picasso

Skrypt FRST pomyślnie wykonany. 1. Skorzystaj z aplikacji DelFix. 2. Na wszelki wypadek zrób jeszcze skan Hitman Pro. Jeśli coś znajdzie, dostarcz log. Nie, to nie ten rodzaj infekcji. W systemie były modyfikacje z grupy adware/PUP, a nie robaki czy wirusy zdolne "przerzucać się" po dyskach.

1. Dane Chrome pomyślnie odzyskane, więc przez SHIFT+DEL (omija Kosz) możesz skasować w całości z dysku ten folder: C:\Users\Zbigniew ...\AppData\Local\Google\Chrome\User Data\Default 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Lista programów zawierająca m.in aplikacje zabezpieczające przed infekcjami szyfrującymi dane: KLIK. I pozostaje czekać co przyniesie przyszłość w kwestii zakodowanych plików.

Czy zgłaszane problemy ustąpiły? Wszystko pomyślnie wykonane. Ale niestety w międzyczasie infekcja zaszyta we WMI (usuwana skryptem FRST) zdążyła zmodyfikować skróty przeglądarek doklejając do nich start strony 9o0gle.com. Poprawki: Otwórz Notatnik i wklej w nim: ShortcutWithArgument: C:\Users\F1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\F1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://9o0gle.com/ ShortcutWithArgument: C:\Users\F1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\F1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://9o0gle.com/ ShortcutWithArgument: C:\Users\F1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://9o0gle.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\F1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://9o0gle.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://9o0gle.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\F1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://9o0gle.com/ ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku U0 aswVmm; Brak ImagePath DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyHunter4_is1 RemoveDirectory: C:\26VWT6kuDk4XZLQl RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4 StartBatch: del /q C:\Users\F1\AppData\Roaming\Adobe-GB1-1 del /q C:\Users\F1\Desktop\SpyHunter*.* del /q C:\WINDOWS\system32\chtbrkg.dll del /q C:\WINDOWS\SysWOW64\chtbrkg.dll del /q C:\WINDOWS\SysWOW64\sh4native.exe EndBatch: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Kodowanie UTF-8 nie jest w tym przypadku wymagane. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

Działania do przeprowadzenia: 1. Deinstalacje niepożądanych programów: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj skaner-naciągacz SpyHunter4 wersja 4.21.10.4585. Następnie, niezależnie od tego czy deinstalacja się powiedzie, zastosuj narzędzie SpyHunterCleaner. - Z prawokliku na plik C:\Program Files (x86)\LuDaShi\uninst.exe wybierz Uruchom jako administrator. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: type C:\Users\F1\AppData\Roaming\Mozilla\Firefox\profiles.ini WMI_ActiveScriptEventConsumer_ASEC: R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) R2 WebServe; C:\Program Files (x86)\YouKu\YoukuClient\WebServe.exe [370224 2015-12-08] (TODO: ) S3 WinDivert1.1; C:\ProgramData\KMSAuto\bin\driver\x64WDV\WinDivert.sys [35376 2013-12-03] (Basil Projects) Task: {D47065B1-E37B-4679-9592-21537E3097FA} - System32\Tasks\Qaferty Mapper => C:\Program Files (x86)\Ponetherhzertain\terbopy.exe [2016-10-09] (VideoLAN) Task: {E7B0141A-1F7D-41BD-B40A-AE2A98C36129} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2016-08-02] (UCWeb Inc) Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe IE trusted site: HKU\S-1-5-21-3954227706-1016283541-2954051212-1001\...\amazon.com -> hxxps://amazon.com ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => Brak pliku ShellIconOverlayIdentifiers: [KzShlobj2] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F3} => Brak pliku FirewallRules: [{98AAFED2-738C-477A-BE24-F27FCDF57C6F}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\Downloader\download\MiniThunderPlatform.exe FirewallRules: [{C5013C34-DE0D-45C5-BD7A-CDF4CBEF96A1}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{BC9B0D58-0D1C-48F0-96C3-E115378887B2}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{A4326DC8-9674-423D-AC8F-BA321CC9738D}] => (Allow) C:\Program Files (x86)\LuDaShi\Utils\mininews.exe FirewallRules: [{4E8ABDC9-CBEE-4F17-8348-6CD78CE8FFEB}] => (Allow) C:\Program Files (x86)\LuDaShi\Utils\mininews.exe FirewallRules: [{081F5245-6CFA-4046-86D6-62700DACE1D8}] => (Allow) C:\Program Files (x86)\GreatMaker\MaohaWiFi\DrvUpdate.exe FirewallRules: [{17A6193D-D68E-4855-A14D-EE0DA81535C0}] => (Allow) C:\Program Files (x86)\LuDaShi\ComputerZTray.exe FirewallRules: [{710CC3C5-2991-4848-B81A-E837577D52F7}] => (Allow) C:\Program Files (x86)\LuDaShi\ComputerZTray.exe FirewallRules: [{30E5A3FA-3158-4156-B8AF-F5215D6D49F4}] => (Allow) C:\Users\F1\AppData\Local\Temp\00019128\inst_buychannel_37.exe FirewallRules: [{3E96E715-97DA-4C0F-B19D-191FACEBCF3C}] => (Allow) C:\Users\F1\AppData\Local\Temp\00019128\inst_buychannel_37.exe FirewallRules: [{2BB9CD84-8163-4E02-B19A-F8B5B82FC114}] => (Allow) C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe FirewallRules: [{F3E64768-22CF-4C65-BCF1-A166908B5D69}] => (Allow) C:\Users\F1\AppData\Local\Temp\is-6N9BM.tmp\download\MiniThunderPlatform.exe C:\Program Files (x86)\Amazon C:\Program Files (x86)\LuDaShi C:\Program Files (x86)\Ponetherhzertain C:\Program Files (x86)\UCBrowser C:\Program Files (x86)\YouKu C:\ProgramData\KMSAuto C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师 C:\TOSTACK C:\Users\F1\AppData\Local\{C8056D7B-0ACB-41ED-B934-B496BA0D38BF} C:\Users\F1\AppData\Local\BITE808.tmp C:\Users\F1\AppData\Local\Anulert C:\Users\F1\AppData\Local\Ixbdsoft C:\Users\F1\AppData\Local\svchost C:\Users\F1\AppData\Local\Tempfolder C:\Users\F1\AppData\Local\UCBrowser C:\Users\F1\AppData\Local\YRSPack C:\Users\F1\AppData\Local\Google\Chrome\User Data\ChromeDefaultData C:\Users\F1\AppData\Local\Google\Chrome\User Data\Profile 1 C:\Users\F1\AppData\Local\Google\Chrome\User Data\Profile 2 C:\Users\F1\AppData\Roaming\*.* C:\Users\F1\AppData\Roaming\Anaderviole C:\Users\F1\AppData\Roaming\Hemkajdoa C:\Users\F1\AppData\Roaming\Introvert.R C:\Users\F1\AppData\Roaming\youku C:\Users\F1\AppData\Roaming\ytmediacenter C:\Users\F1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\F1\AppData\Roaming\Mozilla\Firefox\naweriweentcofise C:\Users\F1\Downloads\Registry_Activation C:\WINDOWS\10 C:\WINDOWS\system32\Drivers\ucguard.sys C:\WINDOWS\system32\mars Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny * konieczny, by ubić sterownik UCGuard. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. * Tryb awaryjny Windows 10: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > Tryb awaryjny. 3. Adware podstawiało fałszywe profile w przeglądarkach Google Chrome i Firefox. W Google Chrome już zrobiłeś nowy profil, został problem w Firefox. Wyeksportuj zakładki, o ile jest co eksportować. Następnie zamknij Firefox. Klawisz z flagą Windows + R > wklej poniższą komendę i ENTER. W menedżerze profilów usuń wszystkie widoczne i załóż nowy, zaloguj się na niego. "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Na koniec zastosuj DelFix, następnie wyczyść foldery Przywracania systemu: KLIK.

Przywracanie systemu nie jest powiązane z warstwą sprzętową dysku, jeśli do tego zmierzasz. I skonkretyzuj "te same skutki", tzn. masz na myśli, że Przywracanie się nie może wykonać, czy też że po wykonaniu go wada dźwięku nadal występuje? Druga sprawa, odpowiedz konkretnie na pytanie jakie są skutki tej akcji: Czyli czy po deinstalacji wszystkich urządzeń oznaczonych jako wadliwe i po restarcie systemu te same urządzenia wracają na listę jako wadliwe? PS. I proszę nie pisać posta pod postem, gdy nikt jeszcze nie odpisał. Jeśli chcesz uzupełnić wypowiedź, stosuj przycisk Edytuj. Sklejam tu ponownie serię postów nabitych w ciągu.

AdwCleaner nie ma związku z problemem z dźwiękiem, nie ta sfera modyfikacji, a w logu AdwCleaner tylko szczątki adware (nawet nieaktywne). Tak swoją drogą to część tych wyników adresował mój skrypt do FRST ze spoilera, którego nie wykonałeś (brak Fixlog.txt). Co się stało około 5 października, gdy to jakoby jeszcze wszystko działało, jest nie do odgadnięcia z raportów. Czy próbowałeś tych punktów Przywracania z poziomu Trybu awaryjnego: 02-10-2016 21:08:16 Punkt kontrolny systemu 04-10-2016 15:02:34 Punkt kontrolny systemu 05-10-2016 15:38:56 Punkt kontrolny systemu ?

Czy objawy ustąpiły? Deinstalacje usunęły większość komponentów, ostało się tylko jedno puste zadanie po tym delikwencie. Przy okazji do usunięcia inne odpadkowe wpisy. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {1CB5C78C-6DF7-4DF6-ACDE-58EAA42B40F3} - System32\Tasks\{53C0B913-96CC-4ED0-84A7-D12BB057E4F7} => pcalua.exe -a D:\Gry\DiRT\showdown.exe -d D:\Gry\DiRT Task: {669473A7-869C-42DB-95CC-6A50DC7E344A} - System32\Tasks\{1E14F6D5-1CD1-431B-B1A8-11A0A4C06D51} => pcalua.exe -a "D:\Gry\Skyrim - Legendary Edition\SkyrimLauncher.exe" -d "D:\Gry\Skyrim - Legendary Edition" Task: {AC6C45CE-5153-4094-9761-C60DC65A3782} - System32\Tasks\{840FA118-F27D-4D26-AE8A-1CDB468F45CA} => pcalua.exe -a "D:\Gry\Battlefield 3\zbf3Sp.exe" -d "D:\Gry\Battlefield 3" Task: {E08426CA-2860-4387-AA70-BBB898D8EFE8} - System32\Tasks\ACC => C:\Program Files\DriverSetupUtility\FUB\FUB_Send.bat <==== UWAGA HKU\S-1-5-21-777929965-1544455550-2214287231-1004\...\StartupApproved\Run: => "DAEMON Tools Lite Automount" R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Popcorn Time C:\ProgramData\SlimWare Utilities, Inc C:\ProgramData\updater2 C:\ProgramData\Microsoft\Windows\GameExplorer\{E0A32336-AA27-4053-99B2-C3380B7B95AC} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Warships C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks C:\Users\Administrator\AppData\Roaming\DAEMON Tools Lite C:\Users\MSI\AppData\Local\SlimWare Utilities Inc C:\Users\MSI\AppData\Local\Microsoft\Windows\GameExplorer\{E0A32336-AA27-4053-99B2-C3380B7B95AC} C:\Users\MSI\Desktop\Dashboard 2 — skrót .lnk C:\Users\MSI\Downloads\SlimDrivers-setup.exe Folder: C:\Users\Public\Documents\Downloaded Installers EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST zbędne. 2. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. To wszystko.

Może antywirus blokuje pełne Przywracanie. Spróbuj je wywołać z poziomu Trybu awaryjnego Windows. A jeśli i to nie pomoże, to można spróbować nieco nowszych między 30 września a 5 października: 07-09-2016 20:27:10 Punkt kontrolny systemu 09-09-2016 19:19:47 Punkt kontrolny systemu 11-09-2016 12:45:08 Punkt kontrolny systemu 11-09-2016 16:22:19 Installed Windows Media Format 9 Series Runtime Setup 11-09-2016 16:43:16 Installed Windows Media Format 9 Series Runtime Setup 11-09-2016 17:17:10 Installed Windows Media Format 9 Series Runtime Setup 11-09-2016 17:17:35 Zainstalowane Juiced 13-09-2016 13:47:25 Punkt kontrolny systemu 14-09-2016 15:10:09 Punkt kontrolny systemu 15-09-2016 15:18:33 Punkt kontrolny systemu 16-09-2016 21:47:29 Punkt kontrolny systemu 18-09-2016 10:57:36 Punkt kontrolny systemu 19-09-2016 21:04:08 Punkt kontrolny systemu 21-09-2016 10:34:05 Punkt kontrolny systemu 22-09-2016 14:13:12 Punkt kontrolny systemu 23-09-2016 14:34:19 Punkt kontrolny systemu 24-09-2016 14:55:43 Punkt kontrolny systemu 26-09-2016 10:23:06 Punkt kontrolny systemu 28-09-2016 13:40:26 Punkt kontrolny systemu 30-09-2016 10:30:27 Punkt kontrolny systemu 02-10-2016 21:08:16 Punkt kontrolny systemu 04-10-2016 15:02:34 Punkt kontrolny systemu 05-10-2016 15:38:56 Punkt kontrolny systemu 06-10-2016 17:20:47 Zainstalowane Realtek AC'97 Audio 06-10-2016 22:23:53 Zainstalowane Realtek AC'97 Audio 08-10-2016 09:34:56 Zainstalowane Realtek AC'97 Audio 08-10-2016 09:56:49 Zainstalowane Realtek AC'97 Audio 08-10-2016 10:06:57 Usunięte Realtek AC'97 Audio 08-10-2016 10:11:33 Zainstalowane Realtek AC'97 Audio 08-10-2016 11:08:07 Zainstalowane Realtek AC'97 Audio 08-10-2016 11:10:32 Zainstalowane Realtek AC'97 Audio 08-10-2016 17:22:40 Usunięte Realtek AC'97 Audio 08-10-2016 17:34:08 Zainstalowane Realtek AC'97 Audio 08-10-2016 17:50:31 Zainstalowane Realtek AC'97 Audio 08-10-2016 17:58:44 Zainstalowane Realtek AC'97 Audio To ledwie podstawy... SP3 to okropnie stara aktualizacja z 2008, należy uzupełnić także wszelkie inne krytyczne wydane po SP3, a jest tego ogromna ilość. I instalacja IE8 też ma duże znaczenie, pomimo że nie korzystasz z tej przeglądarki - to silnik używany też przez aplikacje zewnętrzne. I nie ma co ukrywać, XP to archaiczna platforma pozbawiona wsparcia i nawet doładowanie wszystkich możliwych łat nie gwarantuje pełnego bezpieczeństwa.

Fix wykonany. Jeśli chodzi o odtworzenie wszystkich zakładek, to możesz spróbować tej operacji: Zamknij Google Chrome. Przekopiuj plik Bookmarks z folderu: C:\Users\Zbigniew ...\AppData\Local\Google\Chrome\User Data\Default do: C:\Users\Zbigniew ...\AppData\Local\Google\Chrome\User Data\Profile 1 Uruchom Google Chrome i sprawdź czy wszystkie poprzednie zakładki są na miejscu.

Ta operacja wymaga silnej ingerencji w urządzenie (flash romu): How to root your Android phone or tablet. I tutaj brak oznak infekcji, do czyszczenia tylko wpisy odpadkowe (szczątki adware, Nortona i inne). 1. Odinstaluj: Adobe AIR, Adobe Flash Player 23 NPAPI, Opera 12.16. NPAPI to wersja dla nieobecnego Firefoxa oraz starej deinstalowanej Opera. Używanie tej linii Opera nie jest do końca bezpieczne (jeśli założymy że domontujesz aktualizację 12.18), a przeglądarka nie jest już aktualizowana i pewne strony mogą się w niej źle wyświetlać. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.certified-toolbar.com?si=41460&tid=592&bs=true&q= HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.certified-toolbar.com?si=41460&tid=592&bs=true&q= HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.certified-toolbar.com?si=41460&tid=592&bs=true&q= HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Internet Explorer\Main,Start Default_Page_URL = hxxp://search.certified-toolbar.com?si=41460&home=true&tid=592 HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.certified-toolbar.com?si=41460&tid=592&bs=true&q= HKU\S-1-5-21-3145329596-257967906-3285628945-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.certified-toolbar.com?si=41460&tid=592&bs=true&q= SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search.certified-toolbar.com?si=41460&bs=true&tid=592&q={searchTerms} SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.certified-toolbar.com?si=41460&bs=true&tid=592&q={searchTerms} SearchScopes: HKU\S-1-5-21-3145329596-257967906-3285628945-1000 -> {0DE0E08F-9025-47E0-8F9F-96CE03474563} URL = hxxp://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=%5EBBE%5EOSJ000%5EYY%5EPL&gct=&itbv=12.15.5.30&apn_uid=684723C3-52F6-4B30-97E3-850AADA54A3C&apn_ptnrs=BBE&apn_dtid=%5EOSJ000%5EYY%5EPL&apn_dbr=Opera.exe_0_12.16.1860.0&doi=2014-08-06&trgb=IE&q={searchTerms}&psv=&pt=tb SearchScopes: HKU\S-1-5-21-3145329596-257967906-3285628945-1000 -> {323D2A06-52E7-4480-870F-EED37249B1FC} URL = hxxp://search.certified-toolbar.com?si=41460&bs=true&tid=592&q={searchTerms} SearchScopes: HKU\S-1-5-21-3145329596-257967906-3285628945-1000 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.certified-toolbar.com?si=41460&bs=true&tid=592&q={searchTerms} BHO-x32: Norton Vulnerability Protection -> {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -> C:\Program Files (x86)\Norton AntiVirus\Engine\21.7.0.11\IPS\IPSBHO.DLL => Brak pliku Toolbar: HKU\S-1-5-21-3145329596-257967906-3285628945-1000 -> Brak nazwy - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - Brak pliku DPF: HKLM-x32 {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab HKLM-x32\...\Run: [VeriFaceManager] => C:\Program Files (x86)\Lenovo\VeriFace\PManage.exe U3 BcmSqlStartupSvc; Brak ImagePath U3 IGRS; Brak ImagePath U2 IviRegMgr; Brak ImagePath U2 ReadyComm.DirectRouter; Brak ImagePath U2 RichVideo; Brak ImagePath U3 SQLWriter; Brak ImagePath Task: {178C395B-B94D-4502-AD13-07244D127652} - System32\Tasks\{DBB2E5B5-F293-495D-887D-E74F45E4044C} => pcalua.exe -a C:\Users\user\Desktop\dotnetfx35.exe -d C:\Users\user\Desktop Task: {1AE7EB37-D2F1-479C-AF16-0D85C2344431} - System32\Tasks\{8AC1F6C1-BD87-4B1A-AB8E-E616841EE9B8} => pcalua.exe -a "C:\Program Files (x86)\OrangeBS\BEWInternet-PL-IEW\Installation\Core\InstallDevice32.exe" -d "C:\Program Files (x86)\OrangeBS\BEWInternet-PL-IEW\Installation\Core" Task: {3F55013D-9249-4466-85FD-733C48C05234} - System32\Tasks\{3B99082A-7D8E-447E-91CF-9F816B1EEA98} => pcalua.exe -a "C:\Program Files (x86)\OrangeBS\BEWInternet-PL-IEW\Installation\Core\InstallDriver32.exe" -d "C:\Program Files (x86)\OrangeBS\BEWInternet-PL-IEW\Installation\Core" Task: {487E5DC6-DF37-42E1-84C9-3EDD23EB1D88} - System32\Tasks\{147037E9-CE49-445E-9417-B4D97A35D407} => pcalua.exe -a C:\Users\user\Desktop\dotnetfx3_x64.exe -d C:\Users\user\Desktop Task: {5D085C00-D65C-4ACC-AB5A-EEB5E5DB10BE} - System32\Tasks\{E55E0102-E500-42B2-8D48-AE62A3D1C430} => F:\START.EXE Task: {68BD3016-9AEF-43F7-AD91-1A9D2D7DD06C} - System32\Tasks\{225DAC57-DB66-4309-A79D-2450284E8CB8} => F:\START.EXE Task: {95C6E1D9-39A1-4418-86B1-CCAB2A2E7436} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.7.11.42\SymErr.exe Task: {A02FA2FB-9AE2-4A2A-B320-D4A49F36CE03} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.7.11.42\SymErr.exe Task: {B8C727DC-DFEC-4784-8159-EEAF537FF462} - System32\Tasks\{69B3C772-91D1-408B-A9D4-EA2E8A94A401} => F:\START.EXE Task: {C23AC03A-4FBD-4CEE-A0DB-789174550095} - System32\Tasks\{9CBAC203-752C-4C38-B338-64DF0DDDC8E3} => F:\START.EXE Task: {F8286C6C-08E6-492F-9B27-A4D63A4FA6DB} - System32\Tasks\{425CC9A1-3175-4445-B51A-6A0B409983C5} => pcalua.exe -a C:\Users\user\Desktop\NDP35SP1-KB958484-x64.exe -d C:\Users\user\Desktop Task: {FE6C12F7-6C92-455D-9329-0D360E6CA2F3} - System32\Tasks\{6F4EDADF-545A-41F7-8844-1F4CF739EB3D} => pcalua.exe -a "C:\Users\user\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9GE78CXN\digitaleditions1x7x1.exe" -d C:\Users\user\Desktop DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Internet Explorer\AboutURLs DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Search DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchURI DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs DeleteKey: HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main DeleteKey: HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI DeleteKey: HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Identity Safe DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: ipconfig /flushdns CMD: netsh advfirewall reset C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Orange\Pomoc.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mała Księgowość Rzeczpospolitej\Struktury danych osobowych.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ewidencja Środków Trwałych Rzeczpospolitej\Internetowa strona poświęcona programowi.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ewidencja Środków Trwałych Rzeczpospolitej\Rzeczpospolita OnLine.lnk C:\Users\user\Documents\Czaban.doc.lnk C:\Users\user\Documents\EWIDENCJA ŚRODKÓW TRWAŁYCH.LNK C:\Users\user\Documents\lex134.LNK C:\Users\user\Documents\*Skrót do *.lnk C:\Users\user\Documents\WD Domańska.lnk C:\Users\user\Documents\zagierska\Skrót do lex20.lnk C:\Users\user\Documents\OIRP Białystok\opinia o aplikancie.lnk C:\Users\user\Links\Importowane obrazy i wideo.lnk C:\Windows\System32\Tasks\Norton Identity Safe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzene. 3. Uruchom AdwCleaner i dostarcz log z opcji Szukaj.

Brak oznak infekcji. Tylko drobne działania pod kątem wpisów odpadkowych: 1. Spróbuj usunąć Search App by Ask przy udziale Program Install and Uninstall Troubleshooter. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 InstallerService; C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe [X] DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox\Extensions C:\ProgramData\AVAST Software C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Podatnik.info\PIT pro 2014\PIT pro 2014.lnk C:\Users\user\AppData\Local\{9B51FEE5-98DF-49CE-AA34-EC3E8F76E774} C:\Users\user\AppData\Local\{9D4E1756-8227-4E35-9B95-EAF3F0153536} C:\Users\user\AppData\Local\{AF299CD6-4E45-4651-8209-158B54C7DD13} C:\Users\user\Desktop\filmy 2016\PC Scan & Repair by Reimage.lnk C:\Users\user\Desktop\Praca magisterska\Mgr\ug mgr\zadanie - zarz. strategiczne Eko Dolina 10.01.2015.lnk C:\Users\user\Downloads\ReimageRepair.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Wszystko zrobione. 1. Na Windows 7 skasuj z dysku plik C:\delfix.txt. To wszystko. 2. Na XP drobne poprawki na puste wpisy. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [Nvtmru] => "C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" Startup: C:\Documents and Settings\You For Ever\Menu Start\Programy\Autostart\OpenOffice.org 3.0.lnk [2012-07-21] RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\TEMP RemoveDirectory: C:\Documents and Settings\All Users\Menu Start\Programy\OpenOffice.org 3.0 RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\OpenOffice.org 3 RemoveDirectory: C:\Program Files\Opera Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. W starcie są cztery wpisy nVidia spełniające warunki ścieżki kierującej na ten folder: HKLM\...\Run: [Nvtmru] => "C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKLM\...\Run: [nwiz] => C:\Program Files\NVIDIA Corporation\nview\nwiz.exe [2593056 2014-07-02] () HKLM\...\Run: [NvBackend] => C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe [2403104 2014-07-25] (NVIDIA Corporation) R2 NvNetworkService; C:\Program Files\NVIDIA Corporation\NetService\NvNetworkService.exe [1720608 2014-07-25] (NVIDIA Corporation) Przy czym pierwszy wpis pusty i załączyłam go do usunięcia w powyższym skrypcie. Jeśli po jego usunięciu nadal będzie problem, sprawdź via msconfig czy pomoże wyłączenie pozostałych wpisów, ale wyłączaj po jednym na raz + restart systemu, by sprawdzić rezultaty. Wpisy nwiz i NvBackend są w karcie Uruchamianie, natomiast NvNetworkService w karcie Usługi.

Nawiasem mówiąc, punkty Przywracania systemu miały być usunięte z poziomu konfiguracji Windows a nie za pomocą DelFix. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

Temat założony w nieodpowiednim dziale, przenoszę. Opis problemu nie rozwinięty. Jedyne co można wywnioskować z raportu FRST, to że w Menedżerze urządzeń jest mnóstwo zdefektowanych urządzeń: ==================== Wadliwe urządzenia w Menedżerze urządzeń ============= Name: NVIDIA High Definition Audio Description: NVIDIA High Definition Audio Class Guid: {4D36E96C-E325-11CE-BFC1-08002BE10318} Manufacturer: NVIDIA Service: NVHDA Problem: : Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39) Resolution: Reasons for this error include a driver that is not present; a binary file that is corrupt; a file I/O problem, or a driver that references an entry point in another binary file that could not be loaded. Uninstall the driver, and then click "Scan for hardware changes" to reinstall or upgrade the driver. Name: NVIDIA High Definition Audio Description: NVIDIA High Definition Audio Class Guid: {4D36E96C-E325-11CE-BFC1-08002BE10318} Manufacturer: NVIDIA Service: NVHDA Problem: : Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39) Resolution: Reasons for this error include a driver that is not present; a binary file that is corrupt; a file I/O problem, or a driver that references an entry point in another binary file that could not be loaded. Uninstall the driver, and then click "Scan for hardware changes" to reinstall or upgrade the driver. Name: NVIDIA High Definition Audio Description: NVIDIA High Definition Audio Class Guid: {4D36E96C-E325-11CE-BFC1-08002BE10318} Manufacturer: NVIDIA Service: NVHDA Problem: : Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39) Resolution: Reasons for this error include a driver that is not present; a binary file that is corrupt; a file I/O problem, or a driver that references an entry point in another binary file that could not be loaded. Uninstall the driver, and then click "Scan for hardware changes" to reinstall or upgrade the driver. Name: NVIDIA High Definition Audio Description: NVIDIA High Definition Audio Class Guid: {4D36E96C-E325-11CE-BFC1-08002BE10318} Manufacturer: NVIDIA Service: NVHDA Problem: : Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39) Resolution: Reasons for this error include a driver that is not present; a binary file that is corrupt; a file I/O problem, or a driver that references an entry point in another binary file that could not be loaded. Uninstall the driver, and then click "Scan for hardware changes" to reinstall or upgrade the driver. Name: Realtek AC'97 Audio Description: Realtek AC'97 Audio Class Guid: {4D36E96C-E325-11CE-BFC1-08002BE10318} Manufacturer: Realtek Service: ALCXWDM Problem: : Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39) Resolution: Reasons for this error include a driver that is not present; a binary file that is corrupt; a file I/O problem, or a driver that references an entry point in another binary file that could not be loaded. Uninstall the driver, and then click "Scan for hardware changes" to reinstall or upgrade the driver. Name: Kabel komunikacyjny między dwoma komputerami Description: Kabel komunikacyjny między dwoma komputerami Class Guid: {4D36E96D-E325-11CE-BFC1-08002BE10318} Manufacturer: (Standardowe typy modemów) Service: Modem Problem: : This device is disabled. (Code 22) Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions. Name: Aplikacja zbierająca informacje o oprogramowaniu urządzeń Plug and Play Description: Aplikacja zbierająca informacje o oprogramowaniu urządzeń Plug and Play Class Guid: {4D36E97D-E325-11CE-BFC1-08002BE10318} Manufacturer: (Standardowe urządzenia systemowe) Service: swenum Problem: : Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39) Resolution: Reasons for this error include a driver that is not present; a binary file that is corrupt; a file I/O problem, or a driver that references an entry point in another binary file that could not be loaded. Uninstall the driver, and then click "Scan for hardware changes" to reinstall or upgrade the driver. Pytania: - Czy deinstalacja wszystkich wskazanych urządzeń z poziomu Menedżera urządzeń i restart systemu (powinna nastąpić reinstalacja sterowników) wnoszą coś do sprawy? - Widzę, że były próby wielokrotnych reinstalacji "Realtek AC'97 Audio", ale w zdefektowanych urządzeniach występują także urządzenia nVidia. Czy były próby reistalacji NVIDIA Sterownik dźwięku HD 1.3.30.1? - Czy Windows ma zainstalowane wszystkie dostępne łaty z windows Update? W logu tylko pośrednio widać, że prawdopodobnie nie (stoi archaiczna wersja IE6 zamiast IE8). PS. W spoilerze doczyszczanie szczątków adware i wpisów pustych, nie powiązane w ogóle z problemem dźwięku:

Temat spoza infekcji, przenoszę do działu Software. Z raportów FRST nic kompletnie nie wynika. Proponuję skontaktować się z pomocą techniczną sklepu. PS. W spoilerze drobny skrypt kosmetyczny adesujący wpisy szczątkowe, nie powiązany ze zgłoszonym problemem:

Temat przenoszę do działu Software, to nie jest problem infekcji. Z raportów nic nie wynika, jedynie ten błąd w Dzienniku zdarzeń rzuca mi się w oczy: Error: (10/08/2016 11:31:22 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Avira.ServiceHost. On sugeruje, by sprawdzić czy przyczyną nie jest aby Avira.

Temat jedzie do działu Windows. To nie infekcja. Podejrzenia budzą zadania uruchamiające pliki BAT od programu DriverSetupUtility, który został zainstalowany z wątpliwym programem SlimDrivers: DriverSetupUtility (HKLM\...\{2B51C83A-465D-4EA9-9CDC-1ED95ED09AC6}) (Version: 1.00.3011 - Acer Incorporated) Task: {4BB32571-87A8-427E-A6C4-AC2649687F50} - System32\Tasks\FUB => C:\Program Files\DriverSetupUtility\FUB\FUB.bat [2012-05-31] () <==== UWAGA Task: {E08426CA-2860-4387-AA70-BBB898D8EFE8} - System32\Tasks\ACC => C:\Program Files\DriverSetupUtility\FUB\FUB_Send.bat [2015-06-22] () <==== UWAGA 2016-10-07 01:17 - 2016-10-07 01:17 - 00003756 _____ C:\WINDOWS\System32\Tasks\ACC 2016-10-07 01:17 - 2016-10-07 01:17 - 00003004 _____ C:\WINDOWS\System32\Tasks\FUB 2016-10-07 01:17 - 2016-10-07 01:17 - 00000000 ____D C:\ProgramData\DriverSetupUtility 2016-10-07 01:17 - 2016-10-07 01:17 - 00000000 ____D C:\Program Files\DriverSetupUtility 2016-10-07 01:16 - 2016-10-07 01:16 - 00000000 ____D C:\ProgramData\SlimWare Utilities, Inc 2016-10-06 23:56 - 2016-10-06 23:56 - 01076808 _____ (Slimware Utilities Holdings, Inc.) C:\Users\MSI\Downloads\SlimDrivers-setup.exe 2016-10-06 23:56 - 2016-10-06 23:56 - 00002499 _____ C:\Users\Public\Desktop\SlimDrivers.lnk 2016-10-06 23:56 - 2016-10-06 23:56 - 00000000 ____D C:\Users\Public\Documents\Downloaded Installers 2016-10-06 23:56 - 2016-10-06 23:56 - 00000000 ____D C:\Users\MSI\AppData\Local\SlimWare Utilities Inc 2016-10-06 23:56 - 2016-10-06 23:56 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SlimDrivers 2016-10-06 23:56 - 2016-10-06 23:56 - 00000000 ____D C:\Program Files (x86)\SlimDrivers Znaczniki "UWAGA" to akurat fałszywy alarm, te wpisy nie są szkodliwe. Podobny temat na forum: KLIK. 1. Rozpocznij od deinstalacji DriverSetupUtility + SlimDrivers. Przy okazji jeszcze odinstaluj Adobe Flash Player 20 NPAPI (brak tu Firefoxa i przeglądarek pochodnych) oraz Popcorn Time (flagowany przez FRST i nie jest to fałszywy alarm). 2. Po deinstalacjach zrób nowe raporty FRST (bez Shortcut).

Skany OTL usuwam, nie są w ogóle tu już brane pod uwagę. Narzędzie mocno przestarzałe. Należy dostarczyć raporty z FRST i GMER.

Bez związku z czyszczeniem. Opis wskazuje, że system restartował podczas obciążenia, więc być może to kwestia sprzętowo-sterownikowa. Diagnostyka tego w dziale Hardware.

Można spróbować odzyskać komplet zakładek. Do deinstalacji poleciłam tylko SpyBota, MBAM to znacznie lepszy skaner i warto go sobie zachować.

Czyli pliki były zakodowane już w tym punkcie Przywracania systemu i nic nie da się więcej zrobić. Poprzednie zadania wykonane. Kolejne poprawki: 1. W międzyczasie doinstalowałeś Spybot - Search & Destroy, odinstaluj go. To przestarzały skaner, który nie radzi sobie z bieżącymi infekcjami i ogólnie nie ma sensu go używać, niezależnie od rodzaju infekcji. I tu nie pomoże już żaden skaner, bo infekcji w systemie nie ma, pozostały skutki jej działania czyli zaszyfrowane dane, a to jest zadanie dla dekodera a nie skanera. 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2006376192-134370331-1719292346-1002\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking RemoveDirectory: C:\Users\Zbigniew Niewiński\AppData\Local\Google\Chrome\User Data\ChromeDefaultData RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy CMD: del /q "C:\Users\Public\Desktop\Post Win10 Spybot-install.exe" CMD: del /q C:\WINDOWS\system32\Drivers\etc\hosts.*.backup Hosts: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. I pytanie, czy w Google Chrome jest potrzebne odtworzenie zakładek z poprzedniego poprawnego profilu? Na dysku nadal jest folder profilu "Default" i jest szansa wygrzebać coś stamtąd i przekopiować do świeżo założonego profilu.

By sprawdzić wpisy występujące tylko na jednym koncie oraz profile przeglądarek tego konta, jest konieczne zrobienie raportów będąc zalogowanym na tym koncie i w kontekście tego konta - na koncie limitowanym start FRST opcją "Uruchom jako administrator" powoduje zmianę kontekstu konta i skan Administratora a nie konta limitowanego. Jawnych infekcji na obu kontach nie widać, ale będą poboczne operacje, w tym usuwanie szczątków po adware i odinstalowanych aplikacjach. Następujące operacje do wykonania z poziomu każdego konta z osobna: NA KONCIE ADMINISTRATOR: 1. Odinstaluj stare wersje i zbędne aplikacje: Apple Software Update, Java SE Development Kit 8 Update 91, MyFreeCodec, Obsługa programów Apple, QuickTime 7, YTD Video Downloader 4.8.7. Ten ostatni jest związany z adware w instalatorach. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 dbx; system32\DRIVERS\dbx.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S0 MPCBase; System32\drivers\MPCBase.sys [X] <==== UWAGA S1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] <==== UWAGA HKLM\...\Run: [tguard] => C:\Program Files\Beniamin\tguard.exe HKLM\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2131344 2016-06-20] (Wondershare) Winlogon\Notify\ScCertProp: wlnotify.dll [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140817 HKU\S-1-5-21-3185890650-2609249503-3607620972-500\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140817 CustomCLSID: HKU\S-1-5-21-3185890650-2609249503-3607620972-500_Classes\CLSID\{cb4c77f0-ab2a-407c-93ac-963769824b18}\localserver32 -> C:\Users\ADMINI~1\AppData\Local\Temp\{b3ede298-ae75-4a1c-ab7e-1b9229b77bbe}\IDriver.NonElevated.exe (dane wartości zawierają 13 znaków więcej). CHR HomePage: Default -> search.mpc.am CHR StartupUrls: Default -> "search.mpc.am" Task: {362434DA-2AE8-40FD-AB82-FAEC2E085199} - System32\Tasks\{D7C8E420-532A-42FD-B7B9-437C729C8BFC} => pcalua.exe -a C:\Users\krystian.hp\Desktop\setup(1).exe -d C:\Users\krystian.hp\Desktop Task: {51B3EE7B-AAAB-4102-9DBC-AFD495C6C0DA} - System32\Tasks\{45AD186B-C446-450E-9579-2007611B230C} => F:\Games\World_of_Warplanes\WoWpLauncher.exe DeleteKey: HKCU\Software\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PopupProduct DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins C:\Program Files\Common Files\Wondershare C:\Program Files\GUT101D.tmp C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PhotoStage Slideshow Producer.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NCH Software Suite C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Video Related Programs C:\Users\Administrator\AppData\Local\5D515C96_stp.CIS C:\Users\Administrator\AppData\Local\5D515C96_stp.CIS.part C:\Users\Administrator\AppData\Local\Microsoft\Windows\GameExplorer\{E709804A-F714-4C1D-8EB7-48DDC8252F43} C:\Users\Administrator\AppData\Local\Mozilla\Firefox C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox C:\Users\Administrator\Desktop\kav — skrót.lnk C:\Users\Administrator\Favorites\NCH Software Download Site.lnk C:\Users\krystian.hp\AppData\Local\{A85E4B59-8419-4CC0-87D2-3B5488CD6A2A} C:\Users\krystian.hp\AppData\Local\CEF C:\Users\krystian.hp\AppData\Local\Microsoft\Windows\GameExplorer\{0A724F25-CD69-472B-9BEF-4518D2419748} C:\Users\krystian.hp\AppData\Local\Mozilla\Firefox C:\Users\krystian.hp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Oracle VM VirtualBox.lnk C:\Users\krystian.hp\AppData\Roaming\Mozilla\Firefox CMD: netsh advfirewall reset CMD: type C:\Windows\system32\GroupPolicy\Machine\Registry.pol CMD: type C:\Windows\system32\GroupPolicy\User\Registry.pol Folder: C:\Windows\system32\GroupPolicy\Machine\Scripts Folder: C:\Windows\system32\GroupPolicy\User\Scripts Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. NA KONCIE KRYSTIAN: Tu tylko drobnostki. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3185890650-2609249503-3607620972-1003\...\Run: [PC Suite Tray] => "D:\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray HKU\S-1-5-21-3185890650-2609249503-3607620972-1003\...\Run: [CMax] => [X] Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tu nie powinno być restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są potrzebne.

No cóż, w tej sytuacji założę, że wyniki CCleaner odpowiadają stanowi faktycznemu i to są po prostu skutki zbyt intensywnego "czyszczenia dysku". Przed usuwaniem w CCleaner rzecz jasna zrób kopię zapasową usuwanych wpisów, usuń wszystkie wyniki, zesetuj system i poprzyglądaj się czy są jakieś jawne skutki uboczne.

Na przejrzenie wyników i przygotowanie instrukcji podmiany plików potrzebuję znacznie więcej czasu.