picasso

Skrypt wykonany. Używałeś wcześniej już AdwCleaner i Hitman, więc nie zadaję ich ponownie. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pobranych FRST, GMER i ich logi. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 2. Zainstaluj Internet Explorer 11, niezależnie od tego że tej przeglądarki nie używasz. Pobieranie także w w/w linku. Po instalacji uruchom Windows Update, by sprawdzić jakie łaty są oferowane.

Wszystko zrobione, więc znajome Ci już kroki końcowe; Skasuj z Pulpitu z "POMOC" narzędzia i ich logi. Następnie DelFix i czyszczenie folderów Przywracania systemu: KLIK.

Poprawki: 1. Nie odinstalowałeś programów Apple. Przypominam, że używanie QuickTime nie jest bezpieczne, krytyczne luki i usunięte wsparcie dla Windows. 2. Nadal jest problem z profilem Firefox i stoi jako domyślny ten sam co poprzednio. Powtórz kroki związane z tworzeniem nowego profilu. 3. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\HitmanPro RemoveDirectory: C:\Users\Andreas\AppData\Local\Google\Chrome\User Data\ChromeDefaultData RemoveDirectory: C:\Users\Andreas\AppData\Roaming\Maxthon3 RemoveDirectory: C:\Windows\Azart RemoveDirectory: C:\Windows\erdnt RemoveDirectory: C:\Windows\ERUNT CMD: ipconfig /flushdns CMD: netsh advfirewall reset Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Tym razem UTF-8 nie jest wymagane. Uruchom FRST i kliknij w Napraw (Fix). Fix powinien się szybko wykonać bez restartu Windows. Przedstaw wynikowy fixlog.txt.

1. Zrób w notatniku Fixlist.txt w kodowaniu UTF-8 o postaci: GroupPolicy: Ograniczenia - Chrome HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3424310977-905981195-1643685065-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-3424310977-905981195-1643685065-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-3424310977-905981195-1643685065-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f AlternateDataStreams: C:\ProgramData\Microsoft:B51K78KwGpK5R1vAWBfZ50JQlA [2460] AlternateDataStreams: C:\ProgramData\Microsoft:hrWjInlZ0odOqBZMx [550] AlternateDataStreams: C:\ProgramData\Microsoft:pqNH2aCI5PMsyQx6HqE [2068] AlternateDataStreams: C:\ProgramData\Microsoft:sChghMnNGRhLWYDHhkxyz8ab6qh [2366] C:\KRECYCLE C:\Program Files\CyberGhost 5 C:\Program Files\CyberGhost VPN C:\Program Files\FreeFixer C:\Program Files\Reason C:\Program Files (x86)\4ovgyw7i C:\Program Files (x86)\eclvab0f C:\Program Files (x86)\kingsoft C:\Program Files (x86)\UnHackMe C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\IObit C:\ProgramData\kdesk C:\ProgramData\Kingsoft C:\ProgramData\ProductData C:\ProgramData\RegRun C:\ProgramData\Tencent C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\金山毒霸 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASIO4ALL v2\ASIO4ALL v2 Off-Line Settings.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVIcodec C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cakewalk\Studio Instruments\SI-*.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Creative C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DigiDesign\Plug-Ins\FocusRite D2\Digidesign Plug-Ins Guide.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FXpansion C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iLok License Manager.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 12.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iZotope\DDLY C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iZotope\Neutron C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lightworks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mokafix Audio C:\ProgramData\Microsoft\Windows\Start Menu\Programs\reFX C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan\Release info.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SynthMaker C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TC Electronic C:\ProgramData\Microsoft\Windows\Start Menu\Programs\webplugin.exe C:\Users\Andreas\AppData\Local\{F05CE88F-EBBE-427D-97BD-F9D62CB16428} C:\Users\Andreas\AppData\Local\FreeFixer C:\Users\Andreas\AppData\Local\Kingsoft C:\Users\Andreas\AppData\Local\Redetaingrimither C:\Users\Andreas\AppData\Local\UCBrowser C:\Users\Andreas\AppData\LocalLow\IObit C:\Users\Andreas\AppData\Roaming\*.* C:\Users\Andreas\AppData\Roaming\FreeFixer C:\Users\Andreas\AppData\Roaming\IObit C:\Users\Andreas\AppData\Roaming\Kingsoft C:\Users\Andreas\AppData\Roaming\Tencent C:\Users\Andreas\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 12 (64bit).lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\KORG C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Metric Halo\Manual.lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Nomad Factory C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Overloud\TH2\Uninstall.lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Positive Grid C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steinberg HALionOne\Uninstall.lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Two Notes Audio Engineering C:\Users\Andreas\AppData\Roaming\Mozilla\Firefox\naweriweentcofise C:\Users\Andreas\Desktop\Pulpit\FL save\FL Studio 12 (64bit).lnk C:\Users\Andreas\Desktop\Pulpit\FL save\FL Studio 12.lnk C:\Users\Andreas\Desktop\Pulpit\pul\Pulpit\CPUID CPU-Z.lnk C:\Users\Andreas\Desktop\Pulpit\pul\Pulpit\CyberGhost 5.lnk C:\Users\Andreas\Documents\MAGIX\Audio & Music Lab 2016 Premium\_Demo.LNK C:\Users\Andreas\Documents\RegRun2 C:\Users\Andreas\Favorites\GG dysk.lnk C:\Users\Andreas\Links\GG dysk.lnk C:\Windows\libeay32.dll C:\Windows\libcurl.dll C:\Windows\ssleay32.dll C:\Windows\winstart.bat C:\Windows\zlib1.dll C:\Windows\IObit C:\Windows\system32\ffnd.exe C:\Windows\SysWOW64\CONFIG.NT C:\Windows\SysWOW64\AUTOEXEC.NT CMD: ipconfig /flushdns Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Aracity /s EmptyTemp: Uruchom go z poziomu Trybu awaryjnego Windows. 2. Przejdź z powrotem w Tryb normalny i zrób nowe logi FRST.

Nie zapisałeś Fixlist w UTF-8, dlatego pewne wpisy nie zostały przetworzone. Zadania w większości pomyślnie wykonane, będą zadania doczyszczające, ale dostarcz pełne logi: Log Addition niekompletny z powodu który wymieniasz. Wyczyść Dzienniki: Klawisz z flagą Windows + X > Podgląd zdarzeń > W sekcji Dzienniki systemu Windows z prawokliku wyczyść gałęzie Aplikacja i System. Uruchom FRST, zaznacz pole Shortcut.txt i ponów skan. Dostarcz pliki Addition.txt i Shortcut.txt.

Proszę o pokazanie cząstkowego Fixlog, który powinien zostać utworzony w katalogu z którego FRST uruchamiałeś. Nie uruchamiaj ponownie opcji Fix, dostarcz log który już powinien być. Folder udało Ci się usunąć, bo Fix FRST usunął wpis ShellIconOverlayIdentifiers ładujący Tencent do powłoki. W Fix FRST było więcej rzeczy do wykonania, nie tylko wpis Tencent. Nie wszystko zrobione. Na razie chcę ustalić w którym miejscu zatrzymał się Fix.

Brak oznak infekcji i nie mam się czym tu zajmować. Program wykrył folder rozszerzenia Empty New Tab Page i wygląda mi to na fałszywy alarm... Domyślnie w opcjach AdwCleaner jest ustawione prowadzenie obu tych akcji. To się wykonuje niezależnie od tego czy AdwCleaner w ogóle wykrył jakieś modyfikacje w tych miejscach. Czyli na całkowicie czystym systemie uruchomienie opcji "Oczyść" bez zmian w ustawieniach AdwCleaner zawsze będzie skutkować tym odczytem w logu.

Wbrew pozorom ta infekcja jest prosta, opiera się tylko na dwóch wpisach: Run + zadanie w Harmonogramie reimportujące modyfikację Run. Przy okazji będą do usunięcia też odpadki po aktualizacji z Windows 7 do Windows 10. Działania do przeprowadzenia: 1. Odinstaluj zbędny Bing Bar. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1698314851-326736941-3311299484-1000\...\Run: [Mateusz] => explorer.exe hxxp://kb-ribaki.org Task: {034E5BA9-414B-4F87-A3C0-5DAE93F13760} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {0B2BFB12-C3C8-4045-A82F-6F7C842C3C84} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {12A798CD-1EC9-4C1C-A17C-5CA771B620B6} - System32\Tasks\{75B23389-F256-4B6F-A8F7-82D9622D4D05} => pcalua.exe -a C:\Users\Mateusz\Desktop\wog\WoG_Install\Install.exe -d C:\Users\Mateusz\Desktop\wog\WoG_Install Task: {16273C2B-E61C-4692-AF72-4DF83EE6559E} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {17C819EE-2BDB-4419-80B4-D1D0FB436D71} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {1D610B3B-2BF0-4D27-85B8-FFC1328CAE1B} - \Games\UpdateCheck_S-1-5-21-1698314851-326736941-3311299484-1000 -> Brak pliku Task: {274D1AC6-4E81-48B2-91A5-0DFF5BB968E5} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {27D68370-652D-4E2C-AC68-801FF29F0381} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {2D92979C-4B7D-47C0-9027-C962DC991700} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku Task: {2F759D6F-9D59-4B17-B641-63074839277F} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku Task: {35C026C8-1A54-4259-A420-EA8737BC97BF} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {375F322F-6EF9-49B9-8037-FA5C8A1F808F} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {3A0032EF-07B6-4660-8CD6-E9F8D7F48B9B} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {3CE61CFB-AF91-4F1F-8725-E4A48CA41B08} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {468A2BD5-D058-45CE-A844-A9C83131E3AD} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {4723E685-7D04-4BA2-8AFA-13571EC3BD8D} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {4DB97757-F13D-4ADE-9B9E-1EC3D9065569} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {535647D7-62EB-43F2-BD2D-3CABF2E5AFA9} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {59A4A44A-6B98-437E-A504-83BAF3B95570} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {5E07C4E1-C8A5-47DD-8F79-371F102BC589} - \Microsoft\Windows\Setup\EOONotify -> Brak pliku Task: {6689BDC2-07DE-4AFC-A2C5-BA1EA396A54A} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {68D6B5E7-2F9C-4FCF-AF30-A16F25AD56F0} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {6914217B-FD73-4E9F-98E1-F5ED405A838A} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {6EF4C0ED-0694-41EB-8BB6-FF2AF51879EA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {76B73F21-EEB6-4712-859B-9DEFE730715D} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {7F2A2731-5FFE-42C4-B72B-8432E183BF6A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {826F96E1-27C9-4671-ADE6-3EC5ED2DE78B} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {8787F786-BD46-4C3C-BBB8-27CDDE19624A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {92F1446E-DD05-48B3-A229-FF092A27B4D7} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {96ACDD8F-5ADD-47EB-8A6A-97BB25940D1F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {97777994-5FD0-4FD4-AF72-3F96901A7E87} - System32\Tasks\Mateusz => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Mateusz /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" Task: {A5544DB6-9E9E-4BA4-B696-1A20ADFC7D12} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {B10FF8A9-D418-42D1-AA63-55509377EE21} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {B83566AB-6BCC-4DD7-84FF-E8A3E2547A4B} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {C070CD25-FE7A-4960-B26D-88F461C9118A} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {D26D3903-47A4-4C69-BC48-5BDA9EAB575A} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {D4D50053-1EF3-42B0-88DD-EE1AD6F39A39} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {E25CAF25-F7F9-4CFE-89A7-8F139563AE39} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {E7F3A25E-2F47-45D0-B78D-DD4CBD6054DC} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {EC2BC85F-5B65-418F-9139-40D408358FD0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {F5629234-7467-421D-A6DB-A19E271D9D37} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {FB196247-9ACD-4E2B-B83D-C48BAFD804CD} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center U3 idsvc; Brak ImagePath SearchScopes: HKU\S-1-5-21-1698314851-326736941-3311299484-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF Plugin HKU\S-1-5-21-1698314851-326736941-3311299484-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mass Effect 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\Star Wars - The Old Republic.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\SWTOR Customer Support.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\View Readme.lnk C:\Users\Mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Star Wars - The Old Republic.lnk C:\Users\Mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Star Wars - The Old Republic.lnk C:\Windows\ehome C:\Windows\System32\Tasks\Microsoft\Windows\Media Center CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Zabrakło trzeciego obowiązkowego raportu FRST Shortcut. Działania do przeprowadzenia; 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 backlh; C:\ProgramData\Logic Handler\set.exe [3786752 2016-10-07] () [Brak podpisu cyfrowego] R2 Citdhwa; C:\Users\Radek\AppData\Roaming\AzigcWig\Geeswu.exe [121344 2016-08-11] () [Brak podpisu cyfrowego] R2 GoogleChromeUpService; C:\ProgramData\service.exe [1620992 2016-10-12] () [Brak podpisu cyfrowego] R2 Kuaizip Update Checker; C:\Program Files (x86)\KuaiZip\X86\kuaizipUpdateChecker.dll [216704 2016-10-12] () R2 KuaizipUpdateChecker; C:\Program Files\żěŃą\X86\kuaizipUpdateChecker.dll [219072 2016-10-12] () R2 MaohaWifiSvr; C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe [170464 2014-12-18] (猫哈网络 版权所有) R2 Nettrans; C:\ProgramData\NetworkPacketManitor\Nettrans.exe [57856 2016-09-28] () [Brak podpisu cyfrowego] R2 Rohucultatoergh; C:\Program Files (x86)\Hzocult\rrgsch.dll [280064 2016-10-12] () [Brak podpisu cyfrowego] R2 Viokdojvaf; C:\Users\Radek\AppData\Roaming\Hemkajdoa\Hemkajdoa.exe [170496 2016-08-11] () [Brak podpisu cyfrowego] R2 fysevowu; C:\Program Files (x86)\00000000-1476269399-0000-0000-4CCC6A653515\knsz7298.tmpfs [X] S3 cpuz136; C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [23856 2016-09-09] (CPUID) R2 KuaiZipDrive; C:\Windows\system32\drivers\KuaiZipDrive.sys [92872 2016-10-12] (WinMount International Inc) S2 KuaiZipDrive2; C:\Windows\system32\drivers\KuaiZipDrive2.sys [93072 2016-10-12] (WinMount International Inc) <==== UWAGA R1 MaohaWifiNetPro; C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaoHaWiFiNet64.sys [871152 2015-10-27] () R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) <==== UWAGA S4 NVHDA; \SystemRoot\system32\drivers\nvhda64v.sys [X] HKLM\...\Run: [gplyra] => C:\Users\Radek\AppData\Roaming\gplyra\gplyra\start.cmd [216 2016-01-19] () HKLM-x32\...\Run: [StereoLinksInstall] => "C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvstlink.exe" /install1 HKU\S-1-5-21-2224646682-2379115363-2177298087-1001\...\Run: [msiql] => C:\Users\Radek\AppData\Local\Temp\00030760\msiql.exe [1883648 2016-10-12] () <===== UWAGA HKU\S-1-5-18\...\Run: [] => 0 HKLM\...\StartupApproved\Run32: => "app" HKU\S-1-5-21-2224646682-2379115363-2177298087-1001\...\StartupApproved\Run: => "apphide" HKU\S-1-5-21-2224646682-2379115363-2177298087-1001\...\StartupApproved\Run: => "svchost0" ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2016-10-12] () ShellIconOverlayIdentifiers: [KzShlobj2] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F3} => C:\Program Files (x86)\KuaiZip\X64\KZipShell.dll [2016-10-12] () TasksDetails: Task: {14308DB2-0D2B-4971-A160-B54F6681AF23} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA Task: {6680C602-81A6-4B0C-B05D-E8E753619F3C} - System32\Tasks\KuaiZip_Update => C:\Program Files\żěŃą\X86\Update.exe [2016-10-12] (Shanghai Guangle Network Technology Ltd) <==== UWAGA Task: {F43D8B4D-30F4-4F84-9744-02ABF2FAE382} - System32\Tasks\Chtisriropy Renew => C:\Program Files (x86)\Hzocult\detught.exe [2016-10-12] (Glarysoft Ltd) Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA Tcpip\..\Interfaces\{278113f7-8e6e-4ef4-9979-f7ea34593993}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{9a09523d-76ef-11e6-a54d-806e6f6e6963}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{f38d7eb6-4b2a-45c1-b419-54cb4fa7c1ed}: [NameServer] 104.197.191.4 WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA ShortcutWithArgument: C:\Users\Radek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Radek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 2" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% CHR HomePage: Profile 2 -> hxxp://www.mystartsearch.com/?type=sy&ts=1434643989&z=18341b13a003e248251a383gdzcc1zdq8zcc8t9t6c&from=cmi&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12R0412R0412 CHR StartupUrls: Profile 2 -> "hxxp://www.mystartsearch.com/?type=hp&ts=1434641622&z=f67b43f16ba5c60eafc3566g5zdc8zbq8zageqco4q&from=cmi&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12R0412R0412","hxxp://www.mystartsearch.com/?type=hppp&ts=1434643989&z=18341b13a003e248251a383gdzcc1zdq8zcc8t9t6c&from=cmi&uid=WDCXWD3200BPVT-22JJ5T0_WD-WX91C12R0412R0412" HKU\S-1-5-21-2224646682-2379115363-2177298087-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9CG1th_NJ3aIxi49zmOXbQL8qaC_zZ9NirkP5IQSM5CsInT_YxA1S5uLdtDeaEJHIiwp5VrFFfnaayWQQomPVJDrkFKc6RK_1dnOLmDduChNcD6CloIwOy_PzKwx_cdxb8MWkInRYXyZp1HJKRzaO3ovRJg,,&q={searchTerms} HKU\S-1-5-21-2224646682-2379115363-2177298087-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131207683642326213&GUID=A5398763-DE7D-448E-B204-226BC1CE32FA HKU\S-1-5-21-2224646682-2379115363-2177298087-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9CG1th_NJ3aIxi49zmOXbQL8qaC_zZ9NirkP5IQSM5CsInT_YxA1S5uLdtDeaEJHIiwp5VrFFfnaayWQQomPVJDrkFKc6RK_1dnOLmDduChNcD6CloIwOy_PzKwx_cdxb8MWkInRYXyZp1HJKRzaO3ovRJg,,&q={searchTerms} HKU\S-1-5-21-2224646682-2379115363-2177298087-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9CG1th_NJ3aIxi49zmOXbQL8qaC_zZ9NirkP5IQSM5CsInT_YxA1S5uLdtDeaEJHIiwp5VrFFfnaayWQQomPVJDrkFKc6RK_1dnOLmDduChNcD6CloIwOy_PzKwx_cdxb8MWkInRYXyZp1HJKRzaO3ovRJg,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9CG1th_NJ3aIxi49zmOXbQL8qaC_zZ9NirkP5IQSM5CsInT_YxA1S5uLdtDeaEJHIiwp5VrFFfnaayWQQomPVJDrkFKc6RK_1dnOLmDduChNcD6CloIwOy_PzKwx_cdxb8MWkInRYXyZp1HJKRzaO3ovRJg,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2224646682-2379115363-2177298087-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9CG1th_NJ3aIxi49zmOXbQL8qaC_zZ9NirkP5IQSM5CsInT_YxA1S5uLdtDeaEJHIiwp5VrFFfnaayWQQomPVJDrkFKc6RK_1dnOLmDduChNcD6CloIwOy_PzKwx_cdxb8MWkInRYXyZp1HJKRzaO3ovRJg,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2224646682-2379115363-2177298087-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ9CG1th_NJ3aIxi49zmOXbQL8qaC_zZ9NirkP5IQSM5CsInT_YxA1S5uLdtDeaEJHIiwp5VrFFfnaayWQQomPVJDrkFKc6RK_1dnOLmDduChNcD6CloIwOy_PzKwx_cdxb8MWkInRYXyZp1HJKRzaO3ovRJg,,&q={searchTerms} FirewallRules: [{5B41EDAA-57A8-49EC-891A-0374D4A8EDF0}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{431AF16F-D728-4155-A416-CEF9A1F4AE8B}] => (Allow) C:\Users\Radek\AppData\Local\Temp\is-63UA0.tmp\download\MiniThunderPlatform.exe FirewallRules: [{9DA86F76-960D-47EF-A589-CDBA4928018D}] => (Allow) C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\PopupProduct DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\żěŃą C:\Program Files (x86)\00000000-1476269399-0000-0000-4CCC6A653515 C:\Program Files (x86)\GreatMaker C:\Program Files (x86)\Hzocult C:\Program Files (x86)\KuaiZip C:\Program Files (x86)\Microleaves C:\Program Files (x86)\WeatherChickn C:\ProgramData\service.exe C:\ProgramData\Logic Handler C:\ProgramData\NetworkPacketManitor C:\ProgramData\Thunder Network C:\ProgramData\Quoteexs C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MaohaWiFi C:\TOSTACK C:\Users\Public\Thunder Network C:\Users\Radek\AppData\Local\00000000-1476301844-0000-0000-4CCC6A653515 C:\Users\Radek\AppData\Local\app C:\Users\Radek\AppData\Local\Rukutyvition C:\Users\Radek\AppData\Local\UCBrowser C:\Users\Radek\AppData\Local\Tempfolder C:\Users\Radek\AppData\Local\Google\Chrome\User Data\Profile 1 C:\Users\Radek\AppData\Local\Google\Chrome\User Data\System Profile C:\Users\Radek\AppData\Roaming\*.* C:\Users\Radek\AppData\Roaming\AzigcWig C:\Users\Radek\AppData\Roaming\Cjotionplaratain C:\Users\Radek\AppData\Roaming\gplyra C:\Users\Radek\AppData\Roaming\Hemkajdoa C:\Users\Radek\AppData\Roaming\KuaiZip C:\Users\Radek\AppData\Roaming\Microleaves C:\Users\Radek\AppData\Roaming\Mozilla C:\Users\Radek\AppData\Roaming\NVIDIA C:\Users\Radek\AppData\Roaming\Softlink C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\KuaiZip.lnk C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Radek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YSPackage C:\Users\Radek\Desktop\AutoTime.lnk C:\Users\Radek\Desktop\żěŃą.lnk C:\Windows\system32\Drivers\bsdpf64.sys C:\Windows\system32\Drivers\bsdpr64.sys C:\Windows\system32\Drivers\KuaiZipDrive.sys C:\Windows\system32\Drivers\KuaiZipDrive2.sys C:\Windows\system32\Drivers\ucguard.sys C:\Windows\SysWOW64\findit.xml C:\Windows\SysWOW64\Number of results CMD: ipconfig /flushdns Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows *. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. * Tryb awaryjny Windows 10: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > Tryb awaryjny. 2. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Shortcut. Dołącz też plik fixlog.txt.

Usuń linię CreateRestorePoint: ze skryptu i powtórz zadania.

Prócz Tencent, jest tu problem z profilami przeglądarek (wstawione przez adware fałszywki) oraz infekcja DNS po stronie Windows (pobierany niemiecki adres IP). Do wyrzucenia też odpadki po odinstalowanych programach i różne puste skróty. Działania do przeprowadzenia: 1. Odinstaluj: Apple Software Update, Java 8 Update 45, Maxthon Cloud Browser, Obsługa programów Apple, QuickTime 7, Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables. QuickTime nie jest bezpieczny i Apple zupełnie usunęło wsparcie dla Windows: KLIK. Maxthon jest związany z aferą z prywatnością: KLIK. A te dwa ostatnie wpisy to odpadki po deinstalacji AVG. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: (Microsoft Corporation) C:\Windows\explorer.exe ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17919.214\QMGCShellExt64.dll [2016-09-25] (Tencent) Task: {4B4ACDBA-E90D-4CD4-B756-70DBBA7D43E3} - System32\Tasks\Microsoft\Windows\Multimedia\Manager => C:\Users\Andreas\AppData\Roaming\Adobe\Manager.exe Task: {93A0D3AC-8958-416C-B2FA-5D4D8AFDD3F1} - System32\Tasks\Microsoft\Windows\Multimedia\ReportSender => C:\Users\Andreas\ReportSender\ReportSender.exe MSCONFIG\startupreg: Aeria Ignite => "C:\Program Files (x86)\Aeria Games\Ignite\aeriaignite.exe" silent MSCONFIG\startupreg: Akamai NetSession Interface => "C:\Users\Andreas\AppData\Local\Akamai\netsession_win.exe" MSCONFIG\startupreg: APSDaemon => "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" MSCONFIG\startupreg: HDD Regenerator => "C:\Program Files (x86)\HDD Regenerator\Shell.exe" /1 MSCONFIG\startupreg: QuickTime Task => "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime Tcpip\..\Interfaces\{2866DB9B-8AEA-4BE5-B1AA-D81C9A3801EF}: [NameServer] 108.61.178.207,45.32.152.160 Tcpip\..\Interfaces\{C5583357-F018-4248-976E-82712DB93ABA}: [NameServer] 108.61.178.207,45.32.152.160 GroupPolicy: Ograniczenia - Chrome HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3424310977-905981195-1643685065-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-3424310977-905981195-1643685065-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-3424310977-905981195-1643685065-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f AlternateDataStreams: C:\ProgramData\Microsoft:B51K78KwGpK5R1vAWBfZ50JQlA [2460] AlternateDataStreams: C:\ProgramData\Microsoft:hrWjInlZ0odOqBZMx [550] AlternateDataStreams: C:\ProgramData\Microsoft:pqNH2aCI5PMsyQx6HqE [2068] AlternateDataStreams: C:\ProgramData\Microsoft:sChghMnNGRhLWYDHhkxyz8ab6qh [2366] C:\KRECYCLE C:\Program Files\CyberGhost 5 C:\Program Files\CyberGhost VPN C:\Program Files\FreeFixer C:\Program Files\Reason C:\Program Files (x86)\4ovgyw7i C:\Program Files (x86)\eclvab0f C:\Program Files (x86)\kingsoft C:\Program Files (x86)\Tencent C:\Program Files (x86)\UnHackMe C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\IObit C:\ProgramData\kdesk C:\ProgramData\Kingsoft C:\ProgramData\ProductData C:\ProgramData\RegRun C:\ProgramData\Tencent C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\金山毒霸 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASIO4ALL v2\ASIO4ALL v2 Off-Line Settings.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVIcodec C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cakewalk\Studio Instruments\SI-*.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Creative C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DigiDesign\Plug-Ins\FocusRite D2\Digidesign Plug-Ins Guide.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FXpansion C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iLok License Manager.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 12.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iZotope\DDLY C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iZotope\Neutron C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lightworks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mokafix Audio C:\ProgramData\Microsoft\Windows\Start Menu\Programs\reFX C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan\Release info.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SynthMaker C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TC Electronic C:\ProgramData\Microsoft\Windows\Start Menu\Programs\webplugin.exe C:\Users\Andreas\AppData\Local\{F05CE88F-EBBE-427D-97BD-F9D62CB16428} C:\Users\Andreas\AppData\Local\FreeFixer C:\Users\Andreas\AppData\Local\Kingsoft C:\Users\Andreas\AppData\Local\Redetaingrimither C:\Users\Andreas\AppData\Local\UCBrowser C:\Users\Andreas\AppData\LocalLow\IObit C:\Users\Andreas\AppData\Roaming\*.* C:\Users\Andreas\AppData\Roaming\FreeFixer C:\Users\Andreas\AppData\Roaming\IObit C:\Users\Andreas\AppData\Roaming\Kingsoft C:\Users\Andreas\AppData\Roaming\Tencent C:\Users\Andreas\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 12 (64bit).lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\KORG C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Metric Halo\Manual.lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Nomad Factory C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Overloud\TH2\Uninstall.lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Positive Grid C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steinberg HALionOne\Uninstall.lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Two Notes Audio Engineering C:\Users\Andreas\Desktop\Pulpit\FL save\FL Studio 12 (64bit).lnk C:\Users\Andreas\Desktop\Pulpit\FL save\FL Studio 12.lnk C:\Users\Andreas\Desktop\Pulpit\pul\Pulpit\CPUID CPU-Z.lnk C:\Users\Andreas\Desktop\Pulpit\pul\Pulpit\CyberGhost 5.lnk C:\Users\Andreas\Documents\MAGIX\Audio & Music Lab 2016 Premium\_Demo.LNK C:\Users\Andreas\Documents\RegRun2 C:\Users\Andreas\Favorites\GG dysk.lnk C:\Users\Andreas\Links\GG dysk.lnk C:\Windows\libeay32.dll C:\Windows\libcurl.dll C:\Windows\ssleay32.dll C:\Windows\winstart.bat C:\Windows\zlib1.dll C:\Windows\IObit C:\Windows\system32\ffnd.exe C:\Windows\SysWOW64\CONFIG.NT C:\Windows\SysWOW64\AUTOEXEC.NT CMD: ipconfig /flushdns CMD: netsh advfirewall reset Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Aracity /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Adware podstawiało fałszywe profile w przeglądarkach Google Chrome i Firefox. Google Chrome: Ustawienia > karta Ustawienia > Osoby > Dodaj nową osobę. Uruchom Chrome na tym profilu, następnie poprzedni wyświetlany jako user0 skasuj w opcjach. Firefox: Wyeksportuj zakładki, o ile jest co eksportować. Następnie zamknij Firefox. Klawisz z flagą Windows + R > wklej poniższą komendę i ENTER. W menedżerze profilów usuń wszystkie widoczne i załóż nowy, zaloguj się na niego. "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Tak, bo skrypt FRST się w ogóle nie wykonał... Proszę otwórz plik Fixlog i porównaj z moim postem. Nie wiem jakim sposobem, ale zdewastowałeś całe formatowanie skryptu (wycięte wszystkie slesze w ścieżkach i dwukropki w komendach, więc FRST nie zintepretował zawartości). Powtarzaj zadanie.

+ Pominęłeś wcześniej tę informację. To istotny fragment wskazujący, że zostały wykryte naruszenia systemu plików. Nie jest wykluczony problem z dyskiem twardym. 1. Dostarcz logi utworzone przez checkdisk. Start > Uruchom > eventvwr i w sekcji Aplikacja wyszukaj wszystkie rekordy Winlogon oznaczone numerem 1001. Na każde ze zdarzeń dwuklik, by pobrać Właściwości i przekopiuj detale zdarzenia. 2. Dostarcz też skany dysku pod kątem sprzętowym: KLIK.

Log z wyszukiwania ogromny, bo fraza "Opera" występuje także we wpisach zupełnie niepowiązanych (np. "Operational", "Operatingsystem"). Opera nie wyrejestrowała się ze skojarzeń. Akcje pod tym kątem: 1. Załaduj do FRST skrypt fixlist.txt o postaci: DeleteKey: HKLM\SOFTWARE\Classes\Opera.Extension DeleteKey: HKLM\SOFTWARE\Classes\Opera.HTML DeleteKey: HKLM\SOFTWARE\Classes\Opera.Image DeleteKey: HKLM\SOFTWARE\Classes\Opera.Protocol DeleteKey: HKLM\SOFTWARE\Classes\Opera.Widget DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{42042206-2D85-11D3-8CFF-005004838597}\Old Icon\Opera.HTML DeleteKey: HKLM\SOFTWARE\Clients\Mail\Opera DeleteKey: HKLM\SOFTWARE\Clients\News\Opera DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera DeleteKey: HKLM\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications\opera.exe DeleteKey: HKLM\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications\opera_plugin_wrapper.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Opera.exe DeleteKey: HKLM\SOFTWARE\Wow6432Node\Opera Software DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Classes\Opera.Extension DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Classes\Opera.HTML DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Classes\Opera.Image DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Classes\Opera.Protocol DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Classes\Opera.Widget DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Internet Explorer\DOMStorage\opera.com DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Internet Explorer\DOMStorage\www.opera.com DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\59a455f0_0 DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\9233d7d6_0 DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.abw\OpenWithList DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.air\OpenWithList DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.doc\OpenWithList DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.docx\OpenWithList DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\OpenWithList DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\OpenWithProgids DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\OpenWithList DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\OpenWithProgids DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jpg\OpenWithList DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk\OpenWithList DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mht\OpenWithList DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mht\OpenWithProgids DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mht\UserChoice DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mhtml\OpenWithProgids DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mhtml\UserChoice DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.rtf\OpenWithList DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtm\UserChoice DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\http\UserChoice DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\https\UserChoice DeleteKey: HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Opera Software Reg: reg delete HKLM\SOFTWARE\Classes\.bmp\OpenWithProgids /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.gif\OpenWithProgids /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.htm\OpenWithProgIDs /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Classes\.html\OpenWithProgIDs /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Classes\.jpeg\OpenWithProgids /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.jpg\OpenWithProgids /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.mht /ve /f Reg: reg delete HKLM\SOFTWARE\Classes\.mht\OpenWithProgIDs /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Classes\.mhtml /ve /f Reg: reg delete HKLM\SOFTWARE\Classes\.mhtml\OpenWithProgIDs /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Classes\.oga\OpenWithProgIDs /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.ogg\OpenWithProgIds /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.ogm\OpenWithProgIDs /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.ogv\OpenWithProgIDs /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.png\OpenWithProgids /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.torrent\OpenWithProgIDs /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Classes\.webm\OpenWithProgIDs /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.xbm\OpenWithProgIDs /v Opera.Image /f Reg: reg delete HKLM\SOFTWARE\Classes\.xht\OpenWithProgIDs /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Classes\.xhtm /ve /f Reg: reg delete HKLM\SOFTWARE\Classes\.xhtm\OpenWithProgIDs /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Classes\.xhtml\OpenWithProgIDs /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Classes\.xml\OpenWithProgids /v Opera.HTML /f Reg: reg delete HKLM\SOFTWARE\Clients\Mail /ve /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\RegisteredApplications /v "Opera Internet Browser" /f Reg: reg delete HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Clients\StartmenuInternet /ve /f Reg: reg delete "HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\Opera\Opera.exe" /f Reg: reg delete "HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "C:\Users\user\Desktop\Opera_1101_int_Setup.exe" /f 2. Następnie ustaw wybraną inną przeglądarkę jako domyślną.

Notatnik zawsze jest ustawiony na domyślny zapis w ANSI, co nie ma znaczenia dla tego jak logi produkuje FRST. FRST tworzy pliki na dysku w kodowaniu UTF-8 i taki format kodowania powinien być zachowany, niezależnie czy sobie kopiujesz pliki między folderami. Ja pytam czy plik otwierałeś ręcznie, przeklejałeś treść i ponownie zapisywałeś do nowego pliku (wtedy domyślne ANSI Notatnika owszem ma znaczenie). A pytam stąd, że już po raz trzeci widzę tu na forum jeden z logów FRST wytworzony ze złym kodowaniem i jeśli logi nie były manipulowane ręcznie, jest jakiś problem z FRST.

Temat przenoszę do działu Windows, brak oznak infekcji. Pobierałeś lewy skaner Reimage, z daleka od tego dziadostwa, to program wątpliwej reputacji często instalowany metodami "PUP". (Microsoft Corporation) C:\Windows\System32\dllhost.exe Podobny temat: KLIK. Proces dllhost.exe (COM Surrogate) to proces systemowy związany m.in. z renderowaniem miniatur w eksploratorze i jego okresowa obecność w procesach jest normalna. Na jego obecność mogą wpływać zainstalowane programy zewnętrzne manipulujące w skojarzeniach plików czy kodekach. I posiadasz conajmniej dwa programy mające wpływ na tę sferę, czyli Adobe Photoshop CC 2015 i Camtasia Studio 8. Wątek infekcji "COM Surrogate" bierze się stąd, że użytkownicy kompletnie nie rozumieją o co chodzi z tą infekcją i przypisują jej również obecność poprawnych wystąpień procesu. Rzecz z infekcją polegała na tym, że była tworzona w systemie alternatywna szkodliwa klasa miniatur w HKCU kierująca na plik infekcji, przebijającą tę poprawną klasę w HKLM, i skutkująca tworzeniem szkodliwych instancji procesu dllhost (na systemie 64-bit były to 32-bitowe wystąpienia z SysWOW64 a nie 64-bitowe z system32). W Twoich raportach zero oznak tej infekcji, nie ma w Addition (CustomCLSID) takiego wpisu. Windows Phone app for desktop (HKLM-x32\...\{99759E36-8961-43DC-A7E6-4601D6AEF166}) (Version: 1.1.2726.0 - Microsoft Corporation) Jaki widzisz błąd? Spróbuj usunąć dane instalacyjne programu za pomocą Program Install and Uninstall Troubleshooter. PS. W spoilerze do wykonania tylko kosmetyczne działania polegające na usunięciu wpisów pustych (po aktualizacji z Windows 7 do Windows 10 i jakieś inne drobnostki).

Czy ten pierwszy Fixlog z Administratora to był oryginalny plik utworzony przez FRST na dysku i jego zawartość nie była zapisywana ponownie ręcznie przez Ciebie? Plik ma złe kodowanie (ANSI) i uszkodzone polskie fonty... 1. Będąc na Administratorze przez SHIFT+DEL (omija Kosz) skasuj z dysku poniższe foldery: C:\FRST C:\Program Files\MyFree Codec C:\Users\Administrator\AppData\Local\WSHelper ... oraz po kolei z Pulpitów obu kont narzędzia logów i ich logi. 2. Również z poziomu Administratora wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Podobne instrukcje z wyłączaniem Wi-fi tutaj: KLIK. A tu inne instrukcje: KLIK. Ale pytaniem jest czy na Androidzie obecnie występują jakieś przekierowania? AdwCleaner nie jest zbyt mądry i szuka wg określonych wzorów nazw, nie skanuje obiektów tak jak antywirus. Ten folder "KW" oraz plik DOC to fałszywe alarmy, reszta natomiast to elementy odpadkowe po instalacjach adware. Wyklucz te dwa ścieżki z usuwania, a następnie zastosuj sekwencję Skanuj + Oczyść. Upewnij się, że z dysku zniknęły te foldery: C:\Program Files (x86)\Opera C:\ProgramData\Opera C:\Users\user\AppData\Local\Opera C:\Users\user\AppData\Roaming\Opera Dodatkowo uruchom FRST, w polu Szukaj (Search) wpisz słowo Opera i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt, o ile będą jakieś wyniki. Na pewno bez związku z czyszczeniem. Jeśli mamy podejrzewać software, to najbardziej rzuca się w oczy instalacja Kasperskiego. W Dzienniku zdarzeń są też takie niesprecyzowane błędy, trudno mi ustalić powód zawieszeń IE: Dziennik Aplikacja: ================== Error: (10/07/2016 04:51:26 PM) (Source: Application Hang) (EventID: 1002) (User: ) Description: Program IEXPLORE.EXE w wersji 11.0.9600.18450 zatrzymał interakcję z systemem Windows i został zamknięty. Aby zobaczyć, czy jest dostępnych więcej informacji dotyczących tego problemu, sprawdź historię problemu w panelu sterowania Centrum akcji. Identyfikator procesu: 980 Godzina rozpoczęcia: 01d220a96d160abb Godzina zakończenia: 255 Ścieżka aplikacji: C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE Identyfikator raportu: 799c785d-8c9d-11e6-8c1b-18f46af68560 Error: (10/06/2016 11:38:05 AM) (Source: Customer Experience Improvement Program) (EventID: 1008) (User: ) Description: Z powodu wystąpienia problemu dane Programu poprawy jakości obsługi klienta nie zostały wysłane do firmy Microsoft. (Błąd 80004005).

Skasuj zdysku plik C:\delfix.txt. To wszystko. Temat zamykam. Jeśli pojawi się jakaś nowa informacja w kwestii zakodowanych plików, zgłoszę się tu.

Nitmanie, to na koniec wyczyść foldery Przywracania systemu. Instrukcje pod tym samym linkiem co DelFix.

Skrypt FRST pomyślnie wykonany. 1. Skorzystaj z aplikacji DelFix. 2. Na wszelki wypadek zrób jeszcze skan Hitman Pro. Jeśli coś znajdzie, dostarcz log. Nie, to nie ten rodzaj infekcji. W systemie były modyfikacje z grupy adware/PUP, a nie robaki czy wirusy zdolne "przerzucać się" po dyskach.

1. Dane Chrome pomyślnie odzyskane, więc przez SHIFT+DEL (omija Kosz) możesz skasować w całości z dysku ten folder: C:\Users\Zbigniew ...\AppData\Local\Google\Chrome\User Data\Default 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Lista programów zawierająca m.in aplikacje zabezpieczające przed infekcjami szyfrującymi dane: KLIK. I pozostaje czekać co przyniesie przyszłość w kwestii zakodowanych plików.

Czy zgłaszane problemy ustąpiły? Wszystko pomyślnie wykonane. Ale niestety w międzyczasie infekcja zaszyta we WMI (usuwana skryptem FRST) zdążyła zmodyfikować skróty przeglądarek doklejając do nich start strony 9o0gle.com. Poprawki: Otwórz Notatnik i wklej w nim: ShortcutWithArgument: C:\Users\F1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\F1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://9o0gle.com/ ShortcutWithArgument: C:\Users\F1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\F1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://9o0gle.com/ ShortcutWithArgument: C:\Users\F1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://9o0gle.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\F1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://9o0gle.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://9o0gle.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\F1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://9o0gle.com/ ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku U0 aswVmm; Brak ImagePath DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyHunter4_is1 RemoveDirectory: C:\26VWT6kuDk4XZLQl RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4 StartBatch: del /q C:\Users\F1\AppData\Roaming\Adobe-GB1-1 del /q C:\Users\F1\Desktop\SpyHunter*.* del /q C:\WINDOWS\system32\chtbrkg.dll del /q C:\WINDOWS\SysWOW64\chtbrkg.dll del /q C:\WINDOWS\SysWOW64\sh4native.exe EndBatch: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Kodowanie UTF-8 nie jest w tym przypadku wymagane. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

Działania do przeprowadzenia: 1. Deinstalacje niepożądanych programów: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj skaner-naciągacz SpyHunter4 wersja 4.21.10.4585. Następnie, niezależnie od tego czy deinstalacja się powiedzie, zastosuj narzędzie SpyHunterCleaner. - Z prawokliku na plik C:\Program Files (x86)\LuDaShi\uninst.exe wybierz Uruchom jako administrator. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: type C:\Users\F1\AppData\Roaming\Mozilla\Firefox\profiles.ini WMI_ActiveScriptEventConsumer_ASEC: R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) R2 WebServe; C:\Program Files (x86)\YouKu\YoukuClient\WebServe.exe [370224 2015-12-08] (TODO: ) S3 WinDivert1.1; C:\ProgramData\KMSAuto\bin\driver\x64WDV\WinDivert.sys [35376 2013-12-03] (Basil Projects) Task: {D47065B1-E37B-4679-9592-21537E3097FA} - System32\Tasks\Qaferty Mapper => C:\Program Files (x86)\Ponetherhzertain\terbopy.exe [2016-10-09] (VideoLAN) Task: {E7B0141A-1F7D-41BD-B40A-AE2A98C36129} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-08-02] (UCWeb Inc) Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe IE trusted site: HKU\S-1-5-21-3954227706-1016283541-2954051212-1001\...\amazon.com -> hxxps://amazon.com ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => Brak pliku ShellIconOverlayIdentifiers: [KzShlobj2] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F3} => Brak pliku FirewallRules: [{98AAFED2-738C-477A-BE24-F27FCDF57C6F}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\Downloader\download\MiniThunderPlatform.exe FirewallRules: [{C5013C34-DE0D-45C5-BD7A-CDF4CBEF96A1}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{BC9B0D58-0D1C-48F0-96C3-E115378887B2}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{A4326DC8-9674-423D-AC8F-BA321CC9738D}] => (Allow) C:\Program Files (x86)\LuDaShi\Utils\mininews.exe FirewallRules: [{4E8ABDC9-CBEE-4F17-8348-6CD78CE8FFEB}] => (Allow) C:\Program Files (x86)\LuDaShi\Utils\mininews.exe FirewallRules: [{081F5245-6CFA-4046-86D6-62700DACE1D8}] => (Allow) C:\Program Files (x86)\GreatMaker\MaohaWiFi\DrvUpdate.exe FirewallRules: [{17A6193D-D68E-4855-A14D-EE0DA81535C0}] => (Allow) C:\Program Files (x86)\LuDaShi\ComputerZTray.exe FirewallRules: [{710CC3C5-2991-4848-B81A-E837577D52F7}] => (Allow) C:\Program Files (x86)\LuDaShi\ComputerZTray.exe FirewallRules: [{30E5A3FA-3158-4156-B8AF-F5215D6D49F4}] => (Allow) C:\Users\F1\AppData\Local\Temp\00019128\inst_buychannel_37.exe FirewallRules: [{3E96E715-97DA-4C0F-B19D-191FACEBCF3C}] => (Allow) C:\Users\F1\AppData\Local\Temp\00019128\inst_buychannel_37.exe FirewallRules: [{2BB9CD84-8163-4E02-B19A-F8B5B82FC114}] => (Allow) C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe FirewallRules: [{F3E64768-22CF-4C65-BCF1-A166908B5D69}] => (Allow) C:\Users\F1\AppData\Local\Temp\is-6N9BM.tmp\download\MiniThunderPlatform.exe C:\Program Files (x86)\Amazon C:\Program Files (x86)\LuDaShi C:\Program Files (x86)\Ponetherhzertain C:\Program Files (x86)\UCBrowser C:\Program Files (x86)\YouKu C:\ProgramData\KMSAuto C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师 C:\TOSTACK C:\Users\F1\AppData\Local\{C8056D7B-0ACB-41ED-B934-B496BA0D38BF} C:\Users\F1\AppData\Local\BITE808.tmp C:\Users\F1\AppData\Local\Anulert C:\Users\F1\AppData\Local\Ixbdsoft C:\Users\F1\AppData\Local\svchost C:\Users\F1\AppData\Local\Tempfolder C:\Users\F1\AppData\Local\UCBrowser C:\Users\F1\AppData\Local\YRSPack C:\Users\F1\AppData\Local\Google\Chrome\User Data\ChromeDefaultData C:\Users\F1\AppData\Local\Google\Chrome\User Data\Profile 1 C:\Users\F1\AppData\Local\Google\Chrome\User Data\Profile 2 C:\Users\F1\AppData\Roaming\*.* C:\Users\F1\AppData\Roaming\Anaderviole C:\Users\F1\AppData\Roaming\Hemkajdoa C:\Users\F1\AppData\Roaming\Introvert.R C:\Users\F1\AppData\Roaming\youku C:\Users\F1\AppData\Roaming\ytmediacenter C:\Users\F1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\F1\AppData\Roaming\Mozilla\Firefox\naweriweentcofise C:\Users\F1\Downloads\Registry_Activation C:\WINDOWS\10 C:\WINDOWS\system32\Drivers\ucguard.sys C:\WINDOWS\system32\mars Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny * konieczny, by ubić sterownik UCGuard. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. * Tryb awaryjny Windows 10: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > Tryb awaryjny. 3. Adware podstawiało fałszywe profile w przeglądarkach Google Chrome i Firefox. W Google Chrome już zrobiłeś nowy profil, został problem w Firefox. Wyeksportuj zakładki, o ile jest co eksportować. Następnie zamknij Firefox. Klawisz z flagą Windows + R > wklej poniższą komendę i ENTER. W menedżerze profilów usuń wszystkie widoczne i załóż nowy, zaloguj się na niego. "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Na koniec zastosuj DelFix, następnie wyczyść foldery Przywracania systemu: KLIK.