picasso

Został tu wytypowany router jako przyczyna, czyli na każdym systemie należałoby wykonać polecenie ipconfig /flushdns czyszczące cache DNS. Niemniej dostarcz logi FRST z wszystkich systemów po kolei. Jeśli chodzi o tu widziany komputer, to prawie kończymy roboty: 1. Nie odinstalowałeś Adobe Reader 8.1.0 - Polish. To stara wersja z krytycznymi lukami i zagrożenie infekcjami szyfrującymi dane. Program należy odinstalować. Następnie, o ile potrzebny, zamontować najnowszą wersję listowaną w przyklejonym: KLIK. 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\ProgramData\HitmanPro RemoveDirectory: C:\Users\Hero\Doctor Web RemoveDirectory: C:\Users\Hero\.oracle_jre_usage RemoveDirectory: C:\Users\Hero\AppData\Roaming\Sun Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 3. Usuwałam foldery Mozilla od nieistniejącego tu Firefoxa, a FRST nadal wykrywa jego profil. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj plików (Search Files). Przedstaw wynikowy Search.txt. profiles.ini

Cóż, MPC musi zostać usunięty z poziomu środowiska zewnętrznego. Jest aktywny i chroni własne komponenty, a poprawną drogę jego deinstalacji odciąłeś poprzez zastosowanie AdwCleaner, który go częściowo uszkodził. Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [355808 2016-08-31] (DotC United Inc) R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-08-31] (DotC United Inc) C:\Program Files (x86)\MPC Cleaner C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC Desktop C:\Users\Expert\AppData\Roaming\MCorp C:\Users\Public\Desktop\MPC Desktop.lnk C:\Users\Public\Desktop\MPC Cleaner.lnk C:\Windows\System32\DRIVERS\MPCKpt.sys Plik zapisz pod nazwą fixlist.txt. Plik ten oraz FRST umieść na pendrive. Uruchom FRST z poziomu środowiska zewnętrznego: KLIK. Wybierz opcję Entfernen (Fix). Na pendrive powstanie plik fixlog.txt. 2. Zaloguj się z powrotem do Windows i zrób nowy log FRST (bez Addition i Shortcut). Dołącz też fixlog.txt.

Podane tu logi wykazują nowe niekorzystne zmiany których nie było w pierwszym zestawie, tzn. pojawiła się infekcja systemowego pliku dnsapi.dll: 64-bitowe wystąpienie zainfekowane, a 32-bitowy plik całkowicie usunięty i obawiam się że to drugie to efekt Twojego nieumiejętnego czyszczenia. Tej infekcji nie było wcześniej. Poza tym nadal startują określone obiekty adware, a problem z fałszywym profilem w Chrome nierozwiązany (tu nie ma innej solucji niż wywalenie całego profilu). 1. Uruchom sfc /scannow zgodnie z instrukcją: KLIK. Poczekaj aż skan się ukończy. Fitrowanego raportu nie musisz tworzyć, wyniki SFC wydrukuję sobie poniżej w skrypcie FRST. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-423933081-1692630651-1468072290-1001\...\Run: [sSMaker2] => C:\Users\adaml\AppData\Roaming\ScreenMaker2\SSMaker.exe [592896 2016-10-06] (Logirfy Internatuonal) R2 Coerlasy; C:\Program Files (x86)\Ghoputain\procaentvlotCollector.dll [276992 2016-10-06] () [brak podpisu cyfrowego] S4 Viokdojvaf; C:\Users\adaml\AppData\Roaming\Hemkajdoa\Hemkajdoa.exe [170496 2016-08-11] () [brak podpisu cyfrowego] S2 Citdhwa; "C:\Users\adaml\AppData\Roaming\AzigcWig\Geeswu.exe" -cms [X] S1 hgqrgpgj; \??\C:\WINDOWS\system32\drivers\hgqrgpgj.sys [X] S1 jsnrfkmo; \??\C:\WINDOWS\system32\drivers\jsnrfkmo.sys [X] S3 MSICDSetup; \??\D:\CDriver64.sys [X] S1 orqktznp; \??\C:\WINDOWS\system32\drivers\orqktznp.sys [X] S1 wlaeexmd; \??\C:\WINDOWS\system32\drivers\wlaeexmd.sys [X] S1 xnyjgutm; \??\C:\WINDOWS\system32\drivers\xnyjgutm.sys [X] Task: {4B09B2B0-FCDF-4195-AC41-A9C345F6B9D7} - System32\Tasks\{CB3E53BF-B013-432C-A033-8F192A0922D2} => Chrome.exe hxxp://ui.skype.com/ui/0/7.10.0.101/pl/abandoninstall?source=lightinstaller&page=tsMain Task: {8116640F-0B5A-4A7F-852E-853E88A8210A} - System32\Tasks\Fakthertuverge Controls => C:\Program Files (x86)\Ghoputain\mple.exe [2016-10-06] (Glarysoft Ltd) Task: {E7E79FA1-994F-479B-8D9F-A79B648626F9} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku CustomCLSID: HKU\S-1-5-21-423933081-1692630651-1468072290-1001_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\adaml\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-423933081-1692630651-1468072290-1001_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\adaml\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-423933081-1692630651-1468072290-1001_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\adaml\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-423933081-1692630651-1468072290-1001_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\adaml\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku HKLM\...\StartupApproved\StartupFolder: => "Symfonia® PDF.lnk" HKLM\...\StartupApproved\Run32: => "LogMeIn Hamachi Ui" GroupPolicy: Ograniczenia - Chrome DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Ghoputain C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Android SDK Tools C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Android Studio C:\TOSTACK C:\Users\adaml\AppData\Local\Drerterry C:\Users\adaml\AppData\Local\Tempfolder C:\Users\adaml\AppData\Local\Google\Chrome\User Data\System Profile C:\Users\adaml\AppData\LocalLow\Company C:\Users\adaml\AppData\Roaming\BrowserModule C:\Users\adaml\AppData\Roaming\Ghasetion C:\Users\adaml\AppData\Roaming\Hemkajdoa C:\Users\adaml\AppData\Roaming\ScreenMaker2 C:\Users\adaml\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\adaml\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\deb74e6ef302b553\Sрееd Diаl [FVD] - Nеw Таb Раgе, 3D, Synс.lnk C:\Users\adaml\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\ffcf275a553b47cd\Gооglе Сhrоmе.lnk C:\Users\adaml\Desktop\yyyyy rozne\LCode.lnk C:\Users\adaml\Desktop\yyyyy rozne\VCDS-PL 15.7.lnk C:\WINDOWS\system32\sesb CMD: ipconfig /flushdns CMD: netsh advfirewall reset CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML, o ile jest cokolwiek do eksportowania. Ustawienia > karta Ustawienia > Osoby > usuń widoczną tam osobę, następnie Dodaj nową osobę i otwórz okno Chrome na nowym profilu, okna poprzedniego zamknij. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Raport USBFix nie wykazuje, by w root pendrive była jakaś infekcja. Czy masz na myśli, że pobiera się plik ccsetup522.zip? To jest wersja portable. Wyniki z CCleaner przejrzałam na szybko. Na pierwszy rzut oka większość zdaje się być do wyrzucenia. Zastanowiły mnie jednak pewne wpisy relatywne do instalacji Microsoftu, powiązane z figurującymi na liście zainstalowanych łatami IE8, IE8 jako takim, MSXML, .NET Framework. Czy Ty aby nie usuwałeś z dysku wcześniej na siłę jakiś elementów Microsoftu?

Nie odpowiedziałeś mi na pytania w kwestii aktualizacji MBAM. Aktualizacja w kwestii: U nich wyszło na jaw, że mieli zmodyfikowany plik HOSTS - u Ciebie nie ma to miejsca.

Kierowałam na skan sfc /scannow a nie narzędzie zewnętrzne SFCFix. To już pomińmy, wyniki SFCFix nie będę się różnić od skanu oryginalnego SFC. Uszkodzone pliki nadal i nie jest do rozwiązania w inny sposób niż ręczne przywracanie poprzednich plików. Podaj mi skan na wystąpienia tych plików. Uruchom FRST, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj plików (Search Files). Przedstaw wynikowy Search.txt. fde.dll;fdeploy.dll;gpedit.dll;gptext.dll

W kwestii wyników SFC: 1. Poniższe rekordy spróbuj rozwiązać przy udziale SFCFix opisanego w moim artykule. Dostarcz log z narzędzia. 2016-10-02 15:15:48, Info CSI 000009e8 [SR] Cannot repair member file [l:36{18}]"Amd64\CNBJ2530.DPB" of prncacla.inf, Version = 6.3.9600.17415, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type = [l:24{12}]"driverUpdate", TypeName neutral, PublicKey neutral in the store, hash mismatch 2016-10-02 15:15:49, Info CSI 00000a04 [SR] Cannot repair member file [l:36{18}]"Amd64\CNBJ2530.DPB" of prncacla.inf, Version = 6.3.9600.17415, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type = [l:24{12}]"driverUpdate", TypeName neutral, PublicKey neutral in the store, hash mismatch 2. Jeśli chodzi o problem z naruszeniem plików gpedit, to podaj mi skan na wszystkie wystąpienia tych plików. Uruchom FRST, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj plików (Search Files). Przedstaw wynikowy Search.txt. fde.dll;fdeploy.dll;gpedit.dll;gptext.dll Nie wiem gdzie leży problem, ale kwestia sterowników nie jest wykluczona. Próbowałeś je aktualizować?

1. Nie odinstalowałeś staroci Facebook Video Calling 3.1.0.521 - jakiś szczególny powód? I drobna poprawka końcowa. Otwórz Notatnik i wklej w nim: SearchScopes: HKU\S-1-5-21-1663862098-2173623241-2597219904-1004 -> {E891FE45-33C8-4D81-A918-F81F03ED2214} URL = BHO: Brak nazwy -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> Brak pliku RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\ProgramData\AVG Security Toolbar Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). 2. Usuń z folderu E:\Z internetu FRST i jego logi. Następnie znajome kroki z DelFix i czyszczeniem folderów Przywracania: KLIK. To wszystko.

Zapomniałeś dodać nowe skany: PS. Ad "wielki" = jestem kobietą.

1. Przez SHIFT+DEL (omija Kosz) skasuj z folderu "serwis" na Pulpicie użyte skanery i ich logi. Następnie zastosuj DelFix. 2. Zrób skan za pomocą Hitman Pro. Jeśli wykryje coś, dostarcz wynikowy log. Czyszczenie rejestru przy udziale automatów nie jest przeze mnie polecane. Wyniki należałoby dokładnie zweryfikować czy automat się nie pomylił. Na forum co jakiś czas wyskakują tematy z poważnymi problemami po zbyt przedsiębiorczym czyszczeniu rejestru i trzeba odkręcać co namieszał automat.

Prawie kończymy: 1. Uruchom DelFix, by usunął AdwCleaner i FRST. GMER i jego log dokasuj ręcznie. 2. Zrób skan za pomocą Hitman Pro. Jeśli wykryje coś, dostarcz wynikowy log.

Podałeś mi log USBFix z opcji Research, a ja prosiłam o log z opcji Listing.

Zadania wyglądają na wykonane. Poprawki: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Agula\Desktop\Stare dane programu Firefox RemoveDirectory: C:\WINDOWS\system32\log CMD: del /q C:\WINDOWS\system32\Drivers\iSafeNetFilter.sys Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Zależy z jakim typem infekcji mamy do czynienia. Wirusy, robaki sieciowe czy infekcje szyfrujące dane jak najbardziej mogą się "przerzucać" na inne komputery, bądź szyfrować dyski innych komputerów. Ale jak mówię, póki co tu nie ma żadnych śladów tego rodzaju infekcji. I w tym komputerze brak oznak tytułowej infekcji. Tutaj tylko do wywalenia niepożądany sponsorowany Bing uruchamiany w starcie + skutki jego obecności w Firefox, ale nie jest to związane z problemem Cybertarczy. 1. Odinstaluj stary program YouTube Downloader. On prawdopodobnie w ogóle już nie działa. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2577532048-60505754-3398219096-1002\...\Run: [bingSvc] => C:\Users\Oliwia\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2016-03-22] (© 2015 Microsoft Corporation) HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKU\S-1-5-21-2577532048-60505754-3398219096-1002 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = hxxp://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo C:\Users\Oliwia\AppData\Local\Microsoft\BingSvc EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Na czas operacji wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. Wyczyść Firefox z przekierowań Bing: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia trzeba będzie przeinstalować. Zamiast Adblock Plus polecam jednak uBlock Origin. Menu Historia > Wyczyść całą historię przeglądania.

Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Nic tu raczej nie wymyślę więcej w kwestii błędu Chrome. Temat zasadniczy rozwiązany i będę zamykać.

Obecnie jedyna osoba uprawiona do analizy raportów w dziale malware to ja. Rucek zaajmuje się tylko porządkami, a reszta moderatorów nieaktywna. Cybertarcza ocenia tylko i wyłącznie IP. W podanych tu raportach nie ma żadnych oznak infekcji wskazywanej przez skan Orange. AdwCleaner nie służy do detekcji trojanów, wirusów, infekcji szyfrujących dane - tylko adware/PUP są w zakresie narzędzia. Spybot to przestarzały skaner, który w ogóle nie nadaje się już do rzeczowych skanów. Używałeś też lewy skaner-naciągasz SpyHunter. Nie dostarczyłeś żadnych wyników ze skanerów, by można było się zorientować czy coś się łączy z Cybertarczą, ale podejrzewam, że nie i były to inne typy wyników, tzn. instalacje adware/PUP (w logu mikro-ślady tego typu obiektów) oraz crack aktywacji KMSnano (jest częściowo naruszony). Czyli do wykonania tylko poboczne działania: 1. Odinstaluj stare niebezpieczne wersje, zbędne programy i poszkodowany crack: Adobe Reader 9, Akamai NetSession Interface, Apple Software Update, HP Customer Participation Program 14.0, KMSnano 24, Obsługa programów Apple, QuickTime 7, Shockwave, Spybot - Search & Destroy. 2. Usunięcie wpisów odpadkowych. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-10-04] () S3 AsrSetupDrv; \??\C:\Windows\SysWOW64\Drivers\AsrSetupDrv.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 dbx; system32\DRIVERS\dbx.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] BootExecute: autocheck autochk * sdnclean64.exe GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3258439222-2101547467-1170819926-1000\...\Run: [Akamai NetSession Interface] => C:\Users\Remek\AppData\Local\Akamai\netsession_win.exe [4691384 2015-09-10] (Akamai Technologies, Inc.) Task: {2734EB2C-8E3D-4A74-891C-66E5E8D8616B} - \WordFly Auto Updater 1.10.0.28 Pending Update -> Brak pliku Task: {5294FF19-2934-41E7-858D-D4D3B265713B} - System32\Tasks\{CB9C5FB8-4955-407E-A93F-58CF1A934E33} => pcalua.exe -a E:\pobieranie\OODiskRecovery1164Enu.exe -d E:\pobieranie Task: {58ACC9B7-BE85-4ED0-B0EA-12F9F3816E79} - System32\Tasks\{AF828FA7-B73D-4E0F-932C-C15EA258D593} => pcalua.exe -a E:\pobieranie\ModdingWayInstaller.exe -d E:\pobieranie Task: {7FE8C1C5-16B4-4296-8CF4-F30FA9D7043A} - System32\Tasks\{D7D26B67-D7EA-47BE-AE3C-6F637DE02C75} => pcalua.exe -a F:\setup.exe -d F:\ Task: {89146259-272C-449F-95E1-23A32E758DAB} - System32\Tasks\Auslogics\Disk Defrag Touch\Start Disk Defrag Touch On Remek Logon => C:\Program Files (x86)\Auslogics\Disk Defrag Touch\DiskDefragTouch.exe Task: {95ADDA69-A89F-43FF-A2F5-1543CFD8C0E9} - \WordFly Auto Updater 1.10.0.28 Core -> Brak pliku Task: {DAB797E3-8B04-4446-A988-E5488712D0AB} - System32\Tasks\{B0FF1BC2-361F-48D2-A3E3-50FFF30B6151} => Firefox.exe Task: {FFF09AB2-0C75-4E72-A476-A5F9AA436632} - System32\Tasks\{6324CCDC-4865-4872-BBF2-0FC35B255084} => Firefox.exe MSCONFIG\startupreg: Adobe Reader Speed Launcher => "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" MSCONFIG\startupreg: Free Download Manager => "C:\Program Files (x86)\Free Download Manager\fdm.exe" -autorun MSCONFIG\startupreg: FreeAC => C:\Program Files (x86)\FreeAlarmClock\FreeAlarmClock.exe -autorun MSCONFIG\startupreg: GG => "C:\Users\Remek\AppData\Local\GG\Application\gghub.exe" MSCONFIG\startupreg: IPLA! => C:\Program Files (x86)\ipla\ipla.exe /autorun MSCONFIG\startupreg: Skype => "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => Brak pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Auslogics DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains C:\autoexec.bat C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\Microsoft\Windows\GameExplorer\{127D3501-7907-4A8B-A911-23D1FE515DC4} C:\ProgramData\Microsoft\Windows\GameExplorer\{36376086-027D-4101-8F62-B351E4AC5078} C:\ProgramData\Microsoft\Windows\GameExplorer\{B7AA14AB-A3A0-42A4-8D31-0FFDA132F349} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks\Oblivion C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Glyph C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Unofficial Oblivion Patch C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Unofficial Shivering Isles Patch C:\Users\Remek\AppData\Local\Microsoft\Windows\GameExplorer\{2B6D6411-9E5E-4CDA-9C23-588FF26E77A8} C:\Users\Remek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PlanetSide 2.lnk C:\Users\Public\Desktop\Post Win10 Spybot-install.exe C:\Users\Remek\Desktop\naj. programy\Adobe Reader 9.lnk C:\Users\Remek\Desktop\reszta programów\Free Alarm Clock.lnk C:\Users\Remek\Desktop\reszta programów\QuickTime Player.lnk C:\Users\Remek\Favorites\GG dysk.lnk C:\Users\Remek\Links\GG dysk.lnk C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\System32\Tasks\Auslogics C:\Windows\System32\Tasks\Safer-Networking CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Tak jak w przypadku wszystkich innych tematów z Cybertarczą, brak jakichkolwiek oznak infekcji punktowanej przez tarczę. W zasadzie to nie pamiętam żadnego przypadku, by komunikat tarczy zgadzał się z tym co mówią raporty. Skan ten jest też bardzo limitowany, ocena na podstawie IP, nie jest skanowany system delikwenta. Na stronie tarczy można sprawdzić stan dla bieżącego IP komputera: KLIK. Natomiast należy się zająć innymi aspektami systemu. Są tu drobne szczątki adware/PUP. 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare Java: Java 8 Update 91 (64-bit), Java 8 Update 91, Java SE Development Kit 7 Update 80 (64-bit). Najnowsza wersja w przyklejonym: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia BHO-x32: Sonic Train -> {0c3ddfb7-4cdb-495b-b3e9-d59725b43dfc} -> C:\Program Files (x86)\Sonic Train\Extensions\0c3ddfb7-4cdb-495b-b3e9-d59725b43dfc.dll => Brak pliku DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins HKU\S-1-5-21-63831111-2181059775-4247894396-1001\...\StartupApproved\Run: => "DAEMON Tools Lite Automount" S3 dbx; system32\DRIVERS\dbx.sys [X] S2 SSPORT; \??\C:\WINDOWS\system32\Drivers\SSPORT.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Na czas operacji wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj OneTab. To niepożądane rozszerzenie kojarzone z instalacjami typu "PUP": KLIK. Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres startsear.ch Opera: Odłącz synchronizację (o ile włączona): KLIK Ustawienia > karta Rozszerzenia > odinstaluj adware Sonic Train 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę na diagnostykę do działu Hardware, dostarcz skany dysku. Problem nadrzędny. Tu są też w logu pośrednie ślady uszkodzeń plików Windows i może to być skutek problemu z dyskiem: Niektóre zerobajtowe pliki/foldery: ========================== C:\Windows\System32\findstr.exe Gdy się okaże, że jest sens nadal działać na tym dysku: Flagowanie przez FRST zadania od WGA to fałszywy alarm FRST. Natomiast ByteFence Anti-Malware to niepożądany skaner, on owszem może zamulać i go odinstaluj. Przy okazji jeszcze pozbądź się Javy, McAfee Security Scan Plus, SlimDrivers. Poza ByteFence to nie za bardzo jest czym się zajmować, jakieś drobne wpisy puste i to ewentualnie zaadresuję potem, gdy się okaże że jest sens coś tu robić.

Problemem jest polityka DisableAntiSpyware Windows Defender w rejestrze, która była już znana w logu na poprzednim forum tylko nic z tym nie zrobiono: Windows Defender Disabled Policy: ========================== [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender] "DisableAntiSpyware"=DWORD:1 Na dodatek, rekonfigurowano tylko usługę WinDefend, a przecież w logu sterowniki WdBoot + WdFilter też wymagają interwencji (ustawienie na Manual zamiast Boot): S3 WdNisSvc; C:\Program Files\Windows Defender\NisSrv.exe [347328 2016-07-16] (Microsoft Corporation) S2 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [103720 2016-07-16] (Microsoft Corporation) S3 WdBoot; C:\Windows\system32\drivers\WdBoot.sys [44056 2016-07-16] (Microsoft Corporation) S3 WdFilter; C:\Windows\system32\drivers\WdFilter.sys [290144 2016-07-16] (Microsoft Corporation) S3 WdNisDrv; C:\Windows\System32\Drivers\WdNisDrv.sys [123232 2016-07-16] (Microsoft Corporation) Na poprzednim forum nie rozwiązano też tych problemów: + Zostałeś wprowadzony w błąd. FRST w ogóle nie skanuje strony startowej i wyszukiwarek Edge, bo wartości ProtectedHomepages i ProtectedSearchScopes są zakodowane: KLIK. Jedyne co w skanie FRST jest możliwe do pokazania, to tylko przycisk strony domowej na pasku przeglądarki (czyli powyżej zlokalizowane ustawienie), a to nie jest strona startowa. W związku z tym, że skanery nie umieją tych wartości przedstawić, zwykle robię ogólny reset ustawień Edge i to tu zadam. Dodatkowo, Firefox nadal jest zainfekowany - szkodliwe rozszerzenie HEZqAsPJ76 (były próby usuwania, ale jak widać nieskuteczne). I można też z dysku wywalić cały folder Google Chrome, nie istnieje jako przeglądarka zainstalowana. To element Toshiba, skutki integracji dostosowanej przez Toshiba wersji Symbaloo (system synchronizacji zakładek). W logu FRST: HKU\S-1-5-21-3216529490-2936173829-3677909737-1002\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://toshiba.eu/symbaloo_c Można usunąć ten adres, tym bardziej że Symbaloo Toshiby zostało najwyraźniej odinstalowane, tylko jak wskazuję to nie jest pochodna infekcji. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj odpadki po AVG: AVG Web TuneUp, Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables. Jeśli będzie problem z ich deinstalacją, zastosuj Program Install and Uninstall Troubleshooter. 2. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSE1 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-3216529490-2936173829-3677909737-1002\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://toshiba.eu/symbaloo_c SearchScopes: HKU\S-1-5-21-3216529490-2936173829-3677909737-1002 -> {3CF8091D-654B-4B63-A102-C5F67D0BABF4} URL = DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f Reg: reg delete "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /f Reg: reg add HKLM\SYSTEM\CurrentControlSet\Services\WdBoot /v Start /t REG_DWORD /d 0x0 /f Reg: reg add HKLM\SYSTEM\CurrentControlSet\Services\WdFilter /v Start /t REG_DWORD /d 0x0 /f CMD: netsh advfirewall reset Task: {352E6CA0-7314-4DF4-89C4-682368D80D57} - System32\Tasks\Microsoft\Windows\Workplace Join\Automatic-Workplace-Join => C:\Windows\System32\AutoWorkplace.exe C:\Users\Default\AppData\Roaming\TuneUp Software C:\Users\paweł\AppData\Local\app C:\Users\paweł\AppData\Local\Google\Chrome C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Po restarcie Menu Start > Ustawienia > Aktualizacja i zabezpieczenia > Windows Defender > ustaw wszystkie opcje na Włączone. Następnie uruchom Windows Defender w normalny sposób, by sprawdzić czy nie ma żadnych zażaleń / błędów. 5. Przez SHIFT+DEL (omija Kosz) skasuj z dysku folder z uszkodzoną nazwą użytkownika: C:\Users\paweﾳ. Oczywiście nie ruszaj poprawnego folderu C:\Users\paweł. 6. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz gdzieś jeszcze problemy.

Poprawiłam post, logi załadowałam jako załączniki. Logi FRST utworzone na innych ustawieniach niż tu zalecane - opcje Lista BCD, MD5 sterowników i Pliki z 90 dni nie miały być zaznaczone. W systemie nadal kupa adware, w tym fałszywy Firefox oraz szkodliwe profile sfabrykowane przez adware w Google Chrome. Przeglądarki zasadnicze już odinstalowałaś, ale trzeba usunąć wszystko co się z nimi wiąże i co nadal jest na dysku przed jakąkolwiek próbą świeżej instalacji. Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware/PUP trotux - Uninstall, WebShield, YAC(Yet Another Cleaner!), youndoo - Uninstall, sponsorów programów Adobe Intel Security True Key, McAfee Security Scan Plus oraz zbędny skaner UnHackMe 8.20. - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń odpadkowy wpis Google Update Helper. Jeśli pojawią się jakieś błędy deinstalacji, kontynuuj dalej. Po deinstalacjach zresetuj system. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: md C:\Users\sapphire\Desktop\Default CMD: xcopy /e "C:\Users\sapphire\AppData\Local\Google\Chrome\User Data\Default" C:\Users\sapphire\Desktop\Default R2 CommandHandler; C:\Program Files (x86)\Firefox\bin\FirefoxCommand.exe [273792 2016-09-22] () R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [634240 2016-09-22] () R1 cherimoya; C:\Windows\System32\drivers\cherimoya.sys [65344 2016-09-09] (Windows ® Win 7 DDK provider) R1 ZipProtect; c:\program files\ziptool\ZipProtect64.sys [886512 2015-12-14] () R2 winsaber; C:\Program Files (x86)\WinSaber\WinSaber.exe [448216 2016-09-23] () R2 ziphost; c:\program files\ziptool\ziphost.dll [114080 2015-11-30] () S2 AnofotionCollector; C:\Program Files (x86)\Arlutherdergudom\kaeentthohodomCln.dll [X] S2 BossseedP; "C:\ProgramData\Bossseed\Bossseed.exe" [X] S2 BossseedU; "C:\Program Files (x86)\Bossseed\Update\BossseedUpdate.exe" [X] S4 CloudPrinter; C:\ProgramData\\CloudPrinter\\CloudPrinter.exe shuz -f "C:\ProgramData\\CloudPrinter\\CloudPrinter.dat" -l -a S2 InstallerService; C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe [X] S2 kyrukeze; C:\Program Files (x86)\B7108380-1473359882-11DD-82E4-544249E5FE56\knsf4DA2.tmpfs [X] S4 Ronzap; C:\ProgramData\\Ronzap\\Ronzap.exe shuz -f "C:\ProgramData\\Ronzap\\Ronzap.dat" -l -a S2 W3PCC; C:\ProgramData\Sun\Java\extension.dll [X] Task: {23F5B8EF-D209-4801-B32E-2E6BDF8EDDE6} - System32\Tasks\Pusertainchaspy Verfier => C:\Program Files (x86)\Prmutprpersp\coorly.exe Task: {308CED45-0976-4BC1-B3AC-6E10AF06467C} - System32\Tasks\Anofotion Collector => C:\Program Files (x86)\Gronuchcoaregh\bemition.exe Task: {5BE323E0-9FC2-4E67-9790-C4D78660343C} - System32\Tasks\svchost => C:\Users\sapphire\AppData\Local\Temp\is-0FDOQ.tmp\51490.exe [2016-09-08] () Task: {75160D15-CB01-4350-B902-2A795E16F5CD} - System32\Tasks\BossseedUpdateTaskMachineCore => C:\Program Files (x86)\Bossseed\Update\BossseedUpdate.exe Task: {9BA8316B-EFA9-47B0-BD08-0CDC5D65AEBF} - System32\Tasks\ChelfNotify Task => C:\ProgramData\ChelfNotify\BrowserUpdate.exe Task: {A00DB0C3-C879-48AD-A08E-5F9534A0BA05} - System32\Tasks\BossseedUpdateTaskMachineUA => C:\Program Files (x86)\Bossseed\Update\BossseedUpdate.exe Task: {C3CBEF8A-E4FA-4202-8C0D-F6B7E2459C79} - System32\Tasks\Windows Update => C:\Users\sapphire\AppData\Local\CD9DCA50F69BEAD828E2E5354D572080\0.exe Task: {C860E78B-9F2D-4B42-8A2E-13B1102DDDEC} - System32\Tasks\sapphireCorrelativesSupplicatesV2 => Rundll32.exe SegueAsocial.dll,main 7 1 Task: {D4C5E7E5-D3B2-4C30-8F25-C9B5E99D35B2} - System32\Tasks\UnregisterNonABICompliantCodeRange => C:\PROGRA~2\b5f56BD\ttt5759.bat HKLM\...\Run: [iDSCCOMBF8] => "C:\Program Files (x86)\EasyHotspot\idsccom_BF8.exe" HKLM\...\Run: [WINCOMRGP] => "C:\Program Files (x86)\mpck\wincom_RGP.exe" HKLM\...\Run: [WINCOM87F] => "C:\Program Files (x86)\sunnyday\wincom_87F.exe" HKLM\...\Run: [WINCOMDJ8] => "C:\Program Files (x86)\sunnyday\wincom_DJ8.exe" HKLM-x32\...\Run: [app] => C:\Program Files (x86)\sbqh\uc.exe HKLM-x32\...\Run: [win_en_77] => [X] HKLM-x32\...\Run: [sun21] => [X] HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2363097785-2004616086-4135544681-1001\...\Run: [svchost0] => "C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe"\UUC0789.exe HKU\S-1-5-21-2363097785-2004616086-4135544681-1001\...\Run: [msiql] => C:\Users\sapphire\AppData\Local\Temp\00007934\msiql.exe [1883648 2016-09-30] () HKU\S-1-5-21-2363097785-2004616086-4135544681-1001\...\Run: [installer] => C:\Users\sapphire\AppData\Local\Temp\is-0FDOQ.tmp\51490.exe [1839616 2016-09-08] () HKU\S-1-5-21-2363097785-2004616086-4135544681-1001\...\Run: [apphide] => C:\Program Files (x86)\sbqh\uc.exe HKU\S-1-5-21-2363097785-2004616086-4135544681-1001\...\Run: [A3OHSAXR5M] => C:\Program Files (x86)\DPower\2ELHZ0PK38.exe [369664 2016-09-09] () AppInit_DLLs: C:\ProgramData\Ronzap\Zumma-Stock.dll => No File AppInit_DLLs-x32: C:\ProgramData\Ronzap\Nimlotphase.dll => No File ShellIconOverlayIdentifiers: [JzShlobj] -> {7B286609-DA97-47E1-AC6B-33B8B4732C95} => C:\Program Files\ZipTool\JZipExt.dll [2015-11-30] () Tcpip\..\Interfaces\{07300d4d-dd11-45f5-864d-4a427d8f8308}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{26b11a49-585f-4b43-a90c-9af3c3d7b25b}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{3a8e9636-7657-4740-bf77-b5657e26be82}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{58787d0e-d1df-4ed2-a723-72b576849f1e}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{672f06aa-4298-11e6-a913-806e6f6e6963}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{adfe9d2c-689d-487d-a37c-e102d7dddc35}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{cb56a687-0c49-11e6-a90e-806e6f6e6963}: [NameServer] 104.197.191.4 WMI_ActiveScriptEventConsumer_ASEC: GroupPolicy: Restriction - Chrome HKU\S-1-5-21-2363097785-2004616086-4135544681-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjCSZ395KcclC6tII_Foq80PnYQMjIjHu9ZyMI08ad-1U1m2Xia64M9wcMy61EkHrb9KNY7HHQfkaZIcLgxUcPbXiN1gD-cwKjXS5WNhYy0XRcclgYMVeElkNpeqryftGlrMe3GBhoPgrDPnDZzqIay_aUw,,&q={searchTerms} HKU\S-1-5-21-2363097785-2004616086-4135544681-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjCSZ395KcclC6tII_Foq80PnYQMjIjHu9ZyMI08ad-1U1m2Xia64M9wcMy61EkHrb96ajHGUlzk5ih4DcjNaWYfvX5oVdX26cFIWfo3tQ5haeD14wahIsNKHtXKxrErjRa0pUfPjiPZoGXuetDuV8bBn6g,, HKU\S-1-5-21-2363097785-2004616086-4135544681-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjCSZ395KcclC6tII_Foq80PnYQMjIjHu9ZyMI08ad-1U1m2Xia64M9wcMy61EkHrb9KNY7HHQfkaZIcLgxUcPbXiN1gD-cwKjXS5WNhYy0XRcclgYMVeElkNpeqryftGlrMe3GBhoPgrDPnDZzqIay_aUw,,&q={searchTerms} HKU\S-1-5-21-2363097785-2004616086-4135544681-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjCSZ395KcclC6tII_Foq80PnYQMjIjHu9ZyMI08ad-1U1m2Xia64M9wcMy61EkHrb9KNY7HHQfkaZIcLgxUcPbXiN1gD-cwKjXS5WNhYy0XRcclgYMVeElkNpeqryftGlrMe3GBhoPgrDPnDZzqIay_aUw,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjCSZ395KcclC6tII_Foq80PnYQMjIjHu9ZyMI08ad-1U1m2Xia64M9wcMy61EkHrb9KNY7HHQfkaZIcLgxUcPbXiN1gD-cwKjXS5WNhYy0XRcclgYMVeElkNpeqryftGlrMe3GBhoPgrDPnDZzqIay_aUw,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2363097785-2004616086-4135544681-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjCSZ395KcclC6tII_Foq80PnYQMjIjHu9ZyMI08ad-1U1m2Xia64M9wcMy61EkHrb9KNY7HHQfkaZIcLgxUcPbXiN1gD-cwKjXS5WNhYy0XRcclgYMVeElkNpeqryftGlrMe3GBhoPgrDPnDZzqIay_aUw,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2363097785-2004616086-4135544681-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjCSZ395KcclC6tII_Foq80PnYQMjIjHu9ZyMI08ad-1U1m2Xia64M9wcMy61EkHrb9KNY7HHQfkaZIcLgxUcPbXiN1gD-cwKjXS5WNhYy0XRcclgYMVeElkNpeqryftGlrMe3GBhoPgrDPnDZzqIay_aUw,,&q={searchTerms} DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f C:\Program Files\ZipTool C:\Program Files (x86)\DPower C:\Program Files (x86)\Google C:\Program Files (x86)\Firefox C:\Program Files (x86)\GreatMaker C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\UCBrowser C:\Program Files (x86)\WinSaber C:\ProgramData\Avg C:\ProgramData\Firefox C:\ProgramData\Mozilla C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Compress C:\Users\sapphire\AppData\Local\app C:\Users\sapphire\AppData\Local\Bossseed C:\Users\sapphire\AppData\Local\CD9DCA50F69BEAD828E2E5354D572080 C:\Users\sapphire\AppData\Local\CEF C:\Users\sapphire\AppData\Local\CorrelativesSupplicates C:\Users\sapphire\AppData\Local\csdi_monetize_120160908 C:\Users\sapphire\AppData\Local\Google C:\Users\sapphire\AppData\Local\Firefox C:\Users\sapphire\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk C:\Users\sapphire\AppData\Local\Mozilla C:\Users\sapphire\AppData\Local\tuto_monetize_120160908 C:\Users\sapphire\AppData\Local\Qaperrydawesh C:\Users\sapphire\AppData\Local\Sterily C:\Users\sapphire\AppData\Local\Tempfolder C:\Users\sapphire\AppData\Local\Voqawardwagise C:\Users\sapphire\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A} C:\Users\sapphire\AppData\LocalLow\Company C:\Users\sapphire\AppData\LocalLow\Youtube AdBlock C:\Users\sapphire\AppData\LocalLow008A4970 C:\Users\sapphire\AppData\LocalLow000001DE00A192C8 C:\Users\sapphire\AppData\Roaming\*.* C:\Users\sapphire\AppData\Roaming\AzigcWig C:\Users\sapphire\AppData\Roaming\Firefox C:\Users\sapphire\AppData\Roaming\Hemkajdoa C:\Users\sapphire\AppData\Roaming\KuaiZip C:\Users\sapphire\AppData\Roaming\Mozilla C:\Users\sapphire\AppData\Roaming\PriceFountainUpdateVer C:\Users\sapphire\AppData\Roaming\Softlink C:\Users\sapphire\AppData\Roaming\UPUpdata C:\Users\sapphire\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\allegro.pl.lnk C:\Users\sapphire\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Booking.lnk C:\Users\sapphire\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\sapphire\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\926bab762de45057\Google Chrome.lnk C:\Users\sapphire\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\allegro.pl .lnk C:\Users\sapphire\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Booking .lnk C:\Users\sapphire\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Ехрlоrеr.lnk C:\Users\sapphire\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\sapphire\AppData\Roaming\Microsoft\Word\Moja%20praca305460652907711261\Moja%20praca.docx.lnk C:\Users\sapphire\AppData\Roaming\Microsoft\Word\Wzor_streszczenia305460694268576394\Wzor_streszczenia.doc.lnk C:\Users\sapphire\Downloads\*-dp*.exe C:\Users\sapphire\Downloads\*.crdownload C:\Users\sapphire\Downloads\*.swf C:\Users\sapphire\Downloads\*keygen*.* C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\Users\Public\Documents\report.dat C:\Users\Public\Documents\temp.dat C:\Users\Public\Documents\chrome C:\Users\Public\Thunder Network C:\Users\MSUser.Default C:\Users\MSUser.Default\Help_3 C:\Users\MSUser.Default\Help_4 C:\Users\MSUser.Default\Help_5 C:\Users\MSUser.Default\Help_6 C:\WINDOWS\Joberphlusisp C:\WINDOWS\Ogiedplofipy C:\WINDOWS\system32\Drivers\bsdpf64.sys C:\WINDOWS\system32\Drivers\bsdpr64.sys C:\WINDOWS\system32\Drivers\cherimoya.sys C:\WINDOWS\system32\Drivers\KuaiZipDrive2.sys C:\WINDOWS\system32\log C:\WINDOWS\SysWOW64\findit.xml C:\WINDOWS\SysWOW64\kz.exe CMD: ipconfig /flushdns CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\sapphire\AppData\Local CMD: dir /a C:\Users\sapphire\AppData\Local\Apps\2.0 CMD: dir /a C:\Users\sapphire\AppData\LocalLow CMD: dir /a C:\Users\sapphire\AppData\Roaming CMD: type "C:\ProgramData\AVAST Software\AVAST\exclusions.ini" Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. Bossseed;Firefox Na razie nie instaluj ani Google Chrome, ani Firefox. Na Pulpicie utworzyłam folder Default do którego skopiowałam ciągle obecny na dysku pierwotny folder profilu Chrome już nie interpretowany przez Chrome - to w nim przypuszczalnie są zakładki i będziemy potem próbować je odtwarzać w świeżo zainstalowanych Chrome.

Problemem jest infekcja DNS w Windows, poniższy adres IP jest rosyjski. Poza tym w systemie różne drobne odpadki adware. Tcpip\..\Interfaces\{343a5120-dc9b-4b3c-bea3-990830fdc54d}: [NameServer] 188.120.239.115,8.8.8.8 Działania do przeprowadzenia. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{343a5120-dc9b-4b3c-bea3-990830fdc54d}: [NameServer] 188.120.239.115,8.8.8.8 Task: {1CB189FB-9C6E-44DE-A212-503F13561DC2} - \Y2Go\Updater\Y2GoUpdater -> Brak pliku DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Y2Go S2 NMSAccessU; C:\Users\Grzegorz Strojecki\AppData\Local\Temp\{CBBB362F-32A0-486D-BE1F-F0558B374B8F}\NMSAccessU.exe [X] AlternateDataStreams: C:\WINDOWS\system32\nvir3dgenco64.dll:$CmdTcID [130] AlternateDataStreams: C:\WINDOWS\system32\Drivers\nvstusb.sys:$CmdTcID [130] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Desktop\mp4.43speed80ke436e4367f18d242121b634fa5d12d7d76e2:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\ALLConverterPRO.exe:$CmdTcID [64] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\ALLConverterPRO.exe:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\ALLPlayerPL.exe:$CmdTcID [130] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\ALLPlayerPL.exe:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\Bloody6_V2016.0722A_US.zip:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\Cassadaga - Strefa duchw (2011) Lektor PL 720p - video w cdapl.mp4:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\ccsetup520.exe:$CmdTcID [64] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\ccsetup520.exe:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\changelog.txt:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\DIABOLICZNY PRZELADOWCA 2015 Horror Sci-Fi 720p - video w cdapl.mp4:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\Dirty Dancing (1987) Lektor PL.flv:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\Display Driver Uninstaller.exe:$CmdTcID [64] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\dokidoki.cht:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\dokidoki.frm:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\dokidoki.zip:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\DriverEasy_Setup.exe:$CmdTcID [130] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\Egzorcyzmy Molly Hartley [2015] LEKTOR PL 720p - video w cda.pl (1).mp4:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\FreemakeVideoConverterFull.exe:$CmdTcID [64] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\FreemakeVideoConverterFull.exe:$CmdZnID [29] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\GPU-Z.1.10.0.exe:$CmdTcID [64] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\GPU-Z.1.10.0.exe:$CmdZnID [29] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\JavaSetup8u101.exe:$CmdTcID [64] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\JavaSetup8u101.exe:$CmdZnID [29] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\Las samobjcw 2016 LEKTOR PL 720p - video w cdapl.mp4:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\license.txt:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\madVR.zip:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\MPC-HC.1.7.10.x64.exe:$CmdTcID [64] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\MPC-HC.1.7.10.x64.exe:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\MSIAfterburnerSetup.zip:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\nox_setup_v3.7.1.0_full_En_pokemon_0801.exe:$CmdTcID [64] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\nox_setup_v3.7.1.0_full_En_pokemon_0801.exe:$CmdZnID [29] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\Pandorum (2009) Lektor PL 720p - video w cdapl.mp4:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\Piramida.mp4:$CmdTcID [130] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\Piramida.mp4:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\readme.txt:$CmdZnID [26] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\SmartyUninstaller4.exe:$CmdTcID [64] AlternateDataStreams: C:\Users\Grzegorz Strojecki\Downloads\SmartyUninstaller4.exe:$CmdZnID [29] C:\FFOutput C:\Program Files\File Recovery C:\Program Files\KMSpico C:\Program Files\VideoLAN C:\Program Files (x86)\Auslogics C:\Program Files (x86)\FormatFactory C:\Program Files (x86)\Y2Go C:\ProgramData\Auslogics C:\ProgramData\RadiantViewer C:\ProgramData\simplitec C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\No Mans Sky C:\ProgramData\Microsoft\Windows\Start Menu\Programs\simplitec C:\TOSTACK C:\Users\Grzegorz Strojecki\AppData\Local\CEF C:\Users\Grzegorz Strojecki\AppData\Local\RadiantViewer C:\Users\Grzegorz Strojecki\AppData\Local\Xara C:\Users\Grzegorz Strojecki\AppData\LocalLow\IObit C:\Users\Grzegorz Strojecki\AppData\Roaming\AVAST Software C:\Users\Grzegorz Strojecki\AppData\Roaming\HelloGames C:\Users\Grzegorz Strojecki\AppData\Roaming\SimpleTV V03 C:\Users\Grzegorz Strojecki\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk C:\Users\Grzegorz Strojecki\AppData\Roaming\Microsoft\Windows\Start Menu\µTorrent.lnk C:\Users\Grzegorz Strojecki\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Ехрlоrеr.lnk C:\Users\Grzegorz Strojecki\AppData\Roaming\Microsoft\Word\Nowy%20Dokument%20programu%20Microsoft%20Word305463562755046178\Nowy%20Dokument%20programu%20Microsoft%20Word.docx.lnk C:\Users\Grzegorz Strojecki\Documents\MAGIX\Music Maker 2016 Live\_Demos.LNK C:\Users\Grzegorz Strojecki\Documents\MAGIX\Music Maker\_Demos.LNK C:\Users\Grzegorz Strojecki\Downloads\*-dp*.exe C:\Users\Grzegorz Strojecki\Downloads\*www.INSTALKI.pl*.exe C:\WINDOWS\SECOH-QAD.exe C:\WINDOWS\SECOH-QAD.dll Folder: C:\WINDOWS\Microsoft Antimalware Folder: C:\WINDOWS\system32\GroupPolicy Folder: C:\WINDOWS\system32\GroupPolicyUsers Folder: C:\WINDOWS\SysWOW64\GroupPolicy Folder: C:\WINDOWS\SysWOW64\GroupPolicyUsers CMD: for /d %f in ("C:\Users\Grzegorz Strojecki\AppData\Local\Temp*") do rd /s /q "%f" CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Klawisz z flagą Windows + R > certmgr.msc > rozwiń gałąź Zaufane główne urzędy certyfikacji > Certyfikaty > usuń certyfikat Y2Go, o ile nadal będzie widoczny na liście. 3. Zostały usunięte zdefektowane skróty Chrome, Opera i IE skierowane na nieistniejący już folder adware. Odtwórz ręcznie skróty w wybranych miejscach. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy ustąp[iły.

Nie dodałeś obowiązkowego raportu z GMER, a tu jak najbardziej zasadny. W systemie ofensywne sterowniki Shopperz działające w technice rootkit (FRST nie ma do nich dostępu): KLIK. A prócz tego także kupa innych instalacji adware, w tym infekcja DNS oraz całkowicie podmieniony profil Chrome (wstawiony przez adware, nie ma już w systemie poprawnego poprzedniego profilu). Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware groover, HPSewil, trotux - Uninstall. W przypadku błędów deinstalacji kontynuuj dalej. 2. Uruchom Zemana AntiMalware. Usuń wszystko co wykryje program i zapisz log z usuwania. Po usuwaniu zresetuj system. 3. W Google Chrome wymagane stworzenie nowego profilu od zera. CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML, o ile jest cokolwiek do eksportowania (brak poprzedniego poprawnego proflu). Ustawienia > karta Ustawienia > Osoby > usuń widoczną tam osobę, następnie Dodaj nową osobę i otwórz okno Chrome na nowym profilu, okna poprzedniego zamknij. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut, oraz GMER. Dołącz też plik fixlog.txt i raport utworzony przez Zemana.

O jakie reklamy chodzi (podaj przykładowe adresy), przy próbie otwierania jakich stron? Dodatkowe pytanie: widzę, że adresy DNS pobierane z routera zostały ustawione na Google, czy to znaczy że był wcześniej problem z infekcją routera? W raportach nic oczywistego, ale podejrzenia budzą rozszerzenia domontowane wtórnie do Google Chrome. Pomijając preinstalowane, udokumentowane jako nieszkodliwe oraz ze starą datą instalacji wyróżniają się te dwa: CHR Extension: (YouTube To MP3!) - C:\Users\Rafal\AppData\Local\Google\Chrome\User Data\Default\Extensions\hgdohmjplligggendhbmghhmpphabopi [2016-03-06] CHR Extension: (YouTube to MP3) - C:\Users\Rafal\AppData\Local\Google\Chrome\User Data\Default\Extensions\lkjpddnhjcjcjehifbekjknkfcpgbpek [2016-09-14] Występuje dwa razy, druga kopia zamontowana bardzo niedawno we wrześniu. Rozszerzenie to zostało z niejasnych powodów usunięte z Chrome Web Store. Działania do przeprowadzenia: 1. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj YouTube To MP3! + YouTube to MP3. 2. Poboczne sprzątanie szczątków, głównie po aktualizacji z Windows 7 do Windows 10. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: U3 idsvc; Brak ImagePath DisableService: PLAY INTERNET. RunOuc Task: {0597D9AA-C5B0-4C51-9DB8-3C3E4C2347AD} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {067D6D51-618D-4965-92A9-E0D572AAD2CA} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {09131807-72D0-4833-B047-73C97CBF25CE} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {14DA9EE2-D99E-4A53-98D3-4213F1585732} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {166237D8-4983-4545-B56F-FCBCFB698EBB} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {1E967BCB-C38E-4CB1-B317-9817CA32ED0C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {1EE7CF53-F82B-43D6-A7BF-1C3DED3BD69E} - Brak ścieżki do pliku Task: {216FA13A-342C-4386-BB17-0B6E10E94A21} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {25948CB3-8FB6-4ACF-8E6C-795C8B005881} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {2EF4320A-D357-4952-B26A-C94011C9CD84} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {38017F8A-CD71-473D-AB65-8332A1B84589} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {3929D257-9A74-4E42-9447-D7A522628EA7} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {59560FC6-D883-425D-8707-7738FBC7E89E} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {59700317-7125-480D-9051-7CEAD2BFEB26} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {6666FAE3-45C3-4247-80E9-44350A51A3BE} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {7322F6B0-7096-4E18-B298-BB2D69EDA823} - \Microsoft\Windows\Setup\GWXTriggers\Logon-URT -> Brak pliku Task: {73A1EA6B-67E6-4719-A41B-F9AB9D5E36CE} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {743E9DD6-3AC6-427F-A45F-257EEF4585CF} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {79D3E8C6-31A1-479B-8F55-A12F595A947B} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {7BC8AED8-B945-44D2-9C5C-9BE143D097FD} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {7C8027B6-5A0E-4A0C-93E6-0CE3A9AA98ED} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {80C87EBA-C47A-4C3A-97D2-A23793601C6C} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {961BE552-564C-49E7-8E78-307BBDFEA7DD} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {9B674956-ABF0-4FEF-820F-826EB451B195} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {9C6C0657-512F-4CCF-ADAC-6744FE3F1328} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {C9AD8535-D415-43B2-AA17-E22B42B9A22D} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {C9C45997-CC7E-4C04-B3C1-EC0CBA63C8EF} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {D274B4BB-456A-4CE0-BDDD-1696C9A87FE8} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {D8B627FE-2198-49C7-9843-8794882A461A} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {E981ABF3-B862-48D5-9FD5-ABE7FBAB26CA} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {EB7DD1AA-E625-47D3-A7E9-A72B8D4CC561} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {EF57B2D1-555B-485B-9271-C6B88B8DD7D9} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {F1370BB8-A7EB-4708-BAF2-F5A92BADAE63} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {F3F205A4-CC36-490E-BF71-DD0F26C1DB20} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {F908C102-5606-4365-97ED-137028889845} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {FC7825A0-FD40-4289-9CD2-7830EE925D6E} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Rafal\AppData\Local\Google\Chrome\User Data\System Profile C:\Users\Rafal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Vuze Leap C:\Windows\ehome C:\Windows\System32\Tasks\Microsoft\Windows\Media Center CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy po usunięciu rozszerzeń zChrome problem ustąpił.

Zakreślony fragment wskazuje, że chodzi tu właśnie o dane na serwerze Google zapisane przez synchronizację i ładowane lokalnie na każdy komputer na którym zostanie zalogowane konto Google. W podanych raportach FRST właściwie nic nie widać, tylko jakieś drobne szczątki po adware. Ale logi z FRST zostały zrobione z poziomu wbudowanego Administratora a nie zasadniczego konta krystian, pomimo że niby plik FRST był uruchamiany z Pulpitu krystiana: Uruchomiony przez Administrator (administrator) HP (04-10-2016 17:46:32) Uruchomiony z C:\Users\krystian.hp\Desktop ==================== Konta użytkowników: ============================= Administrator (S-1-5-21-3185890650-2609249503-3607620972-500 - Administrator - Enabled) => C:\Users\Administrator Gość (S-1-5-21-3185890650-2609249503-3607620972-501 - Limited - Disabled) HomeGroupUser$ (S-1-5-21-3185890650-2609249503-3607620972-1002 - Limited - Enabled) krystian (S-1-5-21-3185890650-2609249503-3607620972-1003 - Limited - Enabled) => C:\Users\krystian.hp Kontekst konta całkowicie zmienia to co widać od przeglądarki w logu - na danym konciejest pokazany tylko profil przeglądarki z tego konta. Zresetuj system, zaloguj się na konto krystian i dostarcz nowe logi z FRST.