picasso

Na koniec zastosuj DelFix (pobrany GMER jednak musisz skasować ręcznie), następnie wyczyść foldery Przywracania systemu: KLIK. To tyle.

Dla świętego spokoju dodaj GMER, bo Shortcut i tak nie wniesie nic do opisywanych problemów. Z tym, że jak mówię nie sądzę by tu w ogóle chodziło o infekcję i podtrzymuję poprzednie wnioski.

Nie wiem co robiłeś, ale zawartość Fixlog mówi sama za siebie - pytajniki oznaczają, że zapisywano Fixlist w ANSI (znaki Unicode są tracone i przerabiane na pytajniki). Tym razem zadanie zostało wykonane. Ogólnie wszystko zrobione i możemy kończyć: Zastosuj DelFix, by usunąć resztę używanych narzędzi, oraz wyczyść foldery Przywracania systemu: KLIK.

Temat nie ma kwalifikacji na pobyt w dziale diagnostyki malware i zostaje przeniesiony do działu Windows. Nawiasem mówiąc, logi FRST nie są przeznaczone do diagnostyki rozszerzeń menu kontekstowych - FRST w ogóle nie skanuje tych obszarów. Temat zgłosiłeś jako "nierozwiązany", ale poprawną odpowiedź już otrzymałeś. To rozszerzenie powłoki należące do systemowej funkcji BitLocker - występuje nawet jeśli BitLocker nigdy nie był aktywowany, na edycjach wspierających tę funkcjonalność. U mnie również BitLocker nigdy nie był czynny, lecz posiadam strukturę menu kontekstowego BitLocker. Widoczną opcją jest u mnie ta aktywująca funkcję - Włącz funkcję BitLocker: Natomiast w rejestrze u mnie grubsza pula zarezerwowanych wpisów kontekstowych, uwzględniająca także wpisy gdy BitLocker zostanie uaktywniony (wtedy opcja "Włącz funkcję BitLocker" zostanie zastąpiona w menu przez pozycje typu "Zarządzaj funkcją BitLocker", "Zablokuj dysk" i pochodne): Z tym, że jest jedna niejasność. Mówisz, że w menu kontekstowym widzisz "encrypt-bde-elev", a to jest nazwa widziana tylko z poziomu rejestru. W menu kontekstowym ta opcja powina mieć nazwę jak z mojego obrazka, tzn. Włącz funkcję BitLocker z przypisaną flagą UAC. Tak więc potwierdź gdzie widzisz nazwę "encrypt-bde-elev" - w rejestrze czy bezpośrednio w menu (to drugie nie jest prawidłowe i może świadczyć o uszkodzeniu np. modulu DLL związanego z tym rozszerzeniem). Jeśli zaś o likwidacji z widoku mowa, prócz proponowanego rozwiązania z importem REG (obejmuje wszystkie wpisy, w tym te których nie widzisz obecnie - są już "schowane", bo Bitlocker nie jest czynny), możesz skorzystać także z deaktywacji konkretnej pozycji "encrypt-bde-elev" via ShellMenuView + restart: PS. Jeśli chodzi o błędy z Dziennika zdarzeń: Application errors: ================== Error: (07/01/2015 07:00:02 PM) (Source: Windows Backup) (EventID: 4103) (User: ) Description: Wykonanie kopii zapasowej nie zostało zakończone z powodu błędu zapisu w lokalizacji kopii zapasowej G:\. Błąd: Nie można odnaleźć lokalizacji kopii zapasowej lub jest ona nieprawidłowa. Przejrzyj ustawienia kopii zapasowej i sprawdź lokalizację kopii zapasowej. (0x81000006). Error: (07/01/2015 00:57:03 PM) (Source: Bonjour Service) (EventID: 100) (User: ) Description: Task Scheduling Error: m->NextScheduledSPRetry 15896 System errors: ============= Error: (07/04/2015 06:39:37 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Mobile Partner. OUC z powodu następującego błędu: %%1053 - Pierwszy błąd: wejdź do ustawień Kopii zapasowej Windows i usuń odwołanie do nieistniejącego nośnika. - Drugi błąd: odinstaluj Bonjour, o ile z niego nie korzystasz. - Trzeci błąd: w services.msc wyłącz usługę aktualizacyjną Mobile Partner. OUC.

Temat przenoszę do działu Windows. To nie jest problem infekcji. Usługa BITS jest niezbędna do funkcjonowania Windows Update (pobieranie i kolejkowanie) i jej aktywność jest prawdopodobnie związana z tym procesem. Wątpię czy tu się da cokolwiek zdziałać poza limitowaniem transferu BITS. System posiada taką opcję w postaci polityki GPO: Z klawiatury klawisz z flagą Windows + X > Uruchom > gpedit.msc > Konfiguracja komputera > Szablony administracyjne > Sieć > Usługa inteligentnego transferu w tle (BITS) > cała pula opcji limitujących aktywność transferu Tu opis obrazkowy pod Windows 7, w Windows 8.1 powinno być podobnie: KLIK.

Skasuj z dysku raport C:\Delfix.txt. Temat rozwiązany. Zamykam.

Nie wiem dlaczego utworzyłeś dwa posty z "nowymi logami", skoro przedział czasowy był bardzo krótki. Skleiłam tematy. Następnie dokonałeś kolejnej manipulacji - wcześniej był w temacie także log USBFix. On nadal będzie potrzebny, z opcji Listing przy podpiętych wszystkich zdefektowanych urządzeniach USB.

Na zakończenie: Usuń ręcznie pobrany GMER. Następnie zastosuj DelFix.

Tak, niewątpliwie nastąpiła tu ingerencja jakiejś infekcji - przypuszczalnie był uruchamiany jakiś crack. CCleaner został zablokowany metodą Debugger: IFEO\CCleaner64.exe: [Debugger] svchost.exe Akcje do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: IFEO\CCleaner64.exe: [Debugger] svchost.exe CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction FF Plugin HKU\S-1-5-21-2175280591-3075794678-3676876584-1001: anvisoft.com/AdblockPlugin -> C:\ProgramData\Anvisoft\Anvi Smart Defender 2\extensions\npAdblockPlugin.dll No File CHR HKLM-x32\...\Chrome\Extension: [lhmiofmipcpmhgihiecmpiekcacigpgb] - C:\ProgramData\Anvisoft\Anvi Smart Defender 2\extensions\chrome.crx [Not Found] S3 VBoxNetFlt; \SystemRoot\system32\DRIVERS\VBoxNetFlt.sys [X] Task: {4A7C1A20-A2B7-4DF1-9EAB-B113D72E8CB7} - System32\Tasks\{927AD80D-2024-478F-809E-EB465E5B1B86} => pcalua.exe -a C:\Users\PC\Desktop\SAMSUNG_USB_Driver_for_Mobile_Phones\SAMSUNG_USB_Driver_for_Mobile_Phones.exe -d C:\Users\PC\Desktop\SAMSUNG_USB_Driver_for_Mobile_Phones C:\Users\PC\AppData\Local\69ff07055291669bb2b218.72821112 C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CCleaner.lnk C:\Users\PC\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384} Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Podsumuj czy są jeszcze jakieś problemy.

1. Teraz możesz już zainstalować najnowszą wersję przeglądarki - link w przyklejonym: KLIK. 2. Następnie zrób dla pewności jeszcze jeden log FRST z opcji Scan (bez Addition i Shortcut).

Skasuj z dysku C:\Delfix.txt. To tyle. Temat zamykam.

Zadania wykonane pomyślnie, ale jeszcze nie koniec akcji. Otwórz Notatnik i wklej w nim: CMD: type C:\Windows\System32\GroupPolicy\Machine\Registry.pol C:\Windows\System32\GroupPolicy\GPT.INI C:\Windows\System32\GroupPolicy\Machine C:\Windows\System32\GroupPolicy\User C:\Windows\SysWOW64\GroupPolicy\gpt.ini Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. Przedstaw go.

Na przyszłość wymagania działu: nie podałeś obowiązkowego raportu GMER oraz FRST Shortcut. W FRST brak oznak infekcji i nic jej nie poświadcza, opisywane problemy mogą mieć multum innych przyczyn. Temat nie ma kwalifikacji na pobyt w dziale diagnostyki malware i zostaje przeniesiony, na razie do działu Windows. Nawiasem mówiąc, to widziany tu system wygląda jak świeżo instalowany lub reperowany nakładkowo. Niemożność pobrania plików oraz uszkadzanie pobieranych plików mogą mieć następujące przyczyny: - Aktywność oprogramowania zabezpieczającego, szczególnie zapory. Tu jest podejrzany, tzn. pakiet AVG Internet Security 2015 (posiada firewall). Na próbę odinstaluj AVG 2015 całkowicie i sprawdź jakie to ma rezultaty. - Problemy ze sterownikami sieciowymi (przestarzałe). Możliwe też problemy po stronie routera. - Problemy sprzętowe, np. błędy dysku czy RAM. Diagnostyka tego rodzaju to w innym dziale, czyli Hardware. PS. Stosowałeś RootkitRevealer. To jest tak archaiczny program (z 2006!), że praktycznie nieużyteczny i mało wiarygodny w dniu dzisiejszym. I możesz usunąć tymczasową (zbędną już) usługę Sophos Anti-Rootkit 1.5.20: S3 MEMSWEEP2; C:\Windows\system32\431B.tmp [6144 2011-05-12] (Sophos Plc) [File not signed] Uruchom Autoruns, w karcie Drivers skasuj MEMSWEEP2. Następnie ręcznie z dysku skasuj pliki spełniające model maski: C:\Windows\system32\*.tmp. Nie wiem o co chodzi. Ale czy przypadkiem wracając do komputera nie wklepałeś nieumyślnie z klawiatury jakiejś kombinacji, która mogła być przypisana w skrótach programu jako jego start?

Na zakończenie usuń używane skanery z G:\Pobrane\Bezpieczeństwo. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. PS. Drobny komentarz na temat Opera 12.17. Za jakiś czas przeglądarka będzie nieużytkowa na forach IPB 4.x (czyli i tu). Ta stara wersja nie jest w ogóle już wspierana przez CKEditor 4 i edytor na forach przestanie się ładować.

W systemie widoczna aktywna infekcja - wimsmrh.exe + startup.cmd w starcie. Widzę też, że aktualnie Google Chrome jest odinstalowane, ale nadal na dysku profil przeglądarki i ten będę także usuwać. Działania do przeprowadzenia: 1. Przywracanie systemu jest wyłączone: ==================== Restore Points ========================= ATTENTION: System Restore is disabled Wejdź do konfiguracji Przywracania: KLIK. Zaznacz Ochronę dla dysku C. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2634006867-1565456641-1371084864-1000\...\Run: [GalaxyClient] => [X] HKU\S-1-5-21-2634006867-1565456641-1371084864-1000\...\RunOnce: [winmsr] => C:\Users\Bartek\AppData\Roaming\wimsmrh.exe [49152 2015-07-12] () Startup: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\startup.cmd [2015-05-24] () S0 atjr; System32\drivers\ujvifla.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 MSICDSetup; \??\F:\CDriver64.sys [X] S3 NTIOLib_1_0_3; \??\C:\Program Files (x86)\MSI\Super Charger\NTIOLib_X64.sys [X] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X] Task: {44EFD393-4F29-4673-A993-969119185F5C} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline No Task File Task: {677CFDAD-9A70-40A4-BDDA-6169CBA78EFE} - System32\Tasks\{52B0BC1F-24A4-4709-84AA-EE7B6D106E53} => pcalua.exe -a "C:\Users\Bartek\Desktop\MP3 Player Utilities 4.15\Setup.exe" -d "C:\Users\Bartek\Desktop\MP3 Player Utilities 4.15" Task: {C41C5F3E-281B-461A-835F-08542403DC42} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask No Task File Task: {F2D72A1B-BC3A-49F6-B85D-F1B5882DF1FC} - \Bidaily Synchronize Task[pr] No Task File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" Folder: C:\Users\Bartek\AppData\Roaming\chext Folder: C:\Users\Bartek\AppData\Roaming\chextensions Folder: C:\Windows\PolicyDefinitions Folder: C:\Windows\System32\GroupPolicy Folder: C:\Windows\SysWOW64\GroupPolicy C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Opera C:\Users\Bartek\AppData\Local\Google C:\Users\Bartek\AppData\Roaming\updatecheck.bat C:\Users\Bartek\AppData\Roaming\wimsmrh.exe C:\Users\Bartek\AppData\Roaming\chext C:\Users\Bartek\AppData\Roaming\chextensions C:\Users\Bartek\AppData\Roaming\IGC C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Windows\system32\log C:\Windows\SysWOW64\tmp*.tmp Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Na razie nie instaluj Google Chrome. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Mówiłam wyraźnie, by Fixlist zapisać w UTF-8. Nie zrobiłeś tego. Dlatego "chiński" wpis (wymagany UTF-8): C:\Users\Forma\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦 ... został przerobiony na pytajniki (ANSI): C:\Users\Forma\AppData\Local??????????????????? FRST więc tego nie przetworzył. Kolejne poprawki: 1. Uruchom AdwCleaner ponownie, lecz tym razem zastosuj po kolei opcje Szukaj + Usuń (nie pomyl tego z Odinstaluj). Gdy AdwCleaner ukończy czyszczenie: 2. Otwórz Notatnik i wklej w nim: C:\Users\Forma\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦 RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: del /q C:\Users\Forma\Downloads\delfix_1.010.exe CMD: del /q C:\Users\Forma\Downloads\ji6688gv.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

johhny95 Proszę przeczytać opis narzędzia ESET Uninstaller. ESET Uninstaller nie działa w Trybie normalnym (zwraca błąd, że jest uruchomiony w nieodpowiednim trybie). Warunkiem jego użycia jest Tryb awaryjny, gdyż tylko wtedy można zlikwidować sterowniki ESET (są nieaktywne). Kaja Zanim podam końcowe kroki poproszę jeszcze o nowe raporty z FRST (włącznie z Addition) mające potwierdzić stan końcowy systemu.

Brakuje pliku fixlog.txt z wynikami.

Możliwe, że na Twoim systemie w Trybie awaryjnym pendrive przestał być widoczny. Zależy to od rodzaju hardware, na niektórych konfiguracjach pendrive jest dostępny w takim trybie, na innych zaś nie. Czy na pewno obecnie są widoczne problemy? Dużo dziadostwa usunęłam za pomocą FRST. Jeśli jednak nadal "muli", to przed stawianiem systemu na nowo upewnij się, że nie ma tu wpływu ESET, bo po stawianiu systemu na nowo + ESET może się okazać, że zmian brak. Oprogramowanie zabezpieczające to typowy podejrzany w takich przypadkach. Testowo go odinstaluj i sprawdź rezultaty.

A mówiłam byś nie instalował jeszcze Google Chrome, bo czyszczenie nie zostało ukończone... Zadałam czyszczenie Opery, zdecydowałeś się postąpić inaczej deinstalując ją - niestety pozostał profil Opery na dysku z adware. Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-871434758-139634626-509111008-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.hotsearches.info/?pid=24437&r=2015/07/13&hid=5357072140474448722&lg=EN&cc=PL&unqvl=90 SearchScopes: HKLM-x32 -> DefaultScope {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.hotsearches.info/?l=1&q={searchTerms}&pid=24437&r=2015/07/13&hid=5357072140474448722&lg=EN&cc=PL&unqvl=90 SearchScopes: HKLM-x32 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.hotsearches.info/?l=1&q={searchTerms}&pid=24437&r=2015/07/13&hid=5357072140474448722&lg=EN&cc=PL&unqvl=90 SearchScopes: HKU\S-1-5-21-871434758-139634626-509111008-1000 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.hotsearches.info/?l=1&q={searchTerms}&pid=24437&r=2015/07/13&hid=5357072140474448722&lg=EN&cc=PL&unqvl=90 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} C:\Users\Forma\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦 C:\Users\Forma\AppData\Local\Opera Software C:\Users\Forma\AppData\Roaming\Opera Software C:\Users\Forma\AppData\Roaming\Microsoft\Reversed Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie używaj Usuń) i dostarcz log z folderu C:\AdwCleaner.

W związku z tym, że wykonałeś tamten post, przywracam go, bo teraz to już zupełnie wątek od czapy. Tak, instrukcje nie były tożsame i mają swoje konsekwencje. 1. Nie wiem czy wykonałeś już potem czyszczenie Google Chrome ręcznie wg moich wskazówek, bo log FRST nie jest aż tak precyzyjny, by to potwierdzić. Instrukcje były zadane, gdyż czyszczenie Google Chrome AdwCleaner lub Fix FRST to nie są dobre metody. W obecnej sytuacji mnie interesuje wykonanie tych trzech: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > sprawdź czy widać Filter Results - brak wpisu w FRST nie jest dowodem, że pozycji brak. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. 2. Kolejny Fixlist: HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = C:\Users\Piotr\AppData\Roaming\Opera Software C:\Users\Public\Documents\Baidu Przedstaw wynikowy fixlog.txt.

Wykonane. Skasuj z dysku plik C:\Delfix.txt. To tyle.

Plik FRST.txt nie jest oryginalny - zapisałeś go ponownie do nowego pliku i zostało utracone kodowanie UTF-8 na rzecz ANSI (utrata specjalnych znaków). Nie kombinuj z raportami, dostarczaj to co wyprodukuje FRST. Google Chrome zostało przekonwertowane przez adware z wersji stabilnej do developerskiej - jest konieczna reinstalacja od zera. Od adware więcej obiektów widdocznych. A procesor jest obciążony, bo w systemie grasuje Bitcoin miner w postaci fałszywego "Steam" odpalanego via Harmonogram zadań. Stosowałeś HijackThis i interesuje mnie co usuwałeś za jego pomocą - to przestarzały program niekompatybilny z systemem 64-bit (pokazuje fałszywe "braki")! Akcje do wdrożenia: 1. Deinstalacje: ----> Przez panel sterowania odinstaluj adware/PUP: AnySend, bestadblocker, CPU Miner, SG Miner, Setup. Przed deinstalacją Google Chrome zresetuj synchronizację (o ile włączona): KLIK. Zaś przy deinstalacji zaznacz opcję Usuń także dane przeglądarki. I na razie nie instaluj tej przeglądarki. ----> Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście ukryty wpis adware globalupdate Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S4 mailUpdate; C:\ProgramData\MailUpdate\mailUpdate.exe [820736 2015-07-10] (Skytech Co., Ltd.) [File not signed] R1 wsafd_1_10_0_19; C:\Windows\System32\drivers\wsafd_1_10_0_19.sys [61312 2015-06-16] (Word Surfer) S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] Task: {802C3B20-BFA1-40C0-947A-F03103E28F03} - System32\Tasks\vXP876ljsOm => C:\Users\Forma\AppData\Roaming\vXP876ljsOm.exe Task: {816184CE-16F4-41D0-8F6F-9A57B5408574} - System32\Tasks\Steam-S-1-8-22-9865GUI => C:\Users\Forma\AppData\Roaming\Microsoft\Reversed\steam.exe [2015-07-13] () Task: {8C09839F-6440-4FE6-8A0F-D018AEAEEDE9} - System32\Tasks\WordSurfer Auto Updater 1.10.0.19 Pending Update => C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe Task: {B61FCB50-C923-4B21-B098-A380100B9969} - System32\Tasks\WordSurfer Auto Updater 1.10.0.19 Core => C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe Task: {E169DCBC-7500-4CE3-B56A-133DD2DF9897} - System32\Tasks\SpeakMore => c:\programdata\{9d1cd31f-1db7-437a-9d1c-cd31f1db4c7c}\sevensetup.exe [2015-07-13] () Task: {F477CA07-D3A1-4B63-B688-E10C543039DB} - \SmartWeb Upgrade Trigger Task No Task File Task: C:\Windows\Tasks\SpeakMore.job => c:\programdata\{9d1cd31f-1db7-437a-9d1c-cd31f1db4c7c}\sevensetup.exe Task: C:\Windows\Tasks\vXP876ljsOm.job => C:\Users\Forma\AppData\Roaming\vXP876ljsOm.exe ShortcutWithArgument: C:\Users\Forma\Desktop\Opera.lnk -> C:\Users\Forma\AppData\Local\Programs\Opera\launcher.exe (Opera Software) -> hxxp://www.mystartsearch.com/?type=sc&ts=1436799223&z=e9875a49d823e609b5bfec5g2z8c1q8m4tetco7edm&from=cmi&uid=ST1000DM003-1ER162_Z4Y3XFPJXXXXZ4Y3XFPJ ShortcutWithArgument: C:\Users\Forma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1436799223&z=e9875a49d823e609b5bfec5g2z8c1q8m4tetco7edm&from=cmi&uid=ST1000DM003-1ER162_Z4Y3XFPJXXXXZ4Y3XFPJ ShortcutWithArgument: C:\Users\Forma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Users\Forma\AppData\Local\Programs\Opera\launcher.exe (Opera Software) -> hxxp://www.mystartsearch.com/?type=sc&ts=1436799223&z=e9875a49d823e609b5bfec5g2z8c1q8m4tetco7edm&from=cmi&uid=ST1000DM003-1ER162_Z4Y3XFPJXXXXZ4Y3XFPJ ShortcutWithArgument: C:\Users\Forma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1436799223&z=e9875a49d823e609b5bfec5g2z8c1q8m4tetco7edm&from=cmi&uid=ST1000DM003-1ER162_Z4Y3XFPJXXXXZ4Y3XFPJ ShortcutWithArgument: C:\Users\Forma\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1436799223&z=e9875a49d823e609b5bfec5g2z8c1q8m4tetco7edm&from=cmi&uid=ST1000DM003-1ER162_Z4Y3XFPJXXXXZ4Y3XFPJ CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-871434758-139634626-509111008-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = Toolbar: HKU\S-1-5-21-871434758-139634626-509111008-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File StartMenuInternet: IEXPLORE.EXE - iexplore.exe C:\Program Files (x86)\5e7a51f3-1bd9-4eae-aad0-38c415393cca C:\Program Files (x86)\ 1Button App for Chrome C:\Program Files (x86)\CCutThePricce C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Google\Chrome C:\ProgramData\{9d1cd31f-1db7-437a-9d1c-cd31f1db4c7c} C:\ProgramData\17927770879032528778 C:\ProgramData\MailUpdate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\Forma\AppData\Local\30175 C:\Users\Forma\AppData\Local\Google\Chrome C:\Users\Forma\AppData\Local\globalUpdate C:\Users\Forma\AppData\Local\SmartWeb C:\Users\Forma\AppData\Roaming\vXP876ljsOm C:\Users\Forma\AppData\Roaming\cpuminer C:\Users\Forma\AppData\Roaming\MailUpdate C:\Users\Forma\AppData\Roaming\Microsoft\Reversed\steam.exe C:\Users\Forma\Desktop\Continue Games Desktop.lnk C:\Users\Forma\Downloads\*(*)-dp*.exe C:\Windows\hgfs.sys C:\Windows\prleth.sys C:\Windows\pss\crossbrowse.lnk.Startup C:\Windows\pss\SmartWeb.lnk.Startup C:\Windows\system32\cpuminer-conf.json C:\Windows\System32\drivers\wsafd_1_10_0_19.sys C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Folder: C:\Users\Forma\AppData\Roaming\Microsoft\Reversed CMD: type C:\Windows\system32\Drivers\etc\hp.bak Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdatem" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gopibeko" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\IHProtect Service" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\mailUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\nilewohe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\vicoqudu" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\wsasvc_1.10.0.19" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\zejytose" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Operę z adware: CTRL+SHIFT+E i na liście Rozszerzeń za pomocą X zlikwiduj CinemaPlus-3.2cV13.07. 4. Zrób nowy log FRST z opcji Scan - zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się co się dzieje.

Akcja wykonana. Na zakończenie: Odinstaluj USBFix. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Zestaw logów niekompletny - brak obowiązkowych logów FRST Addition + Shortcut. Wracaj do instrukcji tworzenia raportów i dostarcz brakujące pliki: KLIK.