picasso

Wszystko zgodnie z planem wykonane w skrypcie, internet naprawiony. Na koniec: 1. Przez SHIFT+DEL (moja Kosz) skasuj folder C:\FRST oraz drugi folder z Pulpitu. 2. Do aktualizacji poniższe programy. Wytyczne w przyklejonym: KLIK. Wszystkie stare wersje Java do deinstalacji. ==================== Installed Programs ====================== Adobe Shockwave Player 12.1 (HKLM-x32\...\{07C5D2FF-2AA8-46D1-B9E8-BACCD34C8E01}) (Version: 12.1.4.154 - Adobe Systems, Inc) FileZilla Client 3.9.0.6 (HKLM-x32\...\FileZilla Client) (Version: 3.9.0.6 - Tim Kosse) Java 8 Update 111 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F32180111F0}) (Version: 8.0.1110.14 - Oracle Corporation) Java 8 Update 73 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218073F0}) (Version: 8.0.730.2 - Oracle Corporation) Java SE Development Kit 8 Update 74 (HKLM-x32\...\{32A3A4F4-B792-11D6-A78A-00B0D0180740}) (Version: 8.0.740.2 - Oracle Corporation)

Brak sieci wynika z usunięcia usług Nsi i Winmgmt. Prócz rekonstrukcji tych usług, jeszcze drobne inne poprawki są tu wymagane. 1. Obecnie jako domyślna przeglądarka jest ustawione "Chrome", które nie istnieje w systemie. Ustaw Internet Explorer jako domyślną przeglądarkę. 2. Pobierz SetACL (na spodzie strony klik w "Administrators: Download the EXE version of SetACL 3.0.6 for 32-bit and 64-bit Windows"). Rozpakuj pobraną paczkę i z folderu x64 przekopiuj plik SetACL.exe do katalogu C:\Windows. 3. Otwórz Notatnik i wklej w nim: "machine\SYSTEM\CurrentControlSet\Services\nsi",4,"O:BA" "machine\SYSTEM\CurrentControlSet\Services\nsi\Parameters",4,"O:BAD:PAI(A;;KA;;;BA)(A;CIIO;GA;;;BA)(A;;KA;;;SY)(A;CIIO;GA;;;SY)(A;;CCLCSWRPRC;;;S-1-5-80-2310782386-4237065203-3688974353-390202159-3511571085)" Plik zapisz pod nazwą fix.txt na Pulpicie. Zarówno nazwa pliku jak i lokalizacja są obligatoryjne, gdyż te parametry zostaną użyte w skrypcie przywracającym uprawnienia podanym poniżej. 4. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\nsi] "DisplayName"="@%SystemRoot%\\system32\\nsisvc.dll,-200" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,00,00 "Description"="@%SystemRoot%\\system32\\nsisvc.dll,-201" "ObjectName"="NT Authority\\LocalService" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):6e,00,73,00,69,00,70,00,72,00,6f,00,78,00,79,00,00,00,\ 00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\ 00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\nsi\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 6e,00,73,00,69,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" EndRegedit: StartBatch: SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\nsi" -ot reg -actn restore -bckp C:\Users\fundowic\Desktop\fix.txt netsh advfirewall reset del /q C:\WINDOWS\SysWOW64\3333333 del /q C:\WINDOWS\SysWOW64\33 del /q C:\WINDOWS\SysWOW64\1111111 del /q C:\WINDOWS\SysWOW64\1111 del /q C:\WINDOWS\SysWOW64\11 del /q C:\WINDOWS\SysWOW64\00 EndBatch: DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Google Chrome DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKU\S-1-5-21-202387345-4201324245-3709672714-20981\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\4fd88af7_0 DeleteKey: HKU\S-1-5-21-202387345-4201324245-3709672714-20981\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\7909d0b6_0 DeleteValue: HKU\S-1-5-21-202387345-4201324245-3709672714-20981\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache| C:\Program Files (x86)\Bagsarah\Application\chrome.exe DeleteValue: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders|C:\Program Files (x86)\Mozilla Firefox\plugins DeleteValue: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders|C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Quarantine RemoveDirectory: C:\ProgramData\{BE2ACE5C-32B7-4777-9BDF-ECF87CDAB705} RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip RemoveDirectory: C:\Program Files (x86)\BiaoJi RemoveDirectory: C:\Program Files (x86)\mozilla firefox RemoveDirectory: C:\Users\fundowic\AppData\LocalLow\Mozilla RemoveDirectory: C:\WINDOWS\system32\log Reboot: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Log z FRST nie jest wiarygodny (i część danych nie jest nawet wykryta), użyty niezgodny bitowo dysk startowy: UWAGA!:=====> SYSTEM OPERACYJNY JEST TYPU X64 ALE ZOSTAŁ UŻYTY DYSK STARTOWY TYPU X86. Środowisko RE musi być w wersji 64-bit, by FRST 64-bit poprawnie wykrył dane. Poza tym, gdy już dopasujesz bity, nie odznaczaj pól filtrowanie. Masa zbędnych danych.

Na przyszłość, linki bezpośrednie wprost z Microsoft Catalog: KLIK. Nie promuję tu pobierania via serwisy pośrednie. To wszystko wskazuje, że jest uszkodzenie w komponentach systemowych uniemożliwiające instalację (obojętną metodą). Należy zdiagnozować szczegóły gdzie jest ubytek: Uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. Gdy narzędzie ukończy skan, skopiuj na Pulpit cały katalog C:\Windows\Logs\CBS, zapakuj do ZIP i shostuj gdzieś podając link do paczki. Nie obiecuję szybkiej analizy.

Temat zamykam, ale skomentuję na koniec. Problemem był program WindowsTM: ==================== Zainstalowane programy ====================== WindowsTM (HKLM-x32\...\WindowsTM) (Version: 1,2,60122,1018 - ) ==================== Usługi (filtrowane) ==================== R2 TMKernelHelpU; C:\WINDOWS\SysWOW64\TMKernelU.dll [470016 2016-03-11] (Smart Software, Inc.) S3 TMService; C:\Program Files (x86)\WindowsTM\TMService.exe [232448 2016-03-11] (Smart Software, Inc.) ===================== Sterowniki (filtrowane) ====================== R2 TMKernel; C:\WINDOWS\system32\drivers\TMKernel.sys [180264 2016-03-11] (Smart Software, Inc.) S2 trayhttps; \??\C:\Windows\system32\drivers\avcismmn.sys [X]

Wesołych i spokojnych Świąt dla wszystkich użytkowników fixitpc.pl!

Wszystko pomyślnie wykonane. Kroki końcowe: 1. Zastosuj DelFix. Usuń też ręcznie pobrany FRST z C:\Users\Gracjan\Downloads\Programs (DelFix nie przetwarza rekursywnie Downloads). 2. Na wszelki wypadek zmień hasła logowania, jeśli istnieje podejrzenie że któreś z nich mogło zostać przechwycone.

Pomijając usunięty przez Ciebie wpis, reszta porządków w większości wykonana. Małe poprawki: 1. Otwórz Notatnik i wklej w nim: Winsock: Catalog5 05 %SystemRoot%\system32\networkdlllsp.dll => Brak pliku RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS Reboot: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart konieczny, by zatwierdzić zmiany w Winsock. Przedstaw wynikowy fixlog.txt. 2. Uruchom Zoek. W oknie wklej: SafeZone Stable 1.51.2220.62;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log). Nowe skany FRST nie są już potrzebne.

To nienaturalny i szkodliwy wpis, co widać w samej konstrukcji wejścia. A co do tego, że ma sygnaturę Microsoftu: wg parametrów z Virus Total (oryginalna nazwa, suma kontrolna, data) jest to kopia 32-bitowego pliku C:\Windows\System32\WerFault.exe (i to też jest samo w sobie nienormalne). Prócz usunięcia tego wpisu przeprowadzę też dodatkowe zadania (szczątki po odinstalowanych programach Avast, Adguard, Google, HaoZip, VoodooShield, VPN). Działania do wykonania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-4242828667-1088706184-1539738138-1001\...\Run: [Mscvin] => C:\Users\Gracjan\AppData\Roaming\Mscvin.exe [266080 2016-07-16] (Microsoft Corporation) GroupPolicyScripts: Ograniczenia GroupPolicyScripts-x32: Ograniczenia S3 HaozipVirtualCDBus; C:\WINDOWS\System32\drivers\HaoZipVirtualCDBus.sys [207336 2015-08-28] (Shanghai RuiChuang) S3 VSScanner; C:\WINDOWS\System32\DRIVERS\vsscanner.sys [29808 2016-08-18] (VoodooSoft, LLC) Task: {054636AE-BE8B-4EB2-8203-528A9322D1A4} - System32\Tasks\{2E9B0FF5-DEDA-4D3F-98A9-8676F28C7918} => pcalua.exe -a C:\Users\Gracjan\Desktop\Gothic\Diccuric_Polish.exe -d C:\Users\Gracjan\Desktop\Gothic Task: {1D45EBF2-BCA4-43FB-897A-793268FE93AE} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe Task: {1DE2F040-11DE-418B-BAEC-163265D2AF32} - System32\Tasks\OneDrive Standalone Update Task => C:\Users\Gracjan\AppData\Local\Microsoft\OneDrive\17.3.6517.0809\OneDriveStandaloneUpdater.exe Task: {556099DF-AC25-4073-99D1-66CFF97942EA} - System32\Tasks\{ABD32B63-D4E2-4DDF-99A3-4A24689C89B6} => pcalua.exe -a "D:\Gry ISO\Gothic GTX Box Team Dubbing PL v1.08j\gothic1_playerkit-1.08k.exe" -d "D:\Gry ISO\Gothic GTX Box Team Dubbing PL v1.08j" Task: {567343E4-2F0A-4150-AFA6-5718320027F5} - System32\Tasks\{6FEAD677-055F-4552-B062-E2C1F6AF6A8C} => pcalua.exe -a C:\Users\Gracjan\Desktop\Gothic\gothic1_playerkit-1.08k.exe -d C:\Users\Gracjan\Desktop\Gothic Task: {6BE92647-F69A-4DED-8F89-634DCBBAD140} - System32\Tasks\SafeZone scheduled Autoupdate 1478348518 => C:\Program Files\AVAST Software\SZBrowser\launcher.exe ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DisableService: Internet Manager. RunOuc CMD: netsh winsock reset C:\ProgramData\fontcacheev1.dat C:\ProgramData\mntemp C:\Program Files\Common Files\AV\avast! Antivirus C:\Program Files (x86)\Google C:\Users\Gracjan\AppData\Local\Google C:\Users\Gracjan\AppData\Roaming\1816CA7466166.ind C:\Users\Gracjan\AppData\Roaming\Mscvin.exe C:\WINDOWS\System32\drivers\HaoZipVirtualCDBus.sys C:\WINDOWS\System32\drivers\vsscanner.sys C:\Windows\System32\Tasks\AVAST Software C:\WINDOWS\SysWOW64\d3dx9_11.dll.tmp C:\WINDOWS\SysWOW64\networkdlllsp.dll C:\WINDOWS\SysWOW64\Drivers\vwifikerneldrv.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Na liście zainstalowanych programów są odpadkowe ukryte wpisy po odinstalowanych przeglądarkach. Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń poniższe wejścia. Program musi być uruchomiony dwa razy, nie jest możliwe usunięcie więcej niż jednego wpisu w tym samym czasie. Google Update Helper (x32 Version: 1.3.21.123 - Google Inc.) Hidden SafeZone Stable 1.51.2220.62 (x32 Version: 1.51.2220.62 - Avast Software) Hidden 3. W procesach działają reklamodawcze moduły uTorrent. Sugeruję wymianę na czystego klienta qBittorrent. (BitTorrent Inc.) C:\Users\Gracjan\AppData\Roaming\uTorrent\updates\3.4.9_43388\utorrentie.exe (BitTorrent Inc.) C:\Users\Gracjan\AppData\Roaming\uTorrent\updates\3.4.9_43388\utorrentie.exe 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. I podaj jaki plik (i skąd) uruchomiłeś, co doprowadziło do utworzenia wpisu "Mscvin".

Detekcja "VirTool:Win32/Obfuscator.XZ" nie wygląda na problem. Jeśli zaś chodzi o rozbieżność detekcji, to może są to pliki nietożsame w rozumieniu innej sumy kontrolnej MD5. O ile nie nastąpiły jakieś zmiany od ostatniego skanu FRST, teoretycznie na podstawie danych z raportu ikona powinna być, bo jest powiązany wpis startowy. Czy defekt tyczy tylko tej ikony czy innych też? HKLM\...\Run: [MSC] => c:\Program Files\Microsoft Security Client\msseces.exe [1353680 2016-11-14] (Microsoft Corporation) To normalne zachowanie. Windows Defender (antyspyware) jest automatycznie deaktywowany, jeśli jest zainstalowany MSE (antywirus + antyspyware). W raporcie Addition możesz zobaczyć klasyfikację programów (AS = antyspyware): AV: Microsoft Security Essentials (Enabled - Up to date) {71A27EC9-3DA6-45FC-60A7-004F623C6189} AS: Microsoft Security Essentials (Enabled - Up to date) {CAC39F2D-1B9C-4A72-5A17-3B3D19BB2B34} AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} MSE to jest edycja zastępująca mierny Windows Defender zintegrowany w systemie Windows 7. Natomiast na systemach Windows 8 i nowszych poszli dalej i wymienili programy: systemowy "Windows Defender" to najnowsza wersja "MSE" a nie Windows Defender znany z Windows 7, choć i tak jest automatycznie deaktywowany w przypadku instalacji zewnętrznego antywirusa.

Na przyszłość: proszę nie uruchamiaj opcji "Fix" więcej niż raz. Skrypt jest jednorazowego użytku i nie przetworzy ponownie tego samego. Uruchomiłeś go aż 4 razy. I jak mówiłam, Fix nie zawierał żadnym elementów MPC, gdyż FRST spod Windows go nie usunie, wyraźnie mówiłam że podam inną metodę w przypadku niepowodzenia. Kolejne instrukcje: 1. Otwórz Notatnik i wklej w nim: R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [355808 2016-09-01] (DotC United Inc) R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-09-01] (DotC United Inc) C:\Program Files (x86)\MPC Cleaner C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC AdCleaner C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC Desktop C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battle.net C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gameforge Live\S.K.I.L.L. - Special Force 2.lnk C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Default\Desktop\Google Chrome.lnk C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk C:\Users\Gość\Desktop\Google Chrome.lnk C:\Users\Mati\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Mati\AppData\Roaming\MCorp C:\Users\Public\Desktop\MPC AdCleaner.lnk C:\Users\Public\Desktop\MPC Cleaner.lnk C:\Users\Public\Desktop\MPC Desktop.lnk C:\Windows\System32\drivers\MPCKpt.sys RemoveDirectory: C:\Users\Admin RemoveDirectory: C:\Users\Dominik Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt. FRST oraz plik fixlist.txt umieść na pendrive. 2. Uruchom FRST z poziomu środowiska zewnętrznego: KLIK. Klik w Fix (Napraw), na pendrive powstanie plik fixlog.txt. 3. Zaloguj się z powrotem do Windows. Zainstaluj wybraną przeglądarkę. I zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Usuwam raporty z OTL. To przestarzałe narzędzie nierozwijane od lat, które nie potrafi nawet poprawnie wykryć i przefiltrować platform nowszych niż Windows 7. Nie wspominając już o bugów i braku różnychdetekcji. Proszę dostarczyć raporty obowiązkowe z nowoczesnego FRST.

Jasiek, proszę nie usuwaj nic ręcznie, tylko podaj wyniki działań o które proszę.

Foldery tych martwych kont zapewne mają zablokowane obiekty (np. linki symboliczne). Tym się nie martw, jest do tego sposób w skrypcie, ale to podam dopiero po uzyskaniu wyników zadanych powyżej działań.

Temat przenoszę do działu Windows. To nie jest problem infekcji. ComboFix został uruchomiony niepotrzebnie, zupełnie nie ten rodzaj narzędzia i nie adresuje problemów na innych dyskach. FRST również notuje braki plików na rekordach kierujących na ścieżkę E:\progi: S3 ComarchAutomatSynchronizacji; E:\progi\Comarch ERP Optima\ComarchOptimaSerwisOperacjiAutomatycznych.exe [X] S2 RBMS_OptimaBI; E:\progi\Comarch ERP Optima\Analizy BI\bin\reports book\Comarch.BI.Mobile.Service.exe [X] S2 RBSS_OptimaBI; E:\progi\Comarch ERP Optima\Analizy BI\bin\reports book\Comarch.Msp.ReportsBook.Subscriptions.Service.exe [X] Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Comarch ERP Optima\Aktualizacje Comarch ERP Optima.lnk -> E:\progi\Comarch ERP Optima\Aktualizacje\Aktualizacje Comarch OPT!MA.exe (Brak pliku) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Comarch ERP Optima\Comarch ERP Optima.lnk -> E:\progi\Comarch ERP Optima\Comarch OPT!MA.exe (Brak pliku) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Comarch ERP Menadżer Kluczy\Monitor Menadżera Kluczy.lnk -> C:\Program Files (x86)\Comarch\Comarch ERP Menadżer Kluczy\ComarchMLTray.exe (Comarch) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\foobar2000.lnk -> E:\progi\foobar2000\foobar2000.exe (Brak pliku) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NapiProjekt\Informacje o zmianach.lnk -> E:\progi\NapiProjekt\changelog.txt (Brak pliku) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NapiProjekt\NapiProjekt.lnk -> E:\progi\NapiProjekt\napisy.exe (Brak pliku) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NapiProjekt\Napisy oczekujące na pobranie.lnk -> E:\progi\NapiProjekt\napisy.exe (Brak pliku) Shortcut: C:\Users\admin\Desktop\SpeedFan.lnk -> E:\progi\SpeedFan\speedfan.exe (Brak pliku) Shortcut: C:\Users\admin\Desktop\TeamSpeak 3 Client.lnk -> E:\progi\ts3\ts3client_win64.exe (Brak pliku) Shortcut: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TeamSpeak 3 Client\TeamSpeak 3 Client.lnk -> E:\progi\ts3\ts3client_win64.exe (Brak pliku) Shortcut: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TeamSpeak 3 Client\Uninstall.lnk -> E:\progi\ts3\Uninstall.exe (Brak pliku) Shortcut: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mio\MioMore Desktop 7.50.lnk -> E:\progi\mio\MioMore Desktop 7.50\MioMore.exe (Brak pliku) Shortcut: C:\Users\Public\Desktop\Comarch ERP Optima.lnk -> E:\progi\Comarch ERP Optima\Comarch OPT!MA.exe (Brak pliku) O jakich ukrytych folderach mowa? Jeśli masz na myśli foldery od tych aplikacji w C:\ProgramData, %Appdata% i %LocalAppdata%, to jest to normalne. Foldery tego typu i tak lądują na dysku C, nawet jeśli instalujesz program na innym dysku niż systemowy. Skoro twierdzisz, że utraciłeś uprawnienia do określonego folderu na dysku E, to przedstaw jakie są uprawnienia głównych folderów. Tzn. otwórz Notatnik i wklej w nim: ListPermissions: E:\ ListPermissions: E:\progi CMD: dir /a E:\progi Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Na przyszłość: lepiej jest robić skan FRST po całkowitym ukończeniu skanu MBAM i zamknięciu programu (lub restarcie systemu po skanie). Gdy skan FRST jest robiony w trakcie skanu MBAM, w logach widać tymczasowe replikaty rejestru będące skutkiem podmontowania przez MBAM rejestru. W raportach nie widać oznak infekcji. Przeklej z dziennika MSE jaki plik i w jakiej ścieżce został usunięty. I czy komputer nadal wolno się uruchamia?

robertop Fałszywe klony tworzą więcej wpisów w rejestrze niż to widać w raportach FRST. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. Tooltony Jessika Drobna uwaga, skoro wyrzucasz całe katalogi z fałszywym Firefoxem, to nie ma potrzeby usuwania żadnych rozszerzeń i ustawień z tych katalogów:

W raportach nie widać żadnych oznak infekcji. Ale o jakich reklamach i gdzie mówisz? Serwis filmy.to jest oblepiony reklamami i podczas otwierania filmów pojawiają się nowe karty z przekierowaniami. Jest to problem strony a nie urządzenia.

Pro forma: ten wpis pochodził od adware PriceFountain. Poprawki: 1. Do deinstalacji: Adobe AIR (stara wersja z lukami), Apple Software Update + QuickTime 7 + Obsługa programów Apple (poważne luki), Java SE Development Kit 7 Update 67 (64-bit) (stara wersja), Pando Media Booster (wątpliwy program), Podstawowe programy Windows Live (brak wsparcia), Visual Studio 2012 x64 Redistributables + Visual Studio 2012 x86 Redistributables (po odinstalowanym AVG) 2. Do usunięcia jeszcze inne puste wpisy (i odpadki po migracji z Windows 7 na Windows 10) oraz niepodpisane cyfrowo rozszerzenie Adobe w Firefox (jest blokowane). Zrób w Notatniku skrypt fixlist.txt o zawartości: U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath Task: {01A045AE-546E-40C8-AAA2-6EDA420C35A9} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: {11AEB51C-21C6-450E-B756-5EC4AB84045A} - System32\Tasks\CreateExplorerShellUnelevatedTask => C:\WINDOWS\explorer.exe /NOUACCHECK Task: {2D9E67FC-950C-4007-ADC4-A6F3F7F35A3B} - System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan => C:\Program Files\Microsoft Security Client\MpCmdRun.exe Task: {C8A9E1B9-9CB2-4CA9-8F79-87490089A883} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => %SystemRoot%\ehome\ehrec.exe Task: C:\WINDOWS\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe HKLM\...\StartupApproved\Run32: => "Adobe Creative Cloud" HKLM\...\StartupApproved\Run32: => "ADSK DLMSession" HKU\S-1-5-21-914296858-1329583620-193235316-1000\...\StartupApproved\StartupFolder: => "Dropbox.lnk" FF HKLM-x32\...\Firefox\Extensions: [web2pdfextension@web2pdf.adobedotcom] - C:\Program Files (x86)\Adobe\Acrobat 10.0\Acrobat\Browser\WCFirefoxExtn DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Windows\Media Center RemoveDirectory: C:\Program Files\Microsoft Security Client CMD: netsh advfirewall reset Wyłącz Comodo na czas przetwarzania skryptu. Przedstaw wynikowy fixlog.txt.

Zabrakło trzeciego obowiązkowego pliku FRST Shortcut.txt. MPC Cleaner jest bardzo trudno usunąć jeśli jest aktywny i wymagana jest jego poprawna deinstalacja. W jaki sposób była ona wykonywana? A jeśli MPC Cleaner rzeczywiście się odinstalował, a po tym wrócił, to pewnie go odbudowało zadanie adware ChelfNotify zlokalizowane w Harmonogramie zadań. FRST nie przetworzy obiektów MPC Cleaner z poziomu załadowanego systemu, gdyż MPC Cleaner chroni własne komponenty. A w raporcie widać też inne problemy wynikające z adware, w tym uszkodzony łańcuch Winsock i fałszywy Firefox. Poza tym, przeglądarka Googe Chrome jest niepoprawnie odinstalowana lub zainstalowana: nie widnieje jako zainstalowana, ale na dysku są definitywnie jej komponenty i będę je usuwać. Wstępne działania do przeprowadzenia: 1. Wejdź do folderu C:\Program Files (x86)\MPC Cleaner. Jeśli jest tam nadal plik uninstall, to z prawokliku na plik "Uruchom jako administrator". Po akcji zresetuj system. Jeśli pliku nie będzie lub deinstalacja się nie powiedzie, podam potem inny typ usuwania z poziomu niezaładowanego systemu. 2. Jeśli Google Chrome działa i masz w nim cenne zakładki, to je wyeksportuj, gdyż poniższy skrypt usunie elementy Chrome. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] BootExecute: autocheck autochk * sdnclean64.exe MSCONFIG\Services: FirefoxU => 2 MSCONFIG\Services: InstallerWrapperService => 2 MSCONFIG\Services: MPCProtectService => MSCONFIG\startupreg: AvgUi => "C:\Program Files (x86)\AVG\Framework\Common\avguirna.exe" /lps=fmw S3 BEDaisy; \??\C:\Program Files (x86)\Common Files\BattlEye\BEDaisy.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] Task: {0F74C6A7-4056-475D-9E4D-C182B4BCDD83} - System32\Tasks\BirdsarahUpdateTaskMachineUA => C:\Program Files (x86)\Birdsarah\Update\BirdsarahUpdate.exe Task: {2F6BB819-A820-441B-AD57-4FFB1F9B0848} - System32\Tasks\{4947FFE5-AD90-4208-8F47-BF5D5A394F5B} => pcalua.exe -a "C:\Users\Adrian\Downloads\Mario Bros.exe" -d C:\Users\Adrian\Downloads Task: {30E58CE5-80EB-41F5-9937-F324D28227EB} - System32\Tasks\{38B5F331-531C-4474-A74A-5852623C1011} => pcalua.exe -a C:\Users\Admin\Desktop\MinecraftZyczu.exe -d C:\Users\Admin\Desktop Task: {33AD8994-DF38-4E71-8325-94EDE58243ED} - System32\Tasks\Overwolf Updater Task => C:\Program Files (x86)\Overwolf\OverwolfUpdater.exe Task: {4406763A-D2F1-4F99-B02F-6B32989589C5} - System32\Tasks\PED_Torrent_Search => Rundll32.exe ARWOMlQ.dll,#67 Task: {4C743893-AF61-4ABC-BB19-61FD00391EED} - System32\Tasks\HPCustParticipation HP Deskjet 2510 series => C:\Program Files\HP\HP Deskjet 2510 series\Bin\HPCustPartic.exe Task: {59298CF3-1A68-4DD5-9842-FAA931FCC1CC} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\TXQQBrowser\Update\A39D5258EC5643F62A682A04474188BF\Update\BrowserUpdate.exe [2016-04-25] (Tencent) Task: {5DBD724B-3552-4F51-BFCF-514D8D08126E} - \BirdsarahUpdateTaskMachineCore -> Brak pliku Task: {938720D2-B31E-4A2E-99D2-A83805F4A252} - System32\Tasks\{C9C28585-8B96-4321-AD12-542D4C12FB71} => pcalua.exe -a C:\Users\Adrian\Desktop\MinecraftZyczu.exe -d C:\Users\Adrian\Desktop Task: {A442EE28-2823-4857-A5AF-B636A0A750AA} - System32\Tasks\ChelfNotify Task => C:\ProgramData\ChelfNotify\BrowserUpdate.exe [2016-06-30] (Tencent) Task: {C6836C85-FBC9-404F-BAB6-1A160093CA46} - System32\Tasks\Dravsynlether Core => C:\Program Files (x86)\Dravsynlether\Drvcoretsk.exe [2016-04-26] () GroupPolicy: Ograniczenia - Chrome HKU\S-1-5-21-606423241-2395403675-1338386720-1007\...\ChromeHTML: -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avast.com/AV772/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avast.com/AV772/ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.nuesearch.com/search/?type=ds&ts=1470396557&z=ba065b26a59768892f51c7dg9zbm4eec7tcqeweq5z&from=wpm0802&uid=WDCXWD2500AAJS-22RYA0_WD-WCAPZ341199811998&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://search.avast.com/AV772/search/web?q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avast.com/AV772/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avast.com/AV772/ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1470396557&z=ba065b26a59768892f51c7dg9zbm4eec7tcqeweq5z&from=wpm0802&uid=WDCXWD2500AAJS-22RYA0_WD-WCAPZ341199811998&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-606423241-2395403675-1338386720-1007\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avast.com/AV772/ HKU\S-1-5-21-606423241-2395403675-1338386720-1007\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avast.com/AV772/ SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1470396557&z=ba065b26a59768892f51c7dg9zbm4eec7tcqeweq5z&from=wpm0802&uid=WDCXWD2500AAJS-22RYA0_WD-WCAPZ341199811998&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1470396557&z=ba065b26a59768892f51c7dg9zbm4eec7tcqeweq5z&from=wpm0802&uid=WDCXWD2500AAJS-22RYA0_WD-WCAPZ341199811998&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {8C31F27B-BE8A-4e4b-A478-17760AF1F5D9} URL = hxxps://search.avast.com/AV772/search/web?q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1470396557&z=ba065b26a59768892f51c7dg9zbm4eec7tcqeweq5z&from=wpm0802&uid=WDCXWD2500AAJS-22RYA0_WD-WCAPZ341199811998&q={searchTerms} SearchScopes: HKLM-x32 -> {8C31F27B-BE8A-4e4b-A478-17760AF1F5D9} URL = hxxps://search.avast.com/AV772/search/web?q={searchTerms} SearchScopes: HKU\S-1-5-21-606423241-2395403675-1338386720-1007 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Google Update Helper (x32 Version: 1.3.31.5 - Google Inc.) Hidden DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files\TrueKey C:\Program Files (x86)\Google C:\Program Files (x86)\Firefox C:\Program Files (x86)\TXQQBrowser C:\ProgramData\ChelfNotify C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Admin\Downloads\*-dp*.exe C:\Users\Admin\AppData\Local\Google C:\Users\Dominik\AppData\Local\Google C:\Users\Mati\AppData\Local\AVG C:\Users\Mati\AppData\Local\Google C:\Users\Mati\AppData\Local\Firefox C:\Users\Mati\AppData\Local\LogMeIn Hamachi C:\Users\Mati\AppData\Roaming\Firefox C:\Users\Mati\AppData\Roaming\Mozilla C:\Users\Mati\AppData\Roaming\TuneUp Software C:\Users\Mati\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk C:\Users\Mati\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Mati\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome (2).lnk C:\Users\Mati\Desktop\Google Chrome.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk CMD: netsh advfirewall reset CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Po przetworzeniu w/w skryptu na liście zainstalowanych programów ujawni się Google Update Helper, odinstaluj to. 4. Na razie nie instaluj żadnej przeglądarki i ustaw jako domyślną Internet Explorer. Aktualnie domyślną jest nieistniejąca w systemie Opera. 5. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Shortcut. Dołącz też plik fixlog.txt. I pytaniem jest czy można usunąć foldery C:\Users\Admin + C:\Users\Dominik, gdyż takich kont w systemie nie ma.

Problemem jest szkodliwe proxy noneblock.info. Działania do wykonania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: RemoveProxy: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] HKU\S-1-5-21-1314801178-279852694-44916582-1000\...\Policies\Explorer: [] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Users\Slawek\AppData\Roaming\mswinaplic.dll C:\Users\Slawek\Downloads\Niepotwierdzony 970452.crdownload EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Problem z komunikatem generują zmodyfikowane skróty przeglądarki (i przeładowuje infekcję skrypt osadzony we WMI), a tego nie czyści resetowanie ustawień. Jest też kupa innych elementów adware/PUP. Działania do przeprowadzenia: 1. Deinstalacje: -> Poprzez Panel sterowania odinstaluj wątpliwy skaner SpyHunter 4. Niezależnie od tego czy usuwanie się powiedzie, zastosuj po tym również SpyHunterCleaner. -> Z prawokliku na plik C:\Program Files (x86)\Maoha\MaohaAP\Uninstall.exe "Uruchom jako administrator". Jeśli deinstalacja się nie powiedzie, i tak poniższy skrypt powinien się zająć tym gagadkiem. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe S2 GoogleChromeUpService; C:\ProgramData\service.exe [1620992 2017-02-16] () [brak podpisu cyfrowego] S2 KuaizipUpdateChecker; C:\Program Files\żěŃą\X86\kuaizipUpdateChecker.dll [219032 2017-02-16] () R2 MaohaWifiSvr; C:\Program Files (x86)\Maoha\MaohaAP\MaohaWifiSvr.exe [168992 2016-11-26] (深圳市猫哈网络科技发展有限公司) R2 UCBrowserSvc; C:\Program Files (x86)\UCBrowser\Application\UCService.exe [597208 2017-02-14] () R2 KuaiZipDrive; C:\Windows\system32\drivers\KuaiZipDrive.sys [92832 2017-02-16] (WinMount International Inc) R1 MaohaWifiNetPro; C:\Program Files (x86)\Maoha\MaohaAP\MaoHaWiFiNet64.sys [1030496 2016-11-26] () S1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) S3 PCDSRVC{9D5F6500-B9473007-06020200}_0; \??\c:\pcdoctor_depot_tools\pcdr\pcdsrvc_x64.pkms [X] ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-02-16] () Task: {0BD5E646-A1C0-44A0-918F-7BAB81AF61AC} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-02-14] (UCWeb Inc) Task: {35B25727-64E1-4C9A-8FAE-E215BAD1244C} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-02-16] (UC Web Inc.) Task: {BE9B6F53-1C10-4B66-B8DC-D06DADBBBDF7} - System32\Tasks\Microsoft\Windows\Multimedia\Manager => C:\Users\oem2\AppData\Roaming\Adobe\Manager.exe [2017-02-16] () Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe GroupPolicy: Ograniczenia - Chrome WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\oem2\Desktop\Osoba 1 - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\oem2\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\oem2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\oem2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\oem2\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\oem2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\oem2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\oem2\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\oem2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\oem2\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\oem2\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ FirewallRules: [{E552ADB6-A876-4068-A7E5-0E9B612C06F5}] => (Allow) C:\Users\oem2\AppData\Local\Temp\is-O4GBJ.tmp\download\MiniThunderPlatform.exe FirewallRules: [{011B0C5F-5FC5-4746-BA50-365619B76B1C}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{121ECCD0-2462-4375-BD86-CF82D608CAE5}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\Downloader\download\MiniThunderPlatform.exe FirewallRules: [{7D451836-7630-4E71-B5B7-7FF7E6AFB91A}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{B4795632-88D2-4A54-A5E0-EAF14983B2F7}] => (Allow) C:\Program Files (x86)\Maoha\MaohaAP\MaohaWifiSvr.exe DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [25444] AlternateDataStreams: C:\Windows\system32\drivers:x64 [371912] AlternateDataStreams: C:\Windows\system32\drivers:x86 [1213218] Folder: C:\Users\oem2\AppData\Roaming\Adobe Folder: C:\Users\Public\Documents\AdobeGC C:\autoexec.bat C:\Program Files\żěŃą C:\Program Files (x86)\Maoha C:\Program Files (x86)\PubHotspot C:\Program Files (x86)\Rewity C:\Program Files (x86)\UCBrowser C:\ProgramData\service.exe C:\ProgramData\IObit C:\ProgramData\ProductData C:\ProgramData\Thunder Network C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MaohaWiFi C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk C:\Users\oem2\AppData\Local\Himergh C:\Users\oem2\AppData\Local\svchost C:\Users\oem2\AppData\Local\UCBrowser C:\Users\oem2\AppData\LocalLow\IObit C:\Users\oem2\AppData\Roaming\Adobe\Manager.exe C:\Users\oem2\AppData\Roaming\IObit C:\Users\oem2\AppData\Roaming\KuaiZip C:\Users\oem2\AppData\Roaming\Softlink C:\Users\oem2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MaohaWiFi.lnk C:\Users\oem2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk C:\Users\oem2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器 (2).lnk C:\Users\oem2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk C:\Users\oem2\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk C:\Users\oem2\Desktop\MaohaWiFi.lnk C:\Users\oem2\Desktop\żěŃą.lnk C:\Users\oem2\Downloads\*-dp*.exe C:\Users\oem2\Downloads\SpyHunter-Installer.exe C:\Users\Public\Thunder Network C:\Users\Public\Documents\AdobeGC C:\Windows\IObit C:\Windows\system32\Drivers\KuaiZipDrive.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows *, co jest konieczne by ubić sterownik UCGuard. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. * Tryb awaryjny: Klawiszz flagą Windows + I > Zmień ustawienia komputera > Aktualizacja i odzyskiwanie > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > Tryb awaryjny. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustaw Chrome jako domyślną przeglądarkę. Obecnie jest chiński UCBrowser jako przeglądarka domyślna. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Nie widać oznak infekcji i z raportów nic kompletnie nie wynika. A jedyne co mi się kojarzy z problemami z przetwarzaniem stron z dużą ilością multimediów, to niedawna instalacja / aktualizacja sterowników nVidia. PS. Odinstaluj MyFreeCodec (to taki "PUP" Samsung Kies). I możesz wykonać skrypt kosmetyczny usuwający szczątki, nie będzie to mieć żadnego wpływu na poprawę działania przeglądarek. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\Windows\system32\nvinitx.dll => Brak pliku R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] HKU\S-1-5-21-1888970853-945745684-2655438926-1001\...\StartupApproved\Run: => "Web Companion" CustomCLSID: HKU\S-1-5-21-1888970853-945745684-2655438926-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\MARCIN\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku Task: {0C573D1E-454F-4019-8710-ADE9502AEED9} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {128EEB2E-ECA1-446B-8D75-13B713A14D6F} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {2BE8CE76-2F28-49DE-A308-87CC8480974D} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {352E6CA0-7314-4DF4-89C4-682368D80D57} - System32\Tasks\Microsoft\Windows\Workplace Join\Automatic-Workplace-Join => %SystemRoot%\System32\AutoWorkplace.exe Task: {557D1B46-D6D4-4FCA-8863-827CD8B56A65} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {768B52FD-5305-42F6-8DC8-30ACDE694EA5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {78D5F8CB-A8DB-4C10-B416-B753BFCDD8BE} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {7CA93530-0896-4442-BBCD-2DB12D15078A} - \WPD\SqmUpload_S-1-5-21-1888970853-945745684-2655438926-1001 -> Brak pliku Task: {A2595BA1-A8AC-4536-9B6B-0783284D2353} - System32\Tasks\{03290363-16BC-4534-9B53-DDAAEB248AC7} => pcalua.exe -a C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_17_0_0_188_Plugin.exe -c -maintain plugin Task: {D72FD5BC-869E-461D-A20A-1BC72FD023C9} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {D7C7C7B8-11DE-42E7-8643-A38ED6894A4D} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {E8F1B1CA-9188-470C-BF81-931AE1D09E32} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {FC1874B0-72EA-4E68-993D-41B6CC5ED854} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {FD0907D3-36AB-4ED9-91A8-9CE9158AAE02} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany nie są potrzebne.

W Google Chrome mało co widać (rosyjska strona domowa + reinstalatory rosyjskich rozszerzeń w rejestrze), za to Firefox ma zainstalowane różne rosyjskie adware. W systemie jest też crack aktywacji "KMSAuto Net" i w Dzienniku zdarzeń błędy związane z licencją, dla porównania ten temat. Cracki zaadresujesz samodzielnie. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__ HKU\S-1-5-21-2012787476-2681263979-3076844850-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811013 SearchScopes: HKU\S-1-5-21-2012787476-2681263979-3076844850-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B728D4C16-1D4E-47B4-B5CB-D889BF19A6A8%7D&gp=811014 SearchScopes: HKU\S-1-5-21-2012787476-2681263979-3076844850-1001 -> {D01B9FD1-7CDA-4F67-A367-0E9C19DEAFC7} URL = SearchScopes: HKU\S-1-5-21-2012787476-2681263979-3076844850-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B728D4C16-1D4E-47B4-B5CB-D889BF19A6A8%7D&gp=811014 FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\local-settings.js [2016-04-04] FF ExtraCheck: C:\Program Files\mozilla firefox\mozilla.cfg [2016-05-10] DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin C:\ProgramData\kingsoft C:\ProgramData\Mail.Ru C:\ProgramData\Origin C:\Users\Tuscioch\AppData\Local\Вoйти в Интeрнет C:\Users\Tuscioch\AppData\Local\Поиcк в Интeрнете C:\Users\Tuscioch\AppData\Local\fupdate C:\Users\Tuscioch\AppData\Local\Mail.Ru C:\Users\Tuscioch\AppData\Roaming\kingsoft C:\Users\Tuscioch\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk C:\Users\Tuscioch\AppData\Roaming\Microsoft\Word\Upoważnienie%20do%20odbioru%20zarejestrowanych%20z305746322380348095\Upoważnienie%20do%20odbioru%20zarejestrowanych%20zaświadczen.docx.lnk C:\Users\Tuscioch\AppData\Roaming\Origin C:\Users\Tuscioch\Favorites\Mail.Ru Агент - используй для общения!.url C:\Users\Tuscioch\Favorites\Mail.Ru.url C:\Users\Tuscioch\Favorites\Links\Интернет.url C:\WINDOWS\System32\Tasks\fupdate CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są reklamy w Google Chrome.

Nie. "Artefakt" (szerokie znaczenie słownikowe) został tu użyty w znaczeniu "sztucznego tekstu" doklejanego do treści, który nie powinien występować.