picasso

Problem nadal występuje, gdyż pomiędzy pierwszymi logami a Fix FRST nastąpiła odbudowa adware i pojawił się drugi wpis (nie był widoczny w pierwszych logach). Czyli poprawka: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-735583447-693508571-541323270-1001\...\Run: [Wojtek] => explorer.exe hxxp://kb-ribaki.org <===== UWAGA Task: {CB756BC8-45A8-4AC1-BE16-4D104B46A707} - \SidebarExecute -> Brak pliku <==== UWAGA Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Wojtek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

Poproszę o nowe raporty FRST (FRST.txt + Addition.txt) dokumentujące zmiany.

Fix FRST pomyślnie wykonany, ale skoro katalog się odbudował, to mam pytanie na którym koncie występuje PriceFountain? FRST wykrywa tylko standardowe konta lokalne aktualnie załadowane, a tu definitywnie jest system domenowy, więc nawet nie widzę dokładnie w logu ile kont naprawdę jest, poza enigmatyczną informacją w nagłówku że prawdopodobnie są w obrotach 3 konta: Załadowane profile: b0635940 (Dostępne profile: b0635940 & B0635941 & SM61ZZ) Zrób logi FRST (FRST.txt + Addition.txt) z każdego konta na którym jest problem.

Przeprowadź proces odwrotny, tzn. zacznij włączać partiami (np. od tego samego producenta) wpisy uprzednio zdeaktywowane, aż dojdziesz do tego która z usług stanowi problem.

Temat przenoszę do działu Windows. Brak oznak infekcji. Nasuwa się, by przywrócić stan systemu sprzed ingerencji w sterowniki. Są tu wykryte następujące punkty Przywracania systemu: ==================== Punkty Przywracania systemu ========================= 21-07-2016 20:45:23 Windows Update 03-08-2016 18:15:32 Garmin Express 24-08-2016 22:59:26 Windows Update 04-09-2016 18:52:38 Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.30501 05-09-2016 00:13:40 Windows Update Wybierz odpowiednio "stary".

Brak oznak infekcji. Odinstaluj jednak niepożądane wątpliwe programy FileViewPro i WinThruster, doinstalowane najwyraźniej w celu "rozwiązania" problemu z plikami graficznymi. Opisz o co chodzi, jaki błąd przy otwieraniu plików, na czym polega "zamiana w inny plik" oraz gdzie leżą te pliki (na partycji C czy D i w jakiej konkretnie ścieżce). Jedyne co ja widzę w logu Shortcut.txt, to masowe skróty będące jakoby skrótami do plików graficznych, ale kierujące na nieistniejący plik Office: Shortcut: C:\Users\Tomek\Desktop\hujej\IMG_20151220_185109.lnk -> C:\Program Files\Microsoft Office\Office14\OIS.EXE (Brak pliku) Shortcut: C:\Users\Tomek\Desktop\hujej\IMG_20151220_185136.lnk -> C:\Program Files\Microsoft Office\Office14\OIS.EXE (Brak pliku) Shortcut: C:\Users\Tomek\Desktop\hujej\IMG_20151220_185321.lnk -> C:\Program Files\Microsoft Office\Office14\OIS.EXE (Brak pliku) Shortcut: C:\Users\Tomek\Desktop\hujej\IMG_20151221_170754.lnk -> C:\Program Files\Microsoft Office\Office14\OIS.EXE (Brak pliku) Shortcut: C:\Users\Tomek\Desktop\hujej\IMG_20151221_185758.lnk -> C:\Program Files\Microsoft Office\Office14\OIS.EXE (Brak pliku) Shortcut: C:\Users\Tomek\Desktop\hujej\IMG_20151221_190025.lnk -> C:\Program Files\Microsoft Office\Office14\OIS.EXE (Brak pliku) Shortcut: C:\Users\Tomek\Desktop\hujej\IMG_20151221_210140.lnk -> C:\Program Files\Microsoft Office\Office14\OIS.EXE (Brak pliku) etc. Z raportów nic nie wynika.

Brak oznak infekcji, więc przypuszczalna przyczyna komunikatu to raczej: MBAM wykrył nie powiązany z komunikatem obiekt adware PriceFountain w folderze Temp (przypuszczalnie uruchamiałeś jakiś instalator sponsorowany). Do wykonania poboczne operacje: Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Winlogon\Notify\igfxcui: igfxdev.dll [X] S3 cpuz139; \??\C:\Users\Wonszyna\AppData\Local\Temp\cpuz139\cpuz139_x64.sys [X] FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF C:\Program Files (x86)\Java C:\ProgramData\mntemp C:\Users\Wonszyna\AppData\Local\Google\Chrome EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne. I nie polecam programów-automatów typu Driver Easy.

Konsekwentnie brak oznak infekcji. Nie mam się czym zajmować. Trudno powiedzieć o co chodzi z Pandą, nie blokuje przypadkiem narzędzia Zemana? Zachowanie programu ESET za to normalne. Program ESET jest konsolowy, co oznacza że po uruchomieniu przez dwuklik wykonuje zadanie i samoistnie się zamyka. Należy uruchomić linię komend cmd jako administrator, a w niej wklepać ścieżkę dostępu do ESETHfsReader.exe - wtedy program się nie zamknie. Ale usuwałeś wykryte przez TDSSKiller obiekty, na dodatek zrobiłeś przetasowanie w partycjach i format, więc nie powinien w ogóle wykryć tego ukrytego systemu plików. PS. Drobnostka w Dzienniku zdarzeń: Dziennik Aplikacja: ================== Error: (09/12/2016 06:02:16 PM) (Source: WinMgmt) (EventID: 10) (User: ) Description: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected. Błąd zupełnie nieszkodliwy i nie mający wpływu na wydajność, ale możesz go zlikwidować stosując wytyczne z artykułu microsoftu: KLIK.

Log wskazuje, że nie masz zainstalowanych wszystkich aktualizacji z Windows Update (widać bardzo starą niewspieraną wersję IE8). Uzupełnij wszystkie aktualizacje, powtarzając rundy z wyszukiwaniem aktualizacji aż do zwrotu, że nie wykryto już nic do instalacji. To ważny krok również mający znaczenie w zabezpieczeniach.

Problem jest bardziej złożony, w Windows różne infekcje: infekcja "bezplikowa" wykorzystująca systemowy PowerShell, infekcja DNS (zainfekowany systemowy plik dnsapi.dll) oraz różne drobniejsze odpadki adware. Jeśli chodzi o urządzenia, ten "jakby podfolder" to skrót zrobiony przez infekcję typu Gamarue: KLIK. Działania do przeprowadzenia: 1. Uruchom RepairDNS. Na Pulpicie powstanie log RepairDNS.txt. 2. Deinstalacje: - Przez Panel sterowania odinstaluj stare wersje i zbędne programy: HP Customer Participation Program 13.0, Java 8 Update 60, Java 8 Update 91, McAfee Security Scan Plus. - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń ukryty wpis Metric Collection SDK 35. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-995890878-878726906-1775722255-1000\...\Run: [{7DB9971C-09E8-4266-9645-B5F140A170DF}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\DVEDK').SRAQCMPEcNmejA))); HKU\S-1-5-21-995890878-878726906-1775722255-1000\...\Policies\Explorer: [] HKLM-x32\...\Run: [sunJavaUpdateSched] => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia Task: {165A9219-DD85-4ABE-BD15-4A6955D9E09D} - System32\Tasks\{497BC594-D6E9-4671-9D6C-0753CDF41988} => pcalua.exe -a G:\Setup.exe -d G:\ Task: {54230122-CBDB-471F-8172-60DEA9384649} - System32\Tasks\{C882CD55-E171-4FAF-B61B-EF346A82DE61} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Jayhold\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Jayhold\uninstall.dat" -a uninstallme E3ED8A07-EA72-407A-819E-078CA8A27884 DeviceId=577af0ef-1a8e-e8e8-b4a2-7ef2760ce5a6 BarcodeId=50027003 ChannelId=3 DistributerName=APSnapdoAMRev Task: {55326147-EFE9-42E4-B980-229B278817E4} - System32\Tasks\{C01FB94F-205F-4E3D-9004-4995902E23B4} => pcalua.exe -a C:\Users\Ryszard\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=cor Task: {6A6C2D35-0ECB-4F91-854C-076A5953AD95} - System32\Tasks\{5C1CB5DE-7A7E-4EC4-A5F9-EE44CD25CF15} => pcalua.exe -a C:\Users\Ryszard\AppData\Roaming\yoursearching\UninstallManager.exe -c -ptid=face Task: {6B714865-F609-479C-8F5C-9BDAE27E34B4} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe Task: {7A144258-6B4C-4BF6-99F9-00DB9F893913} - System32\Tasks\Smart Protector Viewer => C:\Program Files (x86)\Smart Protector\sswworker.exe Task: {93A16FB0-29AF-424A-A021-35643F66A26C} - System32\Tasks\{9BA85016-7634-4492-BBBB-E232330FA358} => pcalua.exe -a C:\Users\Ryszard\Downloads\MafiaIIDemo\Setup.exe -d C:\Users\Ryszard\Downloads\MafiaIIDemo Task: {D71EFD69-6734-4770-B92B-4695138F0A71} - System32\Tasks\{D072C5E8-3F8F-4C2E-B246-0559FF528E5D} => pcalua.exe -a C:\Users\Ryszard\Downloads\MafiaIIDemo\SetupLauncher.exe -d C:\Users\Ryszard\Downloads\MafiaIIDemo Task: {E1FB72DB-8669-4355-B84A-21B45DCC8BD8} - System32\Tasks\{8E25D02D-4975-489A-B736-83435D1C4E4F} => pcalua.exe -a D:\Autorun.exe -d D:\ Task: {E38F9A3D-17B7-4B3B-978B-EC2C8EA0A6CC} - System32\Tasks\Tuswutr => C:\PROGRA~1\GROOVE~1\Jetsy.bat Task: {FEED8E2F-3F05-49BE-B051-89E4811DB57D} - System32\Tasks\{517BBFDD-A6EF-4167-BB51-D98C98456345} => pcalua.exe -a C:\Users\Ryszard\Desktop\KSIĄŻKI\gta_iv_eflc_crack_by_nehm.exe -d C:\Users\Ryszard\Desktop\KSIĄŻKI S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-02-18] () S0 irjup; System32\drivers\pyga.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] FF Plugin HKU\S-1-5-21-995890878-878726906-1775722255-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKU\S-1-5-21-995890878-878726906-1775722255-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank SearchScopes: HKLM-x32 -> DefaultScope {20B9D1AE-AD1A-38B4-87FE-AF278DA9861D} URL = SearchScopes: HKU\S-1-5-21-995890878-878726906-1775722255-1000 -> DefaultScope {20B9D1AE-AD1A-38B4-87FE-AF278DA9861D} URL = DeleteKey: HKCU\Software\Classes\DVEDK DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\McComponentHostService DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ares DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Skype DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo C:\Program Files (x86)\Google\Chrome\Application\7515b657f8993a63ede6b511ba964675_2 C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\msrzdf.exe C:\ProgramData\mntemp C:\ProgramData\Softland C:\ProgramData\Microsoft\Windows\Start Menu\Programs\50 FREE MP3s +1 Free Audiobook!.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\L.A. Noire C:\Users\Ryszard\AppData\Local\Chromium C:\Users\Ryszard\AppData\Local\WinSweeper C:\Users\Ryszard\AppData\Roaming\agent.dat C:\Users\Ryszard\AppData\Roaming\Installer.dat C:\Users\Ryszard\AppData\Roaming\Main.dat C:\Users\Ryszard\AppData\Roaming\Softland C:\Users\Ryszard\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Ryszard\Desktop\Nowy folder (2)\L.A. Noire.lnk C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\System32\Drivers\EsgScanner.sys C:\Windows\System32\Tasks\Lenovo CMD: ipconfig /flushdns CMD: netsh advfirewall reset Zip: C:\ProgramData\Microsoft\Windows\GameExplorer\{30B53CBD-507E-47DC-8C90-6E1073D6BC9A}\SupportTasks Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Dostarcz następujące materiały: - Zrób nowe logi: FRST z opcji Skanuj (Scan), bez Addition i Shortcut, oraz USBFix z opcji Listing zrobiony przy podpiętym pendrive. - Dołącz pliki fixlog.txt i RepairDNS.txt. - Na Pulpicie powstanie też plik Upload.zip - shostuj go gdzieś i podaj link do niego.

Temat przenoszę do działu Windows. Brak oznak infekcji. W Dzienniku zdarzeń widać tylko takie błędy pokazujące, że niektóre aplikacje (w tym FRST) wykładają się z błędem: Error: (09/11/2016 01:36:05 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: taskhost.exe, wersja: 6.1.7601.18010, sygnatura czasowa: 0x50aee9f3 Nazwa modułu powodującego błąd: CRYPT32.dll_unloaded, wersja: 0.0.0.0, sygnatura czasowa: 0x5755aab3 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x000007fefce4018c Identyfikator procesu powodującego błąd: 0x6c0 Godzina uruchomienia aplikacji powodującej błąd: 0x01d20c1ede8195d5 Ścieżka aplikacji powodującej błąd: C:\windows\system32\taskhost.exe Ścieżka modułu powodującego błąd: CRYPT32.dll Identyfikator raportu: ec543953-7813-11e6-9125-6427378a092c Error: (09/11/2016 01:35:59 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: abda.exe, wersja: 31.8.2016.0, sygnatura czasowa: 0x57c6a538 Nazwa modułu powodującego błąd: unknown, wersja: 0.0.0.0, sygnatura czasowa: 0x00000000 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x000007fefce40113 Identyfikator procesu powodującego błąd: 0x1790 Godzina uruchomienia aplikacji powodującej błąd: 0x01d20c20aad21e6b Ścieżka aplikacji powodującej błąd: C:\Users\Maku\Downloads\abda.exe Ścieżka modułu powodującego błąd: unknown Identyfikator raportu: e8c7d0f6-7813-11e6-9125-6427378a092c Error: (09/11/2016 01:34:56 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: FRST64.exe, wersja: 31.8.2016.0, sygnatura czasowa: 0x57c6a538 Nazwa modułu powodującego błąd: unknown, wersja: 0.0.0.0, sygnatura czasowa: 0x00000000 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x000007fefce40113 Identyfikator procesu powodującego błąd: 0xa0c Godzina uruchomienia aplikacji powodującej błąd: 0x01d20c2085293790 Ścieżka aplikacji powodującej błąd: C:\Users\Maku\Downloads\FRST64.exe Ścieżka modułu powodującego błąd: unknown Identyfikator raportu: c3188163-7813-11e6-9125-6427378a092c Skoro narzędzia działają jednak w trybie awaryjnym, to jako podejrzany nasuwa się zbyt przedsiębiorczy COMODO Intenet Security. Proponuję tymczasowo wyłączyć jego ochronę, by sprawdzić czy coś się zmieni, a w przypadku braku rezultatów całkowicie odinstalować.

Prócz punktowanego problemu jest tu także śmietnik od adware. Działania do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania odinstaluj adware/PUP WinZip (to podróbka WinZip, a nie Wizip od Corela). - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń odpadek Google Update Helper. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3451519264-229654876-2956084100-1000\...\Run: [boabu] => C:\Users\user\boabu.exe [49152 2015-04-23] () R2 WinSystemSvcW; C:\Program Files (x86)\Windows Expro\winprow.exe [339456 2016-08-03] () [brak podpisu cyfrowego] R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [1018416 2016-08-03] (ExWzp Pvt Ltd.) S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] S3 cpuz138; \??\C:\Users\user\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] Task: {1FB886DB-88EE-42E9-BCC2-98FE2BBFC654} - System32\Tasks\{F69CDE2C-6E18-4546-81B6-453C79F5A7B5} => pcalua.exe -a "C:\Program Files (x86)\WinZipper\eUninstall.exe" Task: {915E0AF9-D3E4-441F-A186-31DADE94B0FC} - System32\Tasks\{30DCEEA4-AB18-489B-ABEA-D7D603179D2A} => pcalua.exe -a F:\SETUP.EXE -d F:\ Task: {AD77A0B7-27FC-45E7-867C-8197EE46D6B7} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe Task: C:\Windows\Tasks\AutoKMS.job => C:\Windows\AutoKMS\AutoKMS.exe GroupPolicyScripts: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com?type=hp&ts=1435574949&from=mych123&uid=wdcxwd10jpcx-24ue4t0_wd-wx51e93awj97awj97&z=3958d08c7c8998fcfb4d13dgdz9c3wfwcm8zctfz5e HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com?type=hp&ts=1435574949&from=mych123&uid=wdcxwd10jpcx-24ue4t0_wd-wx51e93awj97awj97&z=3958d08c7c8998fcfb4d13dgdz9c3wfwcm8zctfz5e HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com?type=hp&ts=1435574949&from=mych123&uid=wdcxwd10jpcx-24ue4t0_wd-wx51e93awj97awj97&z=3958d08c7c8998fcfb4d13dgdz9c3wfwcm8zctfz5e HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com?type=hp&ts=1435574949&from=mych123&uid=wdcxwd10jpcx-24ue4t0_wd-wx51e93awj97awj97&z=3958d08c7c8998fcfb4d13dgdz9c3wfwcm8zctfz5e HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-3451519264-229654876-2956084100-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1418977195&from=wpm12173&uid=WDCXWD10JPCX-24UE4T0_WD-WX51E93AWJ97AWJ97&q={searchTerms} HKU\S-1-5-21-3451519264-229654876-2956084100-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com?type=hp&ts=1435574949&from=mych123&uid=wdcxwd10jpcx-24ue4t0_wd-wx51e93awj97awj97&z=3958d08c7c8998fcfb4d13dgdz9c3wfwcm8zctfz5e HKU\S-1-5-21-3451519264-229654876-2956084100-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com?type=hp&ts=1435574949&from=mych123&uid=wdcxwd10jpcx-24ue4t0_wd-wx51e93awj97awj97&z=3958d08c7c8998fcfb4d13dgdz9c3wfwcm8zctfz5e SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM-x32 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1435574949&from=zzgbkk123&uid=wdcxwd10jpcx-24ue4t0_wd-wx51e93awj97awj97&z=3958d08c7c8998fcfb4d13dgdz9c3wfwcm8zctfz5e&q={searchTerms} SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1435574949&from=zzgbkk123&uid=wdcxwd10jpcx-24ue4t0_wd-wx51e93awj97awj97&z=3958d08c7c8998fcfb4d13dgdz9c3wfwcm8zctfz5e&q={searchTerms} SearchScopes: HKU\S-1-5-21-3451519264-229654876-2956084100-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3451519264-229654876-2956084100-1000 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1435574949&from=zzgbkk123&uid=wdcxwd10jpcx-24ue4t0_wd-wx51e93awj97awj97&z=3958d08c7c8998fcfb4d13dgdz9c3wfwcm8zctfz5e&q={searchTerms} FF HKLM-x32\...\Firefox\Extensions: [detgdp@gmail.com] - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\e0dks6s1.default\extensions\detgdp@gmail.com => nie znaleziono ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1426769105&from=wpm031932&uid=WDCXWD10JPCX-24UE4T0_WD-WX51E93AWJ97AWJ97 ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1426769105&from=wpm031932&uid=WDCXWD10JPCX-24UE4T0_WD-WX51E93AWJ97AWJ97 ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1426769105&from=wpm031932&uid=WDCXWD10JPCX-24UE4T0_WD-WX51E93AWJ97AWJ97 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1426769105&from=wpm031932&uid=WDCXWD10JPCX-24UE4T0_WD-WX51E93AWJ97AWJ97 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^user^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^House of Cards 2013 S03E05 720p WEBRip x264-2HD [eztv].lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\boabu => C:\Users\user\boabu.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EaseUS EPM tray DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\fuefue DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoogleChromeAutoLaunch_4E874A737D5662A34EBBEADB3A9C4A09 DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main C:\Program Files (x86)\Windows Expro C:\Program Files (x86)\WinZipper C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Heroes of Newerth C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Strife C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\Users\user\boabu.exe C:\Users\user\AppData\Local\69ff07055291669bb2b218.72821112 C:\Users\user\AppData\Local\Google C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\openfm.lnk C:\Users\user\AppData\Roaming\SETUP.EXE C:\Windows\pss\House of Cards 2013 S03E05 720p WEBRip x264-2HD [eztv].lnk.Startup CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowe logi: FRST z opcji Skanuj (Scan), bez Addition i Shortcut, oraz USBFix z opcji Listing wykonany przy podpiętych zarażonych pendrive. Dołącz też plik fixlog.txt.

Komunikat związany z plikiem launchall.js pochodzi od zainstalowanego adware. Ponadto, w Google Chrome jest wstawiony cały profil prefabrykowany przez adware (nazwa na dysku gholdomphatcoperdom). Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware GameLauncher, Host Service, HPReyos oraz programy sponsorowane przez nieuwagę wprowadzone przy instalacji produktów Adobe Intel Security True Key, McAfee Security Scan Plus. Jeśli korzystasz z aplikacji Intel, możesz to pominąć. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3770422491-737460099-2970930311-1001\...\Run: [Host Service] => wscript "C:\Users\Łukasz\AppData\Local\Host Service\launchall.js" HKU\S-1-5-21-3770422491-737460099-2970930311-1001\...\Run: [seviler] => C:\Users\Łukasz\AppData\Roaming\GameLauncher\Seviler\Seviler.exe [647680 2016-08-31] (GYXQI USUOWMYLI) GroupPolicy: Ograniczenia - Chrome R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] S2 InstallerService; C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe [X] Task: {A4BD24E4-BDB5-4DED-9875-8519E920778C} - \Ghubodomtices Module -> Brak pliku DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\Plumbytes Software C:\Program Files (x86)\{516D9F5A-D8E3-485A-838A-AE688ED07E5C} C:\Program Files (x86)\Quzother C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{EEFA2536-802E-50BD-AA5F-3968C977D088}-Download Removewat 2.2....lnk C:\Users\Łukasz\AppData\Local\{698D0BA5-6E4B-44BD-9F9A-AA32F2E98D9A} C:\Users\Łukasz\AppData\Local\cobckstizatainwotcult C:\Users\Łukasz\AppData\Local\Host Service C:\Users\Łukasz\AppData\Roaming\GameLauncher C:\Users\Łukasz\AppData\Roaming\HPReyos C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\a4d7269b192d0c21\Google Chrome.lnk C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Ехрlоrеr.lnk C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows.lnk Folder: C:\Users\Łukasz\AppData\Local\Google\Chrome\User Data\gholdomphatcoperdom Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome wyeksportuj zakładki, następnie przejdź do Ustawienia > karta Ustawienia > Osoby > załóż nowy profil i wejdź na niego. Zamknij okno poprzedniego, wrć do opcji Osoby i skasuj poprzedni profil. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

W raporcie widać ślady infekcji routera - izraelskie adresy IP (ale nie są oznaczone jako bieżące) i różne szczątki adware. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{400AE538-A0EB-48F6-A88B-DD6C5C2B9337}: [DhcpNameServer] 82.163.143.171 Tcpip\..\Interfaces\{C76F78A3-1DD4-4516-9827-1A4A1B142607}: [DhcpNameServer] 82.163.143.171 BootExecute: autocheck autochk * ffnd.exe {949E979C-EB1F-11DB-92AC-22C456D89593} S2 PassThru Service; C:\Program Files (x86)\HTC\Internet Pass-Through\PassThruSvr.exe [X] S2 ZAMSvc; "C:\Program Files (x86)\Zemana AntiMalware\ZAM.exe" /service [X] S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X] S1 ZAM_Guard; \??\C:\Windows\System32\drivers\zamguard64.sys [X] Task: {2C607913-E77E-46D3-846C-F4CCF0F13111} - \{3A4BFE7D-248E-3448-FD90-B067AA412F6B} -> No File Task: {8A11C8F8-16EC-49A2-95DD-F69B6D1A8B18} - System32\Tasks\AutoPico Daily Restart => D:\Systemowe\Activators\Activators\KMSpico [Argument = 9.1.3 Auto Portable\AutoPico.exe /silent] SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope value is missing Handler: skypec2c - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll No File StartMenuInternet: IEXPLORE.EXE - iexplore.exe IE trusted site: HKU\S-1-5-21-2176414354-3222065998-314886352-1001\...\hola.org -> hxxp://hola.org GroupPolicy: Restriction - Chrome CHR HKLM\SOFTWARE\Policies\Google: Restriction DeleteKey: HKCU\Software\Google\Chrome DeleteKey: HKLM\SOFTWARE\Google\Chrome DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome C:\Program Files (x86)\Google\Chrome C:\Program Files (x86)\Zemana AntiMalware C:\Users\Gocha\AppData\Local\Chromium C:\Users\Gocha\AppData\Local\Google C:\Users\Gocha\AppData\Roaming\sb796.dat C:\Windows\ZAM_Guard.krnl.trace C:\Windows\ZAM.krnl.trace C:\Windows\system32\ffnd.exe CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy preoblemy nadal występują.

W konfiguracji Przywracania systemu sprawdź czy na liście dysków widnieje pozycja opisana jako BRAK. Jeśli coś takiego tam widnieje, wyłącz Ochronę dla tego elementu, za to włącz ją dla właściwego woluminu z Windows.

Fix wykonany. Kończymy: 1. Skasuj FRST i jego logi z dysku F:. Skorzystaj też z DelFix, następnie wyczyść foldery Przywracania systemu: KLIK. 2. Do wglądu lista programów zabezpieczających: KLIK. Przyjrzyj się na sekcję Anti-Exploit, Anti-Ransomware. 3. Przypominam o wykonaniu pełnej aktualizacji systemu.

Temat przenoszę do właściwego działu diagnostyki malware. O ile problem nadal aktualny, do przeprowadzenia następujące operacje: 1. Odinstaluj via Panel sterowania: AVG Web TuneUp (zbędny program AVG), Java 8 Update 66 (64-bit) (stara wersja), 百度 (to wpis od Baidu). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1941685375-2250058660-3908555107-1000\...\Run: [baiduClient] => C:\Users\Jan\AppData\Local\Baidu\BaiduClient\2.5.0.2084\Baidu.exe [672240 2016-08-14] (百度在线网络技术（北京）有限公司) R2 BaiduService.exe; C:\Users\Jan\AppData\Local\Baidu\BaiduClient\2.5.0.2084\BaiduService.exe [241416 2016-08-14] (百度在线网络技术（北京）有限公司) S3 TSSKX64; C:\Windows\System32\drivers\tsskx64.sys [52728 2016-08-14] (电脑管家) S3 gdrv; \??\C:\Windows\gdrv.sys [X] S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17900.206\QMUdisk64.sys [X] S1 softaal; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17900.206\softaal64.sys [X] S1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv [X] S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17900.206\TsNetHlpX64.sys [X] S3 VBAudioVACMME; system32\DRIVERS\vbaudio_cable64_win7.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKU\S-1-5-21-1941685375-2250058660-3908555107-1000 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={5B8ACFED-6EB2-4DAF-9700-20D44B34EF1C}&mid=162afed9292847cdbf5528d69271b0af-8d5f52727ba33efd0130e0a4f15b3668e02ce083&lang=pl&ds=AVG&coid=avgtbavg&cmpid=1215tb&pr=fr&d=2015-05-10 16:40:40&v=4.2.8.608&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-1941685375-2250058660-3908555107-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={5B8ACFED-6EB2-4DAF-9700-20D44B34EF1C}&mid=162afed9292847cdbf5528d69271b0af-8d5f52727ba33efd0130e0a4f15b3668e02ce083&lang=pl&ds=AVG&coid=avgtbavg&cmpid=1215tb&pr=fr&d=2015-05-10 16:40:40&v=4.2.8.608&pid=wtu&sg=&sap=dsp&q={searchTerms} BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> D:\Nowy folder (2)\bin\jp2ssv.dll => Brak pliku Tcpip\..\Interfaces\{404F32C6-E321-4C80-904E-6D96F65448E7}: [NameServer] 133.130.91.20 Tcpip\..\Interfaces\{CE81AF90-980B-4EC7-BFAA-F278A8E7636D}: [NameServer] 133.130.91.20 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DisableService: PLAY ONLINE. RunOuc C:\Program Files\Common Files\Tencent C:\ProgramData\Baidu C:\ProgramData\Tencent C:\ProgramData\TXQMPC C:\Users\Jan\AppData\Local\Baidu C:\Users\Jan\AppData\Roaming\Baidu C:\Users\Jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\百度 C:\Users\Jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\百度.lnk C:\Windows\system32\Drivers\TFsFltX64.sys C:\Windows\system32\Drivers\TSSKX64.sys CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition ale zaznacz pole Shortcut (poprzednio zabrakło tego raportu). Dołącz też plik fixlog.txt.

Aplikacja powinna tworzyć następujące elementy startowe: Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Killer Network Manager.lnk [2015-03-22] ShortcutTarget: Killer Network Manager.lnk -> C:\Windows\Installer\{4692B750-DE88-4DCF-9163-745AF5604B24}\NetworkManager.exe_130C27D738F34C89BDDF21BCFD74B56D.exe (Flexera Software LLC) R2 Qualcomm Atheros Killer Service V2; C:\Program Files\Qualcomm Atheros\Network Manager\KillerService.exe [344576 2014-04-17] (Qualcomm Atheros) [brak podpisu cyfrowego] Zacznij od deaktywacji tego pierwszego składnika w folderze Autostart. Uruchom Menedżer zadań Windows 10 > Więcej szczegółów > Uruchamianie > wyłącz.

Temat rozwiązany. Zamykam. Wielkie dzięki za dotację!

Obecnie jest komunikat, że strona zniknie 29 września. Dodatkowo, likwidują edycję ESR (Extended Support Release) i będzie dostępna oraz rozwijana tylko standardowa wersja. Aktualizacje ESR tylko do 11 października 2016:

Delfix wykonał zadanie. Skasuj plik C:\delfix.txt. Nastąpiła poprawa? To już wszystko.

Deinstalacje wykonane pomyślnie. Jeszcze usunięcie szczątków po usuniętych programach. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Run: [avast5] => "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui Task: {254C5A84-ACDA-4C6F-BC9D-B8B63306DD7B} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> Brak pliku Task: {30C63AD2-3209-47CD-9097-3BB7E35E2EE7} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> Brak pliku Task: {367A9491-C082-4E66-9649-60E612CC9611} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-3517277547-1881798067-4234930673-1000Core => C:\Users\Skoda\AppData\Local\Google\Update\GoogleUpdate.exe CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.3.21.135\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.3.21.99\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{0E55CBE1-B06A-49B6-AD8D-9EFAA0160C6F}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.3.21.53\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{29A96789-9595-4947-BEDB-0FCC776F7DB8}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.2.183.39\goopdate.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.3.21.79\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.3.21.123\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.3.21.153\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.3.22.3\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.3.21.165\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.3.22.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3517277547-1881798067-4234930673-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\Skoda\AppData\Local\Google\Update\1.3.21.111\psuser.dll => Brak pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\McAfee Security Scan RemoveDirectory: C:\Program Files\Mozilla Firefox RemoveDirectory: C:\Program Files\Skype RemoveDirectory: C:\ProgramData\Alwil Software RemoveDirectory: C:\ProgramData\Skype RemoveDirectory: C:\Users\Skoda\AppData\Local\Google CMD: del /q C:\AVScanner.ini EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi automatyczny restart. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są potrzebne.

Delfix nadal aktualny. Multiplikacja svchost.exe to standard, kilka lub kilkanaście wystąpień to nic dziwnego. Każda z instancji to grupa usług: KLIK. Podobny temat z forum: KLIK. Był uruchamiany GMER. Sprawdź Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

MrWombat18 Temat przenoszę do innego działu, na razie Windows, ale może i do Hardware trafi. Nie widzę tu żadnych oznak czynnej infekcji, widocznych powiązań z poprzednim Bitcoin minerem, czy jakichkolwiek tropów od strony software. Do dignostyki sprzętowej wymagane inne dane (w dziale Hardware przyklejony). Od kiedy konkretnie występuje problem? Wg raportów niedawno (1 września) była aktualizacja sterowników nVidia. Pytaniem jest też czy GIGABYTE OC_GURU pełni tu tylko rolę monitora, czy też było coś w nim "podkręcane"? Z mojej strony wstępne sugestie od strony software, choć wątpię by to przyniosło rezultaty: 1. Odinstaluj pozostawiony po deinstalacji AVG zbędny (i aktywnie uruchamiany w procesach) element AVG Web TuneUp. W spoilerze doczyszczanie wpisów AVG i innych szczątków, dodatkowo deaktywacja SecDrv (32-bitowy sterownik bez podpisu cyfrowego). 2. Sprawdź czy testowa deaktywacja większej ilości procesów coś wniesie do sprawy. Trzy obiekty startowe zostały już wyłączone via Menedżer zadań, jeszcze dodaj do zestawu f.lux i GIGABYTE OC_GURU. Natomiast wpływ usług sprawdzisz za pomocą czystego rozruchu: KLIK. 3. Dodatkowo, jest tu Windows 10 Wersja 1511. Najnowsza edycja systemu to Wersja 1607, instalowana w tzw. Rocznicowej aktualizacji.

1. Jeśli chodzi o wyniki Hitman: Ręcznie skasuj z Pulpitu cały folder Arcsoft TotalMedia Theatre 6.0.1.123 Final [Multi Rus], jest w nim keygen, który nie wygląda na nic dobrego. Pozostałe wyniki potraktuj za pomocą programu. Po usuwaniu wyczyść foldery Przywracania systemu: KLIK. 2. Możesz zająć się kopiowaniem ważnych plików zakodowanych do postaci *.cerber3 na nośnik zewnętrzny, na wszelki wypadek gdyby w przyszłości pojawiło się jakieś rozwiązanie. W dogodnym dla siebie czasie wykonaj format dysku systemowego. Po formacie zmień hasła do serwisów (bank, poczta, serwisy społecznościowe, etc.) 3. Lista programów zabezpieczających tutaj: KLIK. Dowolny antywirus z listy będzie OK. Natomiast jeśli chodzi o dodatkowe zabezpieczenia przed infekcjami szyfrującymi dane, następujące pomoce do wyboru: Niezbędne też wykonywanie kopii zapasowych cennych danych.