picasso

Pobierz najnowszą wersję FRST (ostatnio dodane nowe detekcje) i zrób ponownie skan, dostarcz raporty FRST.txt + Addition.txt. Jeśli skan nic nie wykaże, poproszę o dodatkowe dane do analizy ręcznej. Ale to potem.

Nie zostały usunięte dwa elementy w usługach / sterownikach. Poprawki: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: R2 mptpmdxm; C:\Windows\system32\mptpmdxm.dll [479528 2017-06-22] () <==== UWAGA R2 UefGdstor; C:\Windows\system32\drivers\UefGdstor.sys [195104 2016-08-23] () <==== UWAGA C:\Users\Public\Documents\XMUpdate C:\Windows\system32\mptpmdxm.dll C:\Windows\system32\drivers\UefGdstor.sys Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Przejdź w tryb awaryjny Windows. Uruchom FRST i klik w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart systemu, opuść tryb awaryjny. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Ten Bitcoin miner jest charakterystyczny dla paczek pobranych ręcznie. Np. tutaj ktoś raportuje, że był doczepiony do moda gry: KLIK. Tak więc zweryfikuj jakie dodatki do gier ostatnio pobierałeś i usuń wszystkie niepewne / budzące podejrzenie. Wszystko pomyślnie usunięte. Na koniec zastosuj Delfix oraz wyczyść foldery Przywracania systemu: KLIK.

Ta blokada Windows Defender znowu widoczna, prawdopodobnie jest powiązana z obecnością Avast. Natomiast jeśli chodzi o wpisy relatywne do konta Kamila, to drobne śmieci do usunięcia: 1. Przez Panel sterowania odinstaluj WarThunder, to podróbka adware tworząca skróty uruchamiające adres monetyzacji "mmotraffic.com". 2. Po deinstalacji upewnij się, że zniknęły te elementy z dysku: C:\Users\Kamila\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Kamila\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\Kamila\AppData\Roaming\WarThunder 3. Przez SHIFT+DEL (omija Kosz) usuń z obu kont pobrany FRST i jego logi, oraz katalog C:\FRST. 4. Wyczyść foldery Przywracania systemu: KLIK.

Na przyszłość: nie wyciągaj raportów FRST z katalogu C:\FRST\Logs. To archiwum raportów. Bieżące powstają zawsze tam skąd uruchamiasz FRST, czyli w tym przypadku w katalogu Pobrane, i nie mają dat w nazwach. Brak oznak infekcji. Wynik z GMER do zignorowania, to sterownik Windows Defender związany z aktualizacjami definicji: Service C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{076A6D04-837D-46B9-B72D-BFABB7CA4C54}\MpKslb43cbbd1.sys (*** hidden *** ) [sYSTEM] MpKslb43cbbd1 Taki odczyt może wynikać z jakiegoś zawieszenia czy niespójności statusu sterownika w trakcie skanu. Sterownik ma losową nazwę i samoczynnie zanika po ukończeniu operacji. W raporcie FRST już widać nieco inny: R1 MpKsl575e5723; C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{C41C7168-F526-4732-9814-607AD10FA052}\MpKsl575e5723.sys [44928 2017-06-27] (Microsoft Corporation) PS. Możesz wykonać tylko skrypt poboczny usuwający puste wpisy. W spoilerze:

Na przyszłość: proszę trzymaj się konfiguracji FRST w wytycznych tutaj na forum. Sekcje MD5 sterowników i Pliki z 90 dni nie miały być zaznaczone. To skany pod stare infekcje, w większości przypadków rzadko już stosowane, masa zbędnych danych w raporcie. Problemem jest szkodnik w Harmonogramie (skrypt VBE, więc uruchamiany via silnik Microsoftu wscript.exe): Task: {343241FB-8EC1-4D8B-92FF-2BFCD7489E41} - System32\Tasks\Origin => C:\Users\conno\AppData\Roaming\Origin\update.vbe [2017-06-25] () To nie jest prawdziwy element "Origin" tylko Bitcoin miner. Działania do przeprowadzenia: 1. FRST flaguje YTD Video Downloader 5.8.3 na liście zainstalowanych ze względu na komponenty adware/PUP w instalatorze. Decyduj czy program usuwasz. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {343241FB-8EC1-4D8B-92FF-2BFCD7489E41} - System32\Tasks\Origin => C:\Users\conno\AppData\Roaming\Origin\update.vbe [2017-06-25] () C:\Users\conno\AppData\Roaming\Origin\update.vbe HKLM\...\StartupApproved\Run: => "RTHDVCPL" HKU\S-1-5-21-1111174830-2949977601-1114541188-1001\...\StartupApproved\Run: => "CorsairLink4" HKU\S-1-5-21-1111174830-2949977601-1114541188-1001\...\Run: [GalaxyClient] => [X] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> GroupPolicy: Ograniczenia GroupPolicyScripts: Ograniczenia R3 WinRing0_1_2_0; C:\Users\conno\AppData\Local\Temp\tmpAB54.tmp [14544 2017-06-18] (OpenLibSys.org) S3 cpuz140; \??\C:\Users\conno\AppData\Local\Temp\cpuz140\cpuz140_x64.sys [X] S3 IntcAzAudAddService; \SystemRoot\system32\drivers\RTKVHD64.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] FF Plugin-x32: @google.com/npPicasa3,version=3.0.0 -> C:\Program Files (x86)\Google\Picasa3\npPicasa3.dll [brak pliku] FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL [brak pliku] FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL [brak pliku] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty Advanced Warfare Folder: C:\Users\conno\AppData\Roaming\Origin EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Dotychczas było tu sprawdzene konto Monika, ale jest jeszcze Kamila. Jeśli jest dostęp do tego konta, to zresetuj komputer (by odładować gałąź obecnego konta), zaloguj się na Kamilę i z tego poziomu zrób nowe raporty FRST (FRST.txt + Addition.txt, bez Shortcut).

Wszystko pomyślnie usunięte, z wyjątkiem blokady Windows Defender (ona jakoby została usunięta, a znów w logu widoczna). Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: Reg: reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /s HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA DeleteQuarantine: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

W raportach żadnych oznak infekcji i nie ma się tu za bardzo czym zajmować. A te komunikaty które cytujesz odczytuję nie jako wykrycie zagrożenia tylko jako adnotację, że Norton zaczął monitorować nowo wykryte połączenia sieciowe IPv6 *.... Natomiast nie ma tu wyników jakie trojany jakoby zostały wykryte i gdzie (konkretne ścieżki dostępu). * Co do urządzenia "Teredo Tunneling Pseudo-Interface", to można je zdeaktywować: KLIK. Z raportów nic nie wynika. I jeśli to nie placebo, to być może aktywność NIS (najbardziej rozbudowany w obszarze elementów startowych program zewnętrzny) ma coś do rzeczy. PS. Możesz wykonać skrypt kosmetyczny usuwający drobne puste wpisy (akcja poziomu kosmetycznego). W spoilerze:

Mam pytanie, czy to oryginalny plik Addition.txt wyprodukowany przez FRST (i nie zapisywany ręcznie ponownie)? Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj adware WindowsTM. Następnie uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń wpis Online Application. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: R2 mptpmdxm; C:\Windows\system32\mptpmdxm.dll [479528 2017-06-22] () <==== UWAGA R2 TMService; C:\Program Files\WindowsTM\TMService.exe [242344 2017-06-22] (Smart Software, Inc.) <==== UWAGA S2 vVHwNKdxeWi8 Updater; C:\Program Files\vVHwNKdxeWi8 Updater\vVHwNKdxeWi8 Updater.exe [X] R1 cfidsk; C:\Windows\System32\drivers\cfidsk.sys [179240 2017-06-20] () R2 UefGdstor; C:\Windows\system32\drivers\UefGdstor.sys [195104 2016-08-23] () <==== UWAGA S2 {27AFBEDD-7BFE-45b5-B43B-98DB66D54A2D}; \??\C:\Windows\system32\drivers\TMKernel.sys [X] HKU\S-1-5-21-3717989512-3116085309-1886057735-1000\...\Run: [{6AED9678-26AA-61FD-3994-F47F0CD7F266}] => C:\Program Files\Windows Loader\438641d2b06cdabf7e056667013abbd6.exe [156191 2017-01-09] () HKU\S-1-5-21-3717989512-3116085309-1886057735-1000\...\Run: [YeaDesktop] => C:\Program Files\YeaDesktop\YeaDesktop.exe /autostart <==== UWAGA HKU\S-1-5-21-3717989512-3116085309-1886057735-1000\...\Run: [85n-7çH5çq.exe] => C:\Program Files\vVHwNKdxeWi8\OTPYQ5I4DKIDPLC36431BACT\85n-7çH5çq.exe [196096 2017-06-22] () HKU\S-1-5-21-3717989512-3116085309-1886057735-1000\...\Run: [ARPworks] => C:\Users\Wukong\AppData\Local\ARPworks\438641d2b06cdabf7e056667013abbd6.exe [156191 2017-01-09] () Tcpip\..\Interfaces\{692DD529-B8AA-44B8-A325-C4C3521849C6}: [NameServer] 82.163.142.8,95.211.158.136 Task: {946AC8F9-67AB-4868-A841-2264214BDC5D} - System32\Tasks\PPI Update => C:\Windows\explorer.exe "hxxp://insightcdn.online/download/index.php?mn=9995" Task: {9C30B21D-F168-4102-B1B5-91E00432C238} - System32\Tasks\Updater_Online_Application => C:\Program Files\Microleaves\Online Application\Online Application Updater.exe [2017-04-18] (Microleaves) <==== UWAGA Task: {A418945D-A61D-4B6A-9B2B-A8C8E9404113} - System32\Tasks\Online Application V2G1 => C:\Program Files\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) <==== UWAGA Task: {FCFD761A-B09A-4FF2-8905-EB23126ADB3D} - System32\Tasks\Online Application V2G3 => C:\Program Files\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) <==== UWAGA Task: {FF1CAB03-2F77-4719-94F6-BA0CA1C5D6C5} - System32\Tasks\Online Application V2G2 => C:\Program Files\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [2017-02-07] (Microleaves LTD) <==== UWAGA Task: C:\Windows\Tasks\Online Application V2G1.job => C:\Program Files\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA Task: C:\Windows\Tasks\Online Application V2G2.job => C:\Program Files\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA Task: C:\Windows\Tasks\Online Application V2G3.job => C:\Program Files\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA Task: C:\Windows\Tasks\Updater_Online_Application.job => C:\Program Files\Microleaves\Online Application\Online Application Updater.exe <==== UWAGA WMI_ActiveScriptEventConsumer_ASEC: <==== UWAGA ShortcutWithArgument: C:\Users\Wukong\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\Wukong\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\Wukong\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\Wukong\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yeadesktop.com/ C:\Program Files\mgdisk C:\Program Files\Microleaves C:\Program Files\Norton Internet Security C:\Program Files\pccleanplus C:\Program Files\Temp C:\Program Files\vVHwNKdxeWi8 C:\Program Files\Windows Loader C:\Program Files\WindowsTM C:\Program Files\YeaDesktop C:\ProgramData\Microleaves C:\ProgramData\Norton C:\ProgramData\Microsoft\Windows\Start Menu\Programs\mgdisk C:\ProgramData\Microsoft\Windows\Start Menu\WindowsTM C:\Users\Wukong\AppData\Local\AdvinstAnalytics C:\Users\Wukong\AppData\Local\ARPworks C:\Users\Wukong\AppData\Local\CrashRpt C:\Users\Wukong\AppData\Roaming\Microleaves C:\Users\Wukong\AppData\Roaming\UCChannel C:\Users\Wukong\AppData\Roaming\vnlgp C:\Users\Wukong\Downloads\Registry_Activation C:\Users\Wukong\Downloads\WiperSoft-installer.exe C:\Users\Wukong\Downloads\WiperSoft-installer (1).exe C:\Users\Public\Documents\XMUpdate C:\Windows\system32\*.tmp C:\Windows\system32\mptpmdxm.dll C:\Windows\system32\Drivers\cfidsk.sys StartBatch: ipconfig /flushdns netsh advfirewall reset EndBatch: Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj niepożądany program ByteFence Anti-Malware oraz stare wersje Adobe AIR, Adobe Flash Player 24 PPAPI, Adobe Flash Player ActiveX. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware ExUptN. 3. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Reg: reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /s HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA Winlogon\Notify\igfxcui: igfxdev.dll [X] DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\rxsmznjf.zcp C:\ProgramData\mntemp C:\ProgramData\SWCUTemp C:\Users\Kamila\Documents\mama\Monia\dental\ProDentis.lnk C:\Users\Kamila\Documents\mama\Games\The Sims™ 3 Zwierzaki.lnk C:\Users\Monika\AppData\Local\{C9950558-E853-4BB2-9F4E-81AB11D88FED} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy przekierowania nadal mają miejsce.

Brzmieć może skomplikowanie, ale to jest prosta czynność (program jest "user-proof", nie umożliwia usuwania, tylko deaktywację) i wszystko jest odwracalne. Uruchom program i zobacz jak przejrzysta jest lista. Po akcji wyłączania niedomyślnych możesz wyprodukować log tekstowy (z wciśniętym CTRL zaznacz wejścia wyłączone przez Ciebie i z menu kontekstowego wybierz opcję zapisu raportu TXT). Gdyby było coś szkodliwego, nie pominęłabym tego milczeniem.

Informacyjnie: udało mi się uzyskać w FRST detekcję modyfikacji resources.pak. W przypadku szkodliwej domyślnej wyszukiwarki pojawi się następujący komunikat: CHR res: Infected resources.pak (search_engine). Reinstall Chrome.

Jeśli pliki mają być na zewnętrznym hostingu, to tylko na tzw. serwisach wklejkowych (bezpośredni dostęp do zawartości pliku). Ale przeniosłam pliki do załączników. Temat przenoszę do działu Windows 10, to nie jest problem infekcji. Z raportów nic też nie wynika (brak błędów w Dzienniku relatywnych do explorer.exe). 1. Zawieszanie eksploratora: czy występuje jakiś wspólny element, tzn. odwiedzenie konkretnego katalogu z tym samym typem plików lub wykonanie określonej akcji w folderze? Ogólnie jednym z powodów zawieszeń tego typu mogą być niestandardowe rozszerzenia powłoki dodanego przez jakiś program. Przeprowadź test przy udziale ShellExView x64. Przez klik w kolumnę Company ułóż wpisy w taki sposób, by niedomyślne (na różowym tle) ustawiły się w jednym bloku. Z wciśniętym CTRL zaznacz wszystkie i z menu kontekstowego wyłącz. Zresetuj system i obserwuj czy efekt nadal występuje. Jeśli nie, problemem jest jedno z wyłączonych rozszerzeń i by je wyłuskać należałoby zacząć procedurę "odwracania" partiami, tzn. włączenie wpisów tego samego producenta + restart, i tak do skutku aż wyłowisz gdzie leży problem. 2. Widzę powtarzalne błędy tego rodzaju (i zastanawiam się czy przypadkiem to nie jest powiązane z powyższym): Application errors: ================== Error: (06/23/2017 09:02:38 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: uTorrent.exe, wersja: 2.2.1.25302, sygnatura czasowa: 0x4dd301c8 Nazwa modułu powodującego błąd: GDI32.dll, wersja: 10.0.14393.206, sygnatura czasowa: 0x57dad2ca Kod wyjątku: 0xc000041d Przesunięcie błędu: 0x00003e82 Identyfikator procesu powodującego błąd: 0x10ec Godzina uruchomienia aplikacji powodującej błąd: 0x01d2ec46d77208ac Ścieżka aplikacji powodującej błąd: D:\Program Files (x86)\uTorrent\uTorrent.exe Ścieżka modułu powodującego błąd: C:\Windows\System32\GDI32.dll Identyfikator raportu: a62c8c58-0dab-43a0-a6f6-e01c8c8f91b9 Pełna nazwa pakietu powodującego błąd: Identyfikator aplikacji względem pakietu powodującego błąd: Error: (06/23/2017 09:02:38 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: uTorrent.exe, wersja: 2.2.1.25302, sygnatura czasowa: 0x4dd301c8 Nazwa modułu powodującego błąd: ntdll.dll, wersja: 10.0.14393.479, sygnatura czasowa: 0x58256ca0 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x00045b0e Identyfikator procesu powodującego błąd: 0x10ec Godzina uruchomienia aplikacji powodującej błąd: 0x01d2ec46d77208ac Ścieżka aplikacji powodującej błąd: D:\Program Files (x86)\uTorrent\uTorrent.exe Ścieżka modułu powodującego błąd: C:\Windows\SYSTEM32\ntdll.dll Identyfikator raportu: dcedbe2d-51bc-4620-be29-038c1594e788 Pełna nazwa pakietu powodującego błąd: Identyfikator aplikacji względem pakietu powodującego błąd: Sugeruję pozbyć się tego reklamodawczego klienta na korzyść czystej wersji alternatywnej: qBittorrent.

Nie dostaczyłeś obowiązkowych raportów FRST

Nowe logi z FRST już zbędne i je usuwam. Brak zmian mających znaczenie do oceny. I w związku z tym że znowu uruchomiłeś FRST, ponownie poczęstuj się DelFix by skasował komponenty FRST. Na koniec do usunięcia plik C:\DelFix.txt.

Wg raportów wszystko usunięte. Natomiast mam uwagę co do tego kwiatka: 2017-06-20 18:38 - 2017-06-20 18:38 - 01594072 _____ ( ) C:\Users\Kacper\Downloads\uBlock Origin 1.12.4 dla Google Chrome.exe 2017-06-20 18:38 - 2017-06-20 18:38 - 00003354 _____ C:\Users\Kacper\Downloads\uBlock Origin 1.12.4 dla Google Chrome.html To na pewno nie jest oryginalny instalator uBlock Origin (nie występuje w postaci EXE tylko w formacie pod konkretną przeglądarkę), i wygląda na śmiecia typu "Asystent pobierania" jakiegoś portalu. uBlock Origin i to w nowszej wersji 1.13.2 dostępny dla głównych linii przeglądarek na stronie domowej projektu: KLIK. Do wglądu też ogólna lista oprogramowania: KLIK. Działania końcowe: 1. W Google Chrome: Ustawienia > karta Ustawienia > Wygląd i kliknij w napis "Pokaż przycisk strony startowej" > przełącz na opcję "Niestandardową" i usuń adres gazeta.pl (o ile nie był wprowadzany ręcznie, to może być wtręt sponsorowany), następnie przełącz z powrotem na "Nową kartę". 2. Drobny kosmetyczny skrypt na szczątkowe wpisy oraz usuwający wszystkie stare pluginy z Firefox (od wersji FF 52 jedyny obsługiwany plugin zewnętrzny to Adobe Flash, reszta niewykrywalna). Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: HKU\S-1-5-21-4043991316-322300738-1598774976-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Users\Kacper\Downloads\rkill.scr [2030536 2017-06-21] (Bleeping Computer, LLC) HKLM\...\StartupApproved\Run: => "TUCCDUtil" HKU\S-1-5-21-4043991316-322300738-1598774976-1001\...\StartupApproved\Run: => "NIRegistrationWizard" Task: {384C9C45-F183-461F-8162-99C8490D5081} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe GroupPolicyScripts: Ograniczenia <======= UWAGA DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\!KillBox RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\plugins RemoveDirectory: C:\ProgramData\F-Secure RemoveDirectory: C:\ProgramData\Malwarebytes RemoveDirectory: C:\ProgramData\Malwarebytes' Anti-Malware (portable) RemoveDirectory: C:\Users\Kacper\AppData\Local\F-Secure RemoveDirectory: C:\Users\Kacper\AppData\Local\FSDART RemoveDirectory: C:\Users\Kacper\Desktop\mbar RemoveDirectory: C:\Users\Kacper\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Kacper\Downloads\FRST-OlderVersion StartBatch: del /q C:\Users\Kacper\AppData\Local\report del /q C:\Users\Kacper\Downloads\SpyHunter-Installer.exe del /q C:\Users\Kacper\Downloads\uBlock*.* del /q C:\Windows\system32\Drivers\mbamchameleon.sys del /q C:\Windows\system32\Drivers\MBAMSwissArmy.sys netsh advfirewall reset EndBatch: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 3. Zastosuj DelFix, następnie wyczyść foldery Przywracania systemu: KLIK. Z folderu Pobrane dokasuj ręcznie przez SHIFT+DEL (omija Kosz) wszystkie inne używane ostatnio narzędzia usuwające których nie zaadresuje DelFix. 4. Poniżej wyliczone programy do deinstalacji i zastąpienia najnowszymi wersjami: KLIK. Wątek o wymianie uTorrent na Qbittorent jak najbardziej aktualny. ==================== Zainstalowane programy ====================== Adobe Flash Player 24 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 24.0.0.221 - Adobe Systems Incorporated) Adobe Reader XI - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.00 - Adobe Systems Incorporated) Apple Software Update (HKLM-x32\...\{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}) (Version: 2.1.3.127 - Apple Inc.) Java 8 Update 101 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F64180101F0}) (Version: 8.0.1010.13 - Oracle Corporation) Java SE Development Kit 8 Update 101 (64-bit) (HKLM\...\{64A3A4F4-B792-11D6-A78A-00B0D0180101}) (Version: 8.0.1010.13 - Oracle Corporation) Obsługa programów Apple (HKLM-x32\...\{46F044A5-CE8B-4196-984E-5BD6525E361D}) (Version: 2.3.6 - Apple Inc.) QuickTime 7 (HKLM-x32\...\{FF59BD75-466A-4D5A-AD23-AAD87C5FD44C}) (Version: 7.79.80.95 - Apple Inc.)

Co do uszkodzonego pliku, to wyniki są dziwne... Skan SFC w ogóle tego nie notuje (wzamian dziwne adnotacje na spodzie), ale BFE obecnie znów nie widać w raporcie FRST jako naruszony... Zostawiam więc ten wątek w spokoju. 1. Na koniec zastosuj DelFix, następnie wyczyść foldery Przywracania systemu: KLIK. 2. Sugeruję wymianę µTorrent z reklamodawczymi modułami na czysty wariant alternatywny qBittorrent. To wszystko.

Wszystko zrobione. Kończymy: 1. Zastosuj DelFix, następnie wyczyść foldery Przywracania systemu: KLIK. 2. Odinstaluj poniższe stare wersje, a Adobe Flash kompletnie zbędny (to wersja NPAPI pod Firefox i pochodne). Więcej szczegółów na temat Apple/QuickTime w przyklejonym: KLIK. ==================== Zainstalowane programy ====================== Adobe Flash Player 26 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 26.0.0.131 - Adobe Systems Incorporated) Adobe Reader 9.4.0 - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-A94000000001}) (Version: 9.4.0 - Adobe Systems Incorporated) Apple Software Update (HKLM-x32\...\{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}) (Version: 2.1.3.127 - Apple Inc.) Java 8 Update 121 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F32180121F0}) (Version: 8.0.1210.13 - Oracle Corporation) Obsługa programów Apple (HKLM-x32\...\{F5266D28-E0B2-4130-BFC5-EE155AD514DC}) (Version: 2.3 - Apple Inc.) QuickTime (HKLM-x32\...\{AF0CE7C0-A3E4-4D73-988B-B29187EC6E9A}) (Version: 7.73.80.64 - Apple Inc.) Real Alternative 2.0.2 (HKLM-x32\...\RealAlt_is1) (Version: 2.0.2 - ) Pytaniem jest też czy w ogóle instalacja Java jest potrzebna (jest jeszcze jedno wejście). Używasz Chrome które w ogóle nie obsługuje wtyczek Java. Obecnie tylko Internet Explorer jest w stanie je uruchomić.

1. Na liście zainstalowanych nadal następujące wejścia Autodesk: ACA & MEP 2016 Object Enabler (Version: 7.8.41.0 - Autodesk) Hidden ACAD Private (Version: 20.1.49.0 - Autodesk) Hidden AutoCAD 2016 - English (Version: 20.1.49.0 - Autodesk) Hidden AutoCAD 2016 (Version: 20.1.49.0 - Autodesk) Hidden AutoCAD 2016 Language Pack - English (Version: 20.1.49.0 - Autodesk) Hidden Autodesk ReCap 2016 (Version: 1.5.0.33 - Autodesk) Hidden SketchUp Import 2016 (HKLM-x32\...\{C769FB7C-1F55-4B31-9A2A-21CEC50F4F92}) (Version: 2.0.0 - Autodesk) Ostatnie widoczne w Panelu sterowania i powinno się dać odinstalować tradycyjną drogą. Ale wszystkie pozostałe są ukryte i należy się nimi zająć za pomocą Program Install and Uninstall Troubleshooter. Program należy uruchomić tyle razy ile wejść, akcja zbiorcza nie jest możliwa. 2. Mały skrypt poprawkowy na pozostałe wejścia pozostawione po AutoCAD. Uruchom FRST, z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: ShellIconOverlayIdentifiers: [AutoCAD Digital Signatures Icon Overlay Handler] -> {36A21736-36C2-4C11-8ACB-D4136F2B57BD} => C:\WINDOWS\system32\AcSignIcon.dll [2015-02-06] (Autodesk, Inc.) HKLM\...\StartupApproved\Run32: => "ADSKAppManager" HKU\S-1-5-21-511756095-493730230-178181468-1000\Software\Classes\.scr: AutoCADScriptFile => C:\WINDOWS\system32\notepad.exe "%1" HKU\S-1-5-21-511756095-493730230-178181468-1000\Software\Classes\regfile: regedit.exe "%1" <===== UWAGA C:\Program Files\Autodesk C:\ProgramData\Autodesk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk ReCap 2016 C:\Users\Darek\AppData\Roaming\Autodesk C:\WINDOWS\system32\AcSignIcon.dll Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Dostarcz wynikowy fixlog.txt. 3. Jeden z plików Microsoftu wygląda na uszkodzony i to jakaś nowa usterka (w poprzednich logach tego nie było): R2 BFE; C:\WINDOWS\System32\bfe.dll [794112 2016-07-29] (Microsoft Corporation) [brak podpisu cyfrowego] Uruchom sfc /scannow i dostarcz przefiltrowane wyniki: KLIK.

Problem tworzy zadanie w Harmonogramie planujące otwieranie strony yocoursenews.net. Działania do przeprowadzenia: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-1322775476-4237890299-1954743875-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-1322775476-4237890299-1954743875-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch MSCONFIG\startupreg: BingSvc => C:\Users\user\AppData\Local\Microsoft\BingSvc\BingSvc.exe U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S2 HiPatchService; E:\Program Files (x86)\Hi-Rez Studios\HiPatchService.exe [X] S3 GPU-Z; \??\C:\Users\user\AppData\Local\Temp\GPU-Z.sys [X] <==== UWAGA CustomCLSID: HKU\S-1-5-21-1322775476-4237890299-1954743875-1000_Classes\CLSID\{8C46158B-D978-483C-A312-16EE5013BE04}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.33.3\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1322775476-4237890299-1954743875-1000_Classes\CLSID\{CB492AF1-2CEF-4E58-BE47-471C77D0C8BA}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.32.7\psuser_64.dll => Brak pliku Task: {2D2ADE25-5EFE-48AE-9FF3-BD592FB6A6A8} - System32\Tasks\{EDB52C9C-C630-4A9D-AD6E-018D83374074} => Iexplore.exe hxxps://ui.skype.com/ui/0/7.36.0.101/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {60261F33-65BF-44E4-8A03-D73C3F5BF5FD} - System32\Tasks\{C6E9F3DA-4723-4B64-B9C0-D3E3A3C9AB92} => Chrome.exe hxxps://www.skype.com/go/downloading?source=lightinstaller&ver=7.32.0.104&LastError=12040 Task: {B642C785-E7A9-45EA-8EF7-CCEBDAA32797} - System32\Tasks\jhg => cmd.exe "/c start hxxp://yocoursenews.net/jhg /min /b" DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main C:\ProgramData\*.cmd C:\ProgramData\DirectX11b C:\ProgramData\Framework C:\ProgramData\MicrosoftCOM C:\ProgramData\WindowsSQL C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hi-Rez Studios C:\Users\user\AppData\Local\THQ C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Steam Client Bootstrapper.lnk C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steam cmd: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Chrome z niepożądanych przekierowań Bing: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Bing. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwarka > z rozwijanego menu ustaw jako domyślną Google > klik w Zarządzaj wyszukiwarkami i skasuj z listy wszystkie inne pozycje. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Zabrakło pliku FRST Addition, doczep. 1. Wg Fixlog prawie wszystko elegancko usunięte z jednym wyjątkiem. Hotspot wygląda na odinstalowany (wg śladów w FRST.txt, brak Addition potwierdzającego to), ale nadal widzę rozszerzenie Hotspot Shield VPN Free Proxy – Unblock Sites w Chrome. Omyłkowo pominąłeś czy go nie widzisz na liście rozszerzeń? 2. Drobne działania poboczne, tzn. usunięcie pustych skrótów widzianych w Shortcut.txt i kwarantann narzędzi. Uruchom FRST, z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battlefield Hardline RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenVPN RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sony RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wondershare RemoveDirectory: C:\Users\Darek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line RemoveDirectory: C:\Users\Darek\Downloads\FRST-OlderVersion StartBatch: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Farming Simulator 15\Play Farming Simulator 15 (x64).lnk" del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Farming Simulator 15\Play Farming Simulator 15 (x86).lnk" del /q "C:\Users\Darek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Bloody5.lnk" del /q "C:\Users\Darek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\TeamSpeak 3 Client.lnk" del /q "C:\Users\Darek\AppData\Roaming\Microsoft\Windows\Start Menu\BlueStacks.lnk" del /q "C:\Users\Darek\Documents\Euro Truck Simulator 2\readme.rtf.lnk" EndBatch: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Tym razem nie będzie restartu. Dostarcz wynikowy fixlog.txt. Mam też pytanie czy instalacja AutoCAD 2016 działa? W raportach stanowczo zbyt dużo wpisów notujących brak plików, pomimo że program figuruje na liście zainstalowanych.

Szkoda, że nie widziałam tego tematu wcześniej, to szybko by poszło usuwanie. drmkpro64 to znany rootkit blokujący programy podpisane cyfrowo. Jest potrzebna specjalna niepodpisana cyfrowo wersja narzędzia usuwającego, orientowana na infekcje rootkit. 1. Uruchom specjalną wersję Malwarebytes Anti-rootkit. Wykonaj skan i usuwanie. Dostarcz log końcowy narzędzia. 2. Następnie zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut.

Logi z przestarzałego OTL w ogóle nie są tu brane pod uwagę, usuwam. Zabrakło za to trzeciego obowiązkowego raportu FRST Shortcut. Problem generuje adware w Harmonogramie: Task: {BFF311F5-F661-4B11-9945-B3D76D3DBD64} - System32\Tasks\yocoursenewsnetjhgs => Chrome.exe yocoursenews.net/jhgs <==== UWAGA Masz też zainstalowany program miernej reputacji Hotspot Shield 6.0.4. Wersja darmowa generuje przekierowania i reklamy: KLIK. Przy okazji będą czyszczone szczątki po programach i aktualizacji z Windows 7 do 10. Działania do przeprowadzenia: 1. Klawisz z flagą Windows+X > Programy i funkcje > odinstaluj Hotspot Shield 6.0.4. Następnie otwórz Chrome i w Rozszerzeniach odinstaluj Hotspot Shield VPN Free Proxy – Unblock Sites. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: GroupPolicy: Ograniczenia - Chrome <======= UWAGA GroupPolicy\User: Ograniczenia <======= UWAGA HKU\S-1-5-21-511756095-493730230-178181468-1000\Software\Microsoft\Internet Explorer\Main,Start Page = HKU\S-1-5-21-511756095-493730230-178181468-1000\...\Policies\Explorer: [] HKU\S-1-5-21-511756095-493730230-178181468-1000\...\StartupApproved\Run: => "GoogleChromeAutoLaunch_3A28731608BE3B1B1AB1BA9CD2FD08D4" HKU\S-1-5-21-511756095-493730230-178181468-1000\...\StartupApproved\Run: => "AMDDVR" HKU\S-1-5-18\...\Run: [script_fcbd] => "D:\Programy\Far Cry 3 Blood Dragon\fcbd.bat" HKLM\...\StartupApproved\StartupFolder: => "fcbd.bat" HKLM-x32\...\Run: [] => [X] Tcpip\..\Interfaces\{82b17876-3e2d-49f3-8399-60a2902367ff}: [DhcpNameServer] 89.233.43.71 91.239.100.100 S3 BstHdAndroidSvc; "C:\Program Files (x86)\BlueStacks\HD-Service.exe" BstHdAndroidSvc Android [X] S2 BstHdLogRotatorSvc; C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe [X] S3 BstHdPlusAndroidSvc; "C:\Program Files (x86)\BlueStacks\HD-Plus-Service.exe" BstHdPlusAndroidSvc Android [X] S2 BstHdUpdaterSvc; C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe [X] S2 CodeMeter.exe; C:\Program Files (x86)\CodeMeter\Runtime\bin\CodeMeter.exe [X] S3 HnGSteamService; D:\SteamLibrary\steamapps\common\Heroes & Generals\hngservice.exe [X] S3 OpenVPNService; "C:\Program Files\OpenVPN\bin\openvpnserv.exe" [X] S3 WsDrvInst; "C:\Program Files (x86)\Wondershare\Dr.Fone for Android\DriverInstall.exe" [X] S2 amdacpksd; \??\C:\WINDOWS\system32\drivers\amdacpksd.sys [X] S2 BstHdDrv; \??\C:\Program Files (x86)\BlueStacks\HD-Hypervisor-amd64.sys [X] S2 BstkDrv; \??\C:\Program Files (x86)\BlueStacks\BstkDrv.sys [X] U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku CustomCLSID: HKU\S-1-5-21-511756095-493730230-178181468-1000_Classes\CLSID\{0B628DE4-07AD-4284-81CA-5B439F67C5E6}\localserver32 -> D:\Programy\Nowy folder (2)\AutoCAD 2016\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-511756095-493730230-178181468-1000_Classes\CLSID\{149DD748-EA85-45A6-93C5-AC50D0260C98}\localserver32 -> D:\Programy\Nowy folder (2)\AutoCAD 2016\acad.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-511756095-493730230-178181468-1000_Classes\CLSID\{5370C727-1451-4700-A960-77630950AF6D}\localserver32 -> D:\Programy\Nowy folder (2)\AutoCAD 2016\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-511756095-493730230-178181468-1000_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> D:\Programy\Nowy folder (2)\AutoCAD 2016\en-US\acadficn.dll => Brak pliku Task: {023AA27A-3A54-4C30-B58A-A887C8CA4389} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA Task: {2644D489-0CF7-4B04-BF29-F5BF9D18D549} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {288E3856-5273-448E-A68D-4994DE5B2EB8} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {33C14721-ACAC-4FB1-8169-B2CAB3BF1D6A} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku <==== UWAGA Task: {3C710460-9150-4DFE-88B7-85FA8423A089} - System32\Tasks\{8CED52AA-FB6F-4179-B949-EC3663E7C022} => pcalua.exe -a "C:\Program Files (x86)\Youtube AdBlock\uninstall.exe" Task: {40EFBFD4-016B-48E2-B8C3-4B4F1159E3A2} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {5068A5DF-A3B8-48D8-8184-E7DB8BE04BD8} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\WINDOWS\ehome\ehPrivJob.exe Task: {5E0197E0-0B07-4B13-B8E4-C2F264A88B50} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku <==== UWAGA Task: {5F8C9063-F618-4F6F-AB5F-8B3D51687DAC} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\WINDOWS\ehome\ehPrivJob.exe Task: {63D845BB-FB1C-43F2-868E-BC9FF7C1484B} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA Task: {695559B3-3A3B-419F-8061-AF529D46917B} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA Task: {7075E855-2824-4BBC-A77C-E57878B9B1F1} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\WINDOWS\ehome\ehPrivJob.exe Task: {711E75E2-FBD9-4815-A646-A69D3A7B99A4} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku <==== UWAGA Task: {75C795FE-06AF-4B35-A904-37DD34498807} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA Task: {787FBB1B-47BB-4FEF-B620-863D5C8CBEEF} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA Task: {7AF8A9B9-7AF9-494C-B539-47D291277647} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\WINDOWS\ehome\mcupdate.exe Task: {7C607B05-2F2B-437C-9A02-CD24D8149CB3} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {7FCD7235-A847-43B2-89DD-FB2941D57766} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku <==== UWAGA Task: {86B8D89F-0E93-4521-81C7-74F0D3AEF415} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\WINDOWS\ehome\ehPrivJob.exe Task: {8FE16D08-F8EF-4628-A198-9EB316E31DF7} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA Task: {959F8243-FCD5-48FE-A172-BE3CB5F1C8F7} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\WINDOWS\ehome\ehPrivJob.exe Task: {9D6801A2-8304-40F8-88DF-8968604F491F} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\WINDOWS\ehome\ehPrivJob.exe Task: {9FAC9D96-BDE1-49DF-8997-7A5443EBF440} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\WINDOWS\ehome\ehPrivJob.exe Task: {B7C6A81F-556F-4354-B645-CB932FEEA0D0} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA Task: {B968F33F-6742-4162-8085-4FFB31F93E42} - System32\Tasks\CreateExplorerShellUnelevatedTask => C:\WINDOWS\explorer.exe /NOUACCHECK Task: {BFE91675-8F75-412B-8A3A-14808CCD0590} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\WINDOWS\ehome\ehPrivJob.exe Task: {BFF311F5-F661-4B11-9945-B3D76D3DBD64} - System32\Tasks\yocoursenewsnetjhgs => Chrome.exe yocoursenews.net/jhgs <==== UWAGA Task: {CB241A5C-12C9-4AC2-93A7-05A9B4868B50} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: {CCA68BEB-300B-45CF-AA84-F0AE01A4B5AA} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\WINDOWS\ehome\ehPrivJob.exe Task: {CF01E53B-8498-4DC8-84D5-DAB01D481458} - System32\Tasks\{00CADB98-FD7A-4B92-A661-669FBBA34590} => Chrome.exe hxxp://ui.skype.com/ui/0/7.21.0.100/pl/abandoninstall?page=tsProgressBar Task: {D704CA20-8E32-4FE6-93EA-53FD70284219} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA Task: {DBFE4768-67C5-48A7-B9D0-641C553E18A5} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\WINDOWS\ehome\ehPrivJob.exe Task: {DD70211F-D7BB-40C0-A82D-D8B65C2948E6} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku <==== UWAGA Task: {E1631652-5E76-4C34-B780-E6AEA7A93364} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\WINDOWS\ehome\MCUpdate.exe Task: {ED7EFA8B-EA87-4A0E-8451-8DC2AAE40257} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\WINDOWS\ehome\ehPrivJob.exe Task: {F3A3AD5F-A6FF-4B64-B873-F0304E73227D} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\WINDOWS\ehome\ehrec.exe Task: {F4137ADA-D8AF-471E-AE1F-3987E5D09311} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\WINDOWS\ehome\ehPrivJob.exe Task: {F4693630-A628-4D2D-9581-5D6614435291} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\WINDOWS\ehome\ehPrivJob.exe Task: {F61856C4-0C35-4FDF-8CD3-D947BBD69D3D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA Task: {F9C826A3-E66C-44DE-8D0F-B1B8963EB7D4} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\WINDOWS\ehome\mcupdate.exe Task: {FBABB958-B2C5-488B-B1F0-9FCEA7410030} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\WINDOWS\ehome\ehrec.exe Task: {FDF473CB-F543-452F-BAD0-6EE363C6FFAC} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\WINDOWS\ehome\mcupdate.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\hash.dat C:\ProgramData\SoftwareUpdateTemp.xml C:\Users\Darek\AppData\Local\*.* C:\Users\Darek\AppData\Local\{*} C:\Windows\ehome C:\Windows\System32\Tasks\Microsoft\Windows\Media Center CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Shortcut. Dołącz też plik fixlog.txt.

Skrypt uruchomiłeś wielokrotnie, każdy skrypt jest jednorazowego użytku i nie wykona ponownie tych samych akcji. Wszystko zrobione. Na koniec zastosuj DelFix. To wszystko.