picasso

Czy na pewno problem reklam nadal występuje po użyciu AdwCleaner? Jedyne co tu widzę, to Popcorn Time (w niektórych źródłach klasyfikowany jako program z adware). A spowolnienie systemu to musi być z innej przyczyny, być może ten świeżo doinstalowany / aktualizowany Avast bruździ. Wstępnie: 1. Odinstaluj zbędny Akamai NetSession Interface oraz Popcorn Time. Natomiast pod kątem opornego SpyHuntera skorzystaj z narzędzia SpyHunterCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 cpuz134; \??\C:\Users\aaa\AppData\Local\Temp\cpuz134\cpuz134_x32.sys [X] S3 EagleNT; \??\C:\Windows\system32\drivers\EagleNT.sys [X] S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X] S3 ipswuio; System32\DRIVERS\ipswuio.sys [X] S3 lvupdtio; \??\C:\Program Files\ASUS\ASUS Live Update\SYS\lvupdtio.sys [X] U3 tmlwf; Brak ImagePath U3 tmwfp; Brak ImagePath S3 U46WDM1_01; system32\DRIVERS\U46wdm.sys [X] S1 U46_AA; system32\DRIVERS\U46DRV.sys [X] Task: {0738362A-D40F-40C4-AD47-79761F50F0C4} - System32\Tasks\{CE15E7A2-95F1-4B80-A42D-3B49EF0B2E76} => pcalua.exe -a C:\Users\aaa\Downloads\GyroMouse.exe -d C:\Users\aaa\Downloads Task: {09C56AEC-8DDE-49E0-A9C4-1B41C9A753BD} - System32\Tasks\{685797C1-9431-4EDF-98D3-32BAF9D0687C} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe Task: {0E797C26-A100-42D4-90BE-A4B8838A95DE} - System32\Tasks\{86F3E347-6725-4AEC-81C1-05E29C541A6E} => pcalua.exe -a C:\Users\aaa\Desktop\MixmanStudioMP3.exe -d C:\Users\aaa\Desktop Task: {15A43132-0A89-4EAA-B872-7256FA654BFF} - System32\Tasks\{8EBDDD23-B682-440C-AC1B-E8643E829918} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe Task: {18E6840C-6498-4AAD-822B-6A2B395C8CA1} - System32\Tasks\{52E67DE2-E606-459C-9AC1-25BAFBFEED1E} => pcalua.exe -a C:\Users\aaa\Downloads\setup-PDB-ED1.5.exe -d C:\Users\aaa\Downloads Task: {43660526-09B0-4BC5-9F8C-57B88A5196A1} - System32\Tasks\{DC3696E2-0C94-4C5B-9FDE-57FBED626467} => pcalua.exe -a "C:\Program Files\InstallShield Installation Information\{9DF0196F-B6B8-4C3A-8790-DE42AA530101}\SPORESetup.exe" -c -runfromtemp -l0x0015 -removeonly Task: {5920DE58-723F-48E1-AFCA-2948500930A9} - System32\Tasks\{7289E6E1-7CB5-4795-8AED-489EDA9CD239} => C:\Users\aaa\Downloads\TS3_1.67.2.0240xx_update.exe Task: {5AB58A12-426E-45B6-BCCD-A7FD7D17C2F2} - System32\Tasks\{197A2732-AD26-49B7-A6F4-622BEDF27736} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe Task: {6A8F3DAC-900B-4EC5-BA11-8622EEEDB903} - System32\Tasks\{53EB1DD7-86F5-41E5-BC24-B98CEC96777B} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe Task: {6B95C76C-8DF5-4865-A9F2-F42A34540FAC} - System32\Tasks\{DE3164A2-7E9D-415F-A146-CF37EF84200A} => pcalua.exe -a C:\Users\aaa\Desktop\Sims3EP05Setup.exe -d C:\Users\aaa\Desktop Task: {71CD52D7-ACE5-4CBF-B262-5417FD849E46} - System32\Tasks\{A65177A1-9E44-4C8B-BA34-DB6FF70E684C} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe Task: {72BB8ED2-6DB9-4FC8-A40C-37D5CC5C937B} - System32\Tasks\{4A7EAF56-4EB8-4412-8423-E576D9D50DAA} => pcalua.exe -a C:\Windows\snuninst.exe -c /name='USB2.0 UVC VGA WebCam' Task: {78239E01-BDB8-4866-AC19-288EB4D6C2D8} - System32\Tasks\{1A998398-0486-411F-A34C-E2D83B909C0D} => pcalua.exe -a C:\Users\aaa\Downloads\wlsetup-web.exe -d C:\Users\aaa\Downloads Task: {7D38F400-1AB1-4E92-A27B-B04C3DC17BC6} - System32\Tasks\{831FD31F-DF1F-44CF-A719-E0126BD80A05} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe Task: {835614CA-CD0D-48B8-AD10-1ABA42A5AA75} - System32\Tasks\{8AAC17AC-ED58-4C59-BE07-D79B38777749} => pcalua.exe -a "D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe" -d "D:\DOWNLOAD\TH3\Island Paradise" Task: {8558D3C4-C340-42E3-80CD-277C3304A82F} - System32\Tasks\{9FCE15D3-4BBF-4516-8E8D-3529430E9B64} => pcalua.exe -a C:\Users\aaa\Downloads\setup-PDB-ED1.5.exe -d C:\Users\aaa\Downloads Task: {869D5DB2-E5A6-4F45-A348-86BBEF1F04CB} - System32\Tasks\{1B2CA23A-FC5B-4E3B-875F-33B0DB238FFE} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe Task: {8EDCA5CB-7AF7-4A3E-9E21-7BF29F75735B} - System32\Tasks\GridinSoft Anti-Malware => D:\AAAProgramy\GridinSoft Anti-Malware\gsam.exe Task: {995DBEE1-D998-4B05-AE60-EF23649404E8} - System32\Tasks\{310F7921-44F9-418D-8D0A-2494BFE6F8A9} => pcalua.exe -a D:\AAAProgramy\Steam\steam.exe -c steam://uninstall/42680 Task: {99FD482C-1883-4D5E-93BF-3F8E0607E0AA} - System32\Tasks\{E2532236-7AA2-49C9-8274-C27956E264F1} => pcalua.exe -a E:\SETUP.EXE -d E:\ Task: {9FB0DEF5-8CA0-4FB0-B670-DFFA9C0FF35D} - System32\Tasks\{EF22C505-4693-4E4F-9AF2-70B49EC1B506} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe Task: {C93C9D92-3BCD-420F-8016-DBCEC08DFBE4} - System32\Tasks\{E31CE0F1-7BD8-4D6E-A3E0-FCAC46D8F3FF} => pcalua.exe -a "D:\Prawo Jazdy 2011\unins000.exe" -d "D:\Prawo Jazdy 2011" Task: {D9B7F75A-DFE3-4C37-B83E-A843967E5859} - System32\Tasks\{E36B74A3-3B47-46AB-9ACF-A5C0EEDB27ED} => pcalua.exe -a C:\Users\aaa\Downloads\msicuu2.exe -d C:\Users\aaa\Downloads Task: {F57AC501-B2ED-46A1-B56D-C78F5A4FA6BD} - System32\Tasks\{9E9618DE-E449-438C-9B0B-A468AA7701A4} => D:\DOWNLOAD\TH3\Island Paradise\Sims3EP10Setup.exe CustomCLSID: HKU\S-1-5-21-993321323-3193323119-4218094022-1001_Classes\CLSID\{1c492e6a-2803-5ed7-83e1-1b1d4d41eb39}\InprocServer32 -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-993321323-3193323119-4218094022-1001_Classes\CLSID\{D166BD15-03AF-413A-BEFD-0679FF410B49}\InprocServer32 -> C:\Users\aaa\AppData\Local\Dropbox\Update\1.3.27.29\psuser.dll => Brak pliku HKU\S-1-5-21-993321323-3193323119-4218094022-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> none HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com HKU\S-1-5-21-993321323-3193323119-4218094022-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com HKU\S-1-5-21-993321323-3193323119-4218094022-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com URLSearchHook: HKU\S-1-5-21-993321323-3193323119-4218094022-1001 - (Brak nazwy) - {60c4696a-e4eb-4d2d-9060-38928dd0b6a2} - Brak pliku SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-993321323-3193323119-4218094022-1001 -> DefaultScope {A3EA6799-929E-48C6-936C-25F0A789F20A} URL = FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] FF Plugin HKU\S-1-5-21-993321323-3193323119-4218094022-1001: ubisoft.com/uplaypc -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eKWEJK DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Facebook Update DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mpck_en_005030252 C:\Program Files\Common Files\Net4Switch.ico C:\ProgramData\GridinSoft C:\ProgramData\TEMP C:\Users\aaa\AppData\Local\{8E66D97F-D53A-4214-B72D-A5D8BC1E0956} C:\Users\aaa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Osoba 1 - Chrome.lnk C:\Users\aaa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Popcorn Time.lnk C:\Users\aaa\Desktop\Programy\Google Chrome.lnk C:\Users\aaa\Desktop\Programy\GridinSoft Anti-Malware.lnk C:\Users\aaa\Desktop\Programy\Popcorn Time.lnk C:\Users\aaa\Desktop\Programy\Program uruchamiający aplikacje Chrome.lnk C:\Users\aaa\Desktop\Różne\Niepotrzebne\Drivery ASUS\Adobe Reader 9.lnk C:\Users\aaa\Desktop\Różne\Niepotrzebne\Drivery ASUS\Gadu-Gadu 10.lnk C:\Users\aaa\Downloads\FRST.exe.part C:\Users\aaa\Downloads\gsamDV.exe C:\Windows\~INSX362.EXE CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\aaa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy.

Temat przenoszę do właściwego działu Windows, gdyż problem główny nie ma związku z infekcją. Przy tym problemie zwykle pomaga usunięcie wartości IconStreams + PastIconsStream z klucza TrayNotify w rejestrze. Można to wykonać za pomocą tego narzędzia Fix-it: KLIK. PS. Dodatkowa uwaga, został tu stworzony chory układ kont, zmodyfikowano domyślne uprawnienia. Konto Gość ma uprawnienia administratora zamiast limitowanych... Administrator (S-1-5-21-4059452529-793216389-3381221860-500 - Administrator - Disabled) Gość (S-1-5-21-4059452529-793216389-3381221860-501 - Administrator - Enabled) => C:\Users\Gość HomeGroupUser$ (S-1-5-21-4059452529-793216389-3381221860-1003 - Limited - Enabled) Jola (S-1-5-21-4059452529-793216389-3381221860-1002 - Administrator - Enabled) => C:\Users\Jola UpdatusUser (S-1-5-21-4059452529-793216389-3381221860-1004 - Limited - Enabled) => C:\Users\UpdatusUser A w spoilerze doczyszczanie adware/PUP, bez związku z w/w objawem. Adware nabyłeś definitywnie z "dobrychprogramów", gdyż na dysku widać wyraźnie pobrany plik z tego serwisu zazębiający się z instalacją śmietnika. Więcej na ten temat: KLIK.

Był używany ComboFix, na ten temat: KLIK. Jest aktywne szkodliwe proxy. Akcja do wykonania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKU\S-1-5-21-1987687338-1427185053-578574233-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-1987687338-1427185053-578574233-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer1017.exe [236816 2015-10-09] (MustangService) S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [19984 2015-12-26] () S3 catchme; \??\C:\Users\MM\AppData\Local\Temp\catchme.sys [X] Task: {3ABE0B81-212D-4F38-8C4F-B6EFC5B15B52} - System32\Tasks\{3947C8DF-9A4A-4A07-B717-87DFF77C783C} => pcalua.exe -a C:\Users\MM\Desktop\sp51592.exe -d C:\Users\MM\Desktop Task: {5739525A-C487-4A44-AA3A-252197E7E499} - System32\Tasks\{7804E678-2FF3-414D-AB50-321177E0CC6C} => pcalua.exe -a C:\Users\MM\AppData\Local\Temp\Temp1_Intel_Wireless_Display_2.1.39.0.ZIP\Setup2.1.39.0.exe Task: {5BF89149-01D5-4F8A-9F6A-47517979A1E5} - System32\Tasks\{623107F3-8A37-42FD-AEE0-AB2B10633D09} => pcalua.exe -a C:\Users\MM\AppData\Local\Temp\Temp1_BASW-83377A4X.ZIP\Recovery\setup.exe Task: {B6F2BB79-B03F-4C44-B07C-99404FCDE2FF} - System32\Tasks\{853BB266-44D1-40A8-9620-590FDD24C43E} => pcalua.exe -a "C:\Users\MM\Desktop\Nowy folder\QCA_WLAN_Driver_1.0.0.1\setup.exe" -d "C:\Users\MM\Desktop\Nowy folder\QCA_WLAN_Driver_1.0.0.1" Task: {CC5F4029-03C0-4B1D-9013-F771C3441F1C} - System32\Tasks\{F66FE972-9DDE-4CFC-A9F3-65A97DB0A73D} => pcalua.exe -a C:\Users\MM\AppData\Local\Temp\Temp1_WLAN_Intel_WXP_14.1.1.3.ZIP\setup.exe Task: {D7B529DD-511B-40F4-810D-1E1995D244D6} - System32\Tasks\{8CA6D005-CEEB-4929-8B1E-64C06C801A95} => pcalua.exe -a C:\Windows\system32\pcwrun.exe -c "C:\Program Files\Intel Corporation\Intel WiDi\WiDiApp.exe" Task: {E37F098C-C056-46B2-B0AB-67660CC99F38} - System32\Tasks\{8BBA784F-DE21-405F-B01A-A8E6CA724B14} => pcalua.exe -a C:\Users\MM\AppData\Local\Temp\Temp1_WLAN_Intel_WXP_14.1.1.3.ZIP\Driver\Setup.exe Task: {E3F65428-049D-43FA-BC6D-A2A6E97606FE} - System32\Tasks\{1302C847-B4D4-44BA-AD7D-D6B8D953B73A} => pcalua.exe -a "C:\Users\MM\Desktop\Nowy folder\QCA_WLAN_Driver_1.0.0.1\Driver\Install_sw.exe" -d "C:\Users\MM\Desktop\Nowy folder\QCA_WLAN_Driver_1.0.0.1\Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" FirewallRules: [{2D39960D-2467-4E5A-83A7-C7920441F02D}] => (Allow) C:\Users\MM\AppData\Local\Chromium\Application\chrome.exe DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "C:\Windows\System32\nvinit.dll" /f C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\TempMoudleSet C:\Users\MM\AppData\Local\*.txt C:\Windows\System32\drivers\EsgScanner.sys RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

W systemie jest aktywne szkodliwe proxy. Poza tym widać też różne inne szczątki adware. Działania do przeprowadzenia: 1. Odinstaluj stare wersje (luki!): Acrobat.com, Adobe AIR, Adobe Flash Player 18 PPAPI, Adobe Flash Player 20 ActiveX, Adobe Flash Player 20, Adobe Reader X (10.1.9), Adobe Shockwave Player 12.1, Java 8 Update 73, JavaFX 2.1.1, OpenOffice.org 3.3. Gdy ukończymy czyszczenie systemu, zainstalujesz najnowsze wersje. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {A87A4A01-A808-431C-B79B-B8A1D8080308} - \best_deals_evaaa_helper_service -> Brak pliku Task: {B5F7EF81-01A6-45E1-B79E-9E09BDAA1103} - System32\Tasks\{B59E4CF5-3241-4F4E-B722-AA05283CBC57} => pcalua.exe -a "C:\Users\pawel\Downloads\Adobe CS4\payloads\AdobeAIR1.0\AdobeAIRInstaller.exe" -d "C:\Program Files (x86)\Common Files\Adobe\Installers\b2d6abde968e6f277ddbfd501383e02" -c -silent Task: {BE71FA46-DB6C-455F-9A17-E89037D1F7E4} - System32\Tasks\{57118BFA-572C-4C91-8EDF-35602F9D70F4} => pcalua.exe -a "C:\Program Files (x86)\Nokia\Nokia PC Suite 6\ApplicationInstaller.exe" -c "C:\Users\pawel\Downloads\SpotifyInstaller_SymbPortrait.sis" Task: {F963C32B-EB2E-46B3-BF5D-39082AEEEEF3} - System32\Tasks\Aagoau => C:\PROGRA~1\GROOVE~1\Gojsa.bat Winlogon\Notify\ScCertProp: wlnotify.dll [X] HKU\S-1-5-21-4098247036-2222334072-374990730-1001\...\Run: [AdobeBridge] => [X] ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => Brak pliku BootExecute: autocheck autochk * sdnclean64.exe StartMenuInternet: Google Chrome.RKVPIV5AXDFI653O4RXI6LODTU - C:\Users\pawel\AppData\Local\Google\Chrome\Application\chrome.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-4098247036-2222334072-374990730-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie BHO-x32: Brak nazwy -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> Brak pliku Toolbar: HKU\S-1-5-21-4098247036-2222334072-374990730-1001 -> Brak nazwy - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Brak pliku Handler: tmpx - {0E526CB5-7446-41D1-A403-19BFE95E8C23} - Brak pliku S3 HWiNFO32; \??\C:\Users\pawel\AppData\Local\Temp\HWiNFO64A.SYS [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdate DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdatem DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MozillaMaintenance DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^pawel^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.3.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Acrobat Assistant 8.0 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BEWINTERNET-PLSessionManager DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Desktop Disc Tool DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Facebook Update DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mpck_en_005030258 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\OfficeScanNT Monitor DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ProductUpdater DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\rec_pl_217 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RoxWatchTray DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\win_en_77 DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes AlternateDataStreams: C:\Users\pawel\Cookies:zSKwpgYBh8Mqi4HT9b [2386] C:\Program Files (x86)\intellidownload C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Spyware Terminator C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audiograbber C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FontUtilities C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Program Client-Server Security Agent firmy Trend Micro C:\Users\pawel\AppData\Local\app C:\Users\pawel\AppData\Local\Mozilla C:\Users\pawel\AppData\Local\Opera Software C:\Users\pawel\AppData\Local\pyeCyaxn7j C:\Users\pawel\AppData\Local\Tempfolder C:\Users\pawel\AppData\LocalLow\Company C:\Users\pawel\AppData\Roaming\Azureus C:\Users\pawel\AppData\Roaming\gplyra C:\Users\pawel\AppData\Roaming\IeceuBudoeei C:\Users\pawel\AppData\Roaming\Mozilla C:\Users\pawel\AppData\Roaming\Opera Software C:\Users\pawel\AppData\Roaming\Microsoft\Word\PLENER%20józefów%202015304964781963222151\PLENER%20józefów%202015.doc.lnk C:\Users\pawel\Start Menu\Programs\Browser Manager C:\Windows\run.vbs C:\Windows\pss\OpenOffice.org 3.3.lnk.Startup C:\Windows\system32\asei C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\Number of results Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\pawel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. W Google Chrome jest ogromna ilość profilów. Ustawienia > karta Ustawienia > Osoby > skasuj wszystkie tożsamości z wyjątkiem bieżącej. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt. Dodatkowo, plik run.vbs został załączony do usunięcia, ale jakoś nie widać jawnie skąd się ładował. Zrób więc dodatkowe szukanie. Uruchom FRST, w polu Szukaj wklej co poniżej i klik w Szukaj w rejestrze. Dostarcz wynikowy log. run.vbs

Podstawowy problem tworzy aktywne adware Filter Results i Wordinator, ale jest więcej śmieci oraz wątpliwy skaner YAC. Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware, zbędniki Lenovo i stare wersje: Adobe AIR, Amazon 1Button App, CCSDK, Filter Results, Host App Service, istartsurf uninstall, Lenovo Browser Guard, Lenovo Web Start, SHAREit, Start Menu, UESDK, Wordinator 1.10.0.17, YAC(Yet Another Cleaner!). Jeśli coś nie będzie widoczne lub zwróci błąd, kontynuuj. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK 35 > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Default -> hxxp://www.v9.com?type=hp&ts=1444209382&from=mych123&uid=wdcxwd5000lpcx-24c6ht0_wd-wx41e74u2y4uu2y4u&z=98129904a42a565acab3163g1z9zcz4odeat7c2mdt CHR StartupUrls: Default -> "hxxp://www.v9.com?type=hp&ts=1444209382&from=mych123&uid=wdcxwd5000lpcx-24c6ht0_wd-wx41e74u2y4uu2y4u&z=98129904a42a565acab3163g1z9zcz4odeat7c2mdt" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hppp&ts=1434552920&z=e208560f8f9fc51f967bdd7gcz9c0z3w4w2odt3gdm&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hppp&ts=1434552920&z=e208560f8f9fc51f967bdd7gcz9c0z3w4w2odt3gdm&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1434552863&z=04e2f0679df92d9c0dee091g8z0c6z4w7w5obb9wft&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1434552863&z=04e2f0679df92d9c0dee091g8z0c6z4w7w5obb9wft&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1434552920&z=e208560f8f9fc51f967bdd7gcz9c0z3w4w2odt3gdm&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1434552920&z=e208560f8f9fc51f967bdd7gcz9c0z3w4w2odt3gdm&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1434552863&z=04e2f0679df92d9c0dee091g8z0c6z4w7w5obb9wft&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1434552863&z=04e2f0679df92d9c0dee091g8z0c6z4w7w5obb9wft&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U&q={searchTerms} HKU\S-1-5-21-2689289588-2193139115-2762245797-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=dspp&ts=1434552920&z=e208560f8f9fc51f967bdd7gcz9c0z3w4w2odt3gdm&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U&q={searchTerms} HKU\S-1-5-21-2689289588-2193139115-2762245797-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hppp&ts=1434552920&z=e208560f8f9fc51f967bdd7gcz9c0z3w4w2odt3gdm&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U HKU\S-1-5-21-2689289588-2193139115-2762245797-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1434552920&z=e208560f8f9fc51f967bdd7gcz9c0z3w4w2odt3gdm&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U HKU\S-1-5-21-2689289588-2193139115-2762245797-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1434552920&z=e208560f8f9fc51f967bdd7gcz9c0z3w4w2odt3gdm&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U&q={searchTerms} SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM -> OldSearch URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1434552863&z=04e2f0679df92d9c0dee091g8z0c6z4w7w5obb9wft&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQ9dA1hEEVMXbV0LUVhcFVYaeRRZBQpEDAIXcw9bAwtJRQ1CIR9aFQQTSEcFME0FCFwEURNNfX9RDU0UU2dGM0xUFUo=&q={searchTerms} SearchScopes: HKLM -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM-x32 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1444209382&from=zzgbkk123&uid=wdcxwd5000lpcx-24c6ht0_wd-wx41e74u2y4uu2y4u&z=98129904a42a565acab3163g1z9zcz4odeat7c2mdt&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1434552863&z=04e2f0679df92d9c0dee091g8z0c6z4w7w5obb9wft&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U&q={searchTerms} SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1444209382&from=zzgbkk123&uid=wdcxwd5000lpcx-24c6ht0_wd-wx41e74u2y4uu2y4u&z=98129904a42a565acab3163g1z9zcz4odeat7c2mdt&q={searchTerms} SearchScopes: HKU\S-1-5-21-2689289588-2193139115-2762245797-1001 -> OldSearch URL = hxxp://www.bing.com/search?PC=WCUG&FORM=WCUGDF&q={searchTerms} SearchScopes: HKU\S-1-5-21-2689289588-2193139115-2762245797-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U&ts=1434552936&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2689289588-2193139115-2762245797-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1434552920&z=e208560f8f9fc51f967bdd7gcz9c0z3w4w2odt3gdm&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U&q={searchTerms} SearchScopes: HKU\S-1-5-21-2689289588-2193139115-2762245797-1001 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1444209382&from=zzgbkk123&uid=wdcxwd5000lpcx-24c6ht0_wd-wx41e74u2y4uu2y4u&z=98129904a42a565acab3163g1z9zcz4odeat7c2mdt&q={searchTerms} SearchScopes: HKU\S-1-5-21-2689289588-2193139115-2762245797-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U&ts=1434552936&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2689289588-2193139115-2762245797-1001 -> {EF2A1302-0876-49D5-849D-1C2D6F8A58A6} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD5000LPCX-24C6HT0_WD-WX41E74U2Y4UU2Y4U&ts=1434552936&type=default&q={searchTerms} BHO-x32: LuckyTab Class -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> C:\Program Files (x86)\MiuiTab\SupTab.dll => Brak pliku R2 IhPul; C:\Users\Joanna\AppData\Roaming\TSv\TSvr.exe [396944 2015-09-21] (tsvr.com) S2 IHProtect Service; C:\Program Files (x86)\MiuiTab\ProtectService.exe [X] S2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe -s [X] S2 VisualDiscovery; C:\Program Files (x86)\Lenovo\VisualDiscovery\VisualDiscovery.exe [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\VDWFP => ""="Driver" Task: {2C02BEEA-CDD4-4864-B7F1-F6B1ACBE51EB} - System32\Tasks\SweetLabs App Platform => C:\Users\Joanna\AppData\Local\SweetLabs App Platform\Engine\ServiceHostAppUpdater.exe [2015-10-30] (Pokki) Task: {41184A4D-0BF3-41DF-A45F-AD7DE9A08227} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-08-18] (Lenovo) Task: {5B661DD2-47BB-4CBC-9D07-22BDFE29546B} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-09-03] (Lenovo) Task: {6BCE4649-68F3-4162-A61C-38105468A1B9} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2014-09-10] (Lenovo) FirewallRules: [{23E2A72F-6984-48B9-926C-F2903D15D241}] => (Allow) C:\Program Files (x86)\Lenovo\SHAREit\SHAREit.exe FirewallRules: [{039CFA79-BA9E-48FD-8288-45A149DAD16E}] => (Allow) C:\Program Files (x86)\Lenovo\SHAREit\SHAREit.exe C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\Wordinator_1.10.0.17 C:\Program Files (x86)\Common Files\f08cac26-e74f-49b4-9ff1-f081aa55e1b3 C:\ProgramData\f08cac26-e74f-49b4-9ff1-f081aa55e1b3 C:\ProgramData\Mozilla C:\ProgramData\Pokki C:\Users\Joanna\AppData\Local\BTServer.log C:\Users\Joanna\AppData\Local\Mozilla C:\Users\Joanna\AppData\Local\SweetLabs App Platform C:\Users\Joanna\AppData\Roaming\Mozilla C:\Users\Joanna\AppData\Roaming\TSv C:\Users\Joanna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Start Menu.lnk C:\Users\Joanna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo Web Start.lnk C:\Users\Joanna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk C:\Users\Joanna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Menu.lnk DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Ustaw też wybraną przeglądarkę jako domyślną, gdyż aktualnie jest wyasygnowana nieistniejąca Opera. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition (bez Shortcut). Dołącz też plik fixlog.txt. Podsumuj czy problemy nadal występują.

W systemie widzę składniki adware: BingSvc (w starcie), GamerForest (w Harmonogramie zadań + sterownik) oraz różne inne odpadki. Nie wiem czy jest to powiązane z opisywanym zjawiskiem. Wstępnie: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware, stare wersje, zbędniki: Adobe Flash Player 18 NPAPI, GamerForest, HP Customer Participation Program 14.0, Java 7 Update 79 (64-bit), Java SE Development Kit 7 Update 79 (64-bit), McAfee Security Scan Plus, Spybot - Search & Destroy, WebStorage. Spybot jest przestarzały i przez nikogo już niepolecany. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2831285199-3536826771-1048164271-1002\...\Run: [bingSvc] => C:\Users\stan\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-29] (© 2015 Microsoft Corporation) HKLM-x32\...\Run: [] => [X] Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] BootExecute: autocheck autochk * sdnclean64.exe R2 win8gfore; C:\WINDOWS\system32\Drivers\win8gfore64.sys [44152 2015-07-14] (CodeWatch Tech) Task: {1342A886-F29C-4DAF-8723-1DEAB7EE7B9A} - System32\Tasks\GamerForest Updater => C:\Users\stan\AppData\Local\GamerForest\updater.exe [2015-08-25] (GamerForest) Task: {58E48A2C-7A4F-4C9D-A2E8-DEC3BD6E0941} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File Task: {5ABD0269-2C73-41F4-AEDB-AA2DA06868D4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File Task: {835E0373-83E0-45F0-9D28-80C55ECECF5A} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File Task: {8DD37686-ED32-4360-90AF-C49DF6902383} - System32\Tasks\GamerForest Support => C:\Users\stan\AppData\Local\GamerForest\gfore_run.exe [2015-08-25] (GamerForest) Task: {905F7E86-77E7-4F9E-9A00-74C37F812B7B} - System32\Tasks\ASUS Smart Gesture Launcher => C:\Program Files (x86)\ASUS\ASUS Smart Gesture\AsTPCenter\x64\AsusTPLauncher.exe Task: {91691E3A-B22B-4968-A324-23AE6068CFF1} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File Task: {9A4FE020-29D9-4426-9B59-79578BDB4F3A} - System32\Tasks\AutoKMS => C:\WINDOWS\AutoKMS\AutoKMS.exe Task: {A14F99F7-5978-4A94-BE70-0345FFFC97BB} - System32\Tasks\UpdateTask => C:\Users\stan\AppData\Local\{C341F~1\UNINST~1.EXE Task: {C3810534-A781-462D-86EF-8C5540D7FC9F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File Task: C:\WINDOWS\Tasks\GamerForest Support.job => C:\Users\stan\AppData\Local\GAMERF~1\gfore_run.exe Task: C:\WINDOWS\Tasks\GamerForest Updater.job => C:\Users\stan\AppData\Local\GamerForest\updater.exe Task: C:\WINDOWS\Tasks\UpdateTask.job => C:\Users\stan\AppData\Local\{C341F~1\UNINST~1.EXE FirewallRules: [{33914543-F8E0-4BA8-8ECB-8D1DC263F103}] => (Allow) C:\Users\stan\AppData\Local\Chromium\Application\chrome.exe CHR HomePage: Default -> msn.com/?pc=__PARAM__&ocid=__PARAM__DHP&osmkt=pl-pl CHR DefaultSearchURL: Default -> hxxps://uk.search.yahoo.com/search?fr=mcafee&type=C211GB885D20151111&p={searchTerms} CHR DefaultSearchKeyword: Default -> mcafee CHR HKU\S-1-5-21-2831285199-3536826771-1048164271-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://uk.search.yahoo.com/?fr=hp-ddc-bd&type=bl-bir-sw-rhb-36__alt__ddc_dsssyc_bd_com HKU\S-1-5-21-2831285199-3536826771-1048164271-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=SK2M&ocid=SK2MDHP&osmkt=en-ww SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://uk.search.yahoo.com/yhs/search?hspart=ddc&hsimp=yhs-ddc_bd&type=bl-bir-sw-rhb-36__alt__ddc_dss_bd_com&p={searchTerms} SearchScopes: HKLM -> OldSearch URL = hxxp://uk.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wncy_kmpswt_15_35&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dgb%26pa%3DWincy%26cd%3D2XzuyEtN2Y1L1QzuzztBtCzytAyE0DtByD0DtAzyzy0A0E0CtN0D0Tzu0StCtAtAtBtN1L2XzutAtFtCtBtFyDtFtAtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2SzzzytB0EtBzz0C0DtGyDyB0F0DtGyEyB0DtCtG0AyByCtBtG0E0EyByBzyyC0Fzy0DyEyDyD2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyByBzy0Azz0E0B0EtG0Czyzz0DtGyEyByEzztGzy0CtAzytGtAzytDtB0CyD0DyC0AyD0DyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzuzyyEyE%26cr%3D632115577%26a%3Dwncy_kmpswt_15_35%26os%3DWindows%2B10%2BHome&p={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://uk.search.yahoo.com/yhs/search?hspart=ddc&hsimp=yhs-ddc_bd&type=bl-bir-sw-rhb-36__alt__ddc_dss_bd_com&p={searchTerms} SearchScopes: HKU\S-1-5-21-2831285199-3536826771-1048164271-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://uk.search.yahoo.com/yhs/search?hspart=ddc&hsimp=yhs-ddc_bd&type=bl-bir-sw-rhb-36__alt__ddc_dss_bd_com&p={searchTerms} SearchScopes: HKU\S-1-5-21-2831285199-3536826771-1048164271-1002 -> OldSearch URL = hxxp://uk.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wncy_kmpswt_15_35&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dgb%26pa%3DWincy%26cd%3D2XzuyEtN2Y1L1QzuzztBtCzytAyE0DtByD0DtAzyzy0A0E0CtN0D0Tzu0StCtAtAtBtN1L2XzutAtFtCtBtFyDtFtAtN1L1Czu1StN1L1G1B1V1N2Y1L1Qzu2SzzzytB0EtBzz0C0DtGyDyB0F0DtGyEyB0DtCtG0AyByCtBtG0E0EyByBzyyC0Fzy0DyEyDyD2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyByBzy0Azz0E0B0EtG0Czyzz0DtGyEyByEzztGzy0CtAzytGtAzytDtB0CyD0DyC0AyD0DyC2QtN0A0LzuyEtN1B2Z1V1T1S1NzuzyyEyE%26cr%3D632115577%26a%3Dwncy_kmpswt_15_35%26os%3DWindows%2B10%2BHome&p={searchTerms} SearchScopes: HKU\S-1-5-21-2831285199-3536826771-1048164271-1002 -> {03CB0EE3-BEF8-4A9E-A33A-B469F11029F5} URL = hxxp://search.yahoo.com/yhs/search?hspart=ddc&hsimp=yhs-ddc_bd&type=bl-bir-dd__alt__ddc_dss_bd_com&p={searchTerms} SearchScopes: HKU\S-1-5-21-2831285199-3536826771-1048164271-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://uk.search.yahoo.com/yhs/search?hspart=ddc&hsimp=yhs-ddc_bd&type=bl-bir-sw-rhb-36__alt__ddc_dss_bd_com&p={searchTerms} SearchScopes: HKU\S-1-5-21-2831285199-3536826771-1048164271-1002 -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxp://www.bing.com/search?FORM=SK2MDF&PC=SK2M&q={searchTerms}&src=IE-SearchBox SearchScopes: HKU\S-1-5-21-2831285199-3536826771-1048164271-1002 -> {39367A88-20F2-4007-88EE-4E7C745B4E6A} URL = hxxps://uk.search.yahoo.com/search?fr=mcafee&type=C011GB885D20150825&p={searchTerms} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BingSvc /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SpybotPostWindows10UpgradeReInstall /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SDTray /f C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Mozilla C:\Users\stan\AppData\Local\Chromium C:\Users\stan\AppData\Local\GamerForest C:\Users\stan\AppData\Local\Microsoft\BingSvc C:\Users\stan\AppData\Local\Mozilla C:\Users\stan\AppData\Roaming\Mozilla C:\Users\stan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Chromium.lnk C:\Users\stan\sinister-2-pol-6410081.exe C:\WINDOWS\System32\Drivers\win8gfore64.sys C:\WINDOWS\system32\Drivers\etc\hosts.*.backup Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy objawy ustąpiły.

Już podejmowałeś jakieś działania. Nie ma w systemie aktywnych śladów PriiceFountain. Ale doczyść różne odpadki: 1. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-704734153-4039422576-387115820-1000\...\RunOnce: [PriceFountainUpdateVer] => [X] HKU\S-1-5-21-704734153-4039422576-387115820-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-704734153-4039422576-387115820-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-704734153-4039422576-387115820-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-704734153-4039422576-387115820-1000 -> DefaultScope {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-704734153-4039422576-387115820-1000 -> {C501DB70-2EFA-4CE5-A9FE-5C1DD04510DC} URL = SearchScopes: HKU\S-1-5-21-704734153-4039422576-387115820-1000 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} C:\Users\Grzegorz\AppData\Local\Gameo C:\Users\Grzegorz\AppData\Roaming\GoldenGate C:\Users\Grzegorz\AppData\Roaming\PriceFountainUpdateVer C:\Users\Grzegorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

Adware PriceFountain jest zamontowane globalnie w Harmonogramie zadań (zadanie WarpowerHealthfulV2), dlatego tu nie pomoże żadna akcja na poziomie Google Chrome, a problem ujawni się w dowolnej przeglądarce. Działania do przeprowadzenia: 1. Odinstaluj zbędny składnik AVG Web TuneUp. 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: Task: {22555F1A-2C2B-4830-BD31-CD31FDFBD62C} - System32\Tasks\{DF543F17-9ED5-4B27-9724-D2B4F6FC06FE} => pcalua.exe -a C:\Users\Tays\Desktop\tcmdpp20b.exe -d C:\Users\Tays\Desktop Task: {3F827B06-D64B-4CD1-9A68-598487C7E7D3} - System32\Tasks\WarpowerHealthfulV2 => Rundll32.exe PainterPeacefulness.dll,main 7 1 CHR StartupUrls: Default -> "hxxps://www.google.pl/","hxxp://www.delta-homes.com/?type=hp&ts=1432123317&z=281102cd6445afa98837607gaz9c9o7g6oacdc8gfc&from=wpm05203&uid=ST3500418AS_Z2A410Y5XXXXZ2A410Y5","hxxp://www.istartsurf.com/?type=hp&ts=1435159825&z=1d00d7122d33d3c70a2509dg4zbc5w8gfw2tcb4o4g&from=cor&uid=ST3500418AS_Z2A410Y5XXXXZ2A410Y5","hxxp://www.mystartsearch.com/?type=hp&ts=1435297137&z=e464845d738508094240d07gdzdc7weo9tfm9g1o3w&from=cornl&uid=ST3500418AS_Z2A410Y5XXXXZ2A410Y5","hxxp://www.istartsurf.com/?type=hp&ts=1448280821&z=4a9ef563b9b85d681ffb215g4z9z2bbodbee3wdeaw&from=cor&uid=SPCCXSolidXStateXDisk_E7CB0759080B00255289" CHR DefaultSearchURL: Default -> hxxps://mail.google.com/mail/u/0/#inbox HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKU\S-1-5-21-3919403963-3147837309-3499571233-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-21-3919403963-3147837309-3499571233-1000\...\Policies\Explorer: [] HKU\S-1-5-21-3919403963-3147837309-3499571233-1000\...\MountPoints2: {6a223669-9e53-11e3-a506-806e6f6e6963} - E:\InstAll.exe HKU\S-1-5-21-3919403963-3147837309-3499571233-1001\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-21-3919403963-3147837309-3499571233-1001\...\MountPoints2: {6a223669-9e53-11e3-a506-806e6f6e6963} - E:\InstAll.exe S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-02-29] () DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera C:\Program Files (x86)\baidus.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Foto Ksiazki C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nero Express.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype & Opera\Opera.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SonyEditor\Help file (english).lnk C:\Users\Tays\AppData\Local\WarpowerHealthful C:\Users\Tays\Desktop\*.crdownload C:\Users\Tays\Favorites\Mail.Ru*.url C:\Windows\System32\DRIVERS\EsgScanner.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition (bez Shortcut). Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. Nie widzę tu żadnych oznak czynnej infekcji. Tylko szybkie sprzątanie śmieci i czyszczenie tempów. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: SearchScopes: HKLM -> DefaultScope - brak wartości FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\itms.js [2015-09-09] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: Microsoft .NET Framework Assistant - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2014-12-28] [brak podpisu cyfrowego] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\Users\marek\AppData\Roaming\Microsoft\*.dll C:\Users\marek\AppData\Roaming\Microsoft\*.tmp CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Przedstaw wynikowy fixlog.txt. Z raportów nic nie wynika i nic mi się nie kojarzy z tymi objawami. Raczej nie jestem w stanie pomóc. - Sprawne YouTube prawdopodobnie nie korzysta u Ciebie z wtyczki Adobe Flash (serwis już dawno od tego odszedł), tylko z odtwarzacza HTML5, co można sprawdzić odwiedzając tę stronę: KLIK. To mogłoby wyjaśniać różnicę w zachowowaniu stron. Jeśli jest problem z innymi stronami, to czy była próba reinstalacji / aktualizacji wtyczki Flash? Logi są stare, więc nie wiem czy obecnie jest najnowsza wersja. - Ogólne przymulanie: jest tu sporo procesów uruchamianych, więc sprawdź czy jest różnica na czystym rozruchu: KLIK. Poza tym, masz dużo bardzo starych programów i przewertuj co tak naprawdę jest potrzebne, pierwszy z brzegu to Bonjour czy archaiczny sterownik SPTD DAEMONa. - Jeśli "mrożenie" pojawiło się po skanie GMER, to do sprawdzenia transfer dysku: KLIK.

Temat przenoszę do działu Vista. To nie jest wynik infekcji. Z raportów nic też nie wynika, brak wyraźnych śladów czy błędów, które mogłyby się wiązać z objawami. Spróbuj ograniczyć ilość uruchamianych procesów. Na początek pozbądź się "firmowego PUPa" AVG Web TuneUp, co powinno odciąć przynajmniej jedną usługę i zlikwidować błędy ScriptHelper.exe z Dziennika zdarzeń. W dalszej kolejności test z czystym rozruchem: KLIK. Na koniec weryfikacja całego AVG jako potencjalnej przyczyny. PS. Do deinstalacji adware Yahoo Search Set, a w menedżerze dodatków Firefox New Tab by Yahoo. Ale to nie ma związku z objawami.

Raporty FRST nie zostały zrobione wg wskazówek tutaj na forum. Opcje Lista BCD, MD5 sterowników i Pliki z 90 dni nie miały być zaznaczone. Chyba masz na myśli "Necurs". Rootkit ten nie jest przenoszony za pomocą pendrive. Droga jego nabycia to odwiedzenie zainfekowanej strony i instalacja typu "drive-by". A system masz nieodporny, kompletny brak aktualizacji (brakuje pakietu SP1, IE11 i reszty łat = gdzieś około kilkaset pozycji) i stara niebezpieczna wersja Adobe Reader. To poprawne pliki systemowe. Pliki desktop.ini odpowiadają za nakładanie ikonek i polonizowanych nazw specjalnym folderom w eksploratorze Windows. Przykładowy folder to Desktop (w eksploratorze dzięki desktop.ini widziany jako "Pulpit"). W systemie jest nadal aktywna infekcja typu "bezplikowego". W starcie uruchamia się komenda PowerShell ładująca infekcję z rejestru. Akcje wstępne: 1. Odinstaluj Adobe Reader 9.0.1 - Polish. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3667417282-2828754835-1521732128-1003\...\Run: [{0D70B82D-A7E3-4533-9F9A-35D64D29952C}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\QHKTNLCJW').MOQEIFUCUPOPB))); DeleteKey: HKCU\Software\Classes\QHKTNLCJW DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CyberGhost DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mcagent_exe S3 EagleXNt; \??\C:\windows\system32\drivers\EagleXNt.sys [X] S3 mdareDriver_63; \??\C:\Program Files\Fortinet\FortiClient\mdare32_63.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\41439825.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\66218137.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\41439825.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\66218137.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" FF Plugin: @nexon.net/NxGame -> C:\ProgramData\NexonUS\NGM\npNxGameUS.dll [Brak pliku] C:\Users\brunon\cd C:\windows\system32\attrib C:\windows\system32\cd CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowe logi: FRST z opcji Skanuj (Scan) wg ustawień forum (ale już bez Addition i Shortcut) oraz USBFix z opcji Listing przy podpiętym pendrive. Dołącz też plik fixlog.txt oraz logi TDSSKiller: 2016-03-17 23:47 - 2016-03-18 00:51 - 00004288 _____ C:\TDSSKiller.3.1.0.9_17.03.2016_23.47.46_log.txt 2016-03-17 23:26 - 2016-03-17 23:46 - 00807482 _____ C:\TDSSKiller.3.1.0.9_17.03.2016_23.26.35_log.txt 2016-03-17 23:24 - 2016-03-17 23:25 - 00009096 _____ C:\TDSSKiller.3.1.0.9_17.03.2016_23.24.13_log.txt

Raptor, przeklej te instrukcje z PW do oceny (frantz12 nie jest autoryzowanym pomocnikiem) oraz dostarcz zestaw świeżych raportów FRST.

To robak Brontok, z tym że wg raportów infekcja nie jest czynna. Widać drobne odpadki po niej oraz również innogogatunkowe śmieci adware. Akcja do wdrożenia: 1. Odinstaluj stare wersje Adobe oraz adware: Adobe Flash Player 18 ActiveX, Adobe Flash Player 19 PPAPI, FlvPlayer, YTD Video Downloader 4.9.1. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {16a92140-918d-4afb-9edb-46f22437bb10}w64; C:\Windows\System32\drivers\{16a92140-918d-4afb-9edb-46f22437bb10}w64.sys [48792 2015-01-26] (StdLib) R2 HPSLPSVC; C:\Users\młodzidlaJezusa\AppData\Local\Temp\7zS13DD\hpslpsvc64.dll [1039360 2013-07-19] (Hewlett-Packard Co.) [brak podpisu cyfrowego] S1 eegqukat; \??\C:\Windows\system32\drivers\eegqukat.sys [X] HKU\S-1-5-21-1825552802-435318253-4084369653-1000\...\Run: [Tok-Cirrhatus] => "C:\Users\młodzidlaJezusa\AppData\Local\smss.exe" HKU\S-1-5-21-1825552802-435318253-4084369653-1000\...\Run: [Flvto YouTube Downloader] => "\FlvtoYoutubeDownloader.exe" /minimize HKU\S-1-5-21-1825552802-435318253-4084369653-1000\...\Run: [ALLPlayer WiFi Remote] => C:\Program Files (x86)\ALLPlayer Remote\ALLPlayerRemoteControl.exe HKU\S-1-5-21-1825552802-435318253-4084369653-1000\...\Policies\system: [DisableCMD] 0 Task: {0E91A5F0-5227-4F9B-B6EE-C200EC0156E7} - System32\Tasks\{A57D1615-6FC7-44F6-B6AA-A685A1B6D92D} => pcalua.exe -a "E:\paluch\Liturgia Godzin\kompleta\kompleta.exe" -d "E:\paluch\Liturgia Godzin\kompleta" Task: {125C314E-150A-4DF7-B9C8-30162C2A8EFC} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-03-05] (AVAST Software) Task: {1661EB8E-2366-4D21-941E-6F8488E8625E} - System32\Tasks\{7D35AEA9-BAFC-42FD-9BAC-67FA666EEE23} => C:\Users\młodzidlaJezusa\Desktop\Keyboard 4\Keyboard 4.exe Task: {2B6969EF-4D57-4C3D-BFBF-80EDA2BD9D02} - System32\Tasks\{8162338B-D10A-48B2-B449-A5E13A94E05C} => pcalua.exe -a "F:\katedra 30.11.14\katedra 30.11.14`.exe" -d "F:\katedra 30.11.14" Task: {2C119A37-C4B7-4817-A492-0AB1E55B9920} - System32\Tasks\{5F8BBB5F-378A-442D-8B73-626FAE5DC067} => C:\Users\młodzidlaJezusa\Downloads\winrar-x64-501.exe [2015-02-19] () Task: {3389F761-4809-4697-AE41-C33B96DBA9D9} - System32\Tasks\{BFCFCE4D-2A50-434D-9DCC-3F2EFB9E0E6A} => pcalua.exe -a E:\paluch\paluch.exe -d E:\paluch Task: {43F51063-12A6-4EB9-8C88-3DEF8F1B4F86} - System32\Tasks\{9EDEE8B2-F51B-419A-8C4F-67A592D75D11} => C:\Users\młodzidlaJezusa\Desktop\Keyboard 4\Keyboard 4.exe Task: {51AF9A58-543C-45E7-90E7-10EECB9FF786} - System32\Tasks\{EEB95FDE-8DF8-45AC-A0CF-B5DEEAE4ACDB} => C:\Users\młodzidlaJezusa\Desktop\Keyboard 4\Keyboard 4.exe Task: {5753CEF8-1563-4AEB-96EA-44D12FED4F85} - System32\Tasks\{D859E44A-50C9-4836-BB2E-3CDC7280056A} => C:\Users\młodzidlaJezusa\Desktop\Synthesia-0.7.0\Synthesia.exe Task: {6252E06F-F10A-4FFB-95DE-D06D95831CD1} - System32\Tasks\{4036C51F-3FAC-4C9D-8CF2-7D152278CD19} => pcalua.exe -a "C:\Users\młodzidlaJezusa\Desktop\R0990_40 (D)\Setup.exe" -d "C:\Users\młodzidlaJezusa\Desktop\R0990_40 (D)" Task: {67D50943-8B95-4685-9ACF-251C09733A32} - System32\Tasks\{8541CE96-6464-4BC8-AAF5-64C136E272B7} => pcalua.exe -a E:\Postulat\1.Arka\1.Arka`.exe -d E:\Postulat\1.Arka Task: {7EE6BBF3-23C4-4960-A297-CAAEB9D0FB48} - System32\Tasks\{A114DF57-0BC3-4BEE-A94E-779F6DA16EF4} => Firefox.exe Task: {9799E1F8-06C7-452F-BCF9-A7628D362ED8} - System32\Tasks\{4D3E0D49-8832-474B-8C58-06A4AD1A3A4B} => pcalua.exe -a "F:\adoracja osób konsekrowanych 10.01 Panewniki\adoracja osób konsekrowanych 10.01 Panewniki`.exe" -d "F:\adoracja osób konsekrowanych 10.01 Panewniki" Task: {AA580F40-53BA-4AD7-86CC-577AEDB54324} - System32\Tasks\{0C3770AB-B6F1-4680-B206-BE6BAC78C489} => C:\Users\młodzidlaJezusa\Desktop\Synthesia-0.7.0\Synthesia.exe Task: {AEE1F27A-C5D4-4E9E-8A75-05BF145E425B} - System32\Tasks\Price Fountain => C:\Users\MODZID~1\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: {AFEC1B82-78D7-478F-A5C7-9A243A12B248} - System32\Tasks\{E3A4CBAB-FD7F-4A69-88B5-CF54F873344E} => pcalua.exe -a D:\100KC330.exe -d D:\ Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\MODZID~1\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1422301960&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1422301960&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1825552802-435318253-4084369653-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-1825552802-435318253-4084369653-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKU\S-1-5-21-1825552802-435318253-4084369653-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&ts=1422302043&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&ts=1422302043&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&ts=1422302043&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> {40569913-25E4-44D6-8857-7D12FE1FC9B4} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&ts=1422302043&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> {B8F9A4C2-1288-4438-AFA2-C6D463BD6652} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&ts=1422302043&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HGSTXHTS545050A7E680_TMA55CPY3Y7SYM3Y7SYMX&ts=1422302043&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1825552802-435318253-4084369653-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} BHO-x32: Brak nazwy -> {1F91A9A1-01BA-4c81-863D-3BA0751E1419} -> Brak pliku BHO-x32: Brak nazwy -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> Brak pliku BHO-x32: Brak nazwy -> {b608cc98-54de-4775-96c9-097de398500c} -> Brak pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MaintainerSvc1.65.3138243 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\RelevantKnowledge DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^młodzidlaJezusa^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Empty.pif DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files\Common Files\AV\avast! Antivirus C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\0c3a7392-abfa-41f5-95a9-5e339ac76b7b C:\ProgramData\AVAST Software C:\ProgramData\Mozilla C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlvPlayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge C:\Users\młodzidlaJezusa\AppData\Local\Bron.tok.A12.em.bin C:\Users\młodzidlaJezusa\AppData\Local\Kosong.Bron.Tok.txt C:\Users\młodzidlaJezusa\AppData\Local\Mozilla C:\Users\młodzidlaJezusa\AppData\Roaming\FlvPlayer C:\Users\młodzidlaJezusa\AppData\Roaming\Mozilla C:\Users\młodzidlaJezusa\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\młodzidlaJezusa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Flvto YouTube Downloader.lnk C:\Users\młodzidlaJezusa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\młodzidlaJezusa\Desktop\postulat\postulantki\materiały\FlvPlayer.lnk C:\Windows\pss\Empty.pif.Startup C:\Windows\System32\Drivers\aswNdisFlt.sys C:\Windows\System32\drivers\{16a92140-918d-4afb-9edb-46f22437bb10}w64.sys C:\Windows\System32\Tasks\AVAST Software CMD: for /d %f in (C:\Users\młodzidlaJezusa\AppData\Local\*bron*) do rd /s /q "%f" CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Obecnie brak ustawionej domyślnej przeglądarki. W opcjach Opery ustaw ją jako domyślną. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Załatwmy to w tym temacie.

Wprawdzie było prowadzone jakieś usuwanie (widzę co najmniej ślady AdwCleaner), ale ostatnia porcja logów nadal wykazuje problemy z adware (aktywny qksee). I korzystałeś z wątpliwego skanera SpyHunter, z daleka od niego. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware qksee. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 qkseeService; C:\Program Files (x86)\qksee\qkseeSvc.exe [699952 2016-03-14] (Qksee Pvt Ltd.) Task: {4334A04A-629F-498E-8A07-D71316062CF9} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe Task: {B5C9CBCC-EDA0-4BE2-BEEB-70D1286681A8} - System32\Tasks\Norton Anti-Theft\Norton Error Processor => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\SymErr.exe Task: {F52B63CA-CA8B-4FD5-9771-0493E370E14F} - System32\Tasks\Norton Anti-Theft\Norton Error Analyzer => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\SymErr.exe HKLM\...\Run: [] => [X] Startup: C:\Users\Basia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Wysyłanie do programu OneNote.lnk [2015-11-19] BootExecute: autocheck autochk * sh4native Sh4Removal HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKU\S-1-5-21-1659662942-3678176710-1018204553-1001 -> {884B5FE9-FDA5-4924-A5F2-10AE2EBC0FFE} URL = C:\Program Files\Enigma Software Group C:\Program Files (x86)\SSFK.exe C:\Program Files (x86)\qksee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\qksee C:\spyhunter.fix C:\tvwZdHxHI7ZY36AE C:\Users\Basia\AppData\Roaming\qksee C:\Users\Basia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee.lnk C:\Users\Basia\Desktop\kma\DSC* - Shortcut.lnk C:\Users\Basia\Downloads\sh-remover.exe C:\Users\Basia\Downloads\SpyHunter 4.21.10.4585 eng-full- x32 bit C:\Users\Basia\Downloads\SpyHunter 4.21.10.4585 eng-full- x32 bit.rar C:\Users\Basia\Pictures\Nowy folder\dla iwony\Skrót do 421.lnk C:\Users\Public\Desktop\qksee.lnk C:\Windows\System32\Tasks\Norton Anti-Theft C:\Windows\SysWOW64\123.html C:\Windows\SysWOW64\pl.html C:\Windows\SysWOW64\sh4native.exe C:\Windows\SysWOW64\_tWm C:\Windows\SysWOW64\xxp' DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Anti-Theft Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IgfxTray /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "McAfee Security Scan Plus.lnk" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f DisableService: PLAY ONLINE. RunOuc EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Opis infekcji Locky: KLIK. Bardzo mi przykro, ale niestety nie ma możliwości odszyfrowania plików... Jeśli nie było kopii zapasowej plików w bezpiecznym miejscu, to jedyne co pozostaje to próba szukania danych przy udziale oprogramowania do odzyskiwania skasowanych plików. Tylko nie wiadomo kiedy nastąpiła infekcja. Szanse na odzysk są znikome, im dłużej działa komputer (zapisy na dysku). Na punkty Przywracania systemu tu nie ma chyba co liczyć, bo Locky usuwania punkty, a widoczny tu zestaw jest podejrzanie świeży: ==================== Punkty Przywracania systemu ========================= 24-02-2016 20:09:10 Zaplanowany punkt kontrolny 03-03-2016 14:04:50 Zaplanowany punkt kontrolny 13-03-2016 08:49:20 Zaplanowany punkt kontrolny 20-03-2016 17:18:37 Zaplanowany punkt kontrolny Raporty nie wskazują, by infekcja była czynna, widać tylko drobne odpadki nie powiązanych adware oraz skutki infekcji Locky. Na razie się tym nie zajmuję, jeśli mają być podejmowane próby odzysku danych.

Nazwy logów FRST wskazują, że je wyciągasz z folderu C:\FRST\Logs. To jest archiwum logów, bieżące powstają zawsze tam skąd uruchamiasz FRST, czyli w tym przypadku w katalogu Pobrane. I to tam jest też log Shortcut. Dołącz go.

Raporty FRST zostały zrobione przed uruchomieniem AdwCleaner i pokazują wszystko to co jakoby zostało już usunięte. Poproszę o nowe raporty FRST.

Rucek post wydzielił i usunął logi OTL nie brane tu już w ogóle pod uwagę, a ja dodam że niepoprawne są również raporty FRST - otwórz plik FRST.txt załączony powyżej, jest urwany. Dostarcz pro forma nowy pełny log. To tylko by się upewnić co jest dalej, ponieważ definitywnie tu wygląda na inną przyczynę niż infekcja. Masz problem sprzętowy, w Dzienniku zdarzeń błędy złych bloków dysku, co wyjaśnia drastyczne spowolnienie systemu, nawet po formacie: Dziennik System: ============= Error: (03/24/2016 08:52:52 AM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Jedna z konsekwencji złych bloków to uszkodzenia rejestru (conajmniej wymagane założenie nowego konta): Dziennik Aplikacja: ================== Error: (03/24/2016 08:40:21 AM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1542) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować pliku rejestru klas. SZCZEGÓŁY — Operacja We/Wy zainicjowana przez rejestr nie powiodła się w sposób nieodwracalny. Rejestr nie może wczytać, wypisać lub opróżnić jednego z plików zawierających obraz rejestru systemu. Error: (03/24/2016 08:40:21 AM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1508) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować rejestru. Częstą przyczyną tego problemu jest za mała ilość pamięci lub brak wystarczających praw zabezpieczeń. SZCZEGÓŁY - Operacja We/Wy zainicjowana przez rejestr nie powiodła się w sposób nieodwracalny. Rejestr nie może wczytać, wypisać lub opróżnić jednego z plików zawierających obraz rejestru systemu. for C:\Users\Adam\AppData\Local\Microsoft\Windows\\UsrClass.dat Temat przenoszę do działu Hardware. Prócz poprawnego pliku FRST.txt, dostarcz także dane wymagane działem Hardware: KLIK. I kto inny się zajmie tematyką sprzętową. Od razu jednak radzę zrobić kopię zapasową cennych danych na dysku, by zapobiec ich ewentualnej utracie, a ponadto od stanu dysku zależy co się dalej stanie z systemem i danymi. Może to tylko jeden z pośrednich skutków powyższego globalnego problemu z dyskiem. Nie wiem gdzie to widziałeś (w tym niepełnym FRST brak takich śladów). A czy przypadkiem booking.com to nie był element obrazu instalacyjnego ASUS? Niektórzy producenci integrują takie śmieci. Ten booking.com widziałam m.in. na komputerach ACER.

Jest tu więcej obiektów adware niż tylko zgłoszony problem. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware PriceFountain, qksee, Sparta, Update for PriceFountain oraz zbędny co dopiero doinstalowany Trojan Remover 6.9.4.2943. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Paweł\AppData\Roaming\TSv\TSvr.exe [116368 2016-03-11] (tsvr.com) R2 qkseeService; C:\Program Files (x86)\qksee\qkseeSvc.exe [699952 2016-03-08] (Qksee Pvt Ltd.) ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1457616819&z=eb3fdeb65f9f964376a5457gezew6m9q6gcq2b1oce&from=wpm06023&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1457616819&z=eb3fdeb65f9f964376a5457gezew6m9q6gcq2b1oce&from=wpm06023&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1457616819&z=eb3fdeb65f9f964376a5457gezew6m9q6gcq2b1oce&from=wpm06023&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1457616819&z=eb3fdeb65f9f964376a5457gezew6m9q6gcq2b1oce&from=wpm06023&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1457616819&z=eb3fdeb65f9f964376a5457gezew6m9q6gcq2b1oce&from=wpm06023&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX Edge HomeButtonPage: HKU\S-1-5-21-1527049857-3966740355-1081886749-1001 -> hxxp://www.yoursites123.com/?type=hp&ts=1457946990&z=8b56f61cb354d03d27d071egbz0w6m5tbz6q3tetag&from=wpm0314&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1457946990&z=8b56f61cb354d03d27d071egbz0w6m5tbz6q3tetag&from=wpm0314&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1457946990&z=8b56f61cb354d03d27d071egbz0w6m5tbz6q3tetag&from=wpm0314&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX" CHR DefaultSearchURL: Default -> hxxp://yoursites123.com/web?type=ds&ts=1457946990&z=8b56f61cb354d03d27d071egbz0w6m5tbz6q3tetag&from=wpm0314&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX&q={searchTerms} CHR DefaultSearchKeyword: Default -> yoursites123 StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1457616819&z=eb3fdeb65f9f964376a5457gezew6m9q6gcq2b1oce&from=wpm06023&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1457616819&z=eb3fdeb65f9f964376a5457gezew6m9q6gcq2b1oce&from=wpm06023&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.yoursites123.com/?type=sc&ts=1457616819&z=eb3fdeb65f9f964376a5457gezew6m9q6gcq2b1oce&from=wpm06023&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1457946990&z=8b56f61cb354d03d27d071egbz0w6m5tbz6q3tetag&from=wpm0314&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1457946990&z=8b56f61cb354d03d27d071egbz0w6m5tbz6q3tetag&from=wpm0314&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1452246889&z=9efa50a809597cab3aaf86dgaz9wdododzcqab5tee&from=wpm01073&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1452246889&z=9efa50a809597cab3aaf86dgaz9wdododzcqab5tee&from=wpm01073&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1457946990&z=8b56f61cb354d03d27d071egbz0w6m5tbz6q3tetag&from=wpm0314&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1457946990&z=8b56f61cb354d03d27d071egbz0w6m5tbz6q3tetag&from=wpm0314&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1452246889&z=9efa50a809597cab3aaf86dgaz9wdododzcqab5tee&from=wpm01073&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1452246889&z=9efa50a809597cab3aaf86dgaz9wdododzcqab5tee&from=wpm01073&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX&q={searchTerms} HKU\S-1-5-21-1527049857-3966740355-1081886749-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449651705&z=8c201e92005a15c88f66f02g4z7zatbq2w4g1maeeq&from=ient07021&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX&q={searchTerms} HKU\S-1-5-21-1527049857-3966740355-1081886749-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1457946990&z=8b56f61cb354d03d27d071egbz0w6m5tbz6q3tetag&from=wpm0314&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX HKU\S-1-5-21-1527049857-3966740355-1081886749-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1457946990&z=8b56f61cb354d03d27d071egbz0w6m5tbz6q3tetag&from=wpm0314&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX HKU\S-1-5-21-1527049857-3966740355-1081886749-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449651705&z=8c201e92005a15c88f66f02g4z7zatbq2w4g1maeeq&from=ient07021&uid=HGSTXHTS541010A9E680_JD1008CC22NTXV22NTXVX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-1527049857-3966740355-1081886749-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = BHO: HP Network Check Helper -> {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} -> C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPNetworkCheck\HPNetworkCheckPluginx64.dll => Brak pliku BHO-x32: Crazy Score -> {f439aa7e-a2a0-4635-99a2-164180e848ca} -> C:\Program Files (x86)\Crazy Score\Extensions\f439aa7e-a2a0-4635-99a2-164180e848ca.dll => Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia FF HKLM-x32\...\Firefox\Extensions: [firefox@bho.com] - C:\Program Files\Hewlett-Packard\SimplePass\FFBHOExt FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [blueStacks Agent] => C:\Program Files (x86)\BlueStacks\HD-Agent.exe Task: {0EF69011-9907-4E78-86A7-5F0D9BDCDEF6} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {164EACF4-D349-423E-B55E-27329C76199B} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {1A9F482D-E600-4E5C-82D6-7A134732EDB5} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {1BDF7289-3C06-4220-B8B9-273E99EA24CD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {1E403F14-1F18-416C-BDB3-D3FCF0DC82DB} - System32\Tasks\PawełPaddyAdmiringV2 => Rundll32.exe QueenliestRecurrence.dll,main 7 1 Task: {216DF7FA-9D53-410C-97BA-5BFAB6FB4F57} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {840FB214-B101-43F3-8523-9D5095447604} - System32\Tasks\PriceFountainUpdateVer => C:\Users\Paweł\AppData\Roaming\PriceFountainUpdateVer\UpdateProc\UpdateTask.exe [2016-03-10] () Task: {8E785614-6758-4FAF-B0F0-7C5043C164F7} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {94868A7A-5D2A-4E22-93FA-FDEBDB0AD766} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {AB60656C-EC98-41C0-99D0-AA1B062A3051} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {B6835CA6-8D4B-4674-8A78-CB089C416ABE} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {CF7555BC-8CB0-4F5B-BE3D-AC04819AC48F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {F9E778F4-77E3-4C2E-99CA-FF3EE10C4E72} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: C:\WINDOWS\Tasks\PriceFountainUpdateVer.job => DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\www.yoursites123.com" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\yoursites123.com" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Napisy24Update /f C:\Program Files (x86)\SSFK.exe C:\Program Files (x86)\SFK C:\Program Files (x86)\qksee C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\5WdM5 C:\ProgramData\MWdMM C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\qksee C:\Users\Paweł\AppData\Local\AION C:\Users\Paweł\AppData\Local\PaddyAdmiring C:\Users\Paweł\AppData\Local\Sparta C:\Users\Paweł\AppData\Local\TarpaperStylizes C:\Users\Paweł\AppData\Roaming\PriceFountainUpdateVer C:\Users\Paweł\AppData\Roaming\qksee C:\Users\Paweł\AppData\Roaming\sparta111 C:\Users\Paweł\AppData\Roaming\TSv C:\Users\Paweł\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk C:\Users\Paweł\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Sparta.lnk C:\Users\Paweł\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee.lnk C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sparta C:\Users\Paweł\Downloads\_\_\_01\ARCHIWUM- do przejrzenia\PDF-XChange Viewer.lnk C:\WINDOWS\SysWOW64\data.bin C:\WINDOWS\SysWOW64\upddf DisableService: Mobile Partner. RunOuc CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Opisz w jaki sposób i przedstaw nowe raporty FRST to obrazujące.

Są tu dwie infekcje: zmodyfikowane proxy (stop-block.org) oraz skróty przeglądarek (esurf.biz). Działania do przeprowadzenia: 1. Odinstaluj stare wersje i zbędniki: Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Flash Player 18 PPAPI, Adobe Reader X MUI, Bing Bar, eBay Worldwide. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: RemoveProxy: ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://esurf.biz/?ssid=1456221895&a=1003679&src=sh&uuid=d69bdcb2-934b-46d5-90ce-8fe760f281e2" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Packard Bell - Security & Support\Contact.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1456221895&a=1003679&src=sh&uuid=d69bdcb2-934b-46d5-90ce-8fe760f281e2" ShortcutWithArgument: C:\Users\Lary Kubiak\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1456221895&a=1003679&src=sh&uuid=d69bdcb2-934b-46d5-90ce-8fe760f281e2" ShortcutWithArgument: C:\Users\Lary Kubiak\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1456221895&a=1003679&src=sh&uuid=d69bdcb2-934b-46d5-90ce-8fe760f281e2" ShortcutWithArgument: C:\Users\Lary Kubiak\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://esurf.biz/?ssid=1456221895&a=1003679&src=sh&uuid=d69bdcb2-934b-46d5-90ce-8fe760f281e2" ShortcutWithArgument: C:\Users\Lary Kubiak\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1456221895&a=1003679&src=sh&uuid=d69bdcb2-934b-46d5-90ce-8fe760f281e2" ShortcutWithArgument: C:\Users\Lary Kubiak\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://esurf.biz/?ssid=1456221895&a=1003679&src=sh&uuid=d69bdcb2-934b-46d5-90ce-8fe760f281e2" ShortcutWithArgument: C:\Users\Lary Kubiak\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://esurf.biz/?ssid=1456221895&a=1003679&src=sh&uuid=d69bdcb2-934b-46d5-90ce-8fe760f281e2" ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://esurf.biz/?ssid=1456221895&a=1003679&src=sh&uuid=d69bdcb2-934b-46d5-90ce-8fe760f281e2" HKU\S-1-5-21-3934186232-1553188465-2461470855-1002\...\Policies\Explorer: [] HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3934186232-1553188465-2461470855-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3934186232-1553188465-2461470855-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://securityresponse.symantec.com/avcenter/fix_homepage/ HKU\S-1-5-21-3934186232-1553188465-2461470855-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKU\S-1-5-21-3934186232-1553188465-2461470855-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3934186232-1553188465-2461470855-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.msn.com/spbasic.htm HKU\S-1-5-21-3934186232-1553188465-2461470855-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://securityresponse.symantec.com/avcenter/fix_homepage/ HKU\S-1-5-21-3934186232-1553188465-2461470855-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKU\S-1-5-21-3934186232-1553188465-2461470855-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3934186232-1553188465-2461470855-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3934186232-1553188465-2461470855-1002\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.msn.com/spbasic.htm SearchScopes: HKU\S-1-5-21-3934186232-1553188465-2461470855-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3934186232-1553188465-2461470855-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKU\S-1-5-21-3934186232-1553188465-2461470855-1002 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Temp C:\ProgramData\Norton C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\GameExplorer\{471351f0-4e8a-47bf-a6b3-3de3c99ae340} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Jewel Match 3.lnk C:\Users\Lary Kubiak\AppData\Local\cache C:\Windows\System32\results.xml C:\Windows\System32\Tasks\SidebarExecute EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. Tytułowe problemy nie są z winy infekcji. Mam wątpliwości czy komunikat o niedziałaniu WMI wymagał naprawy, bo tu jest niedomyślny Windows instalowany z mocno modyfikowanej płyty XP robionej za pomocą nLite. Na takich systemach zdarza się, że WMI jest naruszone i nie podejmuje się wtedy działań. Ale równie dobrze ten komunikat może być wynikiem tego: Natomiast jest tu problem modyfikacji ważnych plików Windows. Poniższy zestaw nie ma sygnatury Microsoftu. Kluczowe usługi Zdalne wywoływanie procedur (RpcSs) oraz Program uruchamiający proces serwera DCOM (DcomLaunch) nie działają i to jest powód dla opisywanych problemów. Usługa RpcSs jest nadrzędną zależnością dla wszystkich innych usług, więc i one padły. S2 DcomLaunch; C:\WINDOWS\system32\rpcss.dll [401408 2009-02-09] () S3 dmadmin; C:\WINDOWS\System32\dmadmin.exe [225280 2008-04-14] () S3 napagent; C:\WINDOWS\System32\qagentrt.dll [293376 2008-04-14] () S2 RpcSs; C:\WINDOWS\System32\rpcss.dll [401408 2009-02-09] () S3 SCardSvr; C:\WINDOWS\System32\SCardSvr.exe [98304 2008-04-14] () S3 upnphost; C:\WINDOWS\System32\upnphost.dll [186880 2008-04-14] () Handler: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll [2014-02-06] () Handler: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll [2014-02-06] () Handler: mailto - {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll [2014-02-06] () Handler: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll [2014-02-06] () Handler: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll [2014-02-06] () Filter: application/octet-stream - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - C:\WINDOWS\system32\mscoree.dll [2009-11-07] () Filter: application/x-complus - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - C:\WINDOWS\system32\mscoree.dll [2009-11-07] () Filter: application/x-msdownload - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - C:\WINDOWS\system32\mscoree.dll [2009-11-07] () To kolejny objaw uszkodzenia plików. I prawdopodobnie jest więcej naruszeń niż może przedstawić to bardzo selektywny log FRST. Naprawa polegałaby na podmianie uszkodzonych plików poprawnymi, a że zakres uszkodzeń nie do sprawdzenia, musiałoby zostać uruchomione sfc /scannow lub reperacja nakładkowa systemu. Do obu tych działań jest wymagana polska płyta Windows ze zintegrowanym SP3. Mówisz że płyty nie posiadasz, to czy jest możliwe jej pożyczenie lub "skombinowanie"?

Tym razem zgodnie z planem zadanie wykonane. Na zakończenie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Opisz w jaki sposób problem został rozwiązany i dostarcz nowe logi obrazujące to.

W starcie uruchamia się szkodliwy obiekt "Indexer", który uaktywnia skrypt SGLIndexer.vbs. Poza tym są drobne martwe ślady innych infekcji. To normalne zachowanie nie powiązane z infekcją: KLIK. Występuje na wszystkich systemach operacyjnych. Działania do przeprowadzenia: 1. Odinstaluj stare wersje: Java 7 Update 25, Java 8 Update 45 (64-bit). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-118448563-3675886309-3321917299-1001\...\Run: [WerFault] => C:\Users\Thomas\AppData\Roaming\61778.exe HKU\S-1-5-21-118448563-3675886309-3321917299-1001\...\CurrentVersion\Windows: [Load] C:\Users\Thomas\LOCALS~1\Temp\mschchmam.exe <===== UWAGA HKU\S-1-5-21-118448563-3675886309-3321917299-1001\...\Winlogon: [Shell] C:\WINDOWS\Explorer.exe [4502352 2016-01-29] (Microsoft Corporation) <==== UWAGA Startup: C:\Users\Thomas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Indexer.lnk [2016-03-15] GroupPolicy: Ograniczenia - Chrome <======= UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = CHR HomePage: Default -> gazeta.allplayer.org/ CHR StartupUrls: Default -> "hxxp://search.babylon.com/?affID=112555&tt=3612_7&babsrc=HP_ss&mntrId=2070d0960000000000000617c4f19fb4","hxxp://home.sweetim.com/?crg=3.1010000&st=12&barid={5A41FD70-A53D-434C-975F-5B7B5B667113}","hxxp://do-search.com/?type=hp&ts=1432454299&z=1f9bc17b04fb7a2aff2a4a0g5z3cdo7zcwbzeodq3o&from=cor&uid=ST1000LM024XHN-M101MBB_S30YJ9HF816434","hxxp://www.istartsurf.com/?type=hp&ts=1433940339&z=2cf5db7b1000730097babf7g0z4c2c7tfz1e4c5e0e&from=cornl&uid=ST1000LM024XHN-M101MBB_S30YJ9HF816434" CHR HKU\S-1-5-21-118448563-3675886309-3321917299-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efhdjkbfpoohkmfaldijcpbnmbpefpkb] - C:\Program Files (x86)\ALLPlayer\AllPlayer.crx <nie znaleziono> CHR HKLM-x32\...\Chrome\Extension: [dhigneefebkcagnpnpbibganpmfgebnk] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [efhdjkbfpoohkmfaldijcpbnmbpefpkb] - C:\Program Files (x86)\ALLPlayer\AllPlayer.crx <nie znaleziono> Task: {073EE70A-22A7-486A-AC5E-94743A271C19} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA Task: {0D372DFD-AB74-4DF4-9A40-264159540867} - System32\Tasks\System Monitor => C:\ProgramData\734579\sysmon.exe Task: {2CDD8E2D-8E6C-4305-AAF0-6D185D168F8A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA Task: {41B2715D-D973-4578-A994-D0B1709AF79B} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe Task: {4314DA4C-ABC7-4A0A-8BCB-5B3C29D3748A} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2016-01-08] (Lenovo) Task: {6C69D9EA-A9A0-400F-9B47-9C3AD8F7652E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: {777BA029-620D-4DD6-BD73-E703E9A294FE} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku <==== UWAGA Task: {7E888819-0CD4-4F09-B653-3DF7BA285E63} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA Task: {95CC55AF-50C5-4A23-815D-39FE2BF7CAAF} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku <==== UWAGA Task: {B69982F8-BCEE-4ACD-B62A-B7E0E594F393} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA Task: {C4DE3F84-A979-43A8-BAC9-F4CB3D61D4C6} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA Task: {C6B50AC3-9CCD-482A-9593-87B7CCC6C28E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA Task: {CA87B543-4DF3-4B19-91CF-E47E55EF7CFE} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA Task: {D6890FBD-30C7-4F9A-8804-62769DBEFAAB} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA Task: {F97B466D-64BE-4947-A9F8-AC198135D2F7} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\*.bin C:\ProgramData\c20be4b830f5a1130178a8e9050c3e8fdf334631 C:\ProgramData\XML C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CyberLink PowerDirector 10 C:\Users\Thomas\AppData\Local\Chromium C:\Users\Thomas\AppData\Roaming\SGLIndexer.vbs C:\Users\Thomas\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\Thomas\AppData\Roaming\Microsoft\Word\CURRICULUM%20VITAE305022511050895358\CURRICULUM%20VITAE.docx.lnk DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Energy Manager" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Lenovo Utility" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Persistence /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v mcpltui_exe /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v NvBackend /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v IAStorIcon /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Drobna sprawa w Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Gazeta.pl. To dodatek sponsorowany pozostawiony po odinstalowanym AllPlayer. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy ustąpiły.