picasso

Temat założony w niewłaściwym dziale. Przenoszę do diagnostyki infekcji. Komunikat jest bowiem pochodną infekcji. Dostarcz obowiązkowe logi: KLIK.

Poprzednie musiały być usunięte ze wszystkich miejsc, gdyż to nie były już oryginalne skróty Opera, tylko zmanipulowane przez adware. Niestety musisz je odtworzyć ręcznie. PS. Apropos "Panowie", ja jestem akurat płci żeńskiej. Działania w większości wykonane. Poprawki: 1. Avast zablokował reset własnego pliku exclusions.ini. Musisz ręcznie usunąć wszystkie dodane przez adware wyjątki z poziomu interfejsu Avast. 2. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\DPower_is1 S2 MaohaWifiSvr; C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe [X] S1 MaohaWifiNetPro; \??\C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaoHaWiFiNet64.sys [X] S0 szkg5; SySWOW64\drivers\szkg64.sys [X] Task: {809D2E50-9D92-4C99-8F23-348CDF7ACF94} - System32\Tasks\{C1A5690D-E8E5-4410-87D1-0BA48C90DDF7} => pcalua.exe -a "C:\Program Files (x86)\DPower\uninstaller.exe" FirewallRules: [{9411D6C6-CCDD-4CCE-8BC7-871B68EF521C}] => (Allow) C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe C:\ProgramData\STOPzilla! C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{EBEE7053-62C4-E01D-76FF-B729A2589E40}-Download Download.lnk C:\Users\RozzyJames\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MaohaWiFi.lnk C:\WINDOWS\system32\config\software.szfi C:\WINDOWS\system32\Drivers\kgpcpy.cfg CMD: type C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

W podanych działaniach nie było żadnej operacji, która mogłaby wpłynąć na zanik tego komunikatu. Nasuwa się raczej zmiana w IP. PC: Usuń ręcznie pobrany FRST i jego logi. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. LAPTOP: Rzeczywiście, nie widzę tego już na liście zainstalowanych. Na wszelki wypadek dołączę jednak klucz deinstalacji oraz ten folder. 1. Drobny skrypt na śmieci odpadkowe po deinstalacjach. Operacja z poziomu konta Iza. Otwórz Notatnik i wklej w nim: URLSearchHook: HKU\S-1-5-21-966588509-143319652-2419219573-1006 - Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - Brak pliku BHO: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku BHO: IEPluginBHO Class -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> C:\Documents and Settings\Iza\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll [2009-07-27] (GG Network S.A.) Toolbar: HKLM - Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku Toolbar: HKU\S-1-5-21-966588509-143319652-2419219573-1006 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1006_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\DOCUME~1\Iza\Pulpit\BESTPL~1.EXE => Brak pliku CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1006_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1006_Classes\CLSID\{31261F21-2B16-45EE-BEAB-07C4CFA18B65}\InprocServer32 -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1006_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1006_Classes\CLSID\{BB6410D8-F879-4184-9C5C-6A02D16AE0B3}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1006_Classes\CLSID\{CA1073A2-5F3F-4445-8E5E-7109BDCEDDBE}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1006_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1006_Classes\CLSID\{D5A55D2D-C59D-42C3-A5BF-4C08EEE74339}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku DPF: {31435657-9980-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll [Brak pliku] FF Plugin HKU\S-1-5-21-966588509-143319652-2419219573-1006: pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll [Brak pliku] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{18D10072035C4515918F7E37EAFAACFC} S4 sptd; System32\Drivers\sptd.sys [X] S3 SymIM; system32\DRIVERS\SymIM.sys [X] S3 SymIMMP; system32\DRIVERS\SymIM.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\LuUninstall.LiveUpdate C:\Documents and Settings\Iza\Dane aplikacji\Nowe Gadu-Gadu C:\Documents and Settings\Iza\Ustawienia lokalne\Dane aplikacji\Install.exe C:\Program Files\Common Files\Onet.pl CMD: netsh firewall reset Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Zaprezentuj wynikowy fixlog.txt. 2. Na wszelki wypadek przełącz się z powrotem na konto Czesiek i dostarcz FRST.txt + Addition.txt.

Skrypt pomyślnie wykonany. Zastosuj DelFix, następnie wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Mówiłeś: Chodziło mi więc o pokazanie tej informacji (przekopiowanie z dziennika skanów lub zrzut ekranu).

Owszem, masa niepożądanych obiektów adware/PUP aktywnie działających, w tym infekcja WMI infekująca skróty przeglądarek. Czy na pewno? Jedną z ostatnich akcji było doinstalowanie Avast. Jeśli w systemie Windows 10 pojawia się zewnętrzny antywirus, Windows Defender jest automatycznie deaktywowany i to normalne działanie mające zapobiec kolizji. Natomiast to co na pewno malware zrobiło, to samoistne wykluczenie się ze skanów Windows Defender, Avast, AVG i Avira. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj DPower version 1.0 (adware) oraz STOPzilla AntiMalware (skaner wątpliwej reputacji). W przypadku błędów kontynuuj dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 AdAnti; C:\Program Files (x86)\AdAnti\driver\x64\AdAnti.sys [114896 2016-09-10] () R1 MaohaWifiNetPro; C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaoHaWiFiNet64.sys [871152 2015-10-27] () R2 CkasotyshanuchControls; C:\Program Files (x86)\Prucutstky_\shhcch.dll [315392 2016-09-20] () [brak podpisu cyfrowego] R2 MaohaWifiSvr; C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe [170464 2014-12-18] (猫哈网络 版权所有) R2 Undp33; M:\Program Files\Undp\Undp3\Undp33.exe [193028 2016-09-20] () [brak podpisu cyfrowego] R2 Undp55; M:\Program Files\Undp\Undp5\Undp55.exe [193028 2016-09-20] () [brak podpisu cyfrowego] R2 Undp66; M:\Program Files\Undp\Undp6\Undp66.exe [193028 2016-09-20] () [brak podpisu cyfrowego] S0 is3srv; SySWOW64\drivers\is3srv64.sys [X] HKLM-x32\...\Run: [AdAnti] => C:\Program Files (x86)\AdAnti\AdAnti.exe [2504640 2016-09-14] () HKLM-x32\...\Run: [DiskPower] => C:\Program Files (x86)\DPower\DiskPower.exe [210432 2016-07-21] () HKLM\...\RunOnce: [OTUTPRODUCT_W7ZOS] => C:\Program Files (x86)\mpck\o_network.exe [287232 2016-09-20] (4XL) HKLM\...\RunOnce: [OMEWPRODUCT_BH2FO] => C:\Program Files (x86)\DPower\wemoshow.exe [290816 2016-09-20] (4XL) HKU\S-1-5-21-2170958554-1536813273-2872571073-1001\...\Run: [00WZGX7JDK] => C:\Program Files (x86)\DPower\9PVN12UK5U.exe [369664 2016-09-20] () Task: {18954CCF-A7FD-45D3-948E-6369C1A7DA52} - System32\Tasks\Ckasotyshanuch Controls => C:\Program Files (x86)\Prucutstky\crent.exe [2016-09-20] (CHENGDU YIWO Tech Development Co., Ltd) Task: {543AAFCA-8BD9-49A4-A562-7363D391D92E} - System32\Tasks\Berlletherserle Server => C:\Program Files (x86)\Plumly\ghiwodom.exe [2016-09-20] (VideoLAN) Task: {762DE7AA-77A5-428F-89C5-0837916680F5} - System32\Tasks\svchost => C:\Users\ROZZYJ~1\AppData\Local\Temp\is-EUEQE.tmp\51490.exe Task: {7AD8AE1D-3F00-415B-B311-62A80260110B} - System32\Tasks\CreateExplorerShellUnelevatedTask => /NOUACCHECK Task: {D0AD8016-022A-45C9-B033-F019894FDC02} - System32\Tasks\{C9429FE8-44BC-43CE-BC3A-CCCF782062DD} => pcalua.exe -a "C:\Program Files (x86)\DPower\uninstaller.exe" HKU\S-1-5-21-2170958554-1536813273-2872571073-1001\Software\Classes\exefile: HKU\S-1-5-21-2170958554-1536813273-2872571073-1001\Software\Classes\.exe: exefile => FirewallRules: [{9C4D98D9-7992-4CE2-BB9E-7E138948D446}] => (Allow) C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe WMI_ActiveScriptEventConsumer_ASEC: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2170958554-1536813273-2872571073-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins M:\Program Files\Undp C:\Program Files\SpaceSoundPro C:\Program Files (x86)\776wvx3o C:\Program Files (x86)\7t8iawri C:\Program Files (x86)\AdAnti C:\Program Files (x86)\badb4yrj C:\Program Files (x86)\DPower C:\Program Files (x86)\e3wpinat C:\Program Files (x86)\EasyHotspot C:\Program Files (x86)\host C:\Program Files (x86)\GreatMaker C:\Program Files (x86)\mpck C:\Program Files (x86)\sunnyday C:\Program Files (x86)\Plumly C:\Program Files (x86)\Prucutstky C:\Program Files (x86)\Prucutstky_ C:\Program Files (x86)\sbqh C:\Program Files (x86)\SPnP3 C:\Program Files (x86)\SPnP4 C:\Program Files (x86)\SPnP5 C:\Program Files (x86)\SPnP6 C:\Program Files (x86)\tsrhnlxr C:\Program Files (x86)\u72bgqw1 C:\ProgramData\AVAST Software\Avast\exclusions.ini C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\Thunder Network C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MaohaWiFi C:\Users\RozzyJames\AppData\Local\Calerdompluwise C:\Users\RozzyJames\AppData\Local\Lopuwardpleripy C:\Users\RozzyJames\AppData\Roaming\Microsoft\Windows\Start Menu\净广大师 C:\Users\RozzyJames\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ореrа.lnk C:\Users\Public\Thunder Network C:\Users\Public\Desktop\Ореrа.lnk Folder: C:\WINDOWS\system32\GroupPolicy Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers /s Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txtumieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W skrypcie zostały usunięte wszystkie skróty Opera zawierające substytuty Unicode w nazwach. Odtwórz wszystkie skróty ręcznie. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut (poprzednio zabrakło tego trzeciego pliku). Dołącz też plik fixlog.txt.

+ z Twojego poprzedniego tematu: Na chwilę obecną nasuwają mi się tylko sterowniki grafiki jako przyczyna. W Firefox 48 zaimplementowano chyba kolejne zmiany w obsłudze grafiki, a tolerancja dla starszych rozwiązań jest coraz mniejsza. Nie wiem. Czy próbowałeś KIS bez przywracania poprzednich wyeksportowanych ustawień? Czy do KIS po reinstalacji zostały dodane ewentualne patche z aktualizacji? Poza tym, czy próbowałeś najnowszą edycję 2017? Nic więcej nie wymyślę.

Sprawdź czy nastąpią zmiany po tej manipulacji: about:config > wyszukaj gfx.font_rendering.directwrite.force-enabled i przestaw na true > przeładuj Firefox. I problemem mogą być po prostu sterowniki grafiki. W raporcie FRST te dane nie są widoczne, więc nie wiadomo jakie sterowniki i jak bardzo stare.

Tu jest jeden dysk fizyczny, przeniesienie pliku wymiany na dalszą partycję może odbić się na wydajności. Ta operacja miałaby większy sens, gdyby był dostępny drugi bardzo szybki dysk.

MPC Cleaner już zdewastowany w dużej części, ale to nie jedyny problem. Jest tu także infekcja DNS (ustawione rosyjskie adresy IP) oraz infekcja WMI i skrótów. Operacje do wdrożenia: 1. Sugeruję deinstalację YTD Video Downloader 5.1.1 (instalatory sponsorowane przez adware). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Tcpip\..\Interfaces\{94a3c708-b67c-4a8a-a520-2a927c10945a}: [NameServer] 188.120.239.115,8.8.8.8 WMI_ActiveScriptEventConsumer_ASEC: GroupPolicy: Ograniczenia - Chrome ShortcutWithArgument: C:\Users\MaTii\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\MaTii\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\MaTii\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc CHR DefaultSearchURL: Default -> hxxp://sc-downloader.com/?utm_source=cws-addon CHR DefaultSearchKeyword: Default -> lp CHR Session Restore: Default -> [funkcja włączona] FF Plugin: @iqiyi.com/npWebPlayer -> C:\IQIYI Video\LStyle\npWebPlayer.dll [brak pliku] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1436825657&z=ca3dbf97e090f4f1187b6e7g3z8ccqab0ofw3q6z9w&from=obw&uid=KINGSTONXSM2280S3120G_50026B7255002482&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1436825657&z=ca3dbf97e090f4f1187b6e7g3z8ccqab0ofw3q6z9w&from=obw&uid=KINGSTONXSM2280S3120G_50026B7255002482&q={searchTerms} HKU\S-1-5-21-122393886-2402834969-4264950312-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617912&ResetID=131182763146670752&GUID=BA938CF2-7B82-4DA2-8DC6-0E843CB1F8A6 SearchScopes: HKU\S-1-5-21-122393886-2402834969-4264950312-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-122393886-2402834969-4264950312-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-122393886-2402834969-4264950312-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=obw&utm_campaign=install_ie&utm_content=ds&from=obw&uid=KINGSTONXSM2280S3120G_50026B7255002482&ts=1436825672&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-122393886-2402834969-4264950312-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=obw&utm_campaign=install_ie&utm_content=ds&from=obw&uid=KINGSTONXSM2280S3120G_50026B7255002482&ts=1436825672&type=default&q={searchTerms} R1 {699bd245-8d10-4e76-8ffa-df6cfdf0e2bc}Gw64; C:\Windows\System32\drivers\{699bd245-8d10-4e76-8ffa-df6cfdf0e2bc}Gw64.sys [48784 2015-07-13] (StdLib) R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-09-06] () [brak podpisu cyfrowego] R2 WsAppService; C:\Program Files (x86)\Wondershare\WAF\2.2.4.1\WsAppService.exe [417792 2016-07-12] (Wondershare) [brak podpisu cyfrowego] S3 dbx; system32\DRIVERS\dbx.sys [X] S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S2 MPCProtectService; "C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe" [X] S3 WsDrvInst; "C:\Program Files (x86)\Wondershare\Dr.Fone for Android\DriverInstall.exe" [X] Task: {2B1BEFF4-F03B-45E1-98BB-5AC2422683B7} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {3D830C81-1DCB-4356-9C02-1D2DADEE7FA7} - System32\Tasks\{BE01AE9E-FE9F-49D6-A500-A9107FEBF637} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\core\PDApp.exe" -c --appletID="DWA_UI" --appletVersion="2.0" --mode="Uninstall" --mediaSignature="{793C2BF7-A4FE-4608-91C9-9282C5801C21}" Task: {464A9C76-72A1-4F6B-A44D-1CA539E95AC1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {588F3A9E-BBC4-4C09-A04F-5B3A16E73E6A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {869D9A8D-737D-490B-9EB5-8DC2EFD2B97C} - \CCleanerSkipUAC -> Brak pliku Task: {9DDD24DB-C30B-4EBD-ACFC-C47A908D4B97} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {B1DA4348-C111-4CE9-B7D5-28C756B12836} - \Bidaily Synchronize Task[973b] -> Brak pliku Task: {C54A051F-7BDE-4241-A365-734BB47DEBE4} - System32\Tasks\Perotainghernerry System => C:\Program Files (x86)\Kazushsicty\shehuch.exe Task: {C89CBA81-177C-4546-91F8-06ECE914D94E} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {CE8B7790-821A-44CD-9D84-BFEE0E9C9B18} - System32\Tasks\Cjaythituther Core => C:\Program Files (x86)\Shoqeent\cjycrLiterpyprwch.exe Task: {CEAAAD92-4C70-4C4E-96A8-C6B9FEDAB731} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {D6B307DD-F784-49DD-8EE8-519279478097} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {DB6176F2-99F8-4A17-907B-162D963D3710} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {EC1E7DF8-2E29-433A-8F04-85FB93412781} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {EDC201D7-61E5-4695-BB10-85933C9F0279} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {FD55AA12-0616-41A2-945B-1139F3AE078D} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: C:\WINDOWS\Tasks\Bidaily Synchronize Task[973b].job => c:\programdata\{4fdce565-d225-1a2f-4fdc-ce565d229597}\setup_product_27839.exe Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe HKLM-x32\...\Run: [] => [X] HKLM\...\StartupApproved\Run: => "AdobeAAMUpdater-1.0" HKU\S-1-5-21-122393886-2402834969-4264950312-1001\...\StartupApproved\Run: => "EADM" HKU\S-1-5-21-122393886-2402834969-4264950312-1001\...\StartupApproved\Run: => "AirDroid 3" HKU\S-1-5-21-122393886-2402834969-4264950312-1001\...\StartupApproved\Run: => "MailStylerWarmup" FirewallRules: [{61ACB03D-D3EB-4EAF-B55C-0B335EF8BBAB}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer.exe FirewallRules: [{54DA602D-4D06-4575-921C-66C5C0236DE5}] => (Allow) C:\Users\MaTii\AppData\Local\Temp\7zS7ACA\HPDiagnosticCoreUI.exe FirewallRules: [{CB878BC1-B4E1-496E-9C96-E81C80B50767}] => (Allow) C:\Users\MaTii\AppData\Local\Temp\7zS7ACA\HPDiagnosticCoreUI.exe FirewallRules: [{1A62BBBB-E291-46E7-B65F-91D4F8867BEC}] => (Allow) C:\Users\MaTii\AppData\Roaming\IQIYI Video\GeePlayer\GpUpdate.exe FirewallRules: [{086263FF-7441-400A-A686-B5CECC6E103B}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer\2.1.20.1931\GeePlayer.exe FirewallRules: [{D1DFB400-51C4-4F4D-9D4C-6564327B75C4}] => (Allow) C:\Users\MaTii\AppData\Roaming\IQIYI Video\GeePlayer\GpUpdate.exe FirewallRules: [{145C7443-E946-4E9B-B656-E00E99D41778}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer\2.1.20.1931\GeePlayer.exe FirewallRules: [{2836A2DD-0D9F-4870-8286-BB7F26330A10}] => (Allow) C:\Users\MaTii\AppData\Local\Temp\MPCOnline\MPCDownload.exe FirewallRules: [{85A265A0-7995-4689-BB3F-819FCAC6C0DA}] => (Allow) C:\Users\MaTii\AppData\Local\Temp\MPCOnline\MPCDownload.exe FirewallRules: [{FD264E4A-8DF8-4D83-94C9-7AD808E5201E}] => (Allow) C:\Users\MaTii\AppData\Local\Temp\00025266\inst_buychannel_37.exe FirewallRules: [{12F18B45-AC30-4D6F-AD4B-6669B9E56441}] => (Allow) C:\Users\MaTii\AppData\Local\Temp\00025266\inst_buychannel_37.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths C:\Program Files (x86)\{516D9F5A-D8E3-485A-838A-AE688ED07E5C} C:\Program Files (x86)\DrFoneAndroid_Temp C:\Program Files (x86)\KMSPico 10.0.6 C:\Program Files (x86)\MPC Cleaner C:\Program Files (x86)\sbqh C:\Program Files (x86)\Shoqeent C:\Program Files (x86)\Wondershare C:\ProgramData\mntemp C:\ProgramData\rxsmznjf.zcp C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\Wondershare C:\ProgramData\wsr C:\ProgramData\Microsoft\Windows\Start Menu.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\InsERT C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk C:\Users\MaTii\.android C:\Users\MaTii\AppData\Local\{65EE4718-B44C-4891-91B7-8CA860D4CA38} C:\Users\MaTii\AppData\Local\Kabeghtjerpoing C:\Users\MaTii\AppData\Roaming\09ED6CC2-1436825761-3449-A18F-2C316B87DAF5 C:\Users\MaTii\AppData\Roaming\ClassicShell C:\Users\MaTii\AppData\Roaming\GameLauncher C:\Users\MaTii\AppData\Roaming\HMYGSetting C:\Users\MaTii\AppData\Roaming\Wondershare C:\Users\MaTii\AppData\Roaming\IObit\Advanced SystemCare V7 C:\Users\MaTii\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk C:\Users\MaTii\AppData\Roaming\Microsoft\Windows\SendTo\MPC Desktop.lnk C:\Users\MaTii\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Ехрlоrеr.lnk C:\Users\MaTii\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome C:\Users\MaTii\AppData\Roaming\Microsoft\Word\cv-katarzyna-jozefiak305442872836301973\cv-katarzyna-jozefiak.docx.lnk C:\Users\MaTii\Desktop\Zarządzanie Sklepem\Kasiarz GT.lnk C:\Users\MaTii\Desktop\Zarządzanie Sklepem\Novitus wgrywanie grafiki i animacji.lnk C:\Users\MaTii\Desktop\Zarządzanie Sklepem\Sello.lnk C:\Windows\System32\drivers\{699bd245-8d10-4e76-8ffa-df6cfdf0e2bc}Gw64.sys C:\WINDOWS\System32\drivers\MPCKpt.sys C:\WINDOWS\system32\Drivers\RegDeleteEx.sys C:\WINDOWS\SysWOW64\dllhost.exe.config Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows *. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. * Tryb awaryjny Windows 10: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > wybierz Tryb awaryjny. 3. Zresetuj ustawienia przeglądarek: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

To ciągle za mało. Problem powróci przy kolejnych aktualizacjach Windows, czy instalacjach programów. Jak mówiłam, jeszcze sprawdź co mówi SpaceSniffer, choć nie spodziewam się, by wyniki się radykalnie poprawiły. Przez SHIFT+DEL (omija Kosz) skasuj folder C:\FRST oraz FRST i jego logi z D:\Downloads.

System nie jest tkanką stałą, wykonują się różne aktualizacje (Windows i programów), nie ma więc gwarancji, że program będzie działał poprawnie w nieskończoność. Swoją drogą, to nie była najnowsza edycja KIS. Sprawdziłabym jednak co się stanie po przywróceniu programu. Sprawdź czy jest to uzależnione od konfiguracji profilu. Załóż testowo nowy profil Firefox i się na niego zaloguj. Dostęp do menedżera profilów FF via polecenie: "C:\Program files (x86)\Mozilla Firefox\firefox.exe" -p

Nie odpowiedziałweś mi na pytanie: Pokaż o które wpisy chodzi. Jeśli rzecz o automatach czyszczących rejestr, nieszczególnie polecam. Można sobie nagrabić. Zdarza się, że są problemy z deinstalacją tego typu programów. A sterowniki filtrujące urządzenia mogą pozostać nawet po deinstalacji. Od czasu do czasu to widzę np. przy Avast czy Kasperskym. Uruchom Zoek. W oknie wklej: Apple Software Update;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log).

Temat przenoszę do właściwego działu Windows. Tak jak mówi Zappa, masz po prostu małą partycję na system i tu raczej nic więcej nie wskórasz bez przebudowy układu partycji lub zakupu większego dysku. Problem z miejscem na dysku będzie powracał. ==================== Dyski ================================ Drive c: () (Fixed) (Total:45.13 GB) (Free:0.34 GB) NTFS Drive d: () (Fixed) (Total:29.3 GB) (Free:9.11 GB) NTFS Dla świętego spokoju sprawdź jeszcze co powie SpaceSniffer (wywołany przez Uruchom jako Administrator), czy gdzieś nie pokaże się miejsce które można ewentualnie przeczyścić. PS. W spoilerze skrypt usuwający niepożądaną instalację sponsorowaną Bing oraz wpisy puste. W skrypcie też czyszczenie Tempów, co być może odrezerwuje nieco miejsca, ale to nie przyniesie raczej wymiernych korzyści.

I na tym komputerze brak oznak czynnej infekcji (tylko dwa szczątkowe wpisy po infekcjach z przeszłości). Czyli do wykonania tylko poboczne działania na obu kompach, polegające na usunięciu starych programów (m.in. zagrożenie infekcjami szyfrującymi dane) oraz odpadkowych wpisów: PIERWSZY KOMPUTER: 1. Odinstaluj: Adobe Flash Player 10 ActiveX, Adobe Flash Player 22 NPAPI, Bonjour. Najnosze wersje linkowane w przyklejonym: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 aspnet_state; %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [X] S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] S3 ctgame; system32\DRIVERS\ctgame.sys [X] Task: {2647D7B3-32D6-4FA7-BAD3-754EC65189C1} - System32\Tasks\{D40F4B13-501F-4DFA-A101-6368470E0ED1} => pcalua.exe -a C:\Users\Meeshoo\Desktop\Flac_Plugin_for_WA2.exe -d C:\Users\Meeshoo\Desktop Task: {4D807111-F329-4A31-BADF-B6F45A584BC4} - System32\Tasks\{DDC66981-B975-444F-9085-891C8E9998CD} => pcalua.exe -a G:\PROGRAMY\winamp\Flac_Plugin_for_WA2.exe -d G:\PROGRAMY\winamp Task: {91FEF3B8-A03F-46C3-B25E-0D30A7A6687C} - System32\Tasks\{D75ED630-5766-458E-A772-1000348C368B} => pcalua.exe -a H:\Setup.exe -d H:\ Task: {C80EDF93-72DA-4E25-AF80-10D24BE1781A} - System32\Tasks\{972F8CDB-F11A-4BAF-B922-6496197C9FC5} => H:\Setup.exe Task: {D6FC561D-36C8-4B75-8915-3536A52AC09F} - System32\Tasks\{A96136BF-D2A6-40DC-A39F-02A715FB1B01} => pcalua.exe -a E:\Programy\IDM\Downloads\Programs\Flac_Plugin_for_WA2.exe -d E:\Programy\IDM\Downloads\Programs HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = C:\Program Files (x86)\Mozilla Firefox\plugins C:\Users\Meeshoo\AppData\Local\Microsoft\Windows\GameExplorer\{C617706A-73D3-4017-9AD7-83B104AF1DFC} C:\Users\Meeshoo\AppData\Local\Microsoft\Windows\GameExplorer\{EA379722-7B4B-4C01-AD84-C965AF26FDB4} C:\Users\Meeshoo\Desktop\Gry\CoJ_DX10.lnk C:\Users\Meeshoo\Desktop\Gry\Singularity™.lnk DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Mozilla\Thunderbird DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne. DRUGI KOMPUTER: 1. Odinstaluj: Adobe Flash Player 10 ActiveX, Adobe Flash Player 19 NPAPI, Adobe Reader 8.1.3, AutoUpdate, DivX Codec, DivX Player, Gadu-Gadu 7.7, Java 6 Update 13, LiveUpdate (Symantec Corporation), LiveVDO plugin 1.3 (niepożądany program), Norton Internet Security, Nowe Gadu-Gadu, Pando Media Booster, Real Alternative 2.0.2, Skype™ 3.8. Symantec szokująco stary (komponenty z zakresu czasowego 2007-2009), to zerowa ochrona. Należy także zaktualizować IE i OpenOffice.org. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 MREMPR5; \??\C:\PROGRA~1\COMMON~1\Motive\MREMPR5.SYS [X] S3 MRENDIS5; \??\C:\PROGRA~1\COMMON~1\Motive\MRENDIS5.SYS [X] HKLM\...\Policies\Explorer\Run: [] => 1 HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] <===== UWAGA HKU\S-1-5-18\...\RunOnce: [] => [X] HKU\S-1-5-19\...\RunOnce: [] => [X] HKU\S-1-5-20\...\RunOnce: [] => [X] MSCONFIG\startupfolder: C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk => C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup MSCONFIG\startupfolder: C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Synchronizer.lnk => C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup MSCONFIG\startupfolder: C:^Documents and Settings^Iza^Menu Start^Programy^Autostart^OpenOffice.org 3.1.lnk => C:\WINDOWS\pss\OpenOffice.org 3.1.lnkStartup MSCONFIG\startupreg: Adobe Reader Speed Launcher => "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" MSCONFIG\startupreg: cdoosoft => C:\DOCUME~1\Czesiek\USTAWI~1\Temp\herss.exe MSCONFIG\startupreg: DAEMON Tools Pro Agent => "D:\Programy\DAEMON Tools Pro\DTProAgent.exe" MSCONFIG\startupreg: Onet.pl AutoUpdate => "C:\Program Files\Common Files\Onet.pl\NewAutoUpdate.exe" /updateexe MSCONFIG\startupreg: osCheck => "c:\Program Files\Norton Internet Security\osCheck.exe" MSCONFIG\startupreg: Pando Media Booster => C:\Program Files\Pando Networks\Media Booster\PMB.exe MSCONFIG\startupreg: Skype => "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized MSCONFIG\startupreg: SunJavaUpdateSched => "C:\Program Files\Java\jre6\bin\jusched.exe" FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{8D7D2171-C132-4BE2-A89B-841F1735E4F9} C:\Documents and Settings\All Users\Menu Start\Programy\ReadMe File.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Serious Sam - The Second Encounter\ReadMe File.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Serious Sam - The Second Encounter\Seriously Warped Deathmatch v3.0\ReadMe File.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Seriously Warped Deathmatch v3.0 C:\Documents and Settings\Iza\Pulpit\Programy\Skrót do SeriousSam.exe.lnk C:\Documents and Settings\Iza\Pulpit\Programy\Last.fm.lnk C:\Documents and Settings\Iza\Pulpit\Programy\Malwarebytes Anti-Malware.lnk C:\Documents and Settings\Czesiek\Dane aplikacji\skype.ini C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\Program Files\StartSearch plugin EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Uruchom w ten sam sposób jak przy poprzednim komputerze i przedstaw wynikowy fixlog.txt. 3. W systemie są dwa konta. Potrzebne jeszcze logi z konta Iza (główny + Addtion, bez Shortcut).

Cmd.exe to proces Wiersza poleceń. W ostatnich raportach FRST nie widziałam żadnego obiektu który mógłby to samoczynnie odpalać. Czy w momencie, gdy to się pokazało, odpalałaś jakiś konkretny program? Sprawdź jeszcze czy coś pomoże reset przeglądarki: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Jeszcze do wykonania drobny skrypt końcowy. Otwórz Notatnik i wklej w nim: FF Plugin HKU\S-1-5-21-1894515312-3285578680-510463183-1000: @unity3d.com/UnityPlayer,version=1.0 -> Unity\WebPlayer\loader\npUnity3D32.dll [brak pliku] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\K-Lite Codec Pack RemoveDirectory: C:\Users\User\AppData\Roaming\Real RemoveDirectory: C:\Users\Public\Documents\PC Faster CMD: attrib -s -h C:\ProgramData\KGyGaAvL.sys CMD: del /q C:\ProgramData\KGyGaAvL.sys CMD: netsh advfirewall reset Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). PS. Przypadkowo zedytowałam Twój post i wymazało mi link który podałaś.

Tak, odpowiedź pisałam gdy łata nie była jeszcze dostępna. Łatę tę podawałam w nowszych tematach, np. KLIK i KLIK. I łata ta ma wymagania, musi być zainstalowany w pierwszej kolejności nowszy stack Windows Update, czyli KB3020369.

Nadal widoczne problemy, utworzyły się nowe obiekty adware (UCGuard został zastąpiony nowym sterowikiem ucdrv ładującym pliki z ukrytych strumieni ADS), a problem Chrome w ogóle nie rozwiązany: Naprawa FRST nie manipulowała w ogóle w profilach Chrome i nie miała tego naprawić. Niestety ale on nadal jest, być może nazwa w opcjach jest inna niż user0, ale na dysku folder tego profilu to ChromeDefaultData2 (to nie jest folder który tworzy Chrome). To jest Twój jedyny profil i musisz zastąpić go nowym utworzonym od zera. Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 KuaiZipDrive; C:\WINDOWS\system32\drivers\KuaiZipDrive.sys [92872 2016-09-16] (WinMount International Inc) R1 ucdrv; C:\WINDOWS\System32\drivers:ucdrv-x64.sys [0 ] (UC Web Inc.) <==== UWAGA (zerobajtowy plik/folder) S2 UCBrowserSvc; "C:\Program Files (x86)\UCBrowser\Application\UCService.exe" [X] Task: {1143DBC4-E77A-44D3-8657-690B380F2297} - System32\Tasks\SecureUpdater => C:\Program Files (x86)\UCBrowser\Application\uclauncher.exe <==== UWAGA AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [20488] AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [360904] AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1157922] ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => Brak pliku C:\ProgramData\Norton C:\WINDOWS\system32\drivers\KuaiZipDrive.sys Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST, tym razem UTf-8 nie jest wymagane. Ponownie wejdź w Tryb awaryjny. Uruchom FRST i kliknij w Napraw (Fix). Ma nastąpić restart systemu i powstanie kolejny plik fixlog.txt. 2. Na liście ciągle widać wszystkie podane stare programy McAfee, ich deinstalacja nadal aktualna: ==================== Zainstalowane programy ====================== McAfee Parental Controls (HKLM-x32\...\MOCP) (Version: 2.2.122.12 - McAfee, Inc.) McAfee Security Scan Plus (HKLM\...\McAfee Security Scan) (Version: 3.8.150.1 - McAfee, Inc.) McAfee WebAdvisor (HKLM-x32\...\{35ED3F83-4BDC-4c44-8EC6-6A8301C7413A}) (Version: 4.0.266 - McAfee, Inc.) Shared C Run-time for x64 (HKLM\...\{EF79C448-6946-4D71-8134-03407888C054}) (Version: 10.0.0 - McAfee) Jeśli jest jakiś problem z ich deinstalacją, zacznij od użycia McAfee Consumer Product Removal Tool. 3. Operacja w Google Chrome również nadal aktualna. Z obecnego profilu wyeksportuj ręcznie zakładki do pliku HTML, o ile jest co eksportować. Następnie zamień profile wg podanych wcześniej wytycznych. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

Temat doklejam do wątku właściwego, nie widzę sensu dzielić tematu. + Nie ma raportu z MBAM co wykrył w Firefox, nie wiadomo dlaczego została odpalona zmiana profilu, ale mogła być uzasadniona. Są owszem obecnie infekcje wstawiające całe prekonfigurowane fałszywe profile do Firefox. Wprawdzie nie widać w raportach bezpośrednich oznak tego typu infekcji, ale to log zmanipulowany (zastępowałeś ręcznie zawartość folderów profilów), a ślady adware owszem są (np. odpadkowa usługa Winsere). Brak jednak dowodu na zastąpienie profilów. Twój opis równie dobrze można odczytać, iż przestawił się tylko ostatnio użyty profil (co należało skonfigurować w Menedżerze profilów FF uruchamiając polecenie "firefox.exe -p" zamiast zastępować zawartość folderów). Ale nic nie wiadomo. Co mówi log o Firefox: zawalony masą rozszerzeń i wtyczek, w tym dwie stare (Adblock Plus + ChromEdit Plus niepodpisane cyfrowo i powinny być zablokowane), kilka martwych preferencji. Brak jednak danych co może blokować CCleaner. Mnie raczej zastanawia ewentualna interferencja Kaspersky Internet Security, bo jednak problem raportujesz nie tylko w Firefox, a program jest mocno inwazyjny. Zwłaszcza KIS jest podejrzany w tym kontekście: 1. Sprawdź czy będzie zmiana po użyciu innej metody czyszczenia (EmptyTemp: w FRST). Na początek odinstaluj niepodpisane cyfrowo rozszerzenia z Firefox. Następnie usuń puste wpisy wtyczek w Chrome poprzez reset cache (w pasku adresów chrome://plugins > na liście wtyczek wybierz dowolną i kliknij Wyłącz > następnie wtyczkę ponownie Włącz). A na koniec wykonaj skrypt do FRST (uwzględniający też różne odpadkowe wpisy): 2. Sprawdź co się dzieje po tymczasowym wyłączeniu osłon Kasperskiego. 3. Jeśli podane punkty nic nie wniosą do sprawy, sugeruję testową deinstalację Kasperskiego, by się przekonać na co ma wpływ. Zwykłe deaktywacje w opcjach nie wyłączają programu w sposób o który tu chodzi (zostają aktywne m.in. sterowniki).

vs. Na wszelki wypadek zapytam... Czy na pewno tu jest mowa o właściwym przedziale czasowym? Chciałaś odzyskiwać plik nawet z sierpnia (co mnie zasugerowało), a teraz widzę, że ta data to zdaje się nie ta o którą chodzi. Skoro twierdzisz w pierwszym poście że infekcja nastąpiła podczas szukania tej strony, to historia zawierająca tę stronę bardzo świeża (czyli nie ma jej w wersji pliku z sierpnia czy początku września). Elementy infekcji w logu były datowane na 12 i 13 wrzesień, co sugeruje że należy wyszukać wersję pliku z tych dni lub z dnia tuż przed uruchomieniem CCleaner (nie wiem kiedy był użyty, ale zainstalowano go 13). W punktach Przywracania są tylko możliwości na 11 i 14 wrzesień. Nic więcej nie jestem w stanie poradzić. Jeśli chodzi o usuwanie, wszystko zrobione. Drobne poprawki: 1. Otwórz Notatnik i wklej w nim: Task: {3F51C1A4-E2D4-44D9-93D0-B634EDAD6D22} - System32\Tasks\{9B574EE7-F443-48DB-8089-409D20B67405} => pcalua.exe -a C:\ProgramData\DivX\Setup\DivXSetup.exe -c /uninstall DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\DivX Setup RemoveDirectory: C:\KVRT_Data RemoveDirectory: C:\MATS RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JetClean RemoveDirectory: C:\Users\ppp\Doctor Web RemoveDirectory: C:\Users\ppp\AppData\Roaming\.ACEStream RemoveDirectory: C:\Users\ppp\AppData\Roaming\ACEStream RemoveDirectory: C:\Users\ppp\Downloads\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Zaprezentuj wyniki ze skanera ESET jak przedstawia sprawę. W raportach nie ma oznak infekcji. A pliki o statusie "Nieznany" w Hitman to poprawne pliki systemowe. One są widoczne także w skanie FRST, gdyż co dopiero była jakaś aktualizacja Windows: 2016-09-14 07:14 - 2016-08-21 01:22 - 00435200 _____ (Microsoft Corporation) C:\Windows\system32\schannel.dll 2016-09-14 07:14 - 2016-08-21 00:50 - 00360448 _____ (Microsoft Corporation) C:\Windows\SysWOW64\schannel.dll 2016-09-14 07:14 - 2016-08-04 16:17 - 00416768 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\srv.sys 2016-09-14 07:14 - 2016-08-03 20:06 - 00675328 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\srv2.sys 2016-09-14 07:14 - 2016-08-03 20:05 - 00243712 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\srvnet.sys 2016-09-14 07:13 - 2016-09-01 05:08 - 20312064 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll 2016-09-14 07:13 - 2016-09-01 04:46 - 00498688 _____ (Microsoft Corporation) C:\Windows\SysWOW64\vbscript.dll 2016-09-14 07:13 - 2016-09-01 04:24 - 00663552 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll 2016-09-14 07:13 - 2016-09-01 03:39 - 00880128 _____ (Microsoft Corporation) C:\Windows\SysWOW64\inetcomm.dll 2016-09-14 07:13 - 2016-09-01 03:30 - 00692736 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll 2016-09-14 07:13 - 2016-09-01 03:27 - 13808128 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll 2016-09-14 07:13 - 2016-09-01 03:24 - 04607488 _____ (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll 2016-09-14 07:13 - 2016-09-01 02:45 - 25770496 _____ (Microsoft Corporation) C:\Windows\system32\mshtml.dll 2016-09-14 07:13 - 2016-09-01 02:43 - 02445824 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll 2016-09-14 07:13 - 2016-09-01 02:42 - 00710144 _____ (Microsoft Corporation) C:\Windows\SysWOW64\ieapfltr.dll 2016-09-14 07:13 - 2016-09-01 02:38 - 01316352 _____ (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll 2016-09-14 07:13 - 2016-09-01 02:24 - 00576000 _____ (Microsoft Corporation) C:\Windows\system32\vbscript.dll 2016-09-14 07:13 - 2016-09-01 02:10 - 00817664 _____ (Microsoft Corporation) C:\Windows\system32\jscript.dll 2016-09-14 07:13 - 2016-09-01 02:06 - 06047232 _____ (Microsoft Corporation) C:\Windows\system32\jscript9.dll 2016-09-14 07:13 - 2016-09-01 01:38 - 01032704 _____ (Microsoft Corporation) C:\Windows\system32\inetcomm.dll 2016-09-14 07:13 - 2016-09-01 01:28 - 00806400 _____ (Microsoft Corporation) C:\Windows\system32\msfeeds.dll 2016-09-14 07:13 - 2016-09-01 01:15 - 15411712 _____ (Microsoft Corporation) C:\Windows\system32\ieframe.dll 2016-09-14 07:13 - 2016-09-01 01:10 - 02921472 _____ (Microsoft Corporation) C:\Windows\system32\wininet.dll 2016-09-14 07:13 - 2016-09-01 00:58 - 01550848 _____ (Microsoft Corporation) C:\Windows\system32\urlmon.dll 2016-09-14 07:13 - 2016-09-01 00:47 - 00800768 _____ (Microsoft Corporation) C:\Windows\system32\ieapfltr.dll 2016-09-14 07:13 - 2016-08-26 07:51 - 02894336 _____ (Microsoft Corporation) C:\Windows\system32\iertutil.dll 2016-09-14 07:13 - 2016-08-26 06:44 - 02286592 _____ (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll 2016-09-14 07:13 - 2016-08-26 06:41 - 02881536 _____ (Microsoft Corporation) C:\Windows\system32\actxprxy.dll 2016-09-14 07:13 - 2016-08-26 06:00 - 01049600 _____ (Microsoft Corporation) C:\Windows\SysWOW64\actxprxy.dll 2016-09-14 07:13 - 2016-08-21 01:45 - 07076864 _____ (Microsoft Corporation) C:\Windows\system32\glcndFilter.dll 2016-09-14 07:13 - 2016-08-21 01:05 - 05273600 _____ (Microsoft Corporation) C:\Windows\SysWOW64\glcndFilter.dll 2016-09-14 07:13 - 2016-08-21 00:42 - 07795712 _____ (Microsoft Corporation) C:\Windows\system32\Windows.Data.Pdf.dll 2016-09-14 07:13 - 2016-08-21 00:27 - 05268480 _____ (Microsoft Corporation) C:\Windows\SysWOW64\Windows.Data.Pdf.dll 2016-09-14 07:13 - 2016-08-14 21:34 - 01541248 _____ (Microsoft Corporation) C:\Windows\system32\user32.dll 2016-09-14 07:13 - 2016-08-14 20:25 - 04171264 _____ (Microsoft Corporation) C:\Windows\system32\win32k.sys 2016-09-14 07:13 - 2016-08-14 18:14 - 01376768 _____ (Microsoft Corporation) C:\Windows\SysWOW64\user32.dll 2016-09-14 07:13 - 2016-08-13 09:41 - 07445848 _____ (Microsoft Corporation) C:\Windows\system32\ntoskrnl.exe 2016-09-14 07:13 - 2016-08-13 09:40 - 01737080 _____ (Microsoft Corporation) C:\Windows\system32\ntdll.dll 2016-09-14 07:13 - 2016-08-13 09:40 - 01663184 _____ (Microsoft Corporation) C:\Windows\system32\winload.efi 2016-09-14 07:13 - 2016-08-13 09:40 - 01523208 _____ (Microsoft Corporation) C:\Windows\system32\winload.exe 2016-09-14 07:13 - 2016-08-13 09:40 - 01490120 _____ (Microsoft Corporation) C:\Windows\system32\winresume.efi 2016-09-14 07:13 - 2016-08-13 09:40 - 01358952 _____ (Microsoft Corporation) C:\Windows\system32\winresume.exe 2016-09-14 07:13 - 2016-08-13 02:04 - 00059392 _____ (Microsoft Corporation) C:\Windows\system32\csrsrv.dll 2016-09-14 07:13 - 2016-08-10 00:47 - 00803176 _____ (Microsoft Corporation) C:\Windows\system32\oleaut32.dll 2016-09-14 07:13 - 2016-08-10 00:47 - 00611576 _____ (Microsoft Corporation) C:\Windows\SysWOW64\oleaut32.dll 2016-09-14 07:12 - 2016-09-08 23:51 - 00443224 _____ (Microsoft Corporation) C:\Windows\system32\msv1_0.dll 2016-09-14 07:12 - 2016-09-08 23:51 - 00332632 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msv1_0.dll 2016-09-14 07:12 - 2016-08-22 18:06 - 00179248 _____ (Microsoft Corporation) C:\Windows\system32\sspicli.dll 2016-09-14 07:12 - 2016-08-22 18:06 - 00100184 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\ksecdd.sys 2016-09-14 07:12 - 2016-08-21 03:03 - 00201728 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxsmb20.sys 2016-09-14 07:12 - 2016-08-21 03:01 - 00401408 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxsmb.sys 2016-09-14 07:12 - 2016-08-21 03:01 - 00284672 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxsmb10.sys 2016-09-14 07:12 - 2016-08-21 02:17 - 00445440 _____ (Microsoft Corporation) C:\Windows\system32\certcli.dll 2016-09-14 07:12 - 2016-08-21 01:27 - 01445376 _____ (Microsoft Corporation) C:\Windows\system32\lsasrv.dll 2016-09-14 07:12 - 2016-08-21 01:26 - 00324096 _____ (Microsoft Corporation) C:\Windows\SysWOW64\certcli.dll 2016-09-14 07:12 - 2016-08-21 00:55 - 00104960 _____ (Microsoft Corporation) C:\Windows\SysWOW64\sspicli.dll 2016-09-14 07:12 - 2016-08-11 18:26 - 01156608 _____ (Microsoft Corporation) C:\Windows\system32\wwanmm.dll 2016-09-14 07:12 - 2016-08-11 18:17 - 00627200 _____ (Microsoft Corporation) C:\Windows\system32\pnidui.dll 2016-09-14 07:12 - 2016-08-11 18:16 - 00455680 _____ (Microsoft Corporation) C:\Windows\system32\wwanconn.dll

Brak opisu problemu, jaka była infekcja (gdzie wykyta), czym czyszczona i jaki jest obecnie stan systemu (czy wszystko w porządku). Był też używany DelFix i poprzednie dane (o ile były), zostały usunięte. W dostarczonych logach nie widać oznak aktywnej infekcji. Do czyszczenia tylko szczątkowe wpisy. 1. Odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 22 NPAPI. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 HPSLPSVC; C:\Users\MARCIN~1\AppData\Local\Temp\7zS44C6\hpslpsvc64.dll [X] U4 DiagTrack; Brak ImagePath HKLM\...\StartupApproved\Run: => "ETDCtrl" HKLM\...\StartupApproved\Run: => "BtServer" ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1046488821-2392662828-2514841194-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKU\S-1-5-21-1046488821-2392662828-2514841194-1001 -> {A359A327-2ECE-4F31-9AEA-31ACBDC86F2F} URL = CHR DefaultSearchURL: Default -> hxxp://pandasecurity.mystart.com/results.php?searchsource=omnibar&pr=vmn&id=pandasecuritytb&v=2_3&ent=ds_671&q={searchTerms} CHR DefaultSearchKeyword: Default -> yahoo CHR HKLM-x32\...\Chrome\Extension: [fdhbkaahephniejapepaiggngjnedpci] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes FirewallRules: [{E367B26A-36A6-4282-875E-685DA6FE049C}] => (Block) C:\windows\system32\svchost.exe AlternateDataStreams: C:\WINDOWS\splwow64.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\appidapi.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\appidsvc.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\AppxAllUserStore.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\DevicePairing.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\dnsapi.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\dnsrslvr.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\eventcls.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\InkEd.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\kmddsp.tsp:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\MDMAgent.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\MFMediaEngine.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\mfplat.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\msxml6.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\profsvc.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\QSHVHOST.DLL:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\QSVRMGMT.DLL:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\rasapi32.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\rascfg.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\rasdiag.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\rasmxs.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\rasser.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\schedsvc.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\schtasks.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\SkyDrive.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\SkyDriveTelemetry.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\spoolsv.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\SyncEngine.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\SystemSettings.Handlers.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\taskeng.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\tzsync.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\untfs.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\vpnike.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\vssapi.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\vsstrace.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Windows.UI.Immersive.dll:$CmdTcID [130] AlternateDataStreams: C:\WINDOWS\system32\WinSCard.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\WSDApi.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\WSDMon.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\appidapi.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\AppxAllUserStore.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\DevicePairing.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\dnsapi.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\eventcls.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\InkEd.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\kmddsp.tsp:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\MFMediaEngine.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\mfplat.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\msxml6.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\QSHVHOST.DLL:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\QSVRMGMT.DLL:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\rasapi32.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\rascfg.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\rasdiag.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\rasmxs.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\rasser.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\schtasks.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\taskeng.exe:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\untfs.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\vssapi.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\vsstrace.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\Windows.UI.Immersive.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\WinSCard.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\SysWOW64\WSDApi.dll:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\agilevpn.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\bthenum.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\bthport.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\BTHUSB.SYS:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\dam.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\intelpep.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\ndistapi.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\ndproxy.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\pdc.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\wanarp.sys:$CmdTcID [64] AlternateDataStreams: C:\WINDOWS\system32\Drivers\wfplwfs.sys:$CmdTcID [64] C:\Users\marcin danielewicz\AppData\Roaming\wpulog.txt C:\WINDOWS\system32\Drivers\etc\hosts.ccebak C:\WINDOWS\system32\Drivers\etc\HOSTS_2016-09-03.BAK Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są już potrzebne.

Tak, bo w rejestrze nadal jest odpadkowy klucz SPTD. W GMER wykryty, gdyż ograniczają go uprawnienia. S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] To co wykrył Kaspersky (głównie Bitcoin Miner) nie było w ogóle widoczne w pierwszym zestawie logów. W najnowszym zestawie także brak aktywnych śladów. Przy okazji, ten Kaspersky jest mocno stary... Do wykonania tylko poboczne i kosmetyczne działania: 1. Przez Panel sterowania odinstaluj stare wersje (luki w Adobe i Java to zagrożenie infekcjami szyfrującymi dane!): Adobe Flash Player 15 Plugin, Adobe Reader 8 - Polish, Adobe Reader 8.1.2 Security Update 1 (KB403742), Apple Software Update, HijackThis 2.0.2, Java 7 Update 67, Java™ 6 Update 3, Java™ 6 Update 7, Skype™ 4.2, TVUPlayer 2.5.3.1 (już nawet nie działa), Veetle TV, Windows Media Player Firefox Plugin. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {2057D85A-3DA4-476C-B58C-00C8359B59A7} - System32\Tasks\At3 => Task: {34F5D7C0-9708-46B8-9F10-A14929C3E138} - System32\Tasks\{C5D14A2C-1B02-49EC-9D85-16217605702E} => pcalua.exe -a E:\NOKIA\NOKIAP~1\CONNEC~1.CPL -c Connection Manager_ Task: {44509AF4-4FF1-4F1B-9C48-D77142BE12BB} - System32\Tasks\{52057DEA-46EC-4136-B0A6-66EE38DCD6E5} => pcalua.exe -a E:\Lionheart_1.1_English.exe -d E:\ Task: {50C084BC-E640-44AA-99F7-1AA8BE466C79} - System32\Tasks\{8A878150-2C39-4F17-A3E7-C62D7A247A12} => pcalua.exe -a E:\INSTAL\ipchanger.exe -d E:\INSTAL Task: {6776A0D7-792C-4F97-A5FC-FAB1372997DD} - \Microsoft System Certificates -> Brak pliku Task: {9C63EF12-F8E8-4D72-8637-FB9F6893AEB2} - System32\Tasks\{F5BEFD9C-7441-459C-B764-3179C657F0BC} => pcalua.exe -a "C:\Users\Tomek\Desktop\Super.Meat.Boy.v1.0u11-THETA\Super Meat Boy.exe" -d C:\Users\Tomek\Desktop\Super.Meat.Boy.v1.0u11-THETA Task: {BA392CC4-EFB7-46C2-8FB3-8E1F064E7AA7} - System32\Tasks\{C3DCAF8A-6A0A-4473-A2AE-A04207FF6DBB} => pcalua.exe -a E:\mp3gain-win-1_2_5.exe -d E:\ Task: {D6C1675D-AD81-4760-ADC8-FEDCE5DAE921} - System32\Tasks\At2 => Task: {F60DB9CE-F861-4126-BC1C-CE4779DA650A} - System32\Tasks\{1EACCAF6-9F5D-488D-B1E5-E36853734878} => pcalua.exe -a D:\install.exe -d D:\ Task: {FF38C350-4581-4047-8E19-B14F8F0C7AA6} - System32\Tasks\{32FC63E1-3960-4B95-B3B2-987EE08A2E2A} => pcalua.exe -a C:\Users\Tomek\Desktop\extreme_racing.exe -d C:\Users\Tomek\Desktop S3 dbx; system32\DRIVERS\dbx.sys [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S3 igfx; system32\DRIVERS\igdkmd32.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] HKU\S-1-5-21-4123528221-3322637753-725415342-1000\Software\Classes\exefile: "%1" %* HKU\S-1-5-21-4123528221-3322637753-725415342-1000\Software\Classes\.exe: exefile => "%1" %* HKU\S-1-5-21-4123528221-3322637753-725415342-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-4123528221-3322637753-725415342-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} hxxp://slimak.onet.pl/_m/wirusy/ArcaOnline.cab DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} hxxp://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab DPF: {68282C51-9459-467B-95BF-3C0E89627E55} hxxp://www.mks.com.pl/skaner/SkanerOnline.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions\dchlnpcodkpfdpacogkljefecpegganj DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains C:\Program Files\DAEMON Tools Lite C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\GameExplorer\{21C35C68-A6C5-4A75-8FFD-DB503CE6F67B} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crux Calculator v5 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free Lunch Design C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Warcraft III C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{00C44CB0-9EFF-4523-976B-2D6DA0491CDF} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{0A6F52B1-C620-406E-8AAF-B8A727A6B69A} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{1266712E-904A-44E5-92A9-E5AAC1C2DFC6} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{1623D15E-4905-4ADE-88C7-5DFBB720A117} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{1A758F16-79C7-4BD1-9906-74C60167562A} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{1CFA5B6C-D0A9-44E3-9A22-9E12FACC94BF} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{1FDDA46C-F8DD-43AE-BB17-E2D049D6538D} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{305A45C9-CADC-40D7-B5CA-F85459F2881E} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{307823D4-F4FE-44DE-A521-D510AA7BB952} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{314136C7-3548-4209-9538-F5A74327E670} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{403838C9-4B96-48ED-9446-4AFA60313084} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{8D207BAA-C7FC-4826-8148-0AB788C222E4} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{91B33F97-7C60-428C-AD6E-01D9717DBE44} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{A67D2FC9-7AB3-46A6-BA2D-57CFDD2B532D} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{C7B503C3-FD3D-448C-9590-54EDE7FEDB67} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{D1AF06CC-CF29-4FED-A942-9C4969BB8029} C:\Users\Tomek\AppData\Local\Microsoft\Windows\GameExplorer\{DC2C9C93-8CDF-4417-84DC-E9CDDE31C9B6} C:\Users\Tomek\AppData\Local\Mozilla C:\Users\Tomek\AppData\Roaming\Mozilla C:\Users\Tomek\AppData\Roaming\Microsoft\Office\Niedawny\*.lnk C:\Users\Tomek\AppData\Roaming\Microsoft\Virtual PC C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MaxBatch.lnk C:\Users\Tomek\Desktop\inne\Far Cry.lnk C:\Users\Tomek\Desktop\inne\iPlus.lnk C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

W raporcie nie widać oznak infekcji. Podaj na jakich stronach wyskakują reklamy, pokaż przykładowe zrzuty ekranu prezentujące reklamy oraz wyciągi ze skanera ESET. Brakuje też obowiązkowego raportu z GMER. Opcja "Sprzątanie" w OTL służy tylko i wyłącznie do usunięcia programu OTL (i kilku innych narzędzi) i rekonfiguracji opcji które OTL zmienił podczas skanu, nie ma nic wspólnego z usuwaniem infekcji. Poza tym, już od dawna nikt nie używa OTL w analizie, obecnie archaiczny program, FRST go bije na głowę liczbą skanów i bug-fiksów.

Posługujesz się starą zdezelowaną Operą 12.17 z krytycznymi lukami. Najnowsza wersja tej linii (która i tak jest już stara i pewne strony mogą źle w niej chodzić) to 12.18. FRST nie skanuje tej staroci, więc konfiguracja całościowa tej przeglądarki nie jest znana, poza tym co FRST uwzględnia przypadkowo przez zbieżność z nową serią Opera, tzn. skróty. Tak więc jest tu tylko wiadome, że na pewno ta przeglądarka ma zmodyfikowane przez adware skróty uruchomienia. Działania do przeprowadzenia: 1. Przez Dodaj/Usuń programy odinstaluj stare wersje (zagrożenie infekcjami szyfrującymi dane): Adobe Flash Player 11 ActiveX, Adobe Flash Player 12 Plugin, Adobe Reader 7.0.9 - Polish, DivX Setup, Java 7 Update 65. Operę na razie pomijam, ale musisz to potem też nadrobić. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://startsear.ch/?aff=2&cf=916a55ee-7af8-11e1-b5f4-000874fe4cf4 HKU\S-1-5-21-602162358-926492609-725345543-500\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://startsear.ch/?aff=2&cf=916a55ee-7af8-11e1-b5f4-000874fe4cf4 HKU\S-1-5-21-602162358-926492609-725345543-500\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM -> DefaultScope {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 SearchScopes: HKLM -> {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 SearchScopes: HKU\S-1-5-21-602162358-926492609-725345543-500 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://startsear.ch/?aff=2&src=sp&cf=916a55ee-7af8-11e1-b5f4-000874fe4cf4&q={searchTerms} SearchScopes: HKU\S-1-5-21-602162358-926492609-725345543-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://startsear.ch/?aff=2&src=sp&cf=916a55ee-7af8-11e1-b5f4-000874fe4cf4&q={searchTerms} SearchScopes: HKU\S-1-5-21-602162358-926492609-725345543-500 -> {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 Toolbar: HKU\S-1-5-21-602162358-926492609-725345543-500 -> Brak nazwy - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - Brak pliku Toolbar: HKU\S-1-5-21-602162358-926492609-725345543-500 -> Brak nazwy - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.so-v.com/?type=ll&uid=cb1e87d4-b784-44a1-abed-ff1d5cf9b88f ShortcutWithArgument: C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Opera.lnk -> C:\Program Files\Opera\opera.exe (Opera Software) -> hxxp://www.so-v.com/?type=ll&uid=cb1e87d4-b784-44a1-abed-ff1d5cf9b88f ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Opera.lnk -> C:\Program Files\Opera\opera.exe (Opera Software) -> hxxp://www.so-v.com/?type=ll&uid=cb1e87d4-b784-44a1-abed-ff1d5cf9b88f ShortcutWithArgument: C:\Documents and Settings\All Users\Pulpit\Opera.lnk -> C:\Program Files\Opera\opera.exe (Opera Software) -> hxxp://www.so-v.com/?type=ll&uid=cb1e87d4-b784-44a1-abed-ff1d5cf9b88f HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKU\S-1-5-21-602162358-926492609-725345543-500\...\Policies\Explorer: [NoSaveSettings] 0 Task: C:\WINDOWS\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\WINDOWS\TEMP\{6A0507BA-1B7E-4F5A-8FEF-5FAB859448D1}.exe MSCONFIG\startupfolder: C:^Documents and Settings^Administrator^Menu Start^Programy^Autostart^RazossUpdater.lnk => C:\WINDOWS\pss\RazossUpdater.lnkStartup MSCONFIG\startupreg: C: => MSCONFIG\startupreg: DivXUpdate => "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW MSCONFIG\startupreg: rzclenrygzbukfd => C:\Documents and Settings\All Users\Dane aplikacji\rzclenry.exe MSCONFIG\startupreg: vProt => "C:\Program Files\AVG Secure Search\vprot.exe" MSCONFIG\startupreg: WinampAgent => "C:\Program Files\Winamp\winampa.exe" DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera.exe DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins Reg: reg add "HKLM\SOFTWARE\Clients\StartMenuInternet\Opera\shell\open\command" /ve /t REG_SZ /d "\"C:\Program Files\Opera\Opera.exe"" /f C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla C:\Documents and Settings\Administrator\Menu Start\Programy\Moja Firma 2013 (Ad-Al) - program C:\Documents and Settings\Administrator\Pulpit\MOJA FIRMA archiwum\Ad-Al 2012.lnk C:\Documents and Settings\Administrator\Pulpit\MOJA FIRMA archiwum\Ad-Al 2013.lnk C:\Documents and Settings\Administrator\Pulpit\MOJA FIRMA archiwum\MF 2008.lnk C:\Documents and Settings\Administrator\Pulpit\MOJA FIRMA archiwum\MF 2009.lnk C:\Documents and Settings\Administrator\Pulpit\Programy\Foxit Reader.lnk C:\Documents and Settings\All Users\Dane aplikacji\teskbfxlyldumyg C:\Documents and Settings\All Users\Menu Start\Programy\Moja Firma 2009 C:\Documents and Settings\All Users\Menu Start\Programy\Moja Firma 2010 C:\Documents and Settings\All Users\Menu Start\Programy\Moja Firma 2011 (Ad-Al) - program C:\Documents and Settings\All Users\Menu Start\Programy\Moja Firma 2011 (Ad-Al) - stanowisko robocze C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Thunderbird C:\Program Files\Mozilla Firefox C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Jako że nie ma w raporcie konfiguracji tej przeglądarki, należy z poziomu opcji ręcznie wyczyścić sesję przywracania, cache i historię oraz ewentualnie inne zmodyfikowane ustawienia. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.