picasso

Logi z OTL nie są obowiązkowe i usuwam. Stosowałeś jaki skrypt usuwający do OTL - co to było i skąd? W systemie grasuje popularna tu ostatnio infekcja w postaci fałszywej usługi "cieniowania woluminu". Akcje do wdrożenia: 1. Otwórz Notatnik i wklej w nim: R2 VSSS; C:\Users\Grzegorz\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [106359424 2015-06-23] (Microsoft Corporation) [File not signed] S2 avgfws; "C:\Program Files (x86)\AVG\AVG2015\avgfws.exe" [X] S0 cm_km_w; system32\DRIVERS\cm_km_w.sys [X] S1 hzszkayk; \??\C:\WINDOWS\system32\drivers\hzszkayk.sys [X] S3 intaud_WaveExtensible; \SystemRoot\system32\drivers\intelaud.sys [X] S3 iwdbus; \SystemRoot\System32\drivers\iwdbus.sys [X] S2 kldisk; \SystemRoot\system32\DRIVERS\kldisk.sys [X] S1 Klwtp; \SystemRoot\system32\DRIVERS\klwtp.sys [X] R4 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X] S3 usb3Hub; \SystemRoot\System32\drivers\usb3Hub.sys [X] S3 XHCIPort; \SystemRoot\System32\drivers\XHCIPort.sys [X] HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-1195767892-898069442-3820156252-1002\...\Run: [AceWebException] => C:\Users\Grzegorz\AppData\Roaming\AceWebExtension\updater\ace_web_extension.exe [22824 2015-02-28] () ShellIconOverlayIdentifiers: [sugarSyncBackedUp] -> {0C4A258A-3F3B-4FFF-80A7-9B3BEC139472} => No File ShellIconOverlayIdentifiers: [sugarSyncPending] -> {62CCD8E3-9C21-41E1-B55E-1E26DFC68511} => No File ShellIconOverlayIdentifiers: [sugarSyncRoot] -> {A759AFF6-5851-457D-A540-F4ECED148351} => No File ShellIconOverlayIdentifiers: [sugarSyncShared] -> {1574C9EF-7D58-488F-B358-8B78C1538F51} => No File HKU\S-1-5-21-1195767892-898069442-3820156252-1002\Software\Microsoft\Internet Explorer\Main,Start Page = https://mysearch.avg.com/?cid={B4B56E63-B3D8-4505-8723-348C611CD0B8}&mid=8f655335c45347cd9dc5314fa05b5230-6bed12d77deea99345a0cedb1c9141571f9fc80a&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0215pi&pr=fr&d=2015-03-24 19:11:32&v=4.1.0.411&pid=wtu&sg=&sap=hp SearchScopes: HKU\S-1-5-21-1195767892-898069442-3820156252-1002 -> DefaultScope {04311CAB-6B0E-4E4E-BDCD-6283C1C0ADE0} URL = SearchScopes: HKU\S-1-5-21-1195767892-898069442-3820156252-1002 -> {04311CAB-6B0E-4E4E-BDCD-6283C1C0ADE0} URL = SearchScopes: HKU\S-1-5-21-1195767892-898069442-3820156252-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File FirewallRules: [TCP Query User{702FC1AA-C29F-4662-AEE9-76087FEF9DE7}C:\users\grzegorz\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\grzegorz\appdata\roaming\acestream\engine\ace_engine.exe FirewallRules: [uDP Query User{2DD5C466-6F65-40BC-8DEE-4B3D34132039}C:\users\grzegorz\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\grzegorz\appdata\roaming\acestream\engine\ace_engine.exe C:\Program Files\*.exe C:\Program Files (x86)\AVG C:\Program Files (x86)\Kaspersky Lab C:\Program Files\Common Files\AV C:\ProgramData\AVG2015 C:\ProgramData\MFAData C:\Users\Grzegorz\AppData\Local\MFAData C:\Users\Grzegorz\AppData\Roaming\.ACEStream C:\Users\Grzegorz\AppData\Roaming\ACEStream C:\Users\Grzegorz\AppData\Roaming\AceWebExtension C:\Users\Grzegorz\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe C:\_acestream_cache_ DisableService: Internet Manager. RunOuc Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

O jakim systemie operacyjnym mowa? Czy w tle działa jakiś antywirus, a jeśli jest to czy po jego wyłączeniu jest możliwe uruchomienie w/w programów? Czy jest możliwe (korzystając jednak z zupełnie innego nośnika niż ów zainfekowany pendrive) pobrać FRST i GMER na innym komputerze (inny nośnik, by infekcji nie roznieść na drugi komputer), następnie uruchomić je z poziomu Trybu awaryjnego Windows?

Kolejne czynności pod kątem usuwania infekcji: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wykonaj skany za pomocą Hitman Pro oraz Malwarebytes Anti-Malware. Nic nie usuwaj, dostarcz tylko raporty skanerów. Wyniki sfc zostały wydrukowane w skrypcie FRST za pomocą komendy CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log. Narzędzie notuje następujące nienaprawialne uszkodzenia: 2015-06-29 21:19:23, Info CSI 000008e2 [sR] Cannot repair member file [l:24{12}]"utc.app.json" of Microsoft-Windows-Unified-Telemetry-Client, Version = 6.3.9600.17842, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-06-29 21:19:23, Info CSI 000008e4 [sR] Cannot repair member file [l:66{33}]"telemetry.ASM-WindowsDefault.json" of Microsoft-Windows-Unified-Telemetry-Client, Version = 6.3.9600.17842, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-06-29 21:19:23, Info CSI 000008e6 [sR] Cannot repair member file [l:34{17}]"I386\STDSCHMX.GDL" of ntprint.inf, Version = 6.3.9600.17415, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type = [l:24{12}]"driverUpdate", TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-06-29 21:19:23, Info CSI 000008e8 [sR] Cannot repair member file [l:34{17}]"I386\STDSCHMX.GDL" of ntprint.inf, Version = 6.3.9600.17415, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type = [l:24{12}]"driverUpdate", TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-06-29 21:19:23, Info CSI 000008e9 [sR] This component was referenced by [l:164{82}]"Package_706_for_KB3000850~31bf3856ad364e35~amd64~~6.3.1.8.3000850-1750_neutral_GDR" 2015-06-29 21:19:23, Info CSI 000008eb [sR] Cannot repair member file [l:24{12}]"utc.app.json" of Microsoft-Windows-Unified-Telemetry-Client, Version = 6.3.9600.17842, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-06-29 21:19:23, Info CSI 000008ec [sR] This component was referenced by [l:154{77}]"Package_1_for_KB3068708~31bf3856ad364e35~amd64~~6.3.1.0.3068708-1_neutral_GDR" 2015-06-29 21:19:23, Info CSI 000008ee [sR] Cannot repair member file [l:66{33}]"telemetry.ASM-WindowsDefault.json" of Microsoft-Windows-Unified-Telemetry-Client, Version = 6.3.9600.17842, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-06-29 21:19:23, Info CSI 000008ef [sR] This component was referenced by [l:154{77}]"Package_1_for_KB3068708~31bf3856ad364e35~amd64~~6.3.1.0.3068708-1_neutral_GDR" Prawdopodobnie są to skutki złych bloków dysku. Na razie wątek zostawiam, gdyż: - Te wyniki nie wyglądają na krytyczne. - Bez podmiany plikami dostarczonymi przeze mnie z mojego systemu Windows 8.1 x64 i tak nie ma jak tego naprawić. Musi być identyczna suma MD5 zgodna z wersją komponentu, tu nie przejdzie podmiana plikiem o takiej samej nazwie. - Nie wiadomo co wykaże diagnostyka sprzętowa dysku - może się i tak szykować reinstalacja Windows.

Hitman wykrył jeden szczątkowy klucz po adware (przedstawiany "podwójnie" - jedna z lokalizacji to skrót zwrotny). Usuń za pomocą programu. Na koniec wyczyść foldery Przywracania systemu: KLIK.

Poproszę o dostarczenie raportów z FRST.

Prawie wszystko zrobione. Jedna z komend się nie wykonała (za późno poprawiłam literówkę). Kolejne poprawki. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Eaphost\Methods /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\FontCache3.0.0.0 /s S4 sptd; C:\Windows\System32\Drivers\sptd.sys [845560 2012-09-21] (Duplex Secure Ltd.) C:\Windows\System32\Drivers\sptd.sys RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Google Chrome zostało przekonwertowane przez adware z wersji stabilnej do developerskiej i wymagana kompletna reinstalacja od zera. Ponadto, nadal ładuje się malware z przejętej klasy {56FDF344-FD6D-11d0-958A-006097C9A090}, produkując coraz to nowe "bełkotliwe" foldery w Roaming. Jest też dużo różnych innych śmieci (puste skróty aplikacji w Menu Start, śmieci w Harmonogramie). Stosowałeś wątpliwe skanery SpyHunter, STOPzilla i archaiczny SpywareTerminator. Akcje do przeprowadzenia: 1. Działania związane z Google Chrome: Wyeksportuj tylko zakładki do pliku. Następnie zresetuj synchronizację (o ile włączona): KLIK. Odinstaluj przeglądarkę - przy deinstalacji zaznacz opcję Usuń także dane przeglądarki. Na razie nie instaluj Google Chrome. 2. Przez Panel sterowania odinstaluj zbędniki: Carambis Driver Updater, HyperCam Toolbar, McAfee Security Scan Plus, SpyHunter 4, Qtrax Player, UsbFix By El Desaparecido. Jeśli coś będzie niewidoczne, lub nie będzie się dało odinstalować, kontynuuj dalej. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: (Microsoft Corporation) C:\Windows\explorer.exe CustomCLSID: HKU\S-1-5-21-2122632447-3009132497-1824439013-1000_Classes\CLSID\{0D083146-4631-4BDD-A2A3-FDC7B3D5354D}\InprocServer32 -> C:\Program Files (x86)\TNT2\Profiles\10809\passport64.dll No File CustomCLSID: HKU\S-1-5-21-2122632447-3009132497-1824439013-1000_Classes\CLSID\{56FDF344-FD6D-11d0-958A-006097C9A090}\InprocServer32 -> C:\Users\User\AppData\Roaming\tricomfi\tivesen.dll No File Task: {0147D6A3-A951-45BB-8EEA-0EBF9CF2C4EE} - System32\Tasks\{11A92B39-82FD-40F0-9354-8A6101FCAD40} => Z:\Setup.exe Task: {03AC3746-4F3A-44AA-A88A-F0C2B7402BF2} - System32\Tasks\{1F70D7DC-1657-4F22-ACB2-E282F24A905E} => pcalua.exe -a Z:\WM9\WM9Codecs.exe -d Z:\WM9 Task: {0A078CA5-356E-4253-82A7-202213480249} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-11 No Task File Task: {0B28910B-7FA0-49CE-8547-299D8BBC2A15} - System32\Tasks\{BEB4D67E-10C1-4D0C-B3A4-8506258585F2} => Z:\Install\TwoWorlds_RADEON.exe Task: {1042AE1E-728F-4F2D-8AAF-38278AAD47B4} - System32\Tasks\{608D9FB3-184E-428A-BBBB-2ED92333D944} => pcalua.exe -a H:\setup.exe -d H:\ Task: {11F39DDB-DA91-4204-A49F-552F56BFEC7D} - System32\Tasks\{64CCA3E8-03DE-4ADE-9368-ECF901C40BDF} => C:\Program Files (x86)\Diablo II + Diablo II - Lord of Destruction PL\Diablo II.exe Task: {131F2298-AB3C-4FD7-B57F-F0950C8E36B4} - System32\Tasks\{A9569A72-CC59-4656-9EA2-0CA7D8D02BB3} => Z:\Setup.exe Task: {13468A67-80A8-47A4-9719-54B1A51EE6D2} - System32\Tasks\{16CA8704-3DFE-467B-BCB6-48947C3B69E9} => C:\Program Files (x86)\Diablo II + Diablo II - Lord of Destruction PL\Diablo II.exe Task: {15994D1C-BDF8-4F30-B7E4-768C10F7F875} - System32\Tasks\{B256A2A3-2DE3-4830-898D-0E7A1A2C5D04} => Z:\Setup.exe Task: {244DE28B-C3A6-4154-A0FD-F7B7BC0877CF} - \3904021f-e269-4d64-88b3-1d7db1b5d60f-7 No Task File Task: {26325694-AB4D-4BC8-84FE-DD24018E416F} - System32\Tasks\{E7EC618B-C194-48D3-96FE-372A24FA059E} => Z:\Setup.exe Task: {29043ACA-4D67-40A3-80BB-E53BC2F9F53E} - System32\Tasks\{8DDE688A-40A7-4BA0-B453-4261E1CF571B} => pcalua.exe -a C:\Users\User\AppData\Local\Temp\7zS110B.tmp\MicroInstallerNative.exe -d C:\Users\User\AppData\Local\Temp\7zS110B.tmp Task: {2DAE7CCF-D7C1-40B8-8036-2825D1D3C08A} - \1c4fb8c3-4482-4747-aa6c-6a5ce886c1ec-2 No Task File Task: {33B86D01-84A4-485A-A81B-8632A327AFD8} - System32\Tasks\{1F8415AA-5FF6-4257-AFD4-8F94C94D5FBC} => Z:\Setup.exe Task: {36FAEE96-CFA0-48D3-A7F0-3FE38B7940DF} - System32\Tasks\{611C4656-CB45-47E4-997D-92C6EC522871} => C:\Program Files (x86)\Diablo II + Diablo II - Lord of Destruction PL\Diablo II.exe Task: {3750DAD9-FFF6-4E68-9CFD-60C6A0589899} - \3904021f-e269-4d64-88b3-1d7db1b5d60f-5 No Task File Task: {3AD8345F-59F8-46C8-8097-DA971F711132} - \3904021f-e269-4d64-88b3-1d7db1b5d60f-3 No Task File Task: {3F22BCB7-F77C-49CD-B641-A3EB5FEA7A5D} - System32\Tasks\{8AD84287-54C5-4015-841D-96635B2DF2A9} => pcalua.exe -a "C:\Program Files (x86)\Diablo 2\Setup.exe" -d "C:\Program Files (x86)\Diablo 2" Task: {40B714A7-1792-4374-A602-786F9CD5AD43} - System32\Tasks\{F03CE0B1-C25E-4A8A-8B57-70CC506A32AE} => pcalua.exe -a C:\Users\User\AppData\Local\TNT2\2.0.0.1702\TNT2User.exe -c /UNINSTALL PARTNER=10809 Task: {483948AD-0CCD-4F44-880D-2C44A3AECF14} - \1c4fb8c3-4482-4747-aa6c-6a5ce886c1ec-7 No Task File Task: {4BCDFC77-D58F-43A6-BAD8-C58A22EAF558} - \1c4fb8c3-4482-4747-aa6c-6a5ce886c1ec-11 No Task File Task: {4DAEEC8D-F40C-4AA8-8620-DBDA9D781FDB} - \3904021f-e269-4d64-88b3-1d7db1b5d60f-6 No Task File Task: {53B04A56-6CF0-4B7D-B8B6-EDE68ED80AAE} - \1c4fb8c3-4482-4747-aa6c-6a5ce886c1ec-5_user No Task File Task: {53E60E56-D6C2-41F2-8EFF-E1EB93DCFE5D} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-3 No Task File Task: {5BBDE433-3FAB-4393-B990-B552C27E0E2B} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-5 No Task File Task: {5C000558-C2F7-4C41-ABE3-73E31FDA95AF} - System32\Tasks\{C685E596-885D-47E9-B1C2-6602FE095B6F} => Z:\Setup.exe Task: {5E1534DA-9849-40FA-8390-C685212675DF} - \1c4fb8c3-4482-4747-aa6c-6a5ce886c1ec-5 No Task File Task: {5F79C8DA-DCF0-4200-A846-6693D0D660BE} - System32\Tasks\{91EDAF26-0E0C-4D4A-9BAE-DDF19A2574FA} => C:\Program Files (x86)\Diablo II + Diablo II - Lord of Destruction PL\Diablo II.exe Task: {68F102F3-1C50-43EB-B1B6-71AA4B8AF6AB} - System32\Tasks\{7EDC5FF0-870C-4164-A859-BBC9EE8962AB} => pcalua.exe -a "C:\Program Files\AVAST Software\Avast\aswRunDll.exe" -c "C:\Program Files\AVAST Software\Avast\Setup\setiface.dll" RunSetup Task: {6A1309B6-ED26-4BE2-812D-2B555B76ED3F} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-2 No Task File Task: {7107BE0D-FD61-46DC-80D5-6D15604E53CE} - \3904021f-e269-4d64-88b3-1d7db1b5d60f-2 No Task File Task: {71F7CB6A-61D5-4DB7-ADFD-F2314B7E9822} - System32\Tasks\{398B5C92-E1D6-44CC-BFC2-4E48AF8175F4} => Z:\Setup.exe Task: {7345C1B2-39CD-44DD-8BE5-08048774F356} - \1c4fb8c3-4482-4747-aa6c-6a5ce886c1ec-6 No Task File Task: {74E7D659-24CE-43AD-925B-C8C9F588B119} - \3904021f-e269-4d64-88b3-1d7db1b5d60f-1 No Task File Task: {7B6B0442-3AB4-405F-9A26-D4BA8D677553} - System32\Tasks\{01BC9750-462E-4ABE-A7B8-54AD88532321} => Z:\Setup.exe Task: {8286B5E4-95D5-40A7-A39E-AFB2F8ECDD58} - System32\Tasks\{E033DC38-7C64-4DF6-BACC-DA1525358C61} => Z:\Setup.exe Task: {8417B0D2-9302-4BAB-80C4-56E383F51293} - System32\Tasks\{6E84CF2A-DB65-4A8B-AADF-CB062F6F91B2} => Z:\Setup.exe Task: {85BB0B83-7927-45A5-BE3C-4254BB06F690} - \1c4fb8c3-4482-4747-aa6c-6a5ce886c1ec-1 No Task File Task: {8AD2F891-1F12-4910-B4DB-5957CB0CC105} - System32\Tasks\{2461F301-C778-4CBA-BC2E-BE04A7AF28F0} => Z:\Setup.exe Task: {8C8D808E-5730-4BE2-A257-93163A4B7633} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-7 No Task File Task: {931C84EA-843C-4622-97CA-98D594180EF9} - System32\Tasks\{FE9BB53E-0FB5-4B11-AD91-AA9C40198E2B} => Z:\Setup.exe Task: {9FD315FF-990E-4177-ACE2-FA021D99A136} - System32\Tasks\{FC00D634-919C-4416-BEF7-A4E7A4CDA2EA} => Z:\Setup.exe Task: {A1FD9D28-CE13-460A-A4E8-208D27697C60} - System32\Tasks\{84EF8A0E-9AB8-436D-A3CF-502318985BD9} => Z:\Setup.exe Task: {A7642474-56F5-4EF4-8080-0A2EDFE2EBD9} - System32\Tasks\{16630745-80B5-4014-8869-4D49A6E79F84} => C:\Program Files (x86)\Diablo II + Diablo II - Lord of Destruction PL\Diablo II.exe Task: {A9253568-E974-4CA0-A8CD-DF636B306F67} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-1 No Task File Task: {AE932370-E6EB-4507-A4EB-D98128015542} - System32\Tasks\{BEF16A9D-AF9B-44B6-8259-565E2A09C365} => msiexec.exe /package "E:\AMD\AMD_Catalyst_11.12_Win_XP\Packages\Drivers\Display\XP_INF\CX129964.msi" Task: {AEEFB688-246E-406A-A5BD-3E5F34FE6531} - System32\Tasks\{09D3AA2A-93C6-4CFC-9582-C645DEDB8F66} => pcalua.exe -a "E:\Documents and Settings\Admin\Moje dokumenty\Downloads\cstrike.exe" -d "E:\Documents and Settings\Admin\Moje dokumenty\Downloads" Task: {BDB2421E-D82E-4F3B-9A69-9153B1E244C8} - System32\Tasks\{C7C81142-6648-4B34-88E5-104C7ACE5021} => Z:\Setup.exe Task: {C0723157-AB02-4BF0-AF50-C90D4D523440} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-5_user No Task File Task: {D1282B33-9AC3-49B0-B0BD-953610E59E4C} - \1c4fb8c3-4482-4747-aa6c-6a5ce886c1ec-4 No Task File Task: {D4B1FF41-72A1-4104-A741-4880E57C5FA2} - System32\Tasks\{9529DA08-7BEC-44DF-B4C7-7708EEB64C73} => C:\Program Files (x86)\Diablo II + Diablo II - Lord of Destruction PL\Diablo II.exe Task: {D4D469D9-DF7F-4C43-9975-42BD57430B98} - System32\Tasks\{24E607FB-4B41-4C60-8DCB-D38AD9062A8C} => pcalua.exe -a C:\Users\User\Downloads\DQ20zip\setup.exe -d C:\Users\User\Downloads\DQ20zip Task: {D532FEC3-5932-494C-9343-F02C7C4CAD00} - System32\Tasks\{83AB5873-966D-48DA-855B-0D7A897F8259} => Z:\Install\TwoWorlds_RADEON.exe Task: {DA369AFE-340E-498E-9A58-E80690C533EF} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-4 No Task File Task: {DDA20EDE-1BCB-4010-AC6F-62457267E4F5} - System32\Tasks\{6340F2B2-6CC1-4E35-9E64-B23E34E17C43} => Z:\Setup.exe Task: {DDC682B5-F41D-4C37-BDCE-638A2D133833} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-6 No Task File Task: {DECBA946-C6F3-47A3-B816-48B3480F4D8B} - System32\Tasks\{F0619166-E937-4437-822F-A8A36157DEC3} => pcalua.exe -a C:\Users\User\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=amt Task: {E055F2E3-858A-4134-A821-91EAD34CA4B6} - \3904021f-e269-4d64-88b3-1d7db1b5d60f-4 No Task File Task: {E2F70A87-6CED-4DBB-919D-8484D9FE0636} - System32\Tasks\{2A2A753B-3A1A-4AC0-8358-6AD03866F593} => C:\Program Files (x86)\Rockstar Games\GTA San Andreas\gta_sa.exe Task: {E8553DB5-3FDD-4EAA-93E3-9D144B003B73} - System32\Tasks\{77D8D460-7514-444D-AD26-C99C55CECB42} => pcalua.exe -a "D:\Rasy\Cliff Elf v1.exe" -d D:\Rasy Task: {F16F4E60-184B-4657-8FE3-312216B27780} - System32\Tasks\{37C8921E-42DF-454B-8872-50FAFFC8D5D5} => Z:\Setup.exe Task: {F762360D-F6AE-4D24-B200-4E56B55EB0B4} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe Task: {F77E2C3D-BA6E-4040-8A95-24583F64CE3B} - System32\Tasks\{A447FFE8-3E92-4422-BB72-0929BB7806F1} => Z:\Setup.exe Task: {FBB59B77-E872-47F9-9548-AE40A53D8A63} - System32\Tasks\{AE73BD4F-562F-45CE-ABB9-4FAF74DF65B1} => Z:\Setup.exe Task: {FFEA354A-001F-47BF-9484-5E0E7EA616F7} - System32\Tasks\{F68BC186-E986-4669-9C56-49BAD415067B} => Z:\Setup.exe S2 863788fa; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\goopad\goopad.dll",serv S3 ATICDSDr; \??\C:\Users\User\AppData\Local\Temp\ATICDSDr.sys [X] S3 BT; system32\DRIVERS\btnetdrv.sys [X] S3 BTCOM; system32\DRIVERS\btcomport.sys [X] S3 Btcsrusb; System32\Drivers\btcusb.sys [X] S3 gfiark; system32\drivers\gfiark.sys [X] S3 IvtComBusSrv; System32\Drivers\btcombus.sys [X] S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] S0 szkg5; SySWOW64\drivers\szkg64.sys [X] S3 vserial; System32\DRIVERS\vserial.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X] HKU\S-1-5-21-2122632447-3009132497-1824439013-1000\Software\Classes\.exe: exefile => HKU\S-1-5-21-2122632447-3009132497-1824439013-1000\Software\Classes\exefile: HKU\S-1-5-21-2122632447-3009132497-1824439013-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-2122632447-3009132497-1824439013-1000\...\Run: [Connectify-Installer] => C:\Users\User\AppData\Local\Temp\Connectify\Connectify2015Installer_cnet_.exe [10318768 2015-06-10] (Connectify) Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\M.A-1.20.x.lnk [2015-03-12] ShortcutTarget: M.A-1.20.x.lnk -> C:\ProgramData\{be1d3c5b-0d5f-cc50-be1d-d3c5b0d5f16c}\M.A-1.20.x.exe (No File) ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\User\AppData\Local\MEGAsync\ShellExtX64.dll No File ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\User\AppData\Local\MEGAsync\ShellExtX64.dll No File ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\User\AppData\Local\MEGAsync\ShellExtX64.dll No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\User\AppData\Local\MEGAsync\ShellExtX32.dll No File ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\User\AppData\Local\MEGAsync\ShellExtX32.dll No File ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\User\AppData\Local\MEGAsync\ShellExtX32.dll No File BootExecute: autocheck autochk * sdnclean64.exe CHR HKLM-x32\...\Chrome\Extension: [gbdabnfmdemcjjadpkpjibhhacggangd] - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\novo_price_comparison.crx [Not Found] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKU\.DEFAULT\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2122632447-3009132497-1824439013-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-2122632447-3009132497-1824439013-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-2122632447-3009132497-1824439013-1000\Software\Microsoft\Internet Explorer\Main,Default_search_url = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Toolbar: HKU\S-1-5-21-2122632447-3009132497-1824439013-1000 -> FindWide Toolbar - {0D083146-4631-4BDD-A2A3-FDC7B3D5354D} - C:\Program Files (x86)\TNT2\Profiles\10809\passport64.dll No File FF HKU\S-1-5-21-2122632447-3009132497-1824439013-1000\...\Firefox\Extensions: [{B64D9B05-48E1-4CEB-BF58-E0643994E900}] - C:\Program Files (x86)\Common Files\DVDVideoSoft\plugins\ff HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" Tcpip\..\Interfaces\{D2349193-633D-4ABF-982A-E6AD402640C9}: [NameServer] Tcpip\..\Interfaces\{8A5A9908-3DEA-4BE1-9521-38C604FF680D}: [NameServer] AlternateDataStreams: C:\Windows\System32:{4B9A1497-0817-47C4-9612-D6A1C53ACF57} C:\Program Files (x86)\Smart File Advisor C:\ProgramData\mtbjfghn.xbe C:\ProgramData\{be1d3c5b-0d5f-cc50-be1d-d3c5b0d5f16c} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PaintTool SAI Ver.1.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PhotoStage Slideshow Producer.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Switch Sound File Converter.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VideoPad Video Editor.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\3DO C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AphelionOnline C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audio Related Programs C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Catalyst Control Center C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ColdTurkey C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dll-Files Fixer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free Lunch Design C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GIMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gothic C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GTA San Andreas 107 [AmGaD-SaLaH] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\League of Legends C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Little Fighter 2 version 2.0a C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Little Fighter vDragon Ball Z C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mirillis C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NCH Software Suite C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Catalyst\FIFA 13 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reality Pump\Two Worlds II C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Risen 3 - Titan Lords C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart File Advisor C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sony C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Splashtop Remote C:\ProgramData\Microsoft\Windows\Start Menu\Programs\sXe Injected C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ulead VideoStudio 11 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Video Related Programs C:\ProgramData\STOPzilla! C:\ProgramData\TEMP C:\Users\User\AppData\Local\Microsoft\Windows\GameExplorer\{3B89EC98-3563-4AAF-A26E-D49F77E627CD} C:\Users\User\AppData\Local\Microsoft\Windows\GameExplorer\{B79933BE-4C3D-4639-9C72-DFEB2690E8A8} C:\Users\User\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\User\AppData\Local\updater.log C:\Users\User\AppData\Roaming\appdataFr25.bin C:\Users\User\AppData\Roaming\id.txt C:\Users\User\AppData\Roaming\aqhwflkn C:\Users\User\AppData\Roaming\bixaiuzr C:\Users\User\AppData\Roaming\erlycedq C:\Users\User\AppData\Roaming\iqejovto C:\Users\User\AppData\Roaming\hnojaegz C:\Users\User\AppData\Roaming\kbbdbdzd C:\Users\User\AppData\Roaming\ncppweev C:\Users\User\AppData\Roaming\nufezamc C:\Users\User\AppData\Roaming\ooojrkqq C:\Users\User\AppData\Roaming\osqoelcp C:\Users\User\AppData\Roaming\rljgmiob C:\Users\User\AppData\Roaming\ssqffzfz C:\Users\User\AppData\Roaming\ucasmuhc C:\Users\User\AppData\Roaming\usartyxu C:\Users\User\AppData\Roaming\zbczctrs C:\Users\User\AppData\Roaming\zuaicjnl C:\Users\User\AppData\Roaming\xyitlgco C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Diablo II + Diablo II - Lord of Destruction PL 1.12a.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Audio Related Programs C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DC++ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mirillis C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Modiac MP3 to AVI Audio Converter C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\NCH Software Suite C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Video Related Programs C:\Users\User\AppData\Roaming\TuneUp Software C:\Users\Public\Desktop\ GTA San Andreas 107 [AmGaD-SaLaH].lnk C:\Users\Public\Desktop\Origin.lnk C:\Users\User\Desktop\Cain.lnk C:\Users\User\Documents\Icy Tower.lnk C:\Users\User\Documents\PaintTool SAI Ver.1.lnk C:\Users\User\Documents\My Games\Nowy folder.lnk C:\Users\User\Downloads\*(*)-dp*.exe C:\Users\User\Downloads\SpyHunter-Installer*.exe C:\Users\User\Downloads\SpywareTerminatorSetup.exe C:\Users\User\Downloads\STOPzillaASM_Setup.exe C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\system32\Drivers\kgpcpy.cfg C:\Windows\SysWOW64\Drivers\kgpfr2.cfg DisableService: Mobile Partner. RunOuc DisableService: PLAY ONLINE. RunOuc CMD: netsh advfirewall reset Reg: reg add HKCR\Unknown\shell\openas\command /ve /t REG_EXPAND_SZ /d "%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" /f Reg: reg add HKCR\Unknown\shell\opendlg\command /ve /t REG_EXPAND_SZ /d "%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" /f Reg: reg delete HKCR\Unknown\shell\openas\command /v sfa_backup /f Reg: reg delete HKCR\Unknown\shell\opendlg\command /v sfa_backup /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\808638919.portal.qtrax.com /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{84178AE8-C22D-48CB-A6BA-D116FD3FE469} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SpyHunter /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\HyperCam Toolbar" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MyPublicWiFi" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Optimizer Pro" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Smart File Advisor" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpywareTerminatorShield" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpywareTerminatorUpdater" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan - zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Pytanie dodatkowe - co tu było robione z Internet Explorer? Jest notowany brak jego plików: Shortcut: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (No File) Shortcut: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (No File)

Temat przenoszę do działu Windows. W raportach brak oznak infekcji. Raporty są też bezużyteczne, by ocenić o co chodziło wcześniej, bo oglądany Windows to jest świeża instalacja, brak danych co ładowało się wcześniej. "Odśwież komputer" zrzuca obraz systemu - zeruje cały Windows i wszystkie aplikacje desktopowe (z wyjątkiem tych zintegrowanych z obrazem, tu integracje ASUSowe typu McAfee), portuje tylko aplikacje Modern UI (FRST ich w ogóle nie skanuje) oraz podstawowe ustawienia z poprzedniego setupu (np. typu tapeta).

Wszystko zrobione. Teraz: 1. Usuń używane narzędzia za pomocą DelFix. 2. Zrób skan za pomocą Hitman Pro. Nic nie usuwaj, dostarcz tylko raport co program wykrywa.

Infekcja wstępnie usunięta. Poprawki: 1. W związku z obecnością infekcji bezplikowej typu Poweliks / Xswkit zachodzi podejrzenie, że są zmodyfikowane określone ustawienia przeglądarki IE. Wykonaj reset także i tej przeglądarki: Opcje internetowe > Zaawansowane > Resetuj. 2. Klawisz z flagą Windows + X > Wiersz polecenia (Administrator) > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie: 3. Odinstaluj USBFix. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [DptfPolicyLpmServiceHelper] => C:\WINDOWS\system32\DptfPolicyLpmServiceHelper.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\UsbFix RemoveDirectory: C:\Users\Cezary\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\AutoKMS CMD: netsh advfirewall reset CMD: del /q C:\Users\Cezary\Downloads\adwcleaner*.exe CMD: del /q C:\Users\Cezary\Downloads\UsbFix_2015_7.959.exe CMD: del /q C:\Users\Cezary\Downloads\zf49b930.exe CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Tym razewm nie wchodź do Trybu awaryjnego, lecz wyłącz COMODO na czas akcji z FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Ma nastąpić restart systemu i powstać kolejny fixlog.txt. Przedstaw ten log. PS. Jeśli nikt jeszcze nie odpisał, a chcesz uzupełnić post, stosuj funkcję Edytuj zamiast pisać post pod postem. Dwa posty powyżej skleiłam.

Kolejne poprawki na wpisy szczątkowe / puste (w tym po nieistniejącym Firefox i F-Secure) oraz zdefektowany sterownik SPTD zgłaszający błędy w Dzienniku: System errors: ============= Error: (06/29/2015 06:14:32 PM) (Source: Service Control Manager) (EventID: 7026) (User: ) Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego: sptd Error: (06/29/2015 06:13:30 PM) (Source: sptd) (EventID: 4) (User: ) Description: Sterownik wykrył błąd wewnętrzny w swoich strukturach danych dla . Do wdrożenia: 1. Odinstaluj szczątek Windows Media Player Firefox Plugin. 2. Przywracanie systemu zostało wyłączone (prawdopodobnie przez infekcję): ==================== Restore Points ========================= ATTENTION: System Restore is disabled Wejdź do konfiguracji Przywracania systemu: KLIK. Zaznacz Ochronę dla dysku C. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DisableService: sptd S3 ESETCleanersDriver; C:\Windows\system32\Drivers\ESETCleanersDriver.sys [170280 2015-06-27] (ESET) R1 FSES; C:\Windows\System32\drivers\fses.sys [44496 2009-11-26] (F-Secure Corporation) Task: {2C9E5B6C-DBB5-4C30-AFD6-52E1E1BA201B} - System32\Tasks\{FEC07447-FECD-4798-BFDE-4D2B6E80C793} => pcalua.exe -a "E:\Windows98 Driver\setup.exe" -d "E:\Windows98 Driver" Task: {2D2A657D-2E70-4DE8-BF27-573CEEF5B644} - System32\Tasks\{755C5001-591A-4CEE-A4AC-F7E29DB4206D} => pcalua.exe -a C:\Users\Daria\Desktop\Shockwave_Installer_Slim.exe -d C:\Users\Daria\Desktop Task: {308B6619-5C77-4559-B4E8-1B8D79186A3A} - System32\Tasks\{66BF84A6-3F09-4409-B2E8-5D7A269E9046} => pcalua.exe -a "C:\Users\Daria\Desktop\Nowy folder\setup.EXE" -d "C:\Users\Daria\Desktop\Nowy folder" Task: {3BB17040-A85C-4F9E-AB5B-7154AFCABD5B} - System32\Tasks\{A1ECF8DC-57BB-443F-A209-9C32471889B7} => pcalua.exe -a C:\Windows\IsUn0415.exe -c -f"C:\Program Files (x86)\SuperMemo UX\Courses\Angielski No Problem 3\Uninst.isu" Task: {3E5DAED4-351E-4A47-BD9C-886032F672F0} - System32\Tasks\{BD7C3AB6-A836-4A01-A1D7-B7A0527AAE02} => C:\Program Files (x86)\MATLAB71\bin\win32\MATLAB.exe Task: {671714E5-0553-4E26-A4E3-19BA007E7F96} - System32\Tasks\{EABC7668-1F5D-4634-8D15-C6CD379F2132} => pcalua.exe -a "C:\Program Files (x86)\MATLAB71\uninstall\uninstall.exe" -c C:\Program Files (x86)\MATLAB71\ Task: {6C1A83EB-7520-4462-BF12-A6C9444CC481} - System32\Tasks\{4FDA19A2-4C1B-4B01-9654-B1D0B1299F9A} => pcalua.exe -a C:\Users\Daria\Desktop\securew2_win.exe -d C:\Users\Daria\Desktop Task: {6CA10C05-723B-47B8-9999-3BE55FFCF5E1} - System32\Tasks\{D61306E0-FB69-485C-AB01-4A38723CE090} => pcalua.exe -a "C:\Program Files (x86)\F-Secure\Uninstall\fsuninst.exe" -c /UninstRegKey:"F-Secure Anti-Virus" Task: {B6563DD4-D281-4287-BC77-391C054A5035} - System32\Tasks\RealUpgradeScheduledTaskS-1-5-21-1153746196-1546038390-1762079413-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe HKU\S-1-5-21-1153746196-1546038390-1762079413-1000\...\Run: [iRNeroReboot] => "C:\Users\Daria\Desktop\Nero_BurningROM2015_setup-16.3c_trial.exe" /reboot="1" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\Program Files\ESET C:\ProgramData\AVAST Software C:\ProgramData\ESET C:\ProgramData\Temp C:\Users\Daria\AppData\Local\cache C:\Users\Daria\AppData\Local\Mozilla C:\Users\Daria\AppData\Roaming\Mozilla C:\Users\Daria\AppData\Roaming\TuneUp Software C:\Users\Daria\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\COMODO GeekBuddy.lnk C:\Windows\system32\Drivers\ESETCleanersDriver.sys C:\Windows\system32\Drivers\fses.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ares" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CIS_{81EFDD93-DBBE-415B-BE6E-49B9664E3E82}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\F-Secure Manager" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\F-Secure TNB" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FDPRO-516" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\iLivid" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Iminent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IminentMessenger" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ROC_roc_ssl_v12" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TkBellExe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader" /f Reg: reg query HKLM\System\CurrentControlSet\Services\Eaphost\Methods /s CMD: netsh advfirewall reset CMD: type C:\Windows\system32\Drivers\etc\hosts Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Daria\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Wyczyść Dzienniki zdarzeń: Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator > rozwiń gałąź "Dzienniki systemu Windows" i z prawokliku opróżnij pod-gałęzie Aplikacja, SYSTEM. Zresetuj Windows. 5. Zrób nowy log FRST z opcji Scan - zaznacz Addition, ale nie Shortcut. Dołącz też plik fixlog.txt.

Kilka uwag: - GMER był zablokowany prawdopodobnie przez sterownik buceecol.sys, gdyż po usunięciu pliku ujawniła się już pusta usługa go ładująca (uprzednio całkowicie niewidoczna). - Google Chrome jest obecnie już poprawnie skanowane przez FRST, więc nie wiem o co chodziło z poprzednim wynikiem. - W logu nowe śmieci widać, tzn. liczne preferencje adware w Firefox. Poprzednio profil Firefox również nie był wykrywany. Poprawki: 1. Otwórz Notatnik i wklej w nim: S1 buceecol; \??\C:\Windows\system32\drivers\buceecol.sys [X] HKLM\...\RunOnce: [*EmptyTemp] => cmd /c rd /q/s C:\FRST\Temp C:\Users\DOM\AppData\Local\Temp.dat C:\Users\DOM\AppData\Local\updater.log C:\Users\DOM\AppData\Roaming\DOM.exe D:\Program Files (x86)\MoorHunt v2\Downloads\Avira Antivirus Pro 2015 v15.0.8.624 + Key {B@tman} Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 3. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut), GMER oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. Wypowiedz się czy na pewno po przeprowadzonym tu usuwaniu nadal widoczny spadek wydajności.

Głównym szkodnikiem aktywnie działającym w tle jest poniższy delikwent "Ioidasyphobiolaries". Programów nie mogłeś pobrać, bo jest aktywne proxy nałożone przez szkodnika. MBAM wykrywa tylko proxy, ale nie motor je przywracający. R2 Ioidasyphobiolaries; C:\Program Files (x86)\Ioidasyphobiolaries\Ioidasyphobiolaries.exe [281088 2015-06-16] () [File not signed] ProxyEnable: [s-1-5-21-240840061-2717004978-97619909-1000] => Internet Explorer proxy is enabled ProxyServer: [s-1-5-21-240840061-2717004978-97619909-1000] => http=127.0.0.1:9880 Widać też na dysku ślady uruchamiania lewych skanerów naciągaczy - SpyHunter i YAC (Yet Another Cleaner). Przy okazji będą usuwane też szczątki aplikacji Google Chrome i EasyBits Magic Desktop, wg Addition już odinstalowane. Log jest stanowczo za duży, więc nie wiem czy to kwestia błędu konfiguracji, czy może wysokiej aktywności innych programów (np. BitDefender). Poza tym, GMER uruchamiałeś z lokalizacji tymczasowej, on i tak zniknie podczas przetwarzania jednego z planowanych skryptów FRST: 2015-06-29 16:52 - 2014-01-28 18:36 - 00380416 _____ () C:\Users\Jarek76\AppData\Local\Temp\Rar$EXa0.329\gmer.exe Do przeprowadzenia następujące akcje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Ioidasyphobiolaries; C:\Program Files (x86)\Ioidasyphobiolaries\Ioidasyphobiolaries.exe [281088 2015-06-16] () [File not signed] S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-06-27] () R2 ezSharedSvc; C:\Windows\SysWOW64\ezSharedSvcHost.exe [514232 2010-04-23] (EasyBits Software AS) [File not signed] S3 btmaux; system32\DRIVERS\btmaux.sys [X] S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] HKLM-x32\...\Run: [Easybits Recovery] => C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe HKLM-x32\...\Run: [] => [X] HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 ShellExecuteHooks-x32: EasyBits ShellExecute Hook - {E54729E8-BB3D-4270-9D49-7389EA579090} - C:\Windows\SysWOW64\ezUPBHook.dll [52920 2011-09-04] (EasyBits Software Corp.) BootExecute: autocheck autochk * bddel.exe Task: {030BFFE6-7173-459E-8EBB-42918F3F5224} - System32\Tasks\{23C04970-E7A9-4CE7-BEAC-BBFF697125D2} => c:\program files (x86)\maxthon3\bin\maxthon.exe Task: {091003FE-1450-426E-AFE4-428B102F2009} - \SpyHunter4Startup No Task File Task: {0DB37F82-C1DD-4565-B5CC-B374F68BCBCA} - System32\Tasks\Wise Memory Optimizer Task => C:\Users\Jarek76\AppData\Local\Temp\Rar$EXa0.400\Wise Memory Optimizer\WiseMemoryOptimzer.exe Task: {2127B7EE-9239-4052-98F8-DC47FDDEE6F3} - System32\Tasks\{72EDAE04-A376-4983-BA93-49CA71A463FB} => pcalua.exe -a C:\Users\Jarek76\Downloads\sp47552.exe -d C:\Users\Jarek76\Downloads Task: {5E3E714C-4239-4ED9-9E5F-E5DE8B2463E4} - \Chromium No Task File Task: {6B5306A5-C1EA-44EB-9279-AB46E26AA9B7} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {7A41B7A8-51E1-4981-BD1D-B3A77DC2D838} - System32\Tasks\e-pity2013_styczen => C:\Program Files (x86)\e-file\e-pity2013\signxml.exe Task: {B67A9373-0F86-436B-8BA1-50A39F61BEC3} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe Task: {DF8E7082-2E6B-4032-A1E5-5C23E7325C21} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {E0B8F87C-009C-4A13-AFE1-8C081F2DDE13} - System32\Tasks\e-pity2013_kwiecien => C:\Program Files (x86)\e-file\e-pity2013\signxml.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\Wise Memory Optimizer Task.job => C:\Users\Jarek76\AppData\Local\Temp\Rar$EXa0.400\Wise Memory Optimizer\WiseMemoryOptimzer.exe ShortcutWithArgument: C:\Users\Jarek76\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://wikibrowser.co/restore.html ShortcutWithArgument: C:\Users\Jarek76\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://wikibrowser.co/restore.html ShortcutWithArgument: C:\Users\Jarek76\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://wikibrowser.co/restore.html HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = URLSearchHook: HKLM-x32 - Default Value = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKU\S-1-5-21-240840061-2717004978-97619909-1000 -> {AFFC2C80-A706-4A5B-90D8-715E5CB375E0} URL = Toolbar: HKU\S-1-5-21-240840061-2717004978-97619909-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw.dll No File C:\sh4ldr C:\Program Files (x86)\Google C:\Program Files (x86)\Ioidasyphobiolaries C:\Program Files (x86)\Mozilla Firefox\extensions C:\Users\Jarek76\Start Menu\Programs\SpyHunter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Codecs for Windows 7 Pack C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KalkulatorMB C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Magic Desktop.lnk C:\Users\Jarek76\AppData\Local\Chromium C:\Users\Jarek76\AppData\Local\Google C:\Users\Jarek76\AppData\Local\WorldofTanks C:\Users\Jarek76\AppData\Roaming\privacy.xml C:\Users\Jarek76\AppData\Roaming\WorldofTanks C:\Users\Jarek76\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Chromium C:\Users\Jarek76\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks C:\Users\Jarek76\Downloads\*sterownik*.exe C:\Users\Jarek76\Downloads\Setup_FileViewPro_[2015].exe C:\Users\Jarek76\Downloads\sh-remover.exe C:\Users\Jarek76\Downloads\SpyHunter-Installer.exe C:\Users\Jarek76\Downloads\yet_another_cleaner_*.exe C:\Windows\msdownld.tmp C:\Windows\system32\bddel.dat C:\Windows\System32\Drivers\EsgScanner.sys C:\Windows\SysWOW64\ezUPBHook.dll C:\Windows\SysWOW64\ezSharedSvcHost.exe C:\Windows\SysWOW64\C2MP Folder: C:\Spacekace Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset DisableService: PLAY ONLINE. RunOuc RemoveProxy: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Drobne deinstalacje: - Przez Panel sterowania pozbądź się przestarzałego Spybot - Search & Destroy. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek Google Update Helper. 3. Z katalogu C:\Users\Jarek76\Downloads przez SHIFT+DEL (omija Kosz) pousuwaj powielone instalatory i wszystko co już niepotrzebne. 4. Zrób nowy log FRST z opcji Scan (zaznacz Addition, ale Shortcut już zbędny) oraz GMER (po pobraniu na Pulpit). Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy.

Są tu ślady pobytu trojana, który nałożył Debugger na określone wykonalne. Przypuszczalnie załatwił Cię jakiś crack. Prócz tego są też różne szczątki adware oraz ślady skanera-naciągacza SpyHunter. Wstępne akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: IFEO\AvastSvc.exe: [Debugger] nqij.exe IFEO\AvastUI.exe: [Debugger] nqij.exe IFEO\avcenter.exe: [Debugger] nqij.exe IFEO\avconfig.exe: [Debugger] nqij.exe IFEO\avgcsrvx.exe: [Debugger] nqij.exe IFEO\avgidsagent.exe: [Debugger] nqij.exe IFEO\avgnt.exe: [Debugger] nqij.exe IFEO\avgrsx.exe: [Debugger] nqij.exe IFEO\avguard.exe: [Debugger] nqij.exe IFEO\avgui.exe: [Debugger] nqij.exe IFEO\avgwdsvc.exe: [Debugger] nqij.exe IFEO\avp.exe: [Debugger] nqij.exe IFEO\avscan.exe: [Debugger] nqij.exe IFEO\bdagent.exe: [Debugger] nqij.exe IFEO\blindman.exe: [Debugger] nqij.exe IFEO\ccuac.exe: [Debugger] nqij.exe IFEO\ComboFix.exe: [Debugger] nqij.exe IFEO\egui.exe: [Debugger] nqij.exe IFEO\hijackthis.exe: [Debugger] nqij.exe IFEO\instup.exe: [Debugger] nqij.exe IFEO\keyscrambler.exe: [Debugger] nqij.exe IFEO\mbam.exe: [Debugger] nqij.exe IFEO\mbamgui.exe: [Debugger] nqij.exe IFEO\mbampt.exe: [Debugger] nqij.exe IFEO\mbamscheduler.exe: [Debugger] nqij.exe IFEO\mbamservice.exe: [Debugger] nqij.exe IFEO\MpCmdRun.exe: [Debugger] nqij.exe IFEO\MSASCui.exe: [Debugger] nqij.exe IFEO\MsMpEng.exe: [Debugger] nqij.exe IFEO\msseces.exe: [Debugger] nqij.exe IFEO\rstrui.exe: [Debugger] nqij.exe IFEO\SDFiles.exe: [Debugger] nqij.exe IFEO\SDMain.exe: [Debugger] nqij.exe IFEO\SDWinSec.exe: [Debugger] nqij.exe IFEO\spybotsd.exe: [Debugger] nqij.exe IFEO\wireshark.exe: [Debugger] nqij.exe IFEO\zlclient.exe: [Debugger] nqij.exe R1 epp64; C:\Windows\System32\DRIVERS\epp64.sys [135800 2015-06-27] (Emsisoft GmbH) R1 wfd_1_10_0_19; C:\Windows\System32\drivers\wfd_1_10_0_19.sys [61312 2015-06-16] (WN) S3 a2acc; \??\C:\PROGRAM FILES (X86)\EMSISOFT ANTI-MALWARE\a2accx64.sys [X] S1 A2DDA; \??\C:\Program Files (x86)\Emsisoft Anti-Malware\a2ddax64.sys [X] R4 avkmgr; system32\DRIVERS\avkmgr.sys [X] S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] HKU\S-1-5-21-1757415873-2226878437-4207686015-1000\...\Winlogon: [shell] C:\Windows\explorer.exe [2871808 2011-02-25] (Microsoft Corporation) Task: {5D288311-75A5-4CA0-A690-741AA54BDF97} - System32\Tasks\{7E847E08-4FD9-4375-A492-55F57461E518} => D:\Program Files (x86)\MoorHunt v2\Downloads\Avira Antivirus Pro 2015 v15.0.8.624 + Key {B@tman}\avira_antivirus_pro_en.exe [2015-06-28] () Task: {A9734061-A714-46D4-9567-6AFCA2615FCA} - System32\Tasks\{C6BFAE3A-EAEC-4D8D-A37A-47D512557448} => C:\Program Files (x86)\Avira\Launcher\Avira.Systray.exe Task: {FAFF8431-0CE4-47B0-B2E7-AA7086FA04AE} - System32\Tasks\{97944C17-D5D3-4BE2-8766-BFE90143C68F} => pcalua.exe -a C:\Users\DOM\Downloads\Adobe-Reader-XI(21590).exe -d C:\Users\DOM\Downloads Task: C:\Windows\Tasks\Bidaily Synchronize Task[pr].job => c:\programdata\{aa3718a5-d4cd-158f-aa37-718a5d4c6297}\7487853054165429165s.exe Task: C:\Windows\Tasks\ChoreoCraze.job => c:\programdata\{c94eb933-dd64-1a4f-c94e-eb933dd6e4cf}\cd1f.exe Task: C:\Windows\Tasks\GrubLookup.job => c:\programdata\{662f4ebd-52d1-2350-662f-f4ebd52d3af5}\5475575285673585716b.exe Task: C:\Windows\Tasks\Software Removal Tool logs upload retry.job => C:\Users\DOM\Downloads\software_removal_tool.exe Task: C:\Windows\Tasks\Update Service GoForFiles.job => C:\Program Files (x86)\GoForFilesUpdater\GoForFilesUpdater.exehttp:/www.fansfile.biz Task: C:\Windows\Tasks\UpgradeEagle.job => c:\programdata\{549f8cbd-26c2-a9b5-549f-f8cbd26c32f4}\2340391689006959689b.exe ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File ShortcutWithArgument: C:\Users\DOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1430894263&from=wpm05063&uid=WDCXWD7500BPVT-80HXZT1_WD-WX61A61S1274S1274 CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\STF380E.tmp C:\Program Files (x86)\Avira C:\Program Files (x86)\Bible Search C:\Program Files (x86)\Bing Translate To English C:\Program Files (x86)\Emsisoft Anti-Malware C:\Program Files (x86)\FREE MP3 Search C:\ProgramData\rebootpending.txt C:\ProgramData\wmzddnmb.cix C:\ProgramData\18345815274576146064 C:\ProgramData\Avira C:\ProgramData\Kaspersky Lab Setup Files C:\ProgramData\MFAData C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Half-Life 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade Warband C:\Users\Default\AppData\Local\updater.log C:\Users\DOM\AppData\Local\Avg2015 C:\Users\DOM\AppData\Local\MFAData C:\Users\DOM\AppData\Roaming\appdataFr*.bin C:\Users\DOM\AppData\Roaming\msconfig.ini C:\Users\DOM\AppData\Roaming\EurekaLog C:\Users\DOM\AppData\Roaming\Microsoft\Windows\Start Menu\LuckyTab C:\Users\DOM\AppData\Roaming\Microsoft\Word\Nowy%20Dokument%20programu%20Microsoft%20Word304515483737279668\Nowy%20Dokument%20programu%20Microsoft%20Word.docx.lnk C:\Users\DOM\Desktop\PROGRAMY\Driver Checker.lnk C:\Users\DOM\Downloads\software_removal_tool.exe C:\Windows\Zone.Identifier C:\Windows\pss\6128973456579644962s.lnk.Startup C:\Windows\pss\Carb the [Filtr wulgaryzmów] Up by Harley Johnstone.lnk.Startup C:\Windows\system32\Hibiki.dll C:\Windows\system32\log C:\Windows\system32\Drivers\buceecol.sys C:\Windows\system32\Drivers\epp64.sys C:\Windows\system32\Drivers\wfd_1_10_0_19.sys C:\Windows\system32\%LocalAppData% C:\Windows\SysWOW64\avgnt.log Folder: D:\Program Files (x86)\MoorHunt v2\Downloads\Avira Antivirus Pro 2015 v15.0.8.624 + Key {B@tman} Folder: C:\Users\DOM\AppData\Local\Google\Chrome Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{F6C44C71-2CFE-8176-3A4D-CBD0DCE5AEFA} /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^DOM^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^6128973456579644962s.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^DOM^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Carb the [Filtr wulgaryzmów] Up by Harley Johnstone.lnk" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\DOM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowy log FRST z opcji Scan - zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Odpowiedz też na następujące pytania: - Czy po w/w usuwaniu w GMER nadal są nieaktywne pola? - Czy Google Chrome jest sprawne? - jest zainstalowane, ale FRST w ogóle nie wykrywa profilu na dysku....

Przedstaw plik fixlog.txt, jak prosiłam.

Oczywiście. Ponoć pobrać programy się udało, to teraz dostarcz raporty z nich do oceny.

To nie jest kompletny zestaw FRST - mają powstać trzy logi, brakuje Addition i Shortcut.

Logi są bardzo stare, prawie sprzed miesiąca, więc nowy zestaw z FRST jak najbardziej wskazany.

Wszystko zrobione. Drobne poprawki. Otwórz Notatnik i wklej w nim: S1 wafd_1_10_0_19; system32\drivers\wafd_1_10_0_19.sys [X] BootExecute: autocheck autochk * sdnclean.exe HKU\S-1-5-21-356970189-196760685-2834952327-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_11-windows-i586.cab DPF: {CAFEEFAC-0017-0000-0011-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_11-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_11-windows-i586.cab DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Users\user\AppData\Local\Google\Chrome\User Data\Default RemoveDirectory: C:\Users\user\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

jessika Pusta sekcja w Addition oznacza tylko tyle, że brak punktów Przywracania systemu, nie jest 100% miarodajna w ocenie stanu Przywracania. Log FRST jest bardzo ograniczony, robiony gównie pod kątem ingerencji malware, więc przedstawia tylko dwa scenariusze - czy Przywracanie jest wyłączone (normalnie via opcje - w Addition, lub via polityki GPO - w FRST.txt) oraz notuje dysfunkcję WMI. Usterek Przywracania, których log FRST nie wykaże (prezentując tylko pustą sekcję, a nawet i może się pokazać lista starych punktów), jest multum np. wyłączone usługi (tylko po deaktywacji Whitelist można to sprawdzić), usunięte z rejestru klucze powiązanych usług lub klas, brak plików Przywracania, nieprawidłowe uprawnienia, uszkodzona lista dostawców, etc. ki99 Temat przenoszę do działu Windows. To nie jest problem infekcji. Zacznij od podstawowych akcji ograniczających procesy: 1. Odinstaluj zbędny McAfee Security Scan Plus. Rozważ też pozbycie się firmowych programów, z których nie korzystasz, np. aplikacje CyberLink wprowadziły dużo obiektów startowych. 2. W Autoruns wyłącz zbędne wpisy startowe: ----> W karcie Logon odznacz te pozycje: HKLM-x32\...\Run: [CLMLServer] => C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe [103720 2009-06-03] (CyberLink) HKLM-x32\...\Run: [RemoteControl8] => C:\Program Files (x86)\CyberLink\PowerDVD8\PDVD8Serv.exe [91432 2009-04-15] (CyberLink Corp.) HKLM-x32\...\Run: [PDVD8LanguageShortcut] => C:\Program Files (x86)\CyberLink\PowerDVD8\Language\Language.exe [50472 2009-04-15] (CyberLink Corp.) HKLM-x32\...\Run: [updatePPShortCut] => C:\Program Files (x86)\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe [218408 2008-12-03] (CyberLink Corp.) HKLM-x32\...\Run: [uCam_Menu] => C:\Program Files (x86)\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe [222504 2009-05-19] (CyberLink Corp.) HKLM-x32\...\Run: [switchBoard] => C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [517096 2010-02-19] (Adobe Systems Incorporated) HKLM-x32\...\Run: [AdobeCS5ServiceManager] => C:\Program Files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe [406992 2010-02-22] (Adobe Systems Incorporated) HKLM-x32\...\Run: [ACPW05EN] => C:\Program Files (x86)\ACD Systems\ACDSee Pro\5.0\ACDSeeProInTouch2.exe [822384 2011-11-17] (ACD Systems) HKU\S-1-5-21-885473801-1135821649-2530607942-1001\...\Run: [GG] => C:\Users\Kasia\AppData\Local\GG\Application\gghub.exe [3381824 2014-08-14] (GG Network S.A.) Startup: C:\Users\Kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk [2014-09-17] ----> W karcie Services odznacz: AdobeARM, c2cautoupdatesvc, c2cpnrsvc, SkypeUpdate, SwitchBoard. ----> W karcie Scheduled Tasks odznacz zadania: Adobe, Google, Samsung. ----> W karcie Drivers skasuj szczątkowy sterownik Pandy zgłaszający błędy kompatybilności: PSKMAD. Dodatkowo usuń z dysku plik C:\Windows\System32\DRIVERS\PSKMAD.sys. Po wszystkich operacjach zresetuj system, by sprawdzić rezultaty. 3. Może tu być też problem ze sterownikami graficznymi AMD (sugerowana aktualizacja), gdyż w Dzienniku zdarzeń pojawiają się takie oto błędy: System errors: ============= Error: (06/28/2015 05:33:21 PM) (Source: atikmdag) (EventID: 10261) (User: ) Description: Display is not active Error: (06/25/2015 09:22:15 AM) (Source: atikmdag) (EventID: 19468) (User: ) Description: CPLIB :: General - Invalid Parameter 4. Jeśli zaś chodzi o defekt Przywracania systemu: Application errors: ================== Error: (06/28/2015 08:32:58 AM) (Source: System Restore) (EventID: 8193) (User: ) Description: Nie można utworzyć punktu przywracania (Proces = C:\windows\system32\svchost.exe -k netsvcs; Opis = Windows Update; Błąd = 0x80070422). Kod 0x80070422 sugeruje wyłączoną usługę powiązaną. Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator > wyszukaj usługi Dostawca kopiowania w tle oprogramowania firmy Microsoft, Dysk wirtualny, Kopiowanie woluminów w tle, z dwukliku wejdź do ich Właściwości i przyznaj im start Ręczny.

jessika To nie są nazwy obiektów na dyskach (ani foldery, ani pliki) tylko nagłówki organizujące sekcje pokazujące nazwy ogólne dysków, by łatwo się czytało spisy która lista z którego dysku pochodzi. Początkowo na każdym z dysków figurował po jednym nieukrytym pliku LNK (komendy attrib więc zbędne, bo nic ukrytego nie było). Skoro usunęłaś te pliki LNK, wszystkie trzy urządzenia są całkowicie puste i pod nagłówkami nic nie ma. jogo Na przyszłość proszę czytać zasady działu i dostarczać to co jest tu obowiązkowe. Logi z przestarzałego OTL w ogóle nie są brane pod uwagę. Obowiązkowe są FRST i GMER - FRST w pierwszym poście niekompletny (ani głównego raportu, ani Shortcut). Prócz powyższego Fixlist proszę jeszcze: 1. Odinstaluj zbędne programy oraz stare wersje: Adobe Flash Player ActiveX (stary), Ad-Aware (jest już Avira), Bing Bar (firmowy zbędnik), Java 7 Update 71 (stary), McAfee Security Scan Plus (sponsorowany wtręt). 2. Po akcjach zrób nowy log FRST z opcji Scan - zaznacz pola Addition + Shortcut, by powstały trzy logi.

Raster, wchodząc na dane forum proszę czytać zasady: KLIK. Przestarzały OTL w ogóle nie jest tu brany pod uwagę. Obowiązujące tu raporty: FRST i GMER.

Kluczy usług Zapory nie brakuje, ale FSS nie jest zdolny w ogóle wykazać naruszeń w uprawnieniach. Ten błąd może być związany właśnie z uprawnieniami. Zacznij od użycia ServicesRepair (wbudowany reset SetACL), zresetuj system i podaj rezultaty.

Ten Fix był uruchamiany dwa razy - czyżbyś przetwarzał ten ze skasowanego posta, który miał błędy? Wg raportów komponenty MBAM są aktywne: R2 MBAMScheduler; E:\Malwarebytes Anti-Malware\mbamscheduler.exe [1871160 2015-04-14] (Malwarebytes Corporation) R2 MBAMService; E:\Malwarebytes Anti-Malware\mbamservice.exe [1080120 2015-04-14] (Malwarebytes Corporation) R3 MBAMProtector; C:\windows\system32\drivers\mbam.sys [25816 2015-04-14] (Malwarebytes Corporation) R3 MBAMSwissArmy; C:\windows\system32\drivers\MBAMSwissArmy.sys [136408 2015-06-29] (Malwarebytes Corporation) R3 MBAMWebAccessControl; C:\windows\system32\drivers\mwac.sys [63704 2015-04-14] (Malwarebytes Corporation) Jeśli nadal jest z nim problem, to go przeinstaluj, bo malware już zostało pomyślnie usunięte. Czy na pewno po usunięciu malware nadal jest problem z wolnym startem? Zrób nowy log FRST ale na innym ustawieniu pokazującym wszystkie usługi - tzn. odznacz pole Whitelist przy Services.

jessika Post usuwam. Zaznaczasz że w msconfig wyłączona mnogość usług, przy czym zalecasz do włączenia tylko dwie (via services.msc) i jednocześnie usuwasz klucze msconfig (ich usunięcie spowoduje, że nie będzie się dało zastosować msconfig do odkręcenia akcji). Skoro msconfig został użyty do ich wyłączenia, to msconfig się stosuje by to odwrócić. munirowata22 1. Start > w polu szukania wpisz msconfig > z prawokliku Uruchom jako Administrator > w karcie Usługi zaznacz wszystkie odznaczone i zresetuj komputer. MSCONFIG\Services: AdobeFlashPlayerUpdateSvc => 3 MSCONFIG\Services: AeLookupSvc => 3 MSCONFIG\Services: ALG => 3 MSCONFIG\Services: AppIDSvc => 3 MSCONFIG\Services: AppMgmt => 3 MSCONFIG\Services: aspnet_state => 3 MSCONFIG\Services: AudioEndpointBuilder => 2 MSCONFIG\Services: AudioSrv => 2 MSCONFIG\Services: AxInstSV => 3 MSCONFIG\Services: BDESVC => 3 MSCONFIG\Services: BFE => 2 MSCONFIG\Services: BITS => 3 MSCONFIG\Services: Browser => 3 MSCONFIG\Services: BrYNSvc => 3 MSCONFIG\Services: bthserv => 3 MSCONFIG\Services: CertPropSvc => 3 MSCONFIG\Services: clr_optimization_v4.0.30319_32 => 2 MSCONFIG\Services: clr_optimization_v4.0.30319_64 => 2 MSCONFIG\Services: COMSysApp => 3 MSCONFIG\Services: cphs => 3 MSCONFIG\Services: CryptSvc => 2 MSCONFIG\Services: CscService => 2 MSCONFIG\Services: defragsvc => 3 MSCONFIG\Services: Dhcp => 2 MSCONFIG\Services: DiagTrack => 2 MSCONFIG\Services: Dnscache => 2 MSCONFIG\Services: dot3svc => 2 MSCONFIG\Services: DPS => 2 MSCONFIG\Services: DsiWMIService => 2 MSCONFIG\Services: EapHost => 3 MSCONFIG\Services: EFS => 3 MSCONFIG\Services: ehRecvr => 3 MSCONFIG\Services: ehSched => 3 MSCONFIG\Services: ePowerSvc => 2 MSCONFIG\Services: eventlog => 2 MSCONFIG\Services: EventSystem => 2 MSCONFIG\Services: Fax => 3 MSCONFIG\Services: fdPHost => 3 MSCONFIG\Services: FDResPub => 3 MSCONFIG\Services: FLEXnet Licensing Service 64 => 3 MSCONFIG\Services: FontCache => 2 MSCONFIG\Services: gupdate => 2 MSCONFIG\Services: gupdatem => 3 MSCONFIG\Services: hidserv => 3 MSCONFIG\Services: hkmsvc => 3 MSCONFIG\Services: HomeGroupListener => 3 MSCONFIG\Services: HomeGroupProvider => 3 MSCONFIG\Services: IAStorDataMgrSvc => 2 MSCONFIG\Services: idsvc => 3 MSCONFIG\Services: IEEtwCollectorService => 3 MSCONFIG\Services: IKEEXT => 2 MSCONFIG\Services: IPBusEnum => 2 MSCONFIG\Services: iphlpsvc => 2 MSCONFIG\Services: KeyIso => 3 MSCONFIG\Services: KtmRm => 3 MSCONFIG\Services: LanmanServer => 2 MSCONFIG\Services: LanmanWorkstation => 2 MSCONFIG\Services: lltdsvc => 3 MSCONFIG\Services: lmhosts => 2 MSCONFIG\Services: Microsoft Office Groove Audit Service => 3 MSCONFIG\Services: mitsijm2014 => 2 MSCONFIG\Services: MMCSS => 2 MSCONFIG\Services: MpsSvc => 2 MSCONFIG\Services: MSDTC => 3 MSCONFIG\Services: MSiSCSI => 3 MSCONFIG\Services: msiserver => 3 MSCONFIG\Services: napagent => 3 MSCONFIG\Services: Netlogon => 3 MSCONFIG\Services: Netman => 3 MSCONFIG\Services: netprofm => 3 MSCONFIG\Services: NlaSvc => 2 MSCONFIG\Services: nsi => 2 MSCONFIG\Services: odserv => 3 MSCONFIG\Services: ose => 3 MSCONFIG\Services: p2pimsvc => 3 MSCONFIG\Services: p2psvc => 3 MSCONFIG\Services: PcaSvc => 2 MSCONFIG\Services: PeerDistSvc => 3 MSCONFIG\Services: PerfHost => 3 MSCONFIG\Services: pla => 3 MSCONFIG\Services: PNRPAutoReg => 3 MSCONFIG\Services: PNRPsvc => 3 MSCONFIG\Services: PolicyAgent => 3 MSCONFIG\Services: Power => 2 MSCONFIG\Services: ProtectedStorage => 3 MSCONFIG\Services: PSI_SVC_2_x64 => 2 MSCONFIG\Services: QWAVE => 3 MSCONFIG\Services: RasAuto => 3 MSCONFIG\Services: RasMan => 3 MSCONFIG\Services: RemoteRegistry => 3 MSCONFIG\Services: RpcLocator => 3 MSCONFIG\Services: SamSs => 2 MSCONFIG\Services: SCardSvr => 3 MSCONFIG\Services: SCPolicySvc => 3 MSCONFIG\Services: SDRSVC => 3 MSCONFIG\Services: seclogon => 3 MSCONFIG\Services: SENS => 2 MSCONFIG\Services: SensrSvc => 3 MSCONFIG\Services: SessionEnv => 3 MSCONFIG\Services: ShellHWDetection => 2 MSCONFIG\Services: SNMPTRAP => 3 MSCONFIG\Services: Spooler => 2 MSCONFIG\Services: sppuinotify => 3 MSCONFIG\Services: SSDPSRV => 2 MSCONFIG\Services: SstpSvc => 3 MSCONFIG\Services: stisvc => 2 MSCONFIG\Services: SwitchBoard => 3 MSCONFIG\Services: swprv => 3 MSCONFIG\Services: SysMain => 2 MSCONFIG\Services: TabletInputService => 3 MSCONFIG\Services: TapiSrv => 3 MSCONFIG\Services: TBS => 3 MSCONFIG\Services: TermService => 3 MSCONFIG\Services: Themes => 2 MSCONFIG\Services: THREADORDER => 3 MSCONFIG\Services: TrkWks => 2 MSCONFIG\Services: TrustedInstaller => 3 MSCONFIG\Services: UI0Detect => 3 MSCONFIG\Services: UmRdpService => 3 MSCONFIG\Services: upnphost => 2 MSCONFIG\Services: UxSms => 2 MSCONFIG\Services: VaultSvc => 3 MSCONFIG\Services: vds => 3 MSCONFIG\Services: VSS => 3 MSCONFIG\Services: W32Time => 3 MSCONFIG\Services: WatAdminSvc => 3 MSCONFIG\Services: wbengine => 3 MSCONFIG\Services: WbioSrvc => 3 MSCONFIG\Services: wcncsvc => 3 MSCONFIG\Services: WcsPlugInService => 3 MSCONFIG\Services: WdiServiceHost => 3 MSCONFIG\Services: WdiSystemHost => 3 MSCONFIG\Services: WebClient => 3 MSCONFIG\Services: Wecsvc => 3 MSCONFIG\Services: wercplsupport => 3 MSCONFIG\Services: WerSvc => 3 MSCONFIG\Services: WinHttpAutoProxySvc => 3 MSCONFIG\Services: Winmgmt => 2 MSCONFIG\Services: WinRM => 3 MSCONFIG\Services: Wlansvc => 2 MSCONFIG\Services: wltrysvc => 2 MSCONFIG\Services: wmiApSrv => 3 MSCONFIG\Services: WMPNetworkSvc => 3 MSCONFIG\Services: WPCSvc => 3 MSCONFIG\Services: WPDBusEnum => 3 MSCONFIG\Services: wscsvc => 2 MSCONFIG\Services: WSearch => 2 MSCONFIG\Services: wuauserv => 2 MSCONFIG\Services: wudfsvc => 3 MSCONFIG\Services: WwanSvc => 3 2. Zrób nowy log FRST z opcji Scan - zaznacz ponownie pole Addition, by powstały dwa logi.