picasso

Z raportów nic nie wynika, a w systemie nadal jest poprzednia wersja KIS 2015. W tej sytuacji zostaje uruchomienie Przywracania systemu do daty sprzed preóby aktualizacji Kasperskiego. Log FRST potwierdza, że są dwa punkty dostępne: ==================== Punkty Przywracania systemu ========================= 15-10-2015 02:12:50 Zaplanowany punkt kontrolny 22-10-2015 03:29:29 Zaplanowany punkt kontrolny

Jedyne co tu podejrzanego widzę, to "krzaczaste" zadanie w Harmonogramie zadań: Task: {759E520C-752B-4659-803C-8BD48CE83C73} - System32\Tasks\IdlePowerSave => C:\windows\Idle\DetectIdleTask.exe [2010-07-30] (TODO: ) Został też odpadkowy aktywny sterownik po odinstalowaniu Avira. Akcje do przeprowadzenia: 1. Odinstaluj stare wersje i zbędnik: Adobe Reader 9.1 - Polish, Bing Bar, Java 7 Update 55. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {6012A0C7-2D33-4D06-B27C-74D5BC44D97E} - System32\Tasks\EasyPartitionManager => C:\Windows\MSetup\BA46-12225A02\EPM.exe Task: {759E520C-752B-4659-803C-8BD48CE83C73} - System32\Tasks\IdlePowerSave => C:\windows\Idle\DetectIdleTask.exe [2010-07-30] (TODO: ) R1 ssmdrv; C:\windows\System32\DRIVERS\ssmdrv.sys [31848 2015-09-01] (Avira Operations GmbH & Co. KG) SearchScopes: HKU\S-1-5-21-958697659-640684066-2621023205-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\ProgramData\Temp Folder: C:\Windows\Idle C:\Windows\Idle C:\Windows\system32\Drivers\ssmdrv.sys Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Norton Online Backup" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan) na następujących warunkach: odznaczone pole Filtrowanie dla sekcji Internet oraz zaznaczone pole Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy ustąpiły.

Ten folder to jakiś odpadek, bo nie ma zainstalowanego powiązanego programu. W tej sytuacji i tak może być skasowany, tylko z innego powodu niż sugeruje to AdwCleaner. Czyli teraz: 1. Uruchom AdwCleaner ponownie, wybierz sekwencję akcji Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Grzesiek\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Grzesiek\Downloads\FRST-OlderVersion CMD: del /q C:\Users\Grzesiek\Downloads\7bmxbtnq.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Jedyne co tu widać od infekcji, to te dwa strumienie NTFS, które MBAM klasyfikuje jako Rootkit.ADS: AlternateDataStreams: C:\Program Files\CCleaner:Win32App AlternateDataStreams: C:\Program Files\Microsoft Silverlight:Win32App Ale prawdopodobnie to nie ma związku z opisywanymi objawami. Tu bardziej są podejrzane programy zabezpieczające. ESET Smart Security ma wbudowany firewall oraz tworzy filtry na kartach sieciowych, co jest najsilniejszym terenem podejrzeń tutaj. Zresztą ESET produkuje błędy w Dzienniku zdarzeń: Error: (10/23/2015 01:55:21 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: egui.exe, wersja: 8.0.319.0, sygnatura czasowa: 0x559d2313 Nazwa modułu powodującego błąd: ToastNotify.dll, wersja: 8.0.319.0, sygnatura czasowa: 0x559d2398 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x0000000000002f3e Identyfikator procesu powodującego błąd: 0x6e8 Godzina uruchomienia aplikacji powodującej błąd: 0xegui.exe0 Ścieżka aplikacji powodującej błąd: egui.exe1 Ścieżka modułu powodującego błąd: egui.exe2 Identyfikator raportu: egui.exe3 Pełna nazwa pakietu powodującego błąd: egui.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: egui.exe5 Kolejny delikwent to Spybot - Search & Destroy, który wprowadził różne immunizacje starej daty (gruby plik host przetwarzający ponad 15 tysięcy wpisów, multum witryn z ograniczeniami) - nie są zdrowe z punktu widzenia operatywności. Program jest przestarzały konstrukcyjnie i ma niską skuteczność w kwestii bieżących zagrożeń. Działania wstępne: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje i omawiane wyżej programy: Adobe AIR, Adobe Flash Player 18 PPAPI, Adobe Reader XI (11.0.13) - Polish, Adobe Shockwave Player 12.1, ESET Smart Security, Java 8 Update 31 (64-bit), Spybot - Search & Destroy. 2. Doczyszczanie immunizacji i wpisów odpadkowych (m.in. po upgradzie z Windows 7 do Windows 10). Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AlternateDataStreams: C:\Program Files\CCleaner:Win32App AlternateDataStreams: C:\Program Files\Microsoft Silverlight:Win32App HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKLM-x32\...\Run: [] => [X] Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] HKU\S-1-5-21-2454217800-4098174176-1273974903-1002\...\Run: [ASRockXTU] => [X] HKU\S-1-5-21-2454217800-4098174176-1273974903-1002\...\Run: [ASRockRuefi] => [X] HKU\S-1-5-21-2454217800-4098174176-1273974903-1002\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) HKU\S-1-5-18\...\Run: [KSS] => "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Scan\kss.exe" autorun BootExecute: autocheck autochk * sdnclean64.exe U3 idsvc; Brak ImagePath S3 MBfilt; \SystemRoot\system32\drivers\MBfilt64.sys [X] S3 vmci; \SystemRoot\System32\drivers\vmci.sys [X] S3 VMnetAdapter; \SystemRoot\system32\DRIVERS\vmnetadapter.sys [X] S2 VMnetBridge; system32\DRIVERS\vmnetbridge.sys [X] U3 wpcsvc; Brak ImagePath Task: {07CBCCD8-0747-465C-AA85-422C600FC39D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {08232113-65B2-4C4F-86B9-963849EEDB80} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {0D8D414F-B5E3-4E52-8897-9C5946EFC6B3} - System32\Tasks\{A281F081-DBF6-457E-87C2-6832A80A956B} => pcalua.exe -a C:\Users\wojtuq\Desktop\RST(v11.7.0.1013)\setup.exe -d C:\Users\wojtuq\Desktop\RST(v11.7.0.1013) Task: {0FA54428-D0D8-4869-89C5-50EF898F0756} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {1313ECE4-2317-4022-9449-99528B2F1208} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {14CAD480-329C-4F3B-A4FD-2DFDE15272E3} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {17330D57-19D3-49B5-B138-4EA50F6FA008} - System32\Tasks\{BCC40D4B-72C4-4DC8-952E-0AA0E323BF44} => D:\Games\The Sims 3\Game\Bin\TS3W.exe Task: {1B694387-6003-465F-BBF3-3CE23BC844C6} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {1ED57D2F-997B-478A-A40E-0CCA4DA05997} - System32\Tasks\{F1E2602C-7AD7-4C81-B948-E96E1AC7A15A} => D:\Games\The Sims 3\Game\Bin\Sims3Launcher.exe Task: {308FFEED-811A-43BA-94E3-2D1956C0F49C} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {34408122-F3EA-44A1-B31C-2C61A10263D8} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {44DF6C3A-9AF5-4AB6-926A-522B110F54FC} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {4820CFDD-D774-49A1-A8AA-E6F269BA1E4E} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {4B7BE732-8C8F-4216-845C-4F1B4D2E4344} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-07-15] (Google Inc.) Task: {5A83D962-B68B-4787-A538-BD0DA0EC1F07} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {5DEDCE9E-8761-476B-9639-4B733CA141ED} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {5EE9A77E-7052-44BB-82E8-545EF772D40A} - System32\Tasks\TempCheck => c:\programdata\{c403c7f2-910f-f9af-c403-3c7f29101fca}\cfos speed 10.8 keygen.exe Task: {5F041F60-BF41-469B-984A-788CF081C8A6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {68CB4F04-2681-4E58-891C-169238D1EB50} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {692C4267-4A7F-4EC3-9A66-7EC6A0FEE047} - System32\Tasks\AutoPico Daily Restart => C:\Users\wojtuq\Desktop\Nowy Task: {718ACFAE-85AD-4570-9B76-FD6D22152BAF} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {7B8A91EC-0E31-42C4-B350-2186588BB18B} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {7CA0C69F-A017-455B-AAC4-49ED0DA07957} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {850B435F-BDA2-4A94-A0F2-4346443B7D1E} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {86E71142-EE8A-466B-AF0D-BF29BC63FC4A} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {87CEBA4F-9471-4716-A278-96A9867DAE03} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-07-15] (Google Inc.) Task: {8DFDE043-9206-4619-B60F-D1E80A74B1A2} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {8F1D9E0E-3E3B-44A8-B7D2-CA27FA289E86} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {923C3619-4DC7-40C6-89B7-340F82566DE3} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {9F299351-8014-4A3F-91BD-016FB2BA6F97} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {A0A6930C-72AC-4216-AAF7-5B07DBDD871E} - System32\Tasks\{EEBDAEF3-1BCD-4038-A195-1CC65EF343B9} => pcalua.exe -a C:\Users\wojtuq\Desktop\Intel_RST_MB\iata_cd.exe -d C:\Users\wojtuq\Desktop\Intel_RST_MB Task: {AE22E57C-A88E-4067-A3A3-E0D8D4DE5C7B} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {B83098D8-3607-46AA-BC46-E2F1CCE6AE5A} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {B8BA3D9E-CD5A-428D-B928-F08D858A0D84} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {BBEB6AB5-F263-42A7-AA57-0F8D8FAD0B31} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {BCDECA98-61FF-4E0F-A895-A90BC3EE0480} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {BDC1200C-3ACC-4936-A2D7-03EBDF8B8CAB} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {C36F80BB-25E5-4763-95DF-5735D4557890} - \SmartShare -> Brak pliku Task: {CA1B9AA1-2FA3-44F3-869E-2F256ECAFC74} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {E6433514-9FF5-4FE7-9409-2DFE66BBFF4D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {E6B03917-2761-46C1-A1DC-C4B29B131F1E} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {FB42172A-E67F-4327-8B88-EDD9854A8AC5} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {FCE05CDA-D06C-4D7F-9470-EDFD8A763CD6} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\TempCheck.job => c:\programdata\{c403c7f2-910f-f9af-c403-3c7f29101fca}\cfos speed 10.8 keygen.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking C:\Program Files\Common Files\AV\Spybot - Search and Destroy C:\Program Files (x86)\Google C:\Users\wojtuq\AppData\Local\del C:\Users\wojtuq\AppData\Local\Temp.dat C:\Users\wojtuq\AppData\Local\user_data.ini C:\Windows\ehome C:\WINDOWS\System32\Drivers\etc\hosts.*.backup C:\Windows\System32\Tasks\Microsoft\Windows\Media Center Hosts: Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom Zoek. W oknie wklej: Google Update Helper;u Klik w Run Script. Powstanie plik zoek-results.log - zmień mu nazwę z *.log na *.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też pliki fixlog.txt i zoek-results.txt. Wypowiedz się czy jest poprawa w działaniu sieci.

Nie o to mi chodziło. Automatyczną naprawę należało pominąć, by wejść do menu opcji odzyskiwania pokazującej m.in. Wiersz polecenia. Skoro już uruchomiłeś tę auto-naprawę, to poczekaj aż skończy i powtórka z wejściem do opcji.

Fix FRST pomyślnie wykonany. FRST był też zdolny pobrać zawartość pendrive i jest potwierdzone, iż został zastosowany ten trik o którym mówiłam. Teraz akcja tycząca czyszczenia pendrive. Zakładam, że nadal jest widziany poid literą F: 1. Otwórz Notatnik i wklej w nim: BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre1.8.0_51\bin\ssv.dll => Brak pliku BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre1.8.0_51\bin\jp2ssv.dll => Brak pliku F:\Removable Drive (4GB).lnk RemoveDirectory: F:\ \Autorun.inf RemoveDirectory: F:\System Volume Information CMD: attrib /d /s -s -h F:\* Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. Przedstaw go. 2. Jeśli wszystko pójdzie dobrze, na pendrive zobaczysz folder "bez nazwy". Wejdź do niego, przenieś wszystkie swoje dane (pomijając śmieci) poziom wyżej, a folder przez SHIFT+DEL skasuj.

Rucek, nie skupiaj się na tych literach dysków, w RE mapowanie jest inne i może się zmieniać, a FRST i tak to zmieni jeszcze raz remapując tymczasowo, by dysk z Windows był pod C. Masz tylko podświetlić wybraną wykrytą instancję systemu pasującą do Windows który masz na myśli, by wejść do opcji odzyskiwania, a tam Wiersz polecenia i uruchamiasz FRST.

Uszkodzone Dzienniki zostaną przebudowane wg kroków poniżej: 1. Otwórz Notatnik i wklej w nim: CMD: sc config Eventlog start= disabled Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. System może się dłużej uruchamiać ze względu na wyłączenie Dziennika. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Skopiuj go w inne miejsce niż siedzi FRST, bo kolejny punkt nadpisze bieżący log. 2. Otwórz Notatnik i wklej w nim: C:\WINDOWS\system32\config\*.evt CMD: sc config Eventlog start= auto Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie kolejny fixlog.txt. Dostarcz oba pliki fixlog.txt. 1. Jeszcze sprawdź czy nadmiar uruchomionych procesów ma coś do rzeczy. Wykonaj test z czystym rozruchem: KLIK. Jeśli nie będzie widocznych zmian, wykonaj testową deinstalację Avast, by się upewnić, że to nie antywirus. 2. W przypadku braku rezultatów załóż temat w dziale Hardware podając wymagane działem dane (KLIK) oraz linkując tu do tematu, by było wiadomo co już zrobiono. Kto inny prawdopodobnie się zajmie tematem, nie prowadzę wątków sprzętowych, gdyż nie jest to moja specjalizacja.

Akcja pomyślnie wykonana. Teraz: 1. Skasuj folder C:\Users\Dyrekcja\Desktop\FRST. Następnie zastosuj DelFix. 2. Zrób skan za pomocą Hitman Pro. Nic jeszcze nie usuwaj, tylko dostarcz wyniki skanu.

Chodziło tylko o log główny FRST.txt, resztę usuwam (nie jest potrzebna). Nic więcej od Paragona nie ma, poza wyliczonymi już usługami. Czyli do usunięcia te dwa sterowniki oraz odpadki po świeżo deinstalowanym Ad-aware: Otwórz Notatnik i wklej w nim: S1 UimBus; C:\Windows\System32\DRIVERS\uimx64.sys [90960 2012-12-20] (Windows ® 2000 DDK provider) S1 Uim_IM; C:\Windows\System32\Drivers\Uim_IMx64.sys [633680 2012-12-20] (Paragon) C:\Program Files\Common Files\Lavasoft C:\ProgramData\Lavasoft C:\Users\BM\AppData\Roaming\LavasoftStatistics C:\Windows\System32\Drivers\Uim_IMx64.sys C:\Windows\System32\DRIVERS\uimx64.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Hitman nie wykrył nic groźnego, te wyniki "Suspicious files" do zignorowania. To tyle.

Tym razem zadanie wykonane. Skasuj pobrane narzędzia i ich logi z folderu D:\Naprawa\2015.10. Na koniec jeszcze zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To tyle.

Temat założony w nieodpowiednim dziale diagnostyki infekcji. Przenoszę do działu Windows. Ten komunikat sugeruje uszkodzony moduł DLL wymieniany na komunikacie. Podane tu raporty są niewystarczające do oceny stanu pliku. Jedyne co widać, to niedawne utworzenie plików: 2015-10-01 15:24 - 2015-10-01 15:24 - 01844224 _____ (Microsoft Corporation) C:\Windows\system32\PhotoViewer.dll 2015-10-01 15:24 - 2015-10-01 15:24 - 01638912 _____ (Microsoft Corporation) C:\Windows\SysWOW64\PhotoViewer.dll Na razie podaj precyzyjny pis kopii plików (włącznie z sumami kontrolnymi). Uruchom FRST, w polu Szukaj wklep PhotoViewer.dll, klik w Szukaj plików i dostarcz wynikowy log. PS. W spoilerze doczyszczanie szczątków adware i wpisów pustych. To nie ma nic wspólnego z problemem zasadniczym.

W podanych raportach nie widać żadnych oznak infekcji. Ten komunikat o "zduplikowanym IP" nie musi o niczym świadczyć. Baza wiedzy ESET: KLIK. Nie podałeś dokładnego wyciągu z programu. Ale to również o niczym nie świadczy. Proces svchost.exe (= host usług) będzie widoczny jako aktywny sieciowo, bo w systemie jest wiele usług natury sieciowej. Pierwsza z brzegu operująca na svchost.exe to Windows Update. Ten rodzaj infekcji jest wprowadzany ręcznie "za zgodą użytkownika", tzn. pobierałeś jakiś "downloader" lub program ze zintegrowanymi sponsorami i nie odznaczyłeś instalacji sponsorów. Więcej na ten temat: KLIK. I ten rodzaj infekcji nie ma nic wspólnego ze zgłoszeniami ESET. To immunizacja Spybot Search & Destroy. Owszem, ta metoda zabezpieczeń jest archaiczna i można ją usunąć (tym bardziej że Spybot został odinstalowany), ale wpisy nie mają nic wspólnego z problemem. Do wyczyszczenia będą także szczątki po innych używanych skanerach. Uwaga na przyszłość: STOPzilla! to wątpliwy skaner, był nawet kiedyś na czarnej liście. Dodatkowo: widzę że był używany HijackThis, ten program nie nadaje się na system 64-bit, pokazuje na takim typie fałszywe odczyty "file is missing". "kosmetyka", tzn. wspominane czyszczenie szczątków po używanych skanerach: 1. Ściągnięcie filtrów StopZilla z kart sieciowych, konieczne by usuwanie sterowników StopZilla w punkcie 2 nie odcięło dostępu do sieci. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > z prawokliku na każde obecne połączenie pobierz Właściwości > wyszukaj element podobny do poniższego (możliwe nazwy to Sunbelt / GFI / ThreatTrack NDIS IM Filter), podświetl, odinstaluj i zresetuj system. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 sbapifs; C:\Windows\System32\DRIVERS\sbapifs.sys [88928 2015-05-01] (ThreatTrack Security Inc.) S3 SBHIPS; C:\Windows\System32\drivers\sbhips.sys [63696 2015-05-01] (ThreatTrack Security) R1 sbwfw; C:\Windows\System32\DRIVERS\sbwfw.sys [345392 2015-05-01] (ThreatTrack Security) S3 sbwtis; C:\Windows\System32\DRIVERS\sbwtis.sys [95608 2015-05-01] (ThreatTrack Security) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBAMSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SBAMSvc => ""="Service" HKU\S-1-5-21-2941576775-2200966952-2559680528-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) BootExecute: autocheck autochk * sdnclean64.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2941576775-2200966952-2559680528-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-2941576775-2200966952-2559680528-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\KVRT_Data RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy RemoveDirectory: C:\Program Files (x86)\Temp RemoveDirectory: C:\ProgramData\Kaspersky Lab Setup Files RemoveDirectory: C:\ProgramData\Malwarebytes RemoveDirectory: C:\ProgramData\Malwarebytes Anti-Exploit RemoveDirectory: C:\ProgramData\Malwarebytes' Anti-Malware (portable) RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\ProgramData\STOPzilla! RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Users\Mama\Doctor Web RemoveDirectory: C:\Users\Mama\AppData\Roaming\Solvusoft C:\ProgramData\SPL8B3F.tmp C:\ProgramData\SPLC467.tmp C:\Windows\System32\roboot64.exe C:\Windows\System32\drivers\sbapifs.sys C:\Windows\System32\drivers\sbhips.sys C:\Windows\System32\drivers\sbwfw.sys C:\Windows\System32\drivers\sbwtis.sys C:\Windows\System32\Drivers\etc\hosts.*.backup C:\Windows\System32\Tasks\Safer-Networking Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

W systemie nie ma oznak infekcji tego typu - są tylko źle doczyszczone odpadki po instalacjach adware (w tym jeden z nich czynny) i to i tak trzeba doczyścić. Opis wskazuje, że jest na urządzeniu ta infekcja: KLIK. Tylko że zawartość pendrive jest tu nadal w ogóle nieznana: w USBFix widać, że był podpięty podczas skanu, tylko że USBFix w ogóle nie był w stanie pokazać jego zawartości, co może oznaczać że jest także inny problem z urządzeniem. Na razie więc nic nie będzie robione na urządzeniu, za pomocą FRST spróbuję sprawdzić co jest na urządzeniu. Działania wstępne: 1. Odinstaluj niepożdany program typu PUP FileViewPro oraz stare wersje Java 7 Update 25, Java 8 Update 51. 2. W skrypcie pobieram zawartość pendrive, zakładam że nadal jest podpięty i widziany pod literą F:. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.delta-homes.com/?type=hp&ts=1419595132&from=wpm12233&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.delta-homes.com/?type=hp&ts=1419595132&from=wpm12233&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1409176803&from=cor&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1409176803&from=cor&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=1419595132&from=wpm12233&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=1419595132&from=wpm12233&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1409176803&from=cor&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1409176803&from=cor&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS&q={searchTerms} HKU\S-1-5-21-4108647575-3795178296-1976620714-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1419595132&from=wpm12233&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS&q={searchTerms} HKU\S-1-5-21-4108647575-3795178296-1976620714-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.delta-homes.com/?type=hp&ts=1419595132&from=wpm12233&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS HKU\S-1-5-21-4108647575-3795178296-1976620714-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=1419595132&from=wpm12233&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS HKU\S-1-5-21-4108647575-3795178296-1976620714-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1419595132&from=wpm12233&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS&q={searchTerms} SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = hxxp://www.default-search.net/search?sid=476&aid=132&itype=a&ver=13337&tm=401&src=ds&p={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1431343554&from=zzgbkk123&uid=toshibaxmq01abf032_34tesjnfsxx34tesjnfs&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&q={searchTerms} SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1431343554&from=zzgbkk123&uid=toshibaxmq01abf032_34tesjnfsxx34tesjnfs&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&q={searchTerms} SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = hxxp://www.default-search.net/search?sid=476&aid=132&itype=a&ver=13337&tm=401&src=ds&p={searchTerms} SearchScopes: HKU\S-1-5-21-4108647575-3795178296-1976620714-1000 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1431343554&from=zzgbkk123&uid=toshibaxmq01abf032_34tesjnfsxx34tesjnfs&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&q={searchTerms} SearchScopes: HKU\S-1-5-21-4108647575-3795178296-1976620714-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1419595132&from=wpm12233&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS&q={searchTerms} SearchScopes: HKU\S-1-5-21-4108647575-3795178296-1976620714-1000 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1431343554&from=zzgbkk123&uid=toshibaxmq01abf032_34tesjnfsxx34tesjnfs&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&q={searchTerms} SearchScopes: HKU\S-1-5-21-4108647575-3795178296-1976620714-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = hxxp://www.default-search.net/search?sid=476&aid=132&itype=a&ver=13337&tm=401&src=ds&p={searchTerms} ShortcutWithArgument: C:\Users\BW\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1419595132&from=wpm12233&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS ShortcutWithArgument: C:\Users\BW\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1419595132&from=wpm12233&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS ShortcutWithArgument: C:\Users\BW\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1419595132&from=wpm12233&uid=TOSHIBAXMQ01ABF032_34TESJNFSXX34TESJNFS S3 AvastVBoxSvc; "C:\Program Files\AVAST Software\Avast\ng\vbox\AvastVBoxSVC.exe" [X] R1 F06DEFF2-5B9C-490D-910F-35D3A91196222; C:\Program Files (x86)\Settings Manager\systemk\x64\systemkmgrc2.cfg [41872 2014-07-09] (Aztec Media Inc) S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S2 VBoxAswDrv; \??\C:\Program Files\AVAST Software\Avast\ng\vbox\VBoxAswDrv.sys [X] IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku Task: {1517DF8C-B3D4-4925-A9C0-4CDC5B57A23C} - System32\Tasks\{0A0136E5-2FA1-44BD-91E0-FD1AC9D00320} => pcalua.exe -a "D:\Program Files (x86)\Photodex\ProShow Producer\remove.exe" Task: {41ACF69E-BAFD-4BF3-A982-BE5292E1B8EE} - System32\Tasks\{C053DAFC-B67B-416C-83FB-FE99DEBC5B3F} => pcalua.exe -a C:\Users\BW\Downloads\Winamp(12928).exe -d C:\Users\BW\Downloads Task: {71B0EB93-7610-439B-9738-A9AE7F951E90} - System32\Tasks\{CC008C0D-10DC-4BC3-9551-655EF0ECE1BC} => pcalua.exe -a "D:\Program Files (x86)\Mozilla Firefox\uninstall\helper.exe" Task: {89125BFD-9D90-48DD-807D-8FA20C52D35A} - System32\Tasks\{C211B08B-284D-4F4A-9C86-E98D0A7A9DF3} => pcalua.exe -a D:\decek\AutoCAD_2011_Polish_Win_64bit.exe -d D:\decek Task: {C0036342-5006-4E19-A61B-911A69F6403E} - System32\Tasks\{F4D4BF0E-5673-4823-BB61-496AB415D42B} => pcalua.exe -a D:\decek\AutoCAD.2011.PL.32bit\AutoCAD_2011_Polish_Win_32bit.exe -d D:\decek\AutoCAD.2011.PL.32bit Task: {E4729F00-5358-4EA3-85A8-C117A8E851BB} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Settings Manager C:\ProgramData\Mozilla C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free Easy Burner C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper C:\Users\BW\AppData\Local\Mozilla C:\Users\BW\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Free Easy Burner.lnk C:\Users\BW\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Genieo C:\Users\BW\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Free Easy CD DVD Burner.lnk C:\Users\BW\AppData\Roaming\Genieo C:\Users\BW\AppData\Roaming\Mozilla Folder: F:\ Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Temat oczyszczam ze zbędnych postów. System nie startuje, jedyna możliwość to dostarczenie raportu FRST spod RE. I przenoszę do działu Windows. Problem nie jest związany z infekcją. Błąd "LogonUI.exe Zły obraz" oznacza uszkodzony plik wymieniany na komunikacie. Plików może być więcej. 1. Na początek - są tu następujące punkty Przywracania systemu: ==================== Punkty Przywracania systemu ========================= Data punktu przywracania: 2015-10-19 22:54 Data punktu przywracania: 2015-10-19 22:55 Data punktu przywracania: 2015-10-21 02:41 Data punktu przywracania: 2015-10-23 10:06 Jeśli usterka pojawiła się później niż 19 października, wybierz ten punkt Przywracania systemu. 2. Jeśli powyższe nie pomoże, uruchom FRST i go zostaw otwartego. Chodzi tylko o to, by przemapował litery tymczasowo i był dostępny układ jak w logu: ==================== Dyski ================================ Drive c: () (Fixed) (Total:100 GB) (Free:61.12 GB) NTFS Drive y: (Zastrzeżone przez system) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[system z komponentami startowymi (pozyskano odczytując dysk)] W linii komend wpisz polecenie: sfc /scannow /offbootdir=Y:\ /offwindir=C:\windows 3. Przy braku rezultatów z powyższym, poproszę o zrobienie listy kopii pliku wymienianego na komunikacie. Czyli w uruchomionym FRST w polu Szukaj wklep LogonUI.exe, klik w Szukaj plików i dostarcz log wynikowy.

Inne liternictwo dysków spod RE jest normalne. Partycja "Zastrzeżene przez system" (z plikami startowymi) jest ukryta spod Windows, ale spod RE jest widoczna i wpływa na "przesunięcie" liternictwa dysku z Windows na dalszą pozycję. Dysk X to wirtualnie zmapowana zawartość płyty z której startujesz do RE. Wybierz dysk, który należy do systemu, i zrób log FRST spod RE.

Urządzeń nie ma, ale są usługi (i tymi zajmę się ręcznie). Raport z FRST nadal aktualny, bo chcę sprawdzić czy jest więcej usług odpadkowych po Paragonie.

1. Zastosuj DelFix, by dokasować używane narzędzia. 2. Dla pewności zrób jeszcze skan za pomocą Hitman Pro,. Nic jeszcze nie usuwaj tylko dostarcz raport wynikowy.

AdwCleaner nie będzie używany do usuwania. Ekwiwalenty akcji: 1. W Google Chrome: Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > upewnij się że Google jest ustawione jako domyślne i skasuj z listy istartsurf. 2. Otwórz Notatnik i wklej: DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKLM\SOFTWARE\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{7D3C47ED-E0BE-4940-9DDA-A7A097AEBD88} DeleteKey: HKLM\SOFTWARE\Wow6432Node\IHProtect DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\SupDp DeleteKey: HKLM\SOFTWARE\Wow6432Node\SupTab Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID /v {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\miuitab RemoveDirectory: C:\ProgramData\IHProtectUpDate RemoveDirectory: C:\Users\Dyrekcja\SupTab RemoveDirectory: C:\Users\Dyrekcja\AppData\Roaming\istartsurf Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Temat przenoszę do działu Windows. Żadnych oznak infekcji. Z tym że oglądam inne środowisko: Skany FRST pochodzą z konta Administrator (rozumiem że to na nie się przełączyłeś) a nie jey. I konto jey nie ma nawet wykrytej ścieżki na dysku, co sugeruje uszkodzenie konta: Ran by Administrator (administrator) on JJ (23-10-2015 21:00:32) Running from C:\Users\Administrator\Downloads Loaded Profiles: Administrator (Available Profiles: Administrator) ==================== Accounts: ============================= Administrator (S-1-5-21-784226291-4217386946-197506933-500 - Administrator - Enabled) => C:\Users\Administrator Guest (S-1-5-21-784226291-4217386946-197506933-501 - Limited - Enabled) jey (S-1-5-21-784226291-4217386946-197506933-1001 - Administrator - Enabled) Jeśli chodzi o problem łączenia z internetem, to prędzej podejrzane się wydają programy zabezpieczające, czyli tu AVG 2014, ZoneAlarm Firewall. Oba programy nie są też w najnowszych wersjach.

Nie ma potrzeby. Urządzenie zostało wyczyszczone. Niestety metoda z tworzeniem blokady autorun.inf nie pomoże, ta infekcja jej w ogóle nie stosuje. A system został prawdopodobnie zainfekowany z pendrive ręcznie, gdy uruchomiłeś skrót "Removable Drive (4GB)". Nie bez przyczyny infekcja tworzy go jako jedyny widoczny element na urządzeniu. Wszystko pomyślnie wykonane. Drobne poprawki na szczątki po odinstalowanych programach. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3341007479-885208892-836665845-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Szelma\AppData\Local\Akamai\netsession_win.exe" RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Java RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\ProgramData\Sun RemoveDirectory: C:\Qoobox RemoveDirectory: C:\USBFix CMD: del /q C:\Windows\system32\REN3B9D.tmp Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowy skan FRST nie jest mi już potrzebny.

Wszystko zrobione. Po adware został jeszcze aktywny sterownik (deinstalacja go nie zlikwidowała). Poprawki: 1. Otwórz Notatnik i wklej: R1 wfd_1_10_0_19; C:\Windows\System32\drivers\wfd_1_10_0_19.sys [57728 2015-06-16] (WN) Task: {6DC9F3F3-19E9-4271-B68A-53C4D70B3FD2} - System32\Tasks\AsusVibeSchedule => C:\Program Files (x86)\Asus\AsusVibe\AsusVibeLauncher.exe C:\AsusVibeData C:\Windows\System32\drivers\wfd_1_10_0_19.sys Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt. Przedstaw go. 2. Uruchom AdwCleaner. Wybierz Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Stosowałeś ComboFix i na te temat: KLIK. To nie jest zresztą dobry program do usuwania adware, zbyt mała specjalizacja. Widać działające aktywnie w tle adware PhraseFinder oraz wspominany Strong Signal. I prawdopodobnie pliki DLL Google Chrome są spatchowane, gdyż standardowo Chrome nie pozwala na instalację rozszerzeń spoza Chrome Web Store i Strong Signal nie byłby w stanie się zainstalować. Wymagana reinstalacja przeglądarki. Do przeprowadzenia następujące akcje: 1. Przez Panel sterowania odinstaluj odpadek po McAfee Shared C Run-time for x64. Akcje tyczące Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Na razie nie instaluj przeglądarki, gdyż skrypt w poniższym punkcie będzie doczyszczał obiekty Google. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 pfnfd_1_10_0_9; C:\Windows\System32\drivers\pfnfd_1_10_0_9.sys [58232 2015-02-06] (Phrase Finder) R2 pfsvc_1.10.0.9; C:\Program Files (x86)\PhraseFinder_1.10.0.9\Service\pfsvc.exe [278608 2015-02-06] (Phrase Finder) R2 Service Mgr StrongSignal; C:\ProgramData\0780f478-67ce-4ec3-98db-39a65f4618ce\PluginContainer.exe [1046248 2015-10-23] () R2 Update Mgr StrongSignal; C:\Program Files (x86)\Common Files\0780f478-67ce-4ec3-98db-39a65f4618ce\Updater.exe [610024 2015-10-23] () S2 0222531445617019mcinstcleanup; C:\Users\Asus\AppData\Local\Temp\022253~1.EXE -cleanup -nolog [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] Startup: C:\Users\Asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OptimizerPro.lnk [2015-02-19] Task: {418D5878-8964-4D48-9211-BEAE0F2F917B} - System32\Tasks\{84417E8E-55D4-44E2-8D6B-9F8AE9874331} => pcalua.exe -a F:\Directx\dxsetup.exe -d F:\ Task: {BE13F37B-33AA-448E-B38A-F760C9E9EE4A} - System32\Tasks\{9D6737C9-F8A5-4F4E-A555-009F430BA9F6} => pcalua.exe -a C:\Users\Asus\AppData\Roaming\key-find\UninstallManager.exe -c -ptid=cor HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-514674640-2726019291-375761090-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRghHcFoLBA0XQBgVdA8ITA1HGFAOIV0BUxQVE1AUdgEIWFpFQFYFIk0FA1ADB0VXfVBdFElXTwhwNEtXD14iSFJNIVU= HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.key-find.com/?type=hppp&ts=1424333049&from=cor&uid=WDCXWD7500BPVT-80HXZT3_WD-WXC1E32HZHP4HZHP4 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.key-find.com/web/?type=ds&ts=1424332972&from=cor&uid=WDCXWD7500BPVT-80HXZT3_WD-WXC1E32HZHP4HZHP4&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.key-find.com/?type=hppp&ts=1424333049&from=cor&uid=WDCXWD7500BPVT-80HXZT3_WD-WXC1E32HZHP4HZHP4 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.key-find.com/web/?type=ds&ts=1424332972&from=cor&uid=WDCXWD7500BPVT-80HXZT3_WD-WXC1E32HZHP4HZHP4&q={searchTerms} HKU\S-1-5-21-514674640-2726019291-375761090-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRghHcFoLBA0XQBgVdA8ITA1HGFAOIV0BUxQVE1AUdgEIWFpFQFYFIk0FA1ADB0VXfVBdFElXTwhwNEtXD14iSFJNIVU= HKU\S-1-5-21-514674640-2726019291-375761090-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-514674640-2726019291-375761090-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRghHcFoLBA0XQBgVdA8ITA1HGFAOIV0BUxQVE1AUdgEIWFpFQFYFIk0FA1ADB0VXfVBdFElXTwhwNEtXD14iSFJNIVU= SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfV0IAgoUFVNCbQ8MVwlcFQMaJRRZBQBDDFERJQ4OWQlIQgFCIx9aFQQTSEcFME0FCFwEURNNfWpME1YfRmZKJ1dZDQ==&q={searchTerms} SearchScopes: HKLM -> OldSearch URL = hxxp://www.bing.com/search?q={searchTerms}&form=ASUTDF&pc=NP06&src=IE-SearchBox SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfV0IAgoUFVNCbQ8MVwlcFQMaJRRZBQBDDFERJQ4OWQlIQgFCIx9aFQQTSEcFME0FCFwEURNNfWpME1YfRmZKJ1dZDQ==&q={searchTerms} SearchScopes: HKU\S-1-5-21-514674640-2726019291-375761090-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfV0IAgoUFVNCbQ8MVwlcFQMaJRRZBQBDDFERJQ4OWQlIQgFCIx9aFQQTSEcFME0FCFwEURNNfWpME1YfRmZKJ1dZDQ==&q={searchTerms} SearchScopes: HKU\S-1-5-21-514674640-2726019291-375761090-1001 -> OldSearch URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1437070648&z=6ec77a89b693ccee4f3e979g1z0c1mfe4mde9q2zcq&from=wpm07163&uid=WDCXWD7500BPVT-80HXZT3_WD-WXC1E32HZHP4HZHP4&q={searchTerms} SearchScopes: HKU\S-1-5-21-514674640-2726019291-375761090-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfV0IAgoUFVNCbQ8MVwlcFQMaJRRZBQBDDFERJQ4OWQlIQgFCIx9aFQQTSEcFME0FCFwEURNNfWpME1YfRmZKJ1dZDQ==&q={searchTerms} SearchScopes: HKU\S-1-5-21-514674640-2726019291-375761090-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-514674640-2726019291-375761090-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfV0IAgoUFVNCbQ8MVwlcFQMaJRRZBQBDDFERJQ4OWQlIQgFCIx9aFQQTSEcFME0FCFwEURNNfWpME1YfRmZKJ1dZDQ==&q={searchTerms} SearchScopes: HKU\S-1-5-21-514674640-2726019291-375761090-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} C:\Program Files\McAfee C:\Program Files\Common Files\mcafee C:\Program Files (x86)\Google C:\Program Files (x86)\McAfee C:\Program Files (x86)\PhraseFinder_1.10.0.9 C:\Program Files (x86)\PRoSHoopPer C:\Program Files (x86)\RoyaolSShopiperAppo C:\Program Files (x86)\SumaartCompare C:\Program Files (x86)\tperfeecTTccouupon C:\Program Files (x86)\Common Files\0780f478-67ce-4ec3-98db-39a65f4618ce C:\ProgramData\{c1d8519b-f3c9-8446-c1d8-8519bf3c466f} C:\ProgramData\0780f478-67ce-4ec3-98db-39a65f4618ce C:\ProgramData\McAfee C:\ProgramData\Microsoft\Windows\GameExplorer\{D9C978D5-DD3F-4E03-AE4F-5A86CFAF70FA} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin C:\Users\Asus\AppData\Local\Google C:\Users\Asus\AppData\Local\Opera Software C:\Users\Asus\AppData\Roaming\appdataFr25.bin C:\Users\Asus\AppData\Roaming\appdataFr3.bin C:\Users\Asus\AppData\Roaming\Opera Software C:\Users\Public\Desktop\ASUS\Entertainment\LifeFrame.lnk C:\Users\Public\Desktop\ASUS\Word processor\Adobe Reader X.lnk C:\Users\Public\Desktop\ASUS\System tool\Splendid Utility.Lnk C:\Windows\system32\Drivers\asw*.tmp C:\Windows\System32\Tasks\SidebarExecute CMD: for /d %f in (C:\Users\Asus\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{3acecae8} /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&form=ASUTDF&pc=NP06&src=IE-SearchBox" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też plik fixlog.txt.

W systemie grasuje adware Wordinator. Następujące akcje do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware istartsurf uninstall, Wordinator 1.10.0.19 oraz ASUSowe zbędniki ASUS WebStorage Sync Agent, AsusVibe2.0. - Klawisz z flagą Windows + X > Połączenia sieciowe > z prawokliku na każde obecne pobierz Właściwości > w karcie Sieć upewnij się że nie ma filtra Arcabit > jeśli jest, podświetl i odinstaluj. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hp&ts=1435662415&z=42d6f9b3e881ea9a1b1d3dagbz2c3w5qbq6o9zee3w&from=cor&uid=ST500LT012-1DG142_S3P2GY52XXXXS3P2GY52 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1435662415&z=42d6f9b3e881ea9a1b1d3dagbz2c3w5qbq6o9zee3w&from=cor&uid=ST500LT012-1DG142_S3P2GY52XXXXS3P2GY52&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1435662415&z=42d6f9b3e881ea9a1b1d3dagbz2c3w5qbq6o9zee3w&from=cor&uid=ST500LT012-1DG142_S3P2GY52XXXXS3P2GY52 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1435662415&z=42d6f9b3e881ea9a1b1d3dagbz2c3w5qbq6o9zee3w&from=cor&uid=ST500LT012-1DG142_S3P2GY52XXXXS3P2GY52&q={searchTerms} HKU\S-1-5-21-777405041-3333386566-970987827-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1435662415&z=42d6f9b3e881ea9a1b1d3dagbz2c3w5qbq6o9zee3w&from=cor&uid=ST500LT012-1DG142_S3P2GY52XXXXS3P2GY52 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1435662415&z=42d6f9b3e881ea9a1b1d3dagbz2c3w5qbq6o9zee3w&from=cor&uid=ST500LT012-1DG142_S3P2GY52XXXXS3P2GY52&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1435662415&z=42d6f9b3e881ea9a1b1d3dagbz2c3w5qbq6o9zee3w&from=cor&uid=ST500LT012-1DG142_S3P2GY52XXXXS3P2GY52&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1435662415&z=42d6f9b3e881ea9a1b1d3dagbz2c3w5qbq6o9zee3w&from=cor&uid=ST500LT012-1DG142_S3P2GY52XXXXS3P2GY52&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1435662415&z=42d6f9b3e881ea9a1b1d3dagbz2c3w5qbq6o9zee3w&from=cor&uid=ST500LT012-1DG142_S3P2GY52XXXXS3P2GY52&q={searchTerms} SearchScopes: HKU\S-1-5-21-777405041-3333386566-970987827-1002 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST500LT012-1DG142_S3P2GY52XXXXS3P2GY52&ts=1435662454&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-777405041-3333386566-970987827-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST500LT012-1DG142_S3P2GY52XXXXS3P2GY52&ts=1435662454&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-777405041-3333386566-970987827-1002 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST500LT012-1DG142_S3P2GY52XXXXS3P2GY52&ts=1435662454&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-777405041-3333386566-970987827-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST500LT012-1DG142_S3P2GY52XXXXS3P2GY52&ts=1435662454&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-777405041-3333386566-970987827-1002 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST500LT012-1DG142_S3P2GY52XXXXS3P2GY52&ts=1435662454&type=default&q={searchTerms} FF HKLM-x32\...\Firefox\Extensions: [quickprint@hp.com] - C:\Program Files (x86)\Hewlett-Packard\SmartPrint\QPExtension HKLM\...\Run: [HotKeysCmds] => "C:\WINDOWS\system32\hkcmd.exe" HKLM\...\Run: [Persistence] => "C:\WINDOWS\system32\igfxpers.exe" HKLM-x32\...\Run: [] => [X] HKLM\...\Policies\Explorer\Run: [btvStack] => C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-777405041-3333386566-970987827-1002\...\Run: [OFFICYNAMM_UPDATE] => C:\Users\Dyrekcja\AppData\Roaming\oficynamm\start.exe /exe oficynaup.exe HKU\S-1-5-21-777405041-3333386566-970987827-1002\...\Run: [KALG] => C:\Users\Dyrekcja\AppData\Roaming\oficynamm\start.exe /exe minical.exe Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\$McRebootA5E6DEAA56$.lnk [2015-02-11] R1 arcawfp; C:\Windows\System32\drivers\arcawfp.sys [60104 2015-07-06] (NetFilterSDK.com) C:\Windows\System32\drivers\arcawfp.sys Task: {22778577-6FB7-4E3B-B88B-EA6CADFFA47B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {2ACA6ADB-538F-45D7-8A16-1545E6B10C99} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {593AD690-96CC-4523-AE17-2F6905EE89EC} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {5E73CCB7-2FE0-4EE5-AC73-CEA63FF8C31C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {806C1AA3-2EBE-4002-9789-9FB1691920B0} - System32\Tasks\ASUS InstantOn Config => C:\Program Files\ASUS\P4G\InsOnCfg.exe Task: {98FE147B-7CC4-4A53-8247-49953600DDE2} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\BrowserChoice\browserchoice.exe Task: {BCA70ED2-E34C-48EE-A6B9-3177E28962BF} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Setup\gwx DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Setup\GWXTriggers Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v KALG /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v OFFICYNAMM_UPDATE /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "C:\Windows\system32\nvinitx.dll" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też plik fixlog.txt.