picasso

Tak, trzeba usunąć wszystkie skróty przeglądarek przekierowujące na martwy już HPSewil i resztę odpadków. Nazwy skrótów są w Unicode, to nie są zwykłe nazwy "Opera" etc. Będzie problem z usunięciem aktywnego MPC Cleaner, ale spróbuję jednak najpierw podejścia w Trybie awaryjnym Windows. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 0225591471264939mcinstcleanup; C:\Windows\TEMP\022559~1.EXE [961888 2016-05-16] (McAfee, Inc.) S2 bilyqotezbt; C:\Program Files (x86)\0152F095-1471023076-E411-85C7-F0761C8993C3\knsiC824.tmp [X] R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [350688 2016-08-12] (DotC United Inc) R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-08-13] (DotC United Inc) DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\HPSewil C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk C:\Users\edward\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk C:\Users\edward\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk C:\Users\edward\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ореrа.lnk C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk C:\Users\Public\Desktop\Ореrа.lnk C:\Program Files (x86)\MPC Cleaner C:\Windows\System32\DRIVERS\MPCKpt.sys SearchScopes: HKU\S-1-5-21-2574603618-2478407198-2579358465-1001 -> {C0042433-DA31-4F26-BEF5-066DDE07335C} URL = Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart systemu, opuść Tryb awaryjny. Powstanie kolejny plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Wszystko wykonane. Na koniec: 1. Drobna poprawka na odpadki po SpyHunter. Otwórz Notatnik i wklej w nim: S3 esgiguard; \??\C:\2-click run\SpyHunter v4.22.8.4668\esgiguard.sys [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Lyssa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\1-click run RemoveDirectory: C:\Users\Lyssa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter v4.22.8.4668 RemoveDirectory: C:\Users\Lyssa\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Lyssa\Downloads\FRST-OlderVersion CMD: del /q C:\Users\Lyssa\Downloads\RegHunter-Installer.exe Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

1. Restart jednak nastąpił, gdyż FRST natknął się na zablokowany folder C:\Users\oem\AppData\Roaming\Tlen.pl i próbował go usuwać przy restarcie. To się jednak nie udało. Czy Tlen na pewno był odinstalowany (i nie uruchomiony w procesach) w tamtym momencie? Czy w chwili obecnej da się usunąć ten folder ręcznie? 2. AdwCleaner znalazł sporo śmieci szczątkowych. Zaktualizuj program, uruchom ponownie, wybierz po kolei opccje Skanuj + Oczyść i przedstaw wynikowy log z usuwania.

Na koniec, o ile już tego nie zrobiłeś, zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Dodatkowo, przez SHIFT+DEL (omija Kosz) skasuj z dysku folder C:\MATS utworzony przez narzędzie Microsoftu. Temat rozwiązany. Zamykam.

Problem nadal występuje, gdyż pomiędzy pierwszymi logami a Fix FRST nastąpiła odbudowa adware i pojawił się drugi wpis (nie był widoczny w pierwszych logach). Czyli poprawka: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-735583447-693508571-541323270-1001\...\Run: [Wojtek] => explorer.exe hxxp://kb-ribaki.org <===== UWAGA Task: {CB756BC8-45A8-4AC1-BE16-4D104B46A707} - \SidebarExecute -> Brak pliku <==== UWAGA Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Wojtek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

Poproszę o nowe raporty FRST (FRST.txt + Addition.txt) dokumentujące zmiany.

Fix FRST pomyślnie wykonany, ale skoro katalog się odbudował, to mam pytanie na którym koncie występuje PriceFountain? FRST wykrywa tylko standardowe konta lokalne aktualnie załadowane, a tu definitywnie jest system domenowy, więc nawet nie widzę dokładnie w logu ile kont naprawdę jest, poza enigmatyczną informacją w nagłówku że prawdopodobnie są w obrotach 3 konta: Załadowane profile: b0635940 (Dostępne profile: b0635940 & B0635941 & SM61ZZ) Zrób logi FRST (FRST.txt + Addition.txt) z każdego konta na którym jest problem.

Przeprowadź proces odwrotny, tzn. zacznij włączać partiami (np. od tego samego producenta) wpisy uprzednio zdeaktywowane, aż dojdziesz do tego która z usług stanowi problem.

Temat przenoszę do działu Windows. Brak oznak infekcji. Nasuwa się, by przywrócić stan systemu sprzed ingerencji w sterowniki. Są tu wykryte następujące punkty Przywracania systemu: ==================== Punkty Przywracania systemu ========================= 21-07-2016 20:45:23 Windows Update 03-08-2016 18:15:32 Garmin Express 24-08-2016 22:59:26 Windows Update 04-09-2016 18:52:38 Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.30501 05-09-2016 00:13:40 Windows Update Wybierz odpowiednio "stary".

Brak oznak infekcji. Odinstaluj jednak niepożądane wątpliwe programy FileViewPro i WinThruster, doinstalowane najwyraźniej w celu "rozwiązania" problemu z plikami graficznymi. Opisz o co chodzi, jaki błąd przy otwieraniu plików, na czym polega "zamiana w inny plik" oraz gdzie leżą te pliki (na partycji C czy D i w jakiej konkretnie ścieżce). Jedyne co ja widzę w logu Shortcut.txt, to masowe skróty będące jakoby skrótami do plików graficznych, ale kierujące na nieistniejący plik Office: Shortcut: C:\Users\Tomek\Desktop\hujej\IMG_20151220_185109.lnk -> C:\Program Files\Microsoft Office\Office14\OIS.EXE (Brak pliku) Shortcut: C:\Users\Tomek\Desktop\hujej\IMG_20151220_185136.lnk -> C:\Program Files\Microsoft Office\Office14\OIS.EXE (Brak pliku) Shortcut: C:\Users\Tomek\Desktop\hujej\IMG_20151220_185321.lnk -> C:\Program Files\Microsoft Office\Office14\OIS.EXE (Brak pliku) Shortcut: C:\Users\Tomek\Desktop\hujej\IMG_20151221_170754.lnk -> C:\Program Files\Microsoft Office\Office14\OIS.EXE (Brak pliku) Shortcut: C:\Users\Tomek\Desktop\hujej\IMG_20151221_185758.lnk -> C:\Program Files\Microsoft Office\Office14\OIS.EXE (Brak pliku) Shortcut: C:\Users\Tomek\Desktop\hujej\IMG_20151221_190025.lnk -> C:\Program Files\Microsoft Office\Office14\OIS.EXE (Brak pliku) Shortcut: C:\Users\Tomek\Desktop\hujej\IMG_20151221_210140.lnk -> C:\Program Files\Microsoft Office\Office14\OIS.EXE (Brak pliku) etc. Z raportów nic nie wynika.

Brak oznak infekcji, więc przypuszczalna przyczyna komunikatu to raczej: MBAM wykrył nie powiązany z komunikatem obiekt adware PriceFountain w folderze Temp (przypuszczalnie uruchamiałeś jakiś instalator sponsorowany). Do wykonania poboczne operacje: Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Winlogon\Notify\igfxcui: igfxdev.dll [X] S3 cpuz139; \??\C:\Users\Wonszyna\AppData\Local\Temp\cpuz139\cpuz139_x64.sys [X] FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF C:\Program Files (x86)\Java C:\ProgramData\mntemp C:\Users\Wonszyna\AppData\Local\Google\Chrome EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne. I nie polecam programów-automatów typu Driver Easy.

Konsekwentnie brak oznak infekcji. Nie mam się czym zajmować. Trudno powiedzieć o co chodzi z Pandą, nie blokuje przypadkiem narzędzia Zemana? Zachowanie programu ESET za to normalne. Program ESET jest konsolowy, co oznacza że po uruchomieniu przez dwuklik wykonuje zadanie i samoistnie się zamyka. Należy uruchomić linię komend cmd jako administrator, a w niej wklepać ścieżkę dostępu do ESETHfsReader.exe - wtedy program się nie zamknie. Ale usuwałeś wykryte przez TDSSKiller obiekty, na dodatek zrobiłeś przetasowanie w partycjach i format, więc nie powinien w ogóle wykryć tego ukrytego systemu plików. PS. Drobnostka w Dzienniku zdarzeń: Dziennik Aplikacja: ================== Error: (09/12/2016 06:02:16 PM) (Source: WinMgmt) (EventID: 10) (User: ) Description: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected. Błąd zupełnie nieszkodliwy i nie mający wpływu na wydajność, ale możesz go zlikwidować stosując wytyczne z artykułu microsoftu: KLIK.

Log wskazuje, że nie masz zainstalowanych wszystkich aktualizacji z Windows Update (widać bardzo starą niewspieraną wersję IE8). Uzupełnij wszystkie aktualizacje, powtarzając rundy z wyszukiwaniem aktualizacji aż do zwrotu, że nie wykryto już nic do instalacji. To ważny krok również mający znaczenie w zabezpieczeniach.

Problem jest bardziej złożony, w Windows różne infekcje: infekcja "bezplikowa" wykorzystująca systemowy PowerShell, infekcja DNS (zainfekowany systemowy plik dnsapi.dll) oraz różne drobniejsze odpadki adware. Jeśli chodzi o urządzenia, ten "jakby podfolder" to skrót zrobiony przez infekcję typu Gamarue: KLIK. Działania do przeprowadzenia: 1. Uruchom RepairDNS. Na Pulpicie powstanie log RepairDNS.txt. 2. Deinstalacje: - Przez Panel sterowania odinstaluj stare wersje i zbędne programy: HP Customer Participation Program 13.0, Java 8 Update 60, Java 8 Update 91, McAfee Security Scan Plus. - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń ukryty wpis Metric Collection SDK 35. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-995890878-878726906-1775722255-1000\...\Run: [{7DB9971C-09E8-4266-9645-B5F140A170DF}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\DVEDK').SRAQCMPEcNmejA))); HKU\S-1-5-21-995890878-878726906-1775722255-1000\...\Policies\Explorer: [] HKLM-x32\...\Run: [sunJavaUpdateSched] => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia Task: {165A9219-DD85-4ABE-BD15-4A6955D9E09D} - System32\Tasks\{497BC594-D6E9-4671-9D6C-0753CDF41988} => pcalua.exe -a G:\Setup.exe -d G:\ Task: {54230122-CBDB-471F-8172-60DEA9384649} - System32\Tasks\{C882CD55-E171-4FAF-B61B-EF346A82DE61} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Jayhold\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Jayhold\uninstall.dat" -a uninstallme E3ED8A07-EA72-407A-819E-078CA8A27884 DeviceId=577af0ef-1a8e-e8e8-b4a2-7ef2760ce5a6 BarcodeId=50027003 ChannelId=3 DistributerName=APSnapdoAMRev Task: {55326147-EFE9-42E4-B980-229B278817E4} - System32\Tasks\{C01FB94F-205F-4E3D-9004-4995902E23B4} => pcalua.exe -a C:\Users\Ryszard\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=cor Task: {6A6C2D35-0ECB-4F91-854C-076A5953AD95} - System32\Tasks\{5C1CB5DE-7A7E-4EC4-A5F9-EE44CD25CF15} => pcalua.exe -a C:\Users\Ryszard\AppData\Roaming\yoursearching\UninstallManager.exe -c -ptid=face Task: {6B714865-F609-479C-8F5C-9BDAE27E34B4} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe Task: {7A144258-6B4C-4BF6-99F9-00DB9F893913} - System32\Tasks\Smart Protector Viewer => C:\Program Files (x86)\Smart Protector\sswworker.exe Task: {93A16FB0-29AF-424A-A021-35643F66A26C} - System32\Tasks\{9BA85016-7634-4492-BBBB-E232330FA358} => pcalua.exe -a C:\Users\Ryszard\Downloads\MafiaIIDemo\Setup.exe -d C:\Users\Ryszard\Downloads\MafiaIIDemo Task: {D71EFD69-6734-4770-B92B-4695138F0A71} - System32\Tasks\{D072C5E8-3F8F-4C2E-B246-0559FF528E5D} => pcalua.exe -a C:\Users\Ryszard\Downloads\MafiaIIDemo\SetupLauncher.exe -d C:\Users\Ryszard\Downloads\MafiaIIDemo Task: {E1FB72DB-8669-4355-B84A-21B45DCC8BD8} - System32\Tasks\{8E25D02D-4975-489A-B736-83435D1C4E4F} => pcalua.exe -a D:\Autorun.exe -d D:\ Task: {E38F9A3D-17B7-4B3B-978B-EC2C8EA0A6CC} - System32\Tasks\Tuswutr => C:\PROGRA~1\GROOVE~1\Jetsy.bat Task: {FEED8E2F-3F05-49BE-B051-89E4811DB57D} - System32\Tasks\{517BBFDD-A6EF-4167-BB51-D98C98456345} => pcalua.exe -a C:\Users\Ryszard\Desktop\KSIĄŻKI\gta_iv_eflc_crack_by_nehm.exe -d C:\Users\Ryszard\Desktop\KSIĄŻKI S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-02-18] () S0 irjup; System32\drivers\pyga.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] FF Plugin HKU\S-1-5-21-995890878-878726906-1775722255-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKU\S-1-5-21-995890878-878726906-1775722255-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank SearchScopes: HKLM-x32 -> DefaultScope {20B9D1AE-AD1A-38B4-87FE-AF278DA9861D} URL = SearchScopes: HKU\S-1-5-21-995890878-878726906-1775722255-1000 -> DefaultScope {20B9D1AE-AD1A-38B4-87FE-AF278DA9861D} URL = DeleteKey: HKCU\Software\Classes\DVEDK DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\McComponentHostService DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ares DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Skype DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo C:\Program Files (x86)\Google\Chrome\Application\7515b657f8993a63ede6b511ba964675_2 C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\msrzdf.exe C:\ProgramData\mntemp C:\ProgramData\Softland C:\ProgramData\Microsoft\Windows\Start Menu\Programs\50 FREE MP3s +1 Free Audiobook!.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\L.A. Noire C:\Users\Ryszard\AppData\Local\Chromium C:\Users\Ryszard\AppData\Local\WinSweeper C:\Users\Ryszard\AppData\Roaming\agent.dat C:\Users\Ryszard\AppData\Roaming\Installer.dat C:\Users\Ryszard\AppData\Roaming\Main.dat C:\Users\Ryszard\AppData\Roaming\Softland C:\Users\Ryszard\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Ryszard\Desktop\Nowy folder (2)\L.A. Noire.lnk C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\System32\Drivers\EsgScanner.sys C:\Windows\System32\Tasks\Lenovo CMD: ipconfig /flushdns CMD: netsh advfirewall reset Zip: C:\ProgramData\Microsoft\Windows\GameExplorer\{30B53CBD-507E-47DC-8C90-6E1073D6BC9A}\SupportTasks Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Dostarcz następujące materiały: - Zrób nowe logi: FRST z opcji Skanuj (Scan), bez Addition i Shortcut, oraz USBFix z opcji Listing zrobiony przy podpiętym pendrive. - Dołącz pliki fixlog.txt i RepairDNS.txt. - Na Pulpicie powstanie też plik Upload.zip - shostuj go gdzieś i podaj link do niego.

Temat przenoszę do działu Windows. Brak oznak infekcji. W Dzienniku zdarzeń widać tylko takie błędy pokazujące, że niektóre aplikacje (w tym FRST) wykładają się z błędem: Error: (09/11/2016 01:36:05 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: taskhost.exe, wersja: 6.1.7601.18010, sygnatura czasowa: 0x50aee9f3 Nazwa modułu powodującego błąd: CRYPT32.dll_unloaded, wersja: 0.0.0.0, sygnatura czasowa: 0x5755aab3 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x000007fefce4018c Identyfikator procesu powodującego błąd: 0x6c0 Godzina uruchomienia aplikacji powodującej błąd: 0x01d20c1ede8195d5 Ścieżka aplikacji powodującej błąd: C:\windows\system32\taskhost.exe Ścieżka modułu powodującego błąd: CRYPT32.dll Identyfikator raportu: ec543953-7813-11e6-9125-6427378a092c Error: (09/11/2016 01:35:59 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: abda.exe, wersja: 31.8.2016.0, sygnatura czasowa: 0x57c6a538 Nazwa modułu powodującego błąd: unknown, wersja: 0.0.0.0, sygnatura czasowa: 0x00000000 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x000007fefce40113 Identyfikator procesu powodującego błąd: 0x1790 Godzina uruchomienia aplikacji powodującej błąd: 0x01d20c20aad21e6b Ścieżka aplikacji powodującej błąd: C:\Users\Maku\Downloads\abda.exe Ścieżka modułu powodującego błąd: unknown Identyfikator raportu: e8c7d0f6-7813-11e6-9125-6427378a092c Error: (09/11/2016 01:34:56 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: FRST64.exe, wersja: 31.8.2016.0, sygnatura czasowa: 0x57c6a538 Nazwa modułu powodującego błąd: unknown, wersja: 0.0.0.0, sygnatura czasowa: 0x00000000 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x000007fefce40113 Identyfikator procesu powodującego błąd: 0xa0c Godzina uruchomienia aplikacji powodującej błąd: 0x01d20c2085293790 Ścieżka aplikacji powodującej błąd: C:\Users\Maku\Downloads\FRST64.exe Ścieżka modułu powodującego błąd: unknown Identyfikator raportu: c3188163-7813-11e6-9125-6427378a092c Skoro narzędzia działają jednak w trybie awaryjnym, to jako podejrzany nasuwa się zbyt przedsiębiorczy COMODO Intenet Security. Proponuję tymczasowo wyłączyć jego ochronę, by sprawdzić czy coś się zmieni, a w przypadku braku rezultatów całkowicie odinstalować.

Prócz punktowanego problemu jest tu także śmietnik od adware. Działania do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania odinstaluj adware/PUP WinZip (to podróbka WinZip, a nie Wizip od Corela). - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń odpadek Google Update Helper. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3451519264-229654876-2956084100-1000\...\Run: [boabu] => C:\Users\user\boabu.exe [49152 2015-04-23] () R2 WinSystemSvcW; C:\Program Files (x86)\Windows Expro\winprow.exe [339456 2016-08-03] () [brak podpisu cyfrowego] R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [1018416 2016-08-03] (ExWzp Pvt Ltd.) S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] S3 cpuz138; \??\C:\Users\user\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] Task: {1FB886DB-88EE-42E9-BCC2-98FE2BBFC654} - System32\Tasks\{F69CDE2C-6E18-4546-81B6-453C79F5A7B5} => pcalua.exe -a "C:\Program Files (x86)\WinZipper\eUninstall.exe" Task: {915E0AF9-D3E4-441F-A186-31DADE94B0FC} - System32\Tasks\{30DCEEA4-AB18-489B-ABEA-D7D603179D2A} => pcalua.exe -a F:\SETUP.EXE -d F:\ Task: {AD77A0B7-27FC-45E7-867C-8197EE46D6B7} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe Task: C:\Windows\Tasks\AutoKMS.job => C:\Windows\AutoKMS\AutoKMS.exe GroupPolicyScripts: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com?type=hp&ts=1435574949&from=mych123&uid=wdcxwd10jpcx-24ue4t0_wd-wx51e93awj97awj97&z=3958d08c7c8998fcfb4d13dgdz9c3wfwcm8zctfz5e HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com?type=hp&ts=1435574949&from=mych123&uid=wdcxwd10jpcx-24ue4t0_wd-wx51e93awj97awj97&z=3958d08c7c8998fcfb4d13dgdz9c3wfwcm8zctfz5e HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com?type=hp&ts=1435574949&from=mych123&uid=wdcxwd10jpcx-24ue4t0_wd-wx51e93awj97awj97&z=3958d08c7c8998fcfb4d13dgdz9c3wfwcm8zctfz5e HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com?type=hp&ts=1435574949&from=mych123&uid=wdcxwd10jpcx-24ue4t0_wd-wx51e93awj97awj97&z=3958d08c7c8998fcfb4d13dgdz9c3wfwcm8zctfz5e HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-3451519264-229654876-2956084100-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1418977195&from=wpm12173&uid=WDCXWD10JPCX-24UE4T0_WD-WX51E93AWJ97AWJ97&q={searchTerms} HKU\S-1-5-21-3451519264-229654876-2956084100-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com?type=hp&ts=1435574949&from=mych123&uid=wdcxwd10jpcx-24ue4t0_wd-wx51e93awj97awj97&z=3958d08c7c8998fcfb4d13dgdz9c3wfwcm8zctfz5e HKU\S-1-5-21-3451519264-229654876-2956084100-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com?type=hp&ts=1435574949&from=mych123&uid=wdcxwd10jpcx-24ue4t0_wd-wx51e93awj97awj97&z=3958d08c7c8998fcfb4d13dgdz9c3wfwcm8zctfz5e SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM-x32 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1435574949&from=zzgbkk123&uid=wdcxwd10jpcx-24ue4t0_wd-wx51e93awj97awj97&z=3958d08c7c8998fcfb4d13dgdz9c3wfwcm8zctfz5e&q={searchTerms} SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1435574949&from=zzgbkk123&uid=wdcxwd10jpcx-24ue4t0_wd-wx51e93awj97awj97&z=3958d08c7c8998fcfb4d13dgdz9c3wfwcm8zctfz5e&q={searchTerms} SearchScopes: HKU\S-1-5-21-3451519264-229654876-2956084100-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3451519264-229654876-2956084100-1000 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1435574949&from=zzgbkk123&uid=wdcxwd10jpcx-24ue4t0_wd-wx51e93awj97awj97&z=3958d08c7c8998fcfb4d13dgdz9c3wfwcm8zctfz5e&q={searchTerms} FF HKLM-x32\...\Firefox\Extensions: [detgdp@gmail.com] - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\e0dks6s1.default\extensions\detgdp@gmail.com => nie znaleziono ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1426769105&from=wpm031932&uid=WDCXWD10JPCX-24UE4T0_WD-WX51E93AWJ97AWJ97 ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1426769105&from=wpm031932&uid=WDCXWD10JPCX-24UE4T0_WD-WX51E93AWJ97AWJ97 ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1426769105&from=wpm031932&uid=WDCXWD10JPCX-24UE4T0_WD-WX51E93AWJ97AWJ97 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1426769105&from=wpm031932&uid=WDCXWD10JPCX-24UE4T0_WD-WX51E93AWJ97AWJ97 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^user^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^House of Cards 2013 S03E05 720p WEBRip x264-2HD [eztv].lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\boabu => C:\Users\user\boabu.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EaseUS EPM tray DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\fuefue DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoogleChromeAutoLaunch_4E874A737D5662A34EBBEADB3A9C4A09 DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main C:\Program Files (x86)\Windows Expro C:\Program Files (x86)\WinZipper C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Heroes of Newerth C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Strife C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\Users\user\boabu.exe C:\Users\user\AppData\Local\69ff07055291669bb2b218.72821112 C:\Users\user\AppData\Local\Google C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\openfm.lnk C:\Users\user\AppData\Roaming\SETUP.EXE C:\Windows\pss\House of Cards 2013 S03E05 720p WEBRip x264-2HD [eztv].lnk.Startup CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowe logi: FRST z opcji Skanuj (Scan), bez Addition i Shortcut, oraz USBFix z opcji Listing wykonany przy podpiętych zarażonych pendrive. Dołącz też plik fixlog.txt.

Komunikat związany z plikiem launchall.js pochodzi od zainstalowanego adware. Ponadto, w Google Chrome jest wstawiony cały profil prefabrykowany przez adware (nazwa na dysku gholdomphatcoperdom). Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware GameLauncher, Host Service, HPReyos oraz programy sponsorowane przez nieuwagę wprowadzone przy instalacji produktów Adobe Intel Security True Key, McAfee Security Scan Plus. Jeśli korzystasz z aplikacji Intel, możesz to pominąć. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3770422491-737460099-2970930311-1001\...\Run: [Host Service] => wscript "C:\Users\Łukasz\AppData\Local\Host Service\launchall.js" HKU\S-1-5-21-3770422491-737460099-2970930311-1001\...\Run: [seviler] => C:\Users\Łukasz\AppData\Roaming\GameLauncher\Seviler\Seviler.exe [647680 2016-08-31] (GYXQI USUOWMYLI) GroupPolicy: Ograniczenia - Chrome R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] S2 InstallerService; C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe [X] Task: {A4BD24E4-BDB5-4DED-9875-8519E920778C} - \Ghubodomtices Module -> Brak pliku DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\Plumbytes Software C:\Program Files (x86)\{516D9F5A-D8E3-485A-838A-AE688ED07E5C} C:\Program Files (x86)\Quzother C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{EEFA2536-802E-50BD-AA5F-3968C977D088}-Download Removewat 2.2....lnk C:\Users\Łukasz\AppData\Local\{698D0BA5-6E4B-44BD-9F9A-AA32F2E98D9A} C:\Users\Łukasz\AppData\Local\cobckstizatainwotcult C:\Users\Łukasz\AppData\Local\Host Service C:\Users\Łukasz\AppData\Roaming\GameLauncher C:\Users\Łukasz\AppData\Roaming\HPReyos C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\a4d7269b192d0c21\Google Chrome.lnk C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Ехрlоrеr.lnk C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows.lnk Folder: C:\Users\Łukasz\AppData\Local\Google\Chrome\User Data\gholdomphatcoperdom Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome wyeksportuj zakładki, następnie przejdź do Ustawienia > karta Ustawienia > Osoby > załóż nowy profil i wejdź na niego. Zamknij okno poprzedniego, wrć do opcji Osoby i skasuj poprzedni profil. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

W raporcie widać ślady infekcji routera - izraelskie adresy IP (ale nie są oznaczone jako bieżące) i różne szczątki adware. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{400AE538-A0EB-48F6-A88B-DD6C5C2B9337}: [DhcpNameServer] 82.163.143.171 Tcpip\..\Interfaces\{C76F78A3-1DD4-4516-9827-1A4A1B142607}: [DhcpNameServer] 82.163.143.171 BootExecute: autocheck autochk * ffnd.exe {949E979C-EB1F-11DB-92AC-22C456D89593} S2 PassThru Service; C:\Program Files (x86)\HTC\Internet Pass-Through\PassThruSvr.exe [X] S2 ZAMSvc; "C:\Program Files (x86)\Zemana AntiMalware\ZAM.exe" /service [X] S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X] S1 ZAM_Guard; \??\C:\Windows\System32\drivers\zamguard64.sys [X] Task: {2C607913-E77E-46D3-846C-F4CCF0F13111} - \{3A4BFE7D-248E-3448-FD90-B067AA412F6B} -> No File Task: {8A11C8F8-16EC-49A2-95DD-F69B6D1A8B18} - System32\Tasks\AutoPico Daily Restart => D:\Systemowe\Activators\Activators\KMSpico [Argument = 9.1.3 Auto Portable\AutoPico.exe /silent] SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope value is missing Handler: skypec2c - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll No File StartMenuInternet: IEXPLORE.EXE - iexplore.exe IE trusted site: HKU\S-1-5-21-2176414354-3222065998-314886352-1001\...\hola.org -> hxxp://hola.org GroupPolicy: Restriction - Chrome CHR HKLM\SOFTWARE\Policies\Google: Restriction DeleteKey: HKCU\Software\Google\Chrome DeleteKey: HKLM\SOFTWARE\Google\Chrome DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome C:\Program Files (x86)\Google\Chrome C:\Program Files (x86)\Zemana AntiMalware C:\Users\Gocha\AppData\Local\Chromium C:\Users\Gocha\AppData\Local\Google C:\Users\Gocha\AppData\Roaming\sb796.dat C:\Windows\ZAM_Guard.krnl.trace C:\Windows\ZAM.krnl.trace C:\Windows\system32\ffnd.exe CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy preoblemy nadal występują.

W konfiguracji Przywracania systemu sprawdź czy na liście dysków widnieje pozycja opisana jako BRAK. Jeśli coś takiego tam widnieje, wyłącz Ochronę dla tego elementu, za to włącz ją dla właściwego woluminu z Windows.

Fix wykonany. Kończymy: 1. Skasuj FRST i jego logi z dysku F:. Skorzystaj też z DelFix, następnie wyczyść foldery Przywracania systemu: KLIK. 2. Do wglądu lista programów zabezpieczających: KLIK. Przyjrzyj się na sekcję Anti-Exploit, Anti-Ransomware. 3. Przypominam o wykonaniu pełnej aktualizacji systemu.

Temat przenoszę do właściwego działu diagnostyki malware. O ile problem nadal aktualny, do przeprowadzenia następujące operacje: 1. Odinstaluj via Panel sterowania: AVG Web TuneUp (zbędny program AVG), Java 8 Update 66 (64-bit) (stara wersja), 百度 (to wpis od Baidu). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1941685375-2250058660-3908555107-1000\...\Run: [baiduClient] => C:\Users\Jan\AppData\Local\Baidu\BaiduClient\2.5.0.2084\Baidu.exe [672240 2016-08-14] (百度在线网络技术（北京）有限公司) R2 BaiduService.exe; C:\Users\Jan\AppData\Local\Baidu\BaiduClient\2.5.0.2084\BaiduService.exe [241416 2016-08-14] (百度在线网络技术（北京）有限公司) S3 TSSKX64; C:\Windows\System32\drivers\tsskx64.sys [52728 2016-08-14] (电脑管家) S3 gdrv; \??\C:\Windows\gdrv.sys [X] S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17900.206\QMUdisk64.sys [X] S1 softaal; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17900.206\softaal64.sys [X] S1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv [X] S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.8.17900.206\TsNetHlpX64.sys [X] S3 VBAudioVACMME; system32\DRIVERS\vbaudio_cable64_win7.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKU\S-1-5-21-1941685375-2250058660-3908555107-1000 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={5B8ACFED-6EB2-4DAF-9700-20D44B34EF1C}&mid=162afed9292847cdbf5528d69271b0af-8d5f52727ba33efd0130e0a4f15b3668e02ce083&lang=pl&ds=AVG&coid=avgtbavg&cmpid=1215tb&pr=fr&d=2015-05-10 16:40:40&v=4.2.8.608&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-1941685375-2250058660-3908555107-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={5B8ACFED-6EB2-4DAF-9700-20D44B34EF1C}&mid=162afed9292847cdbf5528d69271b0af-8d5f52727ba33efd0130e0a4f15b3668e02ce083&lang=pl&ds=AVG&coid=avgtbavg&cmpid=1215tb&pr=fr&d=2015-05-10 16:40:40&v=4.2.8.608&pid=wtu&sg=&sap=dsp&q={searchTerms} BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> D:\Nowy folder (2)\bin\jp2ssv.dll => Brak pliku Tcpip\..\Interfaces\{404F32C6-E321-4C80-904E-6D96F65448E7}: [NameServer] 133.130.91.20 Tcpip\..\Interfaces\{CE81AF90-980B-4EC7-BFAA-F278A8E7636D}: [NameServer] 133.130.91.20 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DisableService: PLAY ONLINE. RunOuc C:\Program Files\Common Files\Tencent C:\ProgramData\Baidu C:\ProgramData\Tencent C:\ProgramData\TXQMPC C:\Users\Jan\AppData\Local\Baidu C:\Users\Jan\AppData\Roaming\Baidu C:\Users\Jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\百度 C:\Users\Jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\百度.lnk C:\Windows\system32\Drivers\TFsFltX64.sys C:\Windows\system32\Drivers\TSSKX64.sys CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition ale zaznacz pole Shortcut (poprzednio zabrakło tego raportu). Dołącz też plik fixlog.txt.

Aplikacja powinna tworzyć następujące elementy startowe: Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Killer Network Manager.lnk [2015-03-22] ShortcutTarget: Killer Network Manager.lnk -> C:\Windows\Installer\{4692B750-DE88-4DCF-9163-745AF5604B24}\NetworkManager.exe_130C27D738F34C89BDDF21BCFD74B56D.exe (Flexera Software LLC) R2 Qualcomm Atheros Killer Service V2; C:\Program Files\Qualcomm Atheros\Network Manager\KillerService.exe [344576 2014-04-17] (Qualcomm Atheros) [brak podpisu cyfrowego] Zacznij od deaktywacji tego pierwszego składnika w folderze Autostart. Uruchom Menedżer zadań Windows 10 > Więcej szczegółów > Uruchamianie > wyłącz.

Temat rozwiązany. Zamykam. Wielkie dzięki za dotację!

Obecnie jest komunikat, że strona zniknie 29 września. Dodatkowo, likwidują edycję ESR (Extended Support Release) i będzie dostępna oraz rozwijana tylko standardowa wersja. Aktualizacje ESR tylko do 11 października 2016:

Delfix wykonał zadanie. Skasuj plik C:\delfix.txt. Nastąpiła poprawa? To już wszystko.