_3a6490abe657c371\PhotoViewer.dll [2010-11-21 04:25][2010-11-21 04:25] 1727488 ____A (Microsoft Corporation) 254EEFA92A3438879E2A80BD76B0378F [Plik podpisany cyfrowo] C:\Windows\SysWOW64\PhotoViewer.dll [2015-10-01 14:24][2015-10-01 14:24] 1638912 ____A (Microsoft Corporation) 51ACA8428A24946B8FAA80B45093095A [brak podpisu cyfrowego] C:\Windows\System32\PhotoViewer.dll [2015-10-01 14:24][2015-10-01 14:24] 1844224 ____A (Microsoft Corporation) 6DCB6E47167F66C3D797B93BB1CCA386 [brak podpisu cyfrowego] C:\Program Files (x86)\Windows Photo Viewer\PhotoViewer.dll [2010-11-21 04:25][2010-11-21 04:25] 1456128 ____A (Microsoft Corporation) 5170D04359E5D54A06B084AA5D833115 [Plik podpisany cyfrowo] C:\Program Files\Windows Photo Viewer\PhotoViewer.dll [2010-11-21 04:25][2010-11-21 04:25] 1727488 ____A (Microsoft Corporation) 254EEFA92A3438879E2A80BD76B0378F [Plik podpisany cyfrowo] C:\Program Files\Windows Photo Viewer\pl-PL\PhotoViewer.dll [2015-10-08 00:32][2015-10-08 00:52] 1727488 ____A (Microsoft Corporation) 254EEFA92A3438879E2A80BD76B0378F [Plik podpisany cyfrowo] Dla porównania wyniki z mojego systemu: C:\Windows\winsxs\x86_microsoft-windows-photoviewer_31bf3856ad364e35_6.1.7601.17514_none_de45f5282dfa523b\PhotoViewer.dll [2010-11-21 04:25][2010-11-21 04:25] 1456128 ____A (Microsoft Corporation) 5170D04359E5D54A06B084AA5D833115 [Plik podpisany cyfrowo] C:\Windows\winsxs\amd64_microsoft-windows-photoviewer_31bf3856ad364e35_6.1.7601.17514_none_3a6490abe657c371\PhotoViewer.dll [2010-11-21 04:25][2010-11-21 04:25] 1727488 ____A (Microsoft Corporation) 254EEFA92A3438879E2A80BD76B0378F [Plik podpisany cyfrowo] C:\Program Files (x86)\Windows Photo Viewer\PhotoViewer.dll [2010-11-21 04:25][2010-11-21 04:25] 1456128 ____A (Microsoft Corporation) 5170D04359E5D54A06B084AA5D833115 [Plik podpisany cyfrowo] C:\Program Files\Windows Photo Viewer\PhotoViewer.dll [2010-11-21 04:25][2010-11-21 04:25] 1727488 ____A (Microsoft Corporation) 254EEFA92A3438879E2A80BD76B0378F [Plik podpisany cyfrowo] Pliki w system32 i SysWOW64 są niepoprawne i nie wiadomo skąd w systemie (ręcznie kopiowałeś?). Takich instancji nie ma domyślnie w systemie. Reszta plików DLL jest poprawna. Toteż na razie usuńmy te dwie wadliwe instancje, by sprawdzić czy coś się zmieni w kwestii błędu. Otwórz Notatnik i wklej w nim: C:\Windows\System32\PhotoViewer.dll C:\Windows\SysWOW64\PhotoViewer.dll Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Pokaż wynikowy fixlog.txt. Podaj czy nadal widzisz błąd. W logu wpis był. Czy na pewno kliknąłeś w Zmień (tam widać spis stron)?

Proszę dodaj więc jeszcze log z poziomu RE. Może on coś tu dopowie.

Fix wykonany. Czy udało Ci się usunąć w całości ten folder "bez nazwy"? Infekcja przesunęła do niego utworzony kiedyś przez USBFix folder autorun.inf zablokowany przez nazwę zastrzeżoną. Planowałam jego usuwanie w skrypcie, ale FRST go nie znalazł.

W raportach nie widać żadnych oznak infekcji w Operze... Szczątki adware sweet-page.com w Internet Explorer nie są powiązane. Jedyne co jest podejrzane, to wpis uruchamiający moduł PowerShell w starcie. Prawdopodobnie FRST obciął tu jakieś argumenty i nie widać całej składni. Będę pobierać dane w skrypcie FRST o tym wpisie oraz go usuwać. HKU\S-1-5-21-1964063513-2035544804-3093838741-1001\...\Run: [{CAEE8A98-C212-4BC2-85C7-A20F792B6F76}] => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [478720 2014-10-29] (Microsoft Corporation) Błąd powoduje moduł QtCore_Ad_SyncNs_4.dll firmy Autodesk. Podobny problem z forum: KLIK. Dziennik Aplikacja: ================== Error: (10/27/2015 10:06:19 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: Explorer.EXE, wersja: 6.3.9600.17667, sygnatura czasowa: 0x54c6f7c2 Nazwa modułu powodującego błąd: QtCore_Ad_SyncNs_4.dll_unloaded, wersja: 4.8.2.0, sygnatura czasowa: 0x50d3fca7 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x00000000000265fe Identyfikator procesu powodującego błąd: 0x328 Godzina uruchomienia aplikacji powodującej błąd: 0xExplorer.EXE0 Ścieżka aplikacji powodującej błąd: Explorer.EXE1 Ścieżka modułu powodującego błąd: Explorer.EXE2 Identyfikator raportu: Explorer.EXE3 Pełna nazwa pakietu powodującego błąd: Explorer.EXE4 Identyfikator aplikacji względem pakietu powodującego błąd: Explorer.EXE5 Na razie do wykonania te akcje: 1. Odinstaluj stare wersje i zbędniki: Adobe Flash Player 19 NPAPI (to wersja dla nieistniejącego tu Firefox), Adobe Reader XI (11.0.13) - Polish, Java 8 Update 31 (64-bit), Java 8 Update 45, WebStorage (program ASUSa, który notabene też może tworzyć błędy explorer.exe). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKU\S-1-5-21-1964063513-2035544804-3093838741-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Radek\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-1964063513-2035544804-3093838741-1001\...\Run: [{CAEE8A98-C212-4BC2-85C7-A20F792B6F76}] => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [478720 2014-10-29] (Microsoft Corporation) HKU\S-1-5-21-1964063513-2035544804-3093838741-1001\...\Policies\Explorer: [] HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1430072474&from=cor&uid=HGSTXHTS721075A9E630_JR1A006P0LZETF0LZETFX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1430072474&from=cor&uid=HGSTXHTS721075A9E630_JR1A006P0LZETF0LZETFX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1430072474&from=cor&uid=HGSTXHTS721075A9E630_JR1A006P0LZETF0LZETFX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1430072474&from=cor&uid=HGSTXHTS721075A9E630_JR1A006P0LZETF0LZETFX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1430072474&from=cor&uid=HGSTXHTS721075A9E630_JR1A006P0LZETF0LZETFX&q={searchTerms} HKU\S-1-5-21-1964063513-2035544804-3093838741-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=1430072474&from=cor&uid=HGSTXHTS721075A9E630_JR1A006P0LZETF0LZETFX SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-1964063513-2035544804-3093838741-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1430072474&from=cor&uid=HGSTXHTS721075A9E630_JR1A006P0LZETF0LZETFX&q={searchTerms} S2 McAfee SiteAdvisor Service; "c:\PROGRA~2\mcafee\SITEAD~1\mcsacore.exe" [X] Task: {15BA5C04-6E39-4FB5-9272-674BAFADA546} - System32\Tasks\{B6B10F02-61F2-4786-AF18-4561B7049D48} => pcalua.exe -a "D:\Gry\League of Legends\lol.launcher.exe" -d D:\Gry\ Task: {19FC62D2-8FC2-4A5E-9C65-1A18AF84680C} - System32\Tasks\{568BCDCC-1D96-4AA1-8492-E0D59FBBAF2A} => pcalua.exe -a "D:\Gry\League of Legends\lol.launcher.exe" -d D:\Gry\ Task: {5235726F-2656-49DE-BCAE-27CDC6574EF8} - System32\Tasks\{239AD7B8-7017-4E5C-B798-93771B2F9697} => pcalua.exe -a D:\Gry\h3\Heroes3.exe -d D:\Gry\h3 Task: {7FB9404E-3BBC-4EBB-92C5-CF872E927A78} - System32\Tasks\{464AAE9A-1D3A-4AB7-A396-3AABBAA61128} => pcalua.exe -a "D:\Gry\League of Legends\lol.launcher.exe" -d D:\Gry\ Task: {9AEE307B-966E-4FEA-871F-77B4A68E92D9} - System32\Tasks\{E81CFAFC-09EF-477D-8EC1-AF5016977A53} => pcalua.exe -a "D:\Gry\League of Legends\lol.launcher.exe" -d D:\Gry\ Task: {9D2D8119-4AF5-4D79-9856-CAF7B4FEEE70} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe Task: {A4D1D345-1E9E-4232-B1A1-DD6AF9021AB9} - System32\Tasks\{53B79750-FACB-4FEC-B3D6-A4C3D6E12C8D} => pcalua.exe -a "D:\Gry\League of Legends\lol.launcher.exe" -d D:\Gry Task: {B58AAF6E-7279-4DD5-8016-A25CD7F3E147} - System32\Tasks\{01D9E136-14D9-492E-8135-427A28EC00D1} => pcalua.exe -a G:\Setup.exe -d G:\ Task: {B816C5E5-11E9-4329-B363-CD7B0DD59AE0} - System32\Tasks\{E57CA208-B52E-4415-A2E1-EE2D149650DA} => pcalua.exe -a D:\Programy\NapiProjekt\unins000.exe Task: {C6E016A6-01AD-4895-9803-936D5A13FDD0} - System32\Tasks\{D91F130D-248A-418A-8C8B-856C7698226A} => pcalua.exe -a "D:\Gry\League of Legends\lol.launcher.exe" -d D:\Gry\ Task: {E0297AB1-C495-4006-BE04-97E13F3EF681} - System32\Tasks\{97752F7D-6D22-4EAD-AD55-4A3D067839AA} => pcalua.exe -a G:\Setup.exe -d G:\ Task: {E0B5C2F4-DACC-4032-B4B7-D38FE0D2C3E9} - System32\Tasks\{F487C4BA-2949-40B6-B315-AA1F8A4FFDD0} => pcalua.exe -a "D:\Gry\League of Legends\lol.launcher.exe" -d D:\Gry\ Task: {E80AB6E3-EDF7-4CD4-9ED3-C8FBEC6E129A} - System32\Tasks\{3BAB2F40-5C3B-4221-A455-7347A80F8ABE} => pcalua.exe -a "C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\Uplay.exe" -d "C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher" Task: {EEA998D8-883B-42C9-98D0-63DBBD4B2274} - System32\Tasks\{A34B2B2D-B842-4C34-9B1F-ECB599E2FE48} => pcalua.exe -a "D:\Gry\League of Legends\lol.launcher.exe" -d D:\Gry\ Task: {F98E2999-E284-42E5-BF9A-8B51FBF4828E} - System32\Tasks\{02D2E79B-2DB1-4377-8A89-E113369ADCF5} => pcalua.exe -a "D:\Gry\League of Legends\lol.launcher.exe" -d D:\Gry\ Task: C:\Windows\Tasks\AutoKMS.job => C:\Windows\AutoKMS\AutoKMS.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" C:\ProgramData\McAfee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Championship Manager 01-02 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gameforge Live C:\ProgramData\Microsoft\Windows\Start Menu\Programs\League of Legends C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Mighty Quest For Epic Loot C:\Users\Radek\AppData\Roaming\Microsoft\Word\grzejniki%20moje304776991222908570\grzejniki%20moje.docx.lnk C:\Users\Radek\Desktop\Studia\Radek\STUDIA MOJE\Semestr I\Mechanika\*.lnk C:\Users\Radek\Desktop\Studia\Radek\STUDIA MOJE\Semestr II\Wytrzymałość\*.lnk C:\Windows\System32\Tasks\McAfee DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\McAfee Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Akamai NetSession Interface" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v f.lux /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy po usunięciu tego wpisu PowerShell jest jakaś zmiana w Operze.

Proszę tytułuj tematy zgodnie z problemem zasadniczym. Zmieniam to bezpłciowe "Proszę o pomoc" na bardziej rzeczowy. I to nie jest problem infekcji. 1. Temat przenoszę do działu Hardware ze względu na błąd w Dzienniku zdarzeń; Error: (10/26/2015 08:14:22 PM) (Source: Microsoft-Windows-WHEA-Logger) (EventID: 18) (User: ZARZĄDZANIE NT) Description: Wystąpił krytyczny błąd sprzętowy. Zgłoszone przez składnik: rdzeń procesora Źródło błędu: 3 Typ błędu: 9 Identyfikator procesora: 4 Widok szczegółów tego wpisu zawiera dodatkowe informacje. Dostarcz: - Dane wymagane działem Hardware: KLIK. - Paczkę plików DMP. Skopiuj na Pulpit folder C:\Windows\Minidump, spakuj do ZIP i shostuj gdzieś. Kto inny prawdopodobnie poprowadzi temat. Nie zajmuję się prowadzeniem tematów sprzętowych, nie jest to moja specjalizacja. 2. Nie wykluczam jednak, że problem BSOD tworzy zainstalowany program oparty na sterownikach. Konkretnie tu narzuca się sterownik Internet Download Manager powstały / aktualizowany nieco ponad tydzień temu (czyli blisko dat BSOD): 2015-10-16 12:29 - 2015-06-12 02:00 - 00123968 _____ (Tonec Inc.) C:\Windows\system32\Drivers\idmwfp.sys I jest jeszcze kobyła Bitdefender Total Security jeżdżąca na starych sterownikach z 2013 oraz sterownik VD_FileDisk datowany na 2011 od wtyczki Total Commander, co może być nie bez znaczenia. PS. W spoilerze doczyszczanie odpadków adware, nie powiązane z powyższymi BSOD.

Zanim przejdziesz do reinstalacji systemu, jeszcze sprawdź co się stanie po całkowitej deinstalacji Kasperskiego. Zacznij od normalnej via Panel sterowania, następnie w Trybie awaryjnym jeszcze popraw narzędziem Kaspersky Remover.

Temat przenoszę do działu Windows. Brak oznak infekcji. 1. Wyłączony Windows Defender: nie ma tu problemu. W systemie jest zainstalowany dodatkowy antywirus Avast. Tego typu instalacje wręcz powinny deaktywować wbudowany w system Windows Defender i zwykle to robią, by zapobiec obciążeniu i kolizjom. U Ciebie usługa Windows Defender ma Typ uruchomienia Ręczny a nie Automatyczny i to jest OK przy obecności zewnętrznego antywirusa: S3 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [272952 2008-01-21] (Microsoft Corporation) Nawiasem mówiąc, Windows Defender w wersji wbudowanej w systemy Vista i Windows 7 to przestarzały program o limitowanej użyteczności. Na systemach Windows 8 i 10 jest inny lepszy Windows Defender, tzn. Microsoft Security Essentials przemianowany na "Windows Defender". 2. Ogólny spadek wydajności: z raportów nic nie wynika. Przetestuj czy nastąpi poprawa w tych dwóch sytuacjach: w trybie czystego rozruchu (KLIK) oraz po deinstalacji Avast. 3. Widzę zainstalowany HDD Regenerator. Ten program nie jest tu polecany: KLIK. Precyzyjne dane podaje raport z FRST w nagłówku: Platform: Microsoft® Windows Vista™ Home Premium Service Pack 2 (X86) Język: Polski (Polska) Internet Explorer Wersja 9 (Domyślna przeglądarka: Opera) PS. W spoilerze masz dodatkowe kosmetyczne korekty, które nie mają związku ze zgłaszanymi problemami.