picasso

aga123, ten folder F:\3156b46fa25b4a394168 wygląda normalnie. Takie foldery o losowych nazwach na dysku z największą ilością wolnego miejsca (czyli niekonieczne na C:) tworzy Windows Update w momencie rozpakowywania łat na dysk. Plik SetupUtility.exe może należeć przykładowo do instalacji .NET Framework. Jeśli to był proces od Windows Update, należało go dopuścić a nie blokować. Mnie co innego zastanawia, podałam do pobrania czystą płytę instalacyjną Windows 7 pozbawioną integracji VAIO, a tu widzę próbę uruchamiania (zbędnej) aplikacji VAIO Update. Skąd ten program się tu znalazł? Czy ręcznie go instalowałaś (i w jakim celu)?

Nie zgłaszasz żadnych problemów, więc sądzę że możemy kończyć. Usuń folder D:\FRST64. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To tyle z mojej strony.

Podstawowy zgłoszony problem rozwiązany. Dodatkowe działania: 1. Odinstaluj stare wersje (luki!): Foxit Reader, Gadu-Gadu 7.7, Nowe Gadu-Gadu, Java™ 6 Update 20, Opera 11.00, Opera 12.17, PeerBlock 1.1 (r518). Uwaga dodatkowa, za niedługo do deinstalacji będzie też Dropbox, aplikacja przestanie działać na XP: KLIK. 2. Skrypt kosmetyczny pod kątem martwych wpisów. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 EsgScanner; C:\WINDOWS\System32\DRIVERS\EsgScanner.sys [19984 2016-05-19] () HKU\S-1-5-18\...\RunOnce: [FlashPlayerUpdate] => C:\WINDOWS\system32\Macromed\Flash\FlashUtil32_17_0_0_134_pepper.exe -update pepperplugin CHR HKLM\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx SearchScopes: HKU\S-1-5-21-1060284298-1004336348-1177238915-1003 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Kornik^Menu Start^Programy^Autostart^CEF0AD98D4F1B.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Kornik^Menu Start^Programy^Autostart^CEF0AD98D4F1H.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\uTorrent DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins C:\Documents and Settings\Kornik\Dane aplikacji\Enigma Software Group C:\Documents and Settings\Kornik\Moje dokumenty\SpyHunter-Installer.exe C:\Documents and Settings\Kornik\Ustawienia lokalne\Dane aplikacji\{547E64BD-D1C6-470D-8CB3-598813043609} C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\pss\CEF0AD98D4F1B.lnkStartup C:\WINDOWS\pss\CEF0AD98D4F1H.lnkStartup C:\WINDOWS\System32\DRIVERS\EsgScanner.sys CMD: del /q C:\*Decryptor*.txt EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. Nowe skany FRST nie są potrzebne.

Temat przenoszę do działu Software, to nie jest problem infekcji. W spoilerze usuwanie śmieci adware/PUP (CHIP-Installer + BingSvc) i wpisów odpadkowych, co nie powinno mieć jednak żadnego związku z problemem gry. Dodatkowo, notowalny brak wszystkich aktualizacji Windows Update (stoi stara wersja IE8), więc postaraj się uzupełnić wszystkie ważne aktualizacje. Proponuję zgłosić się do oficjalnego supportu gry. Z raportów nic kompletnie nie wynika pod kątem opisanego problemu.

kerpal, toteż sprawdź co się stanie po jego deaktywacji. Nawiasem mówiąc, zamiast posiadanego AdBlocka polecam inny multifunkcyjny bloker, który w mojej opinii jest lepszy: uBlock Origin. Dodatkowo, jest też do niego nowy dodatek uBlock Origin WebSocket, który jest dedykowany blokowaniu specjalnego nowego typu reklam omijającego blokery (te reklamy testowały np. "dobreprogramy"). Dodatek tyczy tylko Chrome i pochodnych, na innych typach silników zbędny.

Temat przenoszę do działu Windows. Problem nie jest pochodną infekcji. I posługujesz się starą wersją FRST (25-01-2016). 1. "Uruchomienie komputera i po około 5-10 minut spowolnienie systemu w 90%" - 90% dotyczy obciążenia procesora? Jeśli tak, to czy aby nie jest to proces svchost hostujący Windows Update (prawy klik na obciążony svchost > Przejdź do usług > w podświetlonych wynikach Windows Update)? W tym przypadku do wglądu ten temat: KLIK. Aczkolwiek tu może być złożenie przyczyn, gdyż Dziennik zdarzeń notuje także wyraźne błędy silnika Windows Update: Application errors: ================== Error: (05/31/2016 12:02:12 PM) (Source: ESENT) (EventID: 104) (User: ) Description: wuaueng.dll (228) SUS20ClientDataStore: The database engine stopped the instance (0) with error (-1090). Error: (05/31/2016 12:02:12 PM) (Source: ESENT) (EventID: 492) (User: ) Description: wuaueng.dll (228) SUS20ClientDataStore: The logfile sequence in "C:\Windows\SoftwareDistribution\DataStore\Logs\" has been halted due to a fatal error. No further updates are possible for the databases that use this logfile sequence. Please correct the problem and restart or restore from backup. Error: (05/31/2016 12:02:12 PM) (Source: ESENT) (EventID: 471) (User: ) Description: wuaueng.dll (228) SUS20ClientDataStore: Unable to rollback operation #45636 on database C:\Windows\SoftwareDistribution\DataStore\DataStore.edb. Error: -614. All future database updates will be rejected. W tym kontekście rozpocznij od resetu bazy Windows Update: KLIK (narzędzie Fix It 50202 i zaznaczony "Tryb agresywny"). 2. W raporcie są też syndromy uszkodzenia plików systemowych: R2 ShellHWDetection; C:\Windows\System32\shsvcs.dll [302080 2009-07-10] (Microsoft Corporation) [File not signed] R2 ShellHWDetection; C:\Windows\SysWOW64\shsvcs.dll [247808 2009-07-10] (Microsoft Corporation) [File not signed] R2 Themes; C:\Windows\system32\shsvcs.dll [302080 2009-07-10] (Microsoft Corporation) [File not signed] R2 Themes; C:\Windows\SysWOW64\shsvcs.dll [247808 2009-07-10] (Microsoft Corporation) [File not signed] Wykonaj weryfikację sfc /scannow i dostarcz przefiltrowany raport: KLIK. PS. W spoilerze doczyszczenie mikro odpadków adware / wpisów pustych / zbędnych modyfikacji zrobionych przez ComboFix, co jest tylko pobocznym działaniem i nie ma żadnego związku z problemami.

Temat przenoszę do innego działu, to nie ma związku z infekcją. A w raportach FRST zero informacji co może być nie tak. - Jeśli problem tyczy tylko i wyłącznie Google Chrome, a nie Firefox czy systemowego IE, to sprawdź czy coś wnosi do sprawy wyłączenie wszystkich rozszerzeń przeglądarki i/lub reset jej ustawień. - Jeśli problem tyczy obojętnej przeglądarki, to temat wyląduje w dziale Sieci.

Temat przenoszę do odpowiedniejszego działu. To nie jest problem infekcji. Są wprawdzie w systemie odpadki adware oraz przekonwertowane przez adware Google Chrome do wersji developerskiej (i to mega stara wersja 36), ale one nie mają żadnego wpływu na pracę systemu i na 100% nie są przyczyną problemów. Niemniej Google Chrome będzie wymagać reinstalacji od zera ze świeżego instalatora. W momencie gdy robiłeś skan FRST (już jest nieaktualny w związku z poniższym działaniem) były tu uruchomione w tym samym czasie dwa (!) aktywne antywirusy: Avast Free Antivirus, Baidu Antivirus. Taka kombinacja mogła nawet zablokować uruchomienie systemu. Na dokładkę jeszcze aktywny sterownik sieciowy pozostawiony po deinstalacji Arcabit. Proponuję pozbyć się jeszcze tego Baidu. Nie polecam tu tej marki. Do wglądu lista programów. I po deinstalacji poboczne działania do wykonania, polegające na usunięciu innych starych programów narażających bezpieczeństwo oraz różnych odpadków: "Sterownik odzyskał sprawność" = przenoszę temat na diagnostykę do działu Hardware. Dodatkowo jeszcze są takie błędy w Dzienniku zdarzeń: Dziennik System: ============= Error: (05/29/2016 11:13:47 AM) (Source: nvstor32) (EventID: 5) (User: ) Description: Na \Device\RaidPort0 został wykryty błąd parzystości. Error: (05/29/2016 11:13:47 AM) (Source: nvstor32) (EventID: 5) (User: ) Description: Na \Device\RaidPort0 został wykryty błąd parzystości. Ponadto i zestaw sugerujący naruszenie struktury plików, choć nie wiem czy aktualne (są datowane na kwiecień): Dziennik Aplikacja: ================== Error: (04/09/2016 02:44:28 PM) (Source: Application Error) (EventID: 1005) (User: ) Description: System Windows nie może uzyskać dostępu do pliku z jednej z następujących przyczyn: problem z połączeniem sieciowym; problem z dyskiem, na którym jest przechowywany plik; problem ze sterownikami magazynu zainstalowanymi na tym komputerze; lub brak dysku. System Windows zamknął program Proces hosta dla usług systemu Windows z powodu następującego błędu. Program: Proces hosta dla usług systemu Windows Plik: Wartość błędu jest wyświetlona w sekcji Dodatkowe dane. Akcja użytkownika 1. Otwórz plik ponownie. Ta sytuacja może być przejściowym problemem, który sam się rozwiąże po ponownym uruchomieniu programu. 2. Jeśli nadal nie można uzyskać dostępu do pliku i - jest w sieci, administrator sieci powinien sprawdzić, czy nie ma problemu z siecią, i czy można skontaktować się z serwerem. - jest na dysku wymiennym, na przykład dyskietce lub dysku CD-ROM, sprawdź, czy cały dysk jest włożony do komputera. 3. Sprawdź i napraw system plików, uruchamiając program CHKDSK. Aby uruchomić program CHKDSK, kliknij przycisk Start, kliknij polecenie Uruchom, wpisz CMD, a następnie kliknij przycisk OK. W wierszu polecenia wpisz CHKDSK /F, a następnie naciśnij klawisz ENTER. 4. Jeżeli problem nie ustąpi, przywróć plik z kopii zapasowej. 5. Ustal, czy można otworzyć inne pliki na tym samym dysku. Jeśli nie, dysk może być uszkodzony. Jeśli jest to dysk twardy, skontaktuj się z administratorem lub dostawcą sprzętu komputerowego, aby uzyskać dalszą pomoc. Dodatkowe dane Wartość błędu: C0000185 Typ dysku: 0 Error: (04/09/2016 02:44:28 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Aplikacja powodująca błąd svchost.exe_wuauserv, wersja 6.0.6001.18000, sygnatura czasowa 0x47918b89, moduł powodujący błąd wuaueng.dll, wersja 7.6.7600.256, sygnatura czasowa 0x4fca8fc5, kod wyjątku 0xc0000006, przesunięcie błędu 0x000a4e9c, identyfikator procesu 0x528, godzina rozpoczęcia aplikacji 0xsvchost.exe_wuauserv0. Error: (04/07/2016 04:36:35 PM) (Source: ESENT) (EventID: 467) (User: ) Description: Windows (2368) Windows: Baza danych C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb: Indeks System_ItemTypeText415 tabeli SystemIndex_0A jest uszkodzony (0).

Instrukcje nie dotyczą dysków pracujących w innym trybie niż IDE (SATA/AHCI). W raportach nie notuję żadnych oznak infekcji czy podejrzanych modyfikacji. Do wykonania tylko poboczne działania: 1. Deinstalacja starych wersji: Adobe AIR, Adobe Reader X (10.1.16) MUI, Bonjour, Java 7 Update 67, QT Lite 2.8.0, Real Alternative 2.0.2, Shared C Run-time for x64 (odpadek po odinstalowanym McAfee). Sugeruję też pozbyć się niektórych zbędnych programów integrowanych na ASUS: ASUS WebStorage Sync Agent, AsusVibe2.0, WildTangent Games, Windows Live Essentials. 2. Kosmetyczny skrypt usuwający wpisy szczątkowe (głównie po aktualizacji ze starszego systemu do Windows 10). Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0822FD72-7BF5-4CF2-A0B3-9B83770AF577} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {0BBE6D76-EF1C-429F-A9CC-12FCC4C58919} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {249507EE-C937-4F54-9D13-724EB82F52E2} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {263E56AD-70D0-4ACE-B73F-F7DDC6BBF17C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {6CFA6A6F-D808-4566-86AE-22B9CAA48BD2} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {706626C8-E5B7-46B5-9D7C-2D429CE5C748} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {7232C008-E05D-44BF-AB26-5FEAEC740BB3} - System32\Tasks\ASUS InstantOn Config => C:\Program Files\ASUS\P4G\InsOnCfg.exe Task: {7BCE2D57-FA4C-4990-8F17-0CE2BF47E772} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {8F2A15B3-D04F-4779-A92C-5263F32E44D4} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {91B4DA52-4463-4733-BF90-DE8AA816BE44} - System32\Tasks\{5496B669-21F3-4787-9C60-1F19FC8FD39D} => pcalua.exe -a "C:\Program Files (x86)\jv16 PowerTools\jv16 PowerTools.exe" -d C:\Users\Tomaszs\Desktop Task: {9B06DE5D-6830-4F2F-84B4-DF4E2CB8C00D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {ADF7077C-9127-4AAE-A5DC-5B678918E615} - System32\Tasks\{6F21995C-B426-416C-9653-80384EB1CE33} => pcalua.exe -a C:\Users\Tomaszs\Desktop\VCDS-Lite-1.2-Installer.exe -d C:\Users\Tomaszs\Desktop Task: {D4EC014A-16F8-46C7-A9DB-D8E6658CA555} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {DDAFD3CC-AF88-449A-8BE6-56E350A55CB1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku HKLM\...\Policies\Explorer\Run: [btvStack] => C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v GoogleDriveSync /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Temat przenoszę do działu Windows, tu nie ma problemu infekcji. To nie jest żaden wirus tylko proces sterowników AMD (działa na innych uprawnieniach niż konto użytkownika): ==================== Procesy (filtrowane) ================= (AMD) C:\Windows\System32\atiesrxx.exe (AMD) C:\Windows\System32\atieclxx.exe ==================== Zainstalowane programy ====================== Pakiet sterowników systemu Windows - Advanced Micro Devices (amdxhc) USB (01/14/2016 1.1.0.0210) (HKLM\...\79AE0A804F8EA1DE17C9B52946F1B0855FC7F380) (Version: 01/14/2016 1.1.0.0210 - Advanced Micro Devices) Pakiet sterowników systemu Windows - Advanced Micro Devices Inc. (amdpsp) SecurityDevices (02/06/2016 2.22.0.0002) (HKLM\...\D153AAB1CEFE498374E8658B9A060C4FF257274E) (Version: 02/06/2016 2.22.0.0002 - Advanced Micro Devices Inc.) Pakiet sterowników systemu Windows - Advanced Micro Devices, Inc System (01/18/2015 5.12.0.0031) (HKLM\...\A8ACE8B0CDC1D5667BA277ABCC66D32711651577) (Version: 01/18/2015 5.12.0.0031 - Advanced Micro Devices, Inc) Pakiet sterowników systemu Windows - Advanced Micro Devices, Inc. (amdkmdap) Display (03/21/2016 16.150.2211.0000) (HKLM\...\F44F11E062F6E3E77BDAF2C77757B2DC1C707942) (Version: 03/21/2016 16.150.2211.0000 - Advanced Micro Devices, Inc.) Pakiet sterowników systemu Windows - Advanced Micro Devices, Inc. (amdkmdap) Display (10/05/2015 15.201.2001.0000) (HKLM\...\1373543C0B0961643D8AEB8515E16D190AFCB5B2) (Version: 10/05/2015 15.201.2001.0000 - Advanced Micro Devices, Inc.) Podobne tematy: KLIK / KLIK. Czyli ustosunkuj się proszę czy obecnie po reinstalacji systemu są jakieś problemy. Jedyne co w raportach widać, to że system nie jest kompletnie zaktualizowany (stoi stara wersja IE8) i należy to nadrobić. Wyszukiwanie aktualizacji może długo trwać i obciąży tymczasowo proces svchost - to "normalne".

Wszystko wygląda OK. Na koniec skasuj FRST i jego raporty z G:\logi, następnie zastosuj DelFix. Do aktualizacji jest też Java, o ile już to nie zostało wykonane.

Fix pomyślnie wykonany. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Na pendrive jest infekcja typu Gamarue: KLIK. System nie jest zainfekowany tym robakiem, ale są działania dodatkowe które należy podjąć w systemie: szczątki adware, za dużo pakietów zabezpieczających oraz jakieś błędy WMI. Wstępnie: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj starszy McAfee LiveSafe – Internet Security. 2. W tej fazie pendrive ma być podpięty, zakładam że nadal widać go pod literą F:, w przeciwnym wypadku podmień w końcowych komendach literę F bieżącą. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://istart.webssearches.com/?type=hp&ts=1412628315&from=irs&uid=ST1000LM024XHN-M101MBB_S314JA0DC13102C13102 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://istart.webssearches.com/?type=hp&ts=1412628315&from=irs&uid=ST1000LM024XHN-M101MBB_S314JA0DC13102C13102 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://istart.webssearches.com/?type=hp&ts=1412628315&from=irs&uid=ST1000LM024XHN-M101MBB_S314JA0DC13102C13102 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://istart.webssearches.com/?type=hp&ts=1412628315&from=irs&uid=ST1000LM024XHN-M101MBB_S314JA0DC13102C13102 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-1972188415-2893025811-970642349-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://istart.webssearches.com/?type=hp&ts=1412628315&from=irs&uid=ST1000LM024XHN-M101MBB_S314JA0DC13102C13102 HKU\S-1-5-21-1972188415-2893025811-970642349-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://istart.webssearches.com/?type=hp&ts=1412628315&from=irs&uid=ST1000LM024XHN-M101MBB_S314JA0DC13102C13102 HKU\S-1-5-21-1972188415-2893025811-970642349-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1412628315&from=irs&uid=ST1000LM024XHN-M101MBB_S314JA0DC13102C13102&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1412628315&from=irs&uid=ST1000LM024XHN-M101MBB_S314JA0DC13102C13102&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1421849551&from=zbd1&uid=st1000lm024xhn-m101mbb_s314ja0dc13102c13102&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1412628315&from=irs&uid=ST1000LM024XHN-M101MBB_S314JA0DC13102C13102&q={searchTerms} SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1421849551&from=zbd1&uid=st1000lm024xhn-m101mbb_s314ja0dc13102c13102&q={searchTerms} SearchScopes: HKU\S-1-5-21-1972188415-2893025811-970642349-1001 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1972188415-2893025811-970642349-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1972188415-2893025811-970642349-1001 -> {1A95DC8F-4A6D-4938-B715-50B59B516306} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1972188415-2893025811-970642349-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1972188415-2893025811-970642349-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1972188415-2893025811-970642349-1001 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1972188415-2893025811-970642349-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1972188415-2893025811-970642349-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-11-17] CustomCLSID: HKU\S-1-5-21-1972188415-2893025811-970642349-1001_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\mmazu_000\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-1972188415-2893025811-970642349-1001_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\mmazu_000\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-1972188415-2893025811-970642349-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\mmazu_000\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-1972188415-2893025811-970642349-1001_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\mmazu_000\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-1972188415-2893025811-970642349-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\mmazu_000\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-1972188415-2893025811-970642349-1001_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\mmazu_000\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-1972188415-2893025811-970642349-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\mmazu_000\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-1972188415-2893025811-970642349-1001_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\mmazu_000\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => No File HKU\S-1-5-21-1972188415-2893025811-970642349-1001\...\Policies\Explorer: [] HKU\S-1-5-18\...\Run: [KSS] => "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Scan\kss.exe" autorun S1 mkzmwgce; \??\C:\WINDOWS\system32\drivers\mkzmwgce.sys [X] S3 OSFMount; \??\C:\Program Files\OSFMount\OSFMount.sys [X] S3 PCDSRVC{67F2314B-25F2B3C0-06020200}_0; \??\c:\gencotst\pcdsrvc_x64.pkms [X] R3 PCDSRVC{D3412D80-CF3B4A27-06020200}_0; \??\c:\program files\my dell\pcdsrvc_x64.pkms [X] DisableService: Mobile Partner. RunOuc DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\WINDOWS\*.tmp RemoveDirectory: C:\Kaspersky Rescue Disk 10.0 RemoveDirectory: C:\Spacekace RemoveDirectory: F:\System Volume Information F:\Removable Drive (4GB).lnk CMD: attrib /d /s -s -h F:\* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Jeśli wszystko pójdzie dobrze w punkcie 2, na pendrive odkryje się folder "bez nazwy". To w nim infekcja umieściła wszystkie dane użytkownika. Wejdź do tego folderu, przenieś wszystkie dane poziom wyżej, a sam folder przez SHIFT+DEL (omija Kosz) skasuj. 4. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 5. Zrób nowe logi: FRST z opcji Skanuj (Scan), bez Addition i Shortcut, USBFix z opcji Listing. Dołącz też plik fixlog.txt.

Tutaj działania muszą być o wiele szersze niż tylko "fixlist". Masz m.in. aktywną infekcję DNS i zainfekowane pliki systemowe dnsapi oraz podstawione fałszywe Google Chrome. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware/PUP: ByteFence Anti-Malware, cloudfront - Uninstall (2 pozycje), qksee, WinZip, YellowSend. 2. Uruchom RepairDNS. Na Pulpicie powstanie log RepairDNS.txt. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Iza\AppData\Roaming\TSv\TSvr.exe [475416 2016-05-23] (tsvr.com) R2 LegpatDL; C:\Users\Iza\AppData\Local\Temp\istFD41.tmp\tools\chr.exe [432536 2016-05-26] () S2 LegpatU; C:\Program Files (x86)\Legpat\Update\LegpatUpdate.exe [532888 2016-05-26] () R2 qkseeService; C:\Program Files (x86)\qksee\qkseeSvc.exe [764432 2016-05-24] (Qksee Pvt Ltd.) R2 rtop; C:\Program Files\ByteFence\rtop\bin\rtop_svc.exe [254264 2016-05-17] () R2 xorefetyzbt; C:\Program Files (x86)\F2AC1917-1464097197-11E2-901F-45B25C000023\knsu8C09.tmp [198144 2016-05-26] () [brak podpisu cyfrowego] S2 DB6D9089-EF58-40AA-99B5-DA0A33D70B30; "C:\Program Files\Seypafybw\Wegkart.exe" [X] S2 JakutBoffaa; "C:\Program Files\Seypafybw\JakutBoffaa.exe" [X] S2 prhMngSrv; "C:\Program Files (x86)\Prehuph\prhMngSrv.exe" {79740E79-A383-47A7-B513-3DF6563D007F} {A16B1AF7-982D-40C3-B5C1-633E1A6A6678} [X] S2 Rikajep; "C:\Users\Iza\AppData\Roaming\BuimUnib\Soewegov.exe" -cms [X] S1 cherimoya; system32\drivers\cherimoya.sys [X] S1 ckuusufs; \??\C:\WINDOWS\system32\drivers\ckuusufs.sys [X] U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\bsdpf64.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\bsdpr64.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\bsdpf64.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\bsdpr64.sys => ""="Driver" Task: {0110F5ED-BA6E-4BF0-9293-A698D2C512D1} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {01613D3E-6C1A-4DFF-9613-F72BDC998DAF} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {02D9C395-EC9C-4816-84CC-C7EFB7F79314} - System32\Tasks\IzaMantlepieceFrancasV2 => Rundll32.exe InsurerSequestrating.dll,main 7 1 Task: {0994E51D-C15C-4417-85D3-87C2BEA8FD16} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {0DBBE9DB-8C9A-4C79-B624-CD9F3E62FEB4} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {0F7752F8-AAEF-49AD-B5EC-807DA4D95A28} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {172C5F4C-51FD-4C34-98AA-E6E678B9B359} - System32\Tasks\IzaCoiffureArduousV2 => Rundll32.exe PrefermentFugged.dll,main 7 1 Task: {18DAC1D1-AF9F-4F92-B801-A9E6C3E123E8} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {213144E8-301C-4EDC-BE6A-81439A04769B} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {254C570A-E1DF-4D77-9707-D7BB09C9F81E} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {294FF178-7B5D-4243-BDDB-7A6C40A40E2E} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {2E36D073-1F7B-468F-A448-6CACF1328779} - System32\Tasks\LegpatUpdateTaskMachineCore => C:\Program Files (x86)\Legpat\Update\LegpatUpdate.exe [2016-05-26] () Task: {3143B5E6-F286-4123-B586-00195D6D8F34} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {330B3549-3474-4491-8195-E005D5E62CDD} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {35A60A8E-773F-4F5E-9C61-7518DF1C6281} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {3AE2F5FD-3028-4D09-B0A7-8A294F3AB3A4} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {4DC77857-5373-49E5-AC8D-E2750223014F} - System32\Tasks\ByteFence => C:\Program Files\ByteFence\ByteFence.exe [2016-03-29] (Byte Technologies LLC) Task: {5ED014F8-7612-4592-8C62-51EDB1783D34} - System32\Tasks\Microsoft\Windows\Multimedia\FreeVPN => C:\Users\Iza\AppData\Roaming\FreeVPN\FreeVPN.exe Task: {72813F96-F5EA-4472-B454-FEC2E37B4385} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {77689255-58C2-4376-9503-6606E37BA476} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {78465056-4D8E-452B-86FE-ED890FCF1949} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {788AF193-BD89-4664-9A77-7DCF2342271F} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {7DDA3376-B970-4FF0-B1AB-302C857ECAB2} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {82EC55C3-4BCE-47F8-8995-E5621BD05FED} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {88B93671-784F-4CDA-BBFF-20CB91D7542C} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {8ABCBDDD-FDB6-4CC8-9318-D318B737408E} - System32\Tasks\LegpatUpdateTaskMachineUA => C:\Program Files (x86)\Legpat\Update\LegpatUpdate.exe [2016-05-26] () Task: {92F39211-1056-48C4-9352-9A4382D9B4D5} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {A27565BD-0590-4DFB-8DD6-FB526C70D8DA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {AB7CABFB-28FF-4DFF-9973-847C3D8E565B} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\9295E8A9A28D69FB27564111359A61FB\Update\BrowserUpdate.exe Task: {AEA624E5-32E4-43B6-ABCB-6107F05819FF} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {B7302643-D127-4F72-989C-11E8E6DC8361} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {B80950CA-6D49-403C-828D-1DED8EE273E0} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {BD4D94BF-CC7C-485A-BEE0-D11D34AB7D38} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {BECECB53-9B81-4B56-B21E-C6D780584970} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {C5019ADB-7B90-4A3F-99E4-7F84E467D12D} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {CCF65405-99F8-4E3E-8DB0-25DFA57D73D6} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {D14C2391-16A0-4C4C-A246-A1EA3C153856} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {D51F2D90-5E2A-4E86-A984-5D3A254E8481} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {D7EC235E-1404-4930-987D-F50E03514507} - System32\Tasks\Prehuph Manager => C:\Program Files (x86)\Prehuph\prhMngTsk.exe Task: {E39C6D5D-20D7-4B76-AD1F-CF39E83C62DD} - System32\Tasks\ByteFence Scan => C:\Program Files\ByteFence\ByteFence.exe [2016-03-29] (Byte Technologies LLC) Task: {ECCFC06B-6AF0-48CC-8017-3888BA0AE2D5} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {F21F6514-638C-4A5E-86D5-63149D7217E3} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {F3C9A86E-F329-4A7E-9E8C-B73D325B06D4} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {FAA6C005-FBEE-4F65-9F1A-EDE96B0CE27E} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {FABCEADE-AB6C-4586-8B28-5728E1D87AC8} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku HKLM\...\Run: [spaceSoundPro] => "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe" HKLM-x32\...\Run: [csrssf.exe -start] => C:\ProgramData\csrssf.exe -start HKLM-x32\...\Run: [apphide] => C:\Program Files (x86)\badu\uc.exe [221274 2016-05-22] () URLSearchHook: [s-1-5-21-4143302999-612070894-3059051479-1000] UWAGA => Brak domyślnego URLSearchHook BHO: Seypafybw -> {238ABED6-FCA0-43E1-8E1B-0B668E477959} -> C:\Program Files\Seypafybw\Nekje64.dll => Brak pliku BHO-x32: Seypafybw -> {238ABED6-FCA0-43E1-8E1B-0B668E477959} -> C:\Program Files\Seypafybw\Nekje.dll => Brak pliku Tcpip\..\Interfaces\{8c5e9906-00aa-44cf-afdb-1cb89ec869d2}: [DhcpNameServer] 10.69.0.1 10.69.0.2 Tcpip\..\Interfaces\{2a517bdb-d22e-11e5-965d-806e6f6e6963}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{2bd54341-3c34-4734-bcfe-c24b471228bc}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{885df29c-0d62-11e6-9661-806e6f6e6963}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{8c5e9906-00aa-44cf-afdb-1cb89ec869d2}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{953cd1b7-161a-45c5-97f0-d7f3bc995de5}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{dada748f-0fdf-4bb9-9b20-fe43f8b63eac}: [NameServer] 104.197.191.4 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\extensions C:\Program Files\ByteFence C:\Program Files\Seypafybw C:\Program Files\SeypafybwUn C:\Program Files\SpaceSoundPro C:\Program Files (x86)\badu C:\Program Files (x86)\F2AC1917-1464097197-11E2-901F-45B25C000023 C:\Program Files (x86)\Legpat C:\Program Files (x86)\Prehuph C:\Program Files (x86)\qksee C:\Program Files (x86)\QQBrowser C:\Program Files (x86)\WinZipper C:\ProgramData\xldl.dll C:\ProgramData\4winp4 C:\ProgramData\ByteFence C:\ProgramData\download C:\ProgramData\Tencent C:\ProgramData\Thunder Network C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ByteFence Anti-Malware C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PremierOpinion C:\ProgramData\Microsoft\Windows\Start Menu\Programs\qksee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\uninst C:\Users\Iza\AppData\Local\CoiffureArduous C:\Users\Iza\AppData\Local\MantlepieceFrancas C:\Users\Iza\AppData\LocalLow00BB65C0 C:\Users\Iza\AppData\LocalLow00B87638 C:\Users\Iza\AppData\LocalLow00DA5D28 C:\Users\Iza\AppData\LocalLow0115CEC0 C:\Users\Iza\AppData\LocalLow000001CA239224C8 C:\Users\Iza\AppData\LocalLow000001F4E61A7138 C:\Users\Iza\AppData\LocalLow000001D1AD4C5748 C:\Users\Iza\AppData\LocalLow000001AA940C46C8 C:\Users\Iza\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A} C:\Users\Iza\AppData\LocalLow\Company C:\Users\Iza\AppData\Roaming\{0E548921-66CF-EFD3-110A-29DDAF17A8B0} C:\Users\Iza\AppData\Roaming\BuimUnib C:\Users\Iza\AppData\Roaming\cpuminer C:\Users\Iza\AppData\Roaming\eCyber C:\Users\Iza\AppData\Roaming\Eeaxa C:\Users\Iza\AppData\Roaming\FreeVPN C:\Users\Iza\AppData\Roaming\gplyra C:\Users\Iza\AppData\Roaming\TSv C:\Users\Iza\AppData\Roaming\qksee C:\Users\Iza\AppData\Roaming\Tencent C:\Users\Iza\AppData\Roaming\Thinstall C:\Users\Iza\AppData\Roaming\WinZiper C:\Users\Iza\AppData\Roaming\YSPackage C:\Users\Iza\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Iza\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Iza\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk C:\Users\Iza\AppData\Roaming\Microsoft\Windows\Start Menu\ByteFence C:\Users\Iza\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpaceSoundPro 1.0 C:\Users\Iza\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YSPackage C:\Users\Iza\Desktop\SpaceSoundPro.lnk C:\Users\Public\Desktop\Google Chrome.lnk C:\Users\Public\Documents\report.dat C:\Users\Public\Thunder Network C:\WINDOWS\Reimage.ini C:\WINDOWS\ehome C:\WINDOWS\system32\iku C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\system32\Tasks\Microsoft\Windows\Media Center C:\WINDOWS\SysWOW64\*.tmp C:\WINDOWS\SysWOW64\pl.html CMD: ipconfig /flushdns CMD: netsh advfirewall reset Folder: C:\Users\Iza\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions Folder: C:\Users\Public\Documents\chrome Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Przeinstaluj Google Chrome od zera: Odinstaluj Google Chrome. Przy deinstalacji zaznacz opcję Usuń także dane przeglądarki. Zainstaluj najnowsze Google Chrome ze strony domowej. Podczas instalacji potwierdź ustawienie przeglądarki jako domyślnej. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też pliki fixlog.txt i RepairDNS.txt.

Zostały obiekty adware PriceFountain w Harmonogramie zadań. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {35860C54-9E99-4B16-BDB3-DAC548FFBB9D} - System32\Tasks\{2070EB4F-6C13-D4BE-DFA6-181DAA9D12FB} => C:\Users\Karinka\AppData\Roaming\PriceFountainUpdateVer\updatetask.exe [2013-04-26] () Task: {8BA6B554-0815-424B-B613-05E51FC8BDAC} - System32\Tasks\KarinkaBelgiumBarographsV2 => Rundll32.exe BrazennessUnfortified.dll,main 7 1 Task: {93D21051-BD04-42E5-99A2-596241579C49} - System32\Tasks\AutoPico Daily Restart => G:\[bakayaroo.com Task: C:\Windows\Tasks\{2070EB4F-6C13-D4BE-DFA6-181DAA9D12FB}.job => HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v PlaysTV /f C:\ProgramData\Temp C:\Users\Karinka\AppData\Roaming\PriceFountainUpdateVer C:\Users\Karinka\Downloads\Stare\GG dysk.lnk C:\Windows\0 C:\Windows\SECOH-QAD.exe C:\Windows\SECOH-QAD.dll C:\Windows\system32\0 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan) z zaznaczonym polem Addition i tylko plik Addition przedstaw. Dołącz też plik fixlog.txt.

Są tu oznaki infekcji routera - poniższy adres jest izraelski. Możesz nie widzieć przekierowań z dwóch przyczyn: komputer działa obecnie z poziomu Twojej niezainfekowanej sieci (inny router) + ktoś już ustawił statyczne DNS Google z poziomu Windows ("przebijają" te pobierane z routera). Właściciel musi rzecz jasna czyścić swój router, nie jesteś tego w stanie zrobić za niego z poziomu Windows. Tcpip\..\Interfaces\{2befaa59-b503-41a5-b440-dbe37f5150d1}: [DhcpNameServer] 82.163.142.7 Tcpip\..\Interfaces\{2c61f513-5bf8-43de-ae23-6e95e8d38452}: [DhcpNameServer] 82.163.142.7 Tcpip\..\Interfaces\{97517553-d50d-4c34-af9e-feb4b699f5e4}: [DhcpNameServer] 82.163.142.7 1. Jeśli ma dostęp do routera, należy się zalogować do niego i wykonać następujące kroki konfiguracyjne: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Czyszczenie bufora DNS oraz działania poboczne. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: ipconfig /flushdns S3 DrvAgent64; \??\C:\WINDOWS\SysWOW64\Drivers\DrvAgent64.SYS [X] IE trusted site: HKU\.DEFAULT\...\localhost -> localhost IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com IE trusted site: HKU\S-1-5-21-2779230792-305716697-1430175923-1001\...\localhost -> localhost IE trusted site: HKU\S-1-5-21-2779230792-305716697-1430175923-1001\...\webcompanion.com -> hxxp://webcompanion.com Task: {47B44C56-D165-49F5-91FB-EBD84CFE7623} - System32\Tasks\Norton 360\Norton Autofix => C:\Program Files (x86)\Norton 360\Engine\22.5.5.15\SymErr.exe Task: {836ABB64-4959-4FCA-83C2-2A3E97E4D408} - System32\Tasks\Norton 360\Norton Error Analyzer => C:\Program Files (x86)\Norton 360\Engine\22.5.5.15\SymErr.exe Task: {92A3839B-5D2C-4707-84E8-2B652908F0F9} - System32\Tasks\Norton 360\Norton Error Processor => C:\Program Files (x86)\Norton 360\Engine\22.5.5.15\SymErr.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton 360 Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Web Companion" /f C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox\plugins C:\Users\Irek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\DriverAgent Plus.lnk C:\Windows\System32\Tasks\Norton 360 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Na dostarczonych tu raportach nie da się pracować. Posłużyłeś się potwornie starą wersją FRST pozbawioną wielu nowych skanów i poprawek: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 02-05-2015 (ATTENTION: ====> FRST version is 393 days old and could be outdated) Proszę pobierz najnowszą z przyklejonego i zrób raporty zgodnie z wytycznymi: KLIK.

Działania do przeprowadzenia: 1. Deinstalacje: - Wejdź do folderu C:\Program Files (x86)\MPC Cleaner. Z prawokliku na plik deinstalacyjny "Uruchom jako Administrator". - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj zbędny HP Customer Participation Program 14.0 oraz przestarzały Spybot - Search & Destroy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 QQPCRTP; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCRTP.exe [313936 2016-05-28] (Tencent) U2 QQRepair199a; C:\Program Files (x86)\Tencent\QQPCMGR\QQRepair199a [147176 2016-05-28] () S2 QQRepairFixSVC; C:\Program Files (x86)\Tencent\QQPCMGR\QQRepairFixSVC [147176 2016-05-28] () S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-05-28] () R1 QMUdisk; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMUdisk64.sys [184952 2016-05-18] (Tencent) R2 QQSysMonX64; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQSysMonX64.sys [154744 2016-05-28] (电脑管家) R1 softaal; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\softaal64.sys [44664 2016-05-28] (Tencent) R1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv [179320 2016-05-28] () R3 TAOAccelerator; C:\Windows\system32\Drivers\TAOAccelerator64.sys [99480 2016-05-28] (Tencent) R2 TAOKernelDriver; C:\Windows\system32\Drivers\TAOKernelEx64.sys [143992 2016-05-28] (Tencent Technology(Shenzhen) Company Limited) R3 TFsFlt; C:\Windows\System32\Drivers\TFsFltX64.sys [97400 2016-05-28] (电脑管家) S1 TSDefenseBt; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSDefenseBT64.sys [28984 2016-05-28] (Tencent) R2 tsnethlpx64; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys [57976 2016-05-28] () R1 TSSysKit; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSSysKit64.sys [96888 2016-05-28] (电脑管家) R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] S2 Mobizen plugin; C:\Program Files (x86)\RSUPPORT\MobizenService\MobizenService.exe [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" Task: {3D2F3D87-7E18-4F2A-B8DB-F10A5608F4C2} - System32\Tasks\Norton Anti-Theft\Norton Error Analyzer => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\SymErr.exe Task: {5C5A34FC-B4C9-4960-88BC-5AF479E7F93F} - System32\Tasks\{035909A7-29D8-4B46-A53A-CC977D8A2718} => pcalua.exe -a "C:\Program Files (x86)\CleanBrowser\uninstall.exe" -c /uninstall Task: {6DC53F09-073E-4BA6-9245-41DB08BBE462} - System32\Tasks\Norton Anti-Theft\Norton Error Processor => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\SymErr.exe Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] BootExecute: autocheck autochk * sdnclean64.exe HKLM-x32\...\Run: [updReg] => C:\Windows\UpdReg.EXE HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [svchost.exe -start] => C:\ProgramData\svchost.exe -start HKLM-x32\...\Run: [ QQPCTray] => C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCTray.exe [362304 2016-05-28] (Tencent) HKU\S-1-5-21-4002679962-1221417142-4111111163-1001\...\Run: [steelSeries Engine] => C:\Program Files\SteelSeries\SteelSeries Engine\SteelSeriesEngine.exe HKU\S-1-5-21-4002679962-1221417142-4111111163-1001\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-4002679962-1221417142-4111111163-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Sławomir\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-4002679962-1221417142-4111111163-1001\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) HKU\S-1-5-21-4002679962-1221417142-4111111163-1001\...\Policies\Explorer: [] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4002679962-1221417142-4111111163-1001 -> DefaultScope {A2B28968-4BE4-4676-B599-A1ACEACB737A} URL = SearchScopes: HKU\S-1-5-21-4002679962-1221417142-4111111163-1001 -> {A2B28968-4BE4-4676-B599-A1ACEACB737A} URL = BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSWebMon64.dat [2016-05-28] (Tencent) ShortcutWithArgument: C:\Users\Sławomir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1458982587&a=1024132&src=sh&uuid=da8240f1-0190-4eff-9635-29906549bd17" ShortcutWithArgument: C:\Users\Sławomir\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1458982587&a=1024132&src=sh&uuid=da8240f1-0190-4eff-9635-29906549bd17" AV: 电脑管家系统防护 (Enabled - Up to date) {6F9C3F92-B625-0E47-F0B1-447602EC65F5} AS: 电脑管家系统防护 (Enabled - Up to date) {D4FDDE76-901F-01C9-CA01-7F04796B2F48} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Anti-Theft DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: for %i in ("C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\*.dll") do regsvr32 /s /u %i CMD: netsh advfirewall reset C:\Program Files\Common Files\Tencent C:\Program Files (x86)\00000000-1464434971-0000-0000-448A5B472DAD C:\Program Files (x86)\MPC Cleaner C:\Program Files (x86)\Tencent C:\ProgramData\xldl.dll C:\ProgramData\download C:\ProgramData\Tencent C:\ProgramData\Temp C:\ProgramData\Thunder Network C:\ProgramData\TXQMPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\Users\Public\Thunder Network C:\Users\Sławomir\AppData\Local\69ff07055291669bb2b218.72821112 C:\Users\Sławomir\AppData\Local\Driver_LOM_8161Present.flag C:\Users\Sławomir\AppData\Local\Mozilla C:\Users\Sławomir\AppData\Roaming\MCorp C:\Users\Sławomir\AppData\Roaming\Mozilla C:\Users\Sławomir\AppData\Roaming\Tencent C:\Users\Sławomir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Sławomir\Downloads\CodecFix.exe C:\Users\SĹ‚awomir C:\Users\S砤womir C:\Windows\chromebrowser.exe C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\system32\Drivers\TAOAccelerator64.sys C:\Windows\system32\Drivers\TAOKernelEx64.sys C:\Windows\system32\Drivers\TFsFltX64.sys C:\Windows\System32\Tasks\Norton Anti-Theft Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome (deinstalacja MPC zmodyfikuje preferencje przeglądarki): Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut. Dołącz też plik fixlog.txt.

Zabrakło raportu FRST Shortcut. Jeśli zaszyfrowane pliki mają rozszerzenie *.crypt, to rzeczywiście nie ma na razie ratunku... Prawdopodobnie zainfekował Cię CryptXXX w wersji 3.0, jest to obecnie nie do odkodowania. Temat na forum: KLIK. To jest kwestia tego, że zainstalowałeś CryptoPrevent, który tworzy ograniczenia zabezpieczające przed uruchomieniem infekcji typu ransom: HKLM Group Policy restriction on software: *.png*.com HKLM Group Policy restriction on software: *.bmp*.bat HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*\*.scr HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*.scr HKLM Group Policy restriction on software: *.rar*.com HKLM Group Policy restriction on software: *.ppt*.exe HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*\*.cmd HKLM Group Policy restriction on software: *.wma*.exe HKLM Group Policy restriction on software: *.divx*.cmd HKLM Group Policy restriction on software: %userprofile%\Application Data\*.pif HKLM Group Policy restriction on software: *.xlsx*.com HKLM Group Policy restriction on software: *.wma*.jse HKLM Group Policy restriction on software: *.xls*.bat HKLM Group Policy restriction on software: %userprofile%\*.com HKLM Group Policy restriction on software: *.bmp*.pif HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*\*.bat HKLM Group Policy restriction on software: *.mp3*.bat HKLM Group Policy restriction on software: *.7z*.jse HKLM Group Policy restriction on software: *.png*.jse HKLM Group Policy restriction on software: %userprofile%\*.js HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*\*.bat HKLM Group Policy restriction on software: *.doc*.pif HKLM Group Policy restriction on software: %appdata%\*.pif HKLM Group Policy restriction on software: *.mp3*.exe HKLM Group Policy restriction on software: %userprofile%\Application Data\*\*.scr HKLM Group Policy restriction on software: %appdata%\*\*.pif HKLM Group Policy restriction on software: *.ppt*.pif HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*\*.cmd HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*\*.scr HKLM Group Policy restriction on software: *.gif*.cmd HKLM Group Policy restriction on software: %userprofile%\Application Data\*.cmd HKLM Group Policy restriction on software: *.xls*.pif HKLM Group Policy restriction on software: *.jpeg*.cmd HKLM Group Policy restriction on software: *.pub*.scr HKLM Group Policy restriction on software: %userprofile%\Application Data\*\*.js HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*\*.bat HKLM Group Policy restriction on software: lsassw86s.exe HKLM Group Policy restriction on software: *.avi*.jse HKLM Group Policy restriction on software: *.txt*.pif HKLM Group Policy restriction on software: *.doc*.scr HKLM Group Policy restriction on software: *.xlsx*.exe HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*.bat HKLM Group Policy restriction on software: *.png*.cmd HKLM Group Policy restriction on software: %allusersprofile%\*.com HKLM Group Policy restriction on software: *.jpg*.exe HKLM Group Policy restriction on software: *.7z*.js HKLM Group Policy restriction on software: *.zip*.js HKLM Group Policy restriction on software: syskey.exe HKLM Group Policy restriction on software: *.png*.pif HKLM Group Policy restriction on software: *.xls*.scr HKLM Group Policy restriction on software: *.divx*.pif HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*.exe HKLM Group Policy restriction on software: *.divx*.scr HKLM Group Policy restriction on software: *.xlsx*.bat HKLM Group Policy restriction on software: *.rtf*.cmd HKLM Group Policy restriction on software: *.mp4*.exe HKLM Group Policy restriction on software: *.xls*.cmd HKLM Group Policy restriction on software: *.doc*.jse HKLM Group Policy restriction on software: *.wma*.com HKLM Group Policy restriction on software: *.doc*.com HKLM Group Policy restriction on software: %allusersprofile%\Start Menu\Programs\Startup\*.exe HKLM Group Policy restriction on software: *.xlsx*.scr HKLM Group Policy restriction on software: *.wma*.bat HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*.jse HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*\*.jse HKLM Group Policy restriction on software: *.ppt*.js HKLM Group Policy restriction on software: *.doc*.cmd HKLM Group Policy restriction on software: *.bmp*.jse HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*.com HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*.exe HKLM Group Policy restriction on software: %userprofile%\Application Data\*\*.com HKLM Group Policy restriction on software: *.txt*.com HKLM Group Policy restriction on software: *.xls*.jse HKLM Group Policy restriction on software: C:\Documents and Settings\*.cmd HKLM Group Policy restriction on software: *.zip*.exe HKLM Group Policy restriction on software: *.bmp*.js HKLM Group Policy restriction on software: %appdata%\*.com HKLM Group Policy restriction on software: %userprofile%\Application Data\*.js HKLM Group Policy restriction on software: *.docx*.pif HKLM Group Policy restriction on software: *.doc*.js HKLM Group Policy restriction on software: *.divx*.com HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*\*.exe HKLM Group Policy restriction on software: %userprofile%\Start Menu\Programs\Startup\*.com HKLM Group Policy restriction on software: *.pub*.exe HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*\*.exe HKLM Group Policy restriction on software: %appdata%\*.jse HKLM Group Policy restriction on software: *.gif*.js HKLM Group Policy restriction on software: *.wav*.js HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*\*.pif HKLM Group Policy restriction on software: *.pptx*.cmd HKLM Group Policy restriction on software: %allusersprofile%\*.exe HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*.pif HKLM Group Policy restriction on software: *.wav*.cmd HKLM Group Policy restriction on software: *.txt*.cmd HKLM Group Policy restriction on software: %userprofile%\Application Data\*\*.cmd HKLM Group Policy restriction on software: %userprofile%\Start Menu\Programs\Startup\*.cmd HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*.js HKLM Group Policy restriction on software: *.pdf*.jse HKLM Group Policy restriction on software: *.txt*.exe HKLM Group Policy restriction on software: *.png*.bat HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*\*.pif HKLM Group Policy restriction on software: *.doc*.bat HKLM Group Policy restriction on software: *.xlsx*.cmd HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*\*.com HKLM Group Policy restriction on software: *.docx*.js HKLM Group Policy restriction on software: %appdata%\*.bat HKLM Group Policy restriction on software: *.pub*.bat HKLM Group Policy restriction on software: *.pdf*.scr HKLM Group Policy restriction on software: *.png*.exe HKLM Group Policy restriction on software: *.jpg*.js HKLM Group Policy restriction on software: *.jpg*.com HKLM Group Policy restriction on software: *.rar*.jse HKLM Group Policy restriction on software: *.jpeg*.scr HKLM Group Policy restriction on software: *.gif*.exe HKLM Group Policy restriction on software: %appdata%\*\*.jse HKLM Group Policy restriction on software: %allusersprofile%\*.cmd HKLM Group Policy restriction on software: *.rar*.scr HKLM Group Policy restriction on software: *.ppt*.scr HKLM Group Policy restriction on software: C:\Documents and Settings\*.pif HKLM Group Policy restriction on software: *.pdf*.js HKLM Group Policy restriction on software: *.wav*.jse HKLM Group Policy restriction on software: *.docx*.jse HKLM Group Policy restriction on software: *.wmv*.pif HKLM Group Policy restriction on software: *.7z*.com HKLM Group Policy restriction on software: *.wmv*.jse HKLM Group Policy restriction on software: *.ppt*.bat HKLM Group Policy restriction on software: *.txt*.jse HKLM Group Policy restriction on software: %appdata%\*.scr HKLM Group Policy restriction on software: *.pdf*.exe HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*.bat HKLM Group Policy restriction on software: *.divx*.jse HKLM Group Policy restriction on software: %userprofile%\*.bat HKLM Group Policy restriction on software: *.pdf*.bat HKLM Group Policy restriction on software: %allusersprofile%\*.bat HKLM Group Policy restriction on software: *.mp3*.cmd HKLM Group Policy restriction on software: *.wav*.scr HKLM Group Policy restriction on software: *.gif*.bat HKLM Group Policy restriction on software: *.avi*.bat HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*.bat HKLM Group Policy restriction on software: ** HKLM Group Policy restriction on software: %allusersprofile%\Start Menu\Programs\Startup\*.com HKLM Group Policy restriction on software: C:\Documents and Settings\*.js HKLM Group Policy restriction on software: *.7z*.exe HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*\*.js HKLM Group Policy restriction on software: *.jpeg*.com HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*.exe HKLM Group Policy restriction on software: *.gif*.scr HKLM Group Policy restriction on software: %userprofile%\*.exe HKLM Group Policy restriction on software: *.bmp*.cmd HKLM Group Policy restriction on software: *.rtf*.scr HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*.jse HKLM Group Policy restriction on software: *.7z*.cmd HKLM Group Policy restriction on software: *.jpg*.scr HKLM Group Policy restriction on software: %appdata%\*.exe HKLM Group Policy restriction on software: *.ppt*.jse HKLM Group Policy restriction on software: *.zip*.com HKLM Group Policy restriction on software: *.gif*.com HKLM Group Policy restriction on software: *.rar*.js HKLM Group Policy restriction on software: *.jpg*.bat HKLM Group Policy restriction on software: *.pub*.cmd HKLM Group Policy restriction on software: *.jpg*.jse HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*\*.jse HKLM Group Policy restriction on software: %appdata%\*\*.exe HKLM Group Policy restriction on software: %appdata%\*\*.cmd HKLM Group Policy restriction on software: *.wma*.pif HKLM Group Policy restriction on software: *.pptx*.pif HKLM Group Policy restriction on software: *.ppt*.cmd HKLM Group Policy restriction on software: *.wav*.exe HKLM Group Policy restriction on software: *.wav*.bat HKLM Group Policy restriction on software: *.jpeg*.js HKLM Group Policy restriction on software: *.zip*.jse HKLM Group Policy restriction on software: *.pdf*.com HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*.js HKLM Group Policy restriction on software: *.avi*.com HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*.cmd HKLM Group Policy restriction on software: *.png*.js HKLM Group Policy restriction on software: %userprofile%\Application Data\*.exe HKLM Group Policy restriction on software: *.rtf*.com HKLM Group Policy restriction on software: *.divx*.js HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*.scr HKLM Group Policy restriction on software: *.bmp*.exe HKLM Group Policy restriction on software: C:\Documents and Settings\*.exe HKLM Group Policy restriction on software: *.gif*.jse HKLM Group Policy restriction on software: *.ppt*.com HKLM Group Policy restriction on software: %appdata%\*\*.js HKLM Group Policy restriction on software: *.jpeg*.pif HKLM Group Policy restriction on software: *:\RECYCLER HKLM Group Policy restriction on software: *.bmp*.scr HKLM Group Policy restriction on software: %userprofile%\Start Menu\Programs\Startup\*.exe HKLM Group Policy restriction on software: *.7z*.bat HKLM Group Policy restriction on software: %userprofile%\Start Menu\Programs\Startup\*.pif HKLM Group Policy restriction on software: *.xlsx*.pif HKLM Group Policy restriction on software: %allusersprofile%\*.scr HKLM Group Policy restriction on software: *.wma*.js HKLM Group Policy restriction on software: *.gif*.pif HKLM Group Policy restriction on software: *.wmv*.bat HKLM Group Policy restriction on software: %appdata%\*\*.bat HKLM Group Policy restriction on software: *.docx*.scr HKLM Group Policy restriction on software: *.avi*.cmd HKLM Group Policy restriction on software: %appdata%\*.cmd HKLM Group Policy restriction on software: *.pub*.jse HKLM Group Policy restriction on software: *.docx*.exe HKLM Group Policy restriction on software: *.mp3*.pif HKLM Group Policy restriction on software: *.7z*.scr HKLM Group Policy restriction on software: *.divx*.bat HKLM Group Policy restriction on software: *.pptx*.jse HKLM Group Policy restriction on software: *.mp3*.scr HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*\*.exe HKLM Group Policy restriction on software: %userprofile%\*.cmd HKLM Group Policy restriction on software: *.docx*.com HKLM Group Policy restriction on software: *.rar*.cmd HKLM Group Policy restriction on software: %userprofile%\Application Data\*\*.bat HKLM Group Policy restriction on software: *.pptx*.exe HKLM Group Policy restriction on software: *.wmv*.js HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*\*.pif HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*\*.js HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*.scr HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*.com HKLM Group Policy restriction on software: *.mp4*.com HKLM Group Policy restriction on software: scsvserv.exe HKLM Group Policy restriction on software: *.bmp*.com HKLM Group Policy restriction on software: %userprofile%\*.pif HKLM Group Policy restriction on software: %appdata%\*.js HKLM Group Policy restriction on software: *.wma*.cmd HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*.jse HKLM Group Policy restriction on software: *.mp4*.js HKLM Group Policy restriction on software: *.7z*.pif HKLM Group Policy restriction on software: %allusersprofile%\Start Menu\Programs\Startup\*.bat HKLM Group Policy restriction on software: %userprofile%\Start Menu\Programs\Startup\*.bat HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*.cmd HKLM Group Policy restriction on software: *.pub*.pif HKLM Group Policy restriction on software: *.avi*.pif HKLM Group Policy restriction on software: *.divx*.exe HKLM Group Policy restriction on software: *.rtf*.bat HKLM Group Policy restriction on software: %userprofile%\Start Menu\Programs\Startup\*.scr HKLM Group Policy restriction on software: *.mp4*.scr HKLM Group Policy restriction on software: *.doc*.exe HKLM Group Policy restriction on software: %userprofile%\*.jse HKLM Group Policy restriction on software: %programdata%\*\svchost.exe HKLM Group Policy restriction on software: C:\Documents and Settings\*.jse HKLM Group Policy restriction on software: lsassvrtdbks.exe HKLM Group Policy restriction on software: *.rar*.pif HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*\*.jse HKLM Group Policy restriction on software: *.wav*.pif HKLM Group Policy restriction on software: *.png*.scr HKLM Group Policy restriction on software: *.jpeg*.bat HKLM Group Policy restriction on software: *.pptx*.com HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*.cmd HKLM Group Policy restriction on software: *.jpg*.cmd HKLM Group Policy restriction on software: *.txt*.js HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*.js HKLM Group Policy restriction on software: *.xls*.com HKLM Group Policy restriction on software: *.zip*.pif HKLM Group Policy restriction on software: *.zip*.cmd HKLM Group Policy restriction on software: *.pptx*.scr HKLM Group Policy restriction on software: %userprofile%\*.scr HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*\*.cmd HKLM Group Policy restriction on software: %userprofile%\Application Data\*.bat HKLM Group Policy restriction on software: %userprofile%\Application Data\*.jse HKLM Group Policy restriction on software: *.jpeg*.exe HKLM Group Policy restriction on software: vssadmin.exe HKLM Group Policy restriction on software: %userprofile%\Application Data\*.scr HKLM Group Policy restriction on software: *.wav*.com HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*.com HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*\*.scr HKLM Group Policy restriction on software: %allusersprofile%\Start Menu\Programs\Startup\*.pif HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*\*.js HKLM Group Policy restriction on software: *.txt*.bat HKLM Group Policy restriction on software: %userprofile%\Application Data\Microsoft\Windows\IEUpdate\*.exe HKLM Group Policy restriction on software: *.mp4*.jse HKLM Group Policy restriction on software: *.rar*.bat HKLM Group Policy restriction on software: *.pub*.js HKLM Group Policy restriction on software: *.mp3*.jse HKLM Group Policy restriction on software: *.txt*.scr HKLM Group Policy restriction on software: %appdata%\*\*.com HKLM Group Policy restriction on software: *.wmv*.scr HKLM Group Policy restriction on software: *.xlsx*.js HKLM Group Policy restriction on software: *.wmv*.exe HKLM Group Policy restriction on software: %userprofile%\Application Data\*\*.pif HKLM Group Policy restriction on software: %allusersprofile%\Start Menu\Programs\Startup\*.scr HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*\*.com HKLM Group Policy restriction on software: *.rtf*.exe HKLM Group Policy restriction on software: *.rtf*.jse HKLM Group Policy restriction on software: %allusersprofile%\*.jse HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*.pif HKLM Group Policy restriction on software: *.docx*.bat HKLM Group Policy restriction on software: *.jpeg*.jse HKLM Group Policy restriction on software: *.wmv*.com HKLM Group Policy restriction on software: %systemdrive%\*\svchost.exe HKLM Group Policy restriction on software: %userprofile%\Start Menu\Programs\Startup\*.jse HKLM Group Policy restriction on software: *.mp4*.pif HKLM Group Policy restriction on software: *.wma*.scr HKLM Group Policy restriction on software: *.zip*.bat HKLM Group Policy restriction on software: *.xls*.js HKLM Group Policy restriction on software: *.pptx*.bat HKLM Group Policy restriction on software: %userprofile%\Application Data\*\*.exe HKLM Group Policy restriction on software: %userprofile%\Application Data\*.com HKLM Group Policy restriction on software: *.wmv*.cmd HKLM Group Policy restriction on software: *.pdf*.pif HKLM Group Policy restriction on software: *.rtf*.pif HKLM Group Policy restriction on software: %allusersprofile%\Start Menu\Programs\Startup\*.jse HKLM Group Policy restriction on software: %userprofile%\Start Menu\Programs\Startup\*.js HKLM Group Policy restriction on software: *.mp3*.js HKLM Group Policy restriction on software: *.docx*.cmd HKLM Group Policy restriction on software: %allusersprofile%\Start Menu\Programs\Startup\*.cmd HKLM Group Policy restriction on software: *.xls*.exe HKLM Group Policy restriction on software: C:\Documents and Settings\*.bat HKLM Group Policy restriction on software: *.jpg*.pif HKLM Group Policy restriction on software: %allusersprofile%\*.js HKLM Group Policy restriction on software: C:\Documents and Settings\*.scr HKLM Group Policy restriction on software: %allusersprofile%\Local Settings\Application Data\*\*.com HKLM Group Policy restriction on software: *.mp4*.bat HKLM Group Policy restriction on software: *.avi*.exe HKLM Group Policy restriction on software: %userprofile%\Application Data\*\*.jse HKLM Group Policy restriction on software: *.rtf*.js HKLM Group Policy restriction on software: *.pdf*.cmd HKLM Group Policy restriction on software: %appdata%\*\*.scr HKLM Group Policy restriction on software: *.xlsx*.jse HKLM Group Policy restriction on software: %programfiles%\*\svchost.exe HKLM Group Policy restriction on software: %allusersprofile%\*.pif HKLM Group Policy restriction on software: *.zip*.scr HKLM Group Policy restriction on software: *.avi*.js HKLM Group Policy restriction on software: *.pptx*.js HKLM Group Policy restriction on software: *.avi*.scr HKLM Group Policy restriction on software: cipher.exe HKLM Group Policy restriction on software: *.mp3*.com HKLM Group Policy restriction on software: *.mp4*.cmd HKLM Group Policy restriction on software: %allusersprofile%\Start Menu\Programs\Startup\*.js HKLM Group Policy restriction on software: %allusersprofile%\Application Data\*.pif HKLM Group Policy restriction on software: *.pub*.com HKLM Group Policy restriction on software: *.rar*.exe Jedna z tych reguł pokrywa się z lokalizacją z której startujesz uTorrent. Nie zgadza mi się tylko komunikat, gdyż on kieruje do reguły "\Dane aplikacji\*\*.exe", a wg raportu FRST uTorrent siedzi w "Moich dokumentach". Są też dwa skróty do niego, ale nie wiem do której ścieżki kierują (brak raportu FRST Shortcut). 2016-05-26 22:23 - 2016-05-26 22:23 - 02530304 _____ (BitTorrent Inc.) C:\Documents and Settings\Kornik\Moje dokumenty\uTorrent.exe 2016-05-26 22:52 - 2014-12-07 16:26 - 00002641 _____ C:\Documents and Settings\Kornik\Pulpit\µTorrent.lnk 2016-05-26 22:52 - 2014-12-07 16:26 - 00002641 _____ C:\Documents and Settings\Kornik\Menu Start\µTorrent.lnk Spróbuj przenieść uTorrent.exe po prostu na Pulpit.

Rucek, jako Administrator forum mam oczywiście starszą datę rejestracji (tę samą którą wymieniam w poście powyżej) niż reszta, gdyż forum musiało został zostać skonfigurowane i sprawdzone z poziomu mojego konta. Forum nie było dostępne publicznie w tym okresie, prawie tydzień później je włączyłam oficjalnie.

Forum zostało oficjalnie otworzone 27 maja 2010, więc dołączyłeś ekstra szybko . Są wprawdzie moje starsze posty z 21 maja, ale to z fazy, gdy forum było jeszcze w trakcie konfiguracji i nie było dostępne publicznie.

Widzę tu trochę adware (aktywny BingSvc i stare przekierowania key-find.com) oraz elementy martwego Firefoxa, ale to sprawy poboczne. Jest tylko jeden program antywirusowy (Fortinet), Arcabit tylko w nędznych odpadkach, a McAfee to skaner poboczny. "Zmuła" być może od małej ilości wolnego miejsca na dysku: Drive c: (SYSTEM) (Fixed) (Total:98.63 GB) (Free:5.23 GB) NTFS ==>[dysk z komponentami startowymi (pozyskano odczytując BCD)] Aczkolwiek widzę jeszcze serię błędów w Dzienniku: Dziennik Aplikacja: ================== Error: (05/26/2016 12:04:37 PM) (Source: C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe) (EventID: 1) (User: ) Description: C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exeCan't get user token [1008] Dziennik System: ============= Error: (05/26/2016 04:27:37 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą NVIDIA Streamer Service. Error: (05/26/2016 11:56:48 AM) (Source: Microsoft-Windows-TaskScheduler) (EventID: 413) (User: ZARZĄDZANIE NT) Description: Usługa Harmonogram zadań nie może załadować zadań podczas uruchamiania usługi. Dane dodatkowe: Wartość błędu: 2147549183. Error: (05/25/2016 03:43:55 PM) (Source: Microsoft-Windows-HAL) (EventID: 12) (User: ) Description: Oprogramowanie układowe platformy spowodowało uszkodzenie pamięci podczas poprzedniego przejścia do innego trybu zasilania systemu. Sprawdź dostępność zaktualizowanego oprogramowania układowego przeznaczonego do tego systemu. Error: (05/25/2016 02:59:47 PM) (Source: Microsoft-Windows-TaskScheduler) (EventID: 413) (User: ZARZĄDZANIE NT) Description: Usługa Harmonogram zadań nie może załadować zadań podczas uruchamiania usługi. Dane dodatkowe: Wartość błędu: 2147549183. Error: (05/24/2016 11:53:15 PM) (Source: DCOM) (EventID: 10010) (User: ) Description: {F9717507-6651-4EDB-BFF7-AE615179BCCF} Error: (05/24/2016 10:32:42 PM) (Source: Service Control Manager) (EventID: 7011) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji z usługi Netman. Error: (05/24/2016 07:32:43 PM) (Source: Service Control Manager) (EventID: 7011) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji z usługi IPBusEnum. Błędy NVIDIA Streamer Service doraźnie można ubić wyłączając tę usługę lub deinstalując NVIDIA GeForce Experience 2.0.1 (to jakaś stara wersja z 2014). Błędy Microsoft-Windows-HAL sugerują aktualizację BIOS: KLIK. Błąd z Harmonogramem niejasny, to może być jakieś uszkodzone zadanie w Harmonogramie lub inna usterka Harmonogramu. Wstępnie: 1. Deinstalacje: Przez Panel sterowania: Adobe AIR, Adobe Flash Player 12 Plugin, Adobe Flash Player 13 ActiveX, HP Deskjet 1050 J410 series — badanie mające na celu poprawę produktów, Java 7 Update 17, Java 7 Update 51, Java™ 6 Update 30 (64-bit), Java™ 6 Update 37, McAfee Security Scan Plus, NVIDIA GeForce Experience 2.0.1, QuickTime 7. Usuń ukryty ArcaVir x64 Prerequistes przy udziale narzędzia MS: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście ten wpis > Dalej. Usuń sterownik SPTD przy udziale SPTDinst: KLIK. W raportach nie widzę żadnego programu go używającego. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1265772403-1215752451-2071767440-1000\...\Run: [bingSvc] => C:\Users\Andrzej\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-05] (© 2015 Microsoft Corporation) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-1265772403-1215752451-2071767440-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.key-find.com/web/?type=dspp&ts=1424776336&from=cor&uid=ST31000524AS_6VPBHLASXXXX6VPBHLAS&q={searchTerms} HKU\S-1-5-21-1265772403-1215752451-2071767440-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.key-find.com/web/?type=dspp&ts=1424776336&from=cor&uid=ST31000524AS_6VPBHLASXXXX6VPBHLAS&q={searchTerms} SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817 SearchScopes: HKU\S-1-5-21-1265772403-1215752451-2071767440-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?FORM=SK216DF&PC=SK216&q={searchTerms}&src=IE-SearchBox SearchScopes: HKU\S-1-5-21-1265772403-1215752451-2071767440-1000 -> {19E975D4-76AE-4D6E-BBE8-7F972B397368} URL = hxxp://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST31000524AS_6VPBHLASXXXX6VPBHLAS&ts=1424776383&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1265772403-1215752451-2071767440-1000 -> {1F096B29-E9DA-4D64-8D63-936BE7762CC5} URL = hxxp://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST31000524AS_6VPBHLASXXXX6VPBHLAS&ts=1424776383&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1265772403-1215752451-2071767440-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST31000524AS_6VPBHLASXXXX6VPBHLAS&ts=1424776383&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1265772403-1215752451-2071767440-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = hxxp://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST31000524AS_6VPBHLASXXXX6VPBHLAS&ts=1424776383&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1265772403-1215752451-2071767440-1000 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST31000524AS_6VPBHLASXXXX6VPBHLAS&ts=1424776383&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1265772403-1215752451-2071767440-1000 -> {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = hxxp://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST31000524AS_6VPBHLASXXXX6VPBHLAS&ts=1424776383&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1265772403-1215752451-2071767440-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST31000524AS_6VPBHLASXXXX6VPBHLAS&ts=1424776383&type=default&q={searchTerms} Toolbar: HKLM - Brak nazwy - {32099AAC-C132-4136-9E9A-4E364A424E17} - Brak pliku Toolbar: HKU\S-1-5-21-1265772403-1215752451-2071767440-1000 -> Brak nazwy - {32099AAC-C132-4136-9E9A-4E364A424E17} - Brak pliku Toolbar: HKU\S-1-5-21-1265772403-1215752451-2071767440-1000 -> Brak nazwy - {5C5B9468-D672-4EB7-B52F-B5AFABF28C5B} - Brak pliku Toolbar: HKU\S-1-5-21-1265772403-1215752451-2071767440-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku CHR HomePage: Default -> msn.com/?pc=__PARAM__&ocid=__PARAM__DHP&osmkt=pl-pl CHR StartupUrls: Default -> "hxxp://www.key-find.com/?type=hppp&ts=1424776336&from=cor&uid=ST31000524AS_6VPBHLASXXXX6VPBHLAS" CHR HKU\S-1-5-21-1265772403-1215752451-2071767440-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bpeeepmahhfjiediknjejcmcfmjcjdck] - C:\Program Files (x86)\Google\Chrome\User Data\Default\Extensions\serach.crx CHR HKLM-x32\...\Chrome\Extension: [dkdkpmmkgdbglmfmmmmehbkmnkopingb] - C:\Program Files (x86)\Google\Chrome\User Data\Default\Extensions\v9-toolbar.crx CHR HKLM-x32\...\Chrome\Extension: [jbolfgndggfhhpbnkgnpjkfhinclbigj] - R2 TeamViewer; c:\users\andrzej\appdata\local\temp\teamviewer\TeamViewer_Service.exe [4255504 2015-02-17] (TeamViewer GmbH) S2 mks_services; "C:\Program Files\mks_vir_9\bin\mks_services.exe" [X] Task: {1AA1CEF5-7727-4164-843A-6D586D7DCA85} - System32\Tasks\{ACFC21B4-ABA2-4D9D-AFCC-232C2955BED9} => pcalua.exe -a H:\GSetup.exe Task: {37881D7A-B7EC-4287-BDDC-B6F81306A7F4} - System32\Tasks\{E1C9F213-AF4C-42F6-A2BD-0CD058F34A7F} => Chrome.exe hxxp://ui.skype.com/ui/0/7.2.0.103/pl/abandoninstall?page=tsMain Task: {41DB3C2B-DAFE-4640-B444-D4C4891784F2} - System32\Tasks\HPCustParticipation HP Deskjet 1050 J410 series => C:\Program Files\HP\HP Deskjet 1050 J410 series\Bin\HPCustPartic.exe [2012-10-02] (Hewlett-Packard Co.) Task: {4DB6478E-2243-47C7-926D-BAFAF9FC1E5F} - System32\Tasks\{CFF4AD88-7116-47EE-A848-3C4A655F737F} => pcalua.exe -a H:\EasySetupAssistant\wr741n\EasySetupAssistant.exe Task: {7AB75A68-4622-40A5-A894-C3129737ED61} - System32\Tasks\SidebarExecute => C:\Program Files (x86)\Windows Sidebar\sidebar.exe [2010-11-20] (Microsoft Corporation) Task: {7C99C2EF-F7DD-4ED1-A6B8-DB29A82C654F} - System32\Tasks\{C782DCA3-533E-4828-867C-41D876CD947F} => pcalua.exe -a C:\Users\Andrzej\Downloads\avira_antivir_premium_en.exe -d C:\Users\Andrzej\Desktop Task: {966967FD-4A33-49E3-A278-503CC02E60EA} - System32\Tasks\{C1724D0D-59C9-49C7-8262-95BD9505BD6D} => pcalua.exe -a "C:\Users\Andrzej\Desktop\WinAvi Video Converter 8.0 [PL]\Polski_WinAvi_Conv(dobreprogramy.pl).exe" -d "C:\Users\Andrzej\Desktop\WinAvi Video Converter 8.0 [PL]" Task: {9B7BDC01-B716-4D04-8079-562CD67BF287} - System32\Tasks\{312BC826-1579-4077-9AE5-BCA069CA10ED} => C:\Users\Andrzej\AppData\Local\Temp\ICReinstall_MediaPlayerSetup.exe Task: {B0FF076C-842C-4133-AE26-82A42568FEBA} - System32\Tasks\{3757F74B-C1D1-4719-9A36-7B305E78E41E} => pcalua.exe -a C:\Users\Andrzej\Downloads\ClonePlus_Update_3600\setup.exe -d C:\Users\Andrzej\Downloads\ClonePlus_Update_3600 Task: {BC43FC41-9B52-4875-B3AD-27A52CFB61CA} - System32\Tasks\{4C3251CC-13EA-4135-B7B5-20F52B4E085A} => pcalua.exe -a C:\Users\Andrzej\Desktop\CT3031817_SFT_Polska.exe -d C:\Users\Andrzej\Desktop IE trusted site: HKU\S-1-5-21-1265772403-1215752451-2071767440-1000\...\internet -> internet DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\4zres.dll C:\Program Files (x86)\4zUninstall VideoDownloadConverter.dll C:\Program Files (x86)\GUT5B1C.tmp C:\Program Files (x86)\GUTF806.tmp C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Total Video Converter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\URUSoft\Subtitle Workshop\Help C:\ProgramData\Microsoft\Windows\Start Menu\Programs\XMedia Recode C:\Users\Andrzej\AppData\Local\HamsterVideoConverterSettings.cfg C:\Users\Andrzej\AppData\Local\housecall.guid.cache C:\Users\Andrzej\AppData\Local\{F7B65068-125C-4442-84B2-E04A91A21F86} C:\Users\Andrzej\AppData\Local\Microsoft\BingSvc C:\Users\Andrzej\AppData\Local\Mozilla C:\Users\Andrzej\AppData\Roaming\Mozilla C:\Users\Andrzej\AppData\Roaming\ICSW_1J1F1H1E2Y2Z1P1C1B2W1L1T2ZtJ1V0N1F1C2Z1F1GtAyCtD.txt C:\Users\Andrzej\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Total Video Player.lnk C:\Users\Andrzej\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\GG (2).lnk C:\Users\Andrzej\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FoxTab Video Player C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Norton C:\Users\Andrzej\Favorites\V9 - Moja strona startowa - Najlepsza wyszukiwarka w Polsce!.url C:\Users\Public\Downloads\Norton CMD: netsh advfirewall reset Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Stopify. To jakaś stara wersja, obecnie w Chrome Web Store jest rozszerzenie o innym ID. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystkie niedomyślne elementy. 4. Wyczyść Dziennik zdarzeń. W sekcji Dzienniki systemu Windows opróżnij gałęzie Aplikacja oraz System. W sekcji Dzienniki aplikacji i usług > Microsoft > Windows > CodeIntegrity > z prawokliku wyczyść Operational. Zresetuj system, by zostały nagrane nowe błędy. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut. Dołącz też plik fixlog.txt.

1. AdwCleaner wykrył drobne rzeczy. Uruchom go ponownie, zastosuj po kolei opcje Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Skasuj ręcznie pobrany FRST i jego logi z "Nowego folderu" na Pulpicie. Skorzystaj z DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Dziś forum Fixitpc.pl obchodzi swoje urodziny! Działamy już 6 lat! Co warte odnotowania: utrzymując pierwotnie założony standard całkowitego braku reklam.

Lunarna, ale to stary log AdwCleaner z 19/02/2016