picasso

Objaśnij czy masz jakieś konkretne problemy, co Cię niepokoi. W raportach nie widać żadnych oznak infekcji (te oznaczenia "UWAGA" w Addition to fałszywe alarmy). Był też wcześniej używany AdwCleaner - czy on w ogóle coś usuwał? Pokaż logi z folderu C:\AdwCleaner.

Temat przenoszę do działu Windows, problem nie jest pochodną infekcji. Rozpocznij od sprawdzenia ewentualnej interferencji Avast: wyłączenie osłony sieciowej, wyłączenie ogólne programu. Poza tym, masz zainstalowaną starszą werję 10.3.2225, więc klaruje się ogólna aktualizacja programu. PS. Odinstaluj też stare wersje i zbędne produkty: Adobe Reader X (10.1.16) MUI, Bing Bar, HP Customer Participation Program 14.0, Java 8 Update 25. A w spoilerze doczyszczanie pustych wpisów, szczątków i Tempów.

Wypada zadać pytanie z którego miejsca pobierasz tę liczbę (pokaż zrzut ekranu), gdyż: To pożądany stan. System Idle Proces (Proces bezczynności systemu) jest interpretowany odwrotnie niż pozostałe procesy, gdyż oznacza jaką część jest "w spoczynku". Im wyższe zasoby procesora są tu przypisane, tym lepiej. PS. W spoilerze drobne doczyszczenie pustych wpisów. Operacja nie ma znaczenia w kontekście wydajności, to kosmetyka.

Temat przenoszę do działu Sieci. Nie ma co szukać tu infekcji. Nawiasem mówiąc, wspominasz o "reinstalacji systemu", podczas gdy system był co dopiero instalowany (2016-03-03 09:24:32). Zacznij od sprawdzenia ustawień ESET Endpoint Security i konfiguracji związanej z osłoną HTTPS. Zbliżony temat z forum: KLIK.

Temat przenoszę do działu Windows. Brak oznak infekcji, choć nie podałeś GMER. W raportach FRST nie widać też nic oczywistego, co pomogłoby nakierować. - Wolniejszy system: Wstępnie sprawdź czy robi różnicę redukcja procesów metodą czystego rozruchu. Już wyłączyłeś elementy startu za pomocą systemowego Menedżera zadań, ale to działanie nie adresuje usług. Instrukcje: KLIK. - Powiadomienia Facebook: Jak mówię, nie widzę żadnych syndromów infekcji. Sprawdź na wszelki wypadek na koncie Facebook listę autoryzowanych tam aplikacji, usuń wszystko czego nie rozpoznajesz. PS. W spoilerze drobne doczyszczanie wpisów pustych i Tempów, to działanie nie ma związku z problemami i nie pomoże ich rozwiązać.

Temat przenoszę do działu Windows. Brak podstaw, by szukać infekcji. Jeśli chodzi o zgłoszony problem, to z raportów FRST nic kompletnie nie wynika. Nie mam punktu zaczepienia. Ale mam pytanie: czy przypadkiem tu ostatnio nie było jakiejś masowej aktualizacji sterowników (np. przy udziale zewnętrznego automatu)? W raporcie FRST jest dużo ostatnio odświeżonych elementów tego typu... Natomiast widzę tu inny problem, tzn. kombinatoryka z aktywacją Windows. Różne ślady crackowania, a jeden z obiektów zgłasza notoryczne błędy w Dzienniku zdarzeń: Dziennik Aplikacja: ================== Error: (04/04/2016 08:58:52 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: AutoKMS.exe, wersja: 2.5.3.0, sygnatura czasowa: 0x54c2b458 Nazwa modułu powodującego błąd: KERNELBASE.dll, wersja: 10.0.10586.162, sygnatura czasowa: 0x56cd45b4 Kod wyjątku: 0xe0434352 Przesunięcie błędu: 0x0000000000071f28 Identyfikator procesu powodującego błąd: 0x1ad0 Godzina uruchomienia aplikacji powodującej błąd: 0xAutoKMS.exe0 Ścieżka aplikacji powodującej błąd: AutoKMS.exe1 Ścieżka modułu powodującego błąd: AutoKMS.exe2 Identyfikator raportu: AutoKMS.exe3 Pełna nazwa pakietu powodującego błąd: AutoKMS.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: AutoKMS.exe5 Error: (04/04/2016 08:58:52 PM) (Source: .NET Runtime) (EventID: 1026) (User: ) Description: Aplikacja: AutoKMS.exe Wersja architektury: v4.0.30319 Opis: proces został przerwany z powodu nieobsłużonego wyjątku. Informacje o wyjątku: System.UnauthorizedAccessException w System.IO.__Error.WinIOError(Int32, System.String) w System.IO.FileInfo.Delete() w ..(System.String) w ..() w ..(., System.String, Boolean, System.String, Int32, System.String, System.String, Boolean, Boolean, Boolean, Boolean, Boolean, Boolean, System.String, System.String) w ..(Boolean, Boolean, System.String, System.String, System.String, Boolean, Boolean, ., System.String, Int32, Boolean, Boolean, Boolean, System.String) w ..(.) w ..() Usuwanie elementów aktywatorów (przy okazji drobne odpadki innego typu). Otwórz Notatnik i wklej w nim: CloseProcesses: IFEO\SppExtComObj.exe: [Debugger] C:\Windows\SECOH-QAD.exe Task: {4617354F-2998-4098-AFB2-5A6594239735} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2016-03-25] () S3 ALSysIO; C:\Users\lukasz\AppData\Local\Temp\ALSysIO64.sys [17416 2016-04-01] (Arthur Liberman) HKU\S-1-5-21-1838996699-4052688192-114811678-1001\...\Policies\Explorer: [] C:\Program Files\KMSpico C:\Program Files (x86)\Temp C:\ProgramData\TEMP C:\Windows\AutoKMS C:\Windows\SECOH-QAD.exe C:\Windows\SECOH-QAD.dll CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. PS. Drobnostka adware w Google Chrome. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy.

Z podanych raportów nic nie wynika, a problemy wydają się być bardziej sprzętowe. Temat przenoszę na diagnostykę do działu Hardware. Dostarcz dane wymagane działem: KLIK. PS. Są tu błędy po odinstalowanej komercyjnej wersji Avast: Dziennik System: ============= Error: (03/28/2016 10:45:20 PM) (Source: Service Control Manager) (EventID: 7026) (User: ) Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego: aswKbd aswNdisFlt Error: (03/28/2016 10:45:16 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi avast! Firewall z powodu następującego błędu: %%1053 Error: (03/28/2016 10:45:16 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą avast! Firewall. W Trybie awaryjnym uruchom Autoruns i w karcie Drivers usuń te dwie pozycje: S1 aswKbd; \??\C:\Windows\system32\drivers\aswKbd.sys [X] S1 aswNdisFlt; system32\DRIVERS\aswNdisFlt.sys [X]

Temat (po posprzątaniu ze zbędnych postów) przenoszę do działu Windows, to nie jest problem infekcji. Podstawowa sprawa, tu działają wspólnie Avast i ESET Smart Security, co jest przypuszczalną przyczyną problemów. ESET jest niepoprawnie odinstalowany i uszkodzony, nie ma wejść na liście zainstalowanych programów, ale aktywnie ładuje usługi i sterowniki. Po drugie, chyba za mocno "czyściłeś" system próbując rozwiązać problemy, bo Twoja aktywnie używana przeglądarka Google Chrome też nie ma deinstalatora... Wykonaj następujące działania: 1. Przejdź w Tryb awaryjny Windows i zastosuj narzędzie firmowe ESET Uninstaller. 2. Opuść tryb awaryjny i doczyść drobniejsze śmieci. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 McComponentHostServiceSony; C:\Program Files (x86)\Sony\MSS\3.0.271\McCHSvc.exe [237328 2012-03-30] (McAfee, Inc.) S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] Task: {0A933656-F211-42F1-ADF3-43C3A6116BAD} - System32\Tasks\{FE7F974D-2DDA-430D-A22C-080863746A93} => pcalua.exe -a "D:\Rise of Nations\Rise Of Nations spolszczenie.exe" -d "D:\Rise of Nations" Task: {16565698-ACDA-4BCD-98C0-58D2CC9C7E9A} - System32\Tasks\{D12DD7B7-FA17-4F84-A346-0E81B277031C} => pcalua.exe -a "C:\Users\Pawel\AppData\Local\Temp\Temp1_VAIO_Control_Center_4.1_4.1.0.10160.zip\VAIO Control Center 4.1 - 4.1.0.10160\setup.exe" Task: {3B48A647-14BA-450B-A562-38F3423E365E} - System32\Tasks\{1E039450-BF3B-4C7E-8F61-B620C1921175} => pcalua.exe -a "D:\Rise of Nations\Rise of Nations Thrones and Patriots spolszczenie.exe" -d "D:\Rise of Nations" Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku <==== UWAGA HKU\S-1-5-21-297010708-480915151-2761616004-1000\...\Run: [RGSC] => D:\Rockstar Games Social Club\RGSCLauncher.exe /silent HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Sony MSS.lnk DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Program Files (x86)\QuickTime RemoveDirectory: C:\ProgramData\Arcabit RemoveDirectory: C:\ProgramData\Microsoft\Windows\GameExplorer\{B5ABDC04-B3E0-499A-ABDB-A179C20816B5} RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Picasa 3 RemoveDirectory: C:\Users\Pawel\AppData\Roaming\mIRC RemoveDirectory: C:\Users\Pawel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\IVMP C:\ProgramData\*.bin C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\Rockstar Games Social Club.lnk C:\Users\Pawel\AppData\Local\{36E9900A-1C98-45A2-B268-BFAFE6629D23} C:\Users\Pawel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Picasa 3.lnk C:\Windows\pss\Sony MSS.lnk.CommonStartup C:\Windows\system32\Drivers\arcafsav.sys C:\Windows\system32\Drivers\arcawfp.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy jest poprawa.

Log Addition jest urwany, brak statystyk dysków i nie wiadomo ile wolnego miejsca jest. Temat przenoszę do działu Windows. Owszem, są tu niedoczyszczone obiekty adware (w tym aktywna usługa adware TheCalendarService), ale zgłaszany problem startu około 5 minut nie wygląda na powiązany. Natomiast podejrzana sprawa to datowanie w Dzienniku zdarzeń. Ostatnie nagrane błędy pochodzą z sierpnia 2015, co wygląda niewiarygodnie w kontekście systemu który jest zgłaszany jako niesprawny. Być może tu właśnie jest problem z Dziennikiem zdarzeń (wyłączona / niesprawna usługa, lub uszkodzone pliki Dziennika). Podobnie jest na liście punktów Przywracania systemu, raptownie spis kończy się. Będę sprawdzać stan usług. Sugestie wstępne: 1. Na wszelki wypadek sprawdź transfer dysku. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. W menu Widok ustaw "Urządzenia wg połączeń". Rozwiń gałąź urządzeń tak, by wyszukać gdzie jest dysk twardy. Z prawokliku na kanał na którym jest dysk pobierz Właściwości > Ustawienia zaawansowane > zweryfikuj "Bieżący tryb transferu". 2. Deinstalacje adware (pozycje oznaczone ATTENTION), starych wersji i niektórych preintegrowanych na Acer aplikacji. To wszystko można odinstalować, pomiń te aplikacje Acer z których rzeczywiście korzystasz: ==================== Installed Programs ====================== Acer GameZone Console (HKLM-x32\...\{ABEE079E-648E-488B-8301-0C3DB48C1BCE}_is1) (Version: 6.1.0.2 - Oberon Media, Inc.) Acer Registration (HKLM-x32\...\Acer Registration) (Version: 1.03.3002 - Acer Incorporated) Acer ScreenSaver (HKLM-x32\...\Acer Screensaver) (Version: 1.1.0105.2010 - Acer Incorporated) Acer Updater (HKLM-x32\...\{EE171732-BEB4-4576-887D-CB62727F01CA}) (Version: 1.02.3001 - Acer Incorporated) Acrobat.com (HKLM-x32\...\{287ECFA4-719A-2143-A09B-D6A12DE54E40}) (Version: 1.6.65 - Adobe Systems Incorporated) Advanced Calendar 2.0 (HKLM\...\{D9BAB2C9-5236-48c3-AF02-67E799F09BBD}) (Version: 2.0.0.10764 - TopTools100) <==== ATTENTION Coupon Printer for Windows (HKLM-x32\...\Coupon Printer for Windows5.0.0.0) (Version: 5.0.0.0 - Coupons.com Incorporated) CyberLink PowerDVD 9 (HKLM-x32\...\InstallShield_{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}) (Version: 9.0.2719.50 - CyberLink Corp.) eBay Worldwide (HKLM-x32\...\{E0B19DF7-B1C7-4937-82C4-0E4B1E346965}) (Version: 2.1.0901 - OEM) HP Customer Participation Program 14.0 (HKLM\...\HPExtendedCapabilities) (Version: 14.0 - HP) Java™ 6 Update 24 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83216022FF}) (Version: 6.0.240 - Oracle) MyWinLocker Suite (HKLM-x32\...\InstallShield_{738BF5C3-AF7B-4BB0-B7EF-E505EFC756BE}) (Version: 3.1.206.0 - Egis Technology Inc.) NTI Backup Now 5 (HKLM-x32\...\InstallShield_{12EFA1A4-AC3B-443C-8143-237EDE760403}) (Version: 5.1.2.628 - NewTech Infosystems) NTI Media Maker 8 (HKLM-x32\...\InstallShield_{2413930C-8309-47A6-BC61-5EF27A4222BC}) (Version: 8.0.12.6630 - NewTech Infosystems) Shop for HP Supplies (HKLM\...\Shop for HP Supplies) (Version: 14.0 - HP) Tools Update Platform (HKLM-x32\...\{6A128791-4857-4484-9BB2-71D4C1257200}) (Version: 1.1.0.15773 - Beijing Zhihuimen Techology co,.Ltd) <==== ATTENTION Welcome Center (HKLM-x32\...\Acer Welcome Center) (Version: 1.01.3002 - Acer Incorporated) Windows Live Essentials (HKLM-x32\...\WinLiveSuite) (Version: 15.4.3502.0922 - Microsoft Corporation) Windows Live Sync (HKLM-x32\...\{84EBDF39-4B33-49D7-A0BD-EB6E2C4E81C1}) (Version: 14.0.8089.726 - Microsoft Corporation) 3. Doczyszczanie śmieci: 4. Zrób nowy log FRST z opcji Skanuj (Scan) na następujących ustawieniach: odznacz pola Drivers i Services, zaznacz pole Addition. Dołącz też plik fixlog.txt. Podsumuj czy wykonane działania coś wniosły do sprawy.

Temat przenoszę do właściwego działu Sieci. Brak związków z infekcją. Z podanych raportów nic też konkretnego nie wynika. Jedyne co mi się rzuca w oczy, to ten powielający się błąd powiązany z problemami ładowania stron https://: Dziennik System: ============= Error: (02/12/2016 08:16:05 PM) (Source: Schannel) (EventID: 4120) (User: ZARZĄDZANIE NT) Description: Wygenerowano alert krytyczny, który został wysłany do zdalnego punktu końcowego. W efekcie połączenie może zostać zakończone. Kod błędu krytycznego zdefiniowany przez protokół TLS to 10. Kod stanu błędu SChannel w systemie Windows to 10. Do wglądu podobny wątek na forum: KLIK. W temacie przyczyną była konfiguracja Avast. Ty posiadasz Avirę - nie pamiętam jakie są opcje, czy w ogóle jest ekwiwalent takich ustawień.

Temat przenoszę do działu Windows. Podstawowe problemy nie wyglądają na pochodną infekcji. Wprawdzie są tu różne obiekty adware/PUP oraz podejrzany strumień NTFS podpięty pod katalog Windows, ale wątpię że to jest przyczyna. Natomiast jednym z powodów może być brak dostatecznej ilości wolnego miejsca na dysku. Kiepsko tu na partycji C: Drive c: () (Fixed) (Total:60 GB) (Free:4.17 GB) NTFS ==>[dysk z komponentami startowymi (pozyskano odczytując BCD)] Zacznijmy od usunięcia śmieci i czyszczenia Tempów, co powinno nieco wolnego miejsca przywrócić. Do przeprowadzenia następujące działania: 1. Deinstalacje: - Odinstaluj śmiecia Smart File Advisor 1.1.8. To sponsor kombinowany w "darmowej" wersji Alcohol. Więcej na ten temat w ogłoszeniu: KLIK. - Pozbądź się również Bonjour. Stary program Apple generujący błędy w Dzienniku zdarzeń. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1985485987-1500941226-3903985527-1000\...\Run: [bingSvc] => C:\Users\Iwonka\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation) GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia Task: {58EDEFC4-D0F3-4D6A-92B5-D18FD1C40D42} - System32\Tasks\{033D6E75-82AA-47EC-A116-46CBAA600D67} => pcalua.exe -a F:\I386\R254174\SETUP.EXE -d F:\I386\R254174 Task: {C35D2946-567D-4E29-AACA-CAA1C70EB816} - System32\Tasks\{FF4788DD-12DE-486E-AB00-3299AD4CE9C5} => pcalua.exe -a F:\InstalujFakturka.exe -d F:\ Task: {E94ED330-61A9-43EC-B6D2-F66697980F8C} - System32\Tasks\{10DA4B09-8F83-42BF-9E15-A96626F71F15} => pcalua.exe -a C:\dell\drivers\CONEXANT_D400-USB-MODEM_RY5VP_A02_SETUP_ZPE.exe -d C:\dell\drivers S1 lwnfd_1_10_0_14; system32\drivers\lwnfd_1_10_0_14.sys [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki BHO-x32: Strong Signal -> {c723a437-2eaf-466d-a95b-3fa0966bf88c} -> C:\Program Files (x86)\Strong Signal\Extensions\c723a437-2eaf-466d-a95b-3fa0966bf88c.dll => Brak pliku CHR HKU\S-1-5-21-1985485987-1500941226-3903985527-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswwebrepchrome-sp.crx [2014-08-07] AlternateDataStreams: C:\Windows:5B68E9D7F48D8641 [50] RemoveDirectory: C:\Users\Iwonka\AppData\Local\Microsoft\BingSvc EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki ze sponsorowanych przekierowań Bing: - Firefox: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. - Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Przeanalizuj statystyki miejsca na dysku za pomocą programu SpaceSniffer. Program wywołaj za pomocą "Uruchom jako administrator", by obliczył także sfery ograniczone przez uprawnienia (np. System Volume Information relatywny do Przywracania systemu). Na podstawie skanu postaraj się pousuwać zbędne pliki. W razie wątpliwości nie podejmuj jednak działań. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie zaznacz pole Addition, by były dostępne odświeżone statystyki dysków. Dołącz też plik fixlog.txt. Wypowiedz się czy wstępne sprzątanie w czymś pomogło.

Chodziło mi o całkowitą deinstalację, a powód zasadniczy to pozbycie się dodatkowych elementów startowych i sterowników programu (przestawianie trybów programu nie znosi ich aktywności). Poza tym, takie "optymizery" to w mojej opinii więcej komercyjnego picu. Czy na pewno objawy występują po kolejnym restarcie systemu? Jeśli tak, to sprawdzanie transferu dysku odbywa się analogicznie do opisanej procedury dla XP, tylko dialogi wyglądają nieco inaczej.

Temat przenoszę do działu Windows, ale nie wykluczam że kolejny kierunek to Hardware. Żadnych oznak infekcji. Z raportów FRST nic nie wynika. Brak konkretnych tropów, czy ogólnie naprowadzających błędów w Dzienniku. 1. Jakie errory? W Dzienniku wyróżniają się błędy od cracka aktywacji Office: Dziennik Aplikacja: ================== Error: (03/20/2016 08:50:13 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: AutoKMS.exe, wersja: 2.5.2.0, sygnatura czasowa: 0x53c9a9a0 Nazwa modułu powodującego błąd: KERNELBASE.dll, wersja: 10.0.10240.16683, sygnatura czasowa: 0x56ad97a2 Kod wyjątku: 0xe0434352 Przesunięcie błędu: 0x000000000002a1c8 Identyfikator procesu powodującego błąd: 0x5a8 Godzina uruchomienia aplikacji powodującej błąd: 0xAutoKMS.exe0 Ścieżka aplikacji powodującej błąd: AutoKMS.exe1 Ścieżka modułu powodującego błąd: AutoKMS.exe2 Identyfikator raportu: AutoKMS.exe3 Pełna nazwa pakietu powodującego błąd: AutoKMS.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: AutoKMS.exe5 Error: (03/20/2016 08:50:11 PM) (Source: .NET Runtime) (EventID: 1026) (User: ) Description: Aplikacja: AutoKMS.exe Wersja architektury: v4.0.30319 Opis: proces został przerwany z powodu nieobsłużonego wyjątku. Informacje o wyjątku: System.FormatException Stos: w System.DateTimeParse.Parse(System.String, System.Globalization.DateTimeFormatInfo, System.Globalization.DateTimeStyles) w ..(.) w ..(.) w ..() Są też błędy sterowników Tages (od zabezpieczenia gier), które notabene nie mają podpisu cyfrowego: Dziennik System: ============= Error: (03/20/2016 08:48:10 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi atksgt z powodu następującego błędu: %%577 Error: (03/20/2016 08:48:10 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi lirsgt z powodu następującego błędu: %%577 CodeIntegrity: =================================== Date: 2016-03-20 20:48:10.749 Description: Windows is unable to verify the image integrity of the file \Device\HarddiskVolume2\Windows\System32\drivers\atksgt.sys because file hash could not be found on the system. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source. Date: 2016-03-20 20:48:10.689 Description: Windows is unable to verify the image integrity of the file \Device\HarddiskVolume2\Windows\System32\drivers\lirsgt.sys because file hash could not be found on the system. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source. W spoilerze usuwanie zadania AutoKMS z Harmonogramu + sterowników Tages, przy okazji i inne puste wpisy. 2. W kwestii BSOD, lista zrzutów pamięci widoczna na dysku: 2016-03-05 20:10 - 2015-10-03 09:39 - 705015696 _____ C:\WINDOWS\MEMORY.DMP 2016-02-28 02:26 - 2016-01-13 03:46 - 00093184 ____N C:\WINDOWS\Minidump\022816-12562-01.dmp 2016-02-27 08:55 - 2016-01-13 03:46 - 00092672 ____N C:\WINDOWS\Minidump\022716-13703-01.dmp 2016-02-26 08:02 - 2016-01-13 03:46 - 00096768 ____N C:\WINDOWS\Minidump\022616-12765-01.dmp 2016-02-24 08:59 - 2016-01-13 03:46 - 00096768 ____N C:\WINDOWS\Minidump\022416-21109-01.dmp 2016-02-22 08:00 - 2016-01-13 03:46 - 00092672 ____N C:\WINDOWS\Minidump\022216-15140-01.dmp 2016-02-21 09:29 - 2016-01-13 03:46 - 00113152 ____N C:\WINDOWS\Minidump\022116-14546-01.dmp 2016-02-19 09:00 - 2016-01-13 03:46 - 00113152 ____N C:\WINDOWS\Minidump\021916-14312-01.dmp Do wykonania analiza plików DMP rozpisana w tym tutorialu: KLIK. 3. System nie jest w najnowszej dostępnej wersji: Platform: Windows 10 Pro (X64) Język: Polski (Polska) Internet Explorer Wersja 11 (Domyślna przeglądarka: FF) Spróbuj zaktualizować system do Wersji 1511, co może usprawnić działanie. Ta aktualizacja powinna być dostępna z Windows Update. Alternatywnie możesz zaktualizować posługując się Narzędziem do tworzenia nośników: KLIK. Te objawy są charakterystyczne dla obniżenia transferu dysku, co jest omówione w Skutkach ubocznych. Niemniej tu restart załatwił sprawę, więc nie sądzę, by były potrzebne dodatkowe kroki. PS. Proponuję się pozbyć Ad Muncher. Program nie jest rozwijany od 2014 (tylko mniejsze aktualizacje filtrów) i nie działa w Edge oraz IE11. Zainteresuj się innymi rozwiązaniami linkowanymi tutaj: KLIK.

==================== Konta użytkowników: ============================= Administrator (S-1-5-21-528719921-3342016946-942049042-500 - Administrator - Disabled) cis (S-1-5-21-528719921-3342016946-942049042-1001 - Limited - Enabled) => C:\Users\cis Gość (S-1-5-21-528719921-3342016946-942049042-501 - Limited - Disabled) Justyna (S-1-5-21-528719921-3342016946-942049042-1003 - Limited - Enabled) => C:\Users\Justyna Paulina2 (S-1-5-21-528719921-3342016946-942049042-1004 - Administrator - Enabled) => C:\Users\Paulina2 vms (S-1-5-21-528719921-3342016946-942049042-1002 - Limited - Enabled) Raporty FRST zostały zrobione z poziomu limitowanego użytkownika: Uruchomiony przez cis (UWAGA: Użytkownik nie jest administratorem) UTER (30-03-2016 02:55:22) Wykonaj raporty z poziomu konta administracyjnego Paulina2. Póki co, szczerze powiątpiewam w infekcję. Mocnym podejrzanym jest za to pakiet Panda Internet Security 2016. Nie wiem co to za konto. Czy router ma zamknięty dostęp od strony internetu oraz zmieniony domyślny login?

Pokaż zrzut ekranu z przykładowymi reklamami (czy one mają jakiś wspólny mianownik / opis / słowo kluczowe / URL?). Podaj też na jakich stronach (adresy) się to ujawnia.

Również ten komputer nie wygląda na źródło. Nie ma żadnych elementów infekcji widocznych. Jeszcze się upewnię: Wspominasz o jakieś "aplikacji" - co to za aplikacja, w jakiej ścieżce? Usuwane ręcznie pliki {RecOveR}* powracają? W jaki sposób są zabezpieczone ścieżki dostępu?

Wszystko zrobione, problem rozwiązany. Ostatni skrypt do FRST adesujący odpadki po deinstalacji Java. Otwórz Notatnik i wklej w nim: Task: {BB1B908B-213A-4F0C-B5EC-81D5C1D1178C} - System32\Tasks\Java Update Scheduler => C:\Program Files\Common Files\Java\Java Update\jusched.exe RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Java RemoveDirectory: C:\ProgramData\Oracle RemoveDirectory: C:\Users\daria\.oracle_jre_usage Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są już potrzebne.

Co to za aplikacja? Powtarzam: w starcie tu pokazanego w raporcie serwera nie ma reloadera, nie ma żadnego czynnego elementu który może wykonywać szyfrowanie po stronie serwera. Jeśli jakieś elementy tego serwera są atakowane, źródłem jest inny komputer (który ma częściowy dostęp, widzi dysk serwera) i on musi być wytypowany. Nie jestem w stanie wyczyścić infekcji której w ogóle nie widać, muszę mieć wykaz z faktycznego źródła.

1. AdwCleaner znalazł drobne szczątki innych adware. Uruchom go ponownie, wybierz po kolei opcje Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Usuń z Pulpitu folder FRST. Następnie zastosuj DelFix. To tyle z mojej strony.

1. Tu się aplikują te same wytyczne co u poprzednika: Z menu pobierania wybierzasz linię V3. 2. Po wykonaniu aktualizacji firmware sprawdź ustawienia routera (adresy DNS, zamknięcie panelu zarządzania, zmiana loginu domyślnego). Dopiero po konfiguracji: 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0A410814-189E-40AA-839D-EB4D120835DF} - System32\Tasks\PriceFountainUpdateVer => C:\Users\Majcher\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: {1C65D3D7-BC42-44BC-8C5F-7E069EB5DDAB} - System32\Tasks\{B7D54985-BD66-4A1D-8D82-665263289CF8} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.21.0.100&LastError=12007 Task: {8E5077BD-A4D0-4A2F-BE63-94D5B72656FC} - System32\Tasks\Driver Booster SkipUAC (Majcher) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {FA5DBC41-22C0-4F43-818C-AD18F5269266} - System32\Tasks\MajcherSynaesthesiaLabellerV2 => Rundll32.exe OlivesGravimeter.dll,main 7 1 CustomCLSID: HKU\S-1-5-21-301250439-727020004-3162265004-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Majcher\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2934048 2015-10-09] (IObit) U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-301250439-727020004-3162265004-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-301250439-727020004-3162265004-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM-x32 -> DefaultScope - brak wartości S3 SBIOSIO; \??\C:\Users\Majcher\AppData\Local\Temp\__Samsung_Update\SBIOSIO64.sys [X] DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\AdwCleaner RemoveDirectory: C:\Program Files (x86)\IObit RemoveDirectory: C:\Users\Majcher\AppData\Local\GG RemoveDirectory: C:\Users\Majcher\AppData\Roaming\GG C:\Users\Majcher\AppData\Roaming\*.* C:\Users\Majcher\Desktop\GG dysk.lnk C:\Windows\system32\config\*.iobit CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Nic tu nie wskazuje, że serwer jest źródłem, nie ma żadnych śladów tej infekcji (ani elementów startowych, ani przejęcia klas, ani nawet plików {RecOveR}* w podstawowych folderach serwera per se). I mówisz wyraźnie, że tylko kilka katalogów wykazuje cechy infekcyjne. Jaki jest problem z ręcznym wyczyszczeniem tych katalogów?

Istotnie, ta sama infekcja na poziomie routera: Tcpip\Parameters: [DhcpNameServer] 80.243.191.66 8.8.8.8 Tcpip\..\Interfaces\{1382FDDA-8333-4C5C-991C-992485EDAF2F}: [DhcpNameServer] 80.243.191.66 8.8.8.8 Prócz tego jest jeszcze adware PriceFountain w Harmonogramie zadań. Na razie jednak: Podaj model routera, zapewne wymagana aktualizacja firmware.

W raportach nie widzę nic oczywistego, ale budzi podejrzenie rozszerzenie: FF Extension: Video AdBlock - C:\Users\Agata\AppData\Roaming\Mozilla\Firefox\Profiles\tsfpm07w.default-1454336088848\extensions\{068e178c-61a9-4a63-b74f-87404a6f5ea1} [2016-02-07] Instalatory "Video AdBlock" na poziomie rejestru są także przygotowane dla Google Chrome. Wstępnie działania: 1. W Firefox w menedżerze dodatków odinstaluj Video AdBlock. 2. W Panelu sterowania odinstaluj bardzo starą niebezpieczną wersję Adobe Flash Player 15 ActiveX. Potem zainstalujesz najnowszą. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Agata\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {21057B87-4F81-4561-AE60-EF4A1D6F4B12} - System32\Tasks\{8A4C57B8-F93A-4E5D-8D80-1AC87B89B2E1} => pcalua.exe -a C:\Users\Agata\AppData\Local\Temp\jre-8u77-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 Task: {488DE605-D204-42B3-B8FA-A7B6C708217E} - System32\Tasks\{C12CF383-9F8A-4557-86AC-C662D72A6022} => pcalua.exe -a C:\Users\Agata\Downloads\JavaSetup8u71.exe -d C:\Users\Agata\Downloads Task: {91AC8EAD-DD95-472B-908A-9DDFFD1E3870} - System32\Tasks\{3751245D-F919-4E4E-B2B7-905DF4D78B72} => pcalua.exe -a C:\Users\Agata\Downloads\T3vis.exe -d C:\Users\Agata\Downloads Task: {9F8313F3-41C2-4772-AF77-B9EC08FE6145} - System32\Tasks\SUPBackground => C:\Program Files\Samsung\Samsung Update Plus\SUPBackground.exe HKLM-x32\...\Run: [sunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" FF SearchPlugin: C:\Users\Agata\AppData\Roaming\Mozilla\Firefox\Profiles\tsfpm07w.default-1454336088848\searchplugins\googlede.xml [2016-02-01] FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-233006258-18527085-3623643150-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\Lavasoft RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\Users\Agata\AppData\Roaming\0U1E1Q1T2Z1P0S2Z1T1C RemoveDirectory: C:\Users\Agata\AppData\Roaming\Lavasoft C:\Users\Agata\AppData\Local\housecall.guid.cache C:\Users\Agata\AppData\Roaming\chrtmp Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy po usunięciu Video AdBlock jest poprawa.

O ile problem jeszcze aktualny: tu było już jakieś czyszczenie, gdyż nie widać procesu przywracającego modyfikację. Niemniej preferencje Firefox nadal są zanieczyszczone Surfvox, a reinstalacja przeglądarki w ogóle nie usuwa / nie czyści profilu Firefox. Doczyszczanie szczątków: 1. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > wszystkie adresy, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > sekcja Osoby > usuń poprzedni nieużywany profil. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-1887041461-1235169063-1690688974-1000 -> {828B376B-F2F6-4778-928C-E29EC877535E} URL = hxxp://www.google.com/cse?cx=partner-pub-0900663996874144:6813731868&ie=UTF-8&q={searchTerms}&sa=Search&ref=#gsc.tab=0&gsc.q={searchTerms}&gsc.page=1 SearchScopes: HKU\S-1-5-21-1887041461-1235169063-1690688974-1000 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = hxxp://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo Task: {0DA4285A-8A5D-4F51-AD31-68E0361F2142} - System32\Tasks\{AD77302F-3572-4B7C-B971-A82BF21C5E62} => D:\Gry\simsiory\The Sims 4\Game\Bin\TS4.exe Task: {13B6489E-756C-4839-8B87-8969BC3CBF39} - System32\Tasks\{5BD6C4C6-F184-405B-A7F6-2F440FA8EAC7} => D:\Gry\simsiory\The Sims 4\Game\Bin\TS4.exe Task: {C442FDFE-7994-4B35-A9E5-878527F743FA} - System32\Tasks\{016BA4C0-B26E-4F06-AB98-4C5AEA194141} => D:\Gry\simsiory\The Sims 4\Game\Bin\TS4.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CCleaner Monitoring DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ChomikBox DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Napisy24.pl DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Napisy24Update AlternateDataStreams: C:\Windows\RtlExUpd.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\aitstatic.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\audiodg.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\AudioEng.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\AUDIOKSE.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\AudioSes.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\audiosrv.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\blackbox.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\certcli.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\ci.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\clfs.sys:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\clfsw32.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\cryptsp.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\cryptui.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\drmmgrtn.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\drmv2clt.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\EncDump.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\msctf.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\msnetobj.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\msscp.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\nlasvc.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\pcadm.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\pcaevts.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\pcalua.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\pcasvc.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\pcawrk.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\perftrack.dll:$CmdTcID [130] AlternateDataStreams: C:\Windows\system32\poqexec.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\powertracker.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\profsvc.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\scesrv.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\services.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\TSWbPrxy.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\ubpm.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\wdi.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\WindowsCodecs.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\winload.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\winresume.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\wmdrmsdk.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\WMPhoto.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\wpdshext.dll:$CmdTcID [130] AlternateDataStreams: C:\Windows\SysWOW64\ac3filter.ax:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\AudioEng.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\AUDIOKSE.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\AudioSes.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\blackbox.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\BugTrap.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\certcli.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\clfsw32.dll:$CmdTcID [130] AlternateDataStreams: C:\Windows\SysWOW64\cryptsp.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\cryptui.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\drmmgrtn.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\drmv2clt.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\libFLAC.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\msctf.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\msnetobj.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\msscp.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\ncsi.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\nlaapi.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\poqexec.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\scesrv.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\ubpm.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\wdi.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\WindowsCodecs.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\wmdrmsdk.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\WMPhoto.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\wpdshext.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\xvidcore.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\Drivers\browserMon.sys:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\Drivers\http.sys:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\Drivers\PEAuth.sys:$CmdTcID [64] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\drunkbear-i4430\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 RemoveDirectory: C:\Users\Public\Documents\dmp CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz też pole Shortcut, by powstał brakujący log. Dołącz też plik fixlog.txt.

W raportach nie widać żadnych oznak tej infekcji, czyli tu klaruje się teoria, że jeden z komputerów klienckich był źródłem. A te wszystkie ostrzeżenia w logu do zignorowania (FRST nie ma białej listy dopasowej do systemów serwerowych). Czyli jak mówiłam, należy samodzielnie ręcznie wyczyścić z poziomu serwera to co dla Ciebie jest dostępne do czyszczenia (wtórnie dodane pliki typu {RecOveR}* i inne śmieci). Natomiast jest tu problem innego typu, czyli detekcja który komputer kliencki był źródłem, gdyż to ten komputer musi zostać dogłębnie sprawdzony i ewentualnie wyczyszczony z ewentualnie aktywnej infekcji.