picasso

To zapewne nie ma związku z infekcją, temat zostanie przeniesiony do działu Windows (gdy pozyskam informację o jakim tu systemie w ogóle mowa). Ten komunikat występuje głównie przy uszkodzeniu pliku systemowego z grupy KnownDLLs, a sprawdzanie dysku pod kątem błędów definitywnie wskazuje, że nastąpiły jakieś naruszenia struktury plików. 1. Zostałeś skierowany do zrobienia raportu FRST, który uruchomiony z poziomu środowiska RE skanuje tę sferę i wykazuje odchyły od domyślnego układu (czyli byłoby wiadome którty plik został uszkodzony): KLIK. Raportu nie dostarczyłeś. 2. Dodatkowo, od razu możesz zapuścić skan SFC z poziomu środowiska zewnętrznego RE: KLIK.

W raportach przed formatem widać było te dwa szkodniki, wszystko nabyte z crackiem Removewat do Windows: HKU\S-1-5-21-1385842997-4188774176-3145061945-1001\...\Run: [Efdtion] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Mimi\AppData\Local\YhdtPack\fnsdyvll.dll Task: {8BCF7E78-BA0C-4BC9-82F6-C0C8CB5E5F85} - System32\Tasks\PPI Update => "hxxp://dazwindowsapps.xyz/download/index.php?mn=9995" Owszem, zalecam zmianę wszystkich haseł, gdyż nie jest wiadome co konkretnie miała na celu ta infekcja.

Akcje pomyślnie wykonane, nic już szkodliwego nie widać. Niemniej jeszcze na wszelki wypdek uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Wszystkie składniki Google Chrome zostały usunięte skryptem FRST, tzn. profil lokalny i folder globalny na dysku oraz klucze w rejestrze. Jeśli ponownie zostanie zainstalowana ta przeglądarka, należy od razu zresetować synchronizację (o ile była czynna), by zapobiec załadowaniu z serwera Google potencjalnie szkodliwych ustawień: KLIK.

Następnym razem proszę powstrzymaj się z przywracaniem programów podczas gdy czyszczenie nie zostało ukończone. To zaburza procesy. No cóż, AdwCleaner wykrywa masę składników Ace Stream Media. Log nie jest więc wiarygodny w kontekście tego, że chcesz zatrzymać ten program, użycie AdwCleaner uszkodzi go, a wykluczeń ręcznych jest tu stanowczo zbyt dużo do wdrożenia. Tymczasowo poprawnie odinstaluj Ace Stream Media, następnie zapuść AdwCleaner ponownie i tym razem zastosuj sekwencję opcji Skanuj + Usuń, dostarcz log z czyszczenia. I na razie Ace Stream Media nie instaluj ponownie, dopóki nie skończymy z czyszczeniem systemu, gdyż kolejny skaner, który mam w zamiarze zastosować może go też wykrywać... To Twoja decyzja, by używać program z adware, ja to jednak odradzam.

Na koncie Wychowawczyni poprawki: 1. Do deinstalacji także zestaw Apple: Apple Software Update, Obsługa programów Apple, QuickTime 7. Wykryte groźne luki, które nie zostaną już załatane. Apple zlikwidowało wsparcie dla Windows. 2. Otwórz Notatnik i wklej w nim: CHR HomePage: Default -> hxxp://www.istartsurf.com/?type=hp&ts=1438694748&z=8e733dbfa322d0e901494c8gbzfc7b1qdt8z8q0b5g&from=cornl&uid=HitachiXHTS543225L9A300_090206FB8F00YLG4ZEWAX DeleteKey: HKLM\SOFTWARE\Mozilla C:\Documents and Settings\Wychowawczyni\Dane aplikacji\Mozilla C:\Documents and Settings\Wychowawczyni\Ustawienia lokalne\Dane aplikacji\Mozilla C:\WINDOWS\0 C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Jakiś czas temu już się zorientowałam, że podmienili narzędzie. Wersję XP pobierzesz z przyklejonego opisu Program Install and Uninstall Troubleshooter. Konto Administrator jest wbudowane w system i nadal istnieje. Nie widać go na ekranie logowania w trybie normalnym, tylko na ekranie podczas wchodzenia w tryb awaryjny.

1. Hitman nie wykrył nic szczególnego: drobne szczątki adware, cracki Adobe, kopię FRST (fałszywy alarm) oraz ciastka. Przez SHIFT+DEL skasuj w całości te foldery: C:\ProgramData\Downloaded Installations\1.0.30.1003 C:\Users\Sławomir\Desktop\POBRANE\FRST-OlderVersion A resztę wyników potraktuj za pomocą Hitman. 2. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

1. Jeszcze przez SFIFT+DEL (omija Kosz) dokasuj z dysku ten folder: C:\Program Files (x86)\Common Files\config Skasuj także FRST i jego logi z "Nowego folderu" na Pulpicie. 2. Zastosuj DelFix, by usunął resztę składników używanych narzędzi. 3. Przeprowadź skan za pomocą Hitman Pro. Jeśli coś wykryje, dostarcz log z wynikami.

Raport z Autoruns nie jest mi potrzebny i go usuwam. FRST zawiera wszystko co potrzeba do oceny zjawiska. Niekompletny zestaw logów FRST, brak obowiązkowego raportu FRST Shortcut. Owszem, są tu aktywne komponenty adware, ale nie jest wcale wykluczone, że problem może tworzyć też ... McAfee per se. To bardzo rozbudowany i inwazyjny program, jak zresztą inne zabezpieczające tego typu. Na razie usuń adware i zobaczymy co z tego wyniknie: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware Browser-Security oraz zbędny McAfee Security Scan Plus (sponsor Adobe Flash). - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą zlikwiduj ukryte wpisy Metric Collection SDK i Metric Collection SDK 35 pozostawione po niechcianej instalacji Lenovo REACHit. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 DeskTop_F; C:\ProgramData\desktopfind\desktop154.exe [236728 2016-03-16] (DeskTopService) R2 WdMan; C:\ProgramData\owinpo\WFini.exe [562408 2016-07-04] (WFini LIMITED) R1 swsedrvr_vw_1_10_0_25; C:\Windows\System32\drivers\swsedrvr_vw_1_10_0_25.sys [57720 2015-09-22] (SS) Task: {3A7B0187-0DC2-4415-9BDE-CEEA67EE66ED} - System32\Tasks\Lenovo\REACHit Agent Update => C:\Program Files (x86)\Lenovo\REACHit\webAgent.exe Task: {4412F7B2-2736-413D-B19C-74F176B85D88} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe Task: {F9828478-FEBC-4007-ABF8-40B77EDB1FC3} - System32\Tasks\Lenovo\REACHit Agent Startup => C:\Program Files (x86)\Lenovo\REACHit\webAgent.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo Tcpip\..\Interfaces\{EFA04CBB-DEBA-446C-999A-DE3EA9AFD57F}: [DhcpNameServer] 172.131.1.171 HKU\S-1-5-21-4094207102-437010263-1326338917-1001\...\Run: [safe_urls768] => C:\Users\Dawid\AppData\Roaming\Browser-Security\s768.exe [2548944 2016-06-20] () DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKU\S-1-5-21-4094207102-437010263-1326338917-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1458220259&z=511d9771393027ecc559f98gczfweb2odo8e3o3w2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S314JA0F418424418424&q={searchTerms} HKU\S-1-5-21-4094207102-437010263-1326338917-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKU\S-1-5-21-4094207102-437010263-1326338917-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1458220259&z=511d9771393027ecc559f98gczfweb2odo8e3o3w2q&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S314JA0F418424418424&q={searchTerms} SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1445259079&from=zzgbkk123&uid=st1000lm024xhn-m101mbb_s314ja0f418424418424&z=706dcca6a14c32639173203g1z7z9wfo4w6t4ecmbw&q={searchTerms} SearchScopes: HKU\S-1-5-21-4094207102-437010263-1326338917-1001 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1445259079&from=zzgbkk123&uid=st1000lm024xhn-m101mbb_s314ja0f418424418424&z=706dcca6a14c32639173203g1z7z9wfo4w6t4ecmbw&q={searchTerms} SearchScopes: HKU\S-1-5-21-4094207102-437010263-1326338917-1001 -> {4DACED08-AD3C-41F8-A7E3-FB3DF77ACCF5} URL = Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v EADM /f C:\Program Files (x86)\WinZipper C:\ProgramData\desktopfind C:\ProgramData\DwinpD C:\ProgramData\iwinpi C:\ProgramData\owinpo C:\ProgramData\zwinpz C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Dawid\AppData\Local\Google C:\Users\Dawid\AppData\Roaming\Browser-Security C:\Users\Dawid\AppData\Roaming\eCyber C:\Users\Dawid\AppData\Roaming\WinZiper C:\Users\Dawid\AppData\Roaming\TSv C:\Users\Dawid\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk C:\Users\Dawid\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\Windows\System32\drivers\swsedrvr_vw_1_10_0_25.sys C:\Windows\System32\Tasks\Lenovo C:\Windows\SysWOW64\*.html C:\Windows\SysWOW64\_TSpm C:\Windows\SysWOW64\_tWm Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Za pomocą skryptu FRST zostały usunięte zainfekowane skróty Firefox, więc odtwórz sobie skróty ręcznie w dowolnych miejscach. Następnie uruchom Firefox i wyczyść konkretnie z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Hardware. Opis sugeruje, że prawdopodobnie uaktywnia się alert BIOS związany z temperaturą - przykładowy temat z forum Minecraft: KLIK. Wyliczasz tu "max temperatury", ale czy takie są osiągane podczas grania? PS. Logi FRST stąd usuwam, przy czym Addition.txt nawet nie był z Twojego komputera tylko omyłkowo z cudzego tematu pobrany i załączony. Logi pod kątem infekcji zostały już ocenione w drugim temacie.

Istotnie ta infekcja jest infekcją routera. W raportach FRST nie ma jednak śladów rekonfiguracji DNS na tym poziomie. Wspominasz o zmienionym haśle, ale czy również panel zarządzania jest zablokowany? Skoro wymiana routera nie załatwiła sprawy przekierowań, problem przypuszczalnie generuje któreś cache (bufor DNS i/lub cache przeglądarek). Podany powyżej skrypt do FRST dedykuje tylko jedno z miejsc (EmptyTemp:), co prawdopodobnie nie załatwi sprawy. Trzeba dodać jeszcze komendę czyszczenia bufora DNS ipconfig /flushdns. To jednak dotyczy tylko i wyłącznie komputera z Windows. Na telefonach trzeba już ręcznie zresetować ustawienia i cache, co może się sprowadzać do resetu urządzeń do ustawień fabrycznych. Czyli zamiast podanych powyżej instrukcji: 1. Konkretnie wyczyść Firefox z preferencji adware (czyszczenie dokładniejsze niż przetwarzanie tylko widocznych w raporcie FRST linii): Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Po tym dla świętego spokoju możesz jeszcze uruchomić podany AdwCleaner. 2. Skrypt do FRST o innej postaci: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction SearchScopes: HKLM -> DefaultScope {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-575411724-1307231427-2836151415-1002 -> {F7B5B76B-1F3D-401C-96D7-3B43AA21931B} URL = hxxps://uk.search.yahoo.com/search?p={searchTerms}&fr=yset_ie_syc_oracle&type=orcl_default S1 fvypgemp; \??\C:\Windows\system32\drivers\fvypgemp.sys [X] S3 GENERICDRV; \??\C:\Users\ADMINI~1\AppData\Local\Temp\pftAF85.tmp\amifldrv64.sys [X] DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird C:\ProgramData\hash.dat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UltraISO\UltraISO Readme.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UltraISO\UltraISO Revision History.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC C:\Users\dawid\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Pełne czyszczenie śmieci.lnk C:\Users\dawid\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\YAC Desktop.lnk C:\Users\dawid\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\YAC.lnk C:\Users\dawid\AppData\Roaming\Microsoft\Windows\SendTo\YAC Desktop.lnk C:\Users\Public\Desktop\YAC Desktop.lnk Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Opuszczasz ten punkt i przechodzisz do punktu 5 (raporty na koncie KUBSON). Potem poproszę o zalogowanie na konto WIK i zrobienie na nim raportów z FRST, bo są pośrednie ślady infekcji również na tym koncie, a pełne dane będą dopiero po zrobieniu logów FRST z poziomu WIKa.

Temat zamykam i przenoszę do Windows. Nic tu nie wskazywało na problem infekcji, a ten odczyt z GMER, jak również BSODy podczas skanu o niczym nie świadczą. Komentarze na przyszłość: Ten wpis był widoczny w raporcie FRST: HKU\S-1-5-21-2636166986-2793565776-1311997650-1000\...\Policies\Explorer: [DisallowCpl] 1 vs. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowCpl|1 (Malware.Trace) -> Data: @biocpl.dll,-1 -> Nie wykonano akcji. Wartość DisallowCpl, czyli ukrywanie rozszerzeń Panelu sterowania, mogła się pojawić na skutek ręcznych manipulacji lub używania jakiegoś tweakera, a nie z winy infekcji. Tu brak śladów, by to było związane z infekcją (ukryty Biometrics Control Panel). Był usuwany nie ten wpis Skype, tzn. odpowiedzialny za start Skype per se. Za aktualizacje odpowiada natomiast usługa Skype Updater niewidoczna domyślnie w raportach FRST (jest na białej liście) - dopiero po odznaczeniu Filtrowania by się pokazała. Wyłączenie usługi aktualizacji Skype w przystawce services.msc. Nikt tu już od dawna nie pracuje na raportach z OTL, przestarzałe narzędzie. Obecnie FRST zawiera skany i poprawki których nie uświadczysz w OTL.

Temat przenoszę do działu Windows, to nie infekcja. Błąd tworzy ten wpis startowy pozostawiony po bardzo starej instalacji G-Data: HKLM\...\Run: [GIS] => wscript c:\install\GIS2012\run-gd.js Przy okazji do usunięcia będą szczątki po aktualizacji systemu Windows 7 do Windows 10. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Run: [GIS] => wscript c:\install\GIS2012\run-gd.js HKU\S-1-5-21-275134807-4007656991-3357232484-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> FF HKLM\...\Firefox\Extensions: [quickprint@hp.com] - C:\Program Files\Hewlett-Packard\SmartPrint\QPExtension U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath Task: {0AA47632-AC16-40C3-A49B-755EACA1AAFA} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\WINDOWS\ehome\ehPrivJob.exe Task: {0BDA3FE3-C30A-48AE-9C66-10DF64CB5DF4} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\WINDOWS\ehome\ehrec.exe Task: {0C441505-A559-4155-BDAD-5162E4969434} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\WINDOWS\ehome\ehPrivJob.exe Task: {1241A251-6404-48FB-ADFA-17398B0FF087} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\WINDOWS\ehome\ehPrivJob.exe Task: {14519F66-39C2-43C2-A17A-882208DACF3D} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\WINDOWS\ehome\MCUpdate.exe Task: {1F9D19CC-836C-4CFF-9A86-555B3F8BCF9F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {262551B0-5265-4899-ACC4-ABBBBBAC4BEF} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\WINDOWS\ehome\ehPrivJob.exe Task: {2A8269FE-5EB5-4D63-8ECE-7DB488F6A42F} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {2AD29553-91F3-4175-9A7A-F29A7A2F8F03} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\WINDOWS\ehome\mcupdate.exe Task: {315CE024-2C61-48E2-835C-BC6103D4663D} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\WINDOWS\ehome\ehPrivJob.exe Task: {33F8E524-6B0D-457D-A961-CA6DF5E2A9E5} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\WINDOWS\ehome\ehPrivJob.exe Task: {3AAFF0BC-8261-4707-94C1-4B7148B68F54} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {3B53446B-C4E1-461A-9A68-5CE6033F7286} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {3F16455D-1899-433F-AE82-519C2946EC91} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {453285F0-FEA0-4E00-9F27-D1C83586D43C} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {5343B1FC-57F1-42C0-B479-7A4E62114F66} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {646347CE-62C8-420B-9360-E780D20A49FC} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku Task: {66B3CA89-673E-4107-911E-B5E6ABD38578} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\WINDOWS\ehome\mcupdate.exe Task: {6C5D2E43-E4B8-425A-BFD4-C6137BDE8709} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\WINDOWS\ehome\ehPrivJob.exe Task: {705BDFD9-68F2-4686-AE82-31A56A872A91} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {7B9ACBEC-6AF9-4BE1-88A3-FBCD568C38DF} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {7D8F2194-E0BE-42DD-AF1A-F4629BB4A0A9} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\WINDOWS\ehome\mcupdate.exe Task: {82B0FED8-ED46-4040-AB3C-DDA394FE5576} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\WINDOWS\ehome\ehPrivJob.exe Task: {84645161-4E44-4B33-B37A-B6959618BC76} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\WINDOWS\ehome\ehPrivJob.exe Task: {9075E1D6-C139-4215-A9BC-FB79D74E010C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {9CA77139-72DB-42FD-8A5E-EF97D86AD251} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\WINDOWS\ehome\ehPrivJob.exe Task: {A104AFFB-84EC-4807-A7DC-F9FDD540982F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {A2D83881-CEAB-4735-91EF-E25971251786} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {CEEB3441-0E8F-41E0-8D5B-6488E68D8C44} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {CFF447BE-EAF3-4CA8-A462-BAD81BFF6110} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {D43446F3-7F6D-41C9-A4F5-EFF8D621E75F} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\WINDOWS\ehome\ehPrivJob.exe Task: {D971592E-E91A-4D5E-9F98-3D0251C02349} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {ED9F0507-0367-42EF-B872-7B0C9B79595D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {EEDC66E2-46C9-40FC-B059-9B22802C0D0B} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\WINDOWS\ehome\ehPrivJob.exe Task: {F21E58DC-CCBB-429F-92B0-8B4263A2C139} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {F2EAD7EE-6EED-4120-B84C-867EC31917F3} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\WINDOWS\ehome\ehPrivJob.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\G DATA RemoveDirectory: C:\install RemoveDirectory: C:\WINDOWS\ehome RemoveDirectory: C:\Windows\System32\Tasks\Microsoft\Windows\Media Center EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Programy wykrywają składnik cracka do Office. Jest jeszcze jeden element na poziomie Harmonogramu zadań. Akcja: Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\AutoKMS.job => C:\WINDOWS\AutoKMS\AutoKMS.exe Task: C:\WINDOWS\Tasks\AVG-SSU_0516pi.job => C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_0516pi\AVG-Secure-Search-Update_0516pi.exe HKU\S-1-5-18\...\RunOnce: [FlashPlayerUpdate] => C:\WINDOWS\system32\Macromed\Flash\FlashUtil32_18_0_0_209_pepper.exe -update pepperplugin AV: avast! Antivirus (Disabled - Up to date) {7591DB91-41F0-48A3-B128-1A293FD8233D} ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-57989841-616249376-682003330-1004\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie FF Plugin: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> d:\Program Files\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [brak pliku] S1 bdftdif; \??\C:\Program Files\Lavasoft\Ad-Aware Antivirus\Firewall Engine\1.6.0.0\Drivers\bdftdif.sys [X] S3 LMouKE; System32\Drivers\LMouKE.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S2 StarOpen; Brak ImagePath DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_0516pi C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\Kamil\Dane aplikacji\TuneUp Software C:\Documents and Settings\Kamil\Dane aplikacji\Microsoft\Excel\Funkcje%20Podstawy305296380869249902\Funkcje%20Podstawy.xlsx.lnk C:\Documents and Settings\Kamil\Dane aplikacji\Microsoft\Excel\Funkcje%20dla%20Zaawansowanych305296420909380718\Funkcje%20dla%20Zaawansowanych.xlsx.lnk C:\Documents and Settings\Kamil\Dane aplikacji\Microsoft\Excel\Funkcje%20dla%20Ekspertów305296492128203396\Funkcje%20dla%20Ekspertów.xlsx.lnk C:\Documents and Settings\Kamil\Dane aplikacji\Microsoft\Excel\Wyszukiwanie305296513381550054\Wyszukiwanie.xlsx.lnk C:\WINDOWS\AutoKMS C:\WINDOWS\KMSEmulator.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Rozszerzenie 9004B to jest nowy wariant CryptXXX: KLIK / KLIK. Obecnie CryptXXX stosuje losowe rozszerzenia dla zaszyfrowanych plików. Odkodowanie tej wersji awykonalne... Zadany skrypt FRST nie adresował tego komponentu startowego infekcji: Startup: C:\Documents and Settings\Galon\Menu Start\Programy\Autostart\@F2596B8E6D73.lnk [1899-12-30] ShortcutTarget: @F2596B8E6D73.lnk -> C:\WINDOWS\system32\regsvr32.exe (Microsoft Corporation) Przedstaw plik Fixlog.txt dowodujący usunięcie pozostałych składników infekcji. Następnie zrób nowy skan FRST.

Satana szyfruje MBR oraz pliki na dysku: KLIK / KLIK. O ile MBR prawdopodobnie da się naprawić standardowymi procedurami Windows, to odkodowanie plików jest awykonalne. Jeśli chodzi o naprawę MBR, to możesz spróbować boot z DVD instalacyjnej Windows do środowiska RE: KLIK / KLIK. W Wierszu polecenia komendy: bootrec /FixMbr bootrec /FixBoot Jeśli to się uda, to Windows pomyślnie się uruchomi. Niestety problem zaszyfrowanych plików pozostanie i nie ma ratunku. Zaszyfrowane pliki można skopiować na dysk zewnętrzny na wszelki wypadek, a następnie sformatować dysk.

Nie zaznaczyłeś tej opcji w skanie. 1601-03-12 15:17 - 1601-03-12 15:17 - 0014193 _____ () C:\Documents and Settings\Janusz\Ustawienia lokalne\Dane aplikacji\!Recovery_4B9F54DAB497.html 1601-01-09 19:44 - 1601-01-09 19:44 - 0001758 _____ () C:\Documents and Settings\Janusz\Ustawienia lokalne\Dane aplikacji\!Recovery_4B9F54DAB497.txt Te pliki wskazują na infekcję CryptXXX / UltraCrypter: KLIK. Wspominasz, że dekrypter Trend Micro "odszyfrowuje", dlatego mnie interesuje czy na pewno te odkodowane zdjęcia są całe. Jeśli tak, to jakiś stary wariant CryptXXX Cię dopadł, bo najnowszy jest nie do odkodowania (tylko częściowe odkodowanie plików). A tak poza tym to temat nie jest ukończony. Jeśli nie decydujesz się na format (zalecane działanie po aktywności infekcji szyfrującej), to należałoby usunąć niebezpieczne stare wersje programów (jedna z przyczyn infekcji szyfrujących dane) oraz lewy skaner SpyHunter, a także doczyścić inne śmieci.

W raportach nie ma oznak czynnej infekcji, więc przyczyna objawów musi być inna. Na razie doczyść szczątki i śmieci: 1. Odinstaluj stare niebezpieczne wersje: Java™ 6 Update 10, QuickTime 7. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Profile 1 -> hxxp://www-searching.com/?pid=s&s=g6rzamobl11426br,5211bcfd-e537-47f0-b77f-34953afed435, CHR DefaultSearchURL: Profile 1 -> hxxp://www-searching.com/search.aspx?site=shdefault1&prd=smw&pid=s&shr=d&q={searchTerms}&s=g6rzamobl11426br,5211bcfd-e537-47f0-b77f-34953afed435, CHR DefaultSearchKeyword: Profile 1 -> www-searching.com CHR DefaultSuggestURL: Profile 1 -> hxxp://api.searchpredict.com/api/?rqtype=ffplugin&siteID=8661&dbCode=1&command={searchTerms} CHR HKU\S-1-5-21-931221518-1227756064-3671384185-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-931221518-1227756064-3671384185-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe ShellExecuteHooks: - {6710C780-E20E-4C49-A87D-321850ED3D7C} - Brak pliku [ ] HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-931221518-1227756064-3671384185-1000\...\Run: [AdobeBridge] => [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AmmyyAdmin_160C => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AmmyyAdmin_B74 => ""="Service" S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-25] () S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [X] S3 MBfilt; system32\drivers\MBfilt64.sys [X] S3 NTIOLib_1_0_3; \??\C:\Program Files (x86)\MSI\Super-Charger\NTIOLib_X64.sys [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] Task: {1C6A45AB-3ADF-4D60-A745-C3523F5A5C6F} - System32\Tasks\Fisusy Schedule => C:\Program Files (x86)\Shociph\fisusyscheduleRetught.exe Task: {C1429CBB-EFBD-4E6C-95F2-E854A7010A87} - System32\Tasks\{F16DFFD6-4FAF-43B5-B079-15579A91D23D} => pcalua.exe -a C:\Users\dmk\Desktop\AUTODATA.3.24\AUTODATA.3.24.part01.exe -d C:\Users\dmk\Desktop\AUTODATA.3.24 Task: {CD5D659E-38CD-4F15-B79A-12CB4B0F5C1B} - System32\Tasks\{FACC5D5F-1E8B-471B-AC5A-86FB0BB5629C} => pcalua.exe -a C:\Users\dmk\AppData\Roaming\do-search\UninstallManager.exe -c -ptid=cor DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BitComet DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bonus.SSR.FR12 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DownloadAccelerator DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FlickrUploadr DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\hmonitor DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\iTunesHelper DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotSD TeaTimer DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Zoner Photo Studio Autoupdate DisableService: PLAY INTERNET. RunOuc AlternateDataStreams: C:\Program Files\Common Files\System:egQwhn8jNrX6hoZrqimEHX [2104] AlternateDataStreams: C:\ProgramData\Microsoft:1dvveuj2uV2uiV8kTJ8nz6RJvc [2268] AlternateDataStreams: C:\ProgramData\Microsoft:DlWdg5jmydBNlPEQ3WVsU [2114] AlternateDataStreams: C:\ProgramData\Microsoft:mpsDZ4wc8OIhOsImsBbo4q8A [2066] AlternateDataStreams: C:\ProgramData\Microsoft:uk0UXxknS166OB8geyq4TKrS [2074] AlternateDataStreams: C:\Users\dmk\Ustawienia lokalne:ZPqEk0Frx8WPeMtlWNQAcTY3y [1962] AlternateDataStreams: C:\Users\dmk\AppData\Local:ZPqEk0Frx8WPeMtlWNQAcTY3y [1962] C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASGRAF C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PP Bilety\Pomoc do programu PP-Bilety.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PP Bilety\PP-Bilety - informacja o programie.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PP Bilety\PP-Bilety - szybki start.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PP Bilety\PP-Bilety.lnk C:\Users\dmk\AppData\Local\{*} C:\Users\dmk\AppData\Local\deterghtperjispnernupy C:\Users\dmk\AppData\Roaming\*.* C:\Users\dmk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Easy Audio Copy C:\Users\dmk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Flickr C:\Users\dmk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\dmk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks C:\Users\dmk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\XVM FULL 5.2.1 conf by DjVirusPL 0.9.0 v3 C:\Users\dmk\Documents\Adobe\After Effects CS6\User Presets\(Adobe).lnk C:\Users\dmk\Dysk Google\Dopłaty\Dopaty 2015\miesiące\luty 2015\luty 2015_001 — skrót.lnk C:\Users\dmk\Dysk Google\Dopłaty\Dopaty 2015\miesiące\luty 2015\luty 2015_002 — skrót.lnk C:\Windows\System32\results.xml C:\Windows\System32\Drivers\EsgScanner.sys C:\Windows\System32\Drivers\etc\hp.bak CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Ustawienia > karta Ustawienia > sekcja Osoby > usuń drugi profil, o ile jest tam widoczny. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\dmk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Przepraszam, nie wiem jak to się stało, że przeoczyłam ten link!? Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{14549E34-754B-4CE9-899E-66FA46EC631F}: [NameServer] 104.197.191.4 HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 Task: {3997FE43-F304-48D0-AFD9-7984A565C3AA} - \Siferckqersik Reports -> Brak pliku Task: {67DE1E14-DEBF-488B-B776-DD90B994CC54} - System32\Tasks\ttwifi => C:\Program Files (x86)\ttwifi\tiantianwifi.exe Task: {70C64021-E577-4B10-ADD2-2DE737BE4897} - System32\Tasks\Thaiphanumily Server => C:\Program Files (x86)\Helaphlwesp\thaiphanumilyserverAnoketanagusp.exe S2 thaiphanumilyserverKazijesother.exe; "C:\Program Files (x86)\Helaphlwesp\thaiphanumilyserverKazijesother.exe" {C25DA384-2010-45A4-A1ED-BFA540D4789B} {9DC74CD5-24EA-4ADE-9C42-608A8CE17116} [X] FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google C:\Program Files (x86)\DriverPack Notifier C:\Program Files (x86)\Google C:\Program Files (x86)\MPC Cleaner C:\Program Files (x86)\Opera C:\Program Files (x86)\Temp C:\ProgramData\WindowsMsg C:\Users\Magda\AppData\Local\app C:\Users\Magda\AppData\Local\atubisgerfashzgotion C:\Users\Magda\AppData\Local\csdi_monetize_120160705 C:\Users\Magda\AppData\Local\Google C:\Users\Magda\AppData\Local\gromeychejakqpuing C:\Users\Magda\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk C:\Users\Magda\AppData\Local\Opera Software C:\Users\Magda\AppData\Local\Tempfolder C:\Users\Magda\AppData\Local\tuto_monetize_120160705 C:\Users\Magda\AppData\Local\UCBrowser C:\Users\Magda\AppData\LocalLow\Company C:\Users\Magda\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A} C:\Users\Magda\AppData\Roaming\InstallationConfiguration.xml C:\Users\Magda\AppData\Roaming\Installer.dat C:\Users\Magda\AppData\Roaming\DriverPack Notifier C:\Users\Magda\AppData\Roaming\DRPNano C:\Users\Magda\AppData\Roaming\DRPSu C:\Users\Magda\AppData\Roaming\gplyra C:\Users\Magda\AppData\Roaming\Opera Software C:\Users\Magda\AppData\Roaming\Pecoa C:\Users\Magda\AppData\Roaming\UPUpdata C:\Users\Magda\AppData\Roaming\WuwtJufca C:\Windows\system32\Drivers\etc\hp.bak Folder: C:\Users\Magda\AppData\Local\Apps\2.0 CMD: ipconfig /flushdns Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: Wyeksportuj z Firefox zakładki, o ile są dostępne. Zamknij Firefox. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p Pousuwaj wszystkie profile, następnie załóż całkowicie nowy i się na niego zaloguj. 3. Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą zlikwiduj szczątek po deinstalacji Google Update Helper. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Log powinien był już bardzo krótki i zmieścić się w załączniku. Dołącz też plik fixlog.txt.

Widzę tu następujące problemy: - Różne obiekty adware. Tytułowy problem Chrome produkują polityki oprogramowania wprowadzone przez adware. Przypuszczanie załatwił Cię Asystent pobierania dobrychprogramów, gdyż w logu są ślady jego używania: KLIK. Prócz tego jeszcze wszystkie skróty Internet Explorer zostały zmodyfikowane i kierują na szkodliwy plik C:\iexplore.bat. - W Chrome masz zainstalowane niepożądane rozszerzenie Block Site marki wips.com, to w istocie spyware: KLIK. - Jest tu za dużo antywirusów, działają aktywnie Avast Premier + AVG, a na dokładkę zainstalowałeś lewy skaner wątpliwej reputacji SpyHunter. Nawiasem mówiąc, ostatnio AVG zostało przejęte przez ... Avast i dalszy los produktów AVG pod znakiem zapytania. Działania do przeprowadzenia: 1. Deinstalacje: - Poprzez Panel sterowania odinstaluj: AVG, Driver Booster 3.2, Host Service (adware), REACHit (niechciana instalacja Lenovo), SUPERAntiSpyware, SpyHunter 4, Surfing Protection. - Uruchom SpyHunterCleaner, niezależnie od tego czy deinstalacja normalną drogą się powiedzie. - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń Metric Collection SDK (to jest ukryty komponent związany z Lenovo REACHit). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3930219255-2695630370-772200818-1003\...\Run: [Host Service] => wscript "C:\Users\KUBSON.WIK-Komputer\AppData\Local\Host Service\launchall.js" HKU\S-1-5-21-3930219255-2695630370-772200818-1003\...\Run: [blueStacks Agent] => C:\Program Files (x86)\Bluestacks\HD-Agent.exe HKU\S-1-5-18\...\Winlogon: [shell] C:\Windows\Explorer.exe [3231232 2016-04-09] (Microsoft Corporation) HKU\S-1-5-19\...\Winlogon: [shell] C:\Windows\Explorer.exe [3231232 2016-04-09] (Microsoft Corporation) HKU\S-1-5-20\...\Winlogon: [shell] C:\Windows\Explorer.exe [3231232 2016-04-09] (Microsoft Corporation) HKU\S-1-5-21-3930219255-2695630370-772200818-1003\...\Winlogon: [shell] C:\Windows\explorer.exe [3231232 2016-04-09] (Microsoft Corporation) HKU\S-1-5-21-3930219255-2695630370-772200818-1003\...\Policies\Explorer: [NoSetActiveDesktop] 0 HKU\S-1-5-21-3930219255-2695630370-772200818-1003\Software\Classes\.exe: exefile => HKLM\...\Policies\Explorer: [NoSetActiveDesktop] 0 R2 dofilter; C:\Users\KUBSON.WIK-Komputer\AppData\Local\Host Service\nssm.exe [294912 2014-08-31] () [brak podpisu cyfrowego] S4 DigitalWave.Update.Service; "C:\Program Files (x86)\Common Files\DVDVideoSoft\lib\app_updater.exe" [X] S3 esgiguard; Brak ImagePath S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] Task: {01DB1219-7A70-4790-8D9E-588A99A2F28B} - System32\Tasks\{2B42C124-E31D-4BB5-91AE-A7A82CB71379} => pcalua.exe -a C:\Users\KUBSON.WIK-Komputer\AppData\Local\Temp\CM.Launcher.Win.exe Task: {358006E6-FA7A-42E4-85EC-D102558EE012} - System32\Tasks\{E1267E04-3C4D-4C06-8ACB-4713186CD098} => pcalua.exe -a C:\Users\KUBSON.WIK-Komputer\Desktop\fml-1.8-8.0.20.1023-1.8-installer-win.exe -d C:\Users\KUBSON.WIK-Komputer\Desktop Task: {3BAAD2B8-D940-4F0F-8A45-33869D3C3539} - System32\Tasks\{C85FFAC0-4CDF-42AA-B6E2-5681D7741F85} => pcalua.exe -a C:\Users\KUBSON.WIK-Komputer\Desktop\forge-1.7.2-10.12.2.1147-installer-win.exe -d C:\Users\KUBSON.WIK-Komputer\Desktop Task: {7CC14920-F7BA-46A4-8DA8-82E4A0519F2D} - System32\Tasks\Driver Booster SkipUAC (WIK) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {AA52C296-A2B7-4823-B0BA-1D2465C8BD99} - System32\Tasks\{D5F9E955-3851-4F68-813D-7900F2127C32} => pcalua.exe -a C:\Users\KUBSON.WIK-Komputer\Desktop\pbsetup.exe -d C:\Users\KUBSON.WIK-Komputer\Desktop Task: {CF6691B6-A88B-4191-B2DB-58483A6F2F3A} - System32\Tasks\AVGPCTuneUp_Task_BkGndMaintenance => C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe Task: {E09A4144-B661-417A-B851-298386D2425A} - System32\Tasks\{55AED6AD-4BF0-4E34-AD1E-383941E873D2} => pcalua.exe -a "D:\downloads\(PC) Grand Theft Auto (GTA) San Andreas + Crack + Tradução PT-BR\gta_san_andreas_br[www.gamevicio.com.br].exe" -d "D:\downloads\(PC) Grand Theft Auto (GTA) San Andreas + Crack + Tradução PT-BR" Task: {EB0DDF75-A14B-4D27-AD6B-2664A0EDFA35} - System32\Tasks\{72DA1B69-F246-475D-B194-C10245A7C608} => pcalua.exe -a "C:\Program Files (x86)\CutThePrice\mTXKYT9Pf549CX.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" "" Task: {F20DF74A-0DD3-406A-BC9F-73CDC5D0DF77} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) GroupPolicy: Ograniczenia - Chrome HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia URLSearchHook: [s-1-5-21-3930219255-2695630370-772200818-1003] UWAGA => Brak domyślnego URLSearchHook SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {FDC320A9-B4B2-491E-B140-815C11613CB6} URL = hxxp://search.yahoo.com/search?p={searchTerms} FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1453047214&a=1024132&src=sh&uuid=ab970822-1d42-472a-a22c-575b19b2dfc4" ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\WIK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\WIK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1453047214&a=1024132&src=sh&uuid=ab970822-1d42-472a-a22c-575b19b2dfc4" ShortcutWithArgument: C:\Users\WIK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\WIK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\WIK\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://esurf.biz/?ssid=1453047214&a=1024132&src=sh&uuid=ab970822-1d42-472a-a22c-575b19b2dfc4" --proxy-pac-url=hxxp://unstopp.me/wpad.dat?e244b4807981b978323017cc4e3076b54474197 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CCleaner Monitoring DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn Hamachi Ui DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MyComGames DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f C:\iexplore.bat C:\Program Files (x86)\Avira C:\Program Files (x86)\Lenovo C:\Program Files (x86)\Common Files\DVDVideoSoft C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVDVideoSoft C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lenovo C:\Users\KUBSON.WIK-Komputer\AppData\Local\Host Service C:\Users\KUBSON.WIK-Komputer\AppData\Local\Lenovo C:\Users\KUBSON.WIK-Komputer\AppData\Roaming\*.* C:\Users\KUBSON.WIK-Komputer\AppData\Roaming\Andy C:\Users\KUBSON.WIK-Komputer\AppData\Roaming\Apple Computer C:\Users\KUBSON.WIK-Komputer\AppData\Roaming\DVDVideoSoft C:\Users\KUBSON.WIK-Komputer\AppData\Roaming\GlarySoft C:\Users\KUBSON.WIK-Komputer\AppData\Roaming\DiskDefrag C:\Users\KUBSON.WIK-Komputer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunсh Intеrnеt Ехplоrеr Вrоwsеr.lnk C:\Users\KUBSON.WIK-Komputer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехplоrеr.lnk C:\Users\KUBSON.WIK-Komputer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk C:\Users\KUBSON.WIK-Komputer\Desktop\programy\DVDVideoSoft Free Studio.lnk C:\Users\KUBSON.WIK-Komputer\Downloads\*-dp*.exe C:\Users\KUBSON.WIK-Komputer\Downloads\Keygen_2.8.ace C:\Users\KUBSON.WIK-Komputer\Downloads\Setup Incl Crack.zip C:\Users\WIK\AppData\Local\LogMeIn Hamachi C:\Users\WIK\Start Menu\Programs\SpyHunter C:\Windows\Reimage.ini C:\Windows\system32\msln.exe C:\Windows\System32\Tasks\Lenovo CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Avira Browser Safety, Block site, Norton Identity Safe. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Ustawienia > karta Ustawienia > Osoby > pousuwaj wszystkie dodatkowe profile z wyjątkiem bieżącego. 4. Są w systemie dwa konta, czy konto WIK jest używane? Jeśli nie, usuń je poprzez Panel sterowania, potwierdzając usunięcie danych użytkownika z dysku. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt.

W raporcie nie ma żadnych oznak tej modyfikacji (Userinit).... Więc albo problem już rozwiązany, albo wystąpił jakiś błąd w skanie FRST. Ale owszem, są tu nadal komponenty adware. To nie jest problem powiązany z infekcją. Brakuje Ci w systemie bibliotek Visual C++ Redistributable for Visual Studio 2015 (wersja x86). Pod kątem czyszczenia z adware następujące działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {29DC2540-823C-4490-908D-42892F09908B} - System32\Tasks\Graputy Core => C:\Program Files\Woverkclerbch\graputycorejgutpule.exe [2016-07-06] () Task: {6F215DBB-8276-473D-A2F4-FD26C38F6F8B} - System32\Tasks\Pritc => C:\Users\LG\AppData\Local\Temp\00002019\casrss.exe Task: {A925A827-3B47-422F-B5DF-00BB402BCEE3} - System32\Tasks\ComputerZ-Tray => C:\Program Files\LuDaShi\ComputerZTray.exe S2 graputycorereevik.exe; C:\Program Files\Woverkclerbch\graputycorereevik.exe [720608 2016-07-06] () S3 ComputerZ; \??\C:\Program Files\LuDaShi\ComputerZ.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] NETSVC: HpSvc -> no filepath. HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction C:\Program Files\mpck C:\Program Files\Woverkclerbch C:\Program Files\{516D9F5A-D8E3-485A-838A-AE688ED07E5C} C:\Users\LG\AppData\Local\node-webkit C:\Users\LG\AppData\Local\Tempfolder C:\Users\LG\AppData\LocalLow\Company C:\Users\LG\AppData\LocalLow000D6730 C:\Users\LG\AppData\LocalLow00115B08 C:\Users\LG\AppData\LocalLow001D2A48 C:\Users\LG\AppData\LocalLow00212C98 C:\Users\LG\AppData\LocalLow002F6730 C:\Users\LG\AppData\LocalLow00391010 C:\Users\LG\AppData\LocalLow00390F48 C:\Users\LG\AppData\LocalLow00390E80 C:\Users\LG\AppData\LocalLow00390DA0 C:\Users\LG\AppData\LocalLow00342A48 C:\Users\LG\AppData\LocalLow003389B8 C:\Users\LG\AppData\LocalLow0036D0A0 C:\Users\LG\AppData\LocalLow00356730 C:\Users\LG\AppData\LocalLow004AA318 C:\Users\LG\AppData\Roaming\*.* C:\Users\LG\AppData\Roaming\Ezipduedg C:\Users\LG\AppData\Roaming\Kuaizip C:\Users\LG\AppData\Roaming\lockhomepage C:\Users\LG\AppData\Roaming\ludashi C:\Users\LG\AppData\Roaming\Softlink C:\Windows\system32\kz.exe C:\Windows\system32\Number of results C:\Windows\system32\xezs C:\Windows\system32\Drivers\64F7BC0E.sys C:\Windows\system32\Drivers\982D7CD0.sys C:\Windows\system32\Drivers\etc\hp.bak Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Jest na dysku zestaw profilów Firefox/Light. Jeden z profilów utworzyło adware GsearchFinder. Wykonaj kompleksowe czyszczenie profilów: Wyeksportuj z Light zakładki, o ile są dostępne. Zamknij Light. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: "C:\Program Files\Light\light.exe" -p Pousuwaj wszystkie profile, następnie załóż całkowicie nowy. I nie instaluj już rozszerzenia Quick Local Switcher. Powody: KLIK. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\LG\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Brakuje głównego raportu FRST.txt, proszę uzupełnij. Już po Addition widać, że będą do wdrożenia poprawki. Raporty FRST nie pomogą zdiagnozować precyzyjnie tego problemu, gdyż tyczą tylko systemu Windows. Objawy na tablecie mogą sugerować jedno z dwóch: albo jest infekcja sieci do której tablet został wpięty, albo na tablecie zainstalowała się jakaś niepożądana aplikacja. Wstępnie na tablecie sprawdź wykaz zainstalowanych aplikacji, przejdź na tryb Safe mode urządzenia i wyeliminuj wszystkie nieznane / nierozpoznawane aplikacje. W przypadku braku rezultatów klaruje się reset urządzeń do ustawień fabrycznych.

Problemem jest szkodliwe proxy: AutoConfigURL: [s-1-5-21-633836772-2943853817-3888398784-1177] => hxxp://un-stop.info/wpad.dat?08aa67c1445446be3ce71dde23aa705311644551 ManualProxies: 0hxxp://un-stop.info/wpad.dat?08aa67c1445446be3ce71dde23aa705311644551 Jeden z wpisów jest po stronie konta, ale drugi globalny. Nie jest wykluczone, że komendę resetu ustawień proxy trzeba będzie powtórzyć dwa razy, na limitowanym + na administratorze, ze względu na ograniczenia konta limitowanego. Na razie podejście na koncie limitowanym: 1. Otwórz Notatnik i wklej w nim: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Temat założony w niewłaściwym dziale. Przenoszę. Brak jakichkolwiek obowiązkowych tu danych. Dostarcz raporty z FRST.

To nie jest problem infekcji. Temat przenoszę do działu Sieci. Tu podejrzenia budzą programy zabezpieczające, czyli pakiet 360 Total Security i/lub zapora GlassWire. Skoro proste wyłączanie nie ma widocznych efektów, na próbę odinstaluj po jednym programie na raz, by sprawdzić jakie to przyniesie skutki. PS. A jeśli chodzi o "kosmetykę" poprawki w spoilerze: