picasso

Problem generują szkodliwe modyfikacje AppInit_DLLs, pozostała także jedna szkodliwa usługa i zadanie w Harmonogramie. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\Graveair\RanDox.dll => C:\ProgramData\Graveair\RanDox.dll [361984 2016-04-14] () AppInit_DLLs-x32: C:\ProgramData\Graveair\NimFax.dll => C:\ProgramData\Graveair\NimFax.dll [257536 2016-04-14] () S2 SstrprSrv; C:\Program Files (x86)\Sosition\SstrprSrv.exe [310360 2016-04-15] () Task: {E685257B-181D-4D10-8607-C9A1D2CCD55E} - System32\Tasks\Sosition Reports => C:\Program Files (x86)\Sosition\SstrprTsk.exe [2016-04-15] () Task: {EE769D96-492B-4CB8-A764-F9BF9747B0E1} - System32\Tasks\{FEB6A1D7-0BB9-44AC-8EA4-A0524E7295E4} => pcalua.exe -a F:\IN1PCH18WW6.exe -d F:\ SearchScopes: HKLM-x32 -> DefaultScope - brak wartości CHR HomePage: Default -> hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnkdYvIvvwfEYzwmkwM3HPmqx485Fy9cxyKz4C7eSZCbvx7Pr1Y-TNUv6YEblXEVu0gu0AiUPyJ9Pb8BQ_1KRazEqtLEluXll9WNXbkgCoIbJBDsQjpeg90878SiN9gl43NBGeF5rb684fygomfuJIqAmjstJJBNA4hMavkUSqxBqRtOedp8, CHR DefaultSearchURL: Default -> hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnkdYvIvvwfEYzwmkwM3HPmqx485Fy9cxyKz4C7eSZCbvx7Pr1Y-TNUv6YEblXEVu0gu0AiUPyJ9Pb8BQ_1KRazEqtL3CRa8I3eSxWmDvlZNkrcF2iCTEZd0pm-Px9v28I3g04RCWoAjgUkIqDknNHBgQVrmf5Ajeu-5acSuLJtkardu7cdw,&q={searchTerms} CHR DefaultSearchKeyword: Default -> feed.sonic-search.com CHR DefaultSuggestURL: Default -> hxxps://search.yahoo.com/sugg/chrome?output=fxjson&appid=crmas&command={searchTerms} C:\Program Files (x86)\hohobnd C:\Program Files (x86)\IObit C:\Program Files (x86)\Opera C:\Program Files (x86)\Sosition C:\ProgramData\Graveair C:\ProgramData\Graveairs C:\ProgramData\IObit C:\Users\infor\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 C:\Users\infor\AppData\Local\Opera Software C:\Users\infor\AppData\Roaming\*.* C:\Users\infor\AppData\Roaming\dlg C:\Users\infor\AppData\Roaming\Geek Uninstaller C:\Users\infor\AppData\Roaming\Opera Software C:\Users\Public\Documents\dmp Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść preferencje Google Chrome z adware: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Skasuj z dysku plik raportu C:\delfix.txt. Temat rozwiązany. Zamykam.

Przy okazji do usunięcia też odpadkowe wpisy po aktualizacji z Windows 7 do Windows 10. Działania do wykonania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Ograniczenia - Chrome HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = S2 DeskTop_F; C:\ProgramData\desktopfind\desktop154.exe [236728 2016-03-16] (DeskTopService) U3 idsvc; Brak ImagePath Task: {06C1ED50-32EA-4136-8620-7D1EE53D5E87} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {2C89D6CF-D6C8-4687-878B-72DABD013A6F} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {2D658E3D-6652-4968-AF67-540D40866AE2} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {316EBCEF-DE04-4B8E-A407-BB4261357B15} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {35D73E7D-A0B7-43A2-81A4-689EDFD81EC1} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {371C25CB-9B6F-4B8F-8690-CC4D1285C481} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {38190C91-4A07-4647-8738-EBFB6EA6E0B7} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {44DBA0F6-1A25-42BB-AD79-0A306807D1FB} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {4A15367B-FB36-45C0-81B7-8C0A96502AF5} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {54852298-D6A3-4E26-9A1A-2ED3E2447675} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {54DAFC8C-1A4B-41AA-B594-C192112A7913} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {68417E70-DCFC-48EE-AC27-82F3464A3C77} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {735A539E-78ED-4582-B41F-43B111CCC748} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {75C4FA8A-90BA-4DC0-8492-5353A909AF5F} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {7CF485E6-0567-4F10-B03A-0391D2BB9513} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {8EDB225F-65F7-4A9D-955A-A2AE6D1873A0} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {984B7041-47B6-4D40-9E77-98BC17E97729} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {9B7151CE-8C89-43AD-8BDC-88680661F643} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {B2104A05-6AE3-469B-A5FE-715CE19277D2} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {B2975797-9E93-4955-A9CB-200C87D262F5} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {B61613A1-C3C1-4D7E-8C81-88C142C3B82A} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {C00C42B1-916F-4531-BAEC-62AC7F04745D} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {C26A461A-4CDD-4669-B5C6-5EAC4AA69986} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {C630939B-8CFF-4610-867F-EE58FB48B420} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {CAEB9ACF-1003-450D-9E7F-F69387AB387B} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {D296B7FD-4A6C-45BD-B6E6-DD03D366EF26} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {DB7EEF12-9543-45FE-B58B-5793A18E1C76} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {E0F08142-D14D-492E-B4DB-3477CAC00BFB} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {E1328E8A-CD71-4C23-9F57-5B9C097540AC} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {E16C2FA5-0B13-43A1-878D-FA0C2DEE4CD5} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {E8DEA35B-766D-4154-99AB-726CF82DDDF6} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {ED8007DB-9129-468D-B7BC-3BAA892A13CA} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {FD579905-0D5D-4C5D-B663-59B09762785B} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v f.lux /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v InstallerLauncher /f C:\Program Files (x86)\mozilla firefox C:\ProgramData\*.bin C:\ProgramData\2winp2 C:\ProgramData\desktopfind C:\Users\Dominik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee (2).lnk C:\Users\Dominik\AppData\Roaming\Microsoft\Word\logo%20firmy305119492431045572\logo%20firmy.docx.lnk C:\Windows\ehome C:\Windows\system32\log C:\Windows\System32\Tasks\Microsoft\Windows\Media Center C:\Windows\system32\Drivers\EsgScanner.sys CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Google Chrome zostanie odblokowane, zresetuj więc ogólnie ustawienia: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Hulio777, nie podałeś danych o które prosiłam. Dodane raporty z FRST są uszkodzone (otwórz te pliki, prawie puste) i brak pliku fixlog.txt z wynikami skryptu. Proszę dodaj raporty o które proszę i chodzi o fixlog który powstał wtedy poczas uruchamiania, nie uruchamiaj ponownie. I mnie teraz nie interesuje log z AdwCleaner, nie zalecałam jego użycia, bo skrypt FRST miał załatwić większość spraw (skrzyżowanie instrukcji). Coś wydaje mi się, że w ogóle zadań nie wykonałeś jak należy, bo AdwCleaner nie miał prawa wykryć pewnych rzeczy po użyciu skryptu.

To bug w FRST, już naprawiony. Pobierz ponownie.

Zapomniałam powiedzieć poprzednio: proszę konfiguruj raporty FRST wg ustawień na forum, opcje Lista BCD, MD5 sterowników i Pliki z 90 dni nie mają być zaznaczone. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 QQPCRTP; C:\Program Files\Tencent\QQPCMgr\11.3.17195.214\QQPCRTP.exe [301728 2016-04-04] (Tencent) U2 QQRepair660; C:\Program Files\Tencent\QQPCMGR\Plugins\QQRepair660 [136512 2016-04-16] () S2 QQRepairFixSVC; C:\Program Files\Tencent\QQPCMGR\Plugins\QQRepairFixSVC [136512 2016-04-16] () S2 AVKProxy; "C:\Program Files\Common Files\G Data\AVKProxy\AVKProxy.exe" [X] S2 AVKService; "C:\Program Files\G Data\AntiVirus\AVK\AVKService.exe" [X] S4 AVKWCtl; "C:\Program Files\G Data\AntiVirus\AVK\AVKWCtl.exe" [X] S4 GDScan; "C:\Program Files\Common Files\G Data\GDScan\GDScan.exe" [X] S2 QQRepair2109; "C:\Program Files\Tencent\QQPCMGR\Plugins\QQRepair2109" [X] R0 GDBehave; C:\WINDOWS\System32\drivers\GDBehave.sys [33480 2016-04-16] (G Data Software AG) R1 GDMnIcpt; C:\WINDOWS\system32\drivers\MiniIcpt.sys [62024 2016-04-16] (G Data Software AG) R1 gdwfpcd; C:\WINDOWS\System32\drivers\gdwfpcd32.sys [40904 2016-04-16] (G DATA Software AG) R1 HookCentre; C:\WINDOWS\system32\drivers\HookCentre.sys [38856 2016-04-16] (G Data Software AG) R1 QMIEProtect; C:\Program Files\Tencent\QQPCMgr\11.3.17195.214\QMIEProtect.sys [50488 2016-01-12] () R1 QMUdisk; C:\Program Files\Tencent\QQPCMgr\11.3.17195.214\QMUdisk.sys [104152 2016-02-28] (Tencent) R2 QQSysMon; C:\Program Files\Tencent\QQPCMgr\11.3.17195.214\QQSysMon.sys [108984 2016-04-04] (电脑管家) R3 TAOAccelerator; C:\WINDOWS\system32\Drivers\TAOAccelerator.sys [128608 2016-04-04] (Tencent) R2 TAOKernelDriver; C:\WINDOWS\system32\Drivers\TAOKernelEx.sys [88376 2016-04-04] (Tencent Technology(Shenzhen) Company Limited) R1 TFsFlt; C:\WINDOWS\System32\Drivers\TFsFlt.sys [150072 2016-04-04] (电脑管家) R3 TS888; C:\Program Files\Tencent\QQPCMgr\11.3.17195.214\TS888.sys [39928 2016-04-16] (Tencent) R1 TSDefenseBt; C:\WINDOWS\System32\DRIVERS\TSDefenseBt.sys [14008 2016-04-04] (Tencent) R0 TSFLTMGR; C:\WINDOWS\System32\DRIVERS\TSFLTMGR.SYS [128280 2016-01-14] (电脑管家) R1 Tsksp; C:\Program Files\Tencent\QQPCMgr\11.3.17195.214\TSKsp.sys [210072 2016-04-04] (电脑管家) R1 TSSysKit; C:\Program Files\Tencent\QQPCMgr\11.3.17195.214\TSSysKit.sys [102200 2016-04-04] (电脑管家) R1 SRepairDrv; \??\C:\Program Files\Tencent\QQPCMGR\Plugins\SRepairDrv [X] HKLM\...\Run: [ QQPCTray] => C:\Program Files\Tencent\QQPCMgr\11.3.17195.214\QQPCTray.exe [355296 2016-04-04] (Tencent) Task: {0A81FE9D-C41C-4160-BE34-0B86371AFB39} - System32\Tasks\{659E8C1C-64C7-4969-AF05-0C2CD7D7E20C} => pcalua.exe -a D:\start.exe -d D:\ -c /s Task: {7FAE904C-965D-419E-8DC2-E569D85070F5} - System32\Tasks\Microsoft\Windows\SystemRestore\FreeVPN => C:\Users\TomsonLBN\AppData\Roaming\FreeVPN\FreeVPN.exe Task: {F5139C4C-7BC3-4CF1-998B-0184483883F6} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo HKU\S-1-5-21-4227522351-578386421-3270892594-1002\...\MountPoints2: {70f571da-67ae-11e2-8bc5-806e6f6e6963} - "D:\SYSTEM\AUTOSTRT.EXE" ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\ProgramData\MEGAsync\ShellExtX32.dll Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\ProgramData\MEGAsync\ShellExtX32.dll Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\ProgramData\MEGAsync\ShellExtX32.dll Brak pliku ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files\Tencent\QQPCMgr\11.3.17195.214\QMGCShellExt.dll [2016-04-04] (Tencent) GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131030596906447737&GUID=023D3B7E-CCCA-4106-81B1-450EF49AD1E1 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-4227522351-578386421-3270892594-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://stadsear.com/search5 SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-4227522351-578386421-3270892594-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 BHO: G Data WebFilter -> {0124123D-61B4-456f-AF86-78C53A0790C5} -> C:\Program Files\G Data\AntiVirus\WebFilter\AvkWebIE.dll => Brak pliku BHO: Crazy Score -> {f439aa7e-a2a0-4635-99a2-164180e848ca} -> C:\Program Files\Crazy Score\Extensions\f439aa7e-a2a0-4635-99a2-164180e848ca.dll => Brak pliku C:\Program Files\G Data C:\Program Files\Lenovo C:\Program Files\Tencent C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Common Files\G Data C:\Program Files\Common Files\Tencent C:\ProgramData\G DATA C:\ProgramData\Norton C:\ProgramData\Tencent C:\ProgramData\TXQMPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооgle Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfоx.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gnumeric C:\Users\TomsonLBN\AppData\Local\{DA82A928-648C-4A65-9494-6355D9042397} C:\Users\TomsonLBN\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 C:\Users\TomsonLBN\AppData\Local\Lenovo C:\Users\TomsonLBN\AppData\Local\Tencent C:\Users\TomsonLBN\AppData\Roaming\GiftBag.db C:\Users\TomsonLBN\AppData\Roaming\TXQBINSTX.EXE C:\Users\TomsonLBN\AppData\Roaming\Browsers C:\Users\TomsonLBN\AppData\Roaming\SPI C:\Users\TomsonLBN\AppData\Roaming\QB C:\Users\TomsonLBN\AppData\Roaming\Tencent C:\Users\TomsonLBN\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gоogle Сhrоme.lnk C:\Users\TomsonLBN\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Intеrnet Eхрlоrer Brоwser.lnk C:\Users\TomsonLBN\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Chromе*.lnk C:\Users\TomsonLBN\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Eхplorеr.lnk C:\Users\TomsonLBN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Eхрlorer.lnk C:\Users\TomsonLBN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\TomsonLBN\Desktop\gry\Rеsidеnt Evil 4.lnk C:\Users\TomsonLBN\Desktop\gry\Rеsidеnt Evil 5.lnk C:\Users\TomsonLBN\Desktop\Tu jest wsdzystko\Facebook.lnk C:\Users\TomsonLBN\Desktop\Tu jest wsdzystko\Fаcеboоk.lnk C:\Users\TomsonLBN\Desktop\Tu jest wsdzystko\Norton Security Scan.LNK C:\Users\TomsonLBN\Desktop\Tu jest wsdzystko\Мozilla Firefох.lnk C:\Users\TomsonLBN\Desktop\Tu jest wsdzystko\Nowy folder\World of Tanks.lnk C:\Users\TomsonLBN\Desktop\Tu jest wsdzystko\Nowy folder\Wоrld of Тanks.lnk C:\Users\Public\Desktop\Gоoglе Chromе.lnk C:\Users\Public\Documents\dmp C:\WINDOWS\system32\123.html C:\WINDOWS\system32\_tWm C:\WINDOWS\system32\Drivers\GDBehave.sys C:\WINDOWS\system32\Drivers\gdwfpcd32.sys C:\WINDOWS\system32\Drivers\HookCentre.sys C:\WINDOWS\system32\Drivers\MiniIcpt.sys C:\WINDOWS\system32\Drivers\TAOAccelerator.sys C:\WINDOWS\system32\Drivers\TAOKernelEx.sys C:\WINDOWS\system32\Drivers\TS888.sys C:\WINDOWS\system32\Drivers\TSDefenseBt.sys C:\WINDOWS\system32\Drivers\TFsFlt.sys C:\WINDOWS\system32\Drivers\TsFltMgr.sys C:\WINDOWS\system32\Tasks\Lenovo Hosts: RemoveDirectory: C:\Users\TEMP.ADMIN-KOMPUTER.000 RemoveDirectory: C:\Users\TEMP.ADMIN-KOMPUTER.001 RemoveDirectory: C:\Users\TEMP.ADMIN-KOMPUTER.002 RemoveDirectory: C:\Users\TEMP.ADMIN-KOMPUTER.003 RemoveDirectory: C:\Users\TEMP.ADMIN-KOMPUTER.004 RemoveDirectory: C:\Users\TEMP.ADMIN-KOMPUTER.005 CMD: netsh advfirewall reset CMD: dir /a C:\Users EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wszystkie skróty przeglądarek były skierowane na szkodliwe pliki BAT i zostały usunięte. Skróty do wybranych przeglądarek musisz utworzyć ręcznie. Wyczyść też po kolei przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Goole. 3. Drugie konto admin w systemie jest uszkodzone, startuje z powielanych folderów TEMP. Usuń to konto całkowicie via Panel sterowania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition i Shortcut. Dołącz też plik fixlog.txt.

Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csU-cTQxkZ0epvrg5umSYKtYkLXh0567ID_nNxorm6y3cHxAX8ZdgUZzga7dvQRIovOwT1KamKunvaughkpMz6IKqCXT1cCO1bhSBddxDOVONBYLOcWMlVBCTt89ufPH7H86J8rU0tX8OQ,, StartMenuInternet: Google Chrome - Chrome.exe SearchScopes: HKU\S-1-5-21-1244865762-4093500767-1752695092-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: FIREFOX.EXE - firefox.exe Task: {B55FB454-BE81-4B88-8629-18672F4D4AF2} - System32\Tasks\{62B7B20F-08AD-41ED-9F92-D9766E379E79} => pcalua.exe -a "C:\Users\Maciej\Downloads\Nero Free 9.4.12.3d [1].exe" -d C:\Users\Maciej\Downloads C:\Program Files\AVG C:\ProgramData\Avg C:\Users\Maciej\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 C:\Users\Maciej\AppData\Local\BowdlerizedFilibusters C:\Users\Maciej\AppData\Local\Sparta C:\Users\Maciej\AppData\Local\TotalityUnbroken C:\Users\Maciej\AppData\Roaming\sparta111 C:\Users\Maciej\AppData\Roaming\WarThunder C:\Users\Maciej\Desktop\MILENA\Facebook.lnk C:\Users\Public\Documents\dmp C:\Windows\system32\pl.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Skrypt odblokuje Google Chrome, więc wyczyść porządnie ustawienia: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Posługujesz się potwornie starą wersją FRST pozbawioną wielu nowych skanów i poprawek: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 02-05-2015 (ATTENTION: ====> FRST version is 350 days old and could be outdated) Proszę pobierz najnowszą wersję z przyklejonego i zrób nowe skany (FRST.txt, Addition.txt i Shortcut.txt): KLIK.

1. Rozpocznij od próby poprawnej deinstalacji. Z poziomu panelu sterowania spróbuj odinstalować tego chińczyka QQ浏览器. Przy okazji też pozbądź się zbędnego Norton Security Scan. 2. Dodatkowo uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition i Shortcut. Jeśli deinstalacja będzie nieudana, podam stosowne czynności jak usunąć ręcznie niepożądane obiekty.

Preparowana sztucznie płyta wyjaśnia odczyt SFC. Swoją drogą, podejrzany jest też brak usługi Appinfo, skąd to się wzięło i czy przypadkiem to nie jest także część "modyfikacji" w płycie. W tej sytuacji to nawet nie wiadomo co jeszcze zmalowano w tej płycie i lepiej byłoby stawiać system od nowa z pewnego niemodyfikowanego nośnika. Fix FRST wykonany. Skasuj FRST z F:. Poczęstuj się też DelFix.

Wszystko zostało przetworzone, mikro poprawki potem, bo nie jest to na tym etapie istotne. Z raportów już nic szczególnego nie wynika. Sprecyzuj proszę czy są jakieś konkretne problemy. Czy tu rzeczywiście jest jakiś problem? Ile konkretnie ten svchost zajmuje? A zabijanie procesu w Menedżerze to niefortunne działania. Ten proces to jest host wielu usług Windows, zabijając go zatrzymujesz działanie tych usług, niektóre mogą być istotne lub krytyczne. Zabicie procesu jest traktowane jako "awaria" i usługi mają zaplanowaną w swoich konfiguracjach reakcję na awarię taką jak np. restart usługi. I Dziennik zdarzeń pokazuje którą instancję zabijasz, bo próbuje korygować usterkę przez Ciebie sprowokowaną: Dziennik System: ============= Error: (04/16/2016 12:14:27 AM) (Source: Service Control Manager) (EventID: 7032) (User: ) Description: Menedżer sterowania usługami próbował podjąć akcję korekcyjną (Uruchom usługę ponownie) po nieoczekiwanym zakończeniu usługi Usługa profilów użytkowników, ale ta akcja nie powiodła się przy następującym błędzie: %%1056. Error: (04/16/2016 12:14:27 AM) (Source: Service Control Manager) (EventID: 7032) (User: ) Description: Menedżer sterowania usługami próbował podjąć akcję korekcyjną (Uruchom usługę ponownie) po nieoczekiwanym zakończeniu usługi Instrumentacja zarządzania Windows, ale ta akcja nie powiodła się przy następującym błędzie: %%1056. Error: (04/16/2016 12:11:27 AM) (Source: Service Control Manager) (EventID: 7032) (User: ) Description: Menedżer sterowania usługami próbował podjąć akcję korekcyjną (Uruchom usługę ponownie) po nieoczekiwanym zakończeniu usługi Serwer, ale ta akcja nie powiodła się przy następującym błędzie: %%1056. I tej konkretnej instancji svchost.exe nie możesz wyłączysz na trwałe ani "zabić", bo jest to wystąpienie m.in. hostujące Usługę profilów użytkowników, niezbędną do prawidłowego funkcjonowania Windows i logowania kont. Jeśli są jakieś nieprawidłowości w tym obszarze, możesz nawet utracić dostęp do logowania.

Zaczyna mi brakować pomysłów. Może spróbuj jeszcze: 1. Sprawdzanie dysku pod kątem błędów: Start > w polu szukania wpisz cmd > w oknie wklej komendę i ENTER: chkdsk /f /r Zatwierdź uruchomienie przy następnym starcie i zresetuj system. Wynik zostanie nagrany w Dzienniku zdarzeń w gałęzi Aplikacja w postaci rekordu z Wininit. Pobierz szczegóły tego rekordu, skopiuj i wklej do posta statystyki. 2. Sprawdzanie poprawności plików Windows. Uruchom sfc /scannow i dostarcz przefiltrowany raport: KLIK.

Wielkie dzięki za ewentualną dotację. Temat rozwiązany. Zamykam.

Wszystko zrobione, można ponowić podejście z instalacją nowego antywirusa. PS. Usuń z dysku C:\FRST oraz FRST jako taki i jego logi.

Wszystko zrobione. Jeszcze mini poprawki. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2831285199-3536826771-1048164271-1002\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v PCSpeedUp /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v AdobeAAMUpdater-1.0 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AdobeCS6ServiceManager /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SDTray /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Acrobat Assistant 8.0" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Pokaż wynikowy fixlog.txt. W raportach nie widać przyczyny. Czy problem występuje także po wyłączeniu osłon McAfee?

Akcje pomyślnie przeprowadzone. Na koniec: Skasuj folder FRST z Pulpitu. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Teraz widzę, że dołączyłeś we wcześniejszym poście logi, pisałam swój, gdy ich tam jeszcze nie było. Ten skrypt FRST niepotrzebnie uruchomiłeś powtórnie, to skrypt jednorazowego użytku i w kolejnym podejściu prawie nic nie robi. Wszystko wykonane. Na koniec: 1. Usuń folder C:\Users\Michael Jackson\Desktop\wirusy\FRST program z FRST i jego logami. 2. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

facet, znowu te same błędy z tworzeniem pliku skryptu, znów uruchomiłeś translator przeglądarki SRWare Iron, który zepsuł skrypt. Wyłącz translator lub nie reaguj na próby tłumaczenia strony fixitpc.pl. Powtarzaj punkt 3. Następnie dla pewności jeszcze zrób nowy log FRST z opcji Skanuj (Scan) z Addition, mający potwierdzić wykonanie wszystkich operacji.

vs. 2016-04-11 00:20 - 2016-04-13 20:02 - 01353625 _____ C:\Users\Piotr\Desktop\MG_0290.jpg.encrypted To nie CryptoLocker tylko TorrentLocker. Mogłeś widzieć nazwę "CryptoLocker" na komunikacie ransom, ale to ulepszony copycat CryptoLockera a nie CryptoLocker, posługujący się po prostu nazwą starego prekursora. Więcej na temat tej infekcji: KLIK / KLIK. Niestety, odkodowanie plików nie jest możliwe. W drugim linku jest informacja, że na pewnym etapie cichym odkodowaniem plików tej infekcji zajmował się Dr. Web, ale trzeba było być ich klientem, tzn. zapłacić. Ale to informacje z zeszłego roku o starym wariancie TorrentLocker, Ty zapewne złapałeś najnowszą generację, której Dr. Web nie umie odkodować (mówi o tym ostatni post w drugim linku). Nie, to nie ten rodzaj szyfrowania. Ta infekcja usuwa wszystkie punkty Przywracania systemu. Te które są u Ciebie widoczne to prawdopodobnie punkty nagrane już po ataku infekcji. Nie wiadomo kiedy infekcja wystąpiła i jak długo była aktywna, gdyż podczas szyfrowania użytkownik nawet nie wie, że to się dzieje, a widoczne oznaki w postaci komunikatów ransom są już tworzone po ukończeniu procesu... ==================== Punkty Przywracania systemu ========================= 12-04-2016 06:49:56 Windows Update 13-04-2016 23:55:12 Windows Update 15-04-2016 18:39:04 Usunięto: Steam 15-04-2016 21:36:45 Norton_Power_Eraser_20160415213644610 Natomiast wyłączona Ochrona dla innych dysków niż systemowy to domyślny stan ustawiany podczas instalacji Windows. Jedyne więc w czym mogę pomóc, to doczyszczenie drobnostek, na dysku widać tylko odpadkowy folder tej infekcji oraz szczątki lewego skanera SpyHunter. Notabene, jeśli go użyłeś, to prawdopodobnie porobił więcej szkód. On pogarsza sprawę, bo usuwa z rejestru dane identyfikacyjne infekcji szyfrujących (przynajmniej niektórych), uniemożliwiając nawet odzysk danych oficjalną metodą, tzn. poprzez uiszczenie opłaty przestępcom. Pod kątem drobnego doczyszczania. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3183649738-3205867959-702821356-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-3183649738-3205867959-702821356-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKU\S-1-5-21-3183649738-3205867959-702821356-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3183649738-3205867959-702821356-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3183649738-3205867959-702821356-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3183649738-3205867959-702821356-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} StartMenuInternet: Google Chrome.JMI5BUZEGRYCBEJTQLGOWTBCAU - C:\Users\Piotr\AppData\Local\Google\Chrome\Application\chrome.exe hxxp://www.delta-homes.com/?type=sc&ts=1435117082&z=e83dcbed1a6e177c34db874g3zfc0w2g0g9m0e0b1m&from=ient06242&uid=SAMSUNGXHD103SJ_S246J9CB143685 BHO: Brak nazwy -> {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} -> Brak pliku BHO-x32: Brak nazwy -> {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} -> Brak pliku CustomCLSID: HKU\S-1-5-21-3183649738-3205867959-702821356-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Piotr\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3183649738-3205867959-702821356-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Piotr\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3183649738-3205867959-702821356-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Piotr\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3183649738-3205867959-702821356-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Piotr\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3183649738-3205867959-702821356-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Piotr\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3183649738-3205867959-702821356-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Piotr\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku Task: {4C5F3C83-B7E1-4536-86A1-8DD0D9658E3B} - System32\Tasks\{8656F942-AE8D-41EC-B43B-5EB3971FBA08} => pcalua.exe -a E:\Instalki\BESTplayer_www.INSTALKI.pl.exe -d E:\Instalki Task: {CFE6F572-BF91-4BF7-8846-150F0B32D3A8} - System32\Tasks\{AE1A3029-037E-4931-88E1-A7173CD37831} => pcalua.exe -a C:\Users\Piotr\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt HKLM-x32\...\Run: [] => [X] S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-04-13] () C:\ProgramData\adafegecyjykykud C:\ProgramData\APN C:\Users\Piotr\AppData\Roaming\Enigma Software Group C:\Windows\system32\Drivers\EsgScanner.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. Nowe skany FRST nie są już potrzebne.

Widzę nowe niekorzystne zmiany. MBAM wykrył obiekty, których na pewno nie było w poprzednim raporcie FRST, co wskazuje na instalację nowych adware. Poproszę o nowy log FRST z opcji Skanuj (Scan) włącznie z Addition.

Nie zalecam tego, mogą być skutki uboczne. Były tu nawet takie tematy na forum - komunikaty "W komputerze brakuje pamięci", pomimo dużej ilości fizycznego RAM. Nawet przy ogromnej ilości RAM plik pamięci wirtualnej i tak jest potrzebny, a przy jego braku określone aplikacje mogą się dziwnie zachowywać lub nawet nie uruchomić. Plik pamięci wirtualnej, choćby najmniejszy (czyli minimalnie przyjęty przez system 2MB), powinien zostać przywrócony. Rozmiar tego pliku ustala się w inny sposób poprzez monitorowanie: KLIK. W tej sytuacji spróbuj tych kroków: 1. Pod kątem wejścia instalacyjnego zastosuj Wise Program Uninstaller. Prawdopodobnie program usunie więcej niż tylko rejestrację programu (tak było przynajmniej w innym temacie), ale i tak w punkcie dwa zadaję usuwanie elementów AVG Web TuneUp widocznych w raporcie FRST (plus pozostałe odpadki). 2. Usunięcie szczątków AVG, SpyHunter i kwarantann. Otwórz Notatnik i wklej w nim: R2 WtuSystemSupport; C:\Program Files (x86)\AVG Web TuneUp\WtuSystemSupport.exe [1223752 2016-04-13] () S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-04-12] () HKLM-x32\...\Run: [vProt] => C:\Program Files (x86)\AVG Web TuneUp\vprot.exe [2885704 2016-04-13] () BHO: Brak nazwy -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> Brak pliku BHO-x32: AVG Web TuneUp -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> C:\Program Files (x86)\AVG Web TuneUp\4.2.9.726\AVG Web TuneUp.dll [2016-04-13] (AVG) RemoveDirectory: C:\$AVG RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\AVG_Remover RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Enigma Software Group RemoveDirectory: C:\Program Files (x86)\69dc8177-a574-4dff-8461-b3267b078dcf RemoveDirectory: C:\Program Files (x86)\AVG RemoveDirectory: C:\Program Files (x86)\AVG Web TuneUp RemoveDirectory: C:\ProgramData\AVG RemoveDirectory: C:\ProgramData\AVG Secure Search RemoveDirectory: C:\ProgramData\AVG Security Toolbar RemoveDirectory: C:\ProgramData\AVG Web TuneUp RemoveDirectory: C:\ProgramData\MFAData RemoveDirectory: C:\Program Files\Common Files\AVG Secure Search RemoveDirectory: C:\sh4ldr RemoveDirectory: C:\Users\Ewelina\AppData\Local\AVG RemoveDirectory: C:\Users\Ewelina\AppData\Local\AvgSetupLog RemoveDirectory: C:\Users\Ewelina\AppData\Local\MFAData RemoveDirectory: C:\Users\Ewelina\AppData\Roaming\Enigma Software Group RemoveDirectory: C:\Users\Ewelina\AppData\Roaming\TuneUp Software CMD: del /q C:\WINDOWS\system32\Drivers\EsgScanner.sys Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AVG_UI /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż fixlog.txt. Po jego prezentacji: 3. Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. PS. Co do pytań o dotacje, to mam w swojej sygnaturze przecież dane. Moja pomoc była jednak skromna.

Nie widzę logów dołączonych... To nie rozwiązuje problemu. Zedytowałeś serwery DNS w Windows, które mają priorytet nad tymi z routera i dlatego efekt reklam ustał, ale to nie zmienia faktu, że router jest zainfekowany. Cokolwiek podepniesz do sieci, np. inny komputer / laptop / telefon, zostanie natychmiast zainfekowany z routera. Musi być rozwiązana sprawa na poziomie routera. To kolejny przypadek zgłoszony, że nie można zmienić ustawień DNS ręcznie. W związku z tym: 1. Wykonaj aktualizację firmware: Jak zaktualizować oprogramowanie routera ADSL (dla TD-W8840T, TD-W8901G, TD-W8951ND oraz TD-W8961ND) Firmware dla TD-W8901G Po aktualizacji wykonaj reset routera do ustawień fabrycznych poprzez przycisk na obudowie, co powinno wymazać szkodliwe serwery DNS. Następnie w konfiguracji zmień hasło logowania i upewnij się, że jest zamknięty dostęp do panelu zarządzania z poziomu internetu. 2. Po operacji z routerem zresetuj Windows, by zaktualizował dane. Zrób nowy log FRST (bez Addition i Shortcut).

Usuwacz Kasperskiego ubił prawie wszystko. Zostały rejestracje WMI i jedna usługa. Czyli kolejny skrypt do FRST: AV: Kaspersky 365 ¼ Beta (Disabled - Out of date) {2C4D4BC6-0793-4956-A9F9-E252435469C0} FW: Kaspersky 365 ¼ Beta (Disabled) {2C4D4BC6-0793-4956-A9F9-E252435469C0} S2 AVP16.0.0; C:\Program Files\Kaspersky Lab\Kaspersky 365 Beta 16.0.0\avp.exe [194000 2015-09-07] (Kaspersky Lab ZAO) RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab RemoveDirectory: C:\Program Files\Kaspersky Lab DeleteQuarantine: Tym razem plik zapisz jednak w innym kodowaniu: Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Uruchom w taki sam sposób jak poprzednio i pokaż wynikowy Fixlog. PS. Na koncie Ja w Google Chrome są stare preferencje sprzed aktualizacji. Wyczyść martwe wpisy wtyczek poprzez reset cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

Nic dziwnego, Kaspersky to tu bardziej wygląda jak zainstalowany niż odinstalowany. Zostało multum obiektów, rejestracje WMI w Centrum, usługa i kupa uruchomionych sterowników oraz rozszerzenie w Firefox: ==================== Centrum zabezpieczeń ======================== AV: Kaspersky 365 ¼ Beta (Disabled - Out of date) {2C4D4BC6-0793-4956-A9F9-E252435469C0} FW: Kaspersky 365 ¼ Beta (Disabled) {2C4D4BC6-0793-4956-A9F9-E252435469C0} ==================== Usługi (filtrowane) ======================== S2 AVP16.0.0; C:\Program Files\Kaspersky Lab\Kaspersky 365 Beta 16.0.0\avp.exe [194000 2015-09-07] (Kaspersky Lab ZAO) ===================== Sterowniki (filtrowane) ========================== R0 cm_km; C:\WINDOWS\System32\DRIVERS\cm_km.sys [201912 2015-07-06] (Kaspersky Lab ZAO) R0 kl1; C:\WINDOWS\System32\DRIVERS\kl1.sys [153784 2015-06-22] (Kaspersky Lab ZAO) R0 klbackupdisk; C:\WINDOWS\System32\DRIVERS\klbackupdisk.sys [46776 2015-06-06] (Kaspersky Lab ZAO) R1 klbackupflt; C:\WINDOWS\System32\DRIVERS\klbackupflt.sys [57712 2015-06-27] (Kaspersky Lab ZAO) R2 kldisk; C:\WINDOWS\System32\DRIVERS\kldisk.sys [58040 2015-06-06] (Kaspersky Lab ZAO) R3 klflt; C:\WINDOWS\System32\DRIVERS\klflt.sys [131232 2015-08-19] (Kaspersky Lab ZAO) R1 klhk; C:\WINDOWS\System32\DRIVERS\klhk.sys [44216 2015-07-22] (AO Kaspersky Lab) R1 KLIF; C:\WINDOWS\System32\DRIVERS\klif.sys [754336 2015-08-19] (AO Kaspersky Lab) R3 klim5; C:\WINDOWS\System32\DRIVERS\klim5.sys [36448 2013-04-19] (Kaspersky Lab ZAO) R3 klkbdflt; C:\WINDOWS\System32\DRIVERS\klkbdflt.sys [36024 2015-06-04] (Kaspersky Lab ZAO) R3 klmouflt; C:\WINDOWS\System32\DRIVERS\klmouflt.sys [37040 2015-06-07] (Kaspersky Lab ZAO) R1 klpd; C:\WINDOWS\System32\DRIVERS\klpd.sys [28344 2015-06-08] (Kaspersky Lab ZAO) R1 kltdf; C:\WINDOWS\System32\DRIVERS\kltdf.sys [73912 2015-06-10] (Kaspersky Lab ZAO) R1 kltdi; C:\WINDOWS\System32\DRIVERS\kltdi.sys [54328 2015-06-11] (Kaspersky Lab ZAO) R1 kneps; C:\WINDOWS\System32\DRIVERS\kneps.sys [156856 2015-06-23] (Kaspersky Lab ZAO) FireFox: ======== FF HKLM\...\Firefox\Extensions: [light_plugin_D772DC8D6FAF43A29B25C4EBAA5AD1DE@kaspersky.com] - C:\Program Files\Kaspersky Lab\Kaspersky 365 Beta 16.0.0\FFExt\light_plugin_firefox FF Extension: Kaspersky Protection - C:\Program Files\Kaspersky Lab\Kaspersky 365 Beta 16.0.0\FFExt\light_plugin_firefox [2015-10-21] [brak podpisu cyfrowego] 1. Zacznij od użycia z poziomu Trybu awaryjnego Windows firmowego deinstalatora Kaspersky Remover. 2. Następnie doczyszczenie drobnostek. Do Notatnika wklej: AV: avast! Antivirus (Disabled - Up to date) {7591DB91-41F0-48A3-B128-1A293FD8233D} ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll Brak pliku CHR HKU\S-1-5-21-746137067-1004336348-682003330-500\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k S3 RTL8192su; system32\DRIVERS\RTL8192su.sys [X] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox\Extensions C:\Program Files\Mozilla Firefox\extensions EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowe logi FRST (główny + Addition), ale z drugiego konta. Podane tu raporty pochodzą z wbudowanego w system Administratora a nie zasadniczego konta Ja: ==================== Konta użytkowników: ============================= Administrator (S-1-5-21-746137067-1004336348-682003330-500 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Administrator Ja (S-1-5-21-746137067-1004336348-682003330-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Ja Pokaż też fixlog.txt.

Kończymy: 1. Skasuj pobrany FRST i jego logi z folderu D:\Pobierania\Pobrane - Chrome 2. Następnie zastosuj narzędzie DelFix, a na koniec wyczyść foldery Przywracania systemu: KLIK. To wszystko.