picasso

To adware/malware Win32/Suweezy, nabyte z jakiegoś "downloadera". Procesy są uruchamiane poprzez usługi, malware także wyklucza się samoistnie ze skanów. RegHunter to brat SpyHunter, program niepożądany! Masz na myśli jakieś skutki uboczne? Z FRST mogę tylko tyle się domyślić, że prawdopodobnie skasowałeś pliki licencji Windows, gdyż są oznaczone jako nowo utworzone: 2016-09-16 19:27 - 2016-09-16 19:52 - 00001184 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 2016-09-16 19:27 - 2016-09-16 19:52 - 00001184 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj RegHunter. Być może będzie jakiś błąd, gdyż nstalacja już wygląda na naruszoną. Jeśli byłyby jakieś problemy z deinstalacją, wypróbuj Program Install and Uninstall Troubleshooter. Konsekwentnie na liście jest też Ace Stream Media 3.0.12, ale o tym już mówiliśmy wcześniej: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 CfHelper33; D:\Program Files\MSUser.Default\Help_3\CfHelp33.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 CfHelper44; D:\Program Files\MSUser.Default\Help_4\CfHelp44.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 CfHelper55; D:\Program Files\MSUser.Default\Help_5\CfHelp55.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 CfHelper66; D:\Program Files\MSUser.Default\Help_6\CfHelp66.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 CleberchponushConfiguration; C:\Program Files (x86)\Phersercultsiergh\GrkDbg.dll [309760 2016-09-13] () [Brak podpisu cyfrowego] R2 SoSoIm3; C:\Program Files (x86)\SoSoIm_3\SoSoIm3.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 SoSoIm4; C:\Program Files (x86)\SoSoIm_4\SoSoIm4.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 SoSoIm5; C:\Program Files (x86)\SoSoIm_5\SoSoIm5.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 SoSoIm6; C:\Program Files (x86)\SoSoIm_6\SoSoIm6.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 winsaber; C:\Program Files (x86)\WinSaber\WinSaber.exe [521496 2016-09-14] () S3 dbx; system32\DRIVERS\dbx.sys [X] Task: {376F02DD-27A5-4FBB-A057-3A3AB5150115} - System32\Tasks\UnregisterNonABICompliantCodeRange => Wscript.exe C:\Program Files (x86)\joasnalx\obkmc.js Task: {4626D902-60FD-4596-B5EE-13B395B22CAA} - System32\Tasks\SafeZone scheduled Autoupdate 1474044924 => C:\Program Files\AVAST Software\SZBrowser\launcher.exe Task: {861C3340-B9CF-47A1-A787-B35A45A9549C} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-09-16] (AVAST Software) Task: {C40DE0C9-0534-40BC-9A06-EA01960AF256} - System32\Tasks\RegHunterStartup => C:\Program Files\Enigma Software Group\RegHunter\RegHunter.exe Task: {DCC7DA10-06F7-4826-9AB1-B3334579CEAD} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe Task: {DCD85BC6-3D4D-4852-9386-D9E6A34D5DE4} - System32\Tasks\Cleberchponush Configuration => C:\Program Files (x86)\Phersercultsiergh\cludogh.exe [2016-09-13] (Kunshan Aunbox software co.,Ltd) ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla\Firefox\Extensions DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software C:\Program Files\Common Files\AV\avast! Antivirus C:\Program Files (x86)\253ksrvi C:\Program Files (x86)\joasnalx C:\Program Files (x86)\Phersercultsiergh C:\Program Files (x86)\SoSoIm_3 C:\Program Files (x86)\SoSoIm_4 C:\Program Files (x86)\SoSoIm_5 C:\Program Files (x86)\SoSoIm_6 C:\Program Files (x86)\uojtfl8n C:\Program Files (x86)\WinSaber C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\Users\Karol\AppData\Local\{E7BEFFDD-3489-42AA-914B-3D8A129A5F89} C:\Users\Karol\AppData\Local\{74A7644F-F837-415B-A597-54A1B7F39AC5} C:\Users\Karol\AppData\Local\ACCCx3_7_5_291.zip.aamdownload C:\Users\Karol\AppData\Local\ACCCx3_7_5_291.zip.aamdownload.aamd C:\Users\Karol\AppData\Local\BITE502.tmp C:\Users\Karol\AppData\Local\BITFA74.tmp C:\Users\Karol\AppData\Roaming\eCyber C:\Users\Karol\AppData\Roaming\Enigma Software Group C:\Users\Karol\AppData\Roaming\WinZiper C:\Users\Karol\AppData\Roaming\Youtube Downloader HD C:\Users\Karol\AppData\Roaming\Mozilla\Firefox\Profiles\hfwuh2et.default-1466016864130\searchplugins\vaidylcl.xml C:\Users\Karol\Desktop\RegHunter.lnk C:\Users\Karol\Downloads\RegHunter-Installer.exe C:\Users\Karol\Start Menu\Programs\RegHunter C:\Windows\Joberphlusisp C:\Windows\System32\Tasks\AVAST Software EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome jest ustawiony jako domyśny profil adware (nazwa na dysku ChromeDefaultData, ale w opcjach prawdopodobnie user0). Wymagana całkowita zmiana profilu. Menu Ustawienia > kata Ustawienia > Osoby > Dodaj nową osobę i uruchom Chrome z poziomu tego profilu, a okno poprzedniego zamknij. Następnie w ustawieniach skasuj poprzedni profil. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

Operacje związane z czyszczeniem systemu: Zabrakło trzeciego obowiązkowego pliku FRST Shortcut.txt. I wg moich przewidywań jest nadal czym się zajmować (m.in. aktywne usługi adware, zainfekowane DNS systemu). Działania pod kątem czyszczenia systemu z infekcji i szczątków programów: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Ace Stream Media 3.1.6 (wbudowane adware), DivX Setup (stary program), Simple Adblock (to wygląda na podróbkę adware). - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń odpadkowy wpis ZoneAlarm Antivirus. - Uruchom Kaspersky Remover pod kątem usunięcia szczątków po odinstalowanym antywirusie ZoneAlarm (na silniku Kasperskiego, stąd narzędzie Kasperskiego). 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: () D:\Program Files\MSUser.Default\Help_4\CfHelp44.exe () D:\Program Files\MSUser.Default\Help_3\CfHelp33.exe () D:\Program Files\MSUser.Default\Help_5\CfHelp55.exe () D:\Program Files\MSUser.Default\Help_6\CfHelp66.exe R2 CfHelper33; D:\Program Files\MSUser.Default\Help_3\CfHelp33.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 CfHelper44; D:\Program Files\MSUser.Default\Help_4\CfHelp44.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 CfHelper55; D:\Program Files\MSUser.Default\Help_5\CfHelp55.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] R2 CfHelper66; D:\Program Files\MSUser.Default\Help_6\CfHelp66.exe [190980 2016-09-13] () [Brak podpisu cyfrowego] S2 Bokvunnu; "C:\Users\ppp\AppData\Roaming\GowvePitpagf\Lurzem.exe" -cms [X] S3 Trufos; C:\Windows\System32\DRIVERS\Trufos.sys [485512 2016-04-28] (BitDefender S.R.L.) U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath HKLM\...\Run: [] => [X] HKLM-x32\...\Run: [SunJavaUpdateSched] => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" BootExecute: autocheck autochk * lsdel.exe Task: {0840D42C-D9F4-411D-AD2D-A4A49D5FC764} - System32\Tasks\{73CE7F1C-9663-4383-95E2-DC596BAFB3F0} => pcalua.exe -a "C:\Program Files\SpaceSoundPro\uninstaller.exe" -d "C:\Program Files\SpaceSoundPro" Task: {09FD1D52-B7D4-48BF-85BA-4703B093A1B4} - System32\Tasks\{D992B94A-F245-45D9-B4A6-8515E4BB4D32} => C:\Program Files (x86)\Common Files\microsoft shared\Virtualization Handler\CVH.EXE Task: {0C070801-0FFC-474E-8731-6FA6E2C1AA02} - System32\Tasks\Microsoft\Microsoft Antimalware\MpIdleTask => c:\Program Files\Microsoft Security Client\MpCmdRun.exe Task: {1180967C-83F0-42E4-9D33-EE380E6D1BEC} - System32\Tasks\{DD34E517-FE22-4270-8B76-7421A8046BE9} => C:\Program Files (x86)\Common Files\microsoft shared\Virtualization Handler\CVH.EXE Task: {1284B942-EF7A-449D-A959-394EF56A677F} - System32\Tasks\{A8E3F583-A5F8-4043-A670-EA449F8BDF4B} => pcalua.exe -a C:\Users\ppp\Downloads\winzip70.exe -d C:\Users\ppp\Downloads Task: {1E7E592F-4A6B-4AF9-AE4B-137C1BECCC1B} - System32\Tasks\{7C0234ED-CEA7-456F-8F75-B3F368D443FD} => C:\Program Files (x86)\McAfee Security Scan\2.0.181\McUICnt.exe Task: {257DF5B0-D9C5-4396-901D-27FB1BABA186} - System32\Tasks\{C7D6008F-8F4B-4AF5-9C1F-4E46A68D1F36} => C:\Program Files (x86)\Common Files\microsoft shared\Virtualization Handler\CVH.EXE Task: {29EC172C-573C-4760-BD31-46E827F91142} - System32\Tasks\{D087238C-FE4E-4D0C-8B00-964EF1B21D54} => C:\Program Files (x86)\Common Files\microsoft shared\Virtualization Handler\CVH.EXE Task: {330F7681-FECA-4FD4-A0C1-2AC0C58787BD} - System32\Tasks\{BB4B2144-599E-498B-8721-5967CC37BB55} => C:\Program Files (x86)\McAfee Security Scan\2.0.181\McUICnt.exe Task: {35DD5C3C-DB7D-4BA7-8FCF-56BBDBFD8894} - System32\Tasks\{4B581630-E9D5-4766-B061-FAF4784F72C7} => C:\Program Files (x86)\Common Files\microsoft shared\Virtualization Handler\CVH.EXE Task: {374F331A-62EF-4A4E-8750-9336D00E9074} - System32\Tasks\{28CF082F-31E8-482A-A696-E4E9D917A93C} => C:\Program Files (x86)\McAfee Security Scan\2.0.181\McUICnt.exe Task: {4131A782-F5F0-403F-BAF3-F86AB1AC815A} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA Task: {52297301-2EDA-4067-B884-3D5CAF8ACF69} - System32\Tasks\{169916F2-D659-4C57-9E8C-C832E62E0D48} => pcalua.exe -a "C:\Program Files (x86)\WinThruster\unins000.exe" -c /silent Task: {56738121-9D02-40AD-9433-111AED274F18} - \JetCleanLoginCheckUpdate -> Brak pliku <==== UWAGA Task: {57A3FE5A-1817-4A4C-BB2F-7B78945E9709} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku <==== UWAGA Task: {6B4EA07A-A6F6-43B5-9E95-AFE426B0321F} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku <==== UWAGA Task: {6DE3FD5F-DDE5-4D25-B81E-75F37F3E3043} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA Task: {6F0F0E8D-5C8F-4035-8EE1-12960F5CEA5B} - System32\Tasks\{4EECA964-E9D0-4A89-B545-523753BF48F1} => C:\Program Files (x86)\McAfee Security Scan\2.0.181\McUICnt.exe Task: {76B7E8F0-B632-4948-8C4A-FD54D65212AD} - \Microsoft\Windows\Setup\GWXTriggers\Logon-URT -> Brak pliku <==== UWAGA Task: {7ADA8F7C-EECF-4A88-941A-59F5A3430271} - System32\Tasks\{3D01F992-96DC-421D-A426-8B2F4A4F2D8F} => C:\Program Files (x86)\Common Files\microsoft shared\Virtualization Handler\CVH.EXE Task: {826E8B00-7EDE-4008-A152-ED4C7383A2AF} - System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan => c:\Program Files\Microsoft Security Client\MpCmdRun.exe Task: {82B97A24-BFB7-42E5-8352-A4DC3B0766DE} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: {8D89EE46-2506-4000-B068-467CDA601570} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {9E0477E8-F77D-42CE-B50F-2321BA8F05C7} - \JetBoost_AutoUpdate -> Brak pliku <==== UWAGA Task: {A0D4E02B-4F9E-48F0-9C77-9E0FE67C580F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA Task: {A5312850-A077-432A-920F-9D1C215B83E0} - System32\Tasks\UnregisterNonABICompliantCodeRange => Wscript.exe C:\PROGRA~2\5bijtnvk\9c89o.js Task: {B18F9BB3-939A-4141-821C-2C3ABB06AA0B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA Task: {B584720C-6EA7-465E-9D55-23DDB13F9044} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: {B7ACE271-D218-4B72-BFB0-7576B640468C} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA Task: {B7CB9C3C-E79C-4D7C-B019-F20CEA5BDA91} - System32\Tasks\{177E99E9-BDDD-4D4C-AC47-6C363D5B0CB9} => pcalua.exe -a C:\Users\ppp\Downloads\Microsoft\X16-57077_VKYKV-JC3KY-7TQWD-GY7XD-M9P3P.exe -d C:\Users\ppp\Downloads\Microsoft Task: {BDDD9145-ADBD-4836-B688-10F71811C4F7} - System32\Tasks\{B1EB1369-A2B0-4FC5-B2B3-3C034BFAA972} => pcalua.exe -a C:\Users\ppp\Downloads\iview428_setup.exe -d C:\Users\ppp\Downloads Task: {BE88B82F-9064-4E61-9D21-09B9E3167C07} - System32\Tasks\{94EB6F62-6F69-43CF-B730-8CD6EA69D1FC} => C:\Program Files (x86)\Common Files\microsoft shared\Virtualization Handler\CVH.EXE Task: {C1ACFB53-96D7-4B61-9072-0B60C33C30A2} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA Task: {C27999BA-9F11-4E55-9AF2-A273DFDED2D1} - System32\Tasks\CreateExplorerShellUnelevatedTask => /NOUACCHECK Task: {C9675215-9281-44CC-AEA7-60F182B23139} - System32\Tasks\{AE22F64B-1656-48E5-986C-E3EAF576B910} => pcalua.exe -a "C:\Users\ppp\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NEDV2JNV\X16-57077_VKYKV-JC3KY-7TQWD-GY7XD-M9P3P.exe" -d C:\Users\ppp\Desktop Task: {CA3DD899-25C8-419C-BF01-7EAD73BC1303} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA Task: {D3C0EE06-0E30-486F-89DA-04DB2E4AE303} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA Task: {DA43429A-891D-4146-B660-EA3793E311BA} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {DD02CE3D-6176-4FBA-8389-D4610C6B937F} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA Task: {EA14EA26-3D0E-41CA-830B-A81BAAA9D018} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA Task: C:\WINDOWS\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA Tcpip\..\Interfaces\{1816BC77-1199-4658-B220-2BB868685EC0}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{23b262fb-96ae-4e9b-a8dd-6cb8d4bdf60f}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{58c9a3d2-cb91-11e5-97c4-806e6f6e6963}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{644e8e76-1747-4eba-bee4-b304d50ddad6}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{65C05BA0-D0B8-44D1-978A-8C91CDB03E3C}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{6692e45a-fbbf-4127-898f-2231948439b3}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{a2e2c930-5576-4a50-aa98-5244ccf219a4}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{a5d35310-ab6e-4cc5-8469-13e3a5583339}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{F04B9042-60FF-4BC8-989A-D38E0DCDFC85}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{f3a68278-c2b5-4c5e-957a-f8053e20148c}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{f7c6a974-1765-4082-876b-007a030edb24}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{fa46bd63-638d-4fe2-84cb-4f1919e5cf0e}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{FC5425F4-F28A-44FE-A6CE-C5988BF41845}: [NameServer] 104.197.191.4 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-3792996942-1847973479-2767891591-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP2DAqp-XHW6O6ALVpuKMYLBCXsPk5jTsNfMAgETq8fa-ptMR5GzIZ59XIZky7L8fjgC6y-mZffSlcilqjM92hY3LJxCV4Ve61OJ0WAJ6FZCKVNVq8QnRSAukIFsecQxbaSUWIRHH-_mn9tAXafAhYE42gWlk6qDd1lRFCCR7RldLdoatBr1U,&q={searchTerms} HKU\S-1-5-21-3792996942-1847973479-2767891591-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP2DAqp-XHW6O6ALVpuKMYLBCXsPk5jTsNfMAgETq8fa-ptMR5GzIZ59XIZky7L8fjgC6y-mZffSlcilqjM92hY3LJxCV4Ve61OJ0WAJ6FZCKVNVq8QnRSAukIFsecQxbaSUWIRHH-_mn9tAXafAhYE42gWlk6qDd1lRFCCR7RldLdoatBr1U,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = Toolbar: HKU\S-1-5-21-3792996942-1847973479-2767891591-1000 -> Brak nazwy - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - Brak pliku DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Mozilla\Firefox DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-21-3792996942-1847973479-2767891591-1005\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-21-3792996942-1847973479-2767891591-1005\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files\ByteFence C:\Program Files\Plumbytes Software C:\Program Files\pclient C:\Program Files\SpaceSoundPro C:\Program Files (x86)\Chwuward C:\Program Files (x86)\DPower C:\Program Files (x86)\host C:\Program Files (x86)\Mozilla Firefox D:\Program Files\MSUser.Default C:\ProgramData\profile.xml C:\ProgramData\cosun C:\ProgramData\LuckyBrowse C:\ProgramData\Nimfind C:\ProgramData\Nimfinds C:\ProgramData\Thunder Network C:\Users\ppp\AppData\Local\app C:\Users\ppp\AppData\Local\Drfege C:\Users\ppp\AppData\Local\Tempfolder C:\Users\ppp\AppData\Local\tuto_monetize_220160909 C:\Users\ppp\AppData\Roaming\*.* C:\Users\ppp\AppData\Roaming\Corner Sunshine C:\Users\ppp\AppData\Roaming\GameLauncher C:\Users\ppp\AppData\Roaming\Geunfy C:\Users\ppp\AppData\Roaming\KuaiZip C:\Users\ppp\AppData\Roaming\Mozilla C:\Users\ppp\AppData\Roaming\Softlink C:\Users\ppp\AppData\Roaming\Solvusoft C:\Users\ppp\AppData\Roaming\UPUpdata C:\Users\ppp\Desktop\Stare dane programu Firefox C:\Users\Public\Thunder Network C:\WINDOWS\Joberphlusisp C:\WINDOWS\ehome C:\WINDOWS\system32\ijaj C:\WINDOWS\System32\Drivers\Trufos.sys C:\WINDOWS\System32\Tasks\Microsoft\Microsoft Antimalware C:\WINDOWS\System32\Tasks\Microsoft\Windows\Media Center C:\WINDOWS\SysWOW64\kz.exe CMD: netsh advfirewall reset CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. Dołącz też plik fixlog.txt. Operacje związane z odskiwaniem Historii Pale Moon: W systemie są następujące punkty Przywracania systemu: ==================== Punkty Przywracania systemu ========================= 01-09-2016 22:16:17 Windows Update 11-09-2016 17:38:10 Zaplanowany punkt kontrolny 14-09-2016 17:38:16 Windows Update Jest szansa na plik z 1 września, o ile punkt Przywracania zawiera folder Pale Moon. Czyli: 1. Uruchom ShadowExplorer. Z menu wybierz tę datę 01-09-2016 i w programie przejdź do ścieżki C:\Users\ppp\AppData\Roaming\Moonchild Productions\Pale Moon\Profiles\3umbc8e6.default, skopiuj plik places.sqlite na Pulpit właściwy. 2. Zamknij Pale Moon. W eksploratorze Windows (a nie ShadowExplorer) wklej w pasku adresów ścieżkę C:\Users\ppp\AppData\Roaming\Moonchild Productions\Pale Moon\Profiles\3umbc8e6.default i ENTER. Zamień w niej plik places.sqlite tym skopiowanym w punkcie 1 na Pulpit. Uruchom Pale Moon i podaj czy widzisz starsze dane o które Ci chodziło.

FRST potwierdza, że plik dnspapi.dll został wyleczony. Wszystko zrobione. Na koniec: Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj programy Adobe. Wszystko opisane tu: KLIK.

Wzystko zrobione. 1. Dodatkowa uwaga tycząca gry Black Desert - do deinstalacji towarzyszczący program QGNA (Global Gamers Solutions Ltd.). Wg Emsisoft oraz Reason Core Security to niepożądany element (podobnie jak THORN usuwany już wcześniej przeze mnie). Ale sugerowałabym pozbyć się po prostu także całej gry. 2. Ostatni skrypt do FRST. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\KVRT_Data RemoveDirectory: C:\ProgramData\Info CMD: del /q C:\IFRToolLog.txt CMD: del /q C:\TDSSKiller.3.1.0.11_13.09.2016_20.03.50_log.txt Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). 3. Na wszelki wypadek zrób skan za pomocą Hitman Pro. Jeśli wykryje coś innego niż FRST64.exe (to fałszywy alarm), dostarcz raport.

Fix FRST pomyślnie wykonany. Natomiast jeśli chodzi o wyniki AdwCleaner, to czepia się programu MyFreeCodec (od Samsunga). Odinstaluj ten program w tradycyjny sposób za pomocą Panelu sterowania. Następnie uruchom AdwCleaner ponownie, wybierz sekwencję opcji Skanuj + Oczyść i dostarcz log z wynikami usuwania.

"Poziom wyżej" czyli do głównego widoku pendrive, tak jak to było oryginalnie przed manipulacją infekcji. 1. Jeśli chodzi o pendrive, to dwa skróty F:\Removable Drive (16GB).lnk + H:\RYSZARD (8GB).lnk nie zostały usunięte (błędy "Odmowa dostępu"). Czy jesteś je w stanie ręcznie skasować? 2. Jeśli chodzi o infekcję dnsapi.dll, to jakoby "Disinfected". W logu był komunikat, że wymagany restart komputera. Jeśli tego nie zrobiłeś jeszcze, wykonaj. Następnie zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut, mający potwierdzić wyleczenie pliku.

Plik Addition.txt nie wygląda na oryginalny plik utworzony przez FRST, tylko wtórnie przez Ciebie zapisany do nowego pliku z błędnym kodowaniem (ANSI zamiast UTF-8). Znaki specjalne uszkodzone. Czy tak? Czy posiadasz logi z narzędzi pokazujące co było usuwane? W raportach FRST mało co widać, w zasadzie tylko uszkodzony Winsock, z tym że to raczej nie powinno produkować takich objawów. Skoro problem nie występuje w trybie awaryjnym, prędzej nasuwa się jakiś proces uruchamiany w trybie normalnym i tu najbardziej podejrzany wydaje mi się Comodo Internet Security, który wg raportów został co dopiero zainstalowany. Ale są też oznaki uszkodzenia struktury systemu plików, uruchamiał się checkdisk i "ścinał" jakieś dane: 2016-09-16 04:43 - 2016-09-16 04:43 - 00000000 __SHD C:\found.000 Na razie doczyść to co widać w raportach, choć wątpię, by to wniosło coś do sprawy: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia S2 WsAppService; C:\Program Files (x86)\Wondershare\WAF\2.3.0.5\WsAppService.exe [X] S3 WsDrvInst; "C:\Program Files (x86)\Wondershare\MobileGo\DriverInstall.exe" [X] HKLM\...\Run: [Zoolz Tray] => "C:\Program Files\Genie9\Zoolz2\ZoolzLauncher.exe" "C:\Program Files\Genie9\Zoolz2\Zoolz.exe" "-Delay" HKLM-x32\...\Run: [V0770Mon.exe] => C:\WINDOWS\V0770Mon.exe HKLM-x32\...\Run: [sunJavaUpdateSched] => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCTray.exe" /regrun HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\...\Run: [iVONA Reader] => "C:\Program Files (x86)\IVONA\IVONA Reader\IVONA Reader.exe.exe" -t -nosplash HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\...\Run: [Wondershare Helper Compact.exe] => "C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelperSetup.exe" HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\...\Policies\Explorer: [] HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\WINDOWS\SysWOW64\lol.scr [3721216 2016-03-30] () Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\MobileGo Service.lnk [2016-09-13] ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => Brak pliku BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> Brak pliku CustomCLSID: HKU\S-1-5-21-3638238946-2676091398-2447339669-1001_Classes\CLSID\{0B628DE4-07AD-4284-81CA-5B439F67C5E6}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-3638238946-2676091398-2447339669-1001_Classes\CLSID\{149DD748-EA85-45A6-93C5-AC50D0260C98}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-3638238946-2676091398-2447339669-1001_Classes\CLSID\{5370C727-1451-4700-A960-77630950AF6D}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-3638238946-2676091398-2447339669-1001_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD 2016\pl-PL\acadficn.dll => Brak pliku FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [brak pliku] C:\Program Files (x86)\mozilla firefox\plugins Task: {2AB12A6D-3B88-4F3C-8CC2-2C18972BED98} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {348EA700-9E29-4A55-BBDC-4733D4A49959} - System32\Tasks\{87DDD544-5C8C-4F66-81A2-CD74E8EAFC5A} => Chrome.exe hxxp://ui.skype.com/ui/0/7.16.85.102/pl/abandoninstall?page=tsMain Task: {4260A90F-F859-4492-8E30-F8A83816CEEB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {582908C5-E4A9-4535-A65E-CD736D805801} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {71C6D247-689D-44CD-8D33-B87B44470D43} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {89D9196C-E171-4718-8965-3DC49E17431A} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {A0C7ABF4-4CB7-4A77-A8F6-8C79737BA2AD} - System32\Tasks\{41D908F6-F45D-457F-B97E-F4E5727B7B7B} => Chrome.exe hxxp://ui.skype.com/ui/0/7.8.85.102/pl/abandoninstall?page=tsBing Task: {A59C80FB-7922-49EA-8457-20AF5D475126} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {C7AF8D28-7E5B-4E14-85A2-A1C757DF9028} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {CA6A5025-404E-4EC6-8DF0-B5E0CA171629} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {CE4AA747-1628-4F76-A9D4-17D88DE72247} - \CCleanerSkipUAC -> Brak pliku Task: {D0F82F61-F0E5-4B47-B6DB-A7C098B44E7E} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {D57DC54B-DDE8-4CA8-A5DA-9BEE70E2A155} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {EE03EDB2-80D4-4E48-A76E-7F2CC4FF46ED} - System32\Tasks\{40DBD3A8-A1A2-4C32-B629-A9D859EAD836} => pcalua.exe -a C:\Dev-Cpp\devcpp.exe -d C:\Dev-Cpp Task: {F6133A36-BB43-443D-86A6-50846C7686A3} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\Software\Classes\exefile: HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\Software\Classes\.exe: => HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\Software\Classes\scrfile: HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\Software\Classes\.scr: AutoCADScriptFile => HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\Software\Classes\comfile: HKU\S-1-5-21-3638238946-2676091398-2447339669-1001\Software\Classes\.com: => DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "7 Taskbar Tweaker" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Akamai NetSession Interface" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Discord /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v EvolveClient /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v GG /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v iTunesHelper /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Zoolz Tray" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v ADSKAppManager /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v GrooveMonitor /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v tvncontrol /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v V0770Mon.exe /f C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ElfBot NG C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wondershare C:\Users\Michi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Wondershare MobileGo.lnk C:\Users\Michi\AppData\Roaming\Microsoft\PowerPoint\Bezpieczeństwo%20w%20terenie%20leśnym304883932433099032\Bezpieczeństwo%20w%20terenie%20leśnym.pptx.lnk C:\Users\Michi\AppData\Roaming\Microsoft\Windows\SendTo\Wondershare MobileGo.lnk C:\Users\Michi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft C:\Users\Michi\Desktop\League of Legends.lnk C:\Users\Michi\Desktop\Pulpit\loader.exe — skrót .lnk C:\Users\Michi\Desktop\Pulpit\Overwatch.lnk C:\Users\Michi\Desktop\Pulpit\Zoolz.lnk C:\Users\Michi\Links\Strefa bez ochrony.lnk CMD: netsh winsock reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Spróbuj wejść w tryb normalny. Jeśli nie uda się, spróbuj z poziomu awaryjnego odinstalować Comodo. Nie pamiętam na czym jest operarty instalator Comodo - jeśli na Instalorze Windows, nie da się go odinstalować z poziomu awaryjnego (w tym stadium nie działa wymagana usługa). 3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Addition (bez Shortcut). Dołącz też plik fixlog.txt.

Skoro temat założony w dziale diagnostyki malware, a system był zainfekowany, to niezależnie od tego, że już używano skanery należy dostarczyć wymagane logi z FRST. To po to, by potwierdzić usunięcie infekcji. Tu zwykle nawet po użyciu automatów czyszczących infekcje i tak mam się czym zajmować (usuwanie pozostałości). Został użyty CCleaner, który czyści Pale Moona, więc tu jako możliwości zostaje jedynie poszukiwanie poprzedniej wersji folderu profilu (zawierającej plik places.sqlite kombinujący historię i zakładki) w ścieżce: %AppData%\Moonchild Productions\Pale Moon\Profiles Jeśli Przywracanie systemu było aktywne, można skorzystać z ShadowExplorer. Jeśli jednak nie było ono włączone lub niestety wyczyszczono poprzednie punkty Przywracania, to już tylko programy do odzyskiwania danych typu Recuva. Przy czym im dłużej działa system, tym mniejsza szansa na odzysk. On może być już nawet niemożliwy.

Skasuj plik C:\delfix.txt z dysku. Temat rozwiązany. Zamykam.

Kończymy. Przez SHIFT+DEL (omija Kosz) skasuj FRST i jego logi z tych lokalizacji: D:\, D:\2. A po tym uruchom DelFix. To wszystko.

W rejestrze jeszcze trochę śmieci od Tencent. Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Classes\.apk DeleteKey: HKLM\SOFTWARE\Classes\qmgcfiles DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{6E1533F0-E0B5-465A-9F16-98FF0C76D493} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{70DE12EA-79F4-46bc-9812-86DB50A2FD64} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{754DF2CE-51E8-4895-B53C-6381418B84AE} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Tencent DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QMUDISK DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAOKERNELDRIVER DeleteKey: HKU\S-1-5-18\Software\Tencent DeleteKey: HKU\S-1-5-21-26662013-3925648858-865435436-1000\Software\Tencent DeleteKey: HKU\S-1-5-21-26662013-3925648858-865435436-1000\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Tencent DeleteKey: HKU\S-1-5-21-26662013-3925648858-865435436-1000\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{1B5D5DBD-C857-4377-A755-06E50B4AC2B0} DeleteKey: HKU\S-1-5-21-26662013-3925648858-865435436-1000\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{639B74F1-0594-432C-97C8-68C8C17A1E1D} DeleteKey: HKU\S-1-5-21-26662013-3925648858-865435436-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.apk Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_BROWSER_EMULATION" /v "QQPhoneManager.exe" /f Reg: reg delete "HKU\S-1-5-21-26662013-3925648858-865435436-1000\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit" /v LastKey /f Reg: reg delete "HKU\S-1-5-21-26662013-3925648858-865435436-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\Uninst.exe" /f DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Fix FRST pomyślnie wykonany. AdwCleaner wykrył dużo szczątków adware w rejestrze. Uruchom go ponownie, zastosuj kombinację opcji Skanuj + Oczyść[/] i dostarcz wynikowy log z usuwania.

Deinstalacja Tencent wprawdzie rzeczywiście miała miejsce, ale i tak to nie zlikwidowało wielu obiektów Tencent, którymi zajął się za to skrypt FRST. Wszystko pomyślnie wykonane. Niepożądane obiekty nie są już aktywne. Teraz już tylko poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\Spyware Terminator C:\Users\Marcia\Downloads\SpywareTerminatorSetup.exe C:\Windows\Tasks\DriverToolkit Autorun.job DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths" /f CMD: ipconfig /flushdns CMD: netsh advfirewall reset Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. Tencent;QQPCMgr;QQPhoneManager;MSUser.Default

Wszystko jasne. Przechodzimy do dalszych czynności usuwających, tzn. usunięcie szkodliwych "dostawców drukarki" oraz wykluczeń skanowania. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{38DD0B4A-E4E0-4A57-99EE-DCCB185B4728} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{45965C76-4C88-4512-9358-368483E1C3B1} DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\09giopag DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\3pa8djdb DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\4vmjx6yb DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\58xh0wtw DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\893bdauo DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\bojl99vl DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\c7k58pdl DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\dc7zd7qa DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\dkokgbi6 DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\gamcqiam DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\j9ibs5ww DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\nvxmth9r DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\nz71z4zq DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\posyfqav DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\uhpn0hmc DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\vak6jw5r DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\vbn156p9 DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\w1kom2ao DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\wpeqfc6u DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\yyut0595 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D42C3A49-ABAF-464B-BBCE-991C3DD395E8} DeleteKey: HKU\S-1-5-21-3756860874-1814013104-2480899376-1000\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D42C3A49-ABAF-464B-BBCE-991C3DD395E8} Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers /v order /t REG_MULTI_SZ /d "LanMan Print Services\0Internet Print Provider" /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers Reg: reg delete "HKU\S-1-5-21-3756860874-1814013104-2480899376-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "C:\Program Files (x86)\Youtube AdBlock\uninstall.exe" /f C:\Users\boogie\AppData\Local\Google\Chrome\User Data\local64spl.dll EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt. 2. Wywołaj kolejne Search Registry (Szukaj w rejestrze) na podany poniżej warunek, a log dostarcz tylko gdy coś zostanie znalezione, w przeciwnym wypadku jest zbędny. MSUser.Default Dodatkowo, zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Addition, bez Shortcut. Dołącz też plik fixlog.txt.

Załadowana została ogromna ilość adware/PUP, nie tylko Tencent. Działania wstępne do przeprowadzenia: 1. Deinstalacje: Ponów próbę, ale tym razem z prawokliku na plik uninstall Uruchom jako administrator. Niezależnie od (nie)powodzenia akcji przejdź do dalszych kroków. Dodatkowo, przez Panel sterowania odinstaluj Spyware Terminator 2015 (skaner wątpliwej reputacji!). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe Reg: reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" /v PendingFileRenameOperations /t REG_MULTI_SZ /d "" /f R2 CfHelper33; C:\Users\MSUser.Default\Help_3\CfHelp33.exe [190980 2016-09-15] () [brak podpisu cyfrowego] R2 CfHelper44; C:\Users\MSUser.Default\Help_4\CfHelp44.exe [190980 2016-09-15] () [brak podpisu cyfrowego] R2 CfHelper55; C:\Users\MSUser.Default\Help_5\CfHelp55.exe [190980 2016-09-15] () [brak podpisu cyfrowego] R2 CfHelper66; C:\Users\MSUser.Default\Help_6\CfHelp66.exe [190980 2016-09-15] () [brak podpisu cyfrowego] R2 JohicultdruvaspHost; C:\Program Files (x86)\Bigesreerqsp\PhdLnc.dll [313344 2016-09-15] () [brak podpisu cyfrowego] R2 QQPCRTP; C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCRtp.exe [318096 2016-09-15] (Tencent) U2 QQRepair5ae; C:\Program Files (x86)\Tencent\QQPCMGR\QQRepair5ae [155368 2016-09-15] () S2 QQRepairFixSVC; C:\Program Files (x86)\Tencent\QQPCMGR\QQRepairFixSVC [155368 2016-09-15] () R2 SoSoIm3; C:\Program Files (x86)\SoSoIm_3\SoSoIm3.exe [190980 2016-09-15] () [brak podpisu cyfrowego] R2 SoSoIm4; C:\Program Files (x86)\SoSoIm_4\SoSoIm4.exe [190980 2016-09-15] () [brak podpisu cyfrowego] R2 SoSoIm5; C:\Program Files (x86)\SoSoIm_5\SoSoIm5.exe [190980 2016-09-15] () [brak podpisu cyfrowego] R2 SoSoIm6; C:\Program Files (x86)\SoSoIm_6\SoSoIm6.exe [190980 2016-09-15] () [brak podpisu cyfrowego] S2 QQRepaira11; "C:\Program Files (x86)\Tencent\QQPCMGR\QQRepaira11" [X] R1 QMUdisk; C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QMUdisk64.sys [189432 2016-09-02] (Tencent) R2 QQSysMonX64; C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQSysMonX64.sys [154744 2016-09-15] (电脑管家) R1 softaal; C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\softaal64.sys [44664 2016-09-15] (Tencent) R1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv [185848 2016-09-15] () R3 TAOAccelerator; C:\Windows\system32\Drivers\TAOAccelerator64.sys [100056 2016-09-15] (Tencent) R1 TAOKernelDriver; C:\Windows\system32\Drivers\TAOKernel64.sys [147576 2016-09-15] (Tencent Technology(Shenzhen) Company Limited) R3 TcHardWare; C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCHW-x64.sys [16552 2016-09-15] (Tencent) R3 TFsFlt; C:\Windows\System32\Drivers\TFsFltX64.sys [97400 2016-09-15] (电脑管家) R3 TS888x64; C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\TS888x64.sys [38520 2016-09-15] (Tencent) R1 TSDefenseBt; C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\TsDefenseBT64.sys [28984 2016-09-15] (Tencent) R2 tsnethlpx64; C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\TsNetHlpX64.sys [57976 2016-09-15] () S3 TSSKX64; C:\Windows\System32\drivers\tsskx64.sys [54904 2016-09-15] (电脑管家) R1 TSSysKit; C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\TSSysKit64.sys [96888 2016-09-15] (电脑管家) S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM-x32\...\Run: [ QQPCTray] => C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCTRAY.EXE [364776 2016-09-15] (Tencent) HKU\S-1-5-21-26662013-3925648858-865435436-1000\...\Run: [produpd] => C:\Users\Marcia\AppData\Roaming\VDI\Shared\Product Updater\produpd.exe [657408 2016-09-15] (VDI) Startup: C:\Users\Marcia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\produpd.lnk [2016-09-15] Task: {33BB3ED5-57E0-44F3-9E7A-906B3F913E7B} - System32\Tasks\26-1-458-934 => Rundll32.exe "C:\ProgramData\26.1.458.934\26.1.458.934.dll",DllRegisterServer Task: {5796F20A-91D6-4B56-98B3-6C260EC44C21} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: {7202C668-7FD2-47E1-8077-B5B36345C307} - System32\Tasks\UnregisterNonABICompliantCodeRange => Wscript.exe C:\Program Files (x86)\30hywmyy\341jc.js Task: {75DD2A42-FD60-4B0F-9DC7-514121C9FA75} - System32\Tasks\Driver Booster SkipUAC (Marcia) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {EE82DD1D-1CB3-4AAE-A50D-1C845B0F8A8C} - System32\Tasks\Johicultdruvasp Host => C:\Program Files (x86)\Bigesreerqsp\arekuge.exe [2016-09-15] (Kunshan Aunbox software co.,Ltd) ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QMGCShellExt64.dll [2016-09-15] (Tencent) HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia BHO-x32: Ó¦Óñ¦Ň»Ľü°˛×°˛ĺĽţ -> {50F4150A-48B2-417A-BE4C-C83F580FB904} -> C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3192\npQQPhoneManagerExt.dll [2014-05-30] (腾讯公司) AV: 电脑管家系统防护 (Enabled - Up to date) {6F9C3F92-B625-0E47-F0B1-447602EC65F5} AS: 电脑管家系统防护 (Enabled - Up to date) {D4FDDE76-901F-01C9-CA01-7F04796B2F48} FirewallRules: [{281A4784-250F-437E-912F-7D7EDE642CC0}] => (Allow) C:\Windows\system32\rundll32.exe FirewallRules: [{FCA6352D-0636-4E0A-9455-4E6AFF3FB332}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCTray.exe FirewallRules: [{E40AAC93-A071-4C81-8052-75CADDCDA011}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCMgr.exe FirewallRules: [{EA147257-EF13-4A3D-8A41-E33CA57E4E8F}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCRTP.exe FirewallRules: [{90E63EBB-B67E-4D13-8746-65C6B6A63E55}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QMDL.exe FirewallRules: [{FC0D21C3-F987-4897-9A8C-8A7DE930FE4E}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\bugreport.exe FirewallRules: [{E1FC5B45-CE1A-435C-B698-D1CF5DDC9762}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCFileOpen.exe FirewallRules: [{4FA13639-CDD7-44B9-AB5C-8BF32D86000D}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCLeakScan.exe FirewallRules: [{0C20EDA1-4492-439F-A1F0-DF5DFB96A75C}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPConfig.exe FirewallRules: [{57F98F4C-612C-4F3A-863B-2958180AD676}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCSoftMgr.exe FirewallRules: [{AC8D83D5-4C24-40B9-8618-205A011CE2B3}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\plugins\QMNetMon\QQPCNetFlow.exe FirewallRules: [{B0B0D6B9-51F0-4249-8651-5691C94A94AD}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCBTU.exe FirewallRules: [{F531FC6D-EAB9-4B7D-AF14-18F9CF1E7CF4}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCClinic.exe FirewallRules: [{E208DE28-3060-4DE5-98AC-438E248FFA5C}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCLaunch.exe FirewallRules: [{55DF29BB-2236-4441-B4C4-8EB23B343969}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QMUpdate\QQPCMgrUpdate.exe FirewallRules: [{955D8454-4A9B-4BDC-94BC-51D5191E9E02}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCSoftGame.exe FirewallRules: [{E220BE71-DB93-4DBB-9604-6A3B8D2E4ECB}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCSysOptimize.exe FirewallRules: [{47391654-A5FE-4D68-ABC6-C681DA731A7E}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCUpdateAVLib.exe FirewallRules: [{DEF6B3F0-70DE-44D7-8F17-54A0085A8287}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQRepair.exe FirewallRules: [{9E6AF492-0D13-498B-8A86-7886B1632C16}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\Uninst.exe FirewallRules: [{7B3482F5-D74A-4FD7-B3E7-A9A2D5BA49B2}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QQPCPatch.exe FirewallRules: [{08CB2348-6187-4B2E-AAA7-5AD08541ABB0}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\TpkUpdate.exe FirewallRules: [{4B0530E5-2706-4B5C-ADC9-6FFBD493793C}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QMAccountProtection.exe FirewallRules: [{F1DDBEDC-995F-4233-A297-3F088EF93A84}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\QMAdBlock.exe FirewallRules: [{8B1FBD43-054E-4CDC-BE7D-F7F83A0F96F9}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe FirewallRules: [{BD0C6D8C-0016-4689-AD47-34FFF4215E45}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe FirewallRules: [{B3AB1C96-6774-403E-ACD9-6CC6EE506D7B}] => (Allow) C:\Program Files (x86)\Spyware Terminator\SpywareTerminator.exe FirewallRules: [{7D885912-2F6C-45F7-9DDB-09F0F653CC25}] => (Allow) C:\Program Files (x86)\Spyware Terminator\SpywareTerminator.exe FirewallRules: [{EA8DE624-6884-46E9-9A55-5607B712CF10}] => (Allow) C:\Program Files (x86)\Spyware Terminator\SpywareTerminatorUpdate.exe FirewallRules: [{77BA7331-255B-4791-8734-E9DF4624398D}] => (Allow) C:\Program Files (x86)\Spyware Terminator\SpywareTerminatorUpdate.exe FirewallRules: [{236115EB-DBAD-4B13-BB58-E99ABECC1612}] => (Allow) C:\Windows\System32\rundll32.exe FirewallRules: [{BC6EB5B7-EAF4-49B3-82E0-9D5FDAEFC7C9}] => (Allow) C:\Windows\System32\rundll32.exe Tcpip\..\Interfaces\{2CDE34FA-D196-416A-B760-DF544BBAFD5A}: [NameServer] 45.32.152.160 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{2438D969-99EC-495F-815D-5ECE90E7D9F9} DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins CMD: for %i in ("C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\*.dll") do regsvr32 /s /u %i CMD: for %i in ("C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17744.210\*.dll") do C:\Windows\SysWOW64\regsvr32.exe /s /u %i CMD: for %i in ("C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3192\*.dll") do C:\Windows\SysWOW64\regsvr32.exe /s /u %i CMD: ipconfig /flushdns C:\Program Files\Common Files\Tencent C:\Program Files (x86)\30hywmyy C:\Program Files (x86)\Bigesreerqsp C:\Program Files (x86)\DriverToolkit C:\Program Files (x86)\fez530on C:\Program Files (x86)\SoSoIm_3 C:\Program Files (x86)\SoSoIm_4 C:\Program Files (x86)\SoSoIm_5 C:\Program Files (x86)\SoSoIm_6 C:\Program Files (x86)\Tencent C:\Program Files (x86)\Common Files\Tencent C:\ProgramData\26.1.458.934 C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\mntemp C:\ProgramData\Tencent C:\ProgramData\TXQMPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\MSUser.Default C:\Users\Marcia\AppData\Local\DriverToolkit C:\Users\Marcia\AppData\Local\Kugise C:\Users\Marcia\AppData\Roaming\Tencent C:\Users\Marcia\AppData\Roaming\VDI C:\Users\Marcia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\强力卸载电脑上的软件 .lnk C:\Users\Marcia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\电脑管家.lnk C:\Users\Marcia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Marcia\Downloads\*-dp*.exe C:\Users\Public\Desktop\电脑管家.lnk C:\Windows\Joberphlusisp C:\Windows\system32\Drivers\TAOAccelerator64.sys C:\Windows\system32\Drivers\TAOKernel64.sys C:\Windows\system32\Drivers\TFsFltX64.sys C:\Windows\system32\Drivers\TSSKX64.sys C:\Windows\SysWOW64\Drivers\TS888x64.sys Reg: reg query "HKLM\SOFTWARE\Microsoft\Microsoft Antimalware" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions" /s Reg: reg query "HKLM\SYSTEM\CurrentControlSet\Services\Winstep Xtreme Service" /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

Na tym komputerze także nie widać tytułowej infekcji. Tu jest tylko zainstalowany niepożądany program Babylon oraz poniższe martwe skróty od starej infekcji z pendrive (wygląda na to, że skróty przekopiowano skąd ręcznie): Shortcut: C:\Users\Ola\Desktop\Nowy folder (4)\Documents.lnk -> F:\tauocey.scr (Brak pliku) Shortcut: C:\Users\Ola\Desktop\Nowy folder (4)\Music.lnk -> F:\tauocey.scr (Brak pliku) Shortcut: C:\Users\Ola\Desktop\Nowy folder (4)\New Folder.lnk -> F:\tauocey.scr (Brak pliku) Shortcut: C:\Users\Ola\Desktop\Nowy folder (4)\Passwords.lnk -> F:\tauocey.scr (Brak pliku) Shortcut: C:\Users\Ola\Desktop\Nowy folder (4)\Pictures.lnk -> F:\tauocey.scr (Brak pliku) Shortcut: C:\Users\Ola\Desktop\Nowy folder (4)\Video.lnk -> F:\tauocey.scr (Brak pliku) Czyli do wykonania poboczne działania nie powiązane w ogóle z problemem tytułowym: 1. Odinstaluj stare wersje i zbędne aplikacje: Adobe AIR, Adobe Flash Player 22 NPAPI, Adobe Reader X (10.1.6), Amazon.co.uk, Babylon, Badanie mające na celu poprawę produktów HP Deskjet 2540 series, Bing Bar, eBay, Gadu-Gadu 10, HP Customer Participation Program 13.0, Java 6 Update 32, Skype Toolbars. Stare wersje m.in. mogą być przyczyną infekcji szyfrującej dane. OpenOffice.org do aktualizacji. 2. Doczyszczanie wpisów odpadkowych. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [SunJavaUpdateSched] => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" HKLM-x32\...\Run: [Babylon Client] => C:\Program Files (x86)\Babylon\Babylon-Pro\Babylon.exe [3677776 2013-09-09] (Babylon Ltd.) Task: {DDBE3CB6-8FAE-4810-AFBF-415667F0169D} - System32\Tasks\{46C6ABD4-E1C3-45C8-A3DD-2C70A647D95F} => pcalua.exe -a E:\setup.exe -d E:\ SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-85080767-1146923941-1240108711-1000 -> DefaultScope {6122FB65-4D2C-4B3C-86AA-AA87401BAAB6} URL = SearchScopes: HKU\S-1-5-21-85080767-1146923941-1240108711-1000 -> {6122FB65-4D2C-4B3C-86AA-AA87401BAAB6} URL = SearchScopes: HKU\S-1-5-21-85080767-1146923941-1240108711-1000 -> {CE4271E0-E2E8-48F0-9025-E2EA3FBF4A1E} URL = BHO-x32: Babylon IE plugin -> {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} -> C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll [2013-09-09] (Babylon Ltd.) Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku DeleteKey: HKCU\Software\Mozilla\Firefox\Extensions DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Babylon C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\Babylon C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TOSHIBA\Rejestracja gwarancji firmy Toshiba.lnk C:\Users\Ola\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Babylon.lnk C:\Users\Public\Desktop\Babylon.lnk C:\Users\Ola\Desktop\Nowy folder (4)\*.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. I pousuwaj ręcznie skróty do dokumentów z poniższych ścieżek, to martwe skróty kierujące donikąd:

Potwierdź mi jeszcze, że nie widzisz "LuDaShi" w tym miejscu: prawy klik na Pasek zadań Windows > Paski narzędzi. Raczej nie powinno tam tego już być, bo skan rejestru nie zwrócił obecności klasy w rejestrze, która odpowiada za widoczność obiektu w tym menu. I jeśli nie ma już innych widocznych problemów, kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z poniższego folderu FRST i jego logi: C:\Users\Maru\Downloads\INSTALKI 2. Następnie zastosuj jeszcze DelFix, a po tym wyczyść foldery Przywracania systemu: KLIK.

Usuwałam wszystko co było widać od tego adware w raportach, a skan rejestru nie wykrył nic powiązanego. Czy mam rozumieć, że obecnie widzisz gdzieś "LuDaShi"?

Chrome Setup widoczny - prawdopodobnie odbywała się autoaktualizacja przeglądarki, aczkolwiek w Twoim poprzednim logu już była widoczna jako zainstalowana najnowsza dostępna wersja 53.0.2785.116. Hitman wykrył tylko drobnicę. Pliki z sekcji "Suspicious files" do zignorowania, rekordy "Potential Unwanted Programs" już zostały zanaczone do usunięcia, więc jeszcze Cookies do skasowania.

Skrypt pomyślnie wykonany. Jeszcze skan rejestru wykrył szczątki infekcji. 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Wykonaj skan za pomocą Hitman Pro. Jeśli wykryje coś innego niż kopie FRST64.exe (to fałszywy alarm), dostarcz log z wynikami.

Jeszcze nie zostały tu sprawdzone wszystkie komputery, ale jeśli potem się okaże że brak oznak infekcji na wszystkich, to możliwy ten scenariusz: I do aktualizacji był także Adobe Reader 9.1.2. Nie wycinaj linii całych (muszę widzieć kontekst wpisu), ale zamień w logu dane osób frazą "edytowane" dla sygnalizacji, że konkretny fragment jest zmanipulowany.

Wszystko zrobione. Lecimy z drobnymi poprawkami: 1. Otwórz Notatnik i wklej w nim: Task: {2506DEAF-2763-46BD-A3AB-7C4473BAC4F5} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-07-04] (AVAST Software) HKU\S-1-5-21-2411900937-544243709-2355068264-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Maru\AppData\Local\Akamai\netsession_win.exe" DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths" /f C:\Program Files\Common Files\AV\avast! Antivirus C:\Windows\System32\Tasks\AVAST Software D:\Program Files\MSUser.Default Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom FRST ponownie, w polu Szukaj wklej co poniżej, klik w Szukaj w rejestrze i przedstaw wynikowy SearchReg.txt. MSUser.Default;LuDaShi

Mam na myśli wyłączenie osłony web w opcjach. Ogólne wyłączenie ESET też można sprawdzić. Jeśli nie proszę o logi, to nie są potrzebne. Nic nie wniosą do sprawy - omawiane akcje nie mają żadnych śladów w logach i pokaże się dokładnie to samo co wcześniej. Przy okazji, dział pomocy doraźnej nie służy "do logów" tylko do diagnostyki infekcji (przy udziale m.in. logów), logi mogą być w dowolnym dziale, gdyż służą pomocą do różnych problemów, a nie tylko do szukania malware.

Problemem są zmodyfikowane skróty przeglądarki, ale jest więcej śladów adware. Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje i zbędny Akamai: Adobe AIR, Adobe Media Player, Adobe Shockwave Player 12.2, Akamai NetSession Interface, Java 8 Update 73 (64-bit). - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń ukryty wpis Metric Collection SDK od niechcianej instalacji Lenovo. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Maru\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Maru\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Maru\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Maru\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Maru\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Maru\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Maru\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Maru\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://navsmart.info ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Maru\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Maru\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2411900937-544243709-2355068264-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2411900937-544243709-2355068264-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2411900937-544243709-2355068264-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2411900937-544243709-2355068264-1001 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = SearchScopes: HKU\S-1-5-21-2411900937-544243709-2355068264-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-2411900937-544243709-2355068264-1001 -> {755DB651-7812-46A9-8984-9F065DD7BC73} URL = SearchScopes: HKU\S-1-5-21-2411900937-544243709-2355068264-1001 -> {b7fca997-d0fb-4fe0-8afd-255e89cf9671} URL = HKLM-x32\...\Run: [sunJavaUpdateSched] => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => Brak pliku R2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2934048 2015-10-09] (IObit) R2 PSed; C:\Users\Maru\AppData\Roaming\psvc\psvc.exe [707624 2015-04-10] (Navigation Co., Ltd.) S3 EagleX64; \??\C:\WINDOWS\system32\drivers\EagleX64.sys [X] S3 xhunter1; \??\C:\WINDOWS\xhunter1.sys [X] NETSVCx32: HpSvc -> Brak ścieżki do pliku. Task: {0D8A891D-890C-4808-84D8-2F436AB14653} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku Task: {1274336E-AB06-46B6-A48C-0671C5557CC6} - \Microsoft\Windows\TaskScheduler\Maintenance Configurator -> Brak pliku Task: {1687544D-7247-4F5A-965A-A6E920E55278} - \Microsoft\Windows\TaskScheduler\Manual Maintenance -> Brak pliku Task: {1D3F7D8F-5483-4CAA-83FC-8B6291941D01} - System32\Tasks\UnregisterNonABICompliantCodeRange => Wscript.exe C:\PROGRA~2\q4newsdp\k9x06.js Task: {365B531C-B2EA-45E6-95B2-E65C8BE70C90} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {40525C58-79C2-47A1-9AA2-F1D7FC4F0691} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> Brak pliku Task: {6F02587F-8A2B-4552-97F6-DEEF229E335B} - \Microsoft\Windows\TaskScheduler\Idle Maintenance -> Brak pliku Task: {A4D97C3E-9D8A-487B-AE29-94938DAAAEAA} - System32\Tasks\Driver Booster SkipUAC (Maru) => C:\Program Files (x86)\IObit\Driverfile:///C:/Users/Aretuza/AppData/Local/Temp/Addition-57.txt Booster\DriverBooster.exe Task: {B62C288B-8A6E-45EB-AE7E-1F29023BB208} - System32\Tasks\Bitdefender Update Product Data_A17FD818A96743FAB28AC221BEB4B2C8 => C:\Program Files\Bitdefender\Bitdefender 2015\bdproductdata.exe Task: {B7992938-01F1-4F40-A0EC-0D23D2F0F152} - \Microsoft\Windows\TaskScheduler\Regular Maintenance -> Brak pliku Task: {CFD7C21A-808B-487B-A6EC-8A10E44E8360} - \Microsoft\Windows\SettingSync\BackupTask -> Brak pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Aeria Ignite" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v app /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v CLVirtualDrive /f C:\Program Files\McAfee C:\Program Files (x86)\IObit C:\Program Files (x86)\Lenovo C:\ProgramData\{322E44A7-0E30-4650-A200-645ED942CC5F}.tmp C:\ProgramData\hash.dat C:\ProgramData\AVAST Software C:\ProgramData\avastSWCUTemp C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\cosun C:\ProgramData\McAfee C:\ProgramData\ProductData C:\ProgramData\Thunder Network C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mirillis C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Music, Photos and Videos C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Shadowbound C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师 C:\Users\Maru\AppData\Local\Animiprujersp C:\Users\Maru\AppData\Local\Cmudomghikother C:\Users\Maru\AppData\Local\Lenovo C:\Users\Maru\AppData\Local\Mozilla C:\Users\Maru\AppData\Local\Tempfolder C:\Users\Maru\AppData\Local\UCBrowser C:\Users\Maru\AppData\Roaming\*.* C:\Users\Maru\AppData\Roaming\Geunfy C:\Users\Maru\AppData\Roaming\GowvePitpagf C:\Users\Maru\AppData\Roaming\Mozilla C:\Users\Maru\AppData\Roaming\OpenFM C:\Users\Maru\AppData\Roaming\psvc C:\Users\Maru\AppData\Roaming\Solvusoft C:\Users\Maru\AppData\Roaming\Microsoft\Done.dat C:\Users\Maru\AppData\Roaming\Microsoft\interface.dat C:\Users\Maru\AppData\Roaming\Microsoft\interface2.dat C:\Users\Maru\AppData\Roaming\Microsoft\jushed.jushed C:\Users\Maru\AppData\Roaming\Microsoft\patterns.ini C:\Users\Maru\AppData\Roaming\Microsoft\spoolsfirst C:\Users\Maru\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk C:\Users\Maru\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk C:\Users\Maru\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器 (2).lnk C:\Users\Maru\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk C:\Users\Maru\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Maru\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk C:\Users\Maru\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk C:\Users\Maru\TsGame C:\Users\Public\Thunder Network C:\WINDOWS\Joberphlusisp C:\WINDOWS\system32\roboot64.exe C:\WINDOWS\System32\Tasks\Lenovo Hosts: CMD: netsh advfirewall reset Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths" /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Print /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

Tak, ta włączona wtyczka to Adobe Flash (pomimo że jest pod nazwą Shockwave Flash). Potem ewentualnie możesz jeszcze aktywować OpenH264, Primetime, Widevine - te trzy to są natywne wtyczki integrowane w Firefox (w skanie FRST nigdy nie są widoczne). To moje spekulacje, były takie tematy na forum. Mógbyś sprawdzić czy wyłączenie tymczasowe osłony web zmienia postać rzeczy.