picasso

W raportach żadnych oznak infekcji. Do wykonaia byłyby tylko drobne czynności porządkowe (np. usunięcie odpadków po ArcaBit). Przeklej dokładnie te rekordy w czym / jaka ścieżka dostępu, czy powiązane jest to z detekcję jakiejś strony internetowej. Generalnie detekcje eksploitu "Angler" są związane z lukami w oprogramowaniu. Tu widać na komputerze np. starszą wersję Java 8 Update 45. Czy to na pewno jest tak sformułowane? To "zagrożenie sieciowe" fsmsh.dll to ... biblioteka F-Secure Policy Manager. Owszem, pakiet F-Secure jest tu starej wersji.

Fix FRST pomyślnie wykonany. Zabrakło głównego skanu FRST.txt. Uzupełnij. Nie wiem o jaką wersję Ci chodzi. Wg FRST masz zainstalowane dwa programy VAIO: ==================== Zainstalowane programy ====================== VAIO Care (HKLM\...\{EC635BC0-0D7C-4CA2-9B87-2A330C298CB2}) (Version: 8.1.0.10120 - Sony Corporation) VAIO Control Center (HKLM-x32\...\{8E797841-A110-41FD-B17A-3ABC0641187A}) (Version: 5.4.0.02260 - Sony Corporation) Mówisz o VAIO Care, ale to aplikacja z akcjami konserwacyjnymi i diagnostycznymi. To VAIO Control Center jest tym który ma ustawienia przez Ciebie punktowane i wg raportu program posiadasz, skrót w Menu Start także obecny: ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VAIO Control Center.lnk -> C:\Program Files (x86)\Sony\VAIO Control Center\VAIO Control Center.exe (Sony Corporation) -> /VCC Tak więc czy na pewno brakuje Ci czegoś? (przykładowy zrzut ekranu z Google) Wielkie dzięki!

Komentując stary wątek: Ten komunikat mojego forum jest związany z rekordami w bazie StopForumSpam (KLIK) i w przypadku niewinnego użytkownika jest charakterystyczny dla wspólnego IP zewnętrznego (bądź systemu proxy dostawcy) danej sieci. Użytkownicy widziani pod tym samym IP, więc aktywność jednego nawet spamera z tej sieci ma skutki uboczne dla wszystkich jej użytkowników. Sprawa do omówienia z dostawcą, nie jestem w stanie nic zdziałać. W raportach żadnych oznak infekcji, w tym oznak infekcji routera. Widać tylko wewnętrzne adresy routera. Wprawdzie ten odczyt nie jest gwarancją, że nie ma modyfikacji routera, ale po opisywanych objawach wątpię, by to o to chodziło. Tcpip\Parameters: [DhcpNameServer] 192.168.2.254 192.168.1.254 Tcpip\..\Interfaces\{70AFD5D5-A181-4883-BF5E-C3BB4C895B2A}: [DhcpNameServer] 192.168.2.254 192.168.1.254 Mulenie netu zaś może być niepowiązane z powyższym problemem. W tym kontekście równie dobrze aktywności Kaspersky Internet Security mogą mieć coś do rzeczy. PS. Zainstalowany lewy skaner SpyHunter. A poza tym byłyby do wykonania akcje bardziej kosmetyczne, ale to bez związku z problemami.

O ile problem nadal aktualny: 1. Błąd RunDll produkuje adware PriceFountain, nieumiejętnie usuwane. Pozostało w Harmonogramie zadań zadanie próbujące to odpalać: Task: {943BC93B-5ACA-43D4-ADCE-1D4CF68E06CF} - System32\Tasks\AciIslan41 => Rundll32.exe C:\Users\SEBAST~1\AppData\Local\SMOOTE~1\Smsegment.dll,Enum Ponadto widać w raportach inne aktywne elementy adware. Jeśli nadal potrzebna pomoc, dostarcz świeże raporty FRST. 2. Problemu z Menu start i paskiem nie są pochodną infekcji. Być może to jest efekt z tej kolekcji: KLIK. A być może to uruchomione procesy (np. pakiet Symantec) mają wpływ.

O ile problem nadal aktualny: 1. Pendrive jest zainfekowany typem Gamarue: KLIK. Klikanie w skrót to akcja niepożądana, dane zasadnicze są dostępne bez uruchamiania skrótu, po prostu ukryte (widziane pod odfajkowaniu opcji Ukryj chronione pliki systemu operacyjnego). Czy na pewno po usunięciu skrótu na pendrive jest on samoistnie regenerowany spod widzianego tu komputera? W systemie nie ma oznak infekcji tego typu, więc albo jest tu niedokładny opis (skrót nie jest tworzony na nowo) i infekcja nastąpiła po podpięciu pendrive pod inny komputer, albo infekcję już czym usunięto. Zostaje sprawa wyczyszczenia samego pendrive. Dodaj raport USBFix z opcji Listing zrobiony przy podłączonym pendrive. 2. W samym systemie natomiast widać aktywne adware (sponsorowany BingSvc w starcie). Raporty FRST są stare, jeśli nadal potrzebna pomoc dostarcz świeże. 3. Problemy ze spowolnieniem systemu i przyciskiem "Zamknij" nie są związane z infekcją. Wątek spowolnienia może być powiązany z poniższymi błędami. Zwykle te błędy rozwiązuje się poprzez reset bufora czcionek: KLIK. Dziennik System: ============= Error: (02/13/2016 03:18:46 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0 z powodu następującego błędu: %%1053 Error: (02/13/2016 02:15:41 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0.

Proszę przeczytać zasady działu jakie raporty są obowiązkowe: KLIK. OTL jest cholernie przestarzały i w ogóle tu nie brany już pod uwagę. Usuwam jego log.

Większość tych obiektów to poprawne systemowe komponenty, a widzisz je teraz, gdyż przestawiła się w systemie opcja Ukryj chronione pliki systemu operacyjnego. I nie wolno było ich ruszać, a taka próba oznacza uszkodzenie systemu. - System Volume Information - Katalogi związane z Przywracanie systemu, umieszczone na każdym dostępnym dysku. Domyślnie zablokowane przez uprawnienia, by ich nie uszkodzić. - All Users to link symboliczny do C:\ProgramData, a ten z kolei to niezbędny element systemu, by poprawnie działały m.in. aplikacje i pewna sfera Menu Start współdzielona między wszystkie konta. Link symboliczny zaś jest dla wstecznej kompatybilności dla programów, które nie rozpoznają nowej struktury ścieżek systemów Vista i nowszych. - Default to matryca zakładania kont, niezbędna, by dało się konta tworzyć. - Default User to link symboliczny do Default. - Publiczny to niezbędny folder dzielony między wszystkie konta systemowe, w nim jest m.in. część zawartości Pulpitu. - Jedyne bezpieczne do usunięcia foldery to były: Administrator (gdyż wbudowane w system konto nie było aktywne wg FRST Addition) oraz £ukasz (folder z uszkodzoną nazwą) Objawy z Pulpitem są pochodną usunięcia folderu Publicznego, zaś defekty menu Start wskazują, że rozwaliłeś albo swoje konto, albo właśnie ProgramData. Usuwałeś elementy, więc usterka jest nie do naprawienia bez przywrócenia poprzedniego stanu. Proszę użyj Przywracanie systemu do czasu sprzed tych fatalnych kasacji, o ile masz punkt Przywracania systemu... Przywracanie systemu rzecz jasna wyzeruje działanie skryptu FRST, ale to akurat najmniej istotna sprawa w kontekście tego co zmalowałeś. Po użyciu Przywracania systemu zrób nowe raporty FRST (włącznie z Addition)

Czysty rozruch wyłączył następujące elementy: HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [9913376 2009-12-29] (Realtek Semiconductor) HKLM\...\Run: [synTPEnh] => C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [1890088 2009-12-10] (Synaptics Incorporated) HKLM\...\Run: [PLFSetI] => C:\Windows\PLFSetI.exe [206208 2010-01-13] () HKLM\...\Run: [Acer ePower Management] => C:\Program Files\eMachines\eMachines Power Management\ePowerTray.exe [861216 2010-04-23] (Acer Incorporated) HKLM\...\Run: [iTunesHelper] => C:\Program Files\iTunes\iTunesHelper.exe [176952 2016-03-19] (Apple Inc.) HKLM-x32\...\Run: [iAStorIcon] => C:\Program Files (x86)\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe [284696 2010-04-13] (Intel Corporation) HKLM-x32\...\Run: [startCCC] => C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [98304 2010-01-22] (Advanced Micro Devices, Inc.) HKLM-x32\...\Run: [LManager] => C:\Program Files (x86)\Launch Manager\LManager.exe [908368 2010-04-08] (Dritek System Inc.) HKU\S-1-5-21-3714686009-140934952-2927603390-1000\...\Run: [DAEMON Tools Pro Agent] => C:\Program Files (x86)\DAEMON Tools Pro\DTAgent.exe [3111744 2012-04-26] (DT Soft Ltd) HKU\S-1-5-21-3714686009-140934952-2927603390-1000\...\Run: [sony PC Companion] => C:\Program Files (x86)\Sony\Sony PC Companion\PCCompanion.exe [457088 2015-09-23] (Sony) HKU\S-1-5-21-3714686009-140934952-2927603390-1000\...\Run: [skype] => C:\Program Files (x86)\Skype\Phone\Skype.exe [50599552 2016-02-10] (Skype Technologies S.A.) R2 Apple Mobile Device Service; C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe [83768 2016-03-02] (Apple Inc.) R2 ePowerSvc; C:\Program Files\eMachines\eMachines Power Management\ePowerSvc.exe [867360 2010-04-23] (Acer Incorporated) S3 GameConsoleService; C:\Program Files (x86)\eMachines Games\eMachines Game Console\GameConsoleService.exe [238328 2009-10-10] (WildTangent, Inc.) R2 GREGService; C:\Program Files (x86)\eMachines\Registration\GREGsvc.exe [23584 2010-01-08] (Acer Incorporated) S4 MBAMScheduler; C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamscheduler.exe [1513784 2015-10-05] (Malwarebytes) S2 MBAMService; C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamservice.exe [1135416 2015-10-05] (Malwarebytes) R2 Updater Service; C:\Program Files\eMachines\eMachines Updater\UpdaterService.exe [243232 2010-01-29] (Acer Group) R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation) [+ Ukryte na białej liście FRST (czyli niewidoczne bezpośrednio w podanych raportach) usługi Adobe, Google, Skype. Być może jest więcej ukrytych usług niedomyślnych.] Większość zakreślonych obiektów nie jest krytyczna i może zostać wyłączona na stałe, ale: - Jeśli po akcji przestał działać touchpad, przywróć w msconfig w karcie Uruchamianie wpis SynTPEnh. - Jeśli korzystałeś z rozszerzonych firmowo funkcji klawiatury (skróty / klawisze funkcyjne), to należy przywrócić też wpis LManager. - Deaktywacja usług MBAM rzecz jasna powoduje, że nie będzie on poprawnie działał, Jeśli ma zostać w systemie, w msconfig w karcie Usługi przywróć powiązane usługi. Z jakiego instalatora były poprzednio instalowane? Czy na stronie producenta sprzętu eMachines są dostępne pliki do pobrania dla Twojego modelu?

Mało danych. 1. Zrób zrzut ekranu z tego co jakoby "naprawia" WindowsUpdateDiagnostic. 2. Uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. Gdy narzędzie ukończy skan, skopiuj na Pulpit cały katalog C:\Windows\Logs\CBS, zapakuj do ZIP i shostuj gdzieś podając link do paczki. Nie obiecuję szybkiej analizy. EDIT: Pisałam nie widząc powyższej odpowiedzi.

1. Jest naruszenie w usługach - brakuje usługi Informacje o aplikacji (Appinfo), która odpowiada za: "Umożliwia uruchamianie aplikacji interaktywnych z dodatkowymi uprawnieniami administracyjnymi. Jeśli ta usługa zostanie zatrzymana, użytkownicy nie będą mogli uruchamiać aplikacji z dodatkowymi uprawnieniami administracyjnymi, których mogą wymagać do wykonywania żądanych zadań użytkownika.". Wstępnie rekonstrukcja w rejestrze, przy założeniu że powiązania biblioteka appinfo.dll jest na dysku (w skanie SFC brak powiązanych adnotacji). Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Appinfo] "DisplayName"="@%systemroot%\\system32\\appinfo.dll,-100" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%systemroot%\\system32\\appinfo.dll,-101" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000003 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,50,00,72,00,6f,00,\ 66,00,53,00,76,00,63,00,00,00,00,00 "RequiredPrivileges"=hex(7):53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,\ 00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,\ 72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,\ 00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,\ 72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,\ 00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,\ 65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,00,76,00,69,00,6c,\ 00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,74,00,6f,00,72,00,\ 65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\ 00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,\ 6e,00,67,00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,\ 00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,\ 72,00,73,00,6f,00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,\ 00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:ff,ff,ff,ff,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Appinfo\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 61,00,70,00,70,00,69,00,6e,00,66,00,6f,00,2e,00,64,00,6c,00,6c,00,00,00 "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Appinfo\Security] "Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,70,00,05,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\ 00,01,01,00,00,00,00,00,05,12,00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zrestartuj system. Podaj czy są zmiany. 2. Odrębna sprawa to SFC, który wykrył masę brakujących plików i ich nie podstawił, gdyż brak poprawnych kopii w repozytorium WinSxS. Ogromna ilość nienaprawionych rekordów, która głównie się kręci wokół naruszeń komponentów czcionek, plików dźwiękowych i pomniejszych plików graficznych - czy tu aby nie były podejmowane jakieś nieprawidłowe próby "odchudzania" systemu? Sprawa naruszeń wykazanych przez SFC jest nie do rozwiązania bez podstawienia poprawnych plików w identycznych sumach kontrolnych zgodnych z nienaruszoną wersją komponentów. Pliki te musiałby ktoś z nas dostarczyć. Uszkodzeń jest jednak tak koszmarna ilość, że to robota dla kaskadera i nie wiadomo nawet czy opłacalna (tzn. czy to ma w ogóle impakt na system). Tu wypadałoby użyć Przywracanie systemu, ale ta możliwość odpada. Poprzednie punkty Przywracania z marca zostały już usunięte i obecnie widać jeden z kwietnia (replikuje naruszenia), przy czym i tak nie wiadomo czy te poprzednie punkty miały poprawne wersje, usterka mogła być już wcześniej. W tej sytuacji widzę po prostu reinstalację systemu.

Odgrzebując stary wątek, bo muszę to skomentować: lukaszmm Głupoty w serwisie opowiadane. "Metoda" reinstalacji systemu dobrana, gdyż nie umieli poprawnie zdefiniować modyfikacji. I tyle. shoutt W raportach widać: infekcję blokującą w oparciu o technikę Debugger uruchamianie aplikacji skanujących, adware Sale Charger w Operze, polityki Google Chrome wprowadzone przez adware, zmodyfikowane przez adware skróty Internet Explorer. Problem tytułowy "Ads by Addonjet", zakładając że czyszczenie polityk Google Chrome byłoby nieskuteczne, prawdopodobnie byłby wynikową modyfikacji plików przeglądarki Chrome (np. szkodliwy skrypt wstawiony do resources.pak), a taki przypadek rozwiązuje się poprzez reinstalację przeglądarki nadpisującą pliki w Program files. Jeśli problem nadal aktualny, dodaj nowe raporty FRST (wszystkie trzy).

1. Hitman wykrył odpadki adware i śmierciarskie ciastka. Usuń wszystkie pozycje. Po usuwaniu przez SHIFT+DEL dokasuj cały folder adware: C:\Program Files (x86)\Common Files\Dingsing. Następnie odinstaluj Hitman. 2. Kolejny skan przeprowadź przy udziale Malwarebytes Anti-Malware. Dostarcz wynikowy raport.

Widzę tu dwa typy infekcji. Adware: W usługach oraz Harmonogramie zadań są szkodliwe obiekty, a także ustawione polityki Google Chrome. Ale są też ślady infekcji routera, na forum widzę Cię z polskim IP Neostrady, a poniższy adres pobrany z routera jest niemiecki: Tcpip\Parameters: [DhcpNameServer] 46.101.178.39 8.8.8.8 Tcpip\..\Interfaces\{C0E12199-F244-49BA-A484-91A4C29A3E24}: [DhcpNameServer] 46.101.178.39 8.8.8.8 Tcpip\..\Interfaces\{E4D7884B-C731-44AC-ADC7-FB2C113BCEA1}: [DhcpNameServer] 46.101.178.39 8.8.8.8 Operacje do przeprowadzenia: 1. Relatywne do routera. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. 2. Deinstalacje: Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj McAfee Security Scan Plus (sponsor instalacji Adobe Flash), qksee (adware), Shared C Run-time for x64 (odpadek po odinstalowanym pakiecie McAfee), WinZip (adware, to nie jest WinZip Corela tylko obiekt go udający). Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\QwinpQ\WFini.exe [582328 2016-04-13] (WFini LIMITED) S2 Winsere; C:\Program Files (x86)\Winsere\Winsere\Winsere.exe [295096 2016-01-25] () R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [705688 2016-04-13] (Winzipper Pvt Ltd.) S3 HipShieldK; C:\Windows\System32\drivers\HipShieldK.sys [196440 2012-04-20] (McAfee, Inc.) S3 mferkdet; C:\Windows\System32\drivers\mferkdet.sys [106112 2012-06-22] (McAfee, Inc.) S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 EsgScanner; system32\DRIVERS\EsgScanner.sys [X] S3 FTDIBUS; \SystemRoot\system32\drivers\ftdibus.sys [X] S3 FTSER2K; \SystemRoot\system32\drivers\ftser2k.sys [X] S3 MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [X] Task: {15C759D1-1059-4D8F-BA75-32536F44948A} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {364BB908-CF1B-4081-8CCE-F3DE559E293F} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\47185D1CB6DF3175E48B2A3B42A43E29\Update\BrowserUpdate.exe [2016-04-08] (Tencent) Task: {5AF52401-6B6D-4341-87CD-A5D2AE9AEFAD} - System32\Tasks\WinTaske => C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe [2016-01-25] () Task: {C2B59258-8831-4FE2-85ED-68CA1F0F3F97} - System32\Tasks\GridinSoft Anti-Malware => C:\Program Files\GridinSoft Anti-Malware\gsam.exe Task: {FEDC3EE2-2F1F-4AAC-BFD7-CEFF0FF74948} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird HKU\S-1-5-21-577657667-1055987836-4248545114-1002\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku BootExecute: SBBD.exe /D \Device\HarddiskVolume4\Program Files (x86)\iS3\STOPzilla AntiVirus\Definitions /Lautocheck autochk * sdnclean64.exe GroupPolicy: Ograniczenia - Chrome HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-577657667-1055987836-4248545114-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF Plugin: @mcafee.com/MSC,version=10 -> C:\Program Files\mcafee\msc\npMcSnFFPl64.dll [brak pliku] FF Plugin-x32: @mcafee.com/MSC,version=10 -> C:\Program Files (x86)\McAfee\msc\npMcSnFFPl.dll [brak pliku] C:\Program Files\Common Files\AV\Spybot - Search and Destroy C:\Program Files (x86)\Lenovo C:\Program Files (x86)\qksee C:\Program Files (x86)\QQBrowser C:\Program Files (x86)\SearchesToYesbnd C:\Program Files (x86)\Winsere C:\Program Files (x86)\WinTaske C:\Program Files (x86)\WinZipper C:\ProgramData\QwinpQ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel AT Service.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\qksee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\Users\asus\AppData\Local\Lenovo C:\Users\asus\AppData\Roaming\eCyber C:\Users\asus\AppData\Roaming\Enigma Software Group C:\Users\asus\AppData\Roaming\qksee C:\Users\asus\AppData\Roaming\WinZiper C:\Users\asus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee.lnk C:\Users\asus\Desktop\fot.2015_16\NS25\20151103_091634 — skrót.lnk C:\Users\asus\Desktop\Nowy folder\strona\Bibliotekarz .NET.lnk C:\Users\asus\Start Menu\Programs\SpyHunter C:\Users\Public\Desktop\qksee.lnk C:\Users\Public\Desktop\ASUS\Business tool\Adobe Reader X.lnk C:\Windows\System32\drivers\HipShieldK.sys C:\Windows\System32\drivers\mferkdet.sys C:\Windows\System32\Tasks\Lenovo CMD: ipconfig /flushdns Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. W związku z politykami blokującymi "coś" w Google Chrome mogą być w ustawieniach (już odblokowanych w/w skryptem) niepożądane obiekty. W związku z tym dodatkowe czyszczenie: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 5. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Na wszystkich podanych obrazkach w karcie Procesy nie widzę nic podejrzanego i na żadnym z nim nie został nawet złapany dysk w stanie 100%, więc z nich nic kompletnie nie wynika. Mnie interesuje czy ten efekt ma nadal miejsce: Ostatnie pytanie - czy inne sterowniki sprzętowe są także w najnowszych dostępnych wersjach dla Twojego modelu? Np. poniższy pakiet Killer Network widziany w FRST Addition jest w nowszej wersji przynajmniej w wersji ogólnej, nie wiem jaki masz model komputera i czy na stronie producenta brandowana wersja jest dostępna w wyższej wersji. Qualcomm Atheros Bandwidth Control Filter Driver (Version: 1.1.42.1045 - Qualcomm Atheros) Hidden Qualcomm Atheros Killer E220x Drivers (Version: 1.1.42.1045 - Qualcomm Atheros) Hidden Qualcomm Atheros Network Manager (Version: 1.1.42.1045 - Qualcomm Atheros) Hidden Qualcomm Atheros Performance Suite (HKLM-x32\...\{E70DB50B-10B4-46BC-9DE2-AB8B49E061EE}) (Version: 1.1.42.1045 - Qualcomm Atheros)

Temat przenoszę do innego działu. To nie jest problem infekcji. A z raportów nic kompletnie nie wynika. Nie podałeś o którą przeglądarkę chodzi, czy Google Chrome czy Firefox, ale zakładam że chodzi o domyślną przeglądarkę czyli Firefox. Raport FRST podaje, że są następujące składniki: FireFox: ======== FF ProfilePath: C:\Users\Uzytkownik\AppData\Roaming\Mozilla\Firefox\Profiles\tedqy2o6.default FF Homepage: hxxps://www.google.pl/ FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF32_21_0_0_213.dll [2016-04-14] () FF Plugin: @microsoft.com/WPF,version=3.5 -> c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-29] (Microsoft Corporation) FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.29.5\npGoogleUpdate3.dll [2016-02-10] (Google Inc.) FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.29.5\npGoogleUpdate3.dll [2016-02-10] (Google Inc.) FF Plugin: @videolan.org/vlc,version=2.1.3 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2016-01-21] (VideoLAN) FF Plugin: @videolan.org/vlc,version=2.1.5 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2016-01-21] (VideoLAN) FF Plugin: @videolan.org/vlc,version=2.2.0 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2016-01-21] (VideoLAN) FF Plugin: @videolan.org/vlc,version=2.2.1 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2016-01-21] (VideoLAN) FF Plugin: @videolan.org/vlc,version=2.2.2 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2016-01-21] (VideoLAN) FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll [2015-09-24] (Adobe Systems Inc.) FF Extension: WOT - C:\Users\Uzytkownik\AppData\Roaming\Mozilla\Firefox\Profiles\tedqy2o6.default\extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7} [2015-12-10] FF Extension: Adblock Plus - C:\Users\Uzytkownik\AppData\Roaming\Mozilla\Firefox\Profiles\tedqy2o6.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2016-02-24] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: Microsoft .NET Framework Assistant - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2014-05-07] [Brak podpisu cyfrowego] FF HKLM\...\Firefox\Extensions: [wrc@avast.com] - C:\Program Files\AVAST Software\Avast\WebRep\FF FF Extension: Avast Online Security - C:\Program Files\AVAST Software\Avast\WebRep\FF [2015-12-10] Sugestie: - Adblock Plus: czy chodzi na zestawie domyślnych filtrów, czy może dodano więcej? Im więcej, tym bardziej ociężała przeglądarka. Przetestuj czy wymiana Adblock Plus na uBlock Origin (z domyślną konfiguracją filtrów i tak blokuje więcej niż Adblock Plus) coś pomoże. - W Dodatkach Firefox w sekcji wtyczek wyłącz wszystkie wtyczki z wyjątkiem Adobe Flash. Natomiast w sekcji rozszerzeń zdeaktywuj Microsoft .NET Framework Assistant, choć przypuszczam, że ten archaiczny dodatek i tak już został zablokowany przez FF. - Przetestuj czy wpływ ma Avast, zaczynając od testowej deaktywacji dodatku Avast Online Security w Firefox, a kończąc na próbnym wyłączeniu osłony sieciowej w Avast per se. - Przetestuj czy pomoże reset profilu: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Proces nie wpływa na zakładki i hasła, ale redukuje zainstalowane rozszerzenia. I nic więcej nie przychodzi mi do głowy...

To ta pierwsza pozycja Intel pod Magistralą PC. Prawoklik na dysk WDC i pobierz Właściwości. Ale na obrazku widać, że to kontroler SATA/AHCI i nie ma tradycyjnych kanałów, więc brak opcji które miałam na myśli i ta instrukcja już nieaktualna. Interesuje mnie czy poprzednio zadane punkty 1, 2 i 4 coś wniosły do sprawy i jak obecnie działa system.

Masz rozwinąć gałąź ACPI x64-based PC, następnie rozwijać kolejne gałęzie, aż znajdziesz kontroler na którym jest dysk...

Pokaż obrazek gdzie szukasz. Tak.

W tych raportach już nie widać ESET, więc poprzednie albo były zrobione przed deinstalacją, albo w owym czasie deinstalacja jednak nie została wykonana. Jeśli nadal występują problemy: 1. Sprawdź zachowanie systemu w stadium czystego rozruchu: KLIK. 2. W Dzienniku zdarzeń są błędy "Programu poprawy jakości obsługi klienta": Dziennik Aplikacja: ================== Error: (04/14/2016 11:45:42 AM) (Source: Customer Experience Improvement Program) (EventID: 1008) (User: ) Description: 80004005 Start > w polu szukania wklep Program poprawy jakości obsługi klienta > przestaw opcję na "Nie chcę uczestniczyć w programie". Start > w polu szukania wklep taskschd.msc > rozwiń gałąź Biblioteka > Windows > Customer Experience Improvement Program > z prawokliku powyłączaj wszystkie zadania. Po akcji zresetuj system. 3. Jest także poniższy błąd, ale nagrany tylko raz i pasuje do skanu GMER: Dziennik System: ============= Error: (04/13/2016 10:32:21 PM) (Source: iaStor) (EventID: 9) (User: ) Description: Urządzenie \Device\Ide\iaStor0 nie odpowiedziało w ramach ustalonego limitu czasu. Na wszelki wypadek jednak sprawdź transfer dysku. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. W menu Widok ustaw "Urządzenia wg połączeń". Rozwiń gałąź urządzeń tak, by wyszukać gdzie jest dysk twardy. Z prawokliku na kanał na którym jest dysk pobierz Właściwości > Ustawienia zaawansowane > podaj co stoi jako "Bieżący tryb transferu". 4. Dodatkowo jeszcze widać to: Dziennik System: ============= Error: (04/14/2016 10:57:19 AM) (Source: Microsoft-Windows-WLAN-AutoConfig) (EventID: 10000) (User: ZARZĄDZANIE NT) Description: Uruchomienie modułu rozszerzalności sieci WLAN nie powiodło się. Ścieżka modułu: C:\Windows\system32\athExt.dll Kod błędu: 126 Błąd sugeruje reinstalację sterowników sieciowych.

Ten załącznik oxps usuwam, śmiecenie serwera plikami o niepoprawnym rozszerzeniu. W załącznikach dopuszczam tylko czysto tekstowe pliki oraz graficzne i nie bez powodu blokuję inne rozszerzenia. Zamiennie wstawiłam zrzut ekranu z zawartości pliku. W zestawie "Opcjonalnych" aktualizacji rozwiń Szczegóły i poczytaj czego one dotyczą, może któraś z nich jednak pasuje do sytuacji / problemów występujących. Interesuje mnie też czy próbowałeś wyłączyć GWX, a jeśli tak to czy są jakieś zmiany. Poza tym, aktualizacja do Windows 10 też może tu coś wnieść do sprawy, aktualizację można będzie odkręcić (w opcjach pojawi się "Powrót do poprzedniej kompilacji"). I ja chyba tu już więcej nie wymyślę, przyczyna może być w Windows, to niekoniecznie problem sprzętowy.

DelFix wykonał co należy. Skasuj z dysku plik raportu C:\delfix.txt. Chcę się upewnić, bo jakoś niejasno to jest przedstawione: kiedy konkretnie te sterowniki nVidia były instalowane? Jeszcze mi przyszło do głowy, by: - Wypróbować wbudowanego do Windows 8.1 narzędzia czyszczącego: Klawisz z flagą Windows + X > Panel sterowania > w polu szukania wklep Rozwiązywanie problemów > następnie w wynikach ponownie klik na wymienianą pozycję > w kolejnych wynikach w sekcji System i zabezpieczenia powinna się pojawić opcja Uruchom zadania konserwacji. - Czy wszystkie aktualizacje z Windows Update są zainstalowane? W nagłówku FRST nie ma adnotacji, że jest to system z "Update 1" conajmniej, choć ten odczyt FRST nie jest precyzyjny (nie wykrywa kolejnych Update). Ponadto, w procesach jest GWX (notyfikator aktualizacji do Windows 10) i mógłbyś go wyłączyć za pomocą GWX Control Panel. Swoją drogą, jednak rozważyłabym aktualizację systemu do Windows 10. Nie mam szczególnych typów, ale ESET jak najbardziej OK. Z listy darmowych programów też można spokojnie dobrać różne elementy zabezpieczeń: KLIK.

Wszystkie widoczne elementy zostały usunięte. Teraz jeszcze skanery dla pewności: Pierwszy skan wykonaj w HitmanPro i dostarcz wynikowy raport. On na pewno wykryje FRST jako taki, ale to fałszywy alarm.

Skorzystaj z DelFix, następnie wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Prawie wszystko usunięte. Poprawki: 1. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres search.mpc.am, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń widniejący tam taki bardzo długi adres 2. Otwórz Notatnik i wklej w nim: Task: {85D58C27-6D1E-4772-84DB-0E19D1603E8B} - \{0B1350B9-C0CD-44E1-825F-DA6DCE7FE64B} -> Brak pliku Task: {CDDD06C2-953D-4004-BADF-438333BACC09} - \WindowsUpda2ta -> Brak pliku Task: {FF016734-2472-4D11-BB52-D218BA0C489C} - \{3DD9FE2C-E841-4B39-8E1D-D7DDC2E33E33} -> Brak pliku HKU\S-1-5-21-3992996756-2334413397-797887538-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Lelo\AppData\Local\Akamai\netsession_win.exe" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = search.mpc.am/?geo=pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = search.mpc.am/?geo=pl HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = search.mpc.am/?geo=pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = search.mpc.am/?geo=pl SearchScopes: HKLM -> DefaultScope {0644EE93-D778-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Dostarczyłeś tylko jeden plik FRST, miały być trzy: FRST.txt, Addition.txt i Shortcut.txt. Uzupełnij dwa brakujące pliki.