picasso

DelFix jest używany na wszelki wypadek, gdyby użytkownik wcześniej stosował określony program i pozostały po nim mniej oczywiste wpisy (np. w rejestrze). Nie przedstawiłeś raportu DelFix, by było wiadomo czy rzeczywiście skasował tylko to co widziałeś. Skoro nie wiadomo jakie było źródło malware, nie wiadomo co zawierał skrypt, to lepiej podjąć akcje prewencyjne nawet na wyrost / niepotrzebnie, by nie mieć niespodzianki z jakimś wyciekiem danych. W temacie innego użytkownika pojawiła się informacja, że prawdopodobnie chodzi o torrent Universe Sandbox 2. Czy miałeś styczność z tą paczką, czy może z czymś innym?

To jest stary Fixlog z drugiego usuwania (post #8). Czy w ogóle wykonałeś ostatnie usuwanie w FRST (post #10)?

Sprawa pendrive rozwiązana. 1. Na tym systemie skasuj pobrany GMER, odinstaluj USBFix oraz zastosuj DelFix. 2. Prosiłam o dostarczenie logów FRST + GMER z systemu XP.

Fix FRST pomyślnie wykonany. Hitman wyszukał więcej szczątków adware, trochę ciasteczek i kilka innych "podejrzanych" rzeczy. Wyniki kierujące na katalog PunkBuster wyglądają na fałszywy alarm, a detekcja pliku FRST jest na 100% fałszywym alarmem. Kończymy: 1. W programie Hitman usuń wszystko, z wyjątkiem wspominanych wyników kierujących na katalog PunkBuster. 2. Zastosuj narzędzie DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. I musisz zadbać o zwolnienie większej ilości miejsca, bo jest drastycznie mało i system może "mulić" oraz zawieszać się: Drive c: (Nowy) (Fixed) (Total:146.48 GB) (Free:2.71 GB) NTFS ==>[dysk z komponentami startowymi (pozyskano z BCD)]

Tak, USBFix nie jest zdolny odczytać urządzenia. Sugerowałeś telefon jako źródło infekcji, ale jednak nie sądzę, by to on był źródłem. Koncepcja z torrentem zdaje się być trafniejsza. Wszystko zostało usunięte, kwarantannę Avast możesz po prostu opróżnić. Kończymy temat: 1. Napraw drobny błąd WMI z Dziennika zdarzeń stosując narzędzie Fix-it: KLIK. 2. Zastosuj DelFix (ale GMER trzeba dokasować ręcznie) oraz wyczyść foldery Przywracania systemu: KLIK. 3. W związku z tym, że nie wiadomo czym parało się malware, sugeruję zmienić hasła w ważnych serwisach (bank, poczta, serwisy społecznościowe).

Ostatni fix FRST został uruchomiony dwa razy, zamiast jednego podejścia, stąd wszystko "nie znaleziono". Prawie już kończymy: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\User\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\User\Desktop\Gmer.* CMD: del /q C:\Users\User\Downloads\b6wj0oll.exe CMD: del /q C:\Users\User\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Na wszelki wypadek przeprowadź skanowanie za pomocą Hitman Pro. Nic jeszcze nie usuwaj, tylko zaprezentuj wyniki.

Ogądany tu system nie jest zainfekowany. Pendrive musiał być podpinany do innego zainfekowanego systemu. Dane zostały ukryte przez infekcję za pomocą atrybutów "HS" = "ukryty systemowy". Różnica w widoczności zawartości pendrive spod dwóch systemów wynika zapewne z nietożsamej konfiguracji na tych systemach: Opcje folderów > Widok > Pokaż ukryte pliki i foldery (ma być zaznaczone) + Ukryj chronione pliki systemu operacyjnego (ma być odznaczone). Operacja leczenia sprowadza się więc tu do odkrycia danych na pendrive. Akcja: 1. Zakładam, że pendrive jest nadal podpięty i widoczny pod literą F. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: attrib /d /s -s -h F:\* Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f S3 gdrv; \??\C:\Windows\gdrv.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Drobnostka w Google Chrome. Zresetuj cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log USBFix z opcji Listing. Dołącz też plik fixlog.txt. Skan FRST z tego systemu nie jest mi już potrzebny, ale na wszelki wypadek dodaj logi z systemu XP.

Efekty reklamowe powinny ustąpić. Teraz będziemy cyzelować. Następna porcja zadań: 1. Nie odinstalowałeś starej dziurawej wersji Java 7 Update 51 - czy to dlatego, że Minecraft by Zyczu jej używa? Przy okazji sprawdź czy na pewno wszystkie gry widoczne jako "zainstalowane" są sprawne. Było dużo pustych skrótów od gier, które już usunęłam. 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3615056651-1230219370-3880529227-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\User\AppData\Local\Akamai\netsession_win.exe" FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] FF Plugin-x32: @richmediaplayer.com/nppluginrichmediaplayer -> C:\Program Files (x86)\Mozilla Firefox\plugins\nppluginrichmediaplayer.dll [brak pliku] Reg: reg delete HKLM\SOFTWARE\Google /f C:\Program Files\004 C:\Program Files (x86)\eef728a2-ecac-4e4a-8968-bcfde9bc0b6e C:\Program Files (x86)\Elaborate Bytes C:\Program Files (x86)\QuickTime C:\Program Files (x86)\Pando Networks C:\Program Files (x86)\Temp C:\ProgramData\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F} C:\ProgramData\Datamngr C:\ProgramData\InstallMate C:\ProgramData\Logs C:\ProgramData\Orbit C:\ProgramData\Supersoftware App C:\ProgramData\TEMP C:\ProgramData\TuneUp Software C:\Users\User\AppData\Local\proxy.log C:\Users\User\AppData\Local\4A Games C:\Users\User\AppData\Local\CEF C:\Users\User\AppData\Local\Chromium C:\Users\User\AppData\Local\CrashRpt C:\Users\User\AppData\Local\CRE C:\Users\User\AppData\Local\CSO C:\Users\User\AppData\Local\koyotesoftmoviestoolbarha C:\Users\User\AppData\Local\Opera Software C:\Users\User\AppData\Local\Radiocom C:\Users\User\AppData\Local\SniperV2 C:\Users\User\AppData\Local\The Witcher 2 C:\Users\User\AppData\LocalLow\CanvasProc C:\Users\User\AppData\LocalLow\Heroes and Generals C:\Users\User\AppData\LocalLow\koyotesoftmoviestoolbarha C:\Users\User\AppData\LocalLow\Protect C:\Users\User\AppData\LocalLow\splitscreen C:\Users\User\AppData\Roaming\0F1F1C2Y1H1P1C0I0T C:\Users\User\AppData\Roaming\Audacity C:\Users\User\AppData\Roaming\Radiocom C:\Users\User\AppData\Roaming\TuneUp Software C:\Users\User\AppData\Roaming\uTorrent C:\Users\User\AppData\Roaming\Wargaming.net Folder: C:\Windows\SysWOW64\GroupPolicy Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny plik fixlog.txt. Przedstaw go. 3. Widzę, że był uruchamiany AdwCleaner. Dostarcz logi z folderu C:\AdwCleaner.

W systemie jest trochę odpadków po uprzednio niepoprawnie odinstalowanych aplikacjach adware. Firefox zaś jest obecnie zainfekowany dwoma typami adware. Akcje do przeprowadzenia: 1. Przez Panel sterowania odinstaluj: - Adware/PUP: Ask Toolbar, FindWide.com, Instant Savings App, Rich Media Player - Stare wersje i zbędniki: Adobe Reader XI (11.0.12) - Polish, Akamai NetSession Interface, Badanie mające na celu poprawę produktów HP Deskjet 1510 series, Java 7 Update 51. Jeśli czegoś nie będzie widać lub nie będzie się dało odinstalować, kontynuuj dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia FF Session Restore: -> - funkcja włączona. FF Plugin: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelogx64.dll [brak pliku] FF Plugin-x32: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelog.dll [brak pliku] FF Plugin HKU\S-1-5-21-3615056651-1230219370-3880529227-1000: @tnt2ghost.com/Plugin -> C:\Users\User\AppData\Local\TNT2\2.0.0.1702\npTNT2ghost.dll Brak pliku FF Plugin HKU\S-1-5-21-3615056651-1230219370-3880529227-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll Brak pliku FF HKLM-x32\...\Firefox\Extensions: [{3DF4B26D-DB19-45DF-962A-6719D071245B}] - C:\Users\User\AppData\Local\Rich Media Player\BrowserExtensions\Firefox\{3DF4B26D-DB19-45DF-962A-6719D071245B} => nie znaleziono HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140815 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3615056651-1230219370-3880529227-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-3615056651-1230219370-3880529227-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKU\S-1-5-21-3615056651-1230219370-3880529227-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3615056651-1230219370-3880529227-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3615056651-1230219370-3880529227-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3615056651-1230219370-3880529227-1000 -> {7816E55A-7441-47E3-B23F-ACD83F2CBFA0} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=10809 SearchScopes: HKU\S-1-5-21-3615056651-1230219370-3880529227-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} Toolbar: HKLM - Brak nazwy - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKU\S-1-5-21-3615056651-1230219370-3880529227-1000 -> Brak nazwy - {5C1D9348-90F2-4664-9264-71BCC1D36ECC} - Brak pliku ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku CustomCLSID: HKU\S-1-5-21-3615056651-1230219370-3880529227-1000_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\User\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay => Brak pliku Task: {05F131C4-BD4B-477A-9E74-71EEA9352506} - System32\Tasks\{309AF848-96CF-4072-8837-64299466F41C} => pcalua.exe -a "D:\Program Files (x86)\Uninstaller.exe" -d "D:\Program Files (x86)" Task: {0FC1EC10-D32A-4F82-A696-F893D9B50B20} - System32\Tasks\{B0FB388C-72E7-4D27-8046-5B4F488FAF4B} => Chrome.exe http://ui.skype.com/ui/0/6.18.0.105/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {32625A6D-E125-4742-8560-9A82AF1BE2BF} - System32\Tasks\{6589C010-B69B-4904-817C-4058F9063959} => Chrome.exe http://ui.skype.com/ui/0/6.14.0.104/pl/abandoninstall?page=tsProgressBar= Task: {598F8AAD-79D1-417B-BB56-1C285B28B19A} - System32\Tasks\{EE444E1C-F7B7-400F-ABBF-5B28098719A1} => Chrome.exe http://ui.skype.com/ui/0/6.21.60.104/pl/abandoninstall?page=tsMain Task: {5C646611-6A50-413A-8F9A-11037BCF46A1} - System32\Tasks\Opera scheduled Autoupdate 1440176387 => C:\Program Files (x86)\Opera\launcher.exe Task: {BE9C3A56-8AF1-44BB-8DBE-55D8BC241C51} - System32\Tasks\{E3B3DF5D-7A93-4CCE-A4CF-8F187B9B1FD5} => pcalua.exe -a E:\BlackOutSaigon_Setup.exe -d E:\ Task: {EF3D21F6-EAF3-47BC-B3BE-F1E4FA096A5D} - System32\Tasks\{6B4FC012-53A5-456B-8697-8CA61650EC3B} => pcalua.exe -a C:\Users\User\Downloads\steering.exe -d C:\Users\User\Downloads IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe HKLM-x32\...\Run: [] => [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 X6va013; \??\C:\Windows\SysWOW64\Drivers\X6va013 [X] S3 X6va014; \??\C:\Windows\SysWOW64\Drivers\X6va014 [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox\cfg C:\Program Files (x86)\Mozilla Firefox\browser\defaults C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\Microsoft\Windows\GameExplorer\{BBFD4729-4D5A-4634-AF95-BFD979C2AFF6} C:\ProgramData\Microsoft\Windows\GameExplorer\{DB00C6ED-9096-45A7-BDAF-970D726B61FB} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crossfire Europe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Euro Truck Simulator 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gameforge Live C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MaxPayne3 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Metin2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rebellion C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reality Pump\Two Worlds\Two Worlds - Instrukcja (PDF).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TANK Ranger_NA C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Z8Games C:\Users\Public\Desktop\Diablo III.lnk C:\Users\Public\Desktop\Gameforge Live.lnk C:\Users\Public\Desktop\Opera.lnk C:\Users\User\AppData\Local\{*} C:\Users\User\AppData\Local\PMB Filer* C:\Users\User\AppData\Local\proxy.log C:\Users\User\AppData\Local\Google C:\Users\User\AppData\Local\Microsoft\Windows\GameExplorer\{51A0839E-889A-4159-B2EB-49D1B00F8CDD} C:\Users\User\AppData\Local\Microsoft\Windows\GameExplorer\{59B711E4-9C12-4566-91AF-4133038ED630} C:\Users\User\AppData\Local\Microsoft\Windows\GameExplorer\{CA5850AD-5810-4B67-AB5B-64ECFCF3A0E1} C:\Users\User\AppData\Local\Microsoft\Windows\GameExplorer\{F0B605E4-0DB2-4328-8592-C297B1A97814} C:\Users\User\AppData\LocalLow\{6EB4A4C0-6036-4D2E-B010-20707C4B62E8} C:\Users\User\AppData\Roaming\Opera Software C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\b15f30ab853b7d31\Diablo III.lnk C:\Users\User\Desktop\Continue Rich Media Player Installation.lnk C:\Users\User\Desktop\visit www.nosteam.ro.lnk C:\Users\User\Desktop\zdjecia taty\348 — skrót.lnk C:\Users\User\Desktop\TH\Play The Forest.lnk C:\Users\User\Desktop\Pulpit\Euro Truck Simulator 2.lnk C:\Users\User\Desktop\Pulpit\Google Chrome.lnk C:\Users\User\Desktop\Pulpit\Merc Elite.lnk C:\Users\User\Desktop\Pulpit\Uruchom Wiedźmin 2.lnk C:\Users\User\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\Users\User\Downloads\*.exe.part C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Folder: C:\Users\User\AppData\Local\CSO Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Pando Media Booster" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\uTorrent" /f CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\User\AppData\Local CMD: dir /a C:\Users\User\AppData\LocalLow CMD: dir /a C:\Users\User\AppData\Roaming Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. Menu Historia > Wyczyść historię przeglądania 4. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. 5. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Proszę dostosuj się do zasad działu: KLIK. Logi z przestarzałego OTL w ogóle nie są tu już brane pod uwagę.

Brakuje pliku fixlog.txt z wynikami usuwania FRST.

Wszystko co miało został usunięte, zostało. W skrypcie zadałam pobór zawartości "wlanconnect.txt" (uprzednio wlanconnect.vbs), by sprawdzić co skrypt miał zaplanowane, ale FRST pliku nie znalazł. Najwyraźniej usunąłeś go przed użyciem skryptu FRST. Żaden antywirus nie ma 100% skuteczności, są obiekty które mogą zostać nie wykryte. Z tego co rozumiem z opisu, Avast wykrywał skutki działania skryptu (te dodatkowe pliki), a nie sam skrypt. Nie wiadomo skąd to coś u Ciebie w systemie. Jeśli chodzi o telefon, to podepnij go pod system, nie wchodź na niego i zrób log USBFix z opcji Listing.

Brakuje pliku Fixlog.txt z wynikami usuwania. Dołącz. Nie uruchamiaj skryptu ponownie - ten plik już jest w folderze skąd uruchamiano FRST. GMER był robiony w złych warunkach, nie zrealizowane ogłoszenie: KLIK. Zainstalowany DAEMON Tools Lite i czynny powiązany sterownik SPTD od emulacji napędów wirtualnych: R0 sptd; C:\windows\System32\Drivers\sptd.sys [466008 2013-10-17] (Duplex Secure Ltd.) U3 afs14yhz; C:\windows\system32\Drivers\afs14yhz.sys [0 ] (Intel Corporation) Aktywność emulacji powoduje rozmaite odczyty rootkit-podobne. Wszystko wygląda tak jak ma to wyglądać. Rozszerzenia Chrome używają identyfikatorów ID (ciąg losowo dobranych liter alfabetu). Identyfikator jest stały dla danego rozszerzenia (o ile nie jest to malware używające losowych). ID występuje w Chrome Web Store w adresach pobierania, np. dla Avast: hxxps://chrome.google.com/webstore/detail/avast-online-security/gomekmidlodglbbmalcneegieacbdmki?hl=pl Był w pierwszym logu, w drugim już nie. W skrypcie usuwałam powiązany wpis rejestru, co mogło odpalić całkowite automatyczne usunięcie rozszerzenia.

Wszystko przetworzone zgodnie z planem. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: Reg: reg add HKLM\SOFTWARE\Classes\Unknown\shell\openas\command /ve /t REG_EXPAND_SZ /d "%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" /f Reg: reg delete "HKU\S-1-5-21-842140158-2366408920-2547723377-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "C:\Program Files (x86)\Tencent\unins000.exe" /f Reg: reg delete "HKU\S-1-5-21-842140158-2366408920-2547723377-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe" /f Reg: reg query HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{365ADADE-814B-400C-877C-95E9F684BBEB} /s DeleteKey: HKLM\SOFTWARE\Classes\.apk DeleteKey: HKLM\SOFTWARE\Classes\.qbox DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{754DF2CE-51E8-4895-B53C-6381418B84AE} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{D4801E96-E7A1-45F6-B124-7A36DFB40B81} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{E52EB753-1F56-4DF7-BE53-2C314AC5F8A1} DeleteKey: HKLM\SOFTWARE\Classes\PCMgrRepairIEExtensions DeleteKey: HKLM\SOFTWARE\Classes\qmbfile DeleteKey: HKLM\SOFTWARE\Classes\qmgcfiles DeleteKey: HKLM\SOFTWARE\Classes\qpakfile DeleteKey: HKLM\SOFTWARE\Classes\qqapp DeleteKey: HKLM\SOFTWARE\Classes\QQPCMgr.qbox DeleteKey: HKLM\SOFTWARE\Classes\qqpro DeleteKey: HKLM\SOFTWARE\Classes\TencentAndroidAssistant DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{35627C7C-DB28-4772-9A6F-7607FFCBF9FF} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{445E3964-15B0-472A-95F4-6242DD2EA066} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{573F9869-D92C-4B7E-A9C3-F042278D5078} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{6E1533F0-E0B5-465A-9F16-98FF0C76D493} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{8519F1E4-E25B-42B1-B361-0C643F45CF11} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{C049F583-D724-4BAB-8F47-F13BCA41B808} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{29B6CFD5-0064-411A-8C42-9890C83F9921} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{63332668-8CE1-445D-A5EE-25929176714E} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{754DF2CE-51E8-4895-B53C-6381418B84AE} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{E52EB753-1F56-4DF7-BE53-2C314AC5F8A1} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{35627C7C-DB28-4772-9A6F-7607FFCBF9FF} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{573F9869-D92C-4B7E-A9C3-F042278D5078} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{6E1533F0-E0B5-465A-9F16-98FF0C76D493} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{8519F1E4-E25B-42B1-B361-0C643F45CF11} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{C049F583-D724-4BAB-8F47-F13BCA41B808} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\NativeMessagingHosts\com.qq.qmchext DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{365ADADE-814B-400C-877C-95E9F684BBEB} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Tencent DeleteKey: HKLM\SYSTEM\WifiSafeCfg DeleteKey: HKU\S-1-5-18\Software\Tencent DeleteKey: HKU\S-1-5-21-842140158-2366408920-2547723377-1000\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Tencent DeleteKey: HKU\S-1-5-21-842140158-2366408920-2547723377-1000\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{639B74F1-0594-432C-97C8-68C8C17A1E1D} DeleteKey: HKU\S-1-5-21-842140158-2366408920-2547723377-1000\Software\Tencent DeleteKey: HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_QMUDISK DeleteKey: HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TAOKERNELDRIVER RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Damian\AppData\Local\Game Updater RemoveDirectory: C:\Users\Damian\AppData\Local\Setup Integrity Check RemoveDirectory: C:\Users\Damian\Downloads\FRST-OlderVersion CMD: del /q C:\Users\Damian\Downloads\vm9u0ow8.exe CMD: netsh advfirewall reset Plik zapisz pod nazwą fixlist.txt (tym razem już nie w UTF-8) i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Skanuj (nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Owszem, ślady wskazują, że w systemie była infekcja. W Starcie pozostał skrót próbujący uruchamiać już skasowany skrypt VBS: Startup: C:\Users\Julia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wlanconnect.lnk [2015-10-02] ShortcutTarget: wlanconnect.lnk -> C:\Users\Julia\AppData\Roaming\wlanconnect.vbs (No File) Doczyść te szczątki i inne puste wpisy: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Julia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wlanconnect.lnk [2015-10-02] HKLM\...\Run: [] => [X] ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => No File Toolbar: HKU\S-1-5-21-3482297185-812369919-341804188-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Task: {0669CAE3-8D62-4774-B302-84C58336CA56} - System32\Tasks\{86945756-3D09-4802-87F2-A47D3F85E65B} => pcalua.exe -a C:\Windows\System32\TVWSetup.exe -d C:\Windows\System32 Task: {17AC3F7F-8C29-4B0D-9C60-C7E836F5D088} - System32\Tasks\{FF2891D5-3E53-4F84-9530-7EFF906A430D} => pcalua.exe -a "C:\Users\Julia\Desktop\cień czarnobyla\Stalker\setup.exe" -d "C:\Users\Julia\Desktop\cień czarnobyla\Stalker" Task: {1C766A04-0982-4DA4-8613-57B58556FBD8} - System32\Tasks\C__Users_Julia_AppData_Local_Temp_nsvD015.tmp_fliptoast.app.13295.fliptoast-9e1f6ff0.exe => C:\Users\Julia\AppData\Local\Temp\nsvD015.tmp\fliptoast.app.13295.fliptoast-9e1f6ff0.exe Task: {6238AB7C-8B2B-4CA1-8AE6-3430113B4BAA} - System32\Tasks\{45F4C0D4-9E6A-450B-8471-227DC8E9A268} => pcalua.exe -a "C:\Program Files\AVAST Software\Avast\aswRunDll.exe" -c "C:\Program Files\AVAST Software\Avast\Setup\setiface.dll" RunSetup Task: {AAC1A1D3-BEB0-48BB-A6DD-08C5ED31E683} - System32\Tasks\C__Users_Julia_AppData_Local_Temp_nst8FBB.tmp_fliptoast.app.13295.fliptoast-9e1f6ff0.exe => C:\Users\Julia\AppData\Local\Temp\nst8FBB.tmp\fliptoast.app.13295.fliptoast-9e1f6ff0.exe Task: {BC6050EF-6F58-42F0-BAA6-5EE768D9444F} - System32\Tasks\{AF0A5B6C-63DE-4487-9C6F-5A73A4525A62} => pcalua.exe -a "C:\Games BF\Battlefield 3™\Core\EAProxyInstaller.exe" -d "C:\Games BF\Battlefield 3™\Core" Task: C:\windows\Tasks\C__Users_Julia_AppData_Local_Temp_nst8FBB.tmp_fliptoast.app.13295.fliptoast-9e1f6ff0.exe.job => C:\Users\Julia\AppData\Local\Temp\nst8FBB.tmp\fliptoast.app.13295.fliptoast-9e1f6ff0.exe Task: C:\windows\Tasks\C__Users_Julia_AppData_Local_Temp_nsvD015.tmp_fliptoast.app.13295.fliptoast-9e1f6ff0.exe.job => C:\Users\Julia\AppData\Local\Temp\nsvD015.tmp\fliptoast.app.13295.fliptoast-9e1f6ff0.exe S3 andnetadb; System32\Drivers\lgandnetadb.sys [X] S3 AndNetDiag; system32\DRIVERS\lgandnetdiag.sys [X] S3 ANDNetModem; system32\DRIVERS\lgandnetmodem.sys [X] S3 andnetndis; system32\DRIVERS\lgandnetndis.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files\IObit\Game Booster 3\Driver\WinRing0.sys [X] CMD: type C:\Users\Julia\AppData\Roaming\wlanconnect.txt C:\Program Files\ESET C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\INTERIA.PL C:\Users\Julia\AppData\Local\ESET C:\Users\Julia\AppData\Local\Microsoft\Windows\GameExplorer\{d58eecb0-0816-11de-8c30-0800200c9a66} C:\Users\Julia\AppData\Local\Microsoft\Windows\GameExplorer\{c3c636e0-1b04-11de-8c30-0800200c9a66} C:\Users\Julia\AppData\Local\Microsoft\Windows\GameExplorer\{3eda1e54-8889-41f5-a649-5a306789b7ef} C:\Users\Julia\AppData\Local\Microsoft\Windows\GameExplorer\{26352374-af55-4b53-b07b-6b0288ed97df} C:\Users\Julia\AppData\Roaming\*.* C:\Users\Julia\AppData\Roaming\Microsoft\Excel\SO_tematy304135693020343955\SO_tematy.xls.lnk Reg: reg delete HKLM\SOFTWARE\Google\Chrome\Extensions\eofcbnmajmjmplflapaojjnihcjkigck /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Anti-phishing Domain Advisor" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Drobne sprawy w Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj sponsoringowy Avast SafePrice Zresetuj cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

W raportach widać szkodliwe zadania w Harmonogramie ("IT Viewer Uninstaller" + "Security Cleaner"), Privoxy którym posługuje się malware oraz ustawione przez niego proxy. Bezpośrednio przed pojawieniem się obiektów malware na dysku był pobierany poniższy plik - czy przypadkiem w środku nie było jakiegoś pliku EXE? C:\Users\magda1\Downloads\Muse discography 1999 2012 320 kbps (1).zip Wstępnie do przeprowadzenia następujące akcje: 1. Odinstaluj starszą wersję Adobe Reader XI (11.0.12) - Polish oraz problematyczny ASUS WebStorage Sync Agent (znany z tworzenia błędów explorer.exe). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 PrivoxyService; C:\Program Files (x86)\IT Viewer\privoxy.exe [371200 2015-10-09] (The Privoxy team - www.privoxy.org) [File not signed] U4 AvastVBoxSvc; "C:\Program Files\AVAST Software\Avast\ng\vbox\AvastVBoxSVC.exe" [X] U4 VBoxAswDrv; \??\C:\Program Files\AVAST Software\Avast\ng\vbox\VBoxAswDrv.sys [X] Task: {1440A01B-844E-4A65-9BAC-3399EFAA808C} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File Task: {1D848E9D-A42E-444E-A468-E36AE665CE99} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File Task: {3A577F41-7EEC-4B64-8C7B-0D2045D70D76} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File Task: {3F3A6BC1-69CE-4CA8-AE08-7A9CE592BAEA} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File Task: {565EFB66-DEEE-4FD5-800A-D1605F0A72BE} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File Task: {57537E90-C12F-44C3-A0A8-F9D64B2EA3AB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File Task: {5A1EB5FC-D5F3-4239-8F5F-9187D325E812} - System32\Tasks\Security Cleaner => C:\Users\magda1\AppData\Roaming\Security Cleaner\Security Cleaner.exe [2015-10-09] () Task: {5EDD9277-79D9-46D3-80EE-0F3459860F03} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File Task: {69F3888F-5D45-4845-A54F-A093E77BF4DE} - System32\Tasks\IT Viewer Uninstaller => C:\Program Files (x86)\IT Viewer\astask.exe [2015-10-09] (West CH Soft) Task: {A20834AB-E3D4-43E6-A437-EE444A7843A2} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File Task: {A489DAEA-2740-4F36-B1B1-13644CC82176} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File Task: {ED0DF5C9-94B7-4CA6-9011-E1BD708113D5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File Task: {F5EAF9C6-2FD3-451B-A1B5-912BA346787B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File HKLM\...\Run: [HotKeysCmds] => "C:\WINDOWS\system32\hkcmd.exe" HKLM\...\Run: [Persistence] => "C:\WINDOWS\system32\igfxpers.exe" HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank SearchScopes: HKU\S-1-5-21-1955459496-1287597648-2212735668-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1955459496-1287597648-2212735668-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx C:\Program Files (x86)\IT Viewer C:\Users\magda1\AppData\Roaming\Security Cleaner Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\eofcbnmajmjmplflapaojjnihcjkigck /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj sponsora Avast SafePrice Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt. Wypowiedz się czy problem ustąpił.

Poproszę także o log z USBFix z opcji Listing zrobiony przy podpiętym pendrive.

Próbować oczywiście możesz, ale tu są słabe widoki. CryptoWall od wersji 2.0 stosuje "bezpieczne" wymazywanie danych, uniemożliwiając stosowanie programów do odzyskiwania danych: KLIK. Listę już zaszyfrowanych plików możesz sprawdzić stosując program ListCWall. Dostarcz raporty z tego systemu. Widzę też pobrany instalator STOPzilla - odradzam ten program, wcześniej był nawet na czarnej liście. Jeśli chodzi o podane tu raporty, to widzę w starcie podejrzany obiekt "cftmon.exe" oraz masę plików typu HELP_DECRYPT.* (MBAM usunął zaledwie mikro cząstkę). Działania zostaną sprowadzone do usunięcia wspominanych obiektów oraz różnych pustych wpisów. Do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Startup: C:\Documents and Settings\ppp\Menu Start\Programy\Autostart\ctfmon.exe [2006-06-26] () HKU\S-1-5-21-2247778763-4088190255-1608279117-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2247778763-4088190255-1608279117-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch BHO: Adobe PDF Reader Link Helper -> {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -> C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll Brak pliku BHO: Brak nazwy -> {BA3295CF-17ED-4F49-9E95-D999A0ADBFDC} -> Brak pliku Toolbar: HKU\S-1-5-21-2247778763-4088190255-1608279117-1003 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku U3 TrueSight; C:\WINDOWS\system32\drivers\TrueSight.sys [35064 2015-10-08] () S3 APCMp50; System32\Drivers\APCMp50.sys [X] S1 VClone; system32\DRIVERS\VClone.sys [X] C:\Documents and Settings\All Users\Menu Start\Programy\Firebird_1_5\Firebird 1.5 Readme.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Firebird_1_5\Firebird 1.5 Release Notes.lnk C:\Documents and Settings\ppp\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Winamp.lnk C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\drivers\TrueSight.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: attrib -h -s C:\HELP_DECRYPT.* /s CMD: del /q /s C:\HELP_DECRYPT.* Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, system zostanie zresetowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj bardzo stare wersje naruszające bezpieczeństwo: Adobe Flash Player 10 Plugin, Adobe Reader 7.1.0, J2SE Runtime Environment 5.0 Update 9, Java 7 Update 71, Java™ SE Runtime Environment 6 Update 1, OpenOffice.org 2.0.3. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

To zadanie "MakeMarkerFile" można usunąć. Wyniki z SFC wydrukuję w skrypcie FRST. Otwórz Notatnik i wklej w nim: Task: {539F9EBA-DFAD-4591-8D57-1C10F6CD48CC} - System32\Tasks\MakeMarkerFile => %ProgramData%\MakeMarkerFile.exe CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Tak, chińskie świństwa niestety nie odinstalowały się i trzeba je usunąć siłą. Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 QQPCRTP; C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16779.224\QQPCRTP.exe [301728 2015-10-02] (Tencent) S4 TAOFrame; C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16779.224\TAOFrame.exe [297952 2015-10-02] (Tencent) R1 QMUdisk; C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16779.224\QMUdisk64.sys [80184 2015-09-29] (Tencent) R2 QQSysMonX64; C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16779.224\QQSysMonX64.sys [138040 2015-10-02] (电脑管家) R2 TAOAccelerator; C:\Windows\system32\Drivers\TAOAccelerator64.sys [74040 2015-10-02] (Tencent) R1 TAOKernelDriver; C:\Windows\System32\Drivers\TAOKernel64.sys [274232 2015-10-02] (Tencent Technology(Shenzhen) Company Limited) R3 TFsFlt; C:\Windows\System32\Drivers\TFsFltX64.sys [87864 2015-10-02] (电脑管家) R3 TS888x64; C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16779.224\TS888x64.sys [28984 2015-10-08] (Tencent) R1 TSDefenseBt; C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16779.224\TSDefenseBT64.sys [28984 2015-10-02] (Tencent) S3 TSSKX64; C:\Windows\System32\drivers\tsskx64.sys [38200 2015-10-02] (电脑管家) R1 TSSysKit; C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16779.224\TSSysKit64.sys [87352 2015-10-02] (电脑管家) HKLM-x32\...\Run: [ QQPCTray] => C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16779.224\QQPCTRAY.EXE [355296 2015-10-02] (Tencent) AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~2.DLL => Brak pliku AppInit_DLLs-x32: C:\PROGRA~2\SupTab\SEARCH~1.DLL => Brak pliku ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16779.224\QMGCShellExt64.dll [2015-10-02] (Tencent) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=56626&homepage=about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=95611903_hao_pg HKU\S-1-5-21-842140158-2366408920-2547723377-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=95611903_hao_pg BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16779.224\TSWebMon64.dat [2015-10-02] (Tencent) BHO-x32: Brak nazwy -> {0E5680D1-BF44-4929-94AF-FD30D784AD1D} -> Brak pliku BHO-x32: Brak nazwy -> {11111111-1111-1111-1111-110311551110} -> Brak pliku BHO-x32: Brak nazwy -> {11111111-1111-1111-1111-110611511123} -> Brak pliku BHO-x32: Ó¦Óñ¦Ň»Ľü°˛×°˛ĺĽţ -> {50F4150A-48B2-417A-BE4C-C83F580FB904} -> C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3198\npQQPhoneManagerExt.dll [2014-05-30] (腾讯公司) BHO-x32: Brak nazwy -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> Brak pliku AV: 电脑管家系统防护 (Enabled - Up to date) {6F9C3F92-B625-0E47-F0B1-447602EC65F5} AS: 电脑管家系统防护 (Enabled - Up to date) {D4FDDE76-901F-01C9-CA01-7F04796B2F48} C:\Program Files\Core Temp C:\Program Files (x86)\Ganymede C:\Program Files (x86)\OCCTPT C:\Program Files (x86)\Opera C:\Program Files (x86)\predm C:\Program Files (x86)\R.G. Mechanics C:\Program Files (x86)\SupTab C:\Program Files (x86)\Temp C:\Program Files (x86)\Tencent C:\Program Files (x86)\搜狐影音 C:\Program Files\Common Files\Tencent C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} C:\ProgramData\{8533ADFA-85F0-4dc1-946A-2A0BA58E78E3} C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69 C:\ProgramData\APN C:\ProgramData\AVG C:\ProgramData\Codemasters C:\ProgramData\IePluginServices C:\ProgramData\Oracle C:\ProgramData\Orbit C:\ProgramData\Riot Games C:\ProgramData\Splashtop C:\ProgramData\Sun C:\ProgramData\Tencent C:\ProgramData\TXQMPC C:\Users\Damian\AppData\Local\AVG C:\Users\Damian\AppData\Local\CEF C:\Users\Damian\AppData\Local\CrashRpt C:\Users\Damian\AppData\Local\ESN C:\Users\Damian\AppData\Local\GGEmpire C:\Users\Damian\AppData\Local\globalUpdate C:\Users\Damian\AppData\Local\Installer C:\Users\Damian\AppData\Local\OCCT_-_Ocbase_-_Adrien_Me C:\Users\Damian\AppData\Local\Opera Software C:\Users\Damian\AppData\Local\PunkBuster C:\Users\Damian\AppData\Local\Sony C:\Users\Damian\AppData\Local\WorldofTanks C:\Users\Damian\AppData\LocalLow\iWebar C:\Users\Damian\AppData\LocalLow\Sense C:\Users\Damian\AppData\LocalLow\Sun C:\Users\Damian\AppData\Roaming\AVG C:\Users\Damian\AppData\Roaming\java C:\Users\Damian\AppData\Roaming\GanymedeNet C:\Users\Damian\AppData\Roaming\LolClient C:\Users\Damian\AppData\Roaming\OpenCandy C:\Users\Damian\AppData\Roaming\Oracle C:\Users\Damian\AppData\Roaming\RHEng C:\Users\Damian\AppData\Roaming\Riot Games C:\Users\Damian\AppData\Roaming\Sony C:\Users\Damian\AppData\Roaming\Tencent C:\Users\Damian\AppData\Roaming\Wargaming.net C:\Users\Damian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\强力卸载电脑上的软件 .lnk C:\Users\Damian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\电脑管家.lnk C:\Windows\system32\Drivers\TAOAccelerator64.sys C:\Windows\system32\Drivers\TAOKernel64.sys C:\Windows\system32\Drivers\TFsFltX64.sys C:\Windows\system32\Drivers\TSSKX64.sys C:\Windows\SysWOW64\Drivers\TS888x64.sys Folder: C:\Users\Damian\AppData\Local\EmieBrowserModeList Folder: C:\Users\Damian\AppData\Local\EmieSiteList Folder: C:\Users\Damian\AppData\Local\EmieUserList Folder: C:\Users\Damian\AppData\Local\Game Updater Folder: C:\Users\Damian\AppData\Local\Setup Integrity Check Folder: C:\Users\Damian\AppData\LocalLow\EmieBrowserModeList Folder: C:\Users\Damian\AppData\LocalLow\EmieSiteList Folder: C:\Users\Damian\AppData\LocalLow\EmieUserList Folder: C:\Users\Damian\AppData\Roaming\Publish Providers EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. Powstanie kolejny fixlog.txt. 2. Uruchom FRST ponownie, w polu Szukaj wklej poniższe warunki i klik w Szukaj w rejestrze. QQPCMgr;Tencent 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też pliki fixlog.txt i Search.txt.

Cóż, to może być problem braku wsparcia dla XP. Avira wycofuje się z obsługi XP, najnowsze wersje nie mają nawet oznaczonej kompatybilności z XP, a definicje na starszych będą dostarczane tylko do kwietnia 2016: KLIK / KLIK. Masz zainstalowaną następującą wersję: Avira Free Antivirus (HKLM\...\Avira AntiVir Desktop) (Version: 15.0.8.658 - Avira) Już nieco starsza wersja Pro 15.0.8.624 okazała się "za nowa" dla XP i support zalecił downgrade do jakiejś starej, która mogła się aktualizować na XP: KLIK. W tej sytuacji proponuję w ogóle zrezygnować z Avira i zastąpić np. darmowym Avast, który nadal ma pełne wsparcie dla XP. NA KONCIE ALEX: Drobne poprawki: 1. Otwórz Notatnik i wklej w nim: BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll Brak pliku FF Plugin: @java.com/DTPlugin -> C:\Program Files\Java\jre6\bin\npDeployJava1.dll [brak pliku] FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.28.1\npGoogleUpdate3.dll [brak pliku] FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.28.1\npGoogleUpdate3.dll [brak pliku] C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Mozilla Firefox\defaults\pref\itms.js CMD: net user Gość /active:no CMD: net user ASPNET /delete Plik zapisz pod nazwą fixlist.txt (tym razem już nie w UTF-8) i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Uruchom Zoek. W oknie wklej: Google Update Helper;u Grand Theft Auto IV;u Grand Theft Auto: Episodes from Liberty City;u HiJackThis;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log).

Ostrzeżenie o używaniu ComboFix już otrzymałeś. Posty sklejam do oczekiwanej na starcie formy. Temat przenoszę do działu Windows. To nie jest problem infekcji. Z raportów nic konkretnego nie wynika. Sugestie: 1. Deinstalacje: - Upewnij się, że problemu nie tworzy instalacja AVG. W ramach testu odinstaluj, by sprawdzić czy system przyśpieszy. - W Dzienniku zdarzeń dużo błędów Malwarebytes Anti-Malware. Ten również odinstaluj. - Mógłbyś też ograniczyć ilość zbędnych procesów nVidia deinstalując NVIDIA GeForce Experience 2.5.12.11. To nie jest komponent niezbędny do obsługi karty nVidia. - Przy okazji pozbądź się starych wersji Adobe Reader 9.5.0 - Polish, Java 8 Update 40. 2. Jest tu nie za dużo wolnego miejsca na dysku i to może być jedna z przyczyn: Drive c: (SYSTEM) (Fixed) (Total:50.01 GB) (Free:7.55 GB) NTFS ==>[dysk z komponentami startowymi (pozyskano z BCD)] PS. W spoilerze drobne doczyszczanie wpisów odpadkowych. Uruchom ten Fix już po w/w deinstalacjach.

W systemie jest dużo niepożądanych obiektów. Przeprowadź następujące działania: 1. Deinstalacje: ----> Przez Panel sterowania odinstaluj stare wersje: Adobe Flash Player 14 ActiveX, Adobe Flash Player 16 NPAPI, Java 8 Update 45. ----> Z prawokliku na poniższe pliki > Uruchom jako Administrator: C:\Program Files (x86)\搜狐影音\uninstall.exe C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16779.224\Uninst.exe Jeśli deinstalacje zakończą się błędem, kontynuuj dalej. Obiekty adware zostaną usunięte siłą w drugim podejściu. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {a3f28269-ad17-41a8-b032-3e0313ef8979}Gw64; C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw64.sys [61016 2014-06-06] (StdLib) S4 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-12-30] (globalUpdate) [brak podpisu cyfrowego] S4 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-12-30] (globalUpdate) [brak podpisu cyfrowego] S3 AODDriver; \??\C:\Program Files (x86)\GIGABYTE\ET6\amd64\AODDriver.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 TEAM; system32\DRIVERS\RtTeam60.sys [X] Startup: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iexplore updater.exe [2015-10-01] (Microsoft Corporation) HKLM-x32\...\Run: [gmsd_pl_12] => [X] HKLM-x32\...\Run: [CMD] => cmd.exe /c start http://zivlingamer.org && exit HKLM-x32\...\Run: [app] => C:\Program Files (x86)\Tencent\app.exe AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~2.DLL => Brak pliku AppInit_DLLs-x32: C:\PROGRA~2\SupTab\SEARCH~1.DLL => Brak pliku IFEO\adwcleaner_4.204.exe: [Debugger] svchost.exe IFEO\AnVir.exe: [Debugger] svchost.exe IFEO\AutoLogger.exe: [Debugger] svchost.exe IFEO\avz.exe: [Debugger] svchost.exe IFEO\CCleaner.exe: [Debugger] svchost.exe IFEO\CCleaner64.exe: [Debugger] svchost.exe IFEO\FRST.exe: [Debugger] svchost.exe IFEO\FRST64.exe: [Debugger] svchost.exe IFEO\HiJackThis.exe: [Debugger] svchost.exe IFEO\regedit.exe: [Debugger] svchost.exe IFEO\RegWorks.exe: [Debugger] svchost.exe IFEO\RSIT.exe: [Debugger] svchost.exe IFEO\RSITx64.exe: [Debugger] svchost.exe Task: {0270BC74-E5A4-4774-B605-E5921FA877B0} - System32\Tasks\sup_games_updating_service => C:\Program Files (x86)\sup games\sup_games_updating_service.exe [2015-04-07] () Task: {0A12D5A9-32C8-410B-BFAB-78C2BABAB129} - System32\Tasks\{CD3410FA-3655-44C6-869A-39FAE7981FB6} => pcalua.exe -a "C:\Users\Damian\Desktop\The Sims 4 Installer\The Sims 4 Game Installer.exe" -d "C:\Users\Damian\Desktop\The Sims 4 Installer" Task: {0CAF6760-18FC-4704-8302-655DA4E1A51D} - System32\Tasks\{61D0D797-F334-4DDB-A814-B6C37EA3FE1F} => pcalua.exe -a F:\setup.exe -d F:\ Task: {1081216A-8403-4F8A-8F6B-387C0D2685CD} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-6 => C:\Program Files (x86)\iWebar\iWebar-novainstaller.exe Task: {1358B150-5B4C-4D63-A084-FD86A4E6D0C1} - System32\Tasks\UNELEVATE_2594 => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.486\jsdrv.exe Task: {1397097C-1D47-427B-A757-7857E27DFF07} - System32\Tasks\RtlNICDiagVistaStart => C:\Program Files (x86)\Realtek\Realtek Ethernet Diagnostic Utility\8169Diag.exe Task: {1F11FC35-9129-4823-A9C1-4FBE800C259D} - System32\Tasks\{306204FC-A106-4B0D-BD07-B0A4BE21C91D} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe" Task: {28B426FB-3C3E-4440-B6F5-20252C06AD71} - System32\Tasks\48_dresses_updating_service => C:\Program Files (x86)\48 dresses\48_dresses_updating_service.exe [2015-04-01] () Task: {341BDBBD-82AE-49C6-B47C-BAED1A578B57} - System32\Tasks\suprize_notification_service => C:\Program Files (x86)\suprize\suprize_notification_service.exe Task: {439CC7DE-278C-4411-9E97-D845B2CD9F3B} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-4 => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-4.exe Task: {5B8E12CF-D086-44EB-BAB8-4545F049E1ED} - System32\Tasks\{8D43D382-B5B2-4DB5-A3BD-8738CFF0F8B4} => pcalua.exe -a "D:\The Pirate Jogos - Need For Speed Most Wanted\TraduçãoMost Wanted.exe" -d "D:\The Pirate Jogos - Need For Speed Most Wanted" Task: {630BFEEF-7059-4788-AA83-99C3E86C136D} - System32\Tasks\{9B445F3B-C93D-4752-89C4-9803132438ED} => pcalua.exe -a C:\Users\Damian\Desktop\W7\CPSetup.exe -d C:\Users\Damian\Desktop\W7 Task: {7339FE3B-8067-4AB8-97D9-3A675F4CD0F3} - System32\Tasks\sup_games_notification_service => C:\Program Files (x86)\sup games\sup_games_notification_service.exe Task: {7A0947A6-883A-4E5A-9D81-1F2BCD5BAD1C} - System32\Tasks\{59E732DB-AF8B-4F1A-83EA-EF41910FC32F} => pcalua.exe -a C:\Users\Damian\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=smt -simple=0 Task: {7C66A99B-FCE9-45E9-A927-2F1C381FD7E9} - System32\Tasks\{1D016F55-57C7-4D7C-A452-947892CC609A} => pcalua.exe -a "C:\Program Files (x86)\Sense\Uninstall.exe" -c /fcp=1 Task: {88F1C3DB-F937-411A-A3FD-496884CE3934} - System32\Tasks\48_dresses_notification_service => C:\Program Files (x86)\48 dresses\48_dresses_notification_service.exe Task: {987136D7-2303-4483-8B50-0AE349FB46AB} - System32\Tasks\suprize_updating_service => C:\Program Files (x86)\suprize\suprize_updating_service.exe [2015-04-02] () Task: {A02B0FA7-F69D-43E9-9971-566D24FE840D} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-12-30] (globalUpdate) Task: {B0B88EC0-C14D-4491-98B0-1C5F016728F4} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-12-30] (globalUpdate) Task: {B916F084-0886-49CC-ACAB-2F612A5D4AEF} - System32\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-4 => C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-4.exe Task: {D3A5E190-4FF1-415B-B27E-4FA0A082CF0F} - System32\Tasks\helper_king_notification_service => C:\Program Files (x86)\helper king\helper_king_notification_service.exe Task: {D689DBA1-C07F-4F94-B646-FF1F1C240369} - System32\Tasks\{4C0FDA1D-F99E-4FD5-9C93-71A86FB6A33D} => pcalua.exe -a "C:\Program Files (x86)\Rockstar Games\Grand Theft Auto IV\GTA IV - Spolszczenie v0.99.exe" -d "C:\Program Files (x86)\Rockstar Games\Grand Theft Auto IV" Task: {DC6FBF00-819C-4C4A-8FCD-D5CE7E473E66} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-7 => C:\Program Files (x86)\iWebar\iWebar-nova.exe Task: {E9F6B911-9B51-44A9-97FC-680EF09657F7} - System32\Tasks\UNELEVATE_18776 => C:\Program Files (x86)\ShopperPro\JSDriver\1.38.0.1442\jsdrv.exe Task: {EC639C06-3A30-423E-B0D4-879DBF5FDC9D} - System32\Tasks\helper_king_updating_service => C:\Program Files (x86)\helper king\helper_king_updating_service.exe [2015-04-07] () Task: {ED85ADE1-9695-4FFF-A17C-251CB270C23A} - System32\Tasks\{E75DF2F7-6F47-4B4B-A887-0A6FE229E4C4} => pcalua.exe -a C:\Users\Damian\Desktop\Watch_Dogs.Multi-RU.Repack.by.z10yded\Redistributables\vcredist_x64_10_sp1.exe -d C:\Users\Damian\Desktop\Watch_Dogs.Multi-RU.Repack.by.z10yded\Redistributables Task: {EE0C9870-EAEB-4150-848E-E6B3C14C3674} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-5 => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-5.exe Task: C:\Windows\Tasks\48_dresses_notification_service.job => C:\Program Files (x86)\48 dresses\48_dresses_notification_service.exeǦ/url='http:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='48 dresses' /appid='73143' /srcid='2913' /bic='a6f52b5bdaa9b59456b16d7f9db68bb8' /verifier='4c2728818662604ef7df09b75a9d2f71' /installerversion='1.50.3.10' /statsdomain='http:/stats.buildomserv.com/data.gif?' /errorsdomain='http:/stats.buildomserv.com/data.gif?' /monetizationdomain='http:/logs.buildomserv.com/monetization.gif Task: C:\Windows\Tasks\48_dresses_updating_service.job => C:\Program Files (x86)\48 dresses\48_dresses_updating_service.exe« /campid=2913 /verid=1 /url=http:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=48_dresses_updating_service /funurl=http:/stats.buildomserv.com Task: C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-4.job => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-4.exeА/amFDNXTmz /dyqGeJy='iWebar' /eZMYoBF C:\Program Files (x86)\iWebar\35510.xpi' /hhBQjVc=35510 /JGSkT='000171' /YTHbNkmX='0' /ciHdRpSZ='eyJkYXRhIjp7ImRhdGUiOiJFNkZ3c210eWNCZjEsYzMwYTRjMDItYWQwNy00NmUyLWJkZTAtNTcxMDBlZDM4NWY4LCIsInVucSI6ImMzMGE0YzAyLWFkMDctNDZlMi1iZGUwLTU3MTAwZWQzODVmOCJ9fQ==' /rluRGxYUp=C629A021BA7B4B03983523661A404B03IE /WJOPj=b29ebdee7b56c763706cd3da658c3173 /WMSqXF=1_34_05_12 /iFUNYeEm=1.34.5.12 /CRFsAs=1402818759 /xqzkUn=http:/stats.clientstatsservice.com /ZYlkDu=http:/errors.clientstatsservice.com /uymDivZza=300 /DPUmaDDE=2eb528f3-950d-48a3-be4b-5d7de6c8331e@a41e199b-6ca4-4d23-ab87-73f2d1973314.com /cdQXKzy=0.94 /LkgeR=a2eb528f3950d48a3be4b5d7de6c8331ea41e199b6ca44d23ab8773f2d1973314com35510 /bZxxYEH=https:/w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/35510.rdf /RPOkTQZmQ='iWebar' /LZvLlByLh='iWebar' /ZKcdlNo='iWebar' /aZJRhuSIm=ch /JDAXzHtY='{asw:[2, 8388609]}' /mZOxglpw /FizjPHPN /XTYdtoBoe /LWpHklfn='http:/update.clientstatsservice.com/ff_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-5.job => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-5.exe Task: C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-6.job => C:\Program Files (x86)\iWebar\iWebar-novainstaller.exeʢ/UYfdKYRRC /rgtdh=task /dyqGeJy='iWebar' /hhBQjVc=35510 /JGSkT='000171' /YTHbNkmX='0' /ciHdRpSZ='eyJkYXRhIjp7ImRhdGUiOiJFNkZ3c210eWNCZjEsYzMwYTRjMDItYWQwNy00NmUyLWJkZTAtNTcxMDBlZDM4NWY4LCIsInVucSI6ImMzMGE0YzAyLWFkMDctNDZlMi1iZGUwLTU3MTAwZWQzODVmOCJ9fQ==' /rluRGxYUp=C629A021BA7B4B03983523661A404B03IE /WJOPj=b29ebdee7b56c763706cd3da658c3173 /WMSqXF=1_34_05_12 /iFUNYeEm=1.34.5.12 /CRFsAs=1402818759 /xqzkUn=http:/stats.clientstatsservice.com /ZYlkDu=http:/errors.clientstatsservice.com /PxGcIm=http:/js.clientstatsservice.com /aZJRhuSIm=ch /cHuOpTi /BrMsvOZoV='nova' /LWpHklfn='http:/update.clientstatsservice.com/novacode/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-7.job => C:\Program Files (x86)\iWebar\iWebar-nova.exeʊ/dyqGeJy='iWebar' /hhBQjVc=35510 /JGSkT='000171' /YTHbNkmX='0' /ciHdRpSZ='eyJkYXRhIjp7ImRhdGUiOiJFNkZ3c210eWNCZjEsYzMwYTRjMDItYWQwNy00NmUyLWJkZTAtNTcxMDBlZDM4NWY4LCIsInVucSI6ImMzMGE0YzAyLWFkMDctNDZlMi1iZGUwLTU3MTAwZWQzODVmOCJ9fQ==' /rluRGxYUp=C629A021BA7B4B03983523661A404B03IE /WJOPj=b29ebdee7b56c763706cd3da658c3173 /WMSqXF=1_34_05_12 /iFUNYeEm=1.34.5.12 /CRFsAs=1402818759 /xqzkUn=http:/stats.clientstatsservice.com /ZYlkDu=http:/errors.clientstatsservice.com /PxGcIm=http:/js.clientstatsservice.com /aZJRhuSIm=ch /cHuOpTi /BrMsvOZoV='nova' /LWpHklfn='http:/update.clientstatsservice.com/novarun/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-4.job => C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-4.exeЊ/amFDNXTmz /dyqGeJy='Sense' /eZMYoBF C:\Program Files (x86)\Sense\48292.xpi' /hhBQjVc=48292 /JGSkT='000805' /YTHbNkmX='0' /ciHdRpSZ='eyJkYXRhIjp7ImRhdGUiOiJFNkR3c210eWNCZjEsNzhiYmJlOGQtNTUzZS00Njg0LTg1ZDUtMDVhM2FlYmU2YjdiLCIsInVucSI6Ijc4YmJiZThkLTU1M2UtNDY4NC04NWQ1LTA1YTNhZWJlNmI3YiJ9fQ==' /rluRGxYUp=560EBB60CFD144E9B6DF33FEB737FB17IE /WJOPj=936d8ff2eda79f280e735c1c884e0d4e /WMSqXF=1_34_05_12 /iFUNYeEm=1.34.5.12 /CRFsAs=1402637143 /xqzkUn=http:/stats.clientstatsservice.com /ZYlkDu=http:/errors.clientstatsservice.com /uymDivZza=300 /DPUmaDDE=143f44cf-d99c-4e45-8cd9-ef929de77aa8@bdbf6038-0097-480c-8d8e-fc48e28131a8.com /cdQXKzy=0.94 /LkgeR=a143f44cfd99c4e458cd9ef929de77aa8bdbf60380097480c8d8efc48e28131a8com48292 /bZxxYEH=https:/w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/48292.rdf /RPOkTQZmQ='Sense' /LZvLlByLh='.' /ZKcdlNo='Object Browser' /aZJRhuSIm=ch /JDAXzHtY='{asw:[2, 1]}' /mZOxglpw /FizjPHPN /XTYdtoBoe /LWpHklfn='http:/update.clientstatsservice.com/ff_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\helper_king_notification_service.job => C:\Program Files (x86)\helper king\helper_king_notification_service.exeǧ/url='http:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='helper king' /appid='73143' /srcid='2913' /bic='a6f52b5bdaa9b59456b16d7f9db68bb8' /verifier='4c2728818662604ef7df09b75a9d2f71' /installerversion='1.50.3.10' /statsdomain='http:/stats.buildomserv.com/data.gif?' /errorsdomain='http:/stats.buildomserv.com/data.gif?' /monetizationdomain='http:/logs.buildomserv.com/monetization.gif Task: C:\Windows\Tasks\helper_king_updating_service.job => C:\Program Files (x86)\helper king\helper_king_updating_service.exe¬ /campid=2913 /verid=1 /url=http:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=helper_king_updating_service /funurl=http:/stats.buildomserv.com Task: C:\Windows\Tasks\RtlNICDiagVistaStart.job => C:\Program Files (x86)\Realtek\Realtek Ethernet Diagnostic Utility\8169Diag.exe Task: C:\Windows\Tasks\suprize_notification_service.job => C:\Program Files (x86)\suprize\suprize_notification_service.exeǣ/url='http:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='suprize' /appid='73143' /srcid='2913' /bic='a6f52b5bdaa9b59456b16d7f9db68bb8' /verifier='4c2728818662604ef7df09b75a9d2f71' /installerversion='1.50.3.10' /statsdomain='http:/stats.buildomserv.com/data.gif?' /errorsdomain='http:/stats.buildomserv.com/data.gif?' /monetizationdomain='http:/logs.buildomserv.com/monetization.gif Task: C:\Windows\Tasks\suprize_updating_service.job => C:\Program Files (x86)\suprize\suprize_updating_service.exe¨ /campid=2913 /verid=1 /url=http:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=suprize_updating_service /funurl=http:/stats.buildomserv.com Task: C:\Windows\Tasks\sup_games_notification_service.job => C:\Program Files (x86)\sup games\sup_games_notification_service.exeǥ/url='http:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='sup games' /appid='73143' /srcid='2913' /bic='a6f52b5bdaa9b59456b16d7f9db68bb8' /verifier='4c2728818662604ef7df09b75a9d2f71' /installerversion='1.50.3.10' /statsdomain='http:/stats.buildomserv.com/data.gif?' /errorsdomain='http:/stats.buildomserv.com/data.gif?' /monetizationdomain='http:/logs.buildomserv.com/monetization.gif Task: C:\Windows\Tasks\sup_games_updating_service.job => C:\Program Files (x86)\sup games\sup_games_updating_service.exeª /campid=2913 /verid=1 /url=http:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=sup_games_updating_service /funurl=http:/stats.buildomserv.com ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=56626&homepage=about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=95611903_hao_pg HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1402636960&from=smt&uid=SAMSUNGXHD200HJ_S16KJDSP909859&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1402636960&from=smt&uid=SAMSUNGXHD200HJ_S16KJDSP909859&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1402636960&from=smt&uid=SAMSUNGXHD200HJ_S16KJDSP909859&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1402636960&from=smt&uid=SAMSUNGXHD200HJ_S16KJDSP909859&q={searchTerms} HKU\S-1-5-21-842140158-2366408920-2547723377-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=95611903_hao_pg SearchScopes: HKU\S-1-5-21-842140158-2366408920-2547723377-1000 -> {0170EFAF-F87D-4673-9366-B6E2D2DA9AF8} URL = hxxp://www.google.com/cse?cx=partner-pub-3794288947762788%3A7941509802&ie=UTF-8&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A7941509802&q={searchTerms} SearchScopes: HKU\S-1-5-21-842140158-2366408920-2547723377-1000 -> {2F79342F-91C0-403d-B947-55E95426F704} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBDSV BHO: iWebar -> {11111111-1111-1111-1111-110311551110} -> C:\Program Files (x86)\iWebar\iWebar-bho64.dll Brak pliku BHO: Brak nazwy -> {11111111-1111-1111-1111-110411821192} -> Brak pliku BHO: iWebar -> {11111111-1111-1111-1111-110611511123} -> C:\Program Files (x86)\iWebar\iWebar-bho64.dll Brak pliku BHO-x32: Brak nazwy -> {0E5680D1-BF44-4929-94AF-FD30D784AD1D} -> Brak pliku BHO-x32: iWebar -> {11111111-1111-1111-1111-110311551110} -> C:\Program Files (x86)\iWebar\iWebar-bho.dll Brak pliku BHO-x32: iWebar -> {11111111-1111-1111-1111-110611511123} -> C:\Program Files (x86)\iWebar\iWebar-bho.dll Brak pliku BHO-x32: Brak nazwy -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.sweet-page.com/?type=sc&ts=1402636960&from=smt&uid=SAMSUNGXHD200HJ_S16KJDSP909859 AV: 电脑管家系统防护 (Enabled - Up to date) {6F9C3F92-B625-0E47-F0B1-447602EC65F5} AS: 电脑管家系统防护 (Enabled - Up to date) {D4FDDE76-901F-01C9-CA01-7F04796B2F48} C:\Program Files (x86)\123572be-ddec-4b61-ad9a-00753d834cab C:\Program Files (x86)\48 dresses C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\helper king C:\Program Files (x86)\iWebar C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Sense C:\Program Files (x86)\sup games C:\Program Files (x86)\suprize C:\ProgramData\Mozilla C:\ProgramData\TEMP C:\ProgramData\WindowsProtectManger C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty Advanced Warfare C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 Progressive C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FIFA 15 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gothic III C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OCCT C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan C:\ProgramData\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\搜狐影音 C:\Users\Damian\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦 C:\Users\Damian\AppData\Local\Temp尰 C:\Users\Damian\AppData\Local\Mozilla C:\Users\Damian\AppData\Roaming\*.tmp C:\Users\Damian\AppData\Roaming\1godWpJArSQ5gaOQO6 C:\Users\Damian\AppData\Roaming\5DajSfP17udXjuJ C:\Users\Damian\AppData\Roaming\cHJIYUt C:\Users\Damian\AppData\Roaming\debug.log C:\Users\Damian\AppData\Roaming\HQ0UKlb8xm0zk8vt9WMuA8PrG C:\Users\Damian\AppData\Roaming\kiSHFJbNXzTYlA C:\Users\Damian\AppData\Roaming\Nzw3YnUKE4q5aaSQXYNZK C:\Users\Damian\AppData\Roaming\PLpNcf5FSSKn9bsSaeq C:\Users\Damian\AppData\Roaming\PLpNcf5FSSKn9bsSaeq.exe C:\Users\Damian\AppData\Roaming\r51eybWKUZaJhC0nN9eYkf4 C:\Users\Damian\AppData\Roaming\V85ZQzomH3HzVP C:\Users\Damian\AppData\Roaming\VKOae9HnQ7DiZKLMKlPTjTgKmT1 C:\Users\Damian\AppData\Roaming\xexDgePWmr C:\Users\Damian\AppData\Roaming\xQIEVxBUcJbup79RvRBBbl5OI C:\Users\Damian\AppData\Roaming\Mozilla C:\Users\Damian\AppData\Roaming\Opera Software C:\Users\Damian\AppData\Roaming\Splashtop C:\Users\Damian\AppData\Roaming\Vesteris C:\Users\Damian\AppData\Roaming\VOPackage C:\Users\Damian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Opera.lnk C:\Users\Damian\AppData\Roaming\Microsoft\Windows\SendTo\Xfire Friend.lnk C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Damian\Desktop\Programy\Mozilla Firefox.lnk C:\Users\Damian\Desktop\Programy\Opera.lnk C:\Users\Damian\Desktop\Programy\Spotify.lnk C:\Users\Damian\Desktop\Gry\Call of Duty Advanced Warfare.lnk C:\Users\Damian\Desktop\Gry\Need for Speed™ Most Wanted.lnk C:\Users\Damian\Desktop\Gry\Witcher 3 - Wild Hunt.lnk C:\Users\Damian\Documents\ËŃşüÓ°Ňô C:\Windows\pss\more.url.CommonStartup C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw64.sys C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\iWebar /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\VOPackage /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdatem" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\IePluginServices" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MozillaMaintenance" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\QQPCRTP" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SCBackService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\servervo" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SPBIUpd" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\TAOFrame" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Update Greener Web" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Util Greener Web" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\WCUService_STC_FF" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\WCUService_STC_IE" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\WindowsProtectManger" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\YouTubeAcceleratorService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^more.url" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoobzoYouTubeAccelerator" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SPDriver" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Spotify" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Spotify Web Helper" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\STCAgent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZyngaGamesAgent" /f CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Damian\AppData\Local CMD: dir /a C:\Users\Damian\AppData\LocalLow CMD: dir /a C:\Users\Damian\AppData\Roaming Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj 电脑管家上网防护 Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pola Addition i Shortcut. Dołącz też plik fixlog.txt.

Nie wiem o co chodzi, może przypadek, jeśli nic nie zmieniano i nie resetowano routera. Samo przechodzenie między ustawieniami routera nie wpływa na automatyczną konfigurację. Upewnij się jakie adresy DNS są ustawione w routerze obecnie. Tutaj symulator interfejsu Asus RT-N12, chodzi o WAN > Internet Connection > WAN DNS Setting: KLIK.

Podaj model routera, w każdym ustawienia DNS mogą być zlokalizowane w innych miejscach.