picasso

Wprawdzie nie podałeś dokładnego wyniku ze skanera, ale zapewne to ten sam problem co w linkowanym temacie, czyli crack aktywacyjny osadzony w Harmonogramie zadań: Task: {F2999C68-7E1C-4AF6-867B-0E5F5AD90C3A} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-10-11] () Ten crack sam w sobie nie jest "infekcją", niemniej będzie on prowokował reakcje niektórych skanerów (częściowo dewastuje go też AdwCleaner), a poza tym jest zbędnym obiektem startowym. Użytkownik w poprzednim temacie nie chciał się pozbyć cracka i "ominął" to zmieniając program antywirusowy. Ja sugeruję by go usunąć. Ta sprawa jest w ogóle nie powiązana z infekcjami oraz wyżej wymienionym crackiem. To wynik niekompletnej deinstalacji AVG TuneUp, który pozostawił m.in. Debugger filtrujący wykonywalny Skype: IFEO\skype.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" Czyli do wykonania następujące operacje: 1. Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń ukryty szczątkowy wpis AVG PC TuneUp. Następnie pobierz ze strony producenta AVG PC TuneUp, zainstaluj, po czym odinstaluj ponownie za pomocą Panelu sterowania. Mam tu w zamiarze, by ten proces usunął większą grupę obiektów którą obecnie widać od tej instalacji w raportach. Nie jest pewne czy ten proces ruszy skonfigurowany Debugger, więc ten konkretny wpis przetwarzam poniżej w skrypcie. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] GroupPolicyScripts: Ograniczenia IFEO\skype.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" Task: {9108DCDA-D296-4088-9300-70D698705613} - System32\Tasks\{0444E28D-5759-4745-87EE-9A512926F665} => launchwinapp.exe hxxp://ui.skype.com/ui/0/7.22.0.109/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {F2999C68-7E1C-4AF6-867B-0E5F5AD90C3A} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-10-11] () C:\Windows\AutoKMS DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

Wygląda na to, że problem został rozwiązany. Obecnie w raporcie widać już pobrane z routera adresy Google: Tcpip\..\Interfaces\{5675eb02-32c0-4a1d-b5f4-ee12cc768d69}: [DhcpNameServer] 8.8.8.8 8.8.4.4 Fix FRST też pomyślnie wykonany. Kończymy: 1. Usuń ręcznie z folderów na Pulpicie (Nowy folder (2) + z pulpitu 29.07.2016) FRST i jego logi. Następnie jeszcze popraw za pomocą DelFix, a także wyczyść foldery Przywracania systemu: KLIK. 2. Zakładam, że router poprawnie zabezpieczyłeś. Upewnij się czy masz najnowszy firmware. Jeśli problem będzie powracał, a wszystkie warunki zabezpieczeń będą spełnione (wliczając firmware), wymiana urządzenia może być trwalszym rozwiązaniem.

Brak oznak infekcji Locky, ani żadnej innej tego rodzaju. Jak co dopiero napisałam w innym temacie: SpyHunter to niepożądany program wątpliwej reputacji, z daleka od niego. Do wykonania tylko poboczne działania: K1: Jest tu trochę odpadków adware i szczątki SpyHunter. Działania do wykonania: 1. Odinstaluj zbędny program Samsunga MyFreeCodec oraz dziurawy QuickTime 7. W QuickTime obecnie krytyczne luki które już nie zostaną załatane, wycofano wsparcie dla Windows, o czym piszę w przyklejonym: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 backlh; C:\ProgramData\Logic Handler\set.exe [2089472 2016-05-15] () [brak podpisu cyfrowego] S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-08-09] () AppInit_DLLs: C:\ProgramData\Quotenamron\Daltcom.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Quotenamron\TinQvotop.dll => Brak pliku HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131030681043664997&GUID=94E87489-71B8-C553-88F9-4FEB135DC170 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131030681043672121&GUID=94E87489-71B8-C553-88F9-4FEB135DC170 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1450787658&z=f9bcd6d8645ace3ea653bdfg4z6w2e1m5b0m0qfw5m&from=wpm07173&uid=HGSTXHTS541010A9E680_JA1009D9G3GNGPG3GNGPX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1450787658&z=f9bcd6d8645ace3ea653bdfg4z6w2e1m5b0m0qfw5m&from=wpm07173&uid=HGSTXHTS541010A9E680_JA1009D9G3GNGPG3GNGPX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1458216701&z=9f8eaf7e5e49264a5e53872g9z1w5b4o7g7q7qet1q&from=wpm0314&uid=HGSTXHTS541010A9E680_JA1009D9G3GNGPG3GNGPX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1458216701&z=9f8eaf7e5e49264a5e53872g9z1w5b4o7g7q7qet1q&from=wpm0314&uid=HGSTXHTS541010A9E680_JA1009D9G3GNGPG3GNGPX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1450787658&z=f9bcd6d8645ace3ea653bdfg4z6w2e1m5b0m0qfw5m&from=wpm07173&uid=HGSTXHTS541010A9E680_JA1009D9G3GNGPG3GNGPX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1450787658&z=f9bcd6d8645ace3ea653bdfg4z6w2e1m5b0m0qfw5m&from=wpm07173&uid=HGSTXHTS541010A9E680_JA1009D9G3GNGPG3GNGPX&q={searchTerms} HKU\S-1-5-21-4010930622-3350516167-3332150687-500\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-4010930622-3350516167-3332150687-500\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1458216701&z=9f8eaf7e5e49264a5e53872g9z1w5b4o7g7q7qet1q&from=wpm0314&uid=HGSTXHTS541010A9E680_JA1009D9G3GNGPG3GNGPX HKU\S-1-5-21-4010930622-3350516167-3332150687-500\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1450787658&z=f9bcd6d8645ace3ea653bdfg4z6w2e1m5b0m0qfw5m&from=wpm07173&uid=HGSTXHTS541010A9E680_JA1009D9G3GNGPG3GNGPX&q={searchTerms} HKU\S-1-5-21-4010930622-3350516167-3332150687-500\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-4010930622-3350516167-3332150687-500\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> {A9B2227C-647F-4D65-A84E-748E182B6B69} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-4010930622-3350516167-3332150687-500 -> DefaultScope {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-4010930622-3350516167-3332150687-500 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-4010930622-3350516167-3332150687-500 -> {A9B2227C-647F-4D65-A84E-748E182B6B69} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-4010930622-3350516167-3332150687-500 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} BHO-x32: Filter Results -> {dd4c66b8-f943-4b10-8053-7e9ee39bba4a} -> C:\Program Files (x86)\Filter Results\Extensions\dd4c66b8-f943-4b10-8053-7e9ee39bba4a.dll => Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1450787658&z=f9bcd6d8645ace3ea653bdfg4z6w2e1m5b0m0qfw5m&from=wpm07173&uid=HGSTXHTS541010A9E680_JA1009D9G3GNGPG3GNGPX ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450787658&z=f9bcd6d8645ace3ea653bdfg4z6w2e1m5b0m0qfw5m&from=wpm07173&uid=HGSTXHTS541010A9E680_JA1009D9G3GNGPG3GNGPX CHR HKU\S-1-5-21-4010930622-3350516167-3332150687-500\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\o3l09p6r.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\smry8315.default-1450915760954\extensions\default_newtabff@gmail.com => nie znaleziono Task: {4463B99B-1883-49DE-ABD2-A9E4639032ED} - System32\Tasks\{7A7749B2-3FF9-4495-84DC-94A85E840BDB} => pcalua.exe -a C:\PROGRA~2\COMMON~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe -c /M{DF57E946-4885-4EEA-A958-D5F82CB21B99} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "QuickTime Task" /f CMD: netsh advfirewall reset DisableService: PLAY INTERNET. RunOuc C:\autoexec.bat C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\Logic Handler C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ByteScout BarCode Generator\ByteScout BarCode Generator on the Web.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EaseUS Partition Master 10.5 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart File Advisor C:\Users\Administrator\AppData\Local\{6C6E5967-2405-4DE5-9E98-0E73070ADA79} C:\Users\Administrator\AppData\Roaming\*.* C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee.lnk C:\Windows\System32\drivers\EsgScanner.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj adware SafeFinder Search, Video Ad Blocker Plus (o ile nadal będą widoczne po wykonaniu punktu 2). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt. Mam też pytanie czy można usunąć cały folder C:\Users\Kuba - wygląda na odpadkowy folder po usuniętym i nieistniejącym już w systemie koncie. K2: Prócz szczątków SpyHunter, tu wszystko wygląda OK, ale można przeprowadzić następujące akcje: 1. Odinstaluj zbędny program zainstalowany jako sponsor Adobe Flash, czyli McAfee Security Scan Plus, oraz starą wersję Real Alternative 1.52. 2. W Firefox odmontuj niepodpisane cyfrowo i blokowane przez Firefox stare rozszerzenie PEKAO S.A. Sign Plugin. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-08-08] () C:\autoexec.bat C:\Users\Maria\Downloads\SpyHunter-Installer.exe C:\Windows\System32\drivers\EsgScanner.sys DisableService: PLAY INTERNET. RunOuc DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST i uruchom w taki sam sposób jak podane powyżej. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są potrzebne.

W żadnych raportach nie widać oznak infekcji Locky. W obliczu braku jakichkolwiek śladów tego rodzaju infekcji komunikat może być związany z aktywnością infekcji ogólnie w sieci Orange. Skan Cybertarczy z tego co rozumiem nie skanuje konkretnie wybranego systemu lecz stawia diagnozę na podstawie IP. Orange przypisuje zmienne adresy IP, mogło być i tak że przydzielony Ci adres IP należał wcześniej do innego rzeczywiście zainfekowanego komputera. Można to przetestować wymuszając rozłączenie/reset urządzenia Orange, by przypisało inny adres IP. Spakować do ZIP, shostować na jakimś serwisie zewnętrznym i dostarczyć link. Ale wątpię, by log GMER dodał coś do obrazu. Są owszem infekcje ransomware szyfrujące dane na Androidach, ale raczej byś się zorientował, że urządzenie jest zainfekowane (brak dostępu do danych, zmieniony PIN, etc). Nie ma narzędzi na Androida zdolnych pracować na podobieństwo FRST, więc nie jestem w stanie sprawdzić urządzenia w taki sposób jak Windows. Ale są różne skanery mobilne od producentów adresujące Android. Możesz wykonać tylko poboczne działania podane poniżej, związane z usuwaniem szczątkowych wpisów (w tym na K1 i K3 stare ślady adware) i dziurawych programów. K1 1. Odinstaluj dziurawe programy Apple i Java: Apple Software Update, Bonjour, Java 8 Update 45, Obsługa programów Apple, QuickTime. Krytyczne luki Apple, które nie zostaną już załatane, Apple zarzuciło support Windows, o czym jest w przyklejonym: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3700019395-1246411445-3785929609-1000\...\Run: [] => [X] HKU\S-1-5-21-3700019395-1246411445-3785929609-1000\...\Run: [AdobeBridge] => [X] CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKU\S-1-5-21-3700019395-1246411445-3785929609-1000\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3700019395-1246411445-3785929609-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-3700019395-1246411445-3785929609-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKU\S-1-5-21-3700019395-1246411445-3785929609-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM-x32 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.00000&barid={3FE643FC-5C4D-11E2-846F-BC5FF45CC00C} SearchScopes: HKU\S-1-5-21-3700019395-1246411445-3785929609-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3700019395-1246411445-3785929609-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3700019395-1246411445-3785929609-1000 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.00000&barid={3FE643FC-5C4D-11E2-846F-BC5FF45CC00C} BHO: Brak nazwy -> {f1abf166-ad38-4bcf-9844-c22b50874909} -> Brak pliku BHO-x32: Brak nazwy -> {f1abf166-ad38-4bcf-9844-c22b50874909} -> Brak pliku Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku Toolbar: HKLM - Brak nazwy - {f1abf166-ad38-4bcf-9844-c22b50874909} - Brak pliku Toolbar: HKLM-x32 - Brak nazwy - {EEE6C35B-6118-11DC-9C72-001320C79847} - Brak pliku Toolbar: HKLM-x32 - Brak nazwy - {f1abf166-ad38-4bcf-9844-c22b50874909} - Brak pliku Toolbar: HKU\S-1-5-21-3700019395-1246411445-3785929609-1000 -> Brak nazwy - {EEE6C35B-6118-11DC-9C72-001320C79847} - Brak pliku Toolbar: HKU\S-1-5-21-3700019395-1246411445-3785929609-1000 -> Brak nazwy - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Brak pliku Handler: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - Brak pliku CHR HKLM-x32\...\Chrome\Extension: [bacmhbpcpggpejckjicbghlgdlhgelbc] - C:\Program Files (x86)\ZappAddon\chrome\ZappAddon.crx [2014-05-02] CHR HKLM-x32\...\Chrome\Extension: [jcdgjdiieiljkfkdcloehkohchhpekkn] - C:\Users\Błażej\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetFB.crx CHR HKLM-x32\...\Chrome\Extension: [ogccgbmabaphcakpiclgcnmcnimhokcj] - C:\Users\Błażej\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetNT.crx S3 VGPU; System32\drivers\rdvgkmd.sys [X] Task: {5E7821E9-A7C3-4F36-9623-1117DF06A890} - System32\Tasks\{8422CD23-BB53-4DF7-89A9-13208E46482F} => E:\DiRT\DiRT.exe Task: {90628630-C5BC-4595-BE60-238DEF15577C} - System32\Tasks\{51B659C8-5EE3-4D93-8C26-B1AE30178DAC} => I:\Player\setup.exe Task: {976F738E-319A-48F4-A951-EB554389CCDA} - System32\Tasks\{E81B60D1-16C3-4C5F-BF01-07568D50BD3B} => I:\Player.EXE Task: {B02820FF-1935-41EF-B84C-CB93BFC59556} - System32\Tasks\{7B09849A-21DB-4A4F-82B8-54E7B85B4636} => D:\FREE Word and Excel password recovery Wizard\FreeWordExcel.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\APSDaemon DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\autoRunTest DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpadeCast DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\ZappAddon C:\ProgramData\Microsoft\Windows\Start Menu.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DivX C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HD Tune Pro\HD Tune Pro on the Web.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Aktualizacja.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses C:\Users\Błażej\_-112452660.dat C:\Users\Błażej\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847} C:\Users\Błażej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VirtualDJ\Setup Audio.lnk C:\Users\Błażej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VirtualDJ\Setup QuickStart.lnk C:\Users\Błażej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VirtualDJ\User Guide.lnk C:\Users\Błażej\Desktop\Programy\TeamViewer 9.lnk C:\Users\Błażej\Documents\Visual Studio 2012\Projects\Kalkulator klientów\Skrót do Kalkulator klientów.exe.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Na czas operacji wyłącz Comodo, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. K2 Tu tylko drobne akcje. Odinstaluj starą wersję Java 8 Update 73. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i uruchom w taki sam sposób jak opisane powyżej. Przedstaw wynikowy fixlog.txt. Nowe skany FRST zbędne. K3 1. Podobnie jak wyżej, do deinstalacji Java 8 Update 71. 2. W Operze jest widoczne rozszerzenie adware Jungle Net. Odinstaluj je (o ile widoczne), poniższy skrypt na wszelki wypadek przetworzy folder tego rozszerzenia gdyby nie było jednak widoczne. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia Task: {3F673C5F-971E-488D-8563-852A94732CFC} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office\Office15\msoia.exe Task: {F344C5CB-0F21-4E0F-90A7-C8506562F86F} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office\Office15\msoia.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\eofcbnmajmjmplflapaojjnihcjkigck DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Users\Mróz\AppData\Roaming\Opera Software\Opera Stable\Extensions\pijnalchgkhohdglibpjeebomodiccgh EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i uruchom w taki sam sposób jak opisane powyżej. Przedstaw wynikowy fixlog.txt. Nowe skany FRST zbędne.

Brak dokładnych wyników ze skanera Avast jak konkretnie ta detekcja wyglądała, ale wytłuszczona część wskazująca na łączenie z jakąś witryną raczej mówi że to nie był fałszywy alarm. Zwłaszcza, że: Raporty FRST owszem potwierdzają, że Chrome nie jest w porządku. W momencie próby jego instalacji na dysku były profile Chrome, jeden z nich i to ustawiony jako domyślny był szkodliwy. Są tu ślady instalacji adware w postaci podstawionego fałszywego profilu Chrome ChromeDefaultData (wyświetlana nazwa w opcjach Chrome to przypuszczalnie user0). To profil preparowany przez adware, więc reakcje Avast podczas próby instalacji Chrome próbującego zaadaptować ten lewy profil zdają się być jak najbardziej zasadne, a brak reakcji Comodo działa wręcz na jego niekorzyść (o ile oczywiście między deinstalacją Avast a instalacją Comodo nie usuwałaś profilów Chrome z dysku). Do wykonania następujące operacje: 1. Skrypt kosmetyczny usuwający wpisy szczątkowe. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-4228526205-2315637213-1605727511-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-4228526205-2315637213-1605727511-1001\...\Run: [AdobeBridge] => [X] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> S2 SPVVEngine; C:\Windows\system32\Drivers\spvve.sys [246248 2015-10-29] () U4 RAMDiskVE; Brak ImagePath CustomCLSID: HKU\S-1-5-21-4228526205-2315637213-1605727511-1001_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-14FADBC03BAF}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => Brak pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions C:\Program Files (x86)\Avira C:\ProgramData\1466969923.bdinstall.bin C:\ProgramData\1466970139.bdinstall.bin C:\ProgramData\1466970141.bdinstall.bin C:\ProgramData\empty.ico C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Futuremark C:\Users\Dawid B\AppData\Local\ACCCx3_6_0_248.zip.aamdownload C:\Users\Dawid B\AppData\Local\ACCCx3_6_0_248.zip.aamdownload.aamd C:\Users\Dawid B\AppData\Roaming\QuickScan C:\Users\Dawid B\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk C:\Users\Dawid B\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk C:\Windows\system32\Drivers\avchv.sys C:\Windows\system32\Drivers\spvve.sys CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Należy wykonać konkretne przetasowania profilów w opcjach Google Chrome. Z bieżącego profilu wyeksportuj zakładki, o ile w ogóle jest co eksportować... Następnie w Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę, zaloguj się na nowy profil, zamknij okno poprzedniego, wróć do ustawień i skasuj user0. Po tej akcji trzeba odpiąć skróty Chrome z paska i przypiąć od nowa. Dodatkowa uwaga pod kątem instalacji rozszerzeń na nowym profilu: nie instaluj ponownie niejakiego Video Downloader Pro. To rozszerzenie wątpliwej reputacji, pochodzi ze stajni znanej z instalacji adware/PUP. Nie jest powiązane jednak z fałszywym profilem ChromeDefaultData. 3. Zrób nowe logi FRST z opcji Skanuj (Scan) (z Addition, ale bez Shortcut).

SpyHunter to program wątpliwej reputacji, z daleka od niego. To nie jest infekcja Windows tylko infekcja routera, dlatego nie pomoże tu żaden skaner ani "fix" robiony spod Windows. Zakreślony poniżej adres IP jest amerykański, a wg IP pod jakim Cię widzę na forum powinieneś należeć do puli Neostrady: Tcpip\Parameters: [DhcpNameServer] 54.186.51.153 8.8.8.8 Tcpip\..\Interfaces\{5675eb02-32c0-4a1d-b5f4-ee12cc768d69}: [DhcpNameServer] 54.186.51.153 8.8.8.8 Działania do przeprowadzenia: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony działania poboczne: 2. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje z lukami: Adobe Reader 9.2, Java 8 Update 65. 3. Kosmetyczny skrypt usuwający wpisy odpadkowe, czyszczący tempy oraz bufor DNS. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-06-27] () S0 mfeelamk; C:\Windows\System32\drivers\mfeelamk.sys [80160 2015-04-08] (McAfee, Inc.) R3 tapoas; C:\Windows\System32\drivers\tapoas.sys [30720 2012-07-15] (The OpenVPN Project) S4 sptd2; System32\Drivers\sptd2.sys [X] Task: {098BA10A-8F9A-4771-8D74-D33DD3048C63} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {30565CC9-3B9B-495F-BB8E-5A06C60EB940} - System32\Tasks\{E41EC412-94DF-4B1E-B864-CE8A3840BB71} => Chrome.exe hxxp://ui.skype.com/ui/0/7.18.85.109/pl/abandoninstall?page=tsMain Task: {3A7BA0A7-2AC6-4911-AB61-AE610604CB03} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {4B7BC54B-1AA2-4C80-8CA9-07B9DFA606D2} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {54DFD4E3-C236-4A41-AACD-D65DFDC2C285} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {65A984DB-124E-48C9-8321-1FDCA6DFC126} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {6C8FA0B3-0E6B-432D-A43E-154A1D625807} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {7A6DA48A-CFF2-4DCA-A6F2-CFBC8E9B5D79} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {8040A8E0-7E60-487C-850C-C6271CCEBEF7} - System32\Tasks\UninstallDDS-C960901F-CE14-4DE1-9729-1305F719A337 => C:\WINDOWS\TEMP\DeleteFolderTask.exe Task: {8302DD23-3107-4BB3-A2D0-298AABF7ABD2} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {85C7675E-D687-4823-8FC1-A3665F60180D} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {8F95515E-B100-4D59-BEB4-957DADA2BB6D} - System32\Tasks\{8EA4ED6B-40B0-4C4C-8D7E-EB75E3EE0BCB} => pcalua.exe -a C:\RADEK\Programy\vcds\VCDS-Release-10.6.3-Installer.exe -d C:\RADEK\Programy\vcds Task: {9851AD02-6C4D-4554-8E65-65830300432F} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {A0D559F3-69A9-49D3-A4D0-750EB8EC9E5D} - System32\Tasks\CreateExplorerShellUnelevatedTask => /NOUACCHECK Task: {B57C673B-EBFE-4364-A415-4866472F637C} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {B84FCDF4-D314-4E92-BE82-92AD952DB598} - System32\Tasks\{AD3DF014-89F8-4174-BDDD-74FA268797A0} => pcalua.exe -a C:\Users\RS\AppData\Local\Apps\2.0\ORAZWQA5.9H1\0G0VJANG.LVM\dell..tion_e30b47f5d4a30e9e_0006.0002_6ed9efd02e5cb421\Uninstaller.exe -c uninstall HKLM\...\Winlogon: [userinit] HKU\S-1-5-21-3054135196-845340782-310906622-1001\...\Policies\Explorer: [] IFEO\SppExtComObj.exe: [Debugger] C:\WINDOWS\SECOH-QAD.exe ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku ShellIconOverlayIdentifiers: [DBARFileBackuped] -> {831cebdd-6baf-4432-be76-9e0989c14aef} => Brak pliku ShellIconOverlayIdentifiers: [DBARFileNotBackuped] -> {275e4fd7-21ef-45cf-a836-832e5d2cc1b3} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku GroupPolicy: Ograniczenia - Chrome GroupPolicyScripts-x32: Ograniczenia GroupPolicyScripts-x32\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKU\S-1-5-21-3054135196-845340782-310906622-1001 -> {BB85DA07-84FD-4A5F-BBBA-FE97DAC4DEB4} URL = Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Napisy24Update /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v RT-Updater.lnk /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BTMTrayAgent /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v FAH.lnk /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe Reader Speed Launcher" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v Dropbox /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GIMP 2.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\kED C:\ProgramData\TEMP C:\Users\RS\AppData\Local\{3B782F07-687A-4CE2-8860-88E2B34DE037} C:\Users\RS\AppData\Local\{613D4527-415C-453A-BBD2-3931B863C4BB} C:\Users\RS\AppData\Local\globalUpdate — skrót .lnk C:\Users\RS\AppData\Local\Google C:\Windows\System32\drivers\EsgScanner.sys C:\Windows\System32\drivers\mfeelamk.sys C:\Windows\System32\drivers\tapoas.sys CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Użyłeś starej wersji FRST Wersja:05-03-2016, najnowsza w momencie zakładania przez Ciebie tematu pochodziła z lipca, a obecnie jest dostępna wersja z dziś. W raportach nadal widać izraelskie serwery DNS oraz różne szczątki adware. Ale problem z Menu Start nie wydaje się w ogóle powiązany z infekcją. W Dzienniku zdarzeń błąd wskazujący na uszkodzenie konta użytkownika, co będzie wymagać założenia nowego konta w Windows: Dziennik Aplikacja: ================== Error: (07/22/2016 06:31:57 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1542) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować pliku rejestru klas. SZCZEGÓŁY — Nieokreślony błąd. Nie będę więc czyścić żadnych obiektów strony użytkownika (omijam wszystkie wpisy HKU i C:\Users\komputer), gdyż nowe konto Windows zostanie założone. Działania do wykonania: 1. Odinstaluj stare wersje: Adobe Flash Player 21 NPAPI, Adobe Flash Player 9 ActiveX, Java 8 Update 60, OpenOffice.org 3.4.1. 2. Pobierz najnowszy FRST z oficjalnego linka: KLIK. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\Parameters: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{A57061D2-CCE9-454A-9CC3-2D968C7D0AB3}: [NameServer] 82.163.143.171 82.163.142.173 AppInit_DLLs: C:\ProgramData\Quotenamron\Freelight.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Quotenamron\ScotTam.dll => Brak pliku S2 DCHP; C:\ProgramData\\DCHP\\DCHP.exe -f "C:\ProgramData\\DCHP\\DCHP.dat" -l -a S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] U4 WMCoreService; Brak ImagePath Task: {0CF3DA40-3F15-4FAF-A027-263B4B803EDC} - System32\Tasks\{F5EE0A90-3391-47C9-87D6-ED4F633EC525} => C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic\setup.exe Task: {10483E06-8D55-4707-9377-AEFACEFC69C0} - System32\Tasks\{A67DADB8-8F33-498F-8B8B-1A31131924F6} => pcalua.exe -a "C:\Users\komputer\Desktop\Nowy folder (3)\Setup\MS Windows\Installer\Installer.exe" -d "C:\Users\komputer\Desktop\Nowy folder (3)\Setup\MS Windows\Installer" Task: {120EE37F-555D-4B64-BF7E-A54C2DE2A2C7} - System32\Tasks\{67BCE7EA-B3B7-47BD-9757-3A9C37D60A4A} => C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic\setup.exe Task: {23589E06-3CDF-4C72-A32C-D2FF41E2FB96} - System32\Tasks\PriceFountainUpdateVer => C:\Users\komputer\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA Task: {2407C96D-1CE2-4295-B20A-26AAB7978673} - System32\Tasks\{4730AFEB-6094-4591-AE39-A7600F38550D} => C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic\setup.exe Task: {26521CF5-0B89-459C-8A19-DA113ADE1515} - System32\Tasks\{FA2314AF-EA35-4EDE-9DDB-59501346226A} => C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic\setup.exe Task: {448D5EFA-E9EA-4102-B7AF-88062BB806B7} - System32\Tasks\{40EB2E7E-4FF2-4CC1-9252-9B85439077F9} => C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic\setup.exe Task: {466E467E-C9FE-4DC4-A8A3-314D3F5C5E67} - System32\Tasks\{AF719FED-808F-44E6-83F6-27D1DA358455} => pcalua.exe -a "D:\Program Files (x86)\Rockstar Games\GTAIV_spolszczenie_1.0.exe" -d "D:\Program Files (x86)\Rockstar Games" Task: {727AD63C-05DF-42EF-A03F-775A7E700CCF} - System32\Tasks\{8D53EAC8-9281-41DE-9A3E-1DCC9511D782} => C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic\setup.exe Task: {7AF3BC6F-A300-4536-9684-F5634CDAF29B} - System32\Tasks\{2466FBA6-09B6-492A-BCFB-36698DA79F4B} => C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic\setup.exe Task: {8A4B7266-B61D-4F36-AC3B-AB303DBCF82E} - System32\Tasks\{0669DFEE-0A40-4879-A9A6-1334D830D97D} => pcalua.exe -a "C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic\setup.exe" -d "C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic" Task: {9220FF89-970A-4738-9AA1-D5FD393256C1} - System32\Tasks\komputerAppelsArcV2 => Rundll32.exe TundrasBusying.dll,main 7 1 <==== UWAGA Task: {B64A3209-4549-4ED5-A70C-77749B8025CF} - System32\Tasks\UNELEVATE_10983 => C:\Program Files (x86)\ShopperPro\JSDriver\1.39.0.1578\jsdrv.exe <==== UWAGA Task: {C1227162-2578-480F-A527-A31A53F7BA3F} - System32\Tasks\{475646AC-6818-4E1B-8D1C-908B023BBE15} => C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic\setup.exe Task: {C12D577F-7517-4F70-8037-6F2FCB90B5C8} - System32\Tasks\{FB3CD85A-BE88-4531-89CE-D979D19EBCB8} => C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\generic\setup.exe Task: {DFC21632-B8A2-462B-85A6-633C44C4DF2A} - System32\Tasks\{155B90CB-B2C4-4DC8-AFA3-EBA5A2BFFB91} => pcalua.exe -a "C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\vista_32\setup.exe" -d "C:\Users\komputer\Desktop\Nowy folder (3)\Drivers\SIEMENS\vista_32" Task: {E3DB4D26-7EF1-476E-B765-E2A283EA1819} - System32\Tasks\{8394803F-EE5E-456A-B5E4-8199980F04A5} => pcalua.exe -a C:\Users\komputer\Downloads\GTAIV_spolszczenie_1.0_www.INSTALKI.pl.exe -d C:\Users\komputer\Downloads Task: {FA85D766-4093-48F6-BFC7-410316BB1DCF} - System32\Tasks\{2DE04FF9-3A41-4A13-AE8A-ECB66B0F9691} => pcalua.exe -a "F:\Setup\MS Windows\Installer\Installer.exe" -d "F:\Setup\MS Windows\Installer" Task: C:\Windows\Tasks\PriceFountainUpdateVer.job => C:\Users\komputer\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.awesomehp.com/web/?type=ds&ts=1391070671&from=tt4u&uid=SAMSUNGXHD502HJ_S20BJDWSA25276&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.awesomehp.com/web/?type=ds&ts=1391070671&from=tt4u&uid=SAMSUNGXHD502HJ_S20BJDWSA25276&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.awesomehp.com/web/?type=ds&ts=1391070671&from=tt4u&uid=SAMSUNGXHD502HJ_S20BJDWSA25276&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.awesomehp.com/web/?type=ds&ts=1391070671&from=tt4u&uid=SAMSUNGXHD502HJ_S20BJDWSA25276&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.awesomehp.com/web/?type=ds&ts=1391070671&from=tt4u&uid=SAMSUNGXHD502HJ_S20BJDWSA25276&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.awesomehp.com/web/?type=ds&ts=1391070671&from=tt4u&uid=SAMSUNGXHD502HJ_S20BJDWSA25276&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.awesomehp.com/web/?type=ds&ts=1391070671&from=tt4u&uid=SAMSUNGXHD502HJ_S20BJDWSA25276&q={searchTerms} FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2016-05-27] CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [knnaihaddpogmkclkahpcnhppgapinpe] - hxxps://clients2.google.com/service/update2/crx C:\ProgramData\{00a46192-012c-0} C:\ProgramData\{01975234-712c-1} C:\ProgramData\{058fc7b2-612c-1} C:\ProgramData\{0626c1d3-312c-1} C:\ProgramData\{0720e27c-612c-1} C:\ProgramData\{07602a3f-712c-0} C:\ProgramData\{0dab637d-612c-0} C:\ProgramData\{1f896676-412c-0} C:\ProgramData\{1f941f93-412c-0} C:\ProgramData\{35cf4080-112c-1} C:\ProgramData\03e1102d-4b77-1 C:\ProgramData\03e1102d-3e33-0 C:\ProgramData\f9dd7f44 C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AnvSoft C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grand Theft Auto IV C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MP4 Converter C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Załóż nowe konto Windows, a stare usuń poprzez Panel sterowania (z zatwierdzeniem usuwania plików z dysku). Nie kopiuj ze starego konta profilów przeglądarek Firefox i Chrome do nowego, bo są zanieczyszczone. Tylko zakładki wyeksportuj przed usunięciem konta. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Skrypt FRST pomyślnie wykonany. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Fix FRST pomyślnie wykonany. Przez SHIFT+DEL (omija Kosz) skasuj z dysku folder E:\FIRST z FRST i jego logami, następnie jeszcze zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. To wszystko.

W raportach nie widać żadnych oznak infekcji. To co wykrył AdwCleaner nie powiązane ze zgłoszonym problemem, zostały wykryte alternatywne profile Firefox kiedyś wstawione przez adware, nieaktywne zresztą (wg FRST bieżącym profilem jest zupełnie inny). Do wykonania poboczne działania: 1. Odinstaluj stare wersje i zbędny program AVG: Adobe Reader 9 - Polish, Adobe Shockwave Player, AVG Web TuneUp, Gadu-Gadu 10, Pasek narzędzi AOL 5.0, QuickTime Alternative 1.76, Real Alternative 1.51 Lite. Uruchom Program Install and Uninstall Troubleshooter. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Norton Internet Security > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {17CDEAF0-AADB-4020-B6B1-5C506A8C5B61} - System32\Tasks\ArcSoft Connect Daemon => C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe Task: {45E3F96B-3470-4AFD-9C65-CBDAA98BAB47} - \klocekWieldHardtackV2 -> Brak pliku Task: {5F27904E-587E-4656-936E-110ED135A9EB} - \WinTaske -> Brak pliku Task: {657F210B-2EBD-4765-9AC6-B7C1F1306CF9} - System32\Tasks\Leader Technologies\PowerRegister\Seagate NA45QHFE Product Registration (klocek) => C:\Users\klocek\AppData\Roaming\Leadertech\PowerRegister\Seagate NA45QHFE Product Registration.exe Task: {DDA7217D-96EF-4261-B144-4946F6FE9964} - System32\Tasks\{9341CD3A-5690-449F-AE93-4DF6A7A43336} => pcalua.exe -a I:\Setup.exe R2 ezSharedSvc; C:\Windows\System32\ezsvc7.dll [129992 2008-02-03] (EasyBits Sofware AS) [brak podpisu cyfrowego] U5 AppMgmt; C:\Windows\system32\svchost.exe [21504 2008-01-21] (Microsoft Corporation) S3 massfilter; system32\drivers\massfilter.sys [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [X] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] FF HKU\S-1-5-21-3603805060-1314643310-2562518270-1000\...\Firefox\Extensions: [{F17C1572-C9EC-4e5c-A542-D05CBB5C5A08}] - C:\Program Files\DAP\DAPFireFox => nie znaleziono HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220150225 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Leader Technologies DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes DisableService: Mobile Partner. RunOuc C:\ProgramData\Temp C:\Users\klocek\AppData\Local\ESET C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\System32\ezsvc7.dll C:\Windows\System32\Tasks\Leader Technologies EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Wszystkie wyliczone to poprawne procesy: ==================== Procesy (filtrowane) ================= () C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe (Zemana Ltd.) C:\Program Files (x86)\Zemana AntiMalware\ZAM.exe (Hewlett-Packard Development Company, L.P.) C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe () C:\Program Files (x86)\Hewlett-Packard\Shared\HpqToaster.exe W raportach brak oznak czynnej infekcji, tylko mikro odpadki na dysku. Do wykonania poboczne działania: 1. Odinstaluj stare niebezpieczne wersje, zbędny program HP i składnik odinstalowanego pakietu Windows Live: Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Shockwave Player, Formant ActiveX programu Windows Live Mesh odpowiedzialny za obsługę połączeń zdalnych, HP Customer Participation Program 13.0, Java 7 Update 75 (64-bit). Druga sprawa, był tu deinstalowany pakiet Windows Live, ale deinstalacja niekompletna. Skorzystaj z narzędzia Program Install and Uninstall Troubleshooter, by usunąć poniżej zakreślone ukryte wpisy: Galeria fotografii usługi Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Mesh Runtime (x32 Version: 15.4.5722.2 - Microsoft Corporation) Hidden Poczta usługi Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Podstawowe programy Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Pomocnik Messenger (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\HP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Skrypt kosmetyczny usuwający szczątkowe wpisy i czyszczący Tempy. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {95E90794-F6B4-4566-BF5E-DBDC3F782315} - System32\Tasks\Hewlett-Packard\HP Assistant\HP Total Care Tune-Up => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPTuneUp.exe Task: {F813EBC5-18C0-49C4-B74F-00F2C8997EEF} - \ReimageUpdater -> Brak pliku <==== UWAGA R2 ezSharedSvc; C:\Windows\SysWOW64\ezsvc7.dll [129584 2009-02-22] (EasyBits Sofware AS) [Brak podpisu cyfrowego] S3 lmimirr; system32\DRIVERS\lmimirr.sys [X] S3 massfilter_lte; system32\DRIVERS\massfilter_LTE.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X] S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X] R1 ZAM_Guard; \??\C:\Windows\System32\drivers\zamguard64.sys [X] S3 zgdcat; system32\DRIVERS\zgdcat.sys [X] S3 zgdcdiag; system32\DRIVERS\zgdcdiag.sys [X] S3 zgdcmdm; system32\DRIVERS\zgdcmdm.sys [X] S3 zgdcnet; system32\DRIVERS\zgdcnet.sys [X] S3 zgdcnmea; system32\DRIVERS\zgdcnmea.sys [X] HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-369731840-4170033666-3729031613-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> ShellExecuteHooks: - {6710C780-E20E-4C49-A87D-321850ED3D7C} - Brak pliku [ ] BHO-x32: Brak nazwy -> {9FDDE16B-836F-4806-AB1F-1455CBEFF289} -> Brak pliku Toolbar: HKU\S-1-5-21-369731840-4170033666-3729031613-1000 -> Brak nazwy - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - Brak pliku Toolbar: HKU\S-1-5-21-369731840-4170033666-3729031613-1000 -> Brak nazwy - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - Brak pliku BHO: Windows Live ID Sign-in Helper -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2010-09-21] (Microsoft Corp.) BHO-x32: Pomocnik logowania za pomocą identyfikatora Windows Live -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2010-09-21] (Microsoft Corp.) Handler: livecall - Brak wartości CLSID Handler: msnim - Brak wartości CLSID Handler: wlmailhtml - Brak wartości CLSID Handler: wlpg - Brak wartości CLSID CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA CHR HKU\S-1-5-21-369731840-4170033666-3729031613-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fffcjibagikpbcgeadlbbpobdcchhjfh] - C:\Users\HP\AppData\Local\Temp\CT3316226.crx <nie znaleziono> CHR HKLM-x32\...\Chrome\Extension: [oaocmnfllndpbbmjmniielgaanaifehp] - hxxps://clients2.google.com/service/update2/crx FF Plugin-x32: @microsoft.com/WLPG,version=15.4.3502.0922 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll [Brak pliku] FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-369731840-4170033666-3729031613-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files (x86)\update-MKKE.bat C:\Program Files (x86)\visit-www.nosteam.ro.html C:\Program Files (x86)\mpck C:\Program Files\Common Files\Microsoft Shared\Windows Live C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live C:\ProgramData\Avg C:\ProgramData\LogMeIn C:\ProgramData\mntemp C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\FreeCell.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Hearts.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java Development Kit C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Solitaire.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Live Messenger.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Live Movie Maker.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Live Photo Gallery.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Live C:\Users\HP\AppData\Local\{5BDC6F40-72AD-4D78-93B6-6C2A77D0401D} C:\Users\HP\AppData\Local\app C:\Users\HP\AppData\Local\deoentderzgeserasp C:\Users\HP\AppData\Local\AvgSetupLog C:\Users\HP\AppData\Local\Zemana C:\Users\HP\AppData\Local\Google\Chrome\User Data\Profile 1 C:\Users\HP\AppData\Local\Microsoft\Windows\GameExplorer\{E83C0669-8E92-4C70-9D7C-22B3FA57421E} C:\Users\HP\AppData\Local\Microsoft\Windows\GameExplorer\{BEE25826-B11E-4A7F-AA2A-4894A616446C} C:\Users\HP\AppData\Local\Microsoft\Windows\GameExplorer\{70AD5F63-68D5-41FB-9DA6-98FD3EB9BDC6} C:\Users\HP\AppData\Local\Microsoft\Windows\GameExplorer\{5241B8DC-C319-4AA3-94F8-CCA76001A1D6} C:\Users\HP\AppData\Roaming\*.* C:\Users\HP\Desktop\GRY\Age of Empires II - The Age of Kings PL\Age of Empires II - The Age of Kings PL\Age of Empires 2\Support\*.lnk C:\Windows\Reimage.ini C:\Windows\ZAM_Guard.krnl.trace C:\Windows\ZAM.krnl.trace C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\ezsvc7.dll Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Problemem było szkodliwe proxy ustawione w Windows, które zostało usunięte za pomocą MBAM. Reinstalacja Chrome, która jakoby pomogła, to musiał być przypadek, bo Chrome nie ma własnych ustawień proxy i korzysta z tych skonfigurowanych w Windows. W podanych tu raportach obecnie nie widać żadnych oznak infekcji. Do wykonania tylko poboczne działania: 1. W Firefox i Google Chrome zamień uBlock (nierozwijany fork) na uBlock Origin. 2. Drobny skrypt kosmetyczny usuwający puste wpisy i czyszczący tempy. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {628BB5EB-E277-48F0-BC16-455183F015FD} - System32\Tasks\{79F90E25-64A4-4CF0-90F9-A79D02DC3EF1} => pcalua.exe -a "D:\Program Files (x86)\Gry\Ubisoft\Heroes of Might and Magic V\bin\UpgradeLauncher.exe" -d "D:\Program Files (x86)\Gry\Ubisoft\Heroes of Might and Magic V\bin" Task: {9A660762-5A70-42ED-942B-894D9923D77A} - System32\Tasks\{5F07E727-1C12-4ADC-B902-2C4F9EB4F50F} => pcalua.exe -a "D:\Program Files (x86)\Gry\Ubisoft\Heroes of Might and Magic V - Dzikie Hordy\bin\UpgradeLauncher.exe" -d "D:\Program Files (x86)\Gry\Ubisoft\Heroes of Might and Magic V - Dzikie Hordy\bin" Task: {9EA345AF-126A-499B-8400-85E58B347C12} - System32\Tasks\{E8C6E559-6F1D-45EF-8BAB-6A2A2B33578A} => pcalua.exe -a "D:\Program Files (x86)\Gry\Ubisoft\Heroes of Might and Magic V\bina1\UpgradeLauncher.exe" -d "D:\Program Files (x86)\Gry\Ubisoft\Heroes of Might and Magic V\bina1" Task: {AFF31AFE-8D36-47DB-833E-55E9CB46366B} - System32\Tasks\e-pity2015a_kwiecien => C:\Program Files (x86)\e-file\e-pity2015\Assets\signxml.exe Task: {C4198C8B-D192-4E1D-9B14-7EDFB4817E36} - System32\Tasks\e-pity2015a_styczen => C:\Program Files (x86)\e-file\e-pity2015\Assets\signxml.exe Task: {C593138B-3A0D-412B-99F7-25418A3DEEE0} - System32\Tasks\{71BE1978-9EEF-438B-B877-E33E496FF0C3} => pcalua.exe -a "D:\Program Files (x86)\Gry\Heroes of Might and Magic V ver. 1.6\bina1\H5_Game.exe" -d "D:\Program Files (x86)\Gry\Heroes of Might and Magic V ver. 1.6\bina1" Task: {D195CC6E-AF93-4852-8C08-78C2D481382B} - System32\Tasks\{EA2CCD0C-AFA7-4533-B01B-D693728F01D8} => pcalua.exe -a "D:\Program Files (x86)\Gry\Heroes of Might and Magic V Dzikie Hordy.old\bin\H5_Game.exe" -d "D:\Program Files (x86)\Gry\Heroes of Might and Magic V Dzikie Hordy.old\bin" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-665292603-3306122162-886866675-1006\Control Panel\Desktop\\SCRNSAVE.EXE -> FF HKLM-x32\...\Firefox\Extensions: [quickprint@hp.com] - C:\Program Files (x86)\Hewlett-Packard\SmartPrint\QPExtension CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 RemoveDirectory: C:\ProgramData\tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Jako log FRST.txt podałeś zawartość raportu GMER. Uzupełnij brakujący log. Nie ma danych co wykrył Avast, ale skutki usunięcia tajemniczego obiektu mogą świadczyć, że był to fałszywy alarm i Avast usunął jakiś kluczowy plik Windows. Czekam jeszcze na główny plik FRST.txt, ale póki co w reszcie raportów brak oznak infekcji.

Jaki był komunikat w oknie PowerShell? Czy diagnostyk Menu Start nadal twierdzi to samo?

W raportach nie widać żadnych oznak infekcji, ale wykonaj działania poboczne: 1. Odinstaluj stare wersje Acrobat.com, Adobe AIR, Adobe Flash Player 21 ActiveX, Adobe Flash Player 21 NPAPI, Adobe Reader 9, Java 8 Update 77 oraz program wątpliwej reputacji Spyware Terminator 2015. 2. Usuń puste wpisy wtyczek w Google Chrome poprzez reset cache: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 dtlitescsibus; C:\Windows\System32\DRIVERS\dtlitescsibus.sys [30264 2015-11-13] (Disc Soft Ltd) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S4 NVHDA; system32\drivers\nvhda64v.sys [X] S4 nvlddmkm; system32\DRIVERS\nvlddmkm.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" BootExecute: autocheck autochk * GroupPolicyScripts-x32: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1789897332-3693317233-3652865675-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-1789897332-3693317233-3652865675-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeFlashPlayerUpdateSvc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Disc Soft Lite Bus Service DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\HiPatchService DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite Automount DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Dawidos\AppData\Local\{19E14926-8B2B-43B9-828C-C2872D94452B} C:\Users\Dawidos\AppData\Local\file__0.localstorage C:\Users\Dawidos\AppData\Local\Chromium C:\Users\Dawidos\Downloads\pcmechanicpm.exe C:\Users\Dawidos\Downloads\SpywareTerminatorSetup.exe C:\Windows\System32\Drivers\dtlitescsibus.sys C:\Windows\SysWOW64\91207717.sys cmd: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

W raportach widać owszem izraelskie adresy IP ustawione w wartościach NameServer (DNS strony Windows) i DhcpNameServer (DNS strony routera), tylko nie wiadomo czy to interfejsy nadal aktywne, logi FRST były robione podczas braku połączenia z internetem. Wstępnie usunę te wpisy na poziomie rejestru, ale jeśli router jest rzeczywiście zainfekowany, to nie pomoże i trzeba będzie przeprowadzić inny rodzaj czyszczenia. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{16A88122-A6CD-464D-A9F0-09ACD838E7B2}: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{921EA7F4-6DE0-466C-9E36-24BCB09F7481}: [DhcpNameServer] 82.163.143.171 HKLM\...\Run: [] => [X] S3 MBAMSwissArmy; \??\C:\windows\system32\drivers\MBAMSwissArmy.sys [X] Task: {B5A81B00-B0A4-4D5F-9325-3ABB9425680E} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-06-03] (AVAST Software) Task: {E493D2B0-4101-4303-800A-5555066572EF} - System32\Tasks\{E9DB6DFC-515C-465F-93B6-7620309544EF} => Firefox.exe hxxp://ui.skype.com/ui/0/7.2.59.103/pl/abandoninstall?page=tsMain DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku Toolbar: HKU\S-1-5-21-142685641-1434691135-2110308453-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku HKU\S-1-5-21-142685641-1434691135-2110308453-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki CHR HomePage: Default -> hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki CHR StartupUrls: Default -> "hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TOSHIBA\Rejestracja gwarancji firmy Toshiba.lnk C:\Users\User\Desktop\Wszystko\tali\chrzciny Marysi\SAM_1137 — skrót.lnk C:\Users\User\Downloads\ReimageRepair.exe C:\windows\system32\Drivers\aswsp.sys.146730414592002 RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\Common Files\AV\avast! Antivirus RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\Malwarebytes RemoveDirectory: C:\Users\User\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\System32\Tasks\AVAST Software CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Podłącz internet. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

Działania do przeprowadzenia: 1. Odinstaluj zbędny Bing Bar. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {12A798CD-1EC9-4C1C-A17C-5CA771B620B6} - System32\Tasks\{75B23389-F256-4B6F-A8F7-82D9622D4D05} => pcalua.exe -a C:\Users\Mateusz\Desktop\wog\WoG_Install\Install.exe -d C:\Users\Mateusz\Desktop\wog\WoG_Install Task: {97777994-5FD0-4FD4-AF72-3F96901A7E87} - System32\Tasks\Mateusz => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Mateusz /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" HKU\S-1-5-21-1698314851-326736941-3311299484-1000\...\Run: [Mateusz] => explorer.exe hxxp://kb-ribaki.org FF Plugin HKU\S-1-5-21-1698314851-326736941-3311299484-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

Czy obecnie występują jakieś konkretne problemy i widoczne przekierowania? W raportach nie widać żadnych aktywnych oznak infekcji adware/PUP. Czyli na razie do wykonania tylko mini skrypt kosmetyczny pod kątem wpisów odpadkowych i czyszczenia tempów. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [FAStartup] => [X] S4 sptd2; System32\Drivers\sptd2.sys [X] DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\KVRT_Data RemoveDirectory: C:\Program Files (x86)\Gadu-Gadu RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\{BE2ACE5C-32B7-4777-9BDF-ECF87CDAB705} RemoveDirectory: C:\ProgramData\{FD6F83C0-EC70-4581-8361-C70CD1AA4B98} RemoveDirectory: C:\Users\Bartlomiej\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\Bartlomiej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\KISS Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Advanced SystemCare 9" /f CMD: del /q C:\Users\Bartlomiej\Desktop\ReiEditAA2.lnk CMD: del /q C:\Users\Bartlomiej\Desktop\カスタムメイド3D2.lnk CMD: type C:\Windows\System32\Tasks\CreateExplorerShellUnelevatedTask EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Problemem jest infekcja WMI, która w określonych przedziałach czasowych modyfikuje skróty wszystkich przeglądarek. Korekcja skrótów nie będzie więc trwała, dopóki nie zostanie usunięty skrypt osadzony we WMI. Prócz tego są też odpadki po chińskich niechcianych instalacjach. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj podejrzany program Online-IO. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Alchemy Studio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\ALCHEM~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://navsmart.info ShortcutWithArgument: C:\Users\Alchemy Studio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://navsmart.info ShortcutWithArgument: C:\Users\Alchemy Studio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\ALCHEM~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://navsmart.info ShortcutWithArgument: C:\Users\Alchemy Studio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://navsmart.info ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\ALCHEM~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://navsmart.info ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://navsmart.info R2 KuaiZipDrive; C:\WINDOWS\system32\drivers\KuaiZipDrive.sys [92872 2016-07-30] (WinMount International Inc) R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-07-21] (Huorong Borui (Beijing) Technology Co., Ltd.) U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath Task: {083F776B-B52A-41F6-9F00-C8501118D8E1} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {28D7820A-3BA2-40E9-858E-3046295A2E42} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {4A85E4C6-5ADD-438F-A5E6-1C987C645B43} - System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan => C:\Program Files\Microsoft Security Client\MpCmdRun.exe Task: {4BA9140F-42E4-4F14-BA6D-388F9FB4EF99} - System32\Tasks\b2929b72a96a471893ecaa9c51368bae => C:\Program Files (x86)\2j7E0C1\rzxE0E0.bat [2016-07-30] () Task: {4FA8FCEF-08B1-4712-B3BA-015DD64EA06D} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {513F3584-ADA5-4CAA-9023-46FD458BF356} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {51917499-61A4-4502-860A-273061CB7DBA} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {590993D8-F37F-4D1D-961E-6A7B944DE1FC} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {66D23134-FD89-4C2C-A068-174D24C48A4B} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {712ECAE7-8F98-4CA8-A5BE-E360BDF7617F} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {846EB02C-7843-4EAB-B3BE-C9B0896BB6E2} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {A4F538AB-607F-4751-B4BC-7A7FFD5E75A4} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {AE9A6890-9B4E-4076-A0D5-37FE2A648B35} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {B09769FD-BE7C-43A0-B543-693E70B4F42A} - System32\Tasks\OnlineIO => C:\Program Files\Online-IO\Online.exe [2016-07-21] (Microleaves Ltd) Task: {B177628C-A214-4573-8E0A-A16D5E620E8E} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {B36517B9-236D-48CE-83AC-0945D4CE0C64} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {B8274553-1CB6-4815-86B7-FC471B135DD1} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {C41F8D10-A628-4977-8DB7-EF10E6245E63} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {D2275ECE-A658-44D5-818F-5EDADCE47708} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {D7524836-BB8A-459E-9A4A-6FF769339B19} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {D7D2BA5A-4F25-4769-B565-F0DC553FAAAD} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {DA21479E-7A0C-4C24-B5B6-37816C69D021} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {E0E2E97A-1D02-4A97-AA7F-4DBEA3CF8900} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {E3172048-92D9-472B-B44D-E20BE3C9C99D} - System32\Tasks\Phujitythase Engine => C:\Program Files (x86)\Shuqogeclaale_\Phujitythaseengplb.exe Task: {E6A5DFA9-ED0B-421F-9E86-CCB5E254B41D} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: {E8CC4162-4C8A-4271-8017-78C97707E2FD} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {F44713AD-1E53-4A61-8336-BE94BE6BB97B} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {FBF98844-1063-4AE1-8737-CDF2F150EB21} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2016-07-30] () HKU\S-1-5-21-2538737369-596069251-4272499049-1000\...\Run: [sidebar] => C:\Program Files\Windows Sidebar\sidebar.exe /autoRun HKU\S-1-5-21-2538737369-596069251-4272499049-1000\...\Run: [osmsg] => C:\ProgramData\WindowsMsg\osmsg.exe /AUTORUN HKU\S-1-5-21-2538737369-596069251-4272499049-1000\...\MountPoints2: {a3d1e2af-3105-11e4-9913-806e6f6e6963} - "G:\incs4o.EXE" GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center C:\Program Files\Online-IO C:\Program Files\żěŃą C:\Program Files (x86)\2j7E0C1 C:\ProgramData\WindowsMsg C:\Users\Alchemy Studio\AppData\Local\app C:\Users\Alchemy Studio\AppData\Local\guquentligolysergeph C:\Users\Alchemy Studio\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk C:\Users\Alchemy Studio\AppData\Local\UCBrowser C:\Users\Alchemy Studio\AppData\Roaming\*.* C:\Users\Alchemy Studio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MaohaWiFi.lnk C:\Users\Alchemy Studio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk C:\Users\Alchemy Studio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacja Wyświetl mój ekran\Przykładowy plik konfiguracyjny.lnk C:\Windows\ehome C:\WINDOWS\system32\drivers\KuaiZipDrive.sys C:\WINDOWS\system32\drivers\ucguard.sys C:\WINDOWS\system32\Drivers\etc\hp.bak C:\Windows\system32\Tasks\Microsoft\Windows\Media Center Folder: C:\Users\Alchemy Studio\AppData\Local\Apps\2.0 Zip: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Native Instruments\Service Center\Native Instruments Homepage.lnk CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt. Na Pulpicie powstanie też plik Upload.zip, shostuj go gdzieś i podaj link do paczki.

Ten proces o którym mówisz to podróbka Realtek, uruchamia się via Harmonogram z folderu ... Avast: Task: {E30BE303-0ECD-48AC-881F-8D574C73610A} - System32\Tasks\Realtek HD Audio => C:\Users\Fig\AppData\Roaming\AVAST Software\Realtek HD\rthdcpl.exe [2016-07-23] (Realtek) 2016-07-23 21:07 - 2016-07-23 21:07 - 00279955 _____ () C:\Users\Fig\AppData\Roaming\AVAST Software\Realtek HD\libidn-11.dll 2016-07-23 21:07 - 2016-07-23 21:07 - 00113166 _____ () C:\Users\Fig\AppData\Roaming\AVAST Software\Realtek HD\zlib1.dll Konstrukcja wpisu i objawy sugerują typ Bitcoin miner. Przypuszczalna droga nabycia to jakiś crack. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {E30BE303-0ECD-48AC-881F-8D574C73610A} - System32\Tasks\Realtek HD Audio => C:\Users\Fig\AppData\Roaming\AVAST Software\Realtek HD\rthdcpl.exe [2016-07-23] (Realtek) S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] S3 EverestDriver; \??\F:\Potrzebne\Instalki\Programy\ewerest\kerneld.amd64 [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-21-1636404970-671201596-126257068-1000\...\MountPoints2: {f7e90b9f-a1b7-11e5-9a82-f0795990e8cb} - K:\Startme.exe HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Temp Folder: C:\Users\Fig\AppData\Roaming\AVAST Software C:\Users\Fig\AppData\Roaming\AVAST Software\Realtek HD C:\Windows\SysWOW64\*.tmp Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Owszem, ucguard jest widoczny, ale zacinanie może mieć związek z tym, że zainstalowałeś Kaspersky, podczas gdy w systemie działa niepoprawnie i pozornie odinstalowany McAfee. Działania do przeprowadzenia: 1. Zastosuj McAfee Consumer Product Removal Tool. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-07-04] (Huorong Borui (Beijing) Technology Co., Ltd.) S1 mdzojgae; \??\C:\WINDOWS\system32\drivers\mdzojgae.sys [X] Task: {199D7CF9-7F7A-453D-AE3D-405D03BFFEED} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {26F49C7C-B692-4B81-80F9-88AF1176BE74} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {2C18C91E-FF74-49DF-A941-579E326C5469} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {3ADE4205-98F0-4B45-AB16-D5FA533B8579} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {4006BFA1-A18F-4760-A728-DCA20E053FD4} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: {534E37E7-2245-4E70-A8DA-26A0C9A18323} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {65C4FABC-6D4F-4105-A4FE-717F21A43C45} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {6A276A9F-FC2F-440A-8524-3B54D3BC433D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {81E97E4C-51FE-4253-818B-55BFF6D2CD24} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {85EDF810-7958-47E6-B125-BC7471F17657} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {975A2AB5-CEB4-4B4A-87FA-1FC7C414F750} - System32\Tasks\Chromium => C:\Users\AUCHAN~1\AppData\Local\Chromium\APPLIC~1\440238~1.0\INSTAL~1\UNINST~1.EXE Task: {A9E80FA1-E5D9-447F-A393-98C4FE1CE5F8} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {F406F6BC-4DFE-4A14-B63F-46026434E6CB} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {FB8F21FF-1614-4B7E-8C37-FB32E87BD4D6} - \AutoKMS -> Brak pliku Task: C:\WINDOWS\Tasks\Chromium.job => C:\Users\AUCHAN~1\AppData\Local\Chromium\APPLIC~1\440238~1.0\INSTAL~1\UNINST~1.EXE Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe HKLM\...\Policies\Explorer\Run: [btvStack] => C:\Program Files (x86)\Qualcomm Atheros\Bluetooth Suite\BtvStack.exe ShellIconOverlayIdentifiers: [JzShlobj] -> {7B286609-DA97-47E1-AC6B-33B8B4732C95} => Brak pliku CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-3925212489-2423934052-125047453-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki SearchScopes: HKU\S-1-5-21-3925212489-2423934052-125047453-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2014-03-03] (Microsoft Corporation) C:\Program Files\żěŃą C:\Program Files (x86)\2feEC09 C:\Program Files (x86)\Huorong C:\Program Files (x86)\mozilla firefox\plugins C:\Users\Auchan 2014\AppData\Local\Tempfolder C:\Users\Auchan 2014\AppData\Local\hehesevuluiedfebt C:\Users\Auchan 2014\AppData\LocalLow\Company C:\Users\Auchan 2014\AppData\LocalLow0101EFA0 C:\Users\Auchan 2014\AppData\Roaming\*.* C:\Users\Auchan 2014\AppData\Roaming\Gokmytra C:\Users\Auchan 2014\AppData\Roaming\Opera Software C:\Users\Auchan 2014\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Public\Desktop\My Software Deals.url C:\Users\Public\Desktop\Your Software Deals.url C:\WINDOWS\system32\vig C:\WINDOWS\system32\Drivers\hrfwdrv.sys C:\WINDOWS\system32\Drivers\hrwfpdrv.sys C:\WINDOWS\system32\Drivers\ucguard.sys C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\SysWOW64\kz.exe C:\WINDOWS\SysWOW64\Number of results RemoveDirectory: C:\Users\TEMP Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Wyeksportuj zakładki i zamknij Firefox. Klawisz z flagą Windows + R i w polu Uruchom wklej poniższą komendę. Skasuj wszystkie widoczne profile i załóż nowy. "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p Google Chrome: Jest ustawiony dziwny profil (kzculttovushclqerse) jako domyślny. Ustawienia > karta Ustawienia > Osoby > załóż nowy profil i się na niego zaloguj, okno poprzedniego zamknij, następnie wróć do w/w ustawień i skasuj poprzedni profil. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy jest poprawa.

Należało zalogować się do panelu opłat zgodnie z wytycznymi na planszy okupu. Niestety z tego co wyczytałam już zrobiono "reset" systemu i skończyło się rozdawanie kluczy za darmo.

Rzecz w tym, że nie było w FRST żadnych zmian i skrypt używany do tej funkcji pozostał niezmieniony. Farbar nie mógł tego w ogóle zreprodukować i raczej obstawiał coś w naszych systemach, bo defekt występował tylko na jednym koncie Windows (tak, u mnie też). Koniec końców był zdziwiony wynikami do których doszłam i nie potrafił tego wyjaśnić.

Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki. Wydzielone w osobny temat. Dostarcz obowiązkowe logi z FRST, jak wyszczególnione w zasadach.

damascus7 Upłynął miesiąc, brak odpowiedzi, więc temat zamykam. romand Tę kwestię objaśnia odpowiedź tutaj: KLIK.