picasso

Skrypt FRST pomyślnie wykonany. Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Czyszczenie folderów Przywracania systemu aplikuje się dla partycji które mają status Ochrony "Włączona" - domyślnie jest to tylko dysk systemowy.

Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Jeśli chodzi o przedstawiony problem, próbuje się uruchamiać robak skryptowy home.vbe - prawdopodobnie przeniesiony z urządzeń przenośnych. Akcje do wykonania: 1. Odinstaluj stare programy: Adobe AIR, Adobe Reader XI MUI, Java 8 Update 65, Spybot - Search & Destroy. Ten Spybot to przestarzały program i dziś mało w czym pomoże. 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: Startup: C:\Users\MGRK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\home.vbe [2015-09-08] () C:\Users\MGRK\AppData\Roaming\home.vbe HKU\S-1-5-21-2577041985-4214604163-1054155769-1000\...\Run: [home] => wscript.exe //B "C:\Users\MGRK\AppData\Roaming\home.vbe" HKU\S-1-5-21-2577041985-4214604163-1054155769-1000\...\Run: [Power2GoExpress] => NA HKU\S-1-5-21-2577041985-4214604163-1054155769-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) HKU\S-1-5-21-2577041985-4214604163-1054155769-1000\...\Run: [TIDAL] => [X] Reg: reg query HKU\S-1-5-21-2577041985-4214604163-1054155769-1000\Software\Microsoft\Windows\CurrentVersion\Run HKU\S-1-5-21-2577041985-4214604163-1054155769-1000\...\Run: [{13285A32-2335-4E9C-ADE9-4DF8782052E2}] => C:\Windows\System32\msiexec.exe [128000 2015-06-15] (Microsoft Corporation) HKU\S-1-5-21-2577041985-4214604163-1054155769-1000\...\RunOnce: [CTPostBootSequencer] => "C:\Users\MGRK\AppData\Local\Temp\CTPBSeq.exe" /reglaunch /self_destruct HKU\S-1-5-21-2577041985-4214604163-1054155769-1001\...\Run: [home] => wscript.exe //B "C:\Users\MGRK\AppData\Roaming\home.vbe" HKU\S-1-5-21-2577041985-4214604163-1054155769-1001\...\Run: [TIDAL] => [X] DeleteKey: HKU\S-1-5-21-2577041985-4214604163-1054155769-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKU\S-1-5-21-2577041985-4214604163-1054155769-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] BootExecute: autocheck autochk * sdnclean64.exe Task: {9D84C567-F198-4DCA-B9D3-41C2192B4A86} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe Task: {C20C1AC1-B50D-4F56-B0EB-1EA526609E05} - System32\Tasks\{43498AF4-EFAB-4DAA-8A05-CE8B3572B38D} => pcalua.exe -a C:\Users\MGRK\Downloads\0mwl08ww.exe -d C:\Users\MGRK\Downloads Task: {EE8FF59E-5292-441C-B721-C43ED771EA77} - System32\Tasks\{92A73EED-8BB1-40DA-A172-A07B691EAAF4} => pcalua.exe -a E:\SETUP.EXE -d E:\ CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-09-23] DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{13285A32-2335-4E9C-ADE9-4DF8782052E2} DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdobeBridge DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Spybot-S&D Cleaning DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotPostWindows10UpgradeReInstall DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TIDAL U3 BcmSqlStartupSvc; Brak ImagePath U2 CLKMSVC10_3A60B698; Brak ImagePath U2 CLKMSVC10_C3B3B687; Brak ImagePath U2 DriverService; Brak ImagePath U2 IAStorDataMgrSvc; Brak ImagePath U2 iATAgentService; Brak ImagePath U2 idealife Update Service; Brak ImagePath U3 IGRS; Brak ImagePath U2 IviRegMgr; Brak ImagePath U2 Oasis2Service; Brak ImagePath U2 PCCarerService; Brak ImagePath U2 ReadyComm.DirectRouter; Brak ImagePath U2 RichVideo; Brak ImagePath U2 RtLedService; Brak ImagePath U2 SeaPort; Brak ImagePath U2 SoftwareService; Brak ImagePath U3 SQLWriter; Brak ImagePath S3 TDKLIB; \??\C:\Users\MGRK\AppData\Local\Temp\TdkLib64.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z brakującym Shortcut. Dołącz też plik fixlog.txt.

Skrypt FRST wykonany pomyślnie. Skasuj przez SHIFT+DEL (omija Kosz) folder C:\FRST, z Pobranych folder FRST z programem i jego logami oraz GMER. Na koniec wyczyść foldery Przywracania systemu: KLIK. To wszystko.

System nie został zainfekowany i w kontekście tego komunikatu zadam po prostu czyszczenie lokalizacji tymczasowych. Możesz wykonać za to inne poboczne działania (deinstalacje i usunięcie wpisów odpadkowych). Czyli: 1. Odinstaluj zbędne "śledzące" programy Lenovo: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj CCSDK. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK 35 > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {1A528E99-013A-406B-8EC0-D3DC7876B185} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2015-08-17] (Lenovo) Task: {88E8D1B3-A54F-4205-8143-15ACE01D5B7E} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe S0 mfeelamk; C:\Windows\System32\drivers\mfeelamk.sys [80920 2015-07-02] (McAfee, Inc.) C:\Windows\System32\drivers\mfeelamk.sys S2 Internet Manager. RunOuc; C:\Program Files (x86)\T-Mobile\InternetManager_H\UpdateDog\ouc.exe [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Internet Manager S1 rrfd_vw_1_10_0_24; system32\drivers\rrfd_vw_1_10_0_24.sys [X] HKLM-x32\...\Run: [snp2uvc] => C:\WINDOWS\vsnp2uvc.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKU\S-1-5-21-3359559365-526962705-2663625626-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-3359559365-526962705-2663625626-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-3359559365-526962705-2663625626-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-3359559365-526962705-2663625626-1001 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe logi FRST nie są już potrzebne.

Nie ma oznak, by system został zainfekowany z tej reklamy, ale wyczyść lokalizacje tymczasowe + drobne odpadkowe wpisy innego typu: Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {28C7A9B7-8772-42DD-B1ED-42E48041DC31} - System32\Tasks\{145F7D9A-F1EB-4A5C-864B-36B5D2594922} => pcalua.exe -a D:\Pobrane\dotnetfx35.exe -d D:\Pobrane Task: {6D01D217-93BF-42C7-8242-C0DE7EBFA0EC} - System32\Tasks\{FBCF7ECC-12D2-4276-8E80-3ED81A4B7775} => D:\Pobrane\dotNetFx35setup.exe C:\Program Files (x86)\ESET C:\ProgramData\Orbit C:\Users\Kuba\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦 C:\Users\Kuba\AppData\Local\OTLand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe logi FRST nie są już potrzebne.

Potwierdź mi proszę, że siedzicie w Irlandii, co wykluczy infekcję routera (w raporcie irlandzkie IP pobierane z routera). Problem definitywnie inny. Brak oznak tej infekcji, żadnych wpisów proxy. Co tu widać: - W starcie jest sponsorowany Bing, ale to raczej nie on (wpis jest zresztą już wyłączony via Menedżer zadań). - W Firefox podejrzane rozszerzenie "SmashTV", brak takiego w oficjalnej bazie Firefox add-ons. Czyli wstępnie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-3878036693-4044154408-2236019048-1001\...\Run: [bingSvc] => C:\Users\Cinek91\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation) HKLM\...\Run: [HotKeysCmds] => "C:\Windows\system32\hkcmd.exe" HKLM\...\Run: [Persistence] => "C:\Windows\system32\igfxpers.exe" Task: {048AB502-4892-4ACB-BC32-CDC06C6E039F} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {0BEB4D4E-3129-496F-B004-23B6C029F546} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {15C0BBFB-6099-49B6-89F3-C32C49098858} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {1AA555B2-5BE4-408F-8265-2D65CA22D455} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {31D71EA4-FAB2-467A-B47C-9CBC4E697B7F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {4C6B208D-EAB1-46C2-B4C4-9EA79CCF57DC} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {50653210-CD2D-48A2-883E-A07F2A242A4E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {50A110D3-E038-46C1-A0AE-7806CBC6D2E4} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {775990B8-40CD-4EC6-8C27-AD378CB3CD7B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {88A51268-F8D2-4232-8594-6AD27DE9A13D} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {93CC881E-9C66-48FD-A713-9C16E32D65CF} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {C4857D85-86E6-4722-9635-EF47D2B6AA6D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {CA8A6200-A9E3-4F6D-B2D5-590BCF0B8E19} - System32\Tasks\{E8B54FEF-F2AD-472B-9BBB-9AF6D5656A2B} => pcalua.exe -a "C:\ProgramData\Package Cache\{6535d76a-59fb-4935-b2c5-cd61917c4a4b}\Setup.exe" -c /uninstall Task: {D07C4ACB-DB03-4C45-8513-960C6B29CEB1} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku SearchScopes: HKLM -> {0b4d26f6-61a8-4463-99dd-5f2fe0400fa6} URL = DeleteKey: HKCU\Software\Google\Chrome DeleteKey: HKLM\SOFTWARE\Google\Chrome DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Persistence /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v TCrdMain /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v StartCCC /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "ALLPlayer WiFi Remote /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BingSvc /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "MyPC Backup.lnk" /f C:\Users\Cinek91\AppData\Local\Google\Chrome C:\Users\Cinek91\AppData\Local\Microsoft\BingSvc EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Czyszczenie Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus zostanie usunięty. Polecam w zamian instalację uBlock Origin. Menu Historia > Wyczyść całą historię przeglądania. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy po czyszczeniu Firefox są pozytywne zmiany.

Tylko jeśli jest on tak niezbędny, że nie dasz rady tego obejść. Apple również zaleca deinstalację. Z przyklejonego cytuję:

Jakiego konta dotyczył ten e-mail (Facebook, bank, ...)? W raportach brak jakichkolwiek oznak infekcji. Działania poboczne nie związane ze zgłoszonym problemem: 1. Odinstaluj stare niebezpieczne wersje: Adobe AIR, Apple Software Update, Bonjour, Obsługa programów Apple, QuickTime 7. W QuickTime ostatnio wykryto poważne luki, Apple ich nie załata, usunięto wsparcie dla Windows. Widzę, że QuickTime co dopiero instalowałeś... 2. W Google Chrome odinstaluj podejrzane rozszerzenie Video AdBlock for Chrome. Ono nie pochodzi z Chrome Web Store, montował je jakiś zewnętrzny instalator (w rejestrze reinstalatory globalne), poza tym na forum występowało w kontekście ... produkcji reklam. Reinstalatory z rejestru usunie poniższy skrypt FRST. 3. Skrypt usuwający wpisy puste, odpadki po odinstalowanym Firefox, czyszczący Tempy oraz naprawiający błędy PNRPSvc w Dzienniku. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: BHO: Brak nazwy -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> Brak pliku HKU\S-1-5-21-3664094850-1680449025-3853055335-1000\...\Run: [AdobeBridge] => [X] S2 AODDriver4.3; \??\C:\Program Files\AMD\ATI.ACE\Fuel\amd64\AODDriver2.sys [X] CHR HKU\S-1-5-21-3664094850-1680449025-3853055335-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins AlternateDataStreams: C:\Users\MATIG\Cookies:p4iOetldWFSh1f50OK4z [2352] AlternateDataStreams: C:\Users\MATIG\AppData\Local\Temp:Om8SKt1OTpVwoE2rSUDE0c [2034] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Haali Media Splitter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MeGUI C:\Users\MATIG\AppData\Local\{62E9329C-EE00-4ED3-84C1-66AEE41D0D32} C:\Users\MATIG\AppData\Local\{E672B1B2-0E6E-4B4D-BC71-69D3FC3E5A7B} C:\Users\MATIG\AppData\Local\Mozilla C:\Users\MATIG\AppData\Roaming\Mozilla C:\Users\MATIG\AppData\Roaming\Microsoft\Windows\SendTo\Znajomy Xfire.lnk C:\Users\MATIG\Desktop\Adobe Reader XI.lnk C:\Users\MATIG\Desktop\DAEMON Tools Lite.lnk C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking\idstore.* Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Co to konkretnie oznacza, co widzisz, jakiś błąd?

Hmmm, ale adresy DNS pobierane z routera nadal te same co poprzednio: Tcpip\Parameters: [DhcpNameServer] 37.220.3.10 37.220.3.12 Tcpip\..\Interfaces\{FA635E4A-0745-4E36-8CFB-6AB1D6D2A28E}: [NameServer] 8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{FA635E4A-0745-4E36-8CFB-6AB1D6D2A28E}: [DhcpNameServer] 37.220.3.10 37.220.3.12 Problem jest pozornie rozwiązany (i prawdopodobnie ustały u Ciebie przekierowania), bo widać że jednocześnie ustawiłaś serwery Google w konfiguracji Windows. One owszem biorą precedens nad wpisami z routera, co nie zmienia faktu że router nadal wygląda na zainfekowany... W kwestii działań pobocznych: Skrypt FRST zatrzymał się na resecie pliku Hosts i nie był w stanie tego wykonać. Przypuszczalnie zablokował zmiany Kaspersky. Poza tym, nie widzę oznak, by zostały odinstalowane stare programy, co najmniej niebezpieczna Java 6 nadal widziana w logu. Ponowienie nie wykonanych akcji: 1. Odinstaluj programy, które wskazałam. 2. Wyłącz osłony Kasperskiego na czas tej operacji. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 NPF; system32\drivers\NPF.sys [X] Hosts: EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Ma nastąpić restart. Przedstaw wynikowy fixlog.txt.

Wszystko zrobione. Mini poprawka. Otwórz Notatnik i wklej: U3 TrueSight; \??\C:\Windows\System32\drivers\TrueSight.sys [X] Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Arni556\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Arni556\Downloads\FRST-OlderVersion CMD: del /q C:\Users\Arni556\Downloads\51ev8d2w.exe Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są już potrzebne.

Fix FRST pomyślnie wykonany. 1. AdwCleaner znalazł jeszcze dużo odpadków po adware. Uruchom program ponownie, wybierz po kolei opcje Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz ręcznie zainstaluj najnowszą łatkę dla Adobe Reader (XP nie aktualizuje już wyżej niż wersja 11.0.08): KLIK. To wszystko.

1. AdwCleaner dopatrzył się jednego klucza po YAC. Uruchom program ponownie, wybierz po kolei opcje Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Zastosuj DelFix. Pobrany GMER i jego log skasuj ręcznie, DelFix ich nie wykryje. To wszystko. PS. I wielkie dzięki za ewentualne wsparcie.

Wszystko pomyślnie przetworzone. 1. W Chrome widzę inne zmiany i załadowany inny zestaw ustawień i dodatków niż poprzednio, takl jakby z serwera Google odtworzyły się ustawienia. Czy na pewno zresetowałaś synchronizację przed resetem lokalnych ustawień? Poprawki: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj OneTab. To rozszerzenie kojarzone z niepożądanymi instalacjami. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy z wyjątkiem google.pl, przestaw na "Otwórz stronę nowej karty" 2. Wykonaj drobne szukanie dodatkowe. Uruchom FRST, w polu Szukaj wklej co poniżej, klik w Szukaj w rejestrze i dostarcz wynikowy log. QQPCMgr;Tencent

Temat przenoszę do działu Windows, żadnych oznak infekcji. I te logi FRST zostały już zrobione najwyraźniej po deinstalacji Pandy - jeszcze odinstaluj Panda Security Toolbar. Nasuwa się pytanie czy po deinstalacji Pandy wystąpiły jakieś zmiany w działaniu systemu i czy opisywane problemy nadal aktualne?

Raporty zostały zrobione wg wytycznych z innego forum a nie tutejszych: sekcje "Lista BCD", "MD5 sterowników" i "Pliki z 90 dni" nie miały być zaznaczone. To produkuje masę zbędnych danych, te opcje są pod bardzo konkretne problemy i infekcje (niektóre bardzo stare i już nie występujące w przyrodzie). Temat przenoszę do Windows, nie notuję oznak infekcji. Co widzę w raportach: - Ślady braku kompletnej aktualizacji Windows. Stoi stary nie wspierany już IE9, a usługa Windows Update wyłączona via msconfig, co każe podejrzewać, że braki mogą być o wiele poważniejsze. Należy włączyć usługę Windows Update i wykonać pełne wyszukiwanie i instalacje z Windows Update. To działanie z pewnością obciąży mocno system (KLIK) i należy doczekać do ukończenia wszystkiego. - Stary ESET Smart Security (wersja z komponentami z 2014). ESET może być podejrzewany o obciążenie ogólne zasobów, o ile to nadal ma miejsce, bo nie jest to dla mnie jasne. Twoja notatka dodana później na spodzie mówi tylko o jednorazowym obciążeniu procesu svchost, co jak rozumiem nie jest tym samym zjawiskiem co opisywne na początku? - Aktywny obiekt "Thorn" (KLIK) oraz drobne nieaktywne już odpadki adware i wpisy puste. 1. Wstępnie usuń Thorn i odpadki. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Thorn; C:\Users\Rohandar\AppData\Local\THORN\Thorn.exe [56824 2015-10-01] (GGS) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 MBfilt; system32\drivers\MBfilt64.sys [X] S3 USBPNPA; system32\drivers\CM10864.sys [X] Task: {11CE462C-A8C0-42C0-A6A9-9BB17D872D29} - System32\Tasks\{9C35C0DE-8AD1-4428-9FFF-DEF6B77E9F49} => Firefox.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=6.18.0.105&LastError=404 Task: {29EACBCC-F34E-4F17-9A4F-C75E7C69CADF} - System32\Tasks\RUQOG => C:\Users\Rohandar\AppData\Roaming\RUQOG.exe Task: {5C92EA86-1BE6-4470-BE96-9D96AFDA5959} - \Installer_iwebar -> Brak pliku Task: {96D6E500-5D20-4D9E-B1C0-F1EE487B8FEC} - System32\Tasks\GameNet => C:\Program Files (x86)\QGNA\qGNA.exe Task: {D707E92F-21D0-4AE2-8D4E-E2EABAA30CFF} - System32\Tasks\1214tbUpdateInfo => C:\ProgramData\Avg_Update_1214tb\1214tb_{5ED5914E-F3C0-464F-824E-F86395465A48}.exe [2014-12-10] () Task: {DDE1FF2C-8282-4720-8082-CEB6E7D893C0} - System32\Tasks\RHAOLU => C:\Users\Rohandar\AppData\Roaming\RHAOLU.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\vToolbarUpdater3.2.0 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AppsHat DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cheatengine DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoobzoYouTubeAccelerator DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt GroupPolicyScripts: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3195461200-3561244552-3601279974-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141123 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141123 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-3195461200-3561244552-3601279974-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-3195461200-3561244552-3601279974-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main FF DefaultSearchEngine: Bezpieczne wyszukiwanie FF SelectedSearchEngine: AVG Secure Search C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins C:\ProgramData\Avg_Update_1214tb C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bohemia Interactive C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dragon Age Origins C:\Users\Rohandar\AppData\Local\THORN C:\Users\Rohandar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Bohemia Interactive CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. 2. Dodatkowa drobnostka. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Rohandar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer (x86)\iexplore.exe" dopisz dwie spacje i -extoff

Obiekt wprowadziłeś w system własnoręcznie: HKLM\...\Run: [Chew7Hale] => C:\Windows\System32\hale.exe [2169856 2015-08-16] () To crack aktywacji Windows 7 (zachowany przy aktualizowaniu do Windows 10). Znany dobrze na forum z niepożądanych zachowań (wysokie obciążenie zasobów). Multum tematów, np.: KLIK / KLIK / KLIK / KLIK / KLIK. Rzecz jasna należy usunąć crack, a wszystko wróci do normy. Przy okazji do usunięcia różne puste / odpadkowe wpisy (w tym po aktualizacji z Windows 7). Kombinując wszystkie działania: 1. Odinstaluj stare wersje: Adobe AIR, Java 7 Update 75 (64-bit), Java 8 Update 31 (64-bit), Java 8 Update 31. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [Chew7Hale] => C:\Windows\System32\hale.exe [2169856 2015-08-16] () HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 Task: {00422730-84D2-4034-920D-67B8EBF36AC9} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {093558AF-7E48-482D-B22B-2CB01F76FAD7} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {0B165BAC-DC9F-48D9-9A1A-A68D1B198BBC} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {1671BF30-82F5-4DD4-8EFC-36571DA4022C} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {177EC48C-DF30-4EA1-BC72-8732671B3DB1} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {1F3E5816-D215-4D3C-9FD5-D6ACDBA82DB6} - System32\Tasks\{7329FD3A-203E-4964-AED1-C849C00224CA} => pcalua.exe -a J:\OnePlus_setup.exe -d J:\ Task: {28CDD071-8675-480A-B212-3351B37424F2} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {2A53593F-187E-4F3C-9188-A286251BF9CC} - System32\Tasks\Menedżer sesji Menedżera okien pulpitu32 => C:\Windows\system32\config\systemprofile\AppData\Local\Menedersesji\menedżer.exe Task: {3334DE27-60E2-4027-9D8C-20BAAB17BA85} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {359FAAA6-B9FB-401E-9427-C019EFC23616} - System32\Tasks\Norton Security\Norton Error Analyzer => C:\Program Files (x86)\Norton Security\Engine\22.5.0.124\SymErr.exe Task: {3697C7FC-CD7D-40B5-BE04-B1BBFDC0074F} - System32\Tasks\Norton Security\Norton Error Processor => C:\Program Files (x86)\Norton Security\Engine\22.5.0.124\SymErr.exe Task: {369B424A-0DAA-4D6E-9372-35EBF5AF2592} - System32\Tasks\Microsoft Office 15 Sync Maintenance for Komputer-gtx Komputer => C:\Program Files\Microsoft Office\Office15\MsoSync.exe Task: {3A1E67A5-C051-4BDC-90C3-4899AE6CB494} - System32\Tasks\{892A11B0-57D5-4B18-9812-39CD55322CF3} => pcalua.exe -a "F:\Instalki Win 7\Camtasia\MadTracksDemoInstall.exe" -d "F:\Instalki Win 7\Camtasia" Task: {3A204890-1571-4496-BF7F-9D3B828D89D7} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {3DDA5664-D7C9-4205-9625-AEA1F9550AF5} - System32\Tasks\{5FFBD848-C2AE-42A6-B6D3-898D6E53C8E8} => pcalua.exe -a F:\Eksperymenty\Win10\VMware-player-7.1.0-2496824.exe -d F:\Eksperymenty\Win10 Task: {41D6C1C5-DAE6-4FC2-BAA4-2B42C90ABE17} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {510FE605-C218-49A8-B13B-C0423451AAA7} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {5616208D-0107-4288-A7C1-D368B08220CA} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {587CDE86-6FB1-4D0F-8C6A-FA1D3D342B67} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {5A01BB55-EC2E-45DA-B67D-B776C808D8D4} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {68A14978-A112-498C-80AD-486EC841ED48} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {6A3F8826-29EE-4621-9938-01B5417189BC} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {70894714-1B09-40BC-8180-B4F58036828D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {7D33DD1B-D93E-4213-ABCD-A6CF90F2CD7C} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {7D98692B-BBCD-4A43-B55C-B355871E1C88} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {8B489E42-105D-4C30-A771-447398833C49} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {8CC49613-1BDF-4D2A-B4E5-64F4CAE19FEB} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {9205ADA1-3B9C-4F60-BF99-8EC990A20B96} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {93F3B933-A6B3-4C26-B2E7-6EC8DD649210} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {A87F07C0-A4C8-47A2-AA45-B63ECC9B41FC} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {AA098C43-A2E1-4925-BC4B-2EA4DB3647B1} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {AD72055E-B387-414B-8399-DFADBBBF867B} - System32\Tasks\{E27720A9-0F6D-4CAB-B7FE-ABA1899BE7BB} => pcalua.exe -a H:\Dokumenty\Downloads\WinRAR_3.80_PL\setup.exe -d H:\Dokumenty\Downloads\WinRAR_3.80_PL Task: {B1FBDC29-6B10-4ACF-AAD4-7445DF39B1EC} - System32\Tasks\AutoPico Daily Restart => C:\Users\gtx\AppData\Local\Temp\RarSFX0\AutoPico.exe Task: {C48C9972-A042-4829-B4C6-CF3393AEED73} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {CF98016A-8B88-467B-B820-7DD19183A335} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {D48E5CE1-1F5E-4FF1-9666-F0FE0134521E} - System32\Tasks\Norton WSC Integration => C:\Program Files (x86)\Norton Security\Engine\22.5.0.124\WSCStub.exe Task: {E73BD091-D836-4363-8E66-8E1EA887E35A} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {F10B09FD-8459-43D3-8CFA-7ADF1CA26451} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {F7599025-DEC6-4E45-B646-A6F51EDACD37} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe S3 hamachi; C:\Windows\system32\DRIVERS\Hamdrv.sys [45680 2015-11-12] (LogMeIn Inc.) U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath GroupPolicyUsers\S-1-5-21-2592313924-3969202158-3244188748-1004\User: Ograniczenia GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia ShellIconOverlayIdentifiers: [ OverlayExcluded] -> {4433A54A-1AC8-432F-90FC-85F045CF383C} => Brak pliku ShellIconOverlayIdentifiers: [ OverlayPending] -> {F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225} => Brak pliku ShellIconOverlayIdentifiers: [ OverlayProtected] -> {476D0EA3-80F9-48B5-B70B-05E677C9C148} => Brak pliku CustomCLSID: HKU\S-1-5-21-2592313924-3969202158-3244188748-1001_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\gtx\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Brak pliku CHR HKU\S-1-5-21-2592313924-3969202158-3244188748-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crxx CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://safesearch.avira.com/#web/result?source=art&q= HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://safesearch.avira.com/#web/result?source=art&q= HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://safesearch.avira.com/#web/result?source=art&q= HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxps://safesearch.avira.com/#web/result?source=art&q= HKU\S-1-5-21-2592313924-3969202158-3244188748-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://safesearch.avira.com/#web/result?source=art&q= HKU\S-1-5-21-2592313924-3969202158-3244188748-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://safesearch.avira.com/#web/result?source=art&q= HKU\S-1-5-21-2592313924-3969202158-3244188748-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://safesearch.avira.com/#web/result?source=art&q= HKU\S-1-5-21-2592313924-3969202158-3244188748-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxps://safesearch.avira.com/#web/result?source=art&q= SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2592313924-3969202158-3244188748-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxps://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SSUService DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Security DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Chew7Hale /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v Chew7Hale /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "Splashtop Wired XDisplay Agent.lnk" /f C:\Program Files\*.exe C:\Users\gtx\AppData\Local\ACCCx2_8_0_447.zip.aamdownload C:\Users\gtx\AppData\Local\ACCCx2_8_0_447.zip.aamdownload.aamd C:\Users\gtx\AppData\Local\Mozilla C:\Users\gtx\AppData\Local\Splashtop C:\Users\gtx\AppData\Roaming\Mozilla C:\Users\gtx\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Bamboo Dock.lnk C:\Users\gtx\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\FTB Launcher.lnk C:\Users\gtx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FTB Launcher.lnk C:\Windows\pss\Wysyłanie do programu OneNote.lnk.Startup C:\Windows\ehome C:\Windows\System32\hale.exe C:\Windows\System32\Drivers\Hamdrv.sys C:\Windows\System32\Tasks\Norton Security C:\Windows\System32\Tasks\Microsoft\Windows\Media Center CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zresetuj cache wtyczek Google Chrome, by usunąć martwe wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut. Dołącz też plik fixlog.txt.

Dział pomocy doraźnej to dział dedykowany tylko i wyłącznie diagnostyce infekcji, a nie innych objawów. To na pewno nie ma związku z infekcją i temat przesuwam do ogólnego działu Windows (nie podane jaka platforma). Zacznijmy od tego, że opisywany problem nie wygląda na "usterkę", tylko na uruchomienie jakieś funkcji dzielenia ekranu, bądź wirtualnych Pulpitów. Nie podane specyfikacje systemu, nie podane raporty pokazujące co się uruchamia przy starcie.

X: to jak najbardziej poprawny i spodziewany odczyt, to jest wirtualnie zmapowany dysk ze środowiskiem odzyskiwania systemu RE. I w środowisku RE ogólnie mapowanie liter może być inne, ponieważ wtedy jako pierwsza "C" ujawnia się partycja ukryta spod Windows "Zastrzeżone przez system", a to co spod uruchomionego systemu było widziane jako "C" przesuwa się na dalszą pozycję. Operacja wykonana w punkcie b niepoprawna z dwóch powodów. Po pierwsze to polecenie obsługiwane na systemach Windows 8 i nowszych, po drugie użyty parametr Online stosowany tylko i wyłącznie spod uruchomionego Windows. W środowisku RE stosuje się parametr Offline. Zacznij od wykonania polecenia DISM /Image:Litera: /Cleanup-Image /RevertPendingActions z ustępu "Uruchamianie SFC z poziomu WinRE": KLIK. Poprawne litery wytypuj w oparciu o podany tam trik z Notatnikiem.

Temat przenoszę do właściwego działu Sieci. Problem nie jest pochodną infekcji. A jedyne co widzę w raportach połączone z ustawieniami sieci, to poniższe błędy w Dzienniku zdarzeń, ale moim zdaniem to jest poboczna sprawa: Dziennik Aplikacja: ================== Error: (05/15/2016 01:57:20 PM) (Source: Microsoft-Windows-EapHost) (EventID: 2002) (User: Mateo-Komputer) Description: Pomijanie: nie można zweryfikować Eap method DLL path. Błąd: identyfikator typu=43, identyfikator autora=9, identyfikator dostawcy=0, typ dostawcy=0 Error: (05/15/2016 01:57:20 PM) (Source: Microsoft-Windows-EapHost) (EventID: 2002) (User: Mateo-Komputer) Description: Pomijanie: nie można zweryfikować Eap method DLL path. Błąd: identyfikator typu=25, identyfikator autora=9, identyfikator dostawcy=0, typ dostawcy=0 Error: (05/15/2016 01:57:20 PM) (Source: Microsoft-Windows-EapHost) (EventID: 2002) (User: Mateo-Komputer) Description: Pomijanie: nie można zweryfikować Eap method DLL path. Błąd: identyfikator typu=17, identyfikator autora=9, identyfikator dostawcy=0, typ dostawcy=0 Error: (05/15/2016 01:57:20 PM) (Source: Microsoft-Windows-EapHost) (EventID: 2002) (User: Mateo-Komputer) Description: Pomijanie: nie można zweryfikować Eap method DLL path. Błąd: identyfikator typu=23, identyfikator autora=8086, identyfikator dostawcy=0, typ dostawcy=0 Error: (05/15/2016 01:57:20 PM) (Source: Microsoft-Windows-EapHost) (EventID: 2002) (User: Mateo-Komputer) Description: Pomijanie: nie można zweryfikować Eap method DLL path. Błąd: identyfikator typu=21, identyfikator autora=8086, identyfikator dostawcy=0, typ dostawcy=0 Error: (05/15/2016 01:57:20 PM) (Source: Microsoft-Windows-EapHost) (EventID: 2002) (User: Mateo-Komputer) Description: Pomijanie: nie można zweryfikować Eap method DLL path. Błąd: identyfikator typu=18, identyfikator autora=8086, identyfikator dostawcy=0, typ dostawcy=0 Opis błędu - Zachodzi pytanie jak jest skonfigurowany router obecnie. Log z FRST tylko tyle mówi, że w Windows jest prawdopodobnie ustawione "Pobierz automatycznie" DNS, gdyż jedyne serwery DNS widoczne w raporcie to te pobierane z routera (DhcpNameServer), a nie pobierane z Windows (NameServer): Tcpip\Parameters: [DhcpNameServer] 62.179.1.60 62.179.1.61 Tcpip\..\Interfaces\{D9106A91-743D-4F08-883C-25A888FD6DA6}: [DhcpNameServer] 62.179.1.60 62.179.1.61 I skoro wyraźnie mówisz, że przeinstalowałeś system, a problem nadal występuje, to nie sądzę, że jest to problem systemu i ponowne resetowanie ustawień w Windows wydaje się tu bezcelowe (to wykonała już reinstalacja). Niestety nic mi nie przychodzi do głowy. PS. Jako poboczne działania w spoilerze pobór informacji o w/w kluczach EapHost skombinowane z czyszczeniem innych wpisów nie powiązanych z problemami:

Temat przenoszę do działu Windows. To nie jest problem infekcji tylko uszkodzenia pliku taskmgr.exe, o czym mówią obrazki, a pośrednio i skan SFC. A powód rysuje Dziennik zdarzeń: Dziennik System: ============= Error: (05/14/2016 10:41:06 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie C:. Od tego należy zacząć. 1. Wg FRST już jest zaplanowany skan chkdsk przy starcie systemu, więc go wdróż. Tzn. zresetuj system i pozwól się wykonać w pełni sprawdzaniu błędów dysku. Wynik zostanie nagrany w Dzienniku zdarzeń w gałęzi Aplikacja w postaci rekordu z Wininit. Pobierz szczegóły tego rekordu, skopiuj i wklej do posta statystyki. 2. Po w/w sprawdzaniu uruchom ponownie sfc /scannow. Następnie zrób przefiltrowany wg instrukcji log skanu SFC, by było wiadome co konkretnie i gdzie namierza SFC (uszkodzeń może być więcej): KLIK. 3. Dodaj też wyniki wyszukiwania na wszystkie wystąpienia pliku. Uruchom FRST, w polu Szukaj wklej co podane poniżej, klik w Szukaj plików i przedstaw log wynikowy. taskmgr.exe

Shocked, zajmę się tematem, gdy będę w stanie, więc proszę nie odświeżaj (widzę jakie tematy wymagają interwencji). Obecnie jestem mocno ograniczona czasowo i kondycyjnie.

W systemie są szkodliwe obiekty startowe RunOnce (AdBlock + systwin). Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: set HKLM-x32\...\RunOnce: [AdBlock] => "AdBlock.exe" HKLM-x32\...\RunOnce: [systwin] => "systwin.exe" HKU\S-1-5-21-1202582443-2431899416-2755814704-1001\...\Run: [AdobeBridge] => [X] Task: {5684927F-CDD2-4FE5-9B5C-0AD1D4CC9230} - System32\Tasks\{E13A6586-1AFA-4370-BF34-C46740C4A699} => Chrome.exe hxxp://ui.skype.com/ui/0/7.21.0.100/en/abandoninstall?page=tsProgressBar Task: {6AE322FF-3CCA-4F1B-B468-2CEB03DED424} - \{7E0C0847-0C04-0A05-0C11-0E097F781178} -> Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKU\S-1-5-21-1202582443-2431899416-2755814704-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.msn.com/spbasic.htm SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości C:\ProgramData\~0 C:\ProgramData\RogueKiller C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VideoLAN C:\Users\Arni556\AppData\Local\BTServer.log C:\Users\Arni556\AppData\Local\MetastaticArbutuses C:\Users\Arni556\AppData\Local\Tempfolder C:\Users\Arni556\AppData\Roaming\*.* C:\Users\Arni556\AppData\Roaming\{6402F97B-592D-8ED0-8C92-6A62ED4128B1} C:\Users\Arni556\AppData\Roaming\download C:\Users\Arni556\AppData\Roaming\Guikn C:\Users\Arni556\AppData\Roaming\MolfKolgaj C:\Users\Arni556\AppData\Roaming\Nutni C:\Users\Arni556\AppData\Roaming\VuviroKit C:\Users\Arni556\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\allegro.pl (2).lnk C:\Users\Arni556\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Booking (2).lnk C:\Users\Public\Documents\dmp C:\Windows\AdBlock.exe C:\Windows\systwin.exe C:\Windows\system32\Drivers\TrueSight.sys C:\Windows\SysWOW64\pl.html Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Prewencyjnie zresetuj przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

Fixlog sugeruje, że błąd musiał nastąpić już po wykonaniu wszystkich linii ze skryptu, gdyż FRST w drugim podejściu nic nie znalazł. Gdyby błąd wystąpił gdzieś "wyżej", to miałoby to odbicie w Fixlog (wykonanie poleceń od miejsca błędu). To tylko uwagi poboczne, gdyż w sumie wszystkie akcje wykonane. Małe poprawki: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{9563BC59-9556-4805-8CD4-886781779D8D} HKU\S-1-5-18\...\RunOnce: [FlashPlayerUpdate] => C:\WINDOWS\system32\Macromed\Flash\FlashUtil32_16_0_0_310_pepper.exe -update pepperplugin RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\ACE Mega CoDecS Pack CMD: del /q "C:\Documents and Settings\PC\Moje dokumenty\ttfggdwi.exe" CMD: del /q "C:\Documents and Settings\PC\Moje dokumenty\qno8pw1w.exe" Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom ponownie (wcześniej używany już) AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.