picasso

Poboczne działania do wdrożenia: 1. Odinstaluj Logitech Desktop Messenger. To firmowy "śmieć", odpowiedzialny za produkcję newsów. Od razu też zaktualizuj Adobe Flash Player 21 NPAPI, link w przyklejonym: KLIK. 2. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 3. Drobny skrypt kosmetyczny usuwający puste wpisy i czyszczący Temp. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [AO Link Server] => C:\Program Files (x86)\ASUS\AI Suite III\Mobo Connect\ALRun.exe -start HKU\S-1-5-21-3532491921-2668913716-1004277442-1000\...\MountPoints2: {4ea7d54a-d3ed-11e5-a068-806e6f6e6963} - E:\.\Bin\Instv2.exe SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKU\S-1-5-21-3532491921-2668913716-1004277442-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe raporty FRST zbędne.

Skrypt FRST wykonany pomyślnie. Przez SHIFT+DEL (omija Kosz) skasuj z dysku folder C:\FRST oraz sam FRST i jego logi z folderu G:\Pobrane\Bezpieczeństwo. Wyczyść też foldery Przywracania systemu: KLIK.

Działania do przeprowadzenia: 1. Odinstaluj stare wersje i niepożądany pasek AVG: Adobe Reader XI - Polish, AVG SafeGuard by Ask, Java 8 Update 73. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {155A0695-2487-4686-9531-02F01964564A} - System32\Tasks\TidemarksBullockV2 => Rundll32.exe DisinheritsForeyard.dll,main 7 1 <==== UWAGA Task: {3782123C-5876-4A90-969A-15D25009CD3A} - System32\Tasks\{B950DD57-EC00-4D05-8E23-971D9786E548} => pcalua.exe -a C:\Users\Michał\Downloads\alienshooter_trial.exe -d C:\Users\Michał\Downloads Task: {5B5B2E17-C3B8-471F-9993-418DCF690E80} - System32\Tasks\{F5E9361F-4E96-4181-AF42-CDFADB7D7804} => pcalua.exe -a M:\Gry\Stronghold\autoplay.exe -d M:\Gry\Stronghold Task: {8582D5A8-2CE0-4B4D-9220-CC818A55507A} - System32\Tasks\{93806613-FBB0-48C8-82BA-CA89EF420E00} => pcalua.exe -a C:\Users\MICHA~1\AppData\Local\Temp\$PowerISO$\setup.exe -d M:\Gry\Stronghold Task: {8F4C386C-5029-4BD1-8B7F-85DDC69CAFD6} - System32\Tasks\Remediation\AntimalwareMigrationTask => C:\Program Files\Common Files\AV\Norton Internet Security\Upgrade.exe [2015-07-27] (Symantec Corporation) Task: {FFCEFF7F-5FA7-48E9-8766-28AFBFE199DA} - System32\Tasks\{0E456BD2-66AB-42D1-B8CC-8B0B9670785F} => pcalua.exe -a "D:\OtherDriver\Intel SCT\Setup.exe" -d "D:\OtherDriver\Intel SCT" -c -s ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku Toolbar: HKLM - Brak nazwy - {41564753-5033-2D53-4700-7A786E7484D7} - Brak pliku Toolbar: HKLM-x32 - Brak nazwy - {41564753-5033-2D53-4700-7A786E7484D7} - Brak pliku FF DefaultSearchEngine: Yahoo! FF SelectedSearchEngine: Yahoo! R4 IOMap; \??\C:\Windows\system32\drivers\IOMap64.sys [X] S3 MSICDSetup; \??\D:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] S1 prodrv06; \SystemRoot\System32\drivers\prodrv06.sys [X] DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Michał^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 2.4.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Flvto Youtube Downloader DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Remediation DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions C:\Program Files\Common Files\AV\Norton Internet Security C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR C:\Users\Michał\AppData\Local\TidemarksBullock C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Alien Shooter Demo C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder C:\Users\Michał\Desktop\Nowy folder\DVDVideoSoft Free Studio.lnk C:\Windows\pss\OpenOffice.org 2.4.lnk.Startup C:\Windows\System32\Tasks\Remediation EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome z przekierowań Ask (od paska AVG): Zresetuj synchronizację (o ile włączona): Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzeia trzeba będzie włączyć ponownie. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wyszukiwarkę Ask (o ile widoczna). 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Nie zaznaczaj opcji Lista BCD. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. Na temat roli procesu dllhost: KLIK. Nasuwa się pytanie jaki rodzaj plików graficznych / multimedialnych jest w tych folderach do których wchodzisz. Dodatkowo, co to oznacza "komputer się wyłącza", tak jakby odcięto zasilanie czy też automatyczny restart? PS. Nieaktualizowany Windows, stoi stara niewspierana już wersja IE8. Dodatkowo, zmanipulowana aktywacja miernej jakości crackiem (modyfikującym systemowe pliki), Dziennik zdarzeń w kółko męczy błędy wynikające z zastosowania cracka: Dziennik Aplikacja: ================== Error: (06/19/2016 01:01:15 AM) (Source: Winlogon) (EventID: 4103) (User: ) Description: Aktywacja licencji systemu Windows nie powiodła się. Błąd 0x00000000. Error: (06/19/2016 01:01:15 AM) (Source: Software Protection Platform Service) (EventID: 8198) (User: ) Description: Wystąpił błąd aktywacji licencji (slui.exe), kod błędu: 0x800401F9 Dziennik System: ============= Error: (06/18/2016 11:01:43 PM) (Source: Service Control Manager) (EventID: 7031) (User: ) Description: Usługa Ochrona oprogramowania niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. W przeciągu 120000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie.

Ale upewnij się, że to wszystko co było do instalacji. Po pierwszej rundzie aktualizacji mogą być wykryte kolejne, a potem kolejne. I czy Internet Explorer 11 zosatał pomyślnie wykryty i zainstalowany?

Avira wykryła w katalogu tymczasowym jakieś dwa nie do końca pobrane pliki (*.part), oceniając po nazwie zagrożenia być może był to instalator zawierający adware. Nic czym miałbyś się przejmować. To nie może mieć związku z samoczynnymi restartami.

Kolejne podejście: 1. Odinstaluj stare programy: Adobe AIR, Adobe Reader X (10.1.16) - Polish, Gadu-Gadu 10, McAfee Security Scan Plus, Real Alternative 2.0.1, Tlen.pl, Windows Media Player Firefox Plugin. 2. Skorzystaj z narzędzia SPTDinst, by usunąć odpadkowy sterownik SPTD: KLIK. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {2D4D9BE8-FFB1-46B6-B3F7-EFF1AA762C41} - System32\Tasks\{9D472D73-0427-4065-B5B6-DF464003042A} => pcalua.exe -a C:\Users\oem\Downloads\eMule0.49c-Installer2(dobreprogramy.pl)(4).exe -d "C:\Program Files\Mozilla Firefox" Task: {33E48D0E-74A9-4B9C-9373-3BEE15ECF2D3} - System32\Tasks\{C6FC1C1F-76F9-4A4F-B00B-B715923248BA} => pcalua.exe -a I:\Setup.exe -d I:\ Task: {380A623B-0272-4DD9-B87A-116A35AC290C} - System32\Tasks\Opera D5 => C:\Program Files\Opera\launcher.exe Task: {3AF1A8C9-966F-4B94-97F1-151C7A20E232} - System32\Tasks\{C546E273-D14F-499E-914E-3FD4D6573B5A} => pcalua.exe -a C:\Users\oem\Downloads\eMule0.49c-Installer2(dobreprogramy.pl).exe -d "C:\Program Files\Mozilla Firefox" Task: {4176E6CD-46C2-47E3-882C-D801122242E4} - System32\Tasks\Opera D4 => C:\Program Files\Opera\launcher.exe Task: {45F87CFF-662A-421D-8CC1-3BDBA823D45D} - System32\Tasks\{C38E3714-766D-4059-A10A-3BBCEF7776F8} => Firefox.exe hxxp://www.skype.com/go/downloading?source=installer&ver=7.18.85.111&LastError=-9 Task: {4CCDBA6F-9B98-4541-A6E1-451FA2D7D766} - System32\Tasks\{51F7F487-D4B1-4EF5-9E99-523E488F2BFF} => pcalua.exe -a I:\Setup.exe -d I:\ Task: {557CF935-1175-48E4-9AC3-D8AD8D0352A0} - System32\Tasks\LaunchSignup => C:\Program Files\MyPC Backup\Signup Wizard.exe Task: {652CED9F-ABA2-4258-B80D-2C9D10A0157A} - System32\Tasks\e-pity2012_styczen => H:\Ja\e-pity2012\signxml.exe Task: {7DF65177-6A22-4D8F-81FF-6955C807B369} - System32\Tasks\{D59FFDC8-4173-4841-A1DA-C04A4713D9B5} => pcalua.exe -a C:\Users\oem\Downloads\bgg(dobreprogramy.pl).exe -d "C:\Program Files\Mozilla Firefox" Task: {87286AD1-77AB-474A-8287-04D0C8DE999C} - System32\Tasks\{8591C917-4F77-41E0-8AA2-B7C3B187ED72} => pcalua.exe -a C:\Users\oem\Downloads\eMule0.50a-Installer1_[www.instalki.pl].exe -d "C:\Program Files\Mozilla Firefox" Task: {8CAA4EAB-562C-4588-8204-16AADA32C736} - System32\Tasks\{692D0B9B-8B2A-45F9-9D09-3207B8164D8A} => Firefox.exe hxxp://ui.skype.com/ui/0/7.24.0.104/pl/abandoninstall?page=tsProgressBar Task: {9E73AD72-B6D5-4976-8852-1E4300759302} - System32\Tasks\{BFB11901-9B10-40C0-B2F5-22CF702E2207} => pcalua.exe -a C:\Users\oem\Downloads\7z465(2).exe -d "C:\Program Files\Mozilla Firefox" Task: {ACA175B9-B474-45C2-9B92-1FAEE73906BD} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{F42D1834-37B1-4680-93C9-C5B2374EFB8A}.exe Task: {B568CF89-3CF4-492F-A94A-3B79FB58811E} - System32\Tasks\{31F99992-0242-4F59-9319-CFEC2233E7AE} => pcalua.exe -a C:\PROGRA~1\FREE-D~1.NET\UNWISE.EXE -c C:\PROGRA~1\FREE-D~1.NET\INSTALL.LOG Task: {B6A8A52C-CAE7-4177-9EA3-B9F3B91EDF7B} - System32\Tasks\e-pity2012_kwiecien => H:\Ja\e-pity2012\signxml.exe Task: {C62496AA-7462-40FF-B43E-991E5C4EE519} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\Windows\TEMP\{BFC43E12-E489-4B2B-B41E-D8AE6693F88F}.exe Task: {DE3B1303-76B7-4D00-AC96-AB0FFB8730F3} - System32\Tasks\{90CA24E5-0475-45D7-8791-AECB3693AF8E} => pcalua.exe -a "H:\ Files\Edgard\Profesor Henry 6.0 Słownictwo\unins000.exe" Task: {E1E3955D-6403-4CEA-9FFB-1668EE6BE0E4} - \Funmoods -> Brak pliku Task: {E694FDBE-70BD-4AF5-A065-EF49E5B44553} - System32\Tasks\Opera D2 => C:\Program Files\Opera\launcher.exe Task: {F6093EE7-C749-40B4-BD3B-6F3F36C7BA6C} - System32\Tasks\{8604B5C5-8F35-4703-8684-5FC7AD7AA2C6} => pcalua.exe -a C:\Users\oem\Downloads\eMule0.49c-Installer2(dobreprogramy.pl)(2).exe -d "C:\Program Files\Mozilla Firefox" Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\Windows\TEMP\{BFC43E12-E489-4B2B-B41E-D8AE6693F88F}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{F42D1834-37B1-4680-93C9-C5B2374EFB8A}.exe S2 AVTasks2; C:\PROGRA~1\ArcaBit\Common\ARCATA~1.EXE [X] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia FF Plugin: @java.com/DTPlugin,version=10.67.2 -> C:\Program Files\Java\jre7\bin\dtplugin\npDeployJava1.dll [brak pliku] FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = BHO: Brak nazwy -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> Brak pliku Toolbar: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001 -> Brak nazwy - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - Brak pliku Toolbar: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001 -> Brak nazwy - {32099AAC-C132-4136-9E9A-4E364A424E17} - Brak pliku Toolbar: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001 -> Brak nazwy - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - Brak pliku Toolbar: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001 -> Brak nazwy - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - Brak pliku Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - Brak pliku CustomCLSID: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001_Classes\CLSID\{16F3DD56-1AF5-4347-846D-7C10C4192619}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001_Classes\CLSID\{2916C86E-86A6-43FE-8112-43ABE6BF8DCC}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001_Classes\CLSID\{4DF0C730-DF9D-4AE3-9153-AA6B82E9795A}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001_Classes\CLSID\{920E6DB1-9907-4370-B3A0-BAFC03D81399}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001_Classes\CLSID\{99FD978C-D287-4F50-827F-B2C658EDA8E7}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001_Classes\CLSID\{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001_Classes\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}\InprocServer32 -> Brak ścieżki do pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\ProgramData\*.* C:\ProgramData\Microsoft\Windows\GameExplorer\{46929376-4A74-45AE-AFE9-58FCE6A836FD} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AC3Filter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ares C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BitTorrent (SHAD0W's Experimental) C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cafe News C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DAEMON Tools Lite C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eMule C:\ProgramData\Microsoft\Windows\Start Menu\Programs\e-pity\e-pity 2012.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\e-pity\e-pity2010.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\e-pity\Odinstaluj e-pity 2010.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\e-pity\Odinstaluj e-pity 2012.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grupa IMAGE\Skrzyżowania C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grupa IMAGE\Testy B 2011 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LimeWire C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Projektuj i Kupuj 3D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Warcraft III C:\Users\Default\AppData\Roaming\TuneUp Software C:\Users\oem\AppData\Local\*.dat C:\Users\oem\AppData\Local\Microsoft\Windows\GameExplorer\{F4522413-3019-4953-BB55-AD24E7D8E9C0} C:\Users\oem\AppData\Local\Microsoft\Windows\GameExplorer\{EFCB1803-5727-4716-B43F-4E7EBBB74EFC} C:\Users\oem\AppData\Local\Microsoft\Windows\GameExplorer\{C64D08ED-8FDB-4857-9BF7-301C9F141B57} C:\Users\oem\AppData\Local\Microsoft\Windows\GameExplorer\{B4D7F2B2-C966-4A1D-A8BD-68F9DEE7388B} C:\Users\oem\AppData\Local\Microsoft\Windows\GameExplorer\{7DC64953-9EF7-44A8-9D73-187E026F4AE6} C:\Users\oem\AppData\Roaming\*.exe C:\Users\oem\AppData\Roaming\AutoUpdate C:\Users\oem\AppData\Roaming\AVG2014 C:\Users\oem\AppData\Roaming\Babylon C:\Users\oem\AppData\Roaming\DAEMON Tools C:\Users\oem\AppData\Roaming\DAEMON Tools Lite C:\Users\oem\AppData\Roaming\Desktopicon C:\Users\oem\AppData\Roaming\eMule C:\Users\oem\AppData\Roaming\F-Secure C:\Users\oem\AppData\Roaming\Funmoods C:\Users\oem\AppData\Roaming\LimeWire C:\Users\oem\AppData\Roaming\Listonosz C:\Users\oem\AppData\Roaming\maxup C:\Users\oem\AppData\Roaming\mystartsearch C:\Users\oem\AppData\Roaming\Onet C:\Users\oem\AppData\Roaming\OpenFM C:\Users\oem\AppData\Roaming\Opera Software C:\Users\oem\AppData\Roaming\pl.com.bebiko.widgetbebiko.35EA91C6F98F4F5A01FBE12E388378AD6D359940.1 C:\Users\oem\AppData\Roaming\Systweak C:\Users\oem\AppData\Roaming\temp C:\Users\oem\AppData\Roaming\TuneUp Software C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gadu-Gadu 10.lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gadu-Gadu.lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Get OpenOffice.org.lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Natalia — skrót (2).lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Natalia — skrót.lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Nowy folder (3) — skrót.lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\OpenFM.lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Pakiet Microsoft Office – 60-dniowa wersja próbna. (*).lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\PITy 2009.lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Rockstar Games Social Club (2).lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Rockstar Games Social Club.lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\The Settlers7 — skrót.lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\zamowienie2a — skrót (2).lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\zamowienie2a — skrót.lnk C:\Users\oem\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\eBay.lnk C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\FLV Player FLV Player.lnk C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\FLV Player Uninstall FLV Player.lnk C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\e-pity.lnk C:\Users\Public\Desktop\AVG 2012.lnk C:\Users\Public\Desktop\e-pity2010.lnk C:\Users\oem\Desktop\Nowy folder (2)\The Settlers7 — skrót.lnk C:\Users\oem\Desktop\Pliki\Continue Image Signature installation.lnk C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\System32\roboot.exe C:\Windows\system32\sqlite3.dll CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

Do zrobienia nadal: deinstalacja starych wersji, usunięcie poniższych martwych wpisów (a katalog ChromeDefaultData od profilu utworzonego przez adware) i immunizacji Spybota, błędnego wpisu w Hosts. Task: {2A5500BA-79C6-4A48-B62F-136BD63AB579} - System32\Tasks\{7B893153-B703-4B7F-857C-822B036897B7} => pcalua.exe -a C:\Users\Patryk\Desktop\Victoria\vcr446f.exe -d C:\Users\Patryk\Desktop\Victoria Task: {3206CCA4-17E0-4C86-A0D4-8FBCDA729DC4} - System32\Tasks\{FD92FE01-D791-460E-BDCF-8E3F7CA1F566} => C:\Users\Patryk\Desktop\jre-8u60-windows-x64.exe Task: {3E4B5087-3795-45C5-92A0-DF6EC0BEE763} - System32\Tasks\{BF3F76FE-B559-4D29-A703-ACB7B0F56069} => C:\Users\Patryk\Desktop\jre-8u60-windows-x64.exe Task: {5CA38E2F-22D2-4159-A1F1-4110C59CC41A} - System32\Tasks\{B0CA3F82-662B-4985-A0C0-B550972311E2} => pcalua.exe -a G:\TMP\jre-8u71-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 Task: {7674B0E9-6FF5-4DCC-8D9B-DD8DEAC23BFA} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {873CC182-7F16-42E4-97C0-CB2806AE63D0} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {8E850216-1541-408B-946E-BF39EB73BF74} - System32\Tasks\{0762BD20-39EF-4F8D-8DB0-1D11C7BCC8C0} => pcalua.exe -a C:\PROGRA~2\BDE5SE~1\UNWISE.EXE -c C:\PROGRA~2\BDE5SE~1\INSTALL.LOG Task: {9048EB3F-021C-4CC9-9920-D7EFA08A9451} - System32\Tasks\{6E16FD4B-FB47-40F7-8CEF-0AFEBDAA00CC} => C:\Users\Patryk\Desktop\jre-8u60-windows-x64.exe Task: {A799BB2D-0A5D-4E9B-829B-AB37031CAF55} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains C:\ProgramData\Spybot - Search & Destroy C:\Users\Patryk\AppData\Local\ACCCx2_6_0_393.zip.aamdownload C:\Users\Patryk\AppData\Local\ACCCx2_6_0_393.zip.aamdownload.aamd C:\Users\Patryk\AppData\Local\Google\Chrome\User Data\ChromeDefaultData Hosts: PS. A te "szkodliwe modyfikacje polityk grup" to wyjątkowo nie w tym przypadku. Akurat w tym konkretnym przypadku to jest skutek użycia ComboFix (co widać ogólnie po określonych wpisach w raporcie). Sztucznie dorobił puste klucze. FRST ma tylko ogólną detekcję klucza polityk IE i go wykrywa, pomimo że aktywnych polityk tak naprawdę brak. Temat zamykam.

Logi wstawione. Brakuje pliku fixlog.txt z wynikami przetwarzania skryptu. Nie uruchamiaj przypadkiem skryptu ponownie. Chodzi o log, który już został utworzony przez FRST w katalogu z którego uruchamiałeś FRST. Gdy otrzymam w/w log, przejdę do poprawek. Odpowiadasz mi już w nowym poście.

Jeśli na pewno uruchamiasz Internet Explorer bezpośrednio (a nie pośrednio poprzez jakiś dodatek), a pojawia się ten błąd, to nic tu raczej nie wymyślę i trzeba będzie niestety przejść przez aktualizacje Windows Update w normalny sposób. To oznacza: długie wyszukiwanie (kilka / kilkanaście godzin) oraz obciążenie procesu svchost w momencie procesu wyszukiwania aktualizacji. Obecnie to niestety "normalne". Świeży system Windows 7 z SP1 jest niestety stary, do uzupełnienia są łaty z zakresu 2011-2016 (czyli ogromna ilość), a od końca 2015 znastąpiły zmiany w procesie wyszukiwania aktualizacji dla systemów Windows 7 i Vista, trwa ono znacznie dłużej (przypuszczalnie migracja Microsoftu na słabsze serwery, w związku z koncentracją na nowej infrastrukturze Windows 10).

W raportach nie widzę nic podejrzanego. A nie jest to aby związane z automatyczną aktualizacją Skype? Wg raportu masz włączoną usługę aktualizacji: S2 SkypeUpdate; F:\Skype\Updater\Updater.exe [324224 2016-05-23] (Skype Technologies) PS. Poboczne działania: 1. Odinstaluj stare niebezpieczne wersje: Adobe Flash Player 10 ActiveX, Apple Software Update, Obsługa programów Apple, QuickTime 7. Tak, QuickTime jest obecnie zalecany do deinstalacji, nawet przez Apple, szczegóły w przyklejonym: KLIK. Czas też myśleć o zmianie domyślnej przeglądarki z Opery 12.x. 2. Usunięcie drobnych pustych wpisów, reinstalatorów Avast SafePrice i czyszczenie Tempów. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R3 ALSysIO; \??\C:\Users\Piotr\AppData\Local\Temp\ALSysIO64.sys [X] S3 VBAudioVMVAIOMME; system32\DRIVERS\vbaudio_vmvaio64_win7.sys [X] HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PAexec => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PAexec => ""="Service" FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2016-05-10] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe raporty FRST zbędne.

Jeśli chodzi o infekcję, to loader z Harmonogramu pomyślnie usunięty, ale zdążyły się jeszcze utworzyć trzy dodatkowe foldery. Źródłem infekcji było prawdopodobnie konto Pracownik, w starcie pozostał pusty wpis "Otemf". Natomiast problem WMI muszę przemyśleć, w raporcie WmiDiag nie widzę nic szczególnego (raportowane błędy nie wyglądają na istotne, widziałam je na systemie ze sprawnym WMI)... NA KONCIE ADMIN: Otwórz Notatnik i wklej: S4 HWiNFO32; \??\C:\Users\Admin\AppData\Local\Temp\HWiNFO32.SYS [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Windows\system32\Cyvyahseaqkea RemoveDirectory: C:\Windows\system32\Doapuhveawuxidc RemoveDirectory: C:\Windows\system32\Uccykeatilxexou Folder: C:\Windows\System32\GroupPolicy\Machine Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. NA KONCIE PRACOWNIK: Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-4117495662-1774613777-2529111306-1001\...\Run: [Otemf] => C:\Users\Pracownik\AppData\Local\Otemf.exe C:\Users\Pracownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\860601ede1953e04\Google Chrome.lnk Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. I jeszcze mam pytanie czy na Pracowniku w Google Chrome nie występują aby jakieś reklamy. W spisie skrótów jeden z nich wymusza start Chrome z określonym profilem (Profile 1), jedynym zresztą. Ten skrót nie jest normalny i powinien mieć źródło w instalacji adware.

Problemem jest przestawiona data komputera: Uruchomiony przez user (administrator) LAPTOP (01-01-2006 11:31:39) Należy skorygować datę. Po korekcie daty i tak Cię czeka reinstalacja wszystkich dodatków Firefox. Znam to z autopsji. Po przestawieniu daty dodatki Firefox uzyskują stan "bez podpisu cyfrowego". Po korekcie daty nie regenerują się już i trzeba je przeinstalować. Po poprawieniu daty zrób nowe raporty FRST (wystarczy FRST.txt + Addition.txt).

Działania do przeprowadzenia: 1. Przez Dodaj/Usuń programy odinstaluj adware PriceFountain, SafeFinder oraz stare wersje Adobe AIR, Adobe Shockwave Player 12.0, Java 7 Update 71. 2. Zastosuj narzędzie SPTDinst, by odinstalować stary odpadkowy sterownik SPTD: KLIK. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 Quotenamron; C:\Documents and Settings\All Users\Dane aplikacji\\Quotenamron\\Quotenamron.exe [1106432 2016-06-18] () AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\DANEAP~1\Quotenamron\Domtom.dll => C:\Documents and Settings\All Users\Dane aplikacji\Quotenamron\Domtom.dll [257536 2016-06-18] () Task: C:\WINDOWS\Tasks\060184C3-9766-46a0-B258-F4518A0B2633.job => C:\WINDOWS\system32\cscript.exe C:\Documents and Settings\All Users\Dane aplikacji\Baidu Security\Duplicaterecord.js Task: C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job => C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Task: C:\WINDOWS\Tasks\norbertPacifismReenslavingV2.job => rundll32 exe GillerPsychotic dll HKU\S-1-5-21-725345543-1897051121-1177238915-1006\...\Run: [iSUSPM] => "C:\Documents and Settings\All Users\Dane aplikacji\FLEXnet\Connect\11\ISUSPM.exe" -scheduler HKU\S-1-5-21-725345543-1897051121-1177238915-1006\...\Run: [Akamai NetSession Interface] => "C:\Documents and Settings\norbert\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe" ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku ShellIconOverlayIdentifiers: [baiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com URLSearchHook: [s-1-5-21-725345543-1897051121-1177238915-1006] UWAGA => Brak domyślnego URLSearchHook HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://www.google.com" SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM -> Backup.Old.DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} SearchScopes: HKU\S-1-5-21-725345543-1897051121-1177238915-1006 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-725345543-1897051121-1177238915-1006 -> %SearchDefender_IESearchEngineGuid% URL = SearchScopes: HKU\S-1-5-21-725345543-1897051121-1177238915-1006 -> {19CB25E5-375B-90A4-95F6-6A95A99AD278} URL = SearchScopes: HKU\S-1-5-21-725345543-1897051121-1177238915-1006 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre7\bin\ssv.dll => Brak pliku BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre7\bin\jp2ssv.dll => Brak pliku Toolbar: HKU\S-1-5-21-725345543-1897051121-1177238915-1006 -> Brak nazwy - {192A6019-26D2-4611-AEAD-07CD7733B146} - Brak pliku DPF: {CAFEEFAC-0017-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_07-windows-i586.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab CustomCLSID: HKU\S-1-5-21-725345543-1897051121-1177238915-1006_Classes\CLSID\{1c492e6a-2803-5ed7-83e1-1b1d4d41eb39}\InprocServer32 -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll => Brak pliku S3 EagleNT; \??\C:\WINDOWS\system32\drivers\EagleNT.sys [X] S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 Lavasoft Kernexplorer; \??\C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys [X] S3 Secdrv; system32\DRIVERS\secdrv.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Documents and Settings\All Users\Dane aplikacji\6499be50.dat C:\Documents and Settings\All Users\Dane aplikacji\97b26338f16942eda570559c1c92b696_c C:\Documents and Settings\All Users\Dane aplikacji\HirezPipeError.txt C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\Baidu C:\Documents and Settings\All Users\Dane aplikacji\Baidu Security C:\Documents and Settings\All Users\Dane aplikacji\Quotenamron C:\Documents and Settings\All Users\Dane aplikacji\Quotenamrons C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{00D2D01F-CE3A-4E19-B457-2DE1B9D22F13} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{097779E3-CAA2-4EE1-A541-F09722E513C6} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{2FB24DAB-30E0-4102-84DD-5C09D6390BE5} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{37192CB8-D3D5-47B4-BF67-5F0E0E90CE59} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{5C5E0931-C0D4-4334-B456-FD77E3271E5D} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{64EB4D1B-E356-4373-89FE-A45A191B1A75} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{8DD15F62-A8E8-4308-BEE3-B17554ED7DF1} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{90540566-C5E1-4F09-A544-7C1024CA3509} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{98D4DB03-DC7D-4162-A271-9014C0C7B3A7} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{C2DAA42B-0E9A-437E-ACA5-946029139EE2} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{CA9CFBDC-D9F3-4048-892A-B6E4FA888B2B} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{CCCEEEED-7886-475C-9065-61D1E0F88998} C:\Documents and Settings\All Users\Menu Start\Programy\Otchlan 1.3 C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\BAVData C:\Documents and Settings\marzenka\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\marzenka\Menu Start\Gadu-Gadu.lnk C:\Documents and Settings\marzenka\Menu Start\Programy\Gadu-Gadu C:\Documents and Settings\natalia\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\natalia\Menu Start\Video Converter Uninstall Video Converter.lnk C:\Documents and Settings\natalia\Menu Start\Video Converter Video Converter.lnk C:\Documents and Settings\natalia\Moje dokumenty\Natalia\zdjecia\2002 - 2005r\Stacja dysków CD.lnk C:\Documents and Settings\natalia\Pulpit\Śmieci z pulpitu\AirRivals.lnk C:\Documents and Settings\natalia\Pulpit\Śmieci z pulpitu\avast! Free Antivirus.lnk C:\Documents and Settings\natalia\Pulpit\Śmieci z pulpitu\Facebook.lnk C:\Documents and Settings\natalia\Pulpit\Śmieci z pulpitu\Need for Speed™ ProStreet.lnk C:\Documents and Settings\natalia\Pulpit\Śmieci z pulpitu\OpenFM.lnk C:\Documents and Settings\natalia\Pulpit\Śmieci z pulpitu\OverTargetMarkersEditor.lnk C:\Documents and Settings\natalia\Pulpit\Śmieci z pulpitu\Pit Pro 2011.lnk C:\Documents and Settings\natalia\Pulpit\Śmieci z pulpitu\Skype.lnk C:\Documents and Settings\natalia\Ustawienia lokalne\Dane aplikacji\BAVData C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\BAVData C:\Documents and Settings\norbert\.exe C:\Documents and Settings\norbert\Dane aplikacji\*.* C:\Documents and Settings\norbert\Dane aplikacji\Baidu C:\Documents and Settings\norbert\Dane aplikacji\BavMini C:\Documents and Settings\norbert\Dane aplikacji\Mozilla C:\Documents and Settings\norbert\Dane aplikacji\PriceFountainUpdateVer C:\Documents and Settings\norbert\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Graj w League of Legends.lnk C:\Documents and Settings\norbert\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\norbert\Menu Start\Programy\Anki.lnk C:\Documents and Settings\norbert\Menu Start\Programy\Steam C:\Documents and Settings\norbert\Menu Start\Programy\Terraria C:\Documents and Settings\norbert\Menu Start\Programy\Ubisoft C:\Documents and Settings\norbert\Moje dokumenty\Pendrajw 2010-2011\ANKA\ankieta kompetencyjna wtępna gr 1-6.lnk C:\Documents and Settings\norbert\Moje dokumenty\Pendrajw 2010-2011\ANKA\ankieya końcowa kadry dla budownictwa.lnk C:\Documents and Settings\norbert\Pulpit\League of Legends.lnk C:\Documents and Settings\norbert\Ustawienia lokalne\Dane aplikacji\BAVData C:\Documents and Settings\norbert\Ustawienia lokalne\Dane aplikacji\PacifismReenslaving C:\Program Files\Common Files\Betadex C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\BdSandboxDll32.dll CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Google Chrome: - Wyeksportuj zakładki z bieżącego profilu. Następnie Ustawienia > karta Ustawienia > Osoby > Dodaj osobę > zaloguj się na ten nowy profil, zamknij okna poprzednich. Wróć do ustawień Osób i skasuj wszystkioe pozostałe widoczne profile, z wyjątkiem świeżo założonego bieżącego. 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Prosę trzymaj się konfiguracji FRST z tutejszego forum (KLIK). Opcje Lista BCD, MD5 sterowników i Pliki z 90 dni nie miały być zaznaczone. Problemem jest szkodliwe proxy. Poza tym, są też zmodyfikowane skróty LNK przeglądarek. Działania do przeprowadzenia: 1. Odinstaluj stare wersje i zbędny dodatek AVG: Acrobat.com, Adobe AIR, AVG Web TuneUp, Java 8 Update 77 (64-bit), Java 8 Update 77, Java SE Development Kit 8 Update 60, Java SE Development Kit 8 Update 91 (64-bit), Spybot - Search & Destroy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1466184213&a=1054667&src=sh&uuid=d39ba6c1-b36b-442d-b445-4ca74b45d92e" ShortcutWithArgument: C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1466184213&a=1054667&src=sh&uuid=d39ba6c1-b36b-442d-b445-4ca74b45d92e" ShortcutWithArgument: C:\Users\Patryk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1466184213&a=1054667&src=sh&uuid=d39ba6c1-b36b-442d-b445-4ca74b45d92e" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://safebrowsing.biz/?ssid=1466184213&a=1054667&src=sh&uuid=d39ba6c1-b36b-442d-b445-4ca74b45d92e" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> "hxxp://safebrowsing.biz/?ssid=1466184213&a=1054667&src=sh&uuid=d39ba6c1-b36b-442d-b445-4ca74b45d92e" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-450625639-2108557950-182894140-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-450625639-2108557950-182894140-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch FF Plugin-x32: @esn/esnlaunch,version=2.3.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.3.0\npesnlaunch.dll [brak pliku] FF Plugin-x32: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelog.dll [brak pliku] CustomCLSID: HKU\S-1-5-21-450625639-2108557950-182894140-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Patryk\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 ShellExecuteHooks: - {6710C780-E20E-4C49-A87D-321850ED3D7C} - C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Cookies\bago.dll Brak pliku [ ] GroupPolicyScripts: Ograniczenia Task: {005EE743-AA71-47B0-A4F2-9155EC6BDBE9} - System32\Tasks\{D80A972F-BC98-4AC7-9FB2-547EFE7D933F} => C:\Users\Patryk\Desktop\jre-8u60-windows-x64.exe Task: {2A5500BA-79C6-4A48-B62F-136BD63AB579} - System32\Tasks\{7B893153-B703-4B7F-857C-822B036897B7} => pcalua.exe -a C:\Users\Patryk\Desktop\Victoria\vcr446f.exe -d C:\Users\Patryk\Desktop\Victoria Task: {3206CCA4-17E0-4C86-A0D4-8FBCDA729DC4} - System32\Tasks\{FD92FE01-D791-460E-BDCF-8E3F7CA1F566} => C:\Users\Patryk\Desktop\jre-8u60-windows-x64.exe Task: {38FE411B-976C-4253-9525-C4B2116D8A30} - System32\Tasks\Better Updater => C:\Users\Patryk\AppData\Roaming\Better Updater\Better Updater.exe Task: {3E4B5087-3795-45C5-92A0-DF6EC0BEE763} - System32\Tasks\{BF3F76FE-B559-4D29-A703-ACB7B0F56069} => C:\Users\Patryk\Desktop\jre-8u60-windows-x64.exe Task: {5CA38E2F-22D2-4159-A1F1-4110C59CC41A} - System32\Tasks\{B0CA3F82-662B-4985-A0C0-B550972311E2} => pcalua.exe -a G:\TMP\jre-8u71-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 Task: {7674B0E9-6FF5-4DCC-8D9B-DD8DEAC23BFA} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {873CC182-7F16-42E4-97C0-CB2806AE63D0} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {8E850216-1541-408B-946E-BF39EB73BF74} - System32\Tasks\{0762BD20-39EF-4F8D-8DB0-1D11C7BCC8C0} => pcalua.exe -a C:\PROGRA~2\BDE5SE~1\UNWISE.EXE -c C:\PROGRA~2\BDE5SE~1\INSTALL.LOG Task: {9048EB3F-021C-4CC9-9920-D7EFA08A9451} - System32\Tasks\{6E16FD4B-FB47-40F7-8CEF-0AFEBDAA00CC} => C:\Users\Patryk\Desktop\jre-8u60-windows-x64.exe Task: {9062DB96-6D1E-46EC-AC25-26465FA86441} - System32\Tasks\Alfasistem Memory Job => C:\Program Files (x86)\Alfasistem Memory\ tmjob.exe Task: {A799BB2D-0A5D-4E9B-829B-AB37031CAF55} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: {AE393478-9156-46A4-B215-D78AE37A1F1C} - System32\Tasks\Reujosestogle Community => C:\Program Files (x86)\Reujosestogle\ReujosestogleCmmTes.exe S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 cpuz138; \??\G:\TMP\cpuz138\cpuz138_x64.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 GPUZ; \??\G:\TMP\GPUZ.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 MSICDSetup; \??\F:\CDriver64.sys [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7F341DDA-39D3-4E15-99B0-EA892DB5ED35} DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains C:\Program Files (x86)\Anonetionjse C:\Program Files (x86)\Pheqeght C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Oracle VM VirtualBox\User manual (CHM, English).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Network Monitor 3.4 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NokiaFREE Calculator C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan C:\Users\Patryk\AppData\Local\ACCCx2_6_0_393.zip.aamdownload C:\Users\Patryk\AppData\Local\ACCCx2_6_0_393.zip.aamdownload.aamd C:\Users\Patryk\AppData\Local\Google\Chrome\User Data\ChromeDefaultData C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\MinGW Installation Manager.lnk C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\RightMark Audio Analyzer CMD: netsh advfirewall reset Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj powielone rozszerzenia Fair.... Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

W raportach brak oznak infekcji. Przeklej ze skanu Avira dokładny rekord, by przedstawić jaką ścieżkę docelową wykrył skaner. O ile na dysku są pliki DMP (jednak ja nie widzę ich w skanie FRST jako świeżo utworzonych), diagnostyka autoresetów: KLIK.

Żaden z przedstawionych systemów XP nie wykazuje aktywnej infekcji powiązanej z infekcją na pendrive, tylko na pendrive są jej skutki. Dla systemów będą do wykonania tylko poboczne działania (usunięcie starych niebezpiecznych wersji programów oraz wpisów odpadkowych / pustych). Działania do przeprowadzenia: DLA PENDRIVE (SPOD DOWOLNEGO SYSTEMU): 1. Otwórz Notatnik i wklej w nim: X:\Removable Drive (2GB).lnk CMD: attrib /d /s -s -h X:\* Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Pod X:\ podstaw literę pod jąką będzie zmapowany pendrive w Moim komputerze. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Jeśli wszystko pójdzie dobrze, na pendrive uwidoczni się folder "bez nazwy". To w nim są dane ukryte przez infekcję. Przesuń wszystkie dane z tego folderu poziom wyżej, a pusty już folder "bez nazwy" przez SHIFT+DEL (omija Kosz) skasuj DLA XP (LOGI FRST Z OZNACZENIEM "000"): 1. Odinstaluj stare wersje i zbędny download produktów Autodesk: Adobe Reader 9.5.5 - Polish, Akamai NetSession Interface, Java 8 Update 45. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: SearchScopes: HKLM -> {d3f22a84-2a84-49eb-91e6-5dadaaf0165d} URL = hxxp://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=GRxdm324YYpl&ptnrS=GRxdm324YYpl&si=4124&ptb=1C14E1FE-77C3-49F8-A6E2-CC3FA5FC2510&ind=2012041709&n=77ed51ed&psa=&st=sb&searchfor={searchTerms} SearchScopes: HKU\S-1-5-21-73586283-412668190-682003330-1004 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=8B30817C-377A-4B76-B54A-86713E2E74CB&apn_sauid=3289FC9C-3D1E-43BF-9FE9-A68F98BABAA0 SearchScopes: HKU\S-1-5-21-73586283-412668190-682003330-1004 -> {d3f22a84-2a84-49eb-91e6-5dadaaf0165d} URL = hxxp://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=GRxdm324YYpl&ptnrS=GRxdm324YYpl&si=4124&ptb=1C14E1FE-77C3-49F8-A6E2-CC3FA5FC2510&ind=2012041709&n=77ed51ed&psa=&st=sb&searchfor={searchTerms} Toolbar: HKU\S-1-5-21-73586283-412668190-682003330-1004 -> Brak nazwy - {D4027C7F-154A-4066-A1AD-4243D8127440} - Brak pliku HKLM\...\Run: [sunJavaUpdateSched] => "C:\Program Files\Java\jre1.8.0_45\bin\jusched.exe" HKU\S-1-5-21-73586283-412668190-682003330-1004\...\Run: [Allway Sync 'n' Go] => "D:\Allway Sync 'n' Go\Bin\syncappw.exe" -m FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension DPF: {68282C51-9459-467B-95BF-3C0E89627E55} hxxp://www.mks.com.pl/skaner/SkanerOnline.cab CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{000C0114-0000-0000-C000-000000000046}\InprocServer32 -> C:\PROGRA~1\COMMON~1\MI => Brak pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{1EFB6596-857C-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{2C247F23-8591-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{35053A22-8589-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{44EC053A-400F-11D0-9DCD-00A0C90391D3}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{66833FE6-8583-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{6D7AE628-FF41-4CD3-91DD-34825BB1A251}\localserver32 -> C:\Program Files\Autodesk\AutoCAD Architecture 2011\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{812034D2-760F-11CF-9370-00AA00B8BF00}\InprocServer32 -> C:\PROGRA~1\COMMON~1\MI => Brak pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{8E3867A3-8586-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{B722BCCD-4E68-101B-A2BC-00AA00404770}\InprocServer32 -> C:\PROGRA~1\COMMON~1\MI => Brak pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{BDD1F04B-858B-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE32-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE33-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE34-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE35-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE36-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE37-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE38-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE39-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE3A-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE3B-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE3C-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE3D-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE3E-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE3F-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE40-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE41-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE42-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C74190B6-8589-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C92FB640-AD4D-498A-9979-A51A2540C977}\localserver32 -> C:\Program Files\Autodesk\AutoCAD Architecture 2011\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{D5DE8D20-5BB8-11D1-A1E3-00A0C90F2731}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{D70E31AD-2614-49F2-B0FC-ACA781D81F3E}\localserver32 -> C:\Program Files\Autodesk\AutoCAD Architecture 2011\acad.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{DD9DA666-8594-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{F08DF954-8592-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer DeleteKey: HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer DeleteKey: HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer C:\Documents and Settings\All Users\msqrplk.exe C:\Documents and Settings\user_2\Ustawienia lokalne\Dane aplikacji\FSDART C:\Documents and Settings\user_2\Ustawienia lokalne\Dane aplikacji\F-Secure C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten log. DLA XP (LOGI FRST Z OZNACZENIEM "002"): 1. Odinstaluj stare wersje: Adobe Flash Player 19 ActiveX, Adobe Reader X (10.1.11) - Polish, Apple Application Support, Apple Software Update, Java 7 Update 55, QuickTime. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe S3 BlueletAudio; system32\DRIVERS\blueletaudio.sys [X] S3 BlueletSCOAudio; system32\DRIVERS\BlueletSCOAudio.sys [X] S3 BT; system32\DRIVERS\btnetdrv.sys [X] S3 Btcsrusb; System32\Drivers\btcusb.sys [X] S0 BTHidEnum; System32\Drivers\vbtenum.sys [X] S0 BTHidMgr; System32\Drivers\BTHidMgr.sys [X] S3 catchme; \??\C:\avyrv5h6\catchme.sys [X] S3 USBET; system32\DRIVERS\ETdrv.sys [X] S3 VComm; system32\DRIVERS\VComm.sys [X] S3 VcommMgr; System32\Drivers\VcommMgr.sys [X] HKLM\...\Run: [NokiaMServer] => C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer /watchfiles startup GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1645522239-823518204-682003330-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia URLSearchHook: HKLM -> Domyślne = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} Toolbar: HKU\S-1-5-21-1645522239-823518204-682003330-1003 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku Toolbar: HKU\S-1-5-21-1645522239-823518204-682003330-1003 -> Brak nazwy - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - Brak pliku CustomCLSID: HKU\S-1-5-21-1645522239-823518204-682003330-1003_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [{A27F3FEF-1113-4cfb-A032-8E12D7D8EE70}] - C:\Program Files\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension FF HKLM\...\Thunderbird\Extensions: [{CCB7D94B-CA92-4E3F-B79D-ADE0F07ADC74}] - C:\Program Files\Nokia\Nokia Ovi Suite\Connectors\Thunderbird Connector\ThunderbirdExtension DeleteKey: HKLM\SOFTWARE\MozillaPlugins\@Microsoft.com/DownloadManager DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer DeleteKey: HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer DeleteKey: HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer C:\Documents and Settings\All Users\Dane aplikacji\F-Secure C:\Documents and Settings\zbyszek\Ustawienia lokalne\Dane aplikacji\FSDART C:\Program Files\mozilla firefox\browser\searchplugins C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension C:\Program Files\Nokia\Nokia Ovi Suite\Connectors\Thunderbird Connector\ThunderbirdExtension C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten log. DLA XP (LOGI FRST Z OZNACZENIEM "003"): Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\runonceex: [Flag] => 2 Toolbar: HKU\S-1-5-21-602162358-1644491937-1417001333-1003 -> Brak nazwy - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - Brak pliku CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{D5DE8D20-5BB8-11D1-A1E3-00A0C90F2731}\InprocServer32 -> Brak ścieżki do pliku DFF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: Microsoft .NET Framework Assistant - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2014-06-16] [brak podpisu cyfrowego] S2 SSPORT; \??\C:\WINDOWS\system32\Drivers\SSPORT.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten log.

Te logi wklejone do posta trzeba wymazać, sama sieczka. - By dołączyć pliki w postaci oryginalnej, kliknij przy w/w poście opcję Edytuj > Użyj pełnego edytora > jest opcja doczepiania plików. - Jeśli będziesz pisał kolejne posty, to w polu szybkiej odpowiedzi na spodzie tematu > Więcej opcji

Działania do przeprowadzenia: 1. Deinstalacje: - Wejdź do folderów C:\Program Files (x86)\MPC Cleaner + C:\Program Files (x86)\Tencent. Wyszukaj deinstalatory, z prawokliku "Uruchom jako administrator", zresetuj system. Przypuszczalnie Tencent stawi opór, niemniej spróbuj. - Przez Panel sterowania odinstaluj stare niebezpieczne wersje: Adobe AIR, Apple Software Update, Java 8 Update 25, Obsługa programów Apple, QuickTime 7. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe R2 QQPCRTP; C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCRTP.exe [301728 2016-06-16] (Tencent) S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-06-16] () R1 QMUdisk; C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QMUdisk64.sys [79160 2016-06-16] (Tencent) R2 QQSysMonX64; C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQSysMonX64.sys [138040 2016-06-16] (电脑管家) R1 softaal; C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\softaal64.sys [35128 2016-06-16] (Tencent) R3 TAOAccelerator; C:\Windows\system32\Drivers\TAOAccelerator64.sys [89464 2016-06-16] (Tencent) R1 TAOKernelDriver; C:\Windows\system32\Drivers\TAOKernel64.sys [131896 2016-06-16] (Tencent Technology(Shenzhen) Company Limited) R3 TFsFlt; C:\Windows\System32\Drivers\TFsFltX64.sys [87864 2016-06-16] (电脑管家) R1 TSDefenseBt; C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\TSDefenseBT64.sys [28984 2016-06-16] (Tencent) S3 TSSKX64; C:\Windows\System32\drivers\tsskx64.sys [38200 2016-06-16] (电脑管家) R1 TSSysKit; C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\TSSysKit64.sys [87352 2016-06-16] (电脑管家) S3 avchv; system32\DRIVERS\avchv.sys [X] S3 blNetFilter; \??\C:\Windows\system32\drivers\blNetFilter.sys [X] S2 chaekgrewegeverfierService; "C:\Program Files (x86)\Chaekgrewege\chaekgrewegeverfierService.html5" {79740E79-A383-47A7-B513-3DF6563D007F} {8C4CE252-7DB2-4F8E-8E76-BAD0E5826A83} [X] S2 dowidoly; C:\Program Files (x86)\00000000-1466095405-0000-0000-1C6F65D90B5A\jnsj8743.tmp [X] S2 rijufoze; C:\Program Files (x86)\00000000-1466095405-0000-0000-1C6F65D90B5A\hnsy9CA8.tmp [X] R4 gzflt; \??\C:\Program Files\Lavasoft\Ad-Aware Antivirus\Antimalware Engine\3.0.129.0\gzflt.sys [X] S0 ITDFNPYNFL; System32\Drivers\askProtect64.sys [X] Task: {BA4618A9-929C-42AF-B7E7-FADC626E3ADC} - System32\Tasks\Chaekgrewege Verfier => C:\Program Files (x86)\Chaekgrewege\chaekgrewegeverfierTask.exe [2016-06-15] () Task: {BDCF8747-6077-4B47-9993-C68A568AFECA} - System32\Tasks\{676C24A8-4FDB-4921-8A8C-8922F55D5CA4} => pcalua.exe -a "C:\Program Files (x86)\CleanBrowser\uninstall.exe" -c /uninstall HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM-x32\...\Run: [apphide] => C:\Program Files (x86)\badu\qq.exe HKLM-x32\...\Run: [ QQPCTray] => C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCTRAY.EXE [355296 2016-06-16] (Tencent) HKU\S-1-5-21-2770645938-1525980923-2771191637-1000\...\Run: [AdobeBridge] => [X] ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QMGCShellExt64.dll [2016-06-16] (Tencent) BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\TSWebMon64.dat [2016-06-16] (Tencent) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-2770645938-1525980923-2771191637-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ-2orCeBR-PX6VPoUWAHry7WFA2STngrnaJtVZT5DE99Djo3-wl0u1bzYdP7GQ3aF6zlsMoCc52UyIjJtv7vLGJNr0_hUI2ftKwya6DgTf2g-yY6yhbmTCT3DR1Thofbb1JsD2uo6KY70gPaArfYFTWNPyrQ,,&q={searchTerms} HKU\S-1-5-21-2770645938-1525980923-2771191637-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ-2orCeBR-PX6VPoUWAHry7WFA2STngrnaJtVZT5DE99Djo3-wl0u1bzYdP7GQ3aF6zlsMoCc52UyIjJtv7vLGJNr0_hUI2ftKwya6DgTf2g-yY6yhbmTCT3DR1Thofbb1JsD2uo6KY70gPaArfYFTWNPyrQ,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ-2orCeBR-PX6VPoUWAHry7WFA2STngrnaJtVZT5DE99Djo3-wl0u1bzYdP7GQ3aF6zlsMoCc52UyIjJtv7vLGJNr0_hUI2ftKwya6DgTf2g-yY6yhbmTCT3DR1Thofbb1JsD2uo6KY70gPaArfYFTWNPyrQ,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2770645938-1525980923-2771191637-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ-2orCeBR-PX6VPoUWAHry7WFA2STngrnaJtVZT5DE99Djo3-wl0u1bzYdP7GQ3aF6zlsMoCc52UyIjJtv7vLGJNr0_hUI2ftKwya6DgTf2g-yY6yhbmTCT3DR1Thofbb1JsD2uo6KY70gPaArfYFTWNPyrQ,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2770645938-1525980923-2771191637-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ-2orCeBR-PX6VPoUWAHry7WFA2STngrnaJtVZT5DE99Djo3-wl0u1bzYdP7GQ3aF6zlsMoCc52UyIjJtv7vLGJNr0_hUI2ftKwya6DgTf2g-yY6yhbmTCT3DR1Thofbb1JsD2uo6KY70gPaArfYFTWNPyrQ,,&q={searchTerms} CHR Extension: (Video AdBlock for Chrome) - C:\Users\Tuscioch\AppData\Local\Google\Chrome\User Data\Default\Extensions\bknbnapaddjdnbilpmlacdkjdkjmbjhd [2016-03-09] CHR Extension: (电脑管家上网防护) - C:\Users\Tuscioch\AppData\Local\Google\Chrome\User Data\Default\Extensions\ooebklgpfnbcnpokahmdidgbmlcdepkm [2016-06-16] CHR Extension: (Bazz Search) - C:\Users\Tuscioch\AppData\Local\Google\Chrome\User Data\Default\Extensions\pinhfkamckbogjgmbmdkdebbbpnmlaef [2016-06-16] CHR HKU\S-1-5-21-2770645938-1525980923-2771191637-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx ShortcutWithArgument: C:\Users\Tuscioch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Tuscioch\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Tuscioch\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Tuscioch\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% FirewallRules: [{FD847F1E-568C-439C-BE4C-990DF017F899}] => (Allow) C:\Users\Tuscioch\AppData\Local\Temp\MPCOnline\MPCDownload.exe FirewallRules: [{720ECC18-AA61-4CEB-A9F8-53D34E3EB402}] => (Allow) C:\Users\Tuscioch\AppData\Local\Temp\MPCOnline\MPCDownload.exe FirewallRules: [{81245B04-B75A-424B-B1A6-4DE6EC94D2EF}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCmgrInstallGuide.exe FirewallRules: [{512CE4C0-62B4-4378-BBCF-1E8623EC5F90}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCTray.exe FirewallRules: [{235909F9-16E6-4D68-9D40-E987012B753C}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCMgr.exe FirewallRules: [{3487CEDA-5F51-49B2-9C24-DAD19A0E7564}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCRTP.exe FirewallRules: [{A221B5FA-BBC2-4568-8A72-892E2BC662BA}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QMDL.exe FirewallRules: [{A2129534-9CF2-45C8-9318-41D0C8DCA887}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\bugreport.exe FirewallRules: [{45A44750-6C78-4F0B-BA8B-003C0F210A6B}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCFileOpen.exe FirewallRules: [{AB699F88-E7DD-41C0-8F57-D079BA848B8A}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCLeakScan.exe FirewallRules: [{35DE8337-0404-44C6-BC9F-B1AB40B47236}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPConfig.exe FirewallRules: [{B15FC6ED-1328-4AF7-907B-407BDB50848A}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCSoftMgr.exe FirewallRules: [{F4471065-5336-4303-9F46-7B779597EAF2}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\plugins\QMNetMon\QQPCNetFlow.exe FirewallRules: [{99D0D339-92D7-4CD6-A7B4-54262FFBBF93}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCBTU.exe FirewallRules: [{1769A617-27AA-4846-B96F-1FB3729E3CA8}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCClinic.exe FirewallRules: [{0336DE99-A0B4-4917-8D0A-02867257DAF4}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCLaunch.exe FirewallRules: [{0276A55C-6A84-440F-B87F-8C426BA218A3}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QMUpdate\QQPCMgrUpdate.exe FirewallRules: [{ECB2E148-2A3D-41CB-ACA6-2104CC86A480}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCSoftGame.exe FirewallRules: [{659CE565-E5B3-4BA8-9699-4C9C4E0992D9}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCSysOptimize.exe FirewallRules: [{43D8B6AF-F9DE-42E7-B017-D7C6A57CC319}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCUpdateAVLib.exe FirewallRules: [{38FDE77D-D8A3-4DFC-A5E4-60A6608F7A5B}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQRepair.exe FirewallRules: [{C374D107-B02C-4AC7-BE4F-68B69EE35A51}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\Uninst.exe FirewallRules: [{65EAF90D-54AC-4C27-9DB5-8B2F301E4DF4}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCPatch.exe FirewallRules: [{D5B9F811-5C94-49D4-AE29-D4138722328D}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\TpkUpdate.exe FirewallRules: [{172B2245-CA6B-4706-81E6-0FBE367B2C36}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QMRouterMgr.exe FirewallRules: [{99B29F6E-2C61-4058-9AA4-E58F8D449111}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QMAccountProtection.exe FirewallRules: [{CC3B1AF8-A593-41CF-949C-783ED4C88441}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QMAdBlock.exe FirewallRules: [{282B955E-C04D-44BF-914F-428D80D4756C}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe FirewallRules: [{1A8BA3A3-C2C3-4E32-A8E7-83C02FBC9DCF}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe FirewallRules: [{D8F91689-5488-4A90-87BD-7CAD6C91A8AF}] => (Allow) C:\Program Files (x86)\ADSKIP\ADSkip.exe FirewallRules: [{E613D24A-AF0A-4621-AFE6-F0BAC5EFCF9B}] => (Allow) C:\Program Files (x86)\ADSKIP\ADSkipSvc.exe AV: 电脑管家系统防护 (Enabled - Up to date) {6F9C3F92-B625-0E47-F0B1-447602EC65F5} AS: 电脑管家系统防护 (Enabled - Up to date) {D4FDDE76-901F-01C9-CA01-7F04796B2F48} DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKCU\Software\Tencent DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdobeCS6ServiceManager DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\APSDaemon DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LightScribe Control Panel DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NBKeyScan DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Tencent DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Tencent Reg: reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" /v PendingFileRenameOperations /t REG_MULTI_SZ /d "" /f CMD: for %i in ("C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\*.dll") do regsvr32 /s /u %i CMD: for %i in ("C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\*.dll") do C:\Windows\SysWOW64\regsvr32.exe /s /u %i C:\Program Files\Common Files\WinPcapNmap.exe C:\Program Files\Common Files\Tencent C:\Program Files (x86)\00000000-1466095405-0000-0000-1C6F65D90B5A C:\Program Files (x86)\badu C:\Program Files (x86)\Chaekgrewege C:\Program Files (x86)\CleanBrowser C:\Program Files (x86)\Clzghthupase C:\Program Files (x86)\Lattionmesos C:\Program Files (x86)\MPC Cleaner C:\Program Files (x86)\Tencent C:\ProgramData\adaware-installer-reboot-required.tmp C:\ProgramData\CloudPrinter C:\ProgramData\Logic Handler C:\ProgramData\Quoteexs C:\ProgramData\Tencent C:\ProgramData\TXQMPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Fraps C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ManiaPlanet C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SCi Games C:\Users\Tuscioch\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 C:\Users\Tuscioch\AppData\Local\app C:\Users\Tuscioch\AppData\Local\UCBrowser C:\Users\Tuscioch\AppData\Local\Microsoft\Windows\GameExplorer\{B2501E5E-7229-4132-B1F2-980293971595} C:\Users\Tuscioch\AppData\Roaming\*.* C:\Users\Tuscioch\AppData\Roaming\gplyra C:\Users\Tuscioch\AppData\Roaming\MCorp C:\Users\Tuscioch\AppData\Roaming\Tencent C:\Users\Tuscioch\AppData\Roaming\Microsoft\Windows\SendTo\MPC Desktop.lnk C:\Users\Tuscioch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Tuscioch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live for Speed C:\Users\Public\Desktop\Aktualności.lnk C:\Users\Public\Desktop\MPC Cleaner.lnk C:\Users\Tuscioch\Downloads\SpyHunter-Installer.exe C:\Users\Tuscioch\Downloads\SpyHunter-Installer (1).exe C:\Windows\chromebrowser.exe C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\system32\Drivers\TAOKernel64.sys C:\Windows\system32\Drivers\TAOAccelerator64.sys C:\Windows\system32\Drivers\TFsFltX64.sys C:\Windows\system32\Drivers\TSSKX64.sys C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\findit.xml Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Adware podstawiło w Google Chrome całkowicie nowy profil ChromeDefaultData. Należy go usunąć i przywrócić poprzedni, a jeśli poprzedni niedostępny to założyć całkowicie nowy. Czyli: Ustawienia > karta Ustawienia > Osoby > na liście powinien być user0 (to profil utworzony porzez adware). Jeśli to jedyna widoczna "Osoba", skorzystaj z opcji Dodaj Osobę, następnie zaloguj się na nowy profil, zamknij okno poprzedniego, w Ustawieniach skasuj "user0". 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wszystkie logi proszę wstaw jako załączniki forum, a nie na serwisach wklejkowych.

Kurcze, ta deinstalacja IE11 to był błąd. Teraz system wrócił pewnie do starej wersji IE8 - powiedz mi czy z poziomu tej wersji da się pobrać z tej strony?

Była tu usuwana infekcja z dysku C. Przywrócenie plików z E nie dotyczy tego co było robione wcześniej. Z tym że kompletnie nie wiadomo jaki był stan katalogu E:\Gry i co w nim naprawdę było. Nie. Odzyskane dane należy przenosić ręcznie.

Chyba już tu nic nie zaradzę. Skoro katalog ogołocony, a program do odzyskiwania danych znajduje częściowo nadpisane dane, to raczej nie widzę rozwiązania.

Mówisz o włączonym oknie Windows Update (tym samym które uruchamia się z Panelu sterowania)? W takim przypadku zatrzymaj proces wyszukiwania aktualizacji poprzez restart komputera. I przejdź do instalacji tej drugiej łaty.

Zrozumiałam za pierwszym razem i mówię byś to uruchomił właśnie za pomocą "Autonomiczny Instalator rozszerzenia Windows Update". Tak się otwiera pliki MSU.

aga133, na czym stoimy, czy jest już pewne że śledzenie (nie)odbywa się?