picasso

Mnóstwo obiektów adware widocznych. Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware Body Text Feathering, Call Form, YTDownloader, aplikacje "Pokki" wątpliwej reputacji integrowane na Lenovo Host App Service, Lenovo Web Start oraz starą wersję Java 8 Update 51. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK 35 > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\dlohn\Zummatam.dll => C:\ProgramData\dlohn\Zummatam.dll [363520 2016-03-08] () AppInit_DLLs-x32: C:\ProgramData\dlohn\Vilatone.dll => C:\ProgramData\dlohn\Vilatone.dll [257536 2016-03-08] () R2 amdidx; C:\Program Files\amdidx\amdidx.exe [383488 2016-01-17] () [brak podpisu cyfrowego] R2 BrsHelper; C:\Program Files (x86)\YTDownloader\BrowserHelperSrv.exe [112560 2015-10-22] () R2 DCHP; C:\ProgramData\\DCHP\\DCHP.exe [400384 2016-04-12] () [brak podpisu cyfrowego] S2 DeskTop_F; C:\ProgramData\desktopfind\desktop254.exe [236728 2016-03-16] (DeskTopService) R2 dlohn; C:\ProgramData\\dlohn\\dlohn.exe [539136 2016-01-20] () [brak podpisu cyfrowego] R2 IhPul; C:\Users\Natalka\AppData\Roaming\TSv\TSvr.exe [116368 2016-03-11] (tsvr.com) S2 serfe; C:\ProgramData\\serfe\\serfe.exe -f "C:\ProgramData\\serfe\\serfe.dat" -l -a S2 yakdo; C:\ProgramData\\yakdo\\yakdo.exe -f "C:\ProgramData\\yakdo\\yakdo.dat" -l -a S0 mfeelamk; C:\Windows\System32\drivers\mfeelamk.sys [80160 2015-04-08] (McAfee, Inc.) R2 sbmntr; C:\Program Files (x86)\YTDownloader\sbmntr.sys [58528 2015-10-22] (YTDownloader) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" Task: {01489A37-BFBB-4BFE-BBB0-B074A014CD2E} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-09-02] (Lenovo) Task: {1DB97C7E-7609-4EEF-8DD2-0A03370FAFB3} - System32\Tasks\psv_Greentax => /c regedit.exe /s "C:\ProgramData\dlohn\Jobdax.reg" & del "C:\ProgramData\dlohn\Jobdax.reg" & SCHTASKS /Delete /TN "psv_Greentax" /F Task: {1DD30DAA-6E92-4595-BBDF-F93629C5096D} - System32\Tasks\psv_Joytam => /c regedit.exe /s "C:\ProgramData\serfe\Saltcore.reg" & del "C:\ProgramData\serfe\Saltcore.reg" & SCHTASKS /Delete /TN "psv_Joytam" /F Task: {385EBCAA-73BA-435F-9AD9-EC7BFAAB899E} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-10-16] (Lenovo) Task: {3A8A3034-887F-4269-BA4B-45ABDAF99626} - System32\Tasks\psv_Latsankix => /c regedit.exe /s "C:\ProgramData\dlohn\Unophase.reg" & del "C:\ProgramData\dlohn\Unophase.reg" & SCHTASKS /Delete /TN "psv_Latsankix" /F Task: {5C74706C-9F46-47A7-A049-4E26D091CE80} - System32\Tasks\psv_Zoomcore => /c regedit.exe /s "C:\ProgramData\serfe\Touch-Lax.reg" & del "C:\ProgramData\serfe\Touch-Lax.reg" & SCHTASKS /Delete /TN "psv_Zoomcore" /F Task: {770B41A8-5537-4E91-9B02-B0D2FFA59ACA} - System32\Tasks\Call Form => Rundll32.exe "C:\Users\Natalka\AppData\Local\Call Form\{B49D99C5-345C-2EBB-7681-69580AE8BE65}\CallForm.dll",#1 Task: {7D5DC876-066E-44C9-A5C5-2B3BB0B98AD4} - System32\Tasks\SweetLabs App Platform => C:\Users\Natalka\AppData\Local\SweetLabs App Platform\Engine\ServiceHostAppUpdater.exe [2016-04-14] (Pokki) Task: {8CA7A5FB-4F4B-4201-B3E8-B5C43B1325D8} - System32\Tasks\psv_DoubleQuostrong => /c regedit.exe /s "C:\ProgramData\dlohn\Trustsoft.reg" & del "C:\ProgramData\dlohn\Trustsoft.reg" & SCHTASKS /Delete /TN "psv_DoubleQuostrong" /F Task: {9A1B9764-4DDF-4DC2-A3E7-BDE7A3BD58FC} - System32\Tasks\YTDownloader => C:\Program Files (x86)\YTDownloader\YTDownloader.exe [2015-10-22] (YTDownloader) Task: {ABA3F571-725E-4F1F-B976-C1ECB6AC639D} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2014-05-30] (Lenovo) Task: {D11F1C0C-AB7D-47B0-BBA0-D284CE5B98FF} - System32\Tasks\psv_Latlab => /c regedit.exe /s "C:\ProgramData\dlohn\StockRemcore.reg" & del "C:\ProgramData\dlohn\StockRemcore.reg" & SCHTASKS /Delete /TN "psv_Latlab" /F Task: {D58D529E-D8C7-4EB1-92A9-AA001240205A} - System32\Tasks\YTDownloaderUpd => C:\Program Files (x86)\YTDownloader\updater.exe [2015-10-22] (Goobzo) Task: {D9E1BD74-F7CE-4BD5-9768-CE1B00BBE486} - System32\Tasks\Call Form2 => Rundll32.exe "C:\Users\Natalka\AppData\Local\Call Form\{B49D99C5-345C-2EBB-7681-69580AE8BE65}\mqku.dll",#1 HKLM-x32\...\Run: [YTDownloader] => C:\Program Files (x86)\YTDownloader\YTDownloader.exe [1991600 2015-10-22] (YTDownloader) HKLM-x32\...\Run: [ospd_us_013010209] => [X] HKU\S-1-5-21-899261099-702920328-1542426104-1001\...\Run: [bingSvc] => C:\Users\Natalka\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-04-07] (© 2015 Microsoft Corporation) HKU\S-1-5-21-899261099-702920328-1542426104-1001\...\Run: [VideoDownloaderUltimate] => C:\ProgramData\VideoDownloaderUltimateWinApp\VideoDownloaderUltimate.exe /repair HKU\S-1-5-21-899261099-702920328-1542426104-1001\...\Run: [YTDownloader] => C:\Program Files (x86)\YTDownloader\YTDownloader.exe [1991600 2015-10-22] (YTDownloader) ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.so-v.com/?type=ll&uid=d305cef8-9813-4ffe-aa46-d46d44c55f64 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games\Mafia II\Mafia II Launcher.lnk -> C:\Program Files (x86)\2K Games\Mafia II\launcher.exe () -> hxxp://www.yoursites123.com/?type=sc&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793 ShortcutWithArgument: C:\Users\Natalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Natalka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.so-v.com/?type=ll&uid=d305cef8-9813-4ffe-aa46-d46d44c55f64 ShortcutWithArgument: C:\Users\Natalka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Natalka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.so-v.com/?type=ll&uid=d305cef8-9813-4ffe-aa46-d46d44c55f64 ShortcutWithArgument: C:\Users\Natalka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.so-v.com/?type=ll&uid=d305cef8-9813-4ffe-aa46-d46d44c55f64 ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.so-v.com/?type=ll&uid=d305cef8-9813-4ffe-aa46-d46d44c55f64 GroupPolicy: Ograniczenia - Chrome CHR HomePage: Default -> hxxp://www.msn.com/?pc=__PARAM__&ocid=__PARAM__DHP&osmkt=pl-pl CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793" CHR DefaultSearchURL: Default -> hxxp://yoursites123.com/web?type=ds&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793&q={searchTerms} CHR DefaultSearchKeyword: Default -> yoursites123 CHR HKU\S-1-5-21-899261099-702920328-1542426104-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [fcgnigmofekcllgbiejhmigggmgehkip] - hxxps://clients2.google.com/service/update2/crx StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.so-v.com/?type=ll&uid=d305cef8-9813-4ffe-aa46-d46d44c55f64 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793&q={searchTerms} HKU\S-1-5-21-899261099-702920328-1542426104-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwYfCVilIom6TjFGT4Zw2PvAmhI_FkkTtQUPoIiAk_c3UMbISXGRU2pz25LccRABn-hi39JA5G81Wq2LtE-ld-UJpsDUh4qIFCVvdorm-Cbx6KU02_x8KnCSwo8cNymtOn6qWJLsHnXer1pe6m_bFc7Vo-_o,&q={searchTerms} HKU\S-1-5-21-899261099-702920328-1542426104-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwYfCVilIom6TjFGT4Zw2PvAmhI_FkkTtQUPoIiAk_c3UMbISXGRU2pz25LccRABn-hTIpkbapHKXA1ReyT1rF9daKqRPhK-t38_XnZOpkzTQbAVOE3Hcl-74lUuq_DbE6oDz_KwO2NLAAl21J3SBpDCVU-M, HKU\S-1-5-21-899261099-702920328-1542426104-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793 HKU\S-1-5-21-899261099-702920328-1542426104-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwYfCVilIom6TjFGT4Zw2PvAmhI_FkkTtQUPoIiAk_c3UMbISXGRU2pz25LccRABn-hi39JA5G81Wq2LtE-ld-UJpsDUh4qIFCVvdorm-Cbx6KU02_x8KnCSwo8cNymtOn6qWJLsHnXer1pe6m_bFc7Vo-_o,&q={searchTerms} HKU\S-1-5-21-899261099-702920328-1542426104-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwYfCVilIom6TjFGT4Zw2PvAmhI_FkkTtQUPoIiAk_c3UMbISXGRU2pz25LccRABn-hi39JA5G81Wq2LtE-ld-UJpsDUh4qIFCVvdorm-Cbx6KU02_x8KnCSwo8cNymtOn6qWJLsHnXer1pe6m_bFc7Vo-_o,&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwYfCVilIom6TjFGT4Zw2PvAmhI_FkkTtQUPoIiAk_c3UMbISXGRU2pz25LccRABn-hi39JA5G81Wq2LtE-ld-UJpsDUh4qIFCVvdorm-Cbx6KU02_x8KnCSwo8cNymtOn6qWJLsHnXer1pe6m_bFc7Vo-_o,&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793&q={searchTerms} SearchScopes: HKU\S-1-5-21-899261099-702920328-1542426104-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwYfCVilIom6TjFGT4Zw2PvAmhI_FkkTtQUPoIiAk_c3UMbISXGRU2pz25LccRABn-hi39JA5G81Wq2LtE-ld-UJpsDUh4qIFCVvdorm-Cbx6KU02_x8KnCSwo8cNymtOn6qWJLsHnXer1pe6m_bFc7Vo-_o,&q={searchTerms} SearchScopes: HKU\S-1-5-21-899261099-702920328-1542426104-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1457978503&z=20553ac8a6e6d9fb5250c3dg7z3wdm0t1m6b8w0g2o&from=wpm0314&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793&q={searchTerms} SearchScopes: HKU\S-1-5-21-899261099-702920328-1542426104-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3vZOxc6r0vkIwYfCVilIom6TjFGT4Zw2PvAmhI_FkkTtQUPoIiAk_c3UMbISXGRU2pz25LccRABn-hi39JA5G81Wq2LtE-ld-UJpsDUh4qIFCVvdorm-Cbx6KU02_x8KnCSwo8cNymtOn6qWJLsHnXer1pe6m_bFc7Vo-_o,&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursearching.com/?type=sc&ts=1453028594&z=1bfa05b5bf8c639e4309b23gcz8w7c0ebo6baw2t5q&from=face&uid=ST1000LM024XHN-M101MBB_S30YJ9EG208793 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v MyDriveConnect.exe /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BingSvc /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v VideoDownloaderUltimate /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v YTDownloader /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v CLMLServer_For_P2G8 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v CLVirtualDrive /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v YTDownloader /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f C:\Program Files\amdidx C:\Program Files (x86)\GUMB43A.tmp C:\Program Files (x86)\SFK C:\Program Files (x86)\YTDownloader C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\settings.cfg C:\ProgramData\DCHP C:\ProgramData\desktopfind C:\ProgramData\dlohn C:\ProgramData\Pokki C:\ProgramData\serfe C:\ProgramData\yakdos C:\ProgramData\yakdo C:\Users\Natalka\AppData\Local\U-street.dat C:\Users\Natalka\AppData\Local\U-street.exe.config C:\Users\Natalka\AppData\Local\Call Form C:\Users\Natalka\AppData\Local\SweetLabs App Platform C:\Users\Natalka\AppData\Local\Microsoft\BingSvc C:\Users\Natalka\AppData\Roaming\TSv C:\Users\Natalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo Web Start.lnk C:\Users\Natalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk C:\Users\Natalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk C:\Users\Natalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\Natalka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YTDownloader C:\Users\Natalka\Desktop\YTDownloader.lnk C:\Users\Natalka\Desktop\Nowy folder\Nowy folder\Kholat.lnk C:\Users\Natalka\Desktop\Nowy folder\Nowy folder\Need For Speed Most Wanted.lnk C:\Users\Natalka\Desktop\x\Freenet.lnk C:\Users\Natalka\Desktop\x\Start Tor Browser.lnk C:\Windows\System32\drivers\mfeelamk.sys C:\Windows\SysWOW64\findit.xml CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Rozszerzenia > odinstaluj: Block site (wątpliwe rozszerzenia marki Wips - wbudowane spyware), Call Form (adware, może już nie być widoczne po skrypcie FRST), Video Downloader professional (wątpliwe rozszerzenie), YouTube To MP3! (usunięte z Chrome Web Store z nieznanego powodu). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też plik fixlog.txt.

Wykonane pomyślnie. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Jeszcze ten rekord do upłynnienia za pomocą narzędzia MS: Bing Rewards Client Installer (x32 Version: 16.0.345.0 - Microsoft Corporation) Hidden Po ukończeniu prac z narzędziem MS zlikwiduj folder C:\MATS. Dodatkowo, dokasuj te puste elementy: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASUS Utility\SmartLogon C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink Blu-ray Disc Suite C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink Blu-ray Disc Suite C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink Blu-ray Disc Suite To jest OK: SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=ASUTDF&pc=MAAU&src=IE-SearchBox SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=ASUTDF&pc=MAAU&src=IE-SearchBox SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=ASUTDF&pc=MAAU&src=IE-SearchBox SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=ASUTDF&pc=MAAU&src=IE-SearchBox Wyszukiwarki Internet Explorer firmowo ustawione na tym laptopie, Bing tak samo jak domyślnie w Windows niebrandowanym. ASUTDF - identyfikacyjny ciąg OEM Asusa. Widoczne w skanie FRST, ponieważ biała lista jest niepełna. Wiele takich OEM ciągów jest ukrytych, akurat nie ten. Zamiana tych wyszukiwarek na inne nie ma żadnego specjalnego znaczenia. Użytkownik może w Opcjach internetowych wybrać i ustawić jako domyślne dowolne inne, co i tak przebija w/w rekordy. Te zadania są domyślnymi Windows, więc ukryte w skanie FRST. Oczywiście możesz wyłączyć wszystkie związane z "uczestnictwem w poprawie obsługi": Start > w polu szukania wklep Program poprawy jakości obsługi klienta > przestaw opcję na "Nie chcę uczestniczyć w programie". W taskschd.msc w podgałęziach Application Experience + Customer Experience Improvement Program z prawokliku powyłączaj wszystkie zadania. Ale "RAC Task" to inna para kaloszy, on jest związany z Monitorem wydajności: KLIK. I skoro wszystko gra, już bym nie kombinowała więcej. EDIT: Jakoś nie zauważyłam, że pojawiły się nowe rekordy (nie było ich w poprzednich plikach Addition): ==================== Punkty Przywracania systemu ========================= Niepowodzenie przy listowaniu punktów przywracania Sprawdź usługę "winmgmt" lub napraw WMI. ==================== Wadliwe urządzenia w Menedżerze urządzeń ============= Niepowodzenie przy listowaniu urządzeń. Sprawdź usługę "winmgmt" lub napraw WMI. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CLMLServer] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Wyczyść wszystkie Dzienniki zdarzeń (błędy wyglądają na nieaktualne) i zresetuj system. Przedstaw nowy log FRST Addition.

AdwCleaner dopatrzył się drobnostek, w tym kluczy wrednego "Asystenta pobierania" dobrychprogramów: KLIK. 1. Uruchom AdwCleaner ponownie, po kolei wybierz opcje Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Trzy akcje po kolei: DelFix, czyszczenie folderów Przywracania systemu i aktualizacja wyliczonych produktów Adobe: KLIK. Adobe Flash Player 21 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 21.0.0.197 - Adobe Systems Incorporated) Adobe Reader XI - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.00 - Adobe Systems Incorporated) To wszystko.

Gładko poszło, problem rozwiązany. Drobne korekty: 1. Mini poprawka na szczątek po SpyHunter. Do Notatnika wklej: S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-04-25] () C:\WINDOWS\system32\Drivers\EsgScanner.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Firefox był już odświeżony w poprzednim skanie. Odświeżanie nie wpływa na wtyczki (zainstalowane na poziomie rejestru), więc jego ponawianie nie było potrzebne. Końcowa poprawka, czyli skrypt do FRST o postaci: HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => Brak pliku RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\BOGUSLAW\Desktop\Stare dane programu Firefox CMD: del /q C:\Windows\Minidump\*.dmp I próbuj tego podejścia z Kasperskym. W przypadku identycznych objawów jak poprzednio, do wykonania te same kroki z poziomu środowiska RE (zdjęcie filtrów z myszy i klawiatury, by zalogować się w awaryjnym i usunąć Kasperskiego firmowym narzędziem).

Problem generują zmodyfikowane skróty LNK Firefox i Internet Explorer. Próbując rozwiązać problem zainstalowałeś wątpliwy skaner SpyHunter. Działania do przeprowadzenia: 1. Odinstaluj SpyHunter 4. W przypadku problemów z deinstalacją skorzystaj z narzędzia SpyHunterCleaner. Możesz go użyć też dla pewności po udanej normalnej deinstalacji, by doczyścił resztki. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> "hxxp://trustedsurf.com/?ssid=1461567462&a=1003478&src=sh&uuid=0658a1b2-422b-4d4e-bea8-a087c21f9e29" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\Star Wars - The Old Republic.lnk -> D:\Program Files (x86)\Electronic Arts\BioWare\Star Wars-The Old Republic\launcher.exe (BioWare) -> "hxxp://trustedsurf.com/?ssid=1461567462&a=1003478&src=sh&uuid=0658a1b2-422b-4d4e-bea8-a087c21f9e29" ShortcutWithArgument: C:\Users\Myotis\Desktop\Gry\Star Wars - The Old Republic.lnk -> D:\Program Files (x86)\Electronic Arts\BioWare\Star Wars-The Old Republic\launcher.exe (BioWare) -> "hxxp://trustedsurf.com/?ssid=1461567462&a=1003478&src=sh&uuid=0658a1b2-422b-4d4e-bea8-a087c21f9e29" ShortcutWithArgument: C:\Users\Myotis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1461567462&a=1003478&src=sh&uuid=0658a1b2-422b-4d4e-bea8-a087c21f9e29" ShortcutWithArgument: C:\Users\Myotis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> "hxxp://trustedsurf.com/?ssid=1461567462&a=1003478&src=sh&uuid=0658a1b2-422b-4d4e-bea8-a087c21f9e29" ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> "hxxp://trustedsurf.com/?ssid=1461567462&a=1003478&src=sh&uuid=0658a1b2-422b-4d4e-bea8-a087c21f9e29" Task: {A75FEA26-9BA3-4C4F-896F-3B6805157A49} - System32\Tasks\avast! Windows 10 Start Menu helper => c:\program files\avast software\avast\asww10mon.exe ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku S3 BRDriver64_1_3_3_E02B25FC; \??\C:\ProgramData\BitRaider\support\1.3.3\E02B25FC\BRDriver64.sys [X] RemoveDirectory: C:\avast! sandbox RemoveDirectory: C:\Program Files\AVAST Software RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\Program Files (x86)\McAfee RemoveDirectory: C:\Program Files\Common Files\McAfee RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\Users\Myotis\Doctor Web RemoveDirectory: C:\Users\Myotis\AppData\Local\Google RemoveDirectory: C:\Users\Myotis\AppData\Roaming\AVAST Software C:\AVScanner.ini C:\end C:\WINDOWS\avastSS.scr C:\WINDOWS\system32\Drivers\*.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Addition, już bez Shortcut. Dołącz też plik fixlog.txt.

Na pewno odinstalowałeś Adobe Reader? W Firefox nadal widać jego wtyczkę.

Post przeklejam do Twojego tematu. Jak mówiłam, jedyna możliwość odkodowania plików to zapłacenie haraczu przestępcom. Odkodowanie inną metodą jest awykonalne. Jeśli nie było kopii zapasowej, zostaje próba szukania poprzedniej wersji plików przy udziale programów do odzyskiwania danych (muszą być uruchomione z innego dysku niż poddany szyfrowaniu) typu DMDE, PhotoRec. Ale szanse są bardzo małe.

Wątek omawiany na forum w tym temacie: KLIK. Niestety odkodowanie plików nie jest możliwe bez uiszczenia opłaty przestępcom (akcja nie polecana i nie ma gwarancji). Jedyne czym mogę się zająć, to usunięciem ewentualnych śladów infekcji, o ile już czymś nie czyszczono systemu. Należy dostarczyć raporty wymagane ogłoszeniem: KLIK.

Oczywiście spróbowałabym tego, w przypadku powtarzalnej awarii porzucić to rozwiązanie. Zanim do tego wątku dojdziesz: Teraz możemy się zająć "cyzelowaniem", tzn. usunięciem szczątków m.in. po Kasperskym i Google Chrome. 1. Odinstaluj stare niebezpieczne wersje (luki! zagrożenia infekcjami szyfrującymi dane): Adobe Flash Player 20 ActiveX, Adobe Reader X (10.1.16) MUI, Java™ 6 Update 20. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: FF Plugin-x32: @ei.RadioRage_4j.com/Plugin -> C:\Program Files (x86)\RadioRage_4jEI\Installr\1.bin\NP4jEISB.dll [2012-07-31] (RadioRage) BHO: Virtual Keyboard Plugin -> {73455575-E40C-433C-9784-C78DC7761455} -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\x64\IEExt\VirtualKeyboard\ie_virtual_keyboard_plugin.dll => Brak pliku BHO: Safe Money Plugin -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\x64\IEExt\OnlineBanking\online_banking_bho.dll => Brak pliku BHO: URL Advisor Plugin -> {E33CF602-D945-461A-83F0-819F76A199F8} -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\x64\IEExt\UrlAdvisor\klwtbbho.dll => Brak pliku BHO-x32: Virtual Keyboard Plugin -> {73455575-E40C-433C-9784-C78DC7761455} -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\IEExt\VirtualKeyboard\ie_virtual_keyboard_plugin.dll => Brak pliku BHO-x32: Safe Money Plugin -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\IEExt\OnlineBanking\online_banking_bho.dll => Brak pliku BHO-x32: URL Advisor Plugin -> {E33CF602-D945-461A-83F0-819F76A199F8} -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 14.0.0\IEExt\UrlAdvisor\klwtbbho.dll => Brak pliku ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\BOGUSLAW\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\amd64\FileSyncShell64.dll Brak pliku ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => C:\Users\BOGUSLAW\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\amd64\FileSyncShell64.dll Brak pliku ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => C:\Users\BOGUSLAW\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\amd64\FileSyncShell64.dll Brak pliku ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\BOGUSLAW\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\amd64\FileSyncShell64.dll Brak pliku ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\BOGUSLAW\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\amd64\FileSyncShell64.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\BOGUSLAW\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\FileSyncShell.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => C:\Users\BOGUSLAW\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\FileSyncShell.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => C:\Users\BOGUSLAW\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\FileSyncShell.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\BOGUSLAW\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\FileSyncShell.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\BOGUSLAW\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\FileSyncShell.dll Brak pliku Task: {2F57269B-1E09-4E2D-AB1E-B0FDAC7D279C} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> Brak pliku Task: {40689133-6C95-4ED3-8D70-E84773F8CF1A} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> Brak pliku Task: {AB2BC3D5-FA57-4E61-BC3C-BCF9F9865701} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> Brak pliku Task: {AC4E5ACF-89F7-4220-BA21-81EE183975E2} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku Task: {CEE64558-E1A7-4D9D-80A7-2001912BE5B5} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> Brak pliku Task: {FA2BC0A6-8D4B-458A-85C8-2B8C72487513} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> Brak pliku HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM\...\Run: [] => [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 massfilter; system32\DRIVERS\massfilter.sys [X] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnet; system32\DRIVERS\ZTEusbnet.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] DisableService: PLAY ONLINE. RunOuc DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Google\Chrome DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox\Extensions DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions C:\Program Files (x86)\GUTFD9.tmp C:\Program Files (x86)\RadioRage_4jEI C:\Users\BOGUSLAW\AppData\Local\{EE467084-2CE9-48B6-80EC-14D677F96A0F} C:\Users\BOGUSLAW\AppData\Local\Google\Chrome CMD: netsh advfirewall reset Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Tosrfcom /s Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Reg: reg query HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run File: C:\Program Files\TOSHIBA\PasswordUtility\TOSDCR.exe File: C:\Program Files\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe File: C:\Program Files (x86)\TOSHIBA\PasswordUtility\TOSDCR.exe File: C:\Program Files (x86)\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe EmptyTemp: Plik zapisz pod nazwą fixlist.txt tam gdzie siedzi FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt. 3. Wyczyść Firefox ze starych preferencji: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Uruchom narzędzie Fix-it likwidujące drobny błąd WMI: KLIK. 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

W tych wynikach MBAM raczej infekcje które nie wpływają na działanie sieci (robak Brontok i PUPy). Czy na pewno uszkodzenie sieci to wynik infekcji? W raportach FRST i GMER żadnych wyraźnych oznak co może być naruszone, tylko w Dzienniku jest ten zestaw błędów, przy czym te dwa związane z brakiem modułu już jakoby rozwiązane: Dziennik System: ============= Error: (04/25/2016 12:30:59 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Publikacja zasobów odnajdowania funkcji zakończyła działanie; wystąpił następujący błąd: %%-2147014874 Error: (04/25/2016 11:40:52 AM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Usługa autowykrywania serwera proxy w sieci Web WinHTTP zależy od usługi Klient DHCP, której nie można uruchomić z powodu następującego błędu: %%2 Error: (04/25/2016 11:40:52 AM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Klient DHCP zakończyła działanie; wystąpił następujący błąd: %%2 I ta zmiana uprawnień dla DHCP wygląda niepokojąco, tzn. czy przypisałeś specjalne konta dostępowe (np. Dhcp). I to też może być pośredni znak, że jest naruszone o wiele więcej uprawnień. Tu były takie tematy na forum, że wszystkie uprawnienia gałęzi SYSTEM były zresetowane, co niestety wymaga ogromnych nakładów czasowych i karkołomnych działań. Poproszę o: 1. Kopię rejestru do ręcznej analizy. Spakuj do ZIP folder C:\FRST\Hives, umieść na jakimś serwisie hostingowym i podaj link. Analiza zajmie dużo czasu i nie spodziewaj się szybkiej odpowiedzi. 2. Dowody jak poprawna była podmiana plików, czyli filtrowany raport z wyników sfc /scannow: KLIK.

DelFix zrobił co należy. Skasuj z dysku plik raportu C:\delfix.txt. Temat rozwiązany. Zamykam.

Temat przenoszę do działu Windows. Żadnych oznak infekcji. A te zgłoszenia "rootkit" w GMER odnoszą się poprawnych usług Windows, mogą być konsekwencją właśnie tego, że system "bardzo powoli działa". Z raportów nic nie wynika. Na dodatek, są tu znaki, że była uruchamiana co dopiero procedura Odśwież / Resetuj PC lub inna metoda reinstalacji systemu, co niejako odsuwa podejrzenia od komponentów systemu: 2016-04-24 21:23 - 2016-04-24 21:23 - 00000000 ____D C:\Windows.old Sugestie: 1. Przetestować zachowanie w "czystym rozruchu" (częściowo już były podobne kombinacje, pewne usługi są wyłączone): KLIK. Jeśli nastąpi raptowna poprawa stanu, partiami odwracać akcję włączając po kolei elementy + restart, aż zdefiniujesz który obiekt tworzy problem. 2. Odinstalować aktualizator NVIDIA GeForce Experience 2.9.1.22 i Asusowy WebStorage, co na trwałe obetnie ilość ładowanych elementów. 3. Sprawdzić jak system działa po deinstalacji Avast, który występuje tu w starszej wersji. Jeśli polepszy się sytuacja, zainstalować najnowszą wersję. 4. O ile system spełnia warunki i nie jest aktywowany na kluczu "wielokrotnym", zaktualizować do wersji Windows 8.1: KLIK. Platform: Windows 8 Pro (X64) Język: Polski (Polska) 5. Dalsza diagnostyka w dziale Hardware. PS. Do wykonania drobne korekty w spoilerze, co nie ma związku ze zgłoszonymi problemami i w niczym nie pomoże.

Fix FRST wykonany. Natomiast wyniki wyszukiwania bogate i trzeba dokasować referencje śmiecia udającego "Google Chrome". Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Wow6432Node\jIxmRfR DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Classes\.htm DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Classes\.html DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Classes\.shtml DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Classes\.xht DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Classes\jIxmRfRHTM DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Clients\StartMenuInternet\jIxmRfRHTM DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\95f6f29c_0 DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\Roaming\OpenWith\FileExts\.html DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\Roaming\OpenWith\FileExts\.xht DeleteKey: HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\Roaming\OpenWith\UrlAssociations\ftp\UserChoice Reg: reg delete HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v jIxmRfRHTM_.html /f Reg: reg delete HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v jIxmRfRHTM_.xht /f Reg: reg delete HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v jIxmRfRHTM_https /f Reg: reg delete HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v jIxmRfRHTM_http /f Reg: reg delete HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\CurrentVersion\UFH\SHC /v 1 /f Reg: reg delete HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows\CurrentVersion\UFH\SHC /v 2 /f Reg: reg delete HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\RegisteredApplications /v jIxmRfRHTM /f Reg: reg delete "HKU\S-1-5-21-577657667-1055987836-4248545114-1002\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\jIxmRfR\jIxmRfR\chrome.exe" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Nie, konto Marek to nie to konto. Chodzi o wbudowanego w system Administratora, który jest całkiem innym kontem awaryjnym: ==================== Konta użytkowników: ============================= Administrator (S-1-5-21-725345543-117609710-1801674531-500 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Administrator Agnieszka (S-1-5-21-725345543-117609710-1801674531-1006 - Limited - Enabled) => %SystemDrive%\Documents and Settings\Agnieszka Asia (S-1-5-21-725345543-117609710-1801674531-1007 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Asia Grzegorz (S-1-5-21-725345543-117609710-1801674531-1005 - Limited - Enabled) => %SystemDrive%\Documents and Settings\Grzegorz Mama (S-1-5-21-725345543-117609710-1801674531-1004 - Limited - Enabled) => %SystemDrive%\Documents and Settings\Mama MarekM (S-1-5-21-725345543-117609710-1801674531-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\MarekM Ale skoro to konto nie jest widoczne na ekranie logowania w awaryjnym, to można założyć, że nie wchodzono na nie w ostatnim czasie, co obniża szanse by tam było coś zainstalowane. W pliku Shortcut widzę zresztą bardzo skromny wykaz elementów na tym koncie i brak skrótów Firefox (zanieczyszczony adware Firefox był na wszystkich innych kontach, ale nie tu). Czyli właściwie to darowałabym sobie uwidacznianie Administratora i logowanie na niego. Ale są do poprawnienia skróty na tym koncie: Shortcut: C:\Documents and Settings\Administrator\Menu Start\Programy\Internet Explorer.lnk -> D:\Program Files\Internet Explorer\IEXPLORE.EXE (Brak pliku) Shortcut: C:\Documents and Settings\Administrator\Menu Start\Programy\Outlook Express.lnk -> D:\Program Files\Outlook Express\msimn.exe (Brak pliku) Shortcut: C:\Documents and Settings\Administrator\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> D:\Program Files\Internet Explorer\IEXPLORE.EXE (Brak pliku) Shortcut: C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> D:\Program Files\Internet Explorer\IEXPLORE.EXE (Brak pliku) Sprawdź czy z poziomu Marka jesteś w stanie zedytować skróty w ścieżce Administratora.

Zmniejszenie widoczności efektu mogło się wiązać z postępującą aktualizacją rekordów DNS w cache. Skrypt FRST pomyślnie wykonany, raportujesz ustąpienie problemu, czyli kończymy: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. I wielkie dzięki za dotację.

kondzior to były znowu złe pliki (identyczna zawartość pliku Shortcut.txt udająca plik FRST.txt) i je ponownie usuwam.... Ja nie wiem co Ty robisz, że złe pliki mi dostarczasz, a wklejasz do posta jednak zawartość FRST.txt. Zrobiłam ten nieszczęsny plik FRST.txt ręcznie z tego co wklejałeś, bo bardzo trudno to od Ciebie uzyskać. W systemie nie ma oznak czynnej infekcji malware, ale w trakcie próby rozwiązania problemów doinstalowałeś program-oszust czyli YAC (Yet Another Cleaner). Jak rozumiem, problem z połączeniem występował już przed jego instalacją, a przynajmniej to sugeruje log z FRST. W takim przypadku podejrzanym w kwestii braku połączenia byłby stary Kaspersky Internet Security (wersja z 2013/2014). Wstępnie: 1. Zacznij od pozbycia się YAC. Skrót deinstalacji jest w Menu Start: ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC\uninstall.lnk -> C:\Program Files (x86)\Elex-tech\YAC\uninstall.exe (Elex do Brasil Participações Ltda) -> -uninst Jeśli będzie problem z jego uruchomieniem, wejdź do folderu C:\Program Files (x86)\Elex-tech\YAC, prawy klik na "uninstall.exe" i "Uruchom jako Administrator". Po operacji zresetuj system. 2. Następnie tradycyjnie z poziomu Panelu sterowania odinstaluj stary Kaspersky Internet Security. Po deinstalacji wejdź do Trybu awaryjnego i użyj narzędzie Kaspersky Remover. 3. Przez SHIFT+DEL (omija Kosz) skasuj folder C:\FRST oraz wszystkie logi FRST z katalogu Pobrane (pliki FRST.txt, Addition.txt, Shortcut.txt). Następnie pobierz FRST na Pulpit, uruchom z Pulpitu, zaznacz pola Addition i Shortcut i zrób skan. Na Pulpicie powstaną trzy pliki: FRST.txt, Addition.txt, Shortcut.txt. Nie otwieraj tych plików, nie przeklejaj z nich nic, po prostu te pliki dostarcz poprzez na spodzie w edytorze Więcej opcji > Dołącz pliki. Nie wklejaj zawartości plików do posta.

Skasuj z dysku plik raportu C:\delfix.txt. To wszystko. Temat rozwiązany. Zamykam.

Tak jak mówiłam, nie dokonały się żadne zmiany i sprawa nadal aktualna. Foldery komponentów na dysku są. Czyli przechodzimy do podstawiania plików: 1. Przesyłam paczkę plików. Na C:\ utwórz katalog C:\Pliki i w nim umieść rozpakowane z ZIP trzy pliki. Następnie przygotuj skrypt podstawiania plików, tzn. do Notatnika wklej: CMD: copy /y C:\Pliki\FirewallControlPanel.dll C:\Windows\SysWOW64\FirewallControlPanel.dll CMD: copy /y C:\Pliki\FirewallControlPanel.dll C:\Windows\winsxs\x86_networking-mpssvc_31bf3856ad364e35_6.1.7601.17514_none_0c80f0c5176cbb85\FirewallControlPanel.dll CMD: copy /y C:\Pliki\fltLib.dll C:\Windows\SysWOW64\fltLib.dll CMD: copy /y C:\Pliki\fltLib.dll C:\Windows\winsxs\x86_microsoft-windows-filtermanager-utils_31bf3856ad364e35_6.1.7600.16385_none_1964092586ab4352\fltLib.dll CMD: copy /y C:\Pliki\fltMC.exe C:\Windows\SysWOW64\fltMC.exe CMD: copy /y C:\Pliki\fltMC.exe C:\Windows\winsxs\x86_microsoft-windows-filtermanager-utils_31bf3856ad364e35_6.1.7600.16385_none_1964092586ab4352\fltMC.exe Plik zapisz pod nazwą fixlist.txt. Pliki fixlist.txt oraz FRST64.exe umieść na pendrive. 2. Uruchom FRST z poziomu WinRE: KLIK. Wybierz opcję Napraw (Fix). Na pendrive powstanie plik fixlog.txt. Przedstaw go. 3. Jeśli powyższa operacja się wykona poprawnie, ponownie uruchomiony skan sfc /scannow powinien zwrócić komunikat "nie wykryto naruszeń integralności".

Końcowe kroki: 1. Odinstaluj SUPERAntispyware. Obecnie to słaby program. Zostaw sobie za to MBAM i Hitman do skanów na żądanie. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Bratu podsunąć materiał edukacyjny na co uważać, bo rozwiązywane problemy to pochodna sponsorowanego instalatora / downloadera: KLIK.

W tym przypadku nie powinno mieć to znaczenia. Dla świętego spokoju, prócz podanego skanu na obecność folderów, możesz dostarczyć nowe wyniki wyszukiwania FRST na poprzednio zadane warunki. Ten skan będzie dowodem, że nie nastąpiły żadne przetasowania.

1. Hitman wykrył szczątki adware. Usuń za pomocą programu wszystkie wskazywane wyniki. 2. Dla pewności jeszcze jeden skan za pomocą Malwarebytes Anti-Malware. Przy instalacji odznacz opcję trial, by zainstalowała się tylko darmowa wersja. Dostarcz wynikowy log, o ile program coś znajdzie.

DelFix wykonał robotę. Skasuj z dysku plik raportu C:\delfix.txt. Temat rozwiązany. Zamykam.

vs. Kaspersky z tego co pamiętam jest oparty na Instalatorze Windows, więc nie można go odinstalować via Panel sterowania z poziomu trybu awaryjnego (nie działa usługa Instalatora), stąd specjalizowany usuwacz firmowy produktów Kasperskiego. A po tym spróbuj wejść do Windows normalnie i zrób logi FRST z tego poziomu.