Skocz do zawartości

picasso

Administratorzy
  • Postów

    36 516
  • Dołączył

  • Ostatnia wizyta

Treść opublikowana przez picasso

  1. Zabrakło głównego raportu FRST.txt. Uzupełnij. A EmptyTemp: usunęło tylko 1.1 GB, więc potem wdróż diagnostykę SpaceSniffer co i gdzie zżera miejsce.
  2. Akcje pomyślnie wykonane. Zamiennie podaj listę zrobioną za pomocą FRST. Otwórz Notatnik i wklej w nim: CMD: dir /a X:\ Pod X:\ podstaw bieżącą literę pod jaką jest zmapowany pendrive. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wyikowy fixlog.txt. W systemie jest bardzo stara i niewspierana już wersja IE8. Wstępnie zamontuj IE11 z bezpośredniego instalatora: KLIK. Niemniej będzie dużo dodatkowych łat do instalacji z Windows Update...
  3. Problem rozwiązany. Natomiast możesz wykonać drobne korekty poboczne (usunięcie pustych wpisów / skrótów) i czyszczenie Tempów: 1. Odinstaluj stare niebezpieczne wersje (zagrożenie m.in. infekcjami szyfrującymi dane): Adobe Flash Player 18 NPAPI, Adobe Reader 9.5.5, Java 8 Update 25. 2. W Google Chrome zresetuj cache wtyczek, by usunąć puste rekordy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Wersyliusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff [PS. I do usunięcia ręcznie puste skróty - wyszukaj w pliku Shortcut.txt wszystkie wystąpienia frazy "Brak pliku".] 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 MSICDSetup; \??\D:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] HKLM-x32\...\Run: [amd_dc_opt] => C:\Program Files (x86)\AMD\Dual-Core Optimizer\amd_dc_opt.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeInn DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Users\Wersyliusz\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦 CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są mi potrzebne.
  4. Przepraszam, ucięło mi tekst. Tam miało być pod spodem: Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.
  5. Naprawa usługi Centrum zabezpieczeń oraz włączenie Zapory systemowej: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc] "Start"=dword:00000002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc] "DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\ 72,00,69,00,63,00,74,00,65,00,64,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\ 4d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="NT AUTHORITY\\LocalService" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security] "Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\ 00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\ 7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\ 00,00,00 2. Wykonaj skan sfc /scannow i dostarcz wynikowy filtrowany log: KLIK. Ale to potwornie stara wersja 6. Czy używasz jej do obsługi sieci Tlen (rozmowy w tej sieci czy tylko odczyt poczty)? Już prędzej polecam nowoczesny WTW (obsługuje sieć Tlen): KLIK. Lista oprogramowania w przyklejonym: KLIK. Nie mam konkretnych sugestii jakiego antywirusa dobrać, ale nie niszowe rozwiązania. Zwróć też uwagę, że dla Vista jest nieco mniejszy wybór, np. najnowszy darmowy antywirus Sophos nie jest kompatybilny z tym systemem. Natomiast Windows Defender wbudowany w Vista to staroć i bardzo mierne zabezpieczenie, więc to polecam wyłączyć. Ten program ewoluował znacznie i w najnowszych systemach w ogóle nie jest tym co w Vista - w Windows 8 i nowszych jest integrowane ulepszone "Microsoft Security Essentials" brandowane jako "Windows Defender" ze względów historycznych.
  6. Dawno się widzieliśmy! No tak, typowa sprawa z "downloadera", ostatnio prawdziwa plaga. Jeśli chodzi o to "%snf%" to jest to wynik modyfikacji skrótów LNK przeglądarek. Akcja: 1. W Google Chrome: - W rozszerzeniach odinstaluj "krzak" 电脑管家上网防护. - A ten jeden rekord "Brak pliku" w spisie wtyczek (nieprzetwarzalny w Fixie FRST) usuniesz resetując cache: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 2. Zmontuj fixlist.txt o zawartości: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\blood\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\blood\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\blood\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\blood\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% S4 BazisPortableCDBus; system32\drivers\BazisPortableCDBus.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gameforge Live Reg: reg query HKCU\Environment /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Nastąpi restart. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są mi tu potrzebne. 3. Na wszelki wypadek jeszcze zrób szukanie w rejestrze na frazę Tencent, tzn. wklep to w polu Szukaj i klik w Szukaj w rejestrze.
  7. Skorzystaj ze specjalnego usuwacza Adobe Reader and Acrobat Cleaner Tool. Po zatwierdzeniu licencji pokaże się kilka wersji narzędzia, pobierasz AcroCleaner for 9.x.
  8. Tak, proszę przeinstaluj je od nowa i podaj czy osłony po tej akcji nadal są wyłączane. Jeśli chodzi o problem "stukania" dysku, to osobna sprawa do działu Hardware. Tam należy podać inne dane do analizy: KLIK.
  9. Jaki model komputera, jaki BIOS? Na teraz nie przychodzi mi do głowy nic innego niż cofnięcie całego rejestru do punktu, gdy system jeszcze startował. Jeśli to nie pomoże, jednak podejrzewam układ dysków jako przyczynę. Ten halt na CLASSPNP.SYS jest częstym objawem trybu pracy dysku. W każdym razie, na teraz spróbuj załadować starszy rejestr z kopii RegBack. Do Notatnika wklej: LastRegBack: 2016-05-07 23:47 Zapisz pod nazwą fixlist.txt tam skąd uruchamiasz FRST. Uruchom FRST i klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Wypowiedz się czy są zmiany.
  10. UltraISO nie korzysta z SPTD. W systemie są ślady wskazujące, że na pendrive był robak Brontok. Obecnie jednak infekcja nie jest już aktywna i zostały do wyczyszczenia tylko jej szczątki, a przy okazji inne puste / odpadkowe wpisy. Akcja: 1. Odinstaluj stare niebezpieczne wersje (zagrożenie infekcjami np. szyfrującymi dane): Acrobat.com, Adobe AIR, Adobe Reader 9. 2. Wyczyść cache wtyczek Google Chrome, by pozbyć się martwych wpisów: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-933518959-968290592-3554862803-1000\...\Run: [ASRock A-Tuning] => [X] HKU\S-1-5-21-933518959-968290592-3554862803-1000\...\Run: [Tok-Cirrhatus] => 0 HKU\S-1-5-21-933518959-968290592-3554862803-1000\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-933518959-968290592-3554862803-1000\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-933518959-968290592-3554862803-1000\...\Policies\Explorer: [NoFolderOptions] 1 HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="" SearchScopes: HKU\S-1-5-21-933518959-968290592-3554862803-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku BHO-x32: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku BHO-x32: Norton Vulnerability Protection -> {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -> C:\Program Files (x86)\Norton Internet Security\Engine\21.7.0.11\IPS\IPSBHO.DLL => Brak pliku Toolbar: HKU\S-1-5-21-933518959-968290592-3554862803-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku Task: {5A5A36FF-82CB-43DD-8EAB-8FA85AF0C022} - System32\Tasks\AsrAPPShop => C:\Program Files (x86)\ASRock Utility\APP Shop\AsrAPPShop.exe Task: {7C735EB4-AEF9-47AA-BC36-311B157E7B39} - System32\Tasks\{0F5D21E0-7785-4DBE-94A1-22478C066C2E} => pcalua.exe -a "F:\Data PAWEŁ.exe" -d F:\ S3 AsrSetupDrv; \??\C:\Windows\SysWOW64\Drivers\AsrSetupDrv.sys [X] DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\Norton C:\Users\Paweł\AppData\Local\*.* CMD: for /d %f in (C:\Users\Paweł\AppData\Local\*bron*) do rd /s /q "%f" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowe logi: FRST z opcji Skanuj (Scan), bez Addition i Shortcut, oraz USBFix z opcji Listing przy popdpiętym pendrive. Dołącz też plik fixlog.txt.
  11. W raportach nie widać żadnych oznak infekcji. A jedyne co się łączy z problemem, to ten błąd w Dzienniku zdarzeń: Dziennik System: ============= Error: (05/10/2016 08:53:26 AM) (Source: Microsoft Antimalware) (EventID: 2001) (User: ) Description: Produkt %ZARZĄDZANIE NT60 napotkał błąd podczas próby aktualizacji podpisów. Nowa wersja podpisu: Poprzednia wersja podpisu: 1.219.1074.0 Źródło aktualizacji: %ZARZĄDZANIE NT59 Etap aktualizacji: 4.9.0218.00 Ścieżka źródła: 4.9.0218.01 Typ podpisu: %ZARZĄDZANIE NT602 Typ aktualizacji: %ZARZĄDZANIE NT604 Użytkownik: ZARZĄDZANIE NT\SYSTEM Bieżąca wersja aparatu: %ZARZĄDZANIE NT605 Poprzednia wersja aparatu: %ZARZĄDZANIE NT606 Kod błędu: %ZARZĄDZANIE NT607 Opis błędu: %ZARZĄDZANIE NT608 Pytanie: czy reinstalacja wymienionych programów coś wnosi do sprawy, czy też osłony są od razu deaktywowane?
  12. Czy masz dostęp do konfiguracji routera? Jeśli tak, to dla pewności można będzie zmienić adresy DNS. W obecnej sytuacji punkty Przywracania systemu raczej nie mają tu nic do rzeczy, bo w skanie FRST brak wykrytych jakichkolwiek punktów (pusta lista). A ten zadany przez Rucka SpaceSniffer do zastosowania dopiero po zadanych działaniach, gdyż komenda EmptyTemp: może zmienić statystyki.
  13. Masz na myśli Firefox (widać dobrze modyfikacje adware) czy również świeżo doinstalowany SlimJet (nie jest skanowany przez FRST)? Działania do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania odinstaluj stare niebezpieczne wersje: Adobe Flash Player 12 ActiveX, Adobe Flash Player 19 NPAPI, Adobe Reader X (10.1.0) - Polish, Adobe Shockwave Player, Java 7 Update 71, Java™ 6 Update 45, Java™ SE Runtime Environment 6, Tlen.pl. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis globalupdate Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S4 IhPul; C:\Users\Asia\AppData\Roaming\TSv\TSvr.exe [396944 2015-09-21] (tsvr.com) R2 SSFK; C:\Program Files\SFK\SSFK.exe [169632 2015-10-10] (TODO: ) S4 vicoqudu; C:\Users\Asia\AppData\Roaming\899F12C0-1436201301-11D8-84B6-001636C8FE49\hnslEFDE.tmp [165376 2015-07-06] () [brak podpisu cyfrowego] S4 zejytose; C:\Users\Asia\AppData\Roaming\899F12C0-1436201301-11D8-84B6-001636C8FE49\jnsqDA0B.tmp [199168 2015-07-06] () [brak podpisu cyfrowego] S4 demeduco; C:\Users\Asia\AppData\Roaming\899F12C0-1436201301-11D8-84B6-001636C8FE49\knslC0EA.tmpfs [X] S4 wscsvc; %SystemRoot%\System32\wscsvc.dll [X] S3 HSXHWAZL; system32\DRIVERS\HSXHWAZL.sys [X] S1 innfd_1_10_0_14; system32\drivers\innfd_1_10_0_14.sys [X] S2 mdmxsdk; system32\DRIVERS\mdmxsdk.sys [X] S1 Tosrfcom; Brak ImagePath S2 XAudio; system32\DRIVERS\xaudio.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Uedisliwne => ""="service" HKLM\...\Run: [winlogon] => C:\Users\Asia\AppData\Local\Temp\winlogon.bat [80 2016-05-01] () HKU\S-1-5-21-1931567941-3394926104-3286302997-1000\...\Run: [winlogon] => C:\Users\Asia\AppData\Local\Temp\winlogon.bat [80 2016-05-01] () HKU\S-1-5-21-1931567941-3394926104-3286302997-1000\...\Policies\system: [DisableLockWorkstation] 0 HKU\S-1-5-21-1931567941-3394926104-3286302997-1000\...\Policies\system: [DisableChangePassword] 0 HKU\S-1-5-21-1931567941-3394926104-3286302997-1000\...\Policies\Explorer: [NoLogoff] 0 Startup: C:\Users\Asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.bat [2015-09-24] () HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450118190&z=c1ada6620acb52b19c8d4fagaz8wbe9g3g0b1o6o2t&from=wpm07173&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1450118190&z=c1ada6620acb52b19c8d4fagaz8wbe9g3g0b1o6o2t&from=wpm07173&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450118190&z=c1ada6620acb52b19c8d4fagaz8wbe9g3g0b1o6o2t&from=wpm07173&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1450118190&z=c1ada6620acb52b19c8d4fagaz8wbe9g3g0b1o6o2t&from=wpm07173&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT&q={searchTerms} HKU\S-1-5-21-1931567941-3394926104-3286302997-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1447237251&z=27ce23626eb37582ecd29ccg1z9zfmfo2c0m6oeb4g&from=wpm07173&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT&q={searchTerms} HKU\S-1-5-21-1931567941-3394926104-3286302997-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1450118190&z=c1ada6620acb52b19c8d4fagaz8wbe9g3g0b1o6o2t&from=wpm07173&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT HKU\S-1-5-21-1931567941-3394926104-3286302997-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1450118190&z=c1ada6620acb52b19c8d4fagaz8wbe9g3g0b1o6o2t&from=wpm07173&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT HKU\S-1-5-21-1931567941-3394926104-3286302997-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447237251&z=27ce23626eb37582ecd29ccg1z9zfmfo2c0m6oeb4g&from=wpm07173&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1436203932&z=e5b5e800d00755adda873dcgdzdc4q4oeedc0t9cet&from=cmi&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1436203932&z=e5b5e800d00755adda873dcgdzdc4q4oeedc0t9cet&from=cmi&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT&q={searchTerms} SearchScopes: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447237251&z=27ce23626eb37582ecd29ccg1z9zfmfo2c0m6oeb4g&from=wpm07173&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT&q={searchTerms} SearchScopes: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT&ts=1436204050&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT&ts=1436204050&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1447237251&z=27ce23626eb37582ecd29ccg1z9zfmfo2c0m6oeb4g&from=wpm07173&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT&q={searchTerms} SearchScopes: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT&ts=1436204050&type=default&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.oursurfing.com/?type=sc&ts=1436201156&z=2f12145e4892ea57f992afdg2z8ceqboee0gdgfqez&from=2sq1&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT ShortcutWithArgument: C:\Users\Asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1447237251&z=27ce23626eb37582ecd29ccg1z9zfmfo2c0m6oeb4g&from=wpm07173&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT ShortcutWithArgument: C:\Users\Asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1447237251&z=27ce23626eb37582ecd29ccg1z9zfmfo2c0m6oeb4g&from=wpm07173&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT ShortcutWithArgument: C:\Users\Asia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1447237251&z=27ce23626eb37582ecd29ccg1z9zfmfo2c0m6oeb4g&from=wpm07173&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\zf3i4r6e6f5o4x.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> -new-tab hxxp://www.mysearch123.com/?type=hp&ts=1445257942&z=1c789fdc7c3bbbd427d9c14g8z9z4weobw8mct3q0b&from=eve&uid=TOSHIBAXMK1234GSX_Y6DYT1IITXXY6DYT1IIT FF Plugin: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [brak pliku] FF Plugin: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [brak pliku] Task: {A967E646-4B67-4386-B505-BBE468576B79} - System32\Tasks\{A5776EE5-3169-4ACB-B744-D58865AD7B3E} => pcalua.exe -a "C:\Program Files\Picexa\uninstall.exe" CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{3C4F3BE3-47EB-101B-A3C9-08002B2F49FB}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{3C4F3BE5-47EB-101B-A3C9-08002B2F49FB}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{3C4F3BE7-47EB-101B-A3C9-08002B2F49FB}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{7629CFA2-3FE5-101B-A3C9-08002B2F49FB}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{7629CFA4-3FE5-101B-A3C9-08002B2F49FB}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{D5DE8D20-5BB8-11D1-A1E3-00A0C90F2731}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1931567941-3394926104-3286302997-1000_Classes\CLSID\{F9043C85-F6F2-101A-A3C9-08002B2F49FB}\InprocServer32 -> Brak ścieżki do pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\winlogon DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox\Extensions DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes AlternateDataStreams: C:\Windows:61938FE9F037BFF0 [50] C:\Program Files\SSFK.exe C:\Program Files\SFK C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\Microsoft\Windows\GameExplorer\{9D18EE7D-9A67-4648-BE6D-D5484ABB066D} C:\Users\Asia\AppData\Local\Temptable.xml C:\Users\Asia\AppData\Local\Microsoft\Windows\GameExplorer\{236359A9-96F0-4FB7-93BF-A7BCDA870055} C:\Users\Asia\AppData\Roaming\50Sf88cpQXyp6YhFGhjMa5Op C:\Users\Asia\AppData\Roaming\50Sf88cpQXyp6YhFGhjMa5Op.exe C:\Users\Asia\AppData\Roaming\BYAIAMUF C:\Users\Asia\AppData\Roaming\BYAIAMUF.exe C:\Users\Asia\AppData\Roaming\efzomzX1xo393 C:\Users\Asia\AppData\Roaming\efzomzX1xo393.exe C:\Users\Asia\AppData\Roaming\GNOK C:\Users\Asia\AppData\Roaming\GNOK.exe C:\Users\Asia\AppData\Roaming\899F12C0-1436201301-11D8-84B6-001636C8FE49 C:\Users\Asia\AppData\Roaming\TSv C:\Users\Asia\Downloads\New English File Pre-Intermediate\NEF Pre-intermediate MultiROM\data\flash\starttemp.exe.lnk C:\Users\Asia\Links\TV Shows.lnk C:\Users\Asia\Links\zdjecia kwiaty.lnk C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowe logi: FRST z opcji Skanuj (Scan) - ponownie z Addition, już bez Shortcut - oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.
  14. Z raportu nic nie wynika. Jedyne co sugeruje FRST, to że co dopiero była modyfikacja sterownika WinPCap (WPRO_41_2001.sys), ale szczerze wątpię, by miało to znaczenie. Pytania: Czy przed tym ostatnim restartem było jakieś przepinanie dysków? W jakim trybie działa obecnie ten dysk z Windows 7, AHCI czy IDE? To drugie pytanie jest związane z sugestią, by spróbować przestawić tryb na inny niż jest wyasygnowany jako bieżący.
  15. Tak, to samo, tylko nie rozumiem dlaczego błąd nadal się pokazuje po podstawieniu plików... I prosiłam o nowe wyniki wyszukiwania:
  16. W raportach nie widzę żadnych oznak infekcji tego typu. Niemniej zastanawia mnie Singapurski DNS (OpenDNS) pobierany z routera - czy to celowe ustawienie? Tcpip\Parameters: [DhcpNameServer] 8.8.8.8 208.67.220.220 Poza tym widzę stare adware, stare niebezpieczne wersje programów oraz starszą wersję Avast, różne odpadkowe wpisy, fatalne statystyki wolnego miejsca na dysku i jakieś błędy w Dzienniku powiązane z niemożnością utworzenia punktu Przywracania (być może powiązane z brakiem miejsca na dysku). Drive c: (ACER) (Fixed) (Total:85.3 GB) (Free:1.71 GB) NTFS Na razie częściowo adresuję powyższe aspekty: 1. Odinstaluj stare niebezpieczne wersje i inne niepożądane programy: Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Shockwave Player 11.6, Facebook Video Calling 3.1.0.521, FoxTab Media Player (adware), Java 8 Update 45, Java™ 6 Update 32, Java™ 6 Update 34, JavaFX 2.1.1, McAfee Security Scan Plus, Opera 11.62, SpyHunter (skaner z czarnej listy). 2. Na czas tej operacji wyłącz SpyShelter, by nie zablokował FRST. Otwórz Notatnik i wklej w nim: CloseProcesses: ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=wid&from=wid&uid=TOSHIBAXMK3265GSX_40U8C2K3TXX40U8C2K3T&ts=1359234449 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=wid&from=wid&uid=TOSHIBAXMK3265GSX_40U8C2K3TXX40U8C2K3T&ts=1359234449 CHR HomePage: Default -> hxxp://www.22find.com/?utm_source=b&utm_medium=wid&from=wid&uid=TOSHIBAXMK3265GSX_40U8C2K3TXX40U8C2K3T&ts=1359234449 CHR StartupUrls: Default -> "hxxp://www.22find.com/?utm_source=b&utm_medium=wid&from=wid&uid=TOSHIBAXMK3265GSX_40U8C2K3TXX40U8C2K3T&ts=1359234449" CHR DefaultSearchURL: Default -> hxxp://search.22find.com/web/?utm_source=b&utm_medium=wid&from=wid&uid=TOSHIBAXMK3265GSX_40U8C2K3TXX40U8C2K3T&ts=1359234464&type=default&q={searchTerms} CHR DefaultSearchKeyword: Default -> 22find.com HKU\S-1-5-21-1064041401-3872098482-3789036179-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.22find.com/newtab?utm_source=b&utm_medium=wid&from=wid&uid=TOSHIBAXMK3265GSX_40U8C2K3TXX40U8C2K3T&ts=1359234461 HKU\S-1-5-21-1064041401-3872098482-3789036179-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.22find.com/newtab?utm_source=b&utm_medium=wid&from=wid&uid=TOSHIBAXMK3265GSX_40U8C2K3TXX40U8C2K3T&ts=1359234461 URLSearchHook: HKU\S-1-5-21-1064041401-3872098482-3789036179-1000 - (Brak nazwy) - {51a86bb3-6602-4c85-92a5-130ee4864f13} - Brak pliku SearchScopes: HKU\S-1-5-21-1064041401-3872098482-3789036179-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.22find.com/web/?utm_source=b&utm_medium=wid&from=wid&uid=TOSHIBAXMK3265GSX_40U8C2K3TXX40U8C2K3T&ts=1359234464 SearchScopes: HKU\S-1-5-21-1064041401-3872098482-3789036179-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.22find.com/web/?utm_source=b&utm_medium=wid&from=wid&uid=TOSHIBAXMK3265GSX_40U8C2K3TXX40U8C2K3T&ts=1359234464 BHO: Complitly -> {0FB6A909-6086-458F-BD92-1F8EE10042A0} -> C:\Users\Admin\AppData\Roaming\Complitly\64\Complitly64.dll => Brak pliku Toolbar: HKLM - Brak nazwy - !{D4027C7F-154A-4066-A1AD-4243D8127440} - Brak pliku Toolbar: HKLM - Brak nazwy - !{F9639E4A-801B-4843-AEE3-03D9DA199E77} - Brak pliku Toolbar: HKLM-x32 - Brak nazwy - !{D4027C7F-154A-4066-A1AD-4243D8127440} - Brak pliku Toolbar: HKLM-x32 - Brak nazwy - !{F9639E4A-801B-4843-AEE3-03D9DA199E77} - Brak pliku Task: {6CE146EF-4C7C-4671-B69D-78D73AD36D6B} - System32\Tasks\{B10BA226-D3EF-46FE-BCC5-A09777D8F156} => F:\iriver plus 3\iplus3_setupex.exe Task: {872D6613-C62A-4ED8-993C-A9E909EEC18E} - System32\Tasks\{AB17AA70-C6D0-40EA-8FED-27670232857C} => Firefox.exe hxxp://ui.skype.com/ui/0/6.14.0.104/pl/go/help.faq.installer?LastError=1618 HKU\S-1-5-21-1064041401-3872098482-3789036179-1000\...\Winlogon: [shell] C:\Windows\explorer.exe [3231232 2016-01-22] (Microsoft Corporation) S3 StarOpen; C:\Windows\System32\Drivers\StarOpen.sys [5504 2009-11-12] () S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 PCDSRVC{6DD8E36B-3D64B770-06020101}_0; \??\c:\users\admin\appdata\local\temp\xxypfl77czv9\pcdrdiag\bin\pcdsrvc_x64.pkms [X] S4 sptd; System32\Drivers\sptd.sys [X] DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EgisTecPMMUpdate DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EgisUpdate DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mwlDaemon DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SuiteTray DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\uTorrent DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GIMP 2.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SIO.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AcerSystem\AcerSystem User's Guide.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Activision C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dont Starve Reign of Giants C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gimnazjum klasa 2 - Puls zycia C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iriver C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Last.fm C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimus Nexus C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PhotoScape C:\ProgramData\Microsoft\Windows\Start Menu\Programs\System Informacji Oświatowej C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks Closed Beta C:\Users\Admin\AppData\Local\{7273595F-CEA5-461B-845D-E936E3B09712} C:\Users\Admin\AppData\Local\{9F0C4C02-3A27-45DE-B87B-6167F8001E03} C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\novo_price_comparison.crx C:\Users\Admin\AppData\Roaming\skype.ini C:\Users\Admin\AppData\Roaming\DAEMON Tools Lite C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\FoxTab Media Player C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OpenFM.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FoxTab FLV Player C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Testy Gimnazjalne 2013 C:\Users\Admin\Desktop\tata\Gimnazjum klasa 2 - Puls życia.lnk C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Welcome Center.lnk C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\system32\FxsTmp C:\Windows\System32\Drivers\StarOpen.sys C:\Windows\SysWOW64\adbT.exe C:\Windows\SysWow64\Drivers\StarOpen.sys CMD: for /d %f in (C:\Users\Admin\AppData\Local\{*}) do rd /s /q "%f" CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut. Dołącz też plik fixlog.txt.
  17. Poprzednie zadania wprawdzie wykonane, ale wskoczyła kolejna infekcja, tym razem robak Gamarue.... kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3047276897-3179028656-1573973646-1000\...\CurrentVersion\Windows: [Load] C:\ProgramData\msvei.exe C:\ProgramData\msvei.exe C:\ProgramData\ProductData C:\Users\Dominik\AppData\Local\Adobe C:\Users\Dominik\AppData\Local\CryptographMalcontent C:\Users\Dominik\AppData\Local\DOSBox C:\Users\Dominik\AppData\Local\Google\Chrome\User Data\Default C:\Users\Dominik\AppData\Local\Google\Chrome\User Data\Profile 1 C:\Users\Dominik\AppData\Local\Installer C:\Users\Dominik\AppData\Local\Mozilla C:\Users\Dominik\AppData\Local\Tempfolder C:\Users\Dominik\AppData\LocalLow\Company C:\Users\Dominik\AppData\LocalLow\IObit C:\Users\Dominik\AppData\Roaming\ADBDriverInstaller C:\Users\Dominik\AppData\Roaming\Adobe C:\Users\Dominik\AppData\Roaming\BinarySense C:\Users\Dominik\AppData\Roaming\Brotsoft C:\Users\Dominik\AppData\Roaming\Cypherix C:\Users\Dominik\AppData\Roaming\FireShot C:\Users\Dominik\AppData\Roaming\fltk.org C:\Users\Dominik\AppData\Roaming\Foxit Software C:\Users\Dominik\AppData\Roaming\GogguDodg C:\Users\Dominik\AppData\Roaming\GPS Utility C:\Users\Dominik\AppData\Roaming\ipla C:\Users\Dominik\AppData\Roaming\IObit C:\Users\Dominik\AppData\Roaming\JebvMydon C:\Users\Dominik\AppData\Roaming\Mozilla C:\Users\Dominik\AppData\Roaming\NewmNoxg C:\Users\Dominik\AppData\Roaming\ProductData C:\Users\Dominik\AppData\Roaming\Shortcut C:\Users\Dominik\AppData\Roaming\Shuame C:\Users\Dominik\AppData\Roaming\SuperBoost C:\Users\Dominik\AppData\Roaming\UbupcIjefgi C:\Users\Dominik\AppData\Roaming\VaqiutChd C:\Users\Dominik\AppData\Roaming\{C3E3ABA5-F159-48FD-B408-25787224A4E1} C:\Users\Dominik\AppData\Roaming\{F3A1E4F2-9E3E-4379-82D0-A128BA26750F} CMD: ipconfig /flushdns cMD: netsh advfirewall reset EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt. 2. Wprawdzie widzę, że pobrałeś instalator Chrome na dysk, ale czy go uruchomiłeś? Nadal brak wejścia Google Chrome na liście zainstalowanych programów. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.
  18. Fix FRST pomyślnie wykonany. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu. Ponadto, zaktualizuj Windows, masz starą niewspieraną już wersję IE8. Aktualizacja IE jest ważna, mimo że korzystasz tylko z Firefoxa, jej silnik i tak jest używany przez system i zewnętrzne aplikacje. Wszystkie akcje rozpisane tu: KLIK. Jeśli na pewno ponowny pełny (a nie ekspresowy) skan Avast nie wykrywa Sality, to sprawa wygląda na rozwiązaną. Poza tym, masz 64-bitowy system, Sality to infekcja 32-bitowa, więc szkody w systemie byłyby częściowe. Nie wiem. Nie mam danych z momentu gdy była usterka. A ten log z "Complete Internet Repair" niewiele mówi, to narzędzie masowo wdraża fiksy, nie jest pokazane czy naprawiane sfery naprawdę były uszkodzone.
  19. Fix FRST uruchomiłeś aż 4 razy! To skrypt jednorazowego użytku, po pierwszym użyciu jest już nieaktualny i należy dopasować wyniki z nowego skanu do ewentualnych poprawek. Prawie wszystko usunięte. Drobne poprawki. Otwórz Notatnik i wklej w nim: S2 QQRepair1a76; "C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepair1a76" [X] S2 QQRepairb49; "C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepairb49" [X] R3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] DeleteKey: HKU\S-1-5-18\Software\Tencent RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Malwarebytes RemoveDirectory: C:\ProgramData\WindowsMsg RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Blade&Soul RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StepMania RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows 7 - Codec Pack RemoveDirectory: C:\Users\Holy Emperor\AppData\Local\Microsoft\Windows\GameExplorer\{0ABF504E-04CB-48FC-8E63-23828D0762A0} RemoveDirectory: C:\Users\Holy Emperor\AppData\Local\Microsoft\Windows\GameExplorer\{2A3DF11A-13E4-4740-B42D-48CB9938AE0E} RemoveDirectory: C:\Users\Holy Emperor\AppData\Local\Microsoft\Windows\GameExplorer\{2C49EA32-C910-4908-887F-4B1B66C6F708} RemoveDirectory: C:\Users\Holy Emperor\AppData\Local\Microsoft\Windows\GameExplorer\{E212B6B8-B82B-4B0E-B2E2-7598E32F9214} RemoveDirectory: C:\Users\Holy Emperor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft CMD: del /q "C:\Users\Holy Emperor\AppData\Roaming\GiftBag.db" CMD: del /q "C:\Users\Holy Emperor\Desktop\programy\Adobe Reader XI.lnk" CMD: del /q "C:\Users\Holy Emperor\Desktop\programy\World of Warships.lnk" Reg: reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\Uninst.exe" /f Reg: reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\Uninst.exe" /f Reg: reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\UninstallTips.exe" /f Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.
  20. W Chrome widać podejrzaną replikację rozszerzenia "Tłumacz Google" - ta nazwa jest przypisana do ID innych rozszerzeń. Nie wiadomo co to ma znaczyć, czy uszkodzone Google Chrome, czy coś innego. Wstępnie: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Apple Software Update, Obsługa programów Apple, QuickTime 7. QuickTime nie jest bezpiecznym programem, ostatnio wykryto luki, których Apple już nie naprawi (likwidacja wsparcia dla Windows) 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [seagull Drivers] => ssdal_nc.exe startup HKLM\...\runonceex: [Flags] => 128 HKLM\...\runonceex: [Title] => RAPID uninstall cleanup using key [0001] R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] Zip: C:\Program Files (x86)\Google\Chrome;C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job;C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie widoczne rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Na Pulpicie powstał też plik upload.zip - shostuj go gdzieś i podaj link. Wypowiedz się czy problemy w Google Chrome nadal występują. Jeśli nie będzie zmian, prawdopodobnie jest modyfikacja w globalnych plikach Google.
  21. Jest tu infekcja routera a nie w Windows - poniższe adresy IP są angielskie. Nie pomoże tu więc uruchamianie skanów spod Windows, infekcja jest na innym poziomie. Tcpip\Parameters: [DhcpNameServer] 37.220.3.10 37.220.3.12 Tcpip\..\Interfaces\{FA635E4A-0745-4E36-8CFB-6AB1D6D2A28E}: [DhcpNameServer] 37.220.3.10 37.220.3.12 A ten komunikat dodatkowy, który Ci się pokazał, jest związany z modyfikacją pliku Hosts pozostawioną po odinstalowanym Spybot Search & Destroy (nie odkręcono immunizacji). Działania do przeprowadzenia: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Odinstaluj stare niebezpieczne wersje: Adobe Shockwave Player, Gadu-Gadu 7.7, J2SE Runtime Environment 5.0 Update 9, Java™ 6 Update 12. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\RealUpgradeLogonTaskS-1-5-21-602162358-1935655697-1801674531-1004.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe Task: C:\WINDOWS\Tasks\RealUpgradeScheduledTaskS-1-5-21-602162358-1935655697-1801674531-1004.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKU\S-1-5-18\...\RunOnce: [FlashPlayerUpdate] => C:\WINDOWS\system32\Macromed\Flash\FlashUtil32_17_0_0_134_pepper.exe -update pepperplugin HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki" SearchScopes: HKU\S-1-5-21-602162358-1935655697-1801674531-1004 -> {3E313458-ECFC-48CC-8BB1-B2E444FE9CEB} URL = hxxp://search.yahoo.com/search?ei=ISO-8859-1&fr=megaup&q={searchTerms} BHO: Brak nazwy -> {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} -> Brak pliku Toolbar: HKLM - Brak nazwy - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - Brak pliku Toolbar: HKU\S-1-5-21-602162358-1935655697-1801674531-1004 -> Brak nazwy - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - Brak pliku S3 NPF; system32\drivers\NPF.sys [X] U4 RemoteRegistry; Brak ImagePath U0 Winflash; Brak ImagePath DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera.exe DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IPLA! DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NokiaMServer DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TomTomHOME.exe DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy C:\Documents and Settings\All Users\Menu Start\Programy\Pity Format 2010 C:\Documents and Settings\All Users\Menu Start\Programy\PIT Format 2013 C:\Documents and Settings\All Users\Menu Start\Programy\PIT Format 2015 C:\Documents and Settings\All Users\Menu Start\Programy\Premium Booster C:\Documents and Settings\All Users\Menu Start\Programy\UltraVNC C:\Documents and Settings\All Users\Pulpit\PIT Format 2013.lnk C:\Documents and Settings\Dorota\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\Dorota\Menu Start\Programy\TomTom C:\Documents and Settings\Dorota\Ustawienia lokalne\Dane aplikacji\Google C:\Program Files\Premium Booster C:\WINDOWS\system32\Drivers\etc\hosts.*.backup CMD: ipconfig /flushdns CMD: netsh firewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Podaj model routera.
  22. W systemie jest ustawione szkodliwe proxy i problem powinien być widoczny we wszystkich przeglądarkach, a nie tylko Firefox. A załatwił Cię poniższy plik, to "downloader" a nie zasadniczy instalator: 2016-05-07 16:37 - 2016-05-07 16:37 - 00957176 _____ ( ) C:\Users\Asus\Downloads\installer_Direct_MIDI_to_MP3_Converter_sciagnij.exe Działania do wdrożenia: 1. Deinstalacje: - Odinstaluj stare wersje: Apple Software Update, Java 8 Update 40, Java™ SE Development Kit 7 Update 2, JavaFX 2.0.2, JavaFX 2.0.2 SDK, Obsługa programów Apple, QuickTime 7, Spybot - Search & Destroy. Używanie QuickTime nie jest już bezpieczne, Apple nie załata nowych luk. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK (to wpis po niechcianej instalacji programu REACHit Lenovo) > Dalej. - W Operze: Ustawienia > karta Rozszerzenia > odinstaluj adware Magical Find. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {1FA22C8D-C3EC-4EE3-9AA2-54D3F367622C} - System32\Tasks\bbb => C:\@1\wysylanie.bat Task: {74D30D4E-FC04-47D4-A020-2DA0B735A806} - System32\Tasks\{74891E2E-78F0-4BC3-839E-C35CCC52EFF1} => pcalua.exe -a C:\Users\Asus\Downloads\vcredist_x64.exe -d C:\Users\Asus\Downloads Task: {99E34E74-335D-49E0-B42F-1AB23587BAA9} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {9A5F3602-B241-4F25-8FEC-C7A8AF708CE7} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: {B3622A0F-811C-4185-8667-FB2517E8E463} - System32\Tasks\{1F129768-E620-4432-BACD-1119559300A9} => pcalua.exe -a C:\Users\Asus\Downloads\RegCleaner.exe -d C:\Users\Asus\Downloads Task: {EAB43CE4-EAB6-4A51-9A1D-91A3B169BB62} - System32\Tasks\{F3BD02B1-09AE-4C37-9853-63AA4B91E3CD} => pcalua.exe -a E:\FreePrimoPDF32Setup.exe -d E:\ Task: {F96D6F67-F4A0-407C-AC35-A91FE6998E41} - System32\Tasks\CoolTools => c:\programdata\{bf8bf7dd-08f6-f056-bf8b-bf7dd08fdf74}\21e1.exe Task: C:\Windows\Tasks\CoolTools.job => c:\programdata\{bf8bf7dd-08f6-f056-bf8b-bf7dd08fdf74}\21e1.exe HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" HKLM-x32\...\Run: [ASUS Screen Saver Protector] => C:\Windows\AsScrPro.exe Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] ShellExecuteHooks-x32: - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - Brak pliku [ ] ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 1 (GFS Unread Stub)] -> {99FD978C-D287-4F50-827F-B2C658EDA8E7} => Brak pliku ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 2 (GFS Stub)] -> {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} => Brak pliku ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)] -> {920E6DB1-9907-4370-B3A0-BAFC03D81399} => Brak pliku ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 3 (GFS Folder)] -> {16F3DD56-1AF5-4347-846D-7C10C4192619} => Brak pliku ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 4 (GFS Unread Mark)] -> {2916C86E-86A6-43FE-8112-43ABE6BF8DCC} => Brak pliku BootExecute: autocheck autochk * sdnclean64.exe S3 Microsoft SharePoint Workspace Audit Service; Brak ImagePath S3 MBAMSwissArmy; Brak ImagePath S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 SANDRA; \??\C:\Program Files (x86)\SiSoftware\SiSoftware Sandra Standard 2004 (Win32 x86)\sandra.sys [X] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia OPR StartupUrls: "hxxp://www.yandex.ru/?win=196&clid=2233244-169" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130978003549404037&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130978003553864292&GUID=00000000-0000-0000-0000-000000000000 HKU\S-1-5-21-3061505195-1876517776-3165528320-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130978003553934296&GUID=00000000-0000-0000-0000-000000000000 FF Plugin-x32: @java.com/DTPlugin,version=11.31.2 -> C:\Program Files (x86)\Java\jre1.8.0_31\bin\dtplugin\npDeployJava1.dll [brak pliku] FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2015-02-10] (Microsoft Corporation) FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL [brak pliku] FF user.js: detected! => C:\Users\Asus\AppData\Roaming\Mozilla\Firefox\Profiles\5bhilbg6.default-1378741043584\user.js [2015-09-09] FF SearchPlugin: C:\Users\Asus\AppData\Roaming\Mozilla\Firefox\Profiles\5bhilbg6.default-1378741043584\searchplugins\yandex.ru-221713.xml [2015-10-02] FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files (x86)\T-Mobile\InternetManager_Z\Bin\addon => nie znaleziono DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Recuva Packages DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files (x86)\Lenovo C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\{EC8EAC95-AB39-4699-974D-A45DFE7C2764} C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Finale 2003\QuickStart Video Tips.lnk C:\Users\Asus\AppData\Local\ACCCx2_5_1_369.2.zip.aamdownload C:\Users\Asus\AppData\Local\ACCCx2_5_1_369.2.zip.aamdownload.aamd C:\Users\Asus\AppData\Local\Lenovo C:\Users\Asus\AppData\Roaming\Microsoft\Word\R-11-07303996293293031229\R-11-07.doc.lnk C:\Users\Asus\Desktop\GG dysk.lnk C:\Users\Asus\Downloads\*sciagnij.exe C:\Users\Asus\Favorites\GG dysk.lnk C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\REACHit Drive.lnk C:\Windows\System32\Tasks\Lenovo CMD: netsh advfirewall reset Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, bez Shortcut. Dołącz też plik fixlog.txt.
  23. DamnSlayer, zamiast spekulować, po prostu sprawdź inną klawiaturę (choćby pożyczoną) czy zachowuje się podobnie. Moim zdaniem to wygląda na problem klawiatury. W raportach nie widzę nic co mogłoby generować taki efekt od strony procesów. A DelFix wykonał zadanie. Skasuj z dysku plik raportu C:\delfix.txt.
  24. Temat doprowadzam do porządku. Zmieniam tytuł tematu ze "sprawdzania logów" na odpowiedniejszy do działu - w zasadach o tym jest. Zbędne posty usuwam. Nie ma żadnych raportów co konkretnie i gdzie wykrył antywirus, czy to na pewno był Sality oraz w jakim zakresie. Przedstaw wyciągi z antywirusa. A w podanych tu raportach FRST i GMER nie widać żadnych oznak infekcji Sality. Z tym, że te raporty to tylko bardzo powierzchowne sprawdzanie, przy infekcji Sality od oceny stanu plików jest antywirus. Nawiasem mówiąc, MBAM nie jest antywirusem i jego operacje z elementami Sality są mocno limitowane (nie leczy plików). Jak mówię, na razie nie wiadomo dokładnie co wykrył antywirus. Natomiast widzę mocno podejrzane zadanie w Harmonogramie udające "IntelMemoryDiagnostic". Toteż doczyszczanie tego oraz wpisów pustych: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {16D4DA97-DADA-4C58-8AA4-D7655A717A26} - System32\Tasks\IntelMemoryDiagnostic => C:\Users\kaczka2\AppData\Roaming\d3dx10.exe [2015-08-13] () Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PAexec => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PAexec => ""="Service" HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = S4 vdrive; system32\DRIVERS\vdrive.sys [X] C:\ProgramData\TEMP C:\Users\kaczka2\AppData\Local\Microsoft\Windows\GameExplorer\{D519DE35-C430-43E3-86C6-6D769018A1B1} C:\Users\kaczka2\AppData\Local\Microsoft\Windows\GameExplorer\{C7274BDF-9466-45E5-9423-39F77AF98509} C:\Users\kaczka2\AppData\Local\Microsoft\Windows\GameExplorer\{93272364-096C-4796-BB74-110451787421} C:\Users\kaczka2\AppData\Roaming\d3dx10.exe C:\Users\kaczka2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GameSub C:\Users\kaczka2\AppData\Roaming\Opera Software C:\Users\kaczka2\Desktop\Nowy folder\Profile — skrót.lnk C:\Users\kaczka2\Desktop\Nowy folder (2)\RLD! — skrót.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.
  25. Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Tencent jest w pełni zainstalowany - multum obiektów startowych, w tych te odnawiające modyfikacje / "reinstalujące" komponenty. Prócz Tencent, także inne szkodniki. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe S2 GoogleChromeUpService; C:\ProgramData\service.exe [1755136 2016-04-27] () [brak podpisu cyfrowego] S2 GoogleChromeUpSvc; C:\ProgramData\Windows Update\svrupg.exe [2783744 2016-05-07] (TODO: ) [brak podpisu cyfrowego] S2 lrcReportsService; C:\Program Files (x86)\Lorckphsary\lrcReportsService.exe [1005736 2016-05-06] () R2 QQPCRTP; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCRTP.exe [313936 2016-05-08] (Tencent) U2 QQRepair1f75; C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepair1f75 [136512 2016-05-08] () S2 QQRepairFixSVC; C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepairFixSVC [136512 2016-05-08] () R1 QMUdisk; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMUdisk64.sys [184952 2016-04-18] (Tencent) R2 QQSysMonX64; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQSysMonX64.sys [154744 2016-05-08] (电脑管家) R1 softaal; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\softaal64.sys [44664 2016-05-08] (Tencent) R1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\SRepairDrv [168568 2016-05-08] () R3 TAOAccelerator; C:\Windows\system32\Drivers\TAOAccelerator64.sys [99480 2016-05-08] (Tencent) R1 TAOKernelDriver; C:\Windows\system32\Drivers\TAOKernel64.sys [147576 2016-05-08] (Tencent Technology(Shenzhen) Company Limited) R3 TFsFlt; C:\Windows\System32\Drivers\TFsFltX64.sys [97400 2016-05-08] (电脑管家) R1 TSDefenseBt; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSDefenseBT64.sys [28984 2016-05-08] (Tencent) R2 tsnethlpx64; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys [57976 2016-05-08] () R3 TSSKX64; C:\Windows\System32\drivers\tsskx64.sys [54904 2016-05-08] (电脑管家) R1 TSSysKit; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSSysKit64.sys [96888 2016-05-08] (电脑管家) S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM-x32\...\Run: [tasklist] => C:\Users\HOLYEM~1\AppData\Local\Temp\28565\tasklist HKLM-x32\...\Run: [ QQPCTray] => C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCTray.exe [362304 2016-05-08] (Tencent) ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMGCShellExt64.dll [2016-05-08] (Tencent) BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSWebMon64.dat [2016-05-08] (Tencent) Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CodecPackUpdateChecker.lnk [2014-07-26] BootExecute: Task: {2B9F9597-A439-4A05-BA64-BC748F5CF1F4} - System32\Tasks\{E7AC9377-C964-4B3F-A37B-88299B43EC22} => pcalua.exe -a "C:\Users\Holy Emperor\Desktop\seba86mu ModPack (0.9.10 v8) + XVM 6.1.4.2.exe" -d "C:\Users\Holy Emperor\Desktop" Task: {34B42ABB-F17D-464E-857F-C8B8FA3B09F6} - System32\Tasks\{1FD127C0-9FA6-429F-8147-C848062854A8} => pcalua.exe -a "C:\Users\Holy Emperor\Desktop\intel_sct\intel_sct_9\Setup.exe" -d "C:\Users\Holy Emperor\Desktop\intel_sct\intel_sct_9" Task: {6818633B-413F-4265-ACB1-9EC9F70CE4EF} - System32\Tasks\Lorckphsary Reports => C:\Program Files (x86)\Lorckphsary\lrcReportsTask.exe [2016-05-06] () Task: {762815A5-7F8E-4CB5-AD94-D123F0F9D6F2} - System32\Tasks\{507F26FF-B854-4BF7-9C1D-3596555B0027} => pcalua.exe -a "C:\Users\Holy Emperor\Desktop\MMD3 PL.exe" -d "C:\Users\Holy Emperor\Desktop" Task: {A20D3C18-974F-4ABD-BECE-79B4BF3C1E21} - \GoogleUpdateTaskMachineUA -> Brak pliku FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2012-10-01] (Microsoft Corporation) FF Plugin-x32: @qq.com/QQPCMgr -> C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\npQMExtensionsMozilla.dll [2016-05-08] (Tencent Technology (Shenzhen) Company Limited) FF Plugin HKU\S-1-5-21-3489827281-3978022601-1105995746-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Tencent DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{63332668-8CE1-445D-A5EE-25929176714E} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{B7667919-3765-4815-A66D-98A09BE662D6} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{D4801E96-E7A1-45F6-B124-7A36DFB40B81} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{E52EB753-1F56-4DF7-BE53-2C314AC5F8A1} DeleteKey: HKLM\SOFTWARE\Classes\PCMgrRepairIEExtensions DeleteKey: HKLM\SOFTWARE\Classes\qmbfile DeleteKey: HKLM\SOFTWARE\Classes\qmgcfiles DeleteKey: HKLM\SOFTWARE\Classes\qpakfile DeleteKey: HKLM\SOFTWARE\Classes\QQPCMgr.qbox DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{35627C7C-DB28-4772-9A6F-7607FFCBF9FF} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{445E3964-15B0-472A-95F4-6242DD2EA066} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{C049F583-D724-4BAB-8F47-F13BCA41B808} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{29B6CFD5-0064-411A-8C42-9890C83F9921} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{63332668-8CE1-445D-A5EE-25929176714E} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{70DE12EA-79F4-46bc-9812-86DB50A2FD64} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{E52EB753-1F56-4DF7-BE53-2C314AC5F8A1} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{35627C7C-DB28-4772-9A6F-7607FFCBF9FF} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{445E3964-15B0-472A-95F4-6242DD2EA066} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{C049F583-D724-4BAB-8F47-F13BCA41B808} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81} DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\msiql DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tasklist DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{16EE6530-8649-4F42-A9E4-F6A3295AF975} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\tencentdl_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\tencentdl_RASMANCS DeleteKey: HKLM\SOFTWARE\Wow6432Node\Tencent DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QMUDISK DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAOACCELERATOR DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAOKERNELDRIVER DeleteKey: HKU\QMConfig Reg: reg add HKLM\SOFTWARE\Classes\Unknown\shell\openas\command /ve /t REG_EXPAND_SZ /d "%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" /f Reg: reg add HKLM\SOFTWARE\Classes\Unknown\shell\opendlg\command /ve /t REG_EXPAND_SZ /d "%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" /f Reg: reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" /v PendingFileRenameOperations /t REG_MULTI_SZ /d "" /f CMD: for %i in ("C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\*.dll") do regsvr32 /s /u %i CMD: netsh advfirewall reset C:\Program Files\Common Files\Tencent C:\Program Files (x86)\Firewatch C:\Program Files (x86)\hohobnd C:\Program Files (x86)\Lorckphsary C:\Program Files (x86)\osTip C:\Program Files (x86)\Tencent C:\Program Files (x86)\Common Files\Tencent C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\*.* C:\ProgramData\Tencent C:\ProgramData\Thunder Network C:\ProgramData\TXQMPC C:\ProgramData\Windows Update C:\Users\Holy Emperor\AppData\Roaming\Tencent C:\Users\Holy Emperor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Holy Emperor\Downloads\CCleaner-13061-dp.exe C:\Users\Holy Emperor\Downloads\yet_another_cleaner_sk_5721297.exe C:\Users\Holy Emperor\Downloads\yet_another_cleaner_sk_5721297 (1).exe C:\Users\Public\Desktop\软件管理.lnk C:\Users\Public\Documents\dmp C:\Users\Public\Thunder Network C:\Windows\system32\Drivers\TAOKernel64.sys C:\Windows\system32\Drivers\TAOAccelerator64.sys C:\Windows\system32\Drivers\TFsFltX64.sys C:\Windows\system32\Drivers\TSSKX64.sys Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut oraz wyszukiwanie w rejestrze na warunki: Tencent;QQPCMgr Dołącz też plik fixlog.txt.
×
×
  • Dodaj nową pozycję...