picasso

Dziś forum było niedostępne przez jakiś czas z powodu prac konserwacyjnych dostawcy. Przepraszam za nieprzewidzianą przerwę.

Z okazji Świąt Bożego Narodzenia najlepsze życzenia dla wszystkich użytkowników Fixitpc. Dużo zdrowia i radości, obfitego stołu i świetnych znalezisk pod choinką.

Na wszelki wypadek zawiadamiam, że jakiś czas temu wyciekły master-klucze i RakhniDecryptor został zaktualizowany pod kątem dekodowania CrySiS: KLIK.

Changelog 2016-2021

Nowe wieści: KLIK. Kaspersky złowił określoną pulę kluczy do nowszych wariantów CryptXXX i zaktualizował dekoder RannohDecryptor pod kątem odkodowania wariantów o rozszerzeniach .crypt, .cryp1, .crypz. Niemniej nie ma gwarancji, że pliki da się odkodować.

Nowe wieści: KLIK. Kaspersky złowił określoną pulę kluczy do nowszych wariantów CryptXXX i zaktualizował dekoder RannohDecryptor pod kątem odkodowania wariantów o rozszerzeniach .crypt, .cryp1, .crypz. Niemniej nie ma gwarancji, że pliki da się odkodować.

Nowe wieści: KLIK. Kaspersky złowił określoną pulę kluczy do nowszych wariantów CryptXXX i zaktualizował dekoder RannohDecryptor pod kątem odkodowania wariantów o rozszerzeniach .crypt, .cryp1, .crypz. Niemniej nie ma gwarancji, że pliki da się odkodować.

Se7en_UA Strona domowa Pobieranie Se7en_UA9.0.0.zip - Wersja dla Windows 8.1 i Windows 7 Se7en_UA6.3.33 final for XP Vista.zip - Wersja dla Vista Licencja: freeware Se7en_UA - Graficzny interfejs nakładkowy dla struktury procesu Instalacji nienadzorowanej, wspomagający wytwarzanie dostosowanej DVD Windows Vista, Windows 7 i Windows 8.1 32-bit i 64-bit. Aplikacja ma kierunek pod edukację początkujących i są tu gesty pod tym kątem: w celu zapewnienia poprawności i właściwej kolejności procesu jest czynna tylko jedna operacja w tym samym czasie i dopiero po jej ukończeniu można kontynuować do kolejnych faz, zaś same opcje są opisane tekstowo. Pierwszy etap to wykorzystanie opcji Copy DVD (wskazanie płyty instalacyjnej lub jej przekopiowanej zawartości na dysk ale nie w formie ISO), co uruchamia w oknach cmd automatyczne kopiowanie oryginału do folderu roboczego C:\Se7en_UA\uaDVD oraz montowanie obrazu WIM przy udziale narzędzia ImageX. Po ukończeniu tej operacji w oknie pojawi się detekcja edycji i można przejść do kolejnych kroków modyfikacyjnych. W skład wchodzi: dołączanie Add-onów (tematy / tapety / czcionki etc.) przy wykorzystaniu drzewa katalogu dystrybucyjnego $OEM$, integracja sterowników ze źródeł INF, dołączanie aplikacji do płyty (muszą być umieszczone w głównym katalogu np. C:\APPS by kreator to namierzył i umiał skopiować), dostosowanie pliku odpowiedzi AutoUnattend.xml (dostępny próbnik wstępny), integracja łat Windows Update, edycja pliku Setupcomplete.cmd (wykorzystywany do portowania tweaków rejestru), edycja Cleanup.cmd (umożliwia np. usuwanie zbędnych skrótów), modyfikacje funkcji i komponentów, wymiana ekranów startu i zamykania. Proces konstrukcyjny jest wspierany edytorami para-DOS umożliwiającymi weryfikację tworzonych od kuchni plików. Na koniec cały przetworzony materiał jest finalizowany i rzucany do pliku ISO. Aplikacja wymaga składników Windows ADK for Windows 8.1 (płyty Windows 8.1) lub WAIK w wersji 2.0 / 3.0 (płyty Windows 7) i te przekopiowuje do swojego katalogu. Prawdopodobnie w przyszłości będzie obsługa także Windows 10, obecnie autor testuje takie możliwości. Dorzucam materiały pomocnicze: Preparing and Customizing Your Windows Image FireGeier Unattended Vista Guide

Wszystkie operacje pomyślnie wykonane. Przez SHIFT+DEL (omija Kosz) skasuj FRST, by go nie wykrył skaner który mam w zamiarze użyć. Następnie uruchom Hitman Pro i dostarcz wynikowy log, o ile coś zostanie znalezione.

Fix FRST pomyślnie wykonany. Natomiast AdwCleaner znalazł ogromną ilość odpadków adware, w tym stare rezydujące nie wiadomo ile czasu w systemie. 1. Uruchom AdwCleaner ponownie, tym razem po kolei wybierz opcje Skanuj + Oczyść. Gdy program wykona zadanie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Windows\system32\log Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Teraz poprawki. Prócz nie zresetowanego Hosts, nie wykonała się poprawnie deinstalacja Splashtop (nadal aktywny) oraz nadal jako domyślna przeglądarka jest ustawiony klon Coldjob. Ponadto do usunięcia wiele pustych skrótów głównie gier. Kolejna porcja zadań: 1. Na czas operacji wyłącz Kasperskiego. Otwórz Notatnik i wklej w nim: (Splashtop Inc.) C:\Program Files (x86)\Splashtop\Splashtop Connect Firefox Software Updater\WCUService.exe (Splashtop Inc.) C:\Program Files (x86)\Splashtop\Splashtop Connect IE Software Updater\WCUService.exe R2 WCUService_STC_FF; C:\Program Files (x86)\Splashtop\Splashtop Connect Firefox Software Updater\WCUService.exe [493384 2011-03-24] (Splashtop Inc.) S2 0149001480785202mcinstcleanup; C:\Users\DOMOWN~1\AppData\Local\Temp\014900~1.EXE -cleanup -nolog [X] HKLM-x32\...\Run: [sTCAgent] => "C:\Program Files (x86)\Splashtop\Splashtop Connect IE\STCAgent.exe" MSCONFIG\startupreg: AlcoholAutomount => "D:\Program Files (x86)\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe" -automount Task: {32FBA824-8861-46E6-B42E-1255D0390713} - System32\Tasks\HPCustParticipation HP Deskjet 2510 series => C:\Program Files\HP\HP Deskjet 2510 series\Bin\HPCustPartic.exe DeleteKey: HKCU\Software\Classes\ChromeHTML DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\546c6046_0 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{699a82bb-e9a8-445b-994d-95f270dc5911} DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Google Chrome DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A0275D4F-FFAB-4A42-9874-B871B1C4CA3D} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{30B1FC04-B0D2-4A36-8997-10CC93E04E26} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7195E93F-714C-404B-A164-8F080121C1E6} Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\Coldjob\Application\chrome.exe" /f C:\Program Files\TrueKey C:\Program Files\Common Files\AV\avast! Antivirus C:\Program Files\Common Files\AV\McAfee Anti-Virus And Anti-Spyware C:\Program Files\Common Files\McAfee C:\Program Files (x86)\Real\RealPlayer\freeoffers.rnx C:\Program Files (x86)\Splashtop C:\ProgramData\McAfee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AC2 server emulator C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Alcohol 120% C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArcaniA - Gothic 4 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty - Black Ops 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 v23 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Delta Force Helikopter w Ogniu C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Euro Truck Simulator 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Game of Thrones C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Game of Thrones - A Telltale Games Series C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gothic III C:\ProgramData\Microsoft\Windows\Start Menu\Programs\L.A. Noire PL Demo [bDIP] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LucasArts\Star Wars Knights of the Old Republic C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mass Effect 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Metin2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Metin2 Ravia.eu C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PKR C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerISO C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Pro Evolution Soccer 2014 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Risen 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Risen 3 - Titan Lords C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\GTA San Andreas C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rome - Total War C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Second Life Viewer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spolszczenie do Sid Meier's Pirates instalka by Termez & AliG C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Lord of the Rings Conquest C:\ProgramData\Microsoft\Windows\Start Menu\Programs\This War of Mine C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tom Clancys Ghost Recon Future Soldier C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TuneUp Utilities 2013 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Viking Battle for Asgard C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks C:\ProgramData\Microsoft\Windows\GameExplorer\{23AD6742-081E-42DE-B5D3-49C17AB2A60E} C:\ProgramData\Microsoft\Windows\GameExplorer\{2A5ADD52-19A2-477F-AAC5-FEA4125C9A5D} C:\ProgramData\Microsoft\Windows\GameExplorer\{53ED90E6-1C59-4211-800D-3D2C0E1BC556} C:\ProgramData\Microsoft\Windows\GameExplorer\{85E64D1F-7858-4E86-9023-FB87585D1C56} C:\ProgramData\Microsoft\Windows\GameExplorer\{9FA91AB5-2119-47B9-A0FC-7678C5C396A1} C:\ProgramData\Microsoft\Windows\GameExplorer\{DAE92867-E3AA-4E48-96DE-4288D5852FF3} C:\ProgramData\Microsoft\Windows\GameExplorer\{DB9E78EA-51B4-4C9E-9A40-98C262E33BBA} C:\ProgramData\Microsoft\Windows\GameExplorer\{EE42E458-1672-4351-BB33-D50DF89B280E} C:\temp C:\Users\Domownicy\AppData\Local\Microsoft\Windows\GameExplorer\{FC25579C-F813-45A4-91DB-623B20A4CE8E} C:\Users\Domownicy\AppData\Local\Microsoft\Windows\GameExplorer\{D2F7376D-2F13-451F-AF7E-52E3E515BEBD} C:\Users\Domownicy\AppData\Local\Microsoft\Windows\GameExplorer\{C64D2620-EE8D-4D28-904E-9BA34419C2CA} C:\Users\Domownicy\AppData\Local\Microsoft\Windows\GameExplorer\{B86F8D37-55B9-4FF8-8F8A-6B78CF2CA019} C:\Users\Domownicy\AppData\Local\Microsoft\Windows\GameExplorer\{AC16F2E0-243D-467A-8522-E2B194173592} C:\Users\Domownicy\AppData\Local\Microsoft\Windows\GameExplorer\{AA0DACB6-C33E-4523-B8AD-866232B434B3} C:\Users\Domownicy\AppData\Local\Microsoft\Windows\GameExplorer\{A57716B5-C6DE-48A1-9035-3EB76B858538} C:\Users\Domownicy\AppData\Local\Microsoft\Windows\GameExplorer\{9EADC263-558D-4090-B27D-238B3B8F3C5C} C:\Users\Domownicy\AppData\Local\Microsoft\Windows\GameExplorer\{9D034920-1A6B-4BAB-8893-D1171182F49B} C:\Users\Domownicy\AppData\Local\Microsoft\Windows\GameExplorer\{95F58E2F-4868-458F-BF57-090C92C3878D} C:\Users\Domownicy\AppData\Local\Microsoft\Windows\GameExplorer\{908A9B5E-A286-40A1-8B50-E6F49E579936} C:\Users\Domownicy\AppData\Local\Microsoft\Windows\GameExplorer\{8DE292DC-0BB5-44D2-8BFE-F4C45E959B44} C:\Users\Domownicy\AppData\Local\Microsoft\Windows\GameExplorer\{853E2D4C-3608-47DB-ABE4-4F0518FACDA7} C:\Users\Domownicy\AppData\Local\Microsoft\Windows\GameExplorer\{765C490E-22FF-4F6B-B4DC-A476F1FD6781} C:\Users\Domownicy\AppData\Local\Microsoft\Windows\GameExplorer\{684EBC7B-B2B0-48C5-AE81-BCEF4888A5CF} C:\Users\Domownicy\AppData\Local\Microsoft\Windows\GameExplorer\{66A73F9E-792E-4595-B3B5-CFD363B5B645} C:\Users\Domownicy\AppData\Local\Microsoft\Windows\GameExplorer\{61D1EC45-0BBA-4FD8-8352-C6ABC009D5B2} C:\Users\Domownicy\AppData\Local\Microsoft\Windows\GameExplorer\{59DC8926-FE1D-49E4-8CFC-60692441A1B4} C:\Users\Domownicy\AppData\Local\Microsoft\Windows\GameExplorer\{5660BD2E-953B-4C9C-A108-137AA5F501FC} C:\Users\Domownicy\AppData\Local\Microsoft\Windows\GameExplorer\{44DC23AE-4627-46C6-BF9F-183C188881E2} C:\Users\Domownicy\AppData\Local\Microsoft\Windows\GameExplorer\{36937AE7-22EE-44F3-9305-BBAF4EDED36D} C:\Users\Domownicy\AppData\Local\Microsoft\Windows\GameExplorer\{3591872E-ABC9-4370-B8D0-05957414C146} C:\Users\Domownicy\AppData\Local\Microsoft\Windows\GameExplorer\{2D08D150-5FA8-4D57-A9CE-06B84D23AA45} C:\Users\Domownicy\AppData\Local\Microsoft\Windows\GameExplorer\{26EB499E-8A34-4E56-9BF3-FDA98FE8CE21} C:\Users\Domownicy\AppData\Local\Microsoft\Windows\GameExplorer\{1B565405-8371-410C-9374-057DF513371D} C:\Users\Domownicy\AppData\Local\Microsoft\Windows\GameExplorer\{0B23DE24-419D-4E98-902E-E7C193BE2296} C:\Users\Domownicy\AppData\Local\Microsoft\Windows\GameExplorer\{035EC82E-66C5-4F80-A560-7F8937CCA6B5} C:\Users\Domownicy\AppData\Local\Mozilla C:\Users\Domownicy\AppData\Roaming\Splashtop C:\Users\Domownicy\AppData\Roaming\Microsoft\localstore.rdf C:\Users\Domownicy\AppData\Roaming\Microsoft\update.exe C:\Users\Domownicy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Dragon Age II.lnk C:\Users\Domownicy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Star Wars - The Old Republic.lnk C:\Users\Domownicy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\World of Tanks.lnk C:\Users\Domownicy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\Domownicy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\b4cd8ef7028dbde6\eeaUDOiyy.lnk C:\Users\Domownicy\AppData\Roaming\Microsoft\Windows\SendTo\Kontakt na Tlenie.lnk C:\Users\Domownicy\AppData\Roaming\Microsoft\Windows\GameExplorer\SupportTasks C:\Users\Domownicy\AppData\Roaming\Microsoft\Windows\GameExplorer\PlayTasks C:\Users\Domownicy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Domownicy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Social Games.lnk C:\Users\Domownicy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Jaktyl - wersja polska C:\Users\Domownicy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MOS v1.3 C:\Users\Domownicy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MOS v1.4 C:\Users\Domownicy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MOS v1.50 C:\Users\Domownicy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Piratenleben - wersja polska C:\Users\Domownicy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sega C:\Users\Domownicy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\The Lord of the Rings - Total War OPEN BETA C:\Users\Domownicy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\U Zarania C:\Users\Domownicy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\War Thunder C:\Users\Domownicy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks C:\Users\Domownicy\Start Menu\Programs\Browser Manager C:\Users\Domownicy\Desktop\Gry Patryk\Assassin's Creed III.lnk C:\Users\Domownicy\Desktop\Gry Patryk\Avast Free Antivirus.lnk C:\Users\Domownicy\Desktop\Gry Patryk\Avast SafeZone Browser.lnk C:\Users\Domownicy\Desktop\Gry Patryk\Battlefield 2 Jednostki specjalne.lnk C:\Users\Domownicy\Desktop\Gry Patryk\Battlefield 2.lnk C:\Users\Domownicy\Desktop\Gry Patryk\Brothers in Arms - Hell's Highway.lnk C:\Users\Domownicy\Desktop\Gry Patryk\Dragon Age Inkwizycja.lnk C:\Users\Domownicy\Desktop\Gry Patryk\FIFA 16.lnk C:\Users\Domownicy\Desktop\Gry Patryk\I Am Alive.lnk C:\Users\Domownicy\Desktop\Gry Patryk\LogMeIn Hamachi.lnk C:\Users\Domownicy\Desktop\Gry Patryk\Mass Effect 3.lnk C:\Users\Domownicy\Desktop\Gry Patryk\Mass Effect.lnk C:\Users\Domownicy\Desktop\Gry Patryk\McAfee Security Scan Plus.lnk C:\Users\Domownicy\Desktop\Gry Patryk\Risen 2 - Dark Waters.lnk C:\Users\Domownicy\Desktop\Gry Patryk\rodziców i jakies programy\Free Offers.lnk C:\Users\Domownicy\Desktop\Gry Patryk\rodziców i jakies programy\G DATA ANTIVIRUS.lnk C:\Users\Domownicy\Desktop\Gry Patryk\rodziców i jakies programy\Gothic II.lnk C:\Users\Domownicy\Desktop\Gry Patryk\rodziców i jakies programy\DRUKARKA EPSON\EPSON Scan.lnk C:\Users\Domownicy\Desktop\Gry Patryk\Age of Empires III - Complete Collection\Age of Empires III The Asian Dynasties.lnk C:\Users\Domownicy\Desktop\Gry Patryk\Age of Empires III - Complete Collection\Age of Empires III The WarChiefs.lnk C:\Users\Domownicy\Desktop\Gry Patryk\Age of Empires III - Complete Collection\Age of Empires III.lnk C:\Users\Domownicy\Favorites\Links\Sugerowane witryny.url C:\Windows\System32\Tasks\AVAST Software Hosts: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy plik fixlog.txt. 2. Po w/w operacji ustaw przeglądarkę Google Chrome jako domyślną. Tym razem powinno to być wykonalne po czyszczeniu rejestru z wtrętów Coldjob. 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Nic się nie wypowiadasz czy usługa Kompozycje się poprawnie uruchomiła po przetworzeniu skryptu FRST. Powinna, gdyż wartość dodana przez adware została usunięta. Wszystko zrobione, z wyjątkiem resetu Hosts (prawdopodobnie zablokowany przez Kasperskiego). Będą poprawki, ale zanim do tego dojdzie proszę o: 1. Dostarczenie nowego raportu FRST.txt (zapomniałeś dołączyć). 2. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. Coldjob;iThemes5

Temat przenoszę do działu diagnostyki malware. To są problemy infekcji. Tak jest, tu jest ta sama modyfikacja adware co w tamtym temacie: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Themes DependOnService REG_MULTI_SZ iThemes5 Należy usunąć wartość DependOnService (domyślnie nie istnieje dla tej usługi, jak mówiłam). Ale to nie wszystko, system jest zainfekowany większą ilością adware - fałszywy klon Chrome pod nazwą Coldjob ustawiony jako domyślna przeglądarka i wszystkie skróty podmienione (uruchamiasz fałszywe Chrome z adware myśląc, że to prawdziwy Google Chrome). Ponadto multum śmieci. Operacje do wdrożenia: 1. Deinstalacje: Przez Panel sterowania odinstaluj: - Adware/PUP: amuleC, CoolYou Gadget, InterHop, Linkury Smartbar, Linkury Smartbar Engine, Lollipop, Splashtop Connect for Firefox, Splashtop Connect IE, UvConverter. - Stare wersje (luki i zagrożenie infekcjami) i zbędne aplikacje: Apple Application Support, EXPERTool 7.21, ffdshow [rev 2527] [2008-12-19], HP Deskjet 2510 series — badanie mające na celu poprawę produktów, Intel Security True Key, Java 8 Update 31, Java 8 Update 91, Java 8 Update 101, JavaFX 2.1.1, Mozilla Maintenance Service, OpenOffice.org 3.2, QuickTime 7, Real Alternative 2.0.1. Intel wszedł z instalacją Adobe Flash, programy Apple i Real niebezpieczne (krytyczne luki), brak produktów Mozilla. Jeśli pojawią się jakieś błędy deinstalacji, kontynuuj dalej. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako administrator > odinstaluj martwe urządzenie avast! Firewall NDIS Filter Miniport 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Services\Themes /v DependOnService /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Archer /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\WinSAPSvc /s HKU\S-1-5-21-602431875-597888983-1884708297-1000\...\Run: [GoogleChromeAutoLaunch_0C7732AC6243C899EAC8520966C2224E] => C:\Program Files (x86)\Coldjob\Application\chrome.exe [921704 2016-10-20] (Google Inc.) HKU\S-1-5-21-602431875-597888983-1884708297-1000\...\Winlogon: [shell] C:\Windows\explorer.exe [3229696 2016-08-29] (Microsoft Corporation) HKU\S-1-5-19\...\Winlogon: [shell] C:\Windows\explorer.exe [3229696 2016-08-29] (Microsoft Corporation) HKU\S-1-5-20\...\Winlogon: [shell] C:\Windows\explorer.exe [3229696 2016-08-29] (Microsoft Corporation) HKU\S-1-5-18\...\Winlogon: [shell] C:\Windows\explorer.exe [3229696 2016-08-29] (Microsoft Corporation) HKLM-x32\...\Run: [] => [X] S3 aswTap; C:\Windows\System32\DRIVERS\aswTap.sys [44640 2014-07-18] (The OpenVPN Project) R1 avgtp; C:\Windows\system32\drivers\avgtpx64.sys [31080 2012-08-30] (AVG Technologies) S2 Archer; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) R2 MCRL; C:\ProgramData\Microsoft\IdentityCRL\ppcrluiex.dll [349184 2016-11-28] () [brak podpisu cyfrowego] R2 PCToolsSSDMonitorSvc; C:\Program Files (x86)\Common Files\PC Tools\sMonitor\StartManSvc.exe [794272 2012-08-21] (PC Tools) R2 ReimageRealTimeProtector; C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [8016240 2016-11-06] (Reimage®) S3 SWDUMon; C:\Windows\System32\DRIVERS\SWDUMon.sys [16056 2016-12-03] (SlimWare Utilities, Inc.) S2 WinSAPSvc; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) U0 aswVmm; Brak ImagePath S3 BRDriver64_1_3_3_E02B25FC; \??\C:\ProgramData\BitRaider\support\1.3.3\E02B25FC\BRDriver64.sys [X] S3 dwruleih; \??\C:\Windows\system32\drivers\ngiodriver_x64 [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 GDPkIcpt; \??\C:\Windows\system32\drivers\PktIcpt.sys [X] S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [X] S3 NvStreamKms; \??\C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [X] S3 TBPanel; Brak ImagePath S3 WinRing0_1_2_0; \??\D:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] Task: {06EDB437-F5C6-4AB3-BA36-643CDF15C92F} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe Task: {0736B22B-223C-4287-AC1E-DDCCBB1815F0} - System32\Tasks\Game_Booster_AutoUpdate => D:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe Task: {07B53C76-0450-4E21-AC13-79BCA6E565C8} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\TXQQBrowser\Update\862EBFB5206AF24F33B3C79C78A0AE8E\Update\BrowserUpdate.exe [2016-04-25] (Tencent) Task: {09A2CDF1-2778-4811-B2E3-CBD958B6CFA2} - System32\Tasks\{5189D2AC-CC30-40F5-B856-0C64EF224419} => pcalua.exe -a C:\Users\Domownicy\Desktop\vcredist_x64_2010.exe -d C:\Users\Domownicy\Desktop Task: {11368C37-840A-4B5F-9CBD-8A17C13DD3FF} - System32\Tasks\{7444F48A-0F90-40BE-9343-38217F27926E} => pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{45057FCE-5784-48BE-8176-D9D00AF56C3C}\Sims3EP03Setup.exe" -c -runfromtemp -l0x0015 -removeonly Task: {1CE8BD06-3B84-4395-A021-DEC36D7AA9E0} - System32\Tasks\{EDCC9F1C-9A43-467B-BB63-B65DF7D11874} => pcalua.exe -a "C:\Users\Domownicy\Desktop\NIEOFICJALNE SPOLSZCZENIE PES 2014 v.1.0.exe" -d C:\Users\Domownicy\Desktop Task: {1D71BD0C-D9D2-40C2-B49B-40305BAB8B40} - System32\Tasks\{171655B1-80D1-4B1F-8F3D-BEBE055D317E} => pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{5F374D5D-DB43-4263-9C29-BAB2C93FEFE6}\Setup.exe" -c -runfromtemp -l0x0009 -removeonly Task: {20C3048A-60D9-4C82-A217-D968C8E46672} - System32\Tasks\{A604FEC9-EB13-4434-A7B9-91EA56E1CEC1} => pcalua.exe -a "D:\Program Files (x86)\Codemasters\OF Dragon Rising\OFDR.exe" -d "D:\Program Files (x86)\Codemasters\OF Dragon Rising" Task: {2BC13563-4775-4CC1-9394-1171CF8D97FC} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [2016-11-06] (Reimage®) Task: {3006FC65-9E04-4205-B604-2F6AF70271FE} - System32\Tasks\{1D4469B7-F1FB-4050-B976-6E619476020A} => pcalua.exe -a "D:\Program Files (x86)\JoWood\Gothic II\GO_Uninstall.exe" Task: {37894D72-02BE-4A9D-A02A-C4D4A2E64BF4} - System32\Tasks\{3EA93885-4B46-414F-8E2A-4405BB8DAF11} => pcalua.exe -a "C:\Users\Domownicy\Desktop\mody gothic\Piratenleben PL.exe" -d "C:\Users\Domownicy\Desktop\mody gothic" Task: {3DBEA977-874C-4D7B-9230-FF60F83E09CC} - System32\Tasks\{CDEB4BED-A31C-4875-A6CF-62BE2FA87E29} => pcalua.exe -a "C:\Users\Domownicy\Desktop\GoMan 0.93.exe" -d C:\Users\Domownicy\Desktop Task: {4EB734B0-FF99-46A7-8F57-76D523BD1926} - System32\Tasks\SlimCleaner Plus (Scheduled Scan - Domownicy) => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe Task: {51450008-56A5-4DFB-A582-46E0DBA2D9AA} - System32\Tasks\{795D5D5E-4187-4528-9623-0F212B444C1B} => pcalua.exe -a "D:\Program Files (x86)\Electronic Arts\The Godfather The Game\EAUninstall.exe" Task: {7A11CDD5-406E-4951-942C-54738EFC5A82} - System32\Tasks\{3AECA389-3CDC-4BAE-8ED1-AE6621DA06F0} => pcalua.exe -a E:\autorun.exe -d E:\ -c -auto Task: {80A3241E-4B8C-4781-ACEE-50C9F0970E24} - System32\Tasks\{FC27352F-D90B-417F-AB92-46C25374D9EF} => pcalua.exe -a C:\Users\Domownicy\Desktop\MinecraftZyczu.exe -d C:\Users\Domownicy\Desktop Task: {872AEC60-7F85-43C7-A5F3-55A4296B3955} - System32\Tasks\{3BD19C1C-7881-4274-B654-A76F921A1818} => pcalua.exe -a "C:\Users\Domownicy\Desktop\mody gothic\Jaktyl PL.exe" -d "C:\Users\Domownicy\Desktop\mody gothic" Task: {96AC333F-22B8-4881-B743-61A197B0F941} - System32\Tasks\{6A954627-AAA4-4138-9971-C043A18320C3} => pcalua.exe -a "D:\Program Files\JoWooD\Gothic II\Uninstal.exe" Task: {96AF6A6B-78F2-45E8-88CA-12FC665EECE2} - System32\Tasks\SlimDrivers Startup => C:\Program Files (x86)\SlimDrivers\SlimDrivers.exe Task: {9F35EAFE-8C6F-40A6-B5D4-B53D8E23BFF2} - \ChelfNotify Task -> Brak pliku Task: {A41619D2-AD6E-4151-91F8-746BA32BAAF1} - System32\Tasks\{906E2412-F478-421C-825B-BC9B0573B854} => pcalua.exe -a C:\Users\Domownicy\Downloads\CS16.Full.v32.DiGiTALZONE.exe -d C:\Users\Domownicy\Downloads Task: {A933A7FA-E2DD-406A-845E-E826C2273B96} - System32\Tasks\RMSchedule => C:\Program Files (x86)\PC Tools Registry Mechanic\RegMech.exe Task: {B95CACD9-CF43-496D-818B-4B9CDE93B6BB} - System32\Tasks\{B9F00093-510F-42D2-893E-3E6BD42E9A01} => Firefox.exe Task: {CCE3E36F-CBC2-4E92-A15C-DCC52C5291F5} - System32\Tasks\RMAutoUpdate => C:\Program Files (x86)\PC Tools Registry Mechanic\SULauncher.exe Task: {CE940431-79BF-4FCD-BB2D-A8DC02D9E6B6} - System32\Tasks\{3DF90A9A-F964-4165-B988-6F774381362B} => pcalua.exe -a "C:\Users\Domownicy\Desktop\vcredist_x64 (2).exe" -d C:\Users\Domownicy\Desktop Task: {E246F045-C7C5-4991-9FCB-843EA353F6A5} - \bench-S-1-5-21-602431875-597888983-1884708297-1000 -> Brak pliku Task: {E3106779-49F4-4EA0-8969-C70D8E6D0BBA} - System32\Tasks\{8273BA62-1E97-44B4-B708-BD3DBA957468} => pcalua.exe -a "C:\Program Files (x86)\Mozilla Firefox\uninstall\helper.exe" Task: {E730B2DA-1B01-4964-8F86-BA4E24C9D3A3} - System32\Tasks\{7AC6A1D8-9DAC-4D8F-B644-E52EEA8EAA07} => pcalua.exe -a D:\Pobrane\Sims3EP10\Sims3EP10\Sims3EP10Setup.exe -d D:\Pobrane\Sims3EP10\Sims3EP10 Task: {E8682D5E-3BC5-4879-BDC2-A0BB8DDB8B4C} - System32\Tasks\ExtraWalk => c:\programdata\{9f61c3b3-f526-173a-9f61-1c3b3f520ecf}\mroczne_tajemnice_2.02.part1.rar.exe-1436535360800.exe Task: {EA7BBEB3-2931-4A0E-8176-BABC7632CBE3} - System32\Tasks\{E8794664-EF18-4FDB-BD2F-7D07CA2978B5} => pcalua.exe -a C:\Users\Domownicy\Downloads\epson326689eu.exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: {F59B1E3D-8149-4DB7-ADAC-D58ED95AE86E} - \Cegush Helper -> Brak pliku Task: {FCC8D36A-CED4-49D9-97D5-01809AE66B84} - System32\Tasks\{7153BA42-A0A2-4076-B668-9488FB56805F} => pcalua.exe -a C:\Windows\system32\AxSWindCx64.cpl -c Alcohol iSCSI Sharing Center Task: C:\Windows\Tasks\ExtraWalk.job => c:\programdata\{9f61c3b3-f526-173a-9f61-1c3b3f520ecf}\mroczne_tajemnice_2.02.part1.rar.exe-1436535360800.exe Task: C:\Windows\Tasks\RMAutoUpdate.job => C:\Program Files (x86)\PC Tools Registry Mechanic\SULauncher.exe Task: C:\Windows\Tasks\RMSchedule.job => C:\Program Files (x86)\PC Tools Registry Mechanic\RegMech.exe Task: C:\Windows\Tasks\SlimCleaner Plus (Scheduled Scan - Domownicy).job => C:\Program Files\SlimCleaner Plus\SlimCleanerPlus.exe Task: C:\Windows\Tasks\SlimDrivers Startup.job => C:\Program Files (x86)\SlimDrivers\SlimDrivers.exe MSCONFIG\startupreg: ApnUpdater => "C:\Program Files (x86)\Ask.com\Updater\Updater.exe" MSCONFIG\startupreg: APSDaemon => "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" MSCONFIG\startupreg: Browser Infrastructure Helper => C:\Users\Domownicy\AppData\Local\Smartbar\Application\Linkury.exe startup MSCONFIG\startupreg: GAINWARD => C:\Program Files (x86)\EXPERTool\TBPanel.exe /A MSCONFIG\startupreg: Optimizer Pro => C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe MSCONFIG\startupreg: Pando Media Booster => C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe MSCONFIG\startupreg: QuickTime Task => "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime MSCONFIG\startupreg: SSDMonitor => C:\Program Files (x86)\Common Files\PC Tools\sMonitor\SSDMonitor.exe MSCONFIG\startupreg: STCAgent => "C:\Program Files (x86)\Splashtop\Splashtop Connect IE\STCAgent.exe" MSCONFIG\startupreg: ZyngaGamesAgent => "C:\Program Files (x86)\Splashtop\Splashtop Connect\ZyngaGamesAgent.exe" ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => Brak pliku Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKU\S-1-5-21-602431875-597888983-1884708297-1000 -> Brak nazwy - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - Brak pliku Toolbar: HKU\S-1-5-21-602431875-597888983-1884708297-1000 -> Brak nazwy - {4BAAC1B8-0800-42C9-8FA6-08B211F356B8} - Brak pliku URLSearchHook: HKLM-x32 - (Brak nazwy) - {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - Brak pliku URLSearchHook: HKLM-x32 - (Brak nazwy) - {b6ac5e3c-5ceb-4e72-b451-f0e1ba983c14} - Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131249081791008000&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131249081791018000&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=1445982687&z=2ba76d80ebc51ebcd325397gdzaz9wdt4b7oaqdb0m&from=dae&uid=395049983_1052483_f83ce25e&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.nuesearch.com/search/?type=ds&ts=1472473107&z=822aa78b69e64aa2dfdbcf7gbz6m0odz4mdc8gde4g&from=wpm0829&uid=395049983_1052483_F83CE25E&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1479301767&z=5bdd6ff5e28ed5242d5635fg6zcmft4c8ebgdm5q8z&from=che0812&uid=395049983_1052483_F83CE25E HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1479301767&z=5bdd6ff5e28ed5242d5635fg6zcmft4c8ebgdm5q8z&from=che0812&uid=395049983_1052483_F83CE25E HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1445982687&z=2ba76d80ebc51ebcd325397gdzaz9wdt4b7oaqdb0m&from=dae&uid=395049983_1052483_f83ce25e&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1472473107&z=822aa78b69e64aa2dfdbcf7gbz6m0odz4mdc8gde4g&from=wpm0829&uid=395049983_1052483_F83CE25E&q={searchTerms} HKU\S-1-5-21-602431875-597888983-1884708297-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.nuesearch.com/search/?type=ds&ts=1472473107&z=822aa78b69e64aa2dfdbcf7gbz6m0odz4mdc8gde4g&from=wpm0829&uid=395049983_1052483_F83CE25E&q={searchTerms} HKU\S-1-5-21-602431875-597888983-1884708297-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131249081791028000&GUID=00000000-0000-0000-0000-000000000000 HKU\S-1-5-21-602431875-597888983-1884708297-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1479301767&z=5bdd6ff5e28ed5242d5635fg6zcmft4c8ebgdm5q8z&from=che0812&uid=395049983_1052483_F83CE25E HKU\S-1-5-21-602431875-597888983-1884708297-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1472473107&z=822aa78b69e64aa2dfdbcf7gbz6m0odz4mdc8gde4g&from=wpm0829&uid=395049983_1052483_F83CE25E&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKLM-x32 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = hxxp://websearch.hotsearches.info/?l=1&q={searchTerms}&pid=24428&r=2015/07/10&hid=8936204912871519684&lg=EN&cc=PL&unqvl=90 SearchScopes: HKU\S-1-5-21-602431875-597888983-1884708297-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-602431875-597888983-1884708297-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-602431875-597888983-1884708297-1000 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = hxxp://websearch.hotsearches.info/?l=1&q={searchTerms}&pid=24428&r=2015/07/10&hid=8936204912871519684&lg=EN&cc=PL&unqvl=90 GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR StartupUrls: Default -> "hxxp://www.amisites.com/?type=hp&ts=1479979436&z=6ebfbff4f571c2917349695gez1m3t3tam3t2z2ceo&from=che0812&uid=395049983_1052483_F83CE25E" CHR HKLM-x32\...\Chrome\Extension: [jfmjfhklogoienhpfnppmbcbjfjnkonk] - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Chrome\Ext\rphtml5video.crx [2012-05-25] CHR HKLM-x32\...\Chrome\Extension: [mhfdcmehmjcclgopdodkjdicohagipid] - C:\Users\DOMOWN~1\AppData\Local\Temp\ccex.crx DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Coldjob DeleteKey: HKCU\Software\Classes\ColdjobHTML DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Coldjob DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files\Reimage C:\Program Files (x86)\settings.dat C:\Program Files (x86)\metadata C:\Program Files (x86)\amuleC C:\Program Files (x86)\Coldjob C:\Program Files (x86)\Cuppat C:\Program Files (x86)\InterHop C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Temp C:\Program Files (x86)\TXQQBrowser C:\Program Files (x86)\UvConverter C:\Program Files (x86)\WinArcher C:\Program Files (x86)\yesbnd C:\Program Files (x86)\reports C:\Program Files (x86)\metadata C:\Program Files (x86)\m7khdwl8 C:\Program Files (x86)\amuleC1 C:\Program Files (x86)\uk0vomoc C:\Program Files (x86)\78fc4x54 C:\Program Files (x86)\vb445koc C:\Program Files (x86)\zp0gtdhf C:\Program Files (x86)\4b7lp70i C:\Program Files (x86)\8x5qdzum C:\Program Files (x86)\zz2wrh8s C:\Program Files (x86)\x72twoot C:\Program Files (x86)\ldu2zkm2 C:\Program Files (x86)\9yhubl60 C:\Program Files (x86)\ldxjjy81 C:\Program Files (x86)\ozvo9r14 C:\Program Files (x86)\4ru2jbj8 C:\Program Files (x86)\9pjw32xf C:\Program Files (x86)\ljf6hgp9 C:\Program Files (x86)\lidqobq1 C:\Program Files (x86)\o5ivcwj4 C:\Program Files (x86)\7atpzomn C:\Program Files (x86)\al4ngh1a C:\Program Files (x86)\eao1c38t C:\Program Files (x86)\awmd9v1x C:\Program Files (x86)\wjjq7kfe C:\Program Files (x86)\snxxutpi C:\Program Files (x86)\pazr8cnf C:\Program Files (x86)\og6ce9p8 C:\Program Files (x86)\su3ha2ha C:\Program Files (x86)\wg1uymad C:\Program Files (x86)\tdy2i4uh C:\Program Files (x86)\4ytdejt2 C:\Program Files (x86)\8kqq3cl5 C:\Program Files (x86)\bywvyxez C:\Program Files (x86)\a6tf6tnr C:\Program Files (x86)\l2iol1wy C:\Program Files (x86)\pem7cq7f C:\Program Files (x86)\t1kb9bzi C:\Program Files (x86)\s8pvf89a C:\Program Files (x86)\fspy2qls C:\Program Files (x86)\s8pyc6vd C:\Program Files (x86)\wtu41ygg C:\Program Files (x86)\4sso8tp9 C:\Program Files (x86)\2hp73hlq C:\Program Files (x86)\tdcv03c2 C:\ProgramData\AVAST Software C:\ProgramData\ChelfNotify C:\ProgramData\SlimWare Utilities, Inc C:\ProgramData\TEMP C:\ProgramData\uckt C:\ProgramData\WinSAPSvc C:\ProgramData\Microsoft\IdentityCRL\ppcrluiex.dll C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\qksee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Tools Registry Mechanic C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\Users\Domownicy\.cache C:\Users\Domownicy\AppData\Local\*.* C:\Users\Domownicy\AppData\Local\Coldjob C:\Users\Domownicy\AppData\Local\Cuppat C:\Users\Domownicy\AppData\Local\Facebook C:\Users\Domownicy\AppData\Local\Squad C:\Users\Domownicy\AppData\Local\SlimWare Utilities Inc C:\Users\Domownicy\AppData\Local\tkdata C:\Users\Domownicy\AppData\LocalLow\Critical Force Entertainment C:\Users\Domownicy\AppData\Roaming\*.* C:\Users\Domownicy\AppData\Roaming\aMule C:\Users\Domownicy\AppData\Roaming\DAEMON Tools Pro C:\Users\Domownicy\AppData\Roaming\Vesteris C:\Users\Domownicy\AppData\Roaming\Microsoft\*.dat C:\Users\Domownicy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Domownicy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\Domownicy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Google Chrome.lnk C:\Users\Domownicy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\amuleC C:\Users\Domownicy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\IMVU C:\Users\Domownicy\AppData\Roaming\Mozilla C:\Users\Domownicy\Desktop\Gry Patryk\Google Chrome.lnk C:\Users\Domownicy\Downloads\SlimDrivers-setup.exe C:\Users\Public\Documents\report.dat C:\Users\Public\Documents\temp.dat C:\Users\Public\Documents\Downloaded Installers C:\Users\Public\Facebook Games C:\Windows\Reimage.ini C:\Windows\System32\Drivers\aswTap.sys C:\Windows\system32\Drivers\avgtpx64.sys C:\Windows\system32\Drivers\SWDUMon.sys C:\Windows\SysWOW64\hoewmds StartBatch: ipconfig /flushdns netsh advfirewall reset sc config "Origin Web Helper Service" start= demand sc config "Razer Game Scanner Service" start= demand sc config PlaysService start= demand sc config SetupARService start= demand dir /a C:\temp dir /a "C:\Program Files\Common Files\AV" EndBatch: Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Po w/w operacji klon Coldjob powinien zostać usunięty. Odtwórz skróty prawdziwego Google Chrome w wybranych miejscach. Następnie uruchom przeglądarkę i ją skonfiguruj: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Ustaw Google Chrome jako domyślną przeglądarkę. Konieczne, by przebić ustawienia klona Coldjob. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pole Shortcut, gdyż poprzednio zabrakło tego. Dołącz też plik fixlog.txt.

Domyślnie usługa Kompozycje nie ma oficjalnych zależności. To może być problem podobny do tej modyfikacji adware: KLIK. 1. W związku z podejrzeniem infekcji poproszę o zrobienie standardowych logów z FRST: KLIK. 2. Dodatkowo po ich zrobieniu zrób jeszcze eksport zawartości klucza Themes. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Problemem tu nie jest brak usługi Kompozycji, bo ją widzisz, lecz modyfikacja adware powodująca że usługa się nie może uruchomić. Opowiada o tym Dziennik zdarzeń: Error: (11/26/2016 03:10:39 PM) (Source: Service Control Manager) (EventID: 7003) (User: ) Description: Usługa Kompozycje zależy od następującej usługi: iThemes5. Ta usługa może nie być zainstalowana. To usługa adware, która wygląda tak (u Ciebie już usunięta): R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [626688 2016-11-21] () [brak podpisu cyfrowego] Komunikat Dziennika wyraźnie mówi, że iThemes5 ustawiło się jako zależność dla systemowego Themes. Po usunięciu adware ale nie tej modyfikacji, usługa systemowa się nie uruchomi. W kluczu Themes jest dostawiona wartość DependOnService kierująca na usługę adware. 1. Otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Services\Themes /v DependOnService /f Reboot: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart, a usługa Kompozycje powinna się pomyślnie uruchomić. Powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Czy masz na myśli JDownloader? A te Javy powinny być usunięte bez zastanowienia (nawet kosztem innego programu), jest to zagrożenie m.in. infekcjami szyfrującymi dane. To nadal ten sam problem z Zasadami grupy, tylko w nieco zmienionej już postaci, tzn. na poziomie pliku Registry.pol (wynik operacji w gpedit.msc), a nie bezpośrednio w rejestrze jak uprzednio było widoczne. I w międzyczasie następowały jakieś zmiany, gdyż wcześniej w logu Registry.pol globalny, obecnie wskoczył zaś strony użytkownika: GroupPolicy\User: Ograniczenia Przy okazji do usunięcia będą puste skróty widoczne w Shortcut.txt. 1. Zmontuj nowy plik fixlist.txt o zawartości: GroupPolicy\User: Ograniczenia RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\QuickTime RemoveDirectory: C:\ProgramData\RogueKiller RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BMW_Explorer RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\E-Sys Launcher Premium RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ETKA 7.3 International 2011 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Garmin RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tencent Software RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tftpd64 RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Windows\erdnt RemoveDirectory: C:\Users\Kamil\AppData\Local\GG RemoveDirectory: C:\Users\Kamil\AppData\Roaming\Acronis RemoveDirectory: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Advanced PDF Repair StartBatch: del /q C:\Users\Administrator\Desktop\fix.reg del /q C:\Users\Administrator\Downloads\*.* del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Photosmart All-In-One 2600 series\Witryna pomocy technicznej.lnk" del /q "C:\Users\Kamil\Pictures\mini_country\2GB (L) — skrót.lnk" del /q "C:\Users\Public\Desktop\Launch Dr.Gini.exe.lnk" del /q C:\Windows\system32\SystemLook.txt del /q C:\Windows\system32\Drivers\TrueSight.sys EndBatch: Uruchom FRST, klik w Napraw (Fix). Powinien nastąpić auto-reset, w przeciwnym wypadku wymuś go ręcznie. Przedstaw wynikowy log fixlog.txt. 2. W raporcie szczątki po odinstalowanym Acronis, m.in. w postaci aktywnego sterownika: R0 vidsflt58; C:\Windows\System32\DRIVERS\vsflt58.sys [142944 2012-10-08] (Acronis) Sterownik filtruje którąś z klas urządzeń i nie można go usunąć "z palca", dopóki nie zostaną zdjęte filtry, w przeciwnym wypadku BSOD i niebootowalny Windows. Dodaj dodatkowe szukanie na podane frazy: vidsflt58;Acronis Uruchom FRST ponownie, w polu Szukaj (Search) wklej co podane i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt.

Tym zachowaniem kontroluje następująca opcja: Ustawienia > Aktualizacja i zabezpieczenia > Niejawny program testów systemu Windows (czyli Windows Insider Program) > Pobierz kompilacje Insider Preview > i tu jeśli jest aktywny udział w otrzymywaniu takich wersji można zatrzymać proces pobierania

Temat przenoszę do właściwego działu Windows, zero związków z infekcją. A z logów nic nie wynika, system zresztą co dopiero reinstalowany (upgrade edycji Windows 10). I tu nie jest wykluczone, że problemem jest właśnie edycja Windows, zainstalowałeś wersję dla testerów (do użytku w środowisku nieprodukcyjnym), w której jest spodziewane że będą problemy i bugi, to nie jest wersja finalna stabilna. W jaki sposób instalowałeś tę wersję? Obecnie "Wersja 1607" jest finalna (tzw. Rocznicowa aktualizacja), więc nie wiem skąd wziąłeś tę instalację: Platform: Windows 10 Home Insider Preview Wersja 1607 (X64) Język: Polski (Polska) - Pod kątem problemów z otwieraniem stron i pobieraniem plików to najbardziej kojarzy mi się z objawami aktywność ESET. On może być niekompatybilny z wersją "Insider Preview". Były problemy z kompatybilnością antywirusów z finałową Rozcznicową aktualizacją, to wcześniejsze testowe wersje mogą mieć nawet gorszy stan zgodności. - Problem z drukarką wygląda "sprzętowo", ale jak mówię jest tu testowa edycja Windows i nie jest wykluczone że to w tym obszarze jest problem.

Co masz na myśli i gdzie to niby widzisz? Wg FRST Twoje konto Kamil ma uprawnienia administracyjne: Uruchomiony przez Kamil (administrator) MACPRO (15-11-2016 08:18:42) Uruchomiony z C:\Users\Administrator\Downloads Załadowane profile: Kamil (Dostępne profile: Kamil & Administrator & Gość) ==================== Konta użytkowników: ============================= Administrator (S-1-5-21-1905721025-3557672246-1714588951-500 - Administrator - Enabled) => C:\Users\Administrator Gość (S-1-5-21-1905721025-3557672246-1714588951-501 - Limited - Enabled) => C:\Users\Gość HomeGroupUser$ (S-1-5-21-1905721025-3557672246-1714588951-1008 - Limited - Enabled) Kamil (S-1-5-21-1905721025-3557672246-1714588951-1000 - Administrator - Enabled) => C:\Users\Kamil W systemie Vista i nowszych konta administracyjnie domyślnie są "mieszane" i jeśli nie zostanie wyłączony UAC, to będziesz widział dialogi "wymagane uprawnienia administratora" i podobne, co nie zmienia faktu że konto ma uprawnienia administracyjne. Niemniej miałeś załadowane w tle aż trzy konta, a FRST uruchamiałeś z folderu wbudowanego w system serwisowego konta Administrator (to konto bez UAC o specjalnym przeznaczeniu), które w ogóle nie powinno Cię interesować. To nie jest związane z martwymi odpadkami infekcji ZeroAccess (siedzą w systemie prawdopodobnie od kilku lat), nie ten rodzaj modyfikacji. W raporcie FRST widać wyraźnie, że jest ustawiona zasada grupy blokująca pokazywanie ikony Centrum: HKU\S-1-5-21-1905721025-3557672246-1714588951-1000\...\Policies\Explorer: [HideSCAHealth] 1 Nie jest jednak wykluczone, że jest tu złożenie przyczyn. Widać zasadę blokującą ikonę Centrum, ale również jest zszarzona ikona Sieci, a do tego nie pasuje żaden odczyt z raportu. Zszarzenie ikon to równie dobrze może być wynik uszkodzenia cache ikon. Instrukcje Microsoftu, które wspominasz, to zapewne były właśnie te związane z cache ikon, a to mogło nie zadziałać ze względu na niewłaściwy konteks konta na którym operujesz. W każdym razie skombinuję fiksy na oba przypadki, a dodatkowo usuwanie innych śmieci / wpisów pustych: 1. By prowadzić dalsze akcje, należy wylogować wszystkie konta poprzez pełny restart systemu, a nie Wyloguj czy Przełącz użytkownika, i zalogować się tylko na konto Kamil. W Panelu sterowania wyłącz konta Administrator i Gość, potwierdzając usuwanie danych kont z dysku. Następnie pobierz FRST, by wykonać podane poniżej operacje. 2. Odinstaluj bardzo stare i niebezpieczne wersje Adobe AIR, Java 2 Runtime Environment, SE v1.4.2_06, Java™ 6 Update 13 oraz QQ International od Tencent (wszelkie produkty Tencent są tu traktowane jako "PUP"). 3. Usuń puste wpisy wtyczek w Google Chrome poprzez reset cache: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Otwórz Notatnik i wklej w nim: CreateRestorePoint: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe StartBatch: reg delete "HKU\S-1-5-21-1905721025-3557672246-1714588951-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\TrayNotify" /v IconStreams /f reg delete "HKU\S-1-5-21-1905721025-3557672246-1714588951-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\TrayNotify" /v PastIconsStream /f netsh advfirewall reset EndBatch: HKU\S-1-5-21-1905721025-3557672246-1714588951-1000\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-1905721025-3557672246-1714588951-1000\...\Policies\Explorer: [NoTrayItemsDisplay ] 0 HKU\S-1-5-21-1905721025-3557672246-1714588951-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => Brak pliku S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 cpudrv64; \??\C:\Program Files (x86)\SystemRequirementsLab\cpudrv64.sys [X] S3 dcdbas; system32\DRIVERS\dcdbas64.sys [X] S2 EpsCe2; \??\C:\Windows\system32\Drivers\EpsCe2.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 GIVEIO; \??\C:\Windows\SYSTEM32\DRIVERS\GIVEIO.SYS [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_update; system32\DRIVERS\ew_hwupgrade.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S1 hwinterface; System32\Drivers\hwinterface.sys [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X] S3 PORTMON; \??\C:\Users\Kamil\Desktop\PORTMON (2)\PORTMSYS.SYS [X] S3 tusbdbus; system32\DRIVERS\tusbdbus.sys [X] S3 tusbdbuslt; system32\DRIVERS\tusbdbuslt.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] S3 VICHW11; \??\C:\Windows\SYSTEM32\DRIVERS\VICHW11.SYS [X] MSCONFIG\startupreg: UsBuga Acronis Scheduler2 => MSCONFIG\startupreg: iTunesHelper => "C:\Program Files (x86)\iTunes\iTunesHelper.exe" MSCONFIG\startupreg: msnmsgr => "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background MSCONFIG\startupreg: QuickTime Task => "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime Task: {02A21846-4E97-4473-B2C8-C1CF3F73C573} - System32\Tasks\{B8EE31A2-AE7C-41ED-9496-F823413722F1} => pcalua.exe -a C:\ProgramData\7531CC73004EA4EE004CBE02F875EF60\7531CC73004EA4EE004CBE02F875EF60.exe -c -u Task: {13D16EDC-3A40-464F-9611-E8FB380180B1} - System32\Tasks\{3DB7965C-37AB-463D-8DD8-523C08FEEAF9} => msiexec.exe /package "C:\Users\Kamil\Desktop\BootCamp64.msi" Task: {1DC4106C-89DD-4EDC-A924-9370359652AF} - System32\Tasks\{6D27169F-6456-46EF-9BF8-5C78E2E66DD2} => pcalua.exe -a C:\Users\Kamil\AppData\Roaming\v9\UninstallManager.exe -c -ptid=cvs -simple=0 Task: {373AD7BB-63A9-4AF6-95DF-69E026C556DB} - System32\Tasks\{A0FA03B1-CF16-4700-B838-D4FA989B75F4} => C:\Users\Kamil\Desktop\Virtual Floppy Disk\vfdwin.exe Task: {4BB96486-B367-44D0-9275-FA6F4128585B} - System32\Tasks\{226CE281-F987-422A-BF36-44C45B406212} => pcalua.exe -a C:\ProgramData\7531CC73004EA4EE004CBE02E56C3425\7531CC73004EA4EE004CBE02E56C3425.exe -c -u Task: {54378E0E-34E2-4958-ABAA-1625946EAED4} - System32\Tasks\{35A1483D-9508-4407-A96F-09F93021CB01} => pcalua.exe -a C:\Windows\system32\uninstall_imdisk.cmd Task: {68BE995E-01F3-447A-8AD1-A6E8CCEC3340} - System32\Tasks\{6E207A90-37AB-4775-B325-65C10F05BDB6} => pcalua.exe -a C:\Users\Kamil\Desktop\BootCamp\setup.exe -d C:\Users\Kamil\Desktop\BootCamp Task: {6EFE482F-EFDC-4D4A-89A4-3FF30BA8C28D} - System32\Tasks\{6DC57707-8651-41E3-97D6-CAA18D50446B} => C:\ETKA\PROG\EtStart.exe Task: {84D0318B-C3A0-40F3-860C-06FBF14E4603} - System32\Tasks\{74B867FA-7508-42FC-9263-5D08B194DAE3} => C:\ETKA\PROG\EtStart.exe Task: {9BC8F26E-46F6-4744-9159-56DA9489DDE8} - System32\Tasks\{DC9A5177-31AC-46CA-BD13-C8E7F24D0A23} => C:\Program Files (x86)\BMW\ISPI\TRIC\ISTA\TesterGUI\bin\Release\ISTAGUI.exe Task: {A3439DFC-7A70-47C2-A92B-E8FCACA6B4A7} - System32\Tasks\{AB74686A-7201-49C6-B3B0-23B3032C2340} => C:\Users\Kamil\Desktop\SWID_reader\SWID_reader\SWID_reader.exe Task: {A8B0050F-5B4F-4F2D-8A70-5475100F589F} - System32\Tasks\{978B5465-028C-4EDC-8D2D-E2C5947E0DBA} => pcalua.exe -a C:\Users\Kamil\Desktop\rgh\NAND_Flasher_360_v1.1.0\bin\libusb\install-filter.exe -d C:\Users\Kamil\Desktop\rgh\NAND_Flasher_360_v1.1.0\bin\libusb Task: {AC96CFDA-B8F3-4986-9A8A-1784147850CA} - System32\Tasks\{2EE12CA1-AC8E-48C3-8883-C387655C71F2} => C:\Program Files (x86)\BMW\ISPI\TRIC\ISTA\TesterGUI\bin\Release\ISTAGUI.exe Task: {B46DCB6B-11FE-4CE5-B3E8-47A11904489F} - System32\Tasks\{D06602F3-1A64-46CF-AD5B-456A8E8C1B0E} => C:\Users\Kamil\Desktop\JungleFlasher.0.1.90.Beta(293)\JungleFlasher v0.1.90 Beta (293)\JungleFlasher.exe Task: {C57918E1-F4E8-4C98-81DE-97587A0E35DF} - System32\Tasks\{2CD9F145-4A0C-42CF-ADFC-8BF6F6EFB9CE} => C:\Users\Kamil\Desktop\JungleFlasher.0.1.90.Beta(293)\JungleFlasher v0.1.90 Beta (293)\JungleFlasher.exe Task: {CCE29F8A-6A8C-48CD-ABE4-3B10C4FF263C} - System32\Tasks\{546DBFBF-0312-4290-86E4-BFBA646FA2AD} => C:\ETKA\PROG\EtStart.exe Task: {D1EB44DE-BEA3-4890-B2F6-01F0347DBDDE} - System32\Tasks\{FE0907CC-9EB4-4590-8BA5-82D4A7FEE0D0} => msiexec.exe /package "H:\WindowsSupport\Drivers\Apple\BootCamp64.msi" Task: {D5AD7CC8-0BC9-4ABA-9EED-8DFDF7131AD8} - System32\Tasks\{856E24E1-7A76-44CA-A453-2C3B58B22922} => C:\Users\Kamil\Desktop\Virtual Floppy Disk\vfdwin.exe Task: {D67A429A-4C76-42E2-BCCE-B3B5FBE09263} - System32\Tasks\{57E4DC16-B966-41AA-A8BE-5B3636E6FAA3} => pcalua.exe -a "C:\Users\Kamil\Desktop\♛ Adobe Acrobat XI Pro 11.0.0 ( PL )( FULL ) (heaven_paradise)\Setup.exe" -d "C:\Users\Kamil\Desktop\♛ Adobe Acrobat XI Pro 11.0.0 ( PL )( FULL ) (heaven_paradise)" Task: {E0866385-E300-434C-9809-CCCB8928A88F} - System32\Tasks\{D4F0CA1F-8A8E-4ECD-ABAD-4FAD275262D1} => C:\Users\Kamil\Desktop\Virtual Floppy Disk\vfdwin.exe Task: {E673A565-3C65-4ED6-9EBC-C01B1FF427E7} - System32\Tasks\{AB37EEEF-0EEC-4433-831A-C353448F09D0} => msiexec.exe /package "H:\WindowsSupport\Drivers\Apple\BootCamp64.msi" Task: {EDC582CB-5425-43FC-B36B-D70792E6FAB5} - System32\Tasks\{2CA490F7-926C-413B-8F26-7AE2B4E73786} => pcalua.exe -a "C:\Users\Kamil\Desktop\download ista\BMW\Tools\vcredist_x86_2010.exe" -d "C:\Users\Kamil\Desktop\download ista\BMW\Tools" Task: {FA85B57D-AEB2-4D36-923D-65662DCC6EDB} - System32\Tasks\{2822D846-9E71-4CE5-82FA-7B78FFFB4754} => pcalua.exe -a G:\backup\Pulpit\PEN_KOPIA\IToolRadar_Win32\IToolRadar_Win32.exe GroupPolicy: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} DeleteKey: HKU\S-1-5-21-1905721025-3557672246-1714588951-1000\Software\dobreprogramy DeleteKey: HKU\S-1-5-21-1905721025-3557672246-1714588951-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKU\S-1-5-21-1905721025-3557672246-1714588951-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKU\S-1-5-21-1905721025-3557672246-1714588951-1000\Software\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Mozilla\Thunderbird\Extensions DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\Program Files (x86)\Temp RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\Users\Kamil\AppData\Local\{c3f53a4d-59e2-4594-729e-43246b6dcdac} RemoveDirectory: C:\Windows\Installer\{c3f53a4d-59e2-4594-729e-43246b6dcdac} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Shortcut (tego raportu poprzednio zabrakło). Dołącz też plik fixlog.txt.

Jeśli chodzi o poprzedni zestaw logów i podany Fix, to widoczny był tylko szkodliwy skaner Bytefence i jego komponenty zostały zadane do usuwania w skrypcie FRST, tylko nie ma tu żadnego potwierdzenia wykonania tej akcji (brak fixlog.txt i nowych logów FRST). Natomiast dodatkowe uwagi: - W Fix FRST został podany reset pliku Hosts. Zawartość pliku Hosts wskazywała jednak, że to ochrona wprowadzona przez instalację Unchecky (bądź Reason Core Security). Programów tych owszem na liście nie widać. - Avast wygląda na odinstalowany, ale niekompletnie. Brak go na liście zainstalowanych (z wyjątkiem ukrytego komponentu sandboxa), widoczne też wpisy puste i brak usług/sterowników, a jednocześnie załadowane w tle procesy i moduły Avast. Pierwsze logi były bardzo stare i w oparcie o nie był tworzony skrypt. Nie wiadomo co jest obecnie w systemie. Zrób nowy skan FRST.

W ostatnim raporcie FRST nadal w Google Chrome widać rozszerzenie adware SafeFinder Search (jidkebcigjgheaahopdnlfaohgnocfai), rozszerzenie ma też reinstalator na poziomie rejestru, więc będzie w kółko reinstalowane. Poprawki: 1. Odinstaluj wątpliwej jakości aplikacji Pokki preintegrowane na Lenovo: Host App Service, Pokki Start Menu. 2. Otwórz Notatnik i wklej w nim: CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx FirewallRules: [{2A19D9E7-E945-4F8A-9940-2D63FDEA0D8A}] => (Allow) C:\Program Files\Common Files\mcafee\platform\McSvcHost\McSvHost.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Powstanie kolejny fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj SafeFinder Search, o ile nadal będzie widoczny po w/w usuwaniu reinstalatora. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

W związku z moją chorobową przerwą, proszę tu zgłosić nie rozwiązane tematy malware starsze niż kilka dni / tydzień, które nadal wymagają interwencji. Przed zgłoszeniem tematu proszę upewnić się, że raporty, które są dołączone w poście nie mają więcej niż 3 dni - w innym przypadku są nieaktualne i trzeba przygotować nowe. Druga sprawa, że trzeba sprawdzić czy na pewno np. przy kopiowaniu nie doszło do zniekształcenia (np. ucięcia połowy raportu).

Wg raportu obiekty Elfbot zostały utworzone 17 października: ==================== One Month Created files and folders ======== 2016-10-17 23:01 - 2016-10-17 23:01 - 00000734 _____ C:\Users\FruGo\Desktop\ElfBot NG.lnk 2016-10-17 23:01 - 2016-10-17 23:01 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ElfBot NG Ostatni Fix FRST pomyślnie wykonany. Na koniec zastosuj DelFix. Przypominam o zmianie haseł.

Nie ma oznak, by skrypt FRST ze spoilera został w pełni wykonany. Wytnij z niego dwie pierwsze linie, uruchom go i dostarcz wynikowy Fixlog.txt. Jak mówiłam, nie widać tu śladów partycji Recovery. Nie wiadomo nawet kiedy ona zniknęła, skoro mamy tu do czynienia z systemem działającym około 4 lata. I przy braku jakichkolwiek obrazów instalacyjnych Windows (z partycji Recovery, czy DVD instalacyjnej) nie ma po prostu z czego robić "Recovery"... Na D są kopie zapasowe z zakresu lat 2014 - 2016 utworzone przez działający Windows. Wątpię, by backup z roku 2014 był tu przydatny... Miejsca na D już też brakuje, więc kolejny backup pewnie wyrzuci błąd. Partycję D po prostu sformatować, ale obecność kopii z października 2016 wskazuje, że masz skonfigurowane aktywne tworzenie kopii zapasowej z poziomu Panelu sterowania, więc sprawdź również tę konfigurację i decyduj czy kontynuujesz zrzucanie tej kopii. Gorzej z miejscem na dysku C. Tu pole manewru jest mocno ograniczone. Wstępnie widzę, że można wyłączyć Hibernację (prawie 3GB zostanie odzyskane), o ile z niej nie korzystasz. Start > w polu szukania wklep cmd > z prawokliku Uruchom jako administrator > wklep komendę powercfg.exe /hibernate off i ENTER. Po tej akcji powinien zniknąć ukryty plik C:\hiberfil.sys. Jeśli nie zostanie samoistnie skasowany, zesetuj system i dokasuj go ręcznie. Teraz już wychodzę z domu, przyjrzę się na tę mapkę SpaceSniffer dokładniej później.

Czy podjąłeś jakieś kroki z tym ACMON? Jakie komunikaty widzisz? Inna platforma, więc nowy temat w dziale Windows 10. Obrazek z zainstalowanych aplikacji zbędny - log FRST Addition podaje szczegółową listę zainstalowanych (wliczając ukryte niewidoczne z poziomu Panelu sterowania).