picasso

Legalne pobieranie obrazów Windows Windows 11, Windows 10, Windows 8.1, Windows 7 Poniżej publiczne oficjalne linki pobierania obrazów ISO, z wykluczeniem mechanizmów wymagający logowania i subskrypcji (np. MSDN) i wersji typu Enterprise / Education. Oryginalny niemodyfikowany obraz ISO z pełną instalacją systemu, prócz oczywistych zastosowań, może służyć także jako materiał wyjściowy do budowy własnej dostosowanej płyty, jako źródło naprawcze zainstalowanego Windows (np. operacje naprawy narzędziem DISM z przełącznikami kierujący na to źródło na dysku lub nakładkowa "aktualizacja" działająca jak naprawa z zachowaniem danych) oraz udostępnić środowisko WinRE w przypadku, gdy nie ma żadnej możliwości dostania się do tego interfejsu naprawy.

Pozytywna zmiana na Sourceforge: SourceForge Acquisition and Future Plans. Serwis został przejęty przez nowego właściciela, który próbuje odbudować reputację serwisu. Program sponsoringowy DevShare został usunięty, co oznacza likwidację "asystenta pobierania" na Sourceforge. Artykuł na forum został zaktualizowany w tej kwestii. Dodatkowa uwaga: uBlock ma zintegrowany filtr Badware risks‎, który nadal blokuje sourceforge, co jest już nieaktualne. Niestety, problemy w dziale Malware tu notowane na forum mają głównie inne źródła (np. dobreprogramy.pl).

Tak jest, ta sama historia. MPCKpt jest podmontowany na woluminach. Kolejne podejście: Otwórz Notatnik i wklej w nim: CMD: fltmc detach MPCKpt C: "NPminifilter Instance" CMD: fltmc detach MPCKpt D: "NPminifilter Instance" CMD: fltmc detach MPCKpt F: "NPminifilter Instance" CMD: fltmc detach MPCKpt \Device\HarddiskVolumeShadowCopy27 "NPminifilter Instance" CMD: fltmc detach MPCKpt \Device\HarddiskVolumeShadowCopy54 "NPminifilter Instance" CMD: fltmc detach MPCKpt \Device\Mup "NPminifilter Instance" CMD: fltmc instances R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-02-06] (DotC United Inc) C:\Windows\System32\drivers\MPCKpt.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Być może nastąpi restart. Przedstaw wynikowy fixlog.txt.

Tak, uruchom ponownie AdwCleaner, zastosuj kombinację opcji Skanuj + Usuń i przedstaw log z wynikami usuwania.

Skoro Autoruns nie widzi tego zadania, uruchom systemowe narzędzie: klawisz z flagą Windows + R > w polu Uruchom taskschd.msc > w menu Widok upewnij się, że jest zaznaczone Pokaż ukryte zadania > zadanie "ACC" powinno być w głównym widoku Biblioteki.

Jeśli chcesz usunąć tę aplikację, po prostu odinstaluj IMVU Avatar Chat Software. Po deinstalacji pousuwaj poniższe pliki i foldery (część już powinna zniknąć): 2016-01-26 11:18 - 2016-02-10 19:32 - 00000000 ____D C:\Users\Łukasz\AppData\Roaming\IMVU 2016-01-26 11:18 - 2016-01-26 11:18 - 00000000 ____D C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\IMVU 2016-01-26 11:18 - 2016-01-26 11:18 - 00000000 ____D C:\Users\Łukasz\AppData\Roaming\IMVUClient 2016-01-26 11:17 - 2016-01-26 11:17 - 00244304 _____ C:\Users\Łukasz\Downloads\InstallIMVU_523.0_st.exe 2016-01-26 11:17 - 2016-01-26 11:17 - 00244304 _____ C:\Users\Łukasz\Downloads\InstallIMVU_523.0_st (1).exe

bsdriver został usunięty pomyślnie, został tylko martwy wpis rejestru. Natomiast jest problem z usunięciem sterownika MPCKpt (odpadek po usunięciu MPC Cleaner). Prawdopodobnie jest tu podobna sprawa z filtrami i będę pobierać dodatkowe informacje. Otwórz Notatnik i wklej w nim: S1 bsdriver; \??\C:\Windows\system32\drivers\bsdriver.sys [X] CMD: fltmc instances Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Fix pomyślnie wykonany. Wejście "> Chrome Search" nie powinno być już widoczne na liście. Kończymy: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Brakuje trzeciego obowiązkowego raportu FRST Shortcut. Adware definitywnie nabyłeś podczas pobierania BESTPlayer z portalu dobreprogramy.pl. Załatwił Cię "Asystent pobierania" tego portalu: KLIK. PriceFountain działa poprzez Harmonogram zadań, więc tu nawet FRST nie byłby potrzebny ani żadne inne narzędzie zewnętrzne, by się tego pozbyć, wystarczyłoby otworzyć systemową przystawkę taskschd.msc. Oczywiście trzeba wiedzieć gdzie szukać, a to już bez raportu nie jest takie oczywiste. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {07C216B9-7F8F-4DD0-8C4B-6335588FDC4A} - System32\Tasks\ByteFence Scan => C:\Program Files\ByteFence\ByteFence.exe Task: {E0EEF62D-70DF-4B83-84AA-F864DEC1AF4F} - System32\Tasks\niestetytakPostfixesIsthmicV2 => Rundll32.exe MicropipetteConsorted.dll,main 7 1 <==== UWAGA HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2395041106-665369320-1206337860-1001\...\MountPoints2: {19c9b1e7-c859-11e5-8267-185e0f053425} - "D:\LaunchU3.exe" -a HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank SearchScopes: HKU\S-1-5-21-2395041106-665369320-1206337860-1001 -> DefaultScope {F7D5FD05-173B-48A7-8E35-50CC80FC8BED} URL = SearchScopes: HKU\S-1-5-21-2395041106-665369320-1206337860-1001 -> {F7D5FD05-173B-48A7-8E35-50CC80FC8BED} URL = DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\extensions RemoveDirectory: C:\Users\Public\Pokki RemoveDirectory: C:\Users\niestetytak\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 RemoveDirectory: C:\Users\niestetytak\AppData\Local\PostfixesIsthmic C:\Users\niestetytak\Downloads\*-dp*.exe C:\Users\niestetytak\Downloads\AdwCleaner*.* C:\Users\niestetytak\Downloads\SpyHunter-Installer.exe Folder: C:\Users\Public\Documents\dmp Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan) z zaznaczonymi polami Addition i Shortcut - i tylko te dwa logi dostarcz, główny FRST.txt nie jest już potrzebny. Dołącz też plik fixlog.txt.

Wszystko wykonane. Poprawki pod kątem tego nieusuwalnego wejścia. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{2AEF02C351594C81A6888D954F0DEE56}_NewSearch RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Skoro problem samoistnie ustąpił, to nie mam tu nic więcej do roboty. Jak mówiłam, nie notuję ani czynnej infekcji, ani jawnych uszkodzeń. Fix FRST pomyślnie wykonany. Na koniec drobne działania: 1. Odinstaluj stare wersje Adobe Flash Player 12 ActiveX, Java 8 Update 51 (64-bit), RealPlayer. 2. Skoryguj drobny błąd WMI: KLIK. 3. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Raporty z przestarzałego OTL nie są w ogóle tu już brane pod uwagę, usuwam. FRST jest obecnie o wiele bardziej zaawansowany i skanuje więcej rzeczy niż OTL, np. Harmonogram zadań. I to właśnie w Harmonogramie masz uruchamianie BAT programu Acer. Wygląda na to, że aplikację DriverSetupUtility zainstalował SlimDrivers, gdyż wskazuje na to sekwencja czasowa. DriverSetupUtility (HKLM\...\{2B51C83A-465D-4EA9-9CDC-1ED95ED09AC6}) (Version: 1.00.3011 - Acer Incorporated) Task: {CF5CB2DA-06BC-496F-9DF8-8F361C33749D} - System32\Tasks\ACC => C:\Program Files\DriverSetupUtility\FUB\FUB_Send.bat [2015-06-22] () 2016-02-09 15:31 - 2016-02-09 16:52 - 00002798 _____ C:\WINDOWS\System32\Tasks\ACC 2016-02-09 15:31 - 2016-02-09 15:31 - 00000000 ____D C:\ProgramData\SlimWare Utilities, Inc 2016-02-09 15:31 - 2016-02-09 15:31 - 00000000 ____D C:\ProgramData\DriverSetupUtility 2016-02-09 15:31 - 2016-02-09 15:31 - 00000000 ____D C:\Program Files\DriverSetupUtility 2016-02-09 15:30 - 2016-02-12 14:52 - 00000444 _____ C:\WINDOWS\Tasks\SlimDrivers Startup.job 2016-02-09 15:30 - 2016-02-09 16:53 - 00002926 _____ C:\WINDOWS\System32\Tasks\SlimDrivers Startup 2016-02-09 15:30 - 2016-02-09 16:51 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SlimDrivers 2016-02-09 15:30 - 2016-02-09 15:30 - 00002499 _____ C:\Users\Public\Desktop\SlimDrivers.lnk 2016-02-09 15:30 - 2016-02-09 15:30 - 00000000 ____D C:\Users\Public\Documents\Downloaded Installers 2016-02-09 15:30 - 2016-02-09 15:30 - 00000000 ____D C:\Users\Lukasz\AppData\Local\SlimWare Utilities Inc 2016-02-09 15:30 - 2016-02-09 15:30 - 00000000 ____D C:\Program Files (x86)\SlimDrivers Uruchom Autoruns, w karcie Scheduled Tasks wyłącz zadanie ACC. Dodatkowo, możesz tu zaprezentować co robi ten BAT otwierając plik FUB_Send.bat w Notatniku i przeklejając jego treść do posta. Albo odinstaluj całkowicie DriverSetupUtility. Po deinstalacji upewnij się w Autoruns, że zniknęło w/w zadanie.

GetSearch jest zablokowane na bazie polityk oprogramowania Google. Działania do przeprowadzenia: 1. Odinstaluj adware > Chrome Search, bardzo starą wersję Adobe Flash Player 10 ActiveX oraz świeżo doinstalowany SuperCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run CMD: type C:\Windows\system32\GroupPolicy\Machine\Registry.pol HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCTray.exe" /regrun HKU\S-1-5-21-3075007989-97069618-3936532545-1000\...\Run: [C] => C:\Windows\system32\GroupPolicy\Machine\Registry.pol [782 2016-02-11] () GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com URLSearchHook: [s-1-5-21-3075007989-97069618-3936532545-1000] UWAGA => Brak domyślnego URLSearchHook URLSearchHook: HKU\S-1-5-21-3075007989-97069618-3936532545-1000 - (Brak nazwy) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - Brak pliku ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => Brak pliku S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TsNetHlpX64.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\ProgramData\rxsmznjf.zcp C:\ProgramData\BANDISOFT C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bandicut C:\Users\Władca\AppData\Local\VirtualRouterPlus C:\Users\Władca\AppData\Roaming\GiftBag.db C:\Users\Władca\AppData\Roaming\BANDISOFT C:\Users\Władca\AppData\OICE_15_974FA576_32C1D314_363 C:\Users\Władca\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Bandicut.lnk C:\Users\Władca\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\强力卸载电脑上的软件 .lnk C:\Users\W砤dca C:\Windows\system32\--debugoff C:\Windows\system32\--traceoff C:\Windows\SysWOW64\L CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w tym samym folderze w którym jest FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Władca\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Usuwam zbędne logi. Chodziło tylko i wyłącznie o nowy plik Addition. Uruchamianie skryptu absolutnie nie, to jednorazowa naprawa i nie działa po raz drugi. Komentowałam tylko, że zapisałeś plik w złym kodowaniu. Adware pomyślnie usunięte. Mam dodatkowe pytanie: pojawiła się nowa aplikacja IMVU Avatar Chat Software - czy to celowa instalacja? Ten program może być instalowany w niechciany sposób.

Skrypt FRST pomyślnie wykonany. Narzędzie SFC nie wykryło problemów. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Adware nie jest wyczyszczone dobrze, nadal jest aktywny sterownik WordFly. Jeśli chodzi o brak dostępu do internetu, to przypuszczalną przyczyną może być uszkodzenie łańcucha Winsock, pomimo że log FRST nie pokazuje tej usterki, a typuję to po obecności kilku plików na dysku które są wpuszczane z adware modyfikującym Winsock. Dodatkowo, plik systemowy dnsapi.dll był odświeżany co dopiero, co wskazuje na to, że była też infekcja w tym pliku i jest niejasne w jaki sposób go naprawiano. Tym wszystkim się zajmę. Natomiast uszkodzenie Recovery to osobna sprawa, nie wiem czy da się coś w tej kwestii zrobić, nie jestem pewna co się stało, że przy anulowaniu rozwaliło system. Wstępnie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) R1 wfdrvr_vt_1_10_0_28; C:\Windows\System32\drivers\wfdrvr_vt_1_10_0_28.sys [61296 2015-10-30] (WF) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] Task: {5BF71ACE-D8AD-4BA8-9293-95E1CA325D89} - System32\Tasks\Cigif => C:\PROGRA~1\GROOVE~1\Lursic.bat Task: {85665E16-C27C-4287-9AC6-549AB492567D} - System32\Tasks\WordFly Auto Updater 1.10.0.28 Core => C:\Program Files (x86)\WordFly_1.10.0.28\Update\WordflyAutoUpdateClient.exe <==== UWAGA Task: {9D0FD961-9A58-4B71-8FC5-1AFF71C8DA7D} - System32\Tasks\WordFly Auto Updater 1.10.0.28 Pending Update => C:\Program Files (x86)\WordFly_1.10.0.28\Update\WordflyAutoUpdateClient.exe <==== UWAGA Task: {B11FC049-05CA-4A1D-A9A1-1E04707D25CF} - System32\Tasks\{92A49F2D-8053-4C77-9839-6D0287C6CC43} => pcalua.exe -a D:\drivers\VGA_nVidia_WIN7_32_z817125741\setup.exe -d D:\drivers\VGA_nVidia_WIN7_32_z817125741 GroupPolicy: Ograniczenia - Chrome <======= UWAGA GroupPolicyUsers\S-1-5-21-3343506224-3256486555-700229984-1003\User: Ograniczenia <======= UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-3343506224-3256486555-700229984-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-3343506224-3256486555-700229984-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=hp&ts=1434908967&z=6f306756d3dd5d16bf528edg6zcc3z0tce9b9t3q2w&from=cmi&uid=ST9500325AS_5VEC8KP1XXXX5VEC8KP1 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\apphide DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\baidu RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Users\ASUS\AppData\Local\10002 RemoveDirectory: C:\Users\ASUS\AppData\Local\Call Download RemoveDirectory: C:\Users\ASUS\AppData\Roaming\E0813030-1432553686-FA90-8A80-14DAE92F0F8F RemoveDirectory: C:\Users\ASUS\AppData\Roaming\E0813030-1434900597-FA90-8A80-14DAE92F0F8F RemoveDirectory: C:\Users\ASUS\AppData\Roaming\NetService RemoveDirectory: C:\Users\ASUS\AppData\Roaming\Soft-4-Free.com RemoveDirectory: C:\Users\ASUS\AppData\Roaming\WarThunder C:\Users\ASUS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\ASUS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Windows\system32\TinpuatbuOff.ini C:\Windows\System32\drivers\wfdrvr_vt_1_10_0_28.sys C:\Windows\SysWOW64\Tinpuatbu.ini C:\Windows\SysWOW64\TinpuatbuOff.ini CMD: netsh advfirewall reset CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom sprawdzanie sfc /scannow i wyprodukuj przefiltrowany log sfc.txt: KLIK. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\ASUS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt i sfc.txt. Wypowiedz się czy nastąpiła poprawa.

Adware nabyte podczas pobierania WinRAR przy udziale "Asystenta pobierania" dobreprogramy.pl: KLIK. Zaimplementowane via Harmonogram zadań, stąd żadne akcje na poziomie przeglądarki nie pomagają. Aktywność globalna widoczna w obojętnej przeglądarce. Działania do przeprowadzenia: 1. Deinstalacje: - Odinstaluj zbędne programy: Acer Games, eBay Worldwide, Norton Online Backup, Pokki Start Menu. Acer Games (z grupy Pokki) i tak jest naruszony, prawdopodobnie przez AdwCleaner. Przy okazji przejrzyj listę i pozbądź się nieużywanych aplikacji. - Jest tu aktywny niepoprawnie odinstalowany McAfee. Zastosuj McAfee Consumer Product Removal Tool. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {D4897DA7-A490-4F4B-90C3-AE11C46F53B7} - System32\Tasks\StoeckleOnboardOverattentivenessV2 => Rundll32.exe MossCrisping.dll,main 7 1 RemoveDirectory: C:\Users\Stoeckle\AppData\Local\OnboardOverattentiveness C:\Users\Stoeckle\Downloads\*-dp*.* GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres adware isearch.omiga-plus.com, przestaw na "Otwórz stronę nowej karty" 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Krytyczny stan aktualizacji systemu: brak SP3 + IE8 i reszty łat, niebezpieczne wersje Adobe i Java zainstalowane. W związku ze stanem systemem tu są ślady innych infekcji spoza adware. Widoczne następujące problemy: - To zachowanie dysków to jest konsekwencja infekcji z mediów przenośnych USB. Nabyłeś wirusa Sality, który infekuje wszystkie pliki wykonywalne na wszystkich dyskach. Sality uszkodził także Tryb awaryjny Windows. Wirus Sality nie wygląda na aktywny (brak sterownika i jego czynności w GMER), ale nie wiadomo ile zdewastował i czy są geny wirusa w jakiś programach. Może się okazać, że jest konieczny format całego dysku. - A tytułowy problem PriceFountain owszem pochodzi z "Asystenta pobierania" dobrychprogramów, ale przy wirusie Sality to pikuś. To prosta infekcja uruchamiana przez Harmonogram zadań. Wstępnie: 1. Zrób skan za pomocą SalityKiller. Jeśli wykryje zarażone pliki, powtarzasz skan, do momentu gdy zwrotem będzie zero zainfekowanych. 2. Pobierz Sality_RegKeys.zip. Rozpakuj i uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 3. Odinstaluj stare wersje: Adobe Flash Player 9 ActiveX, Adobe Reader 8 - Polish, Java™ 6 Update 24, OpenOffice.org 3.3, Orange Free (uszkodzony), Real Alternative 1.8.0. Również Mozilla Maintenance Service - to nie jest stara wersja, ale program jest naruszony przez wirusa Sality. Jeśli wystąpią problemy przy deinstalacji, kontynuuj dalej. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\User\DANEAP~1\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\UserFrothedAntilogsV2.job => C:\WINDOWS\system32\rundll32.exe#ReconsolidatingSachet.dll S3 filtertdidriver; system32\drivers\ewfiltertdidriver.sys [X] S4 IntelIde; Brak ImagePath S1 mailKmd; Brak ImagePath HKLM\...\Run: [CtrlVol] => C:\Program Files\Launch Manager\CtrlVol.exe HKLM\...\Run: [LaunchAp] => C:\Program Files\Launch Manager\LaunchAp.exe HKLM\...\Run: [Wbutton] => C:\Program Files\Launch Manager\WButton.exe HKLM\...\Run: [WinampAgent] => "C:\Program Files\Winamp\winampa.exe" HKLM\...\Run: [PPort11reminder] => "C:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Dane aplikacji\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini" HKU\S-1-5-21-436374069-261903793-725345543-1004\...\Run: [ares] => "C:\Documents and Settings\User\Pulpit\Ares\Ares.exe" -h HKU\S-1-5-21-436374069-261903793-725345543-1004\...\Run: [Komunikator] => C:\Program Files\Tlen.pl\tlen.exe HKU\S-1-5-21-436374069-261903793-725345543-1004\...\Run: [skype] => "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://wyborcza.pl/0,0.html?p=014 HKU\S-1-5-21-436374069-261903793-725345543-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki" FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Skype RemoveDirectory: C:\Documents and Settings\All Users\Menu Start\Programy\Orange RemoveDirectory: C:\Documents and Settings\All Users\Menu Start\Programy\LetsFun FLV Converter RemoveDirectory: C:\Documents and Settings\User\Dane aplikacji\Skype removeDirectory: C:\Documents and Settings\User\Menu Start\Programy\WorldUnlock Calculator RemoveDirectory: C:\Documents and Settings\User\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\FrothedAntilogs RemoveDirectory: C:\Program Files\Mozilla Firefox\plugins RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Menu Start\Programy\Brother\DCP-195C\Rejestracja On-Line.lnk C:\Documents and Settings\All Users\Menu Start\Programy\K-Lite Codec Pack\Tools\VobSubStrip.lnk C:\Documents and Settings\User\Dane aplikacji\avdrn.dat C:\Documents and Settings\User\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Orange.lnk C:\Documents and Settings\User\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\User\Pulpit\BurnAware-Free-13053-dp.exe C:\Documents and Settings\User\Pulpit\OpenFM.lnk C:\autorun.inf D:\autorun.inf CMD: dir /a C:\ CMD: dir /a D:\ EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowe logi: FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut, oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.

Posługujesz się potwornie starym FRST: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 02-05-2015 (ATTENTION: ====> FRST version is 284 days old and could be outdated) Proszę pobierz najnowszą wersję z przyklejonego i zrób nowe raporty (FRST.txt, Addition.txt, Shortcut.txt): KLIK.

Owszem, widzę tu obiekty adware, które mogą negatywnie wpływać na aktywność sieciową, a konkretnie to sterownik adware WordFly: R1 wafd_1_10_0_18; C:\Windows\System32\drivers\wafd_1_10_0_18.sys [58240 2015-06-04] (WA) Widzę także inne rzeczy: zainstalowany Avast Internet Security (komponent zapory i filtrowanie sieciowe może być problemem), wyłączona za pomocą msconfig usługa Pomoc IP (iphlpsvc), modyfikacja łańcucha sieciowego Winsock przez aplikację WTFast oraz poniższe błędy w Dzienniku zdarzeń: Error: (02/10/2016 10:57:18 PM) (Source: RemoteAccess) (EventID: 20106) (User: ) Description: Nie można dodać interfejsu {8CEEF680-9F03-4C17-8B1D-FC954519B2D2} za pomocą menedżera routerów dla protokołu IPV6. Wystąpił następujący błąd: Nie można ukończyć wykonywania tej funkcji. Error: (02/10/2016 10:57:21 PM) (Source: Microsoft-Windows-EapHost) (EventID: 2002) (User: dom-Komputer) Description: Pomijanie: nie można zweryfikować Eap method DLL path. Błąd: identyfikator typu=43, identyfikator autora=9, identyfikator dostawcy=0, typ dostawcy=0 Error: (02/10/2016 10:57:21 PM) (Source: Microsoft-Windows-EapHost) (EventID: 2002) (User: dom-Komputer) Description: Pomijanie: nie można zweryfikować Eap method DLL path. Błąd: identyfikator typu=25, identyfikator autora=9, identyfikator dostawcy=0, typ dostawcy=0 Error: (02/10/2016 10:57:21 PM) (Source: Microsoft-Windows-EapHost) (EventID: 2002) (User: dom-Komputer) Description: Pomijanie: nie można zweryfikować Eap method DLL path. Błąd: identyfikator typu=17, identyfikator autora=9, identyfikator dostawcy=0, typ dostawcy=0 Na razie usuwanie sterownika adware (i inne drobnostki) i podstawowe resety sieciowe. Wykonaj następujące czynności: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 wafd_1_10_0_18; C:\Windows\System32\drivers\wafd_1_10_0_18.sys [58240 2015-06-04] (WA) S2 wasvc_1.10.0.18; "C:\Program Files (x86)\WordAnchor_1.10.0.18\Service\wasvc.exe" [X] U2 CLKMSVC10_3A60B698; Brak ImagePath U2 CLKMSVC10_C3B3B687; Brak ImagePath U2 DriverService; Brak ImagePath U2 IAStorDataMgrSvc; Brak ImagePath U2 idealife Update Service; Brak ImagePath U3 IGRS; Brak ImagePath U2 IviRegMgr; Brak ImagePath U2 Oasis2Service; Brak ImagePath U2 PCCarerServic; Brak ImagePath U2 ReadyComm.DirectRouter; Brak ImagePath U2 RichVideo; Brak ImagePath U2 SoftwareService; Brak ImagePath S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] U2 Stereo Service; Brak ImagePath Task: {F81DD8F3-27C6-4491-86BD-A1B2CD06C9A5} - System32\Tasks\{F18C6F15-7873-47C8-B290-B385726A7CE4} => pcalua.exe -a C:\Users\dom\Downloads\RegCleaner(dobreprogramy.pl).exe -d C:\Users\dom\Downloads HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-304197070-3302841352-318972171-1001\...\Run: [CyberGhost] => "C:\Program Files\CyberGhost 5\CyberGhost.exe" /autostart /min HKU\S-1-5-21-304197070-3302841352-318972171-1001\...\MountPoints2: {5b9438f9-c1a1-11e5-b14c-f0def199c0f3} - E:\iLinker.exe HKU\S-1-5-21-304197070-3302841352-318972171-1001\...\MountPoints2: {b63de6cf-4376-11e5-b646-f0def199c0f3} - E:\SETUP.EXE HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKU\S-1-5-21-304197070-3302841352-318972171-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-08-01] C:\ProgramData\Microsoft\Windows\GameExplorer\{96C7E72A-7177-4C09-B03F-8F3DFB4AF7E3} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\GTA San Andreas C:\ProgramData\Microsoft\Windows\Start Menu\Programs\San Andreas Multiplayer C:\Users\dom\Desktop\Gry\Grand Theft Auto V.lnk C:\Users\dom\Desktop\Programy\DAEMON Tools Lite.lnk C:\Windows\System32\drivers\wafd_1_10_0_18.sys DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\iphlpsvc DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg query HKLM\System\CurrentControlSet\Services\Eaphost\Methods /s CMD: ipconfig /flushdns CMD: netsh advfirewall reset CMD: netsh int ipv4 reset all CMD: netsh int ipv6 reset all CMD: netsh int httpstunnel reset all CMD: netsh int portproxy reset all CMD: netsh int tcp reset all CMD: netsh winsock reset CMD: sc config iphlpsvc start= auto RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz zmiany.

Skoro AdwCleaner nic nie wykrył, to log nie jest oczywiście potrzebny. Zrób jeszcze jeden skan za pomocą Hitman Pro. Jeśli coś wykryje, dostarcz log wynikowy.

Naprawa Zmiennych przebiegła pomyślnie. Odczyty "Brak pliku" i "Nie można uzyskać dostępu do BCD" zniknęły. Kolejne działania: Uruchom FRST ponownie, w polu Szukaj wklej co poniżej i klik w Szukaj w rejestrze. Dostarcz wynikowy log. {F6BF8414-962C-40FE-90F1-B80A7E72DB9A}

O ile problem nadal aktualny: nie jestem w stanie obejrzeć głównego raportu FRST.txt, link wygasł, więc dostarcz ponownie.

Są tu ślady rozmaitych infekcji: trojan Ropest, infekcja szyfrująca dane CryptoWall (to te "dziwne" pliki, które pokazujesz na obrazku), usługa Tor oraz polityka IP blokującą aktywność sieciową. Jedna z przyczyn nabycia tego miotu to exploity Adobe, a w raporcie widać poważne grzechy. Będę także usuwać szczątki odinstalowanych programów. Działania wstępne do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {08C3216B-74FF-4A82-9238-1F6018AC69B6} - System32\Tasks\{C7D1C61A-A881-4E7A-B7AE-6EE13F6B5F42} => pcalua.exe -a C:\Users\Ewa\Downloads\sp55843.exe -d C:\Users\Ewa\Downloads Task: {0BD089E1-C774-4E66-8A81-966FD3808718} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {570F8FD4-21DD-4B9B-9F4A-FC5763A099B8} - System32\Tasks\Remediation\AntimalwareMigrationTask => C:\Program Files\Common Files\AV\Norton Internet Security\Upgrade.exe [2015-08-06] (Symantec Corporation) Task: {7A01A985-859F-4074-B684-944FD459DE96} - \AdobeFlashPlayerUpdate -> Brak pliku <==== UWAGA Task: {9FDC1A5A-F628-4899-BA7F-C0A7426BB0B1} - System32\Tasks\WSManHTTPConfig => C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\IEUpdate\WSManHTTPConfig.exe <==== UWAGA Task: {A61FA2F7-553F-40D8-8C4E-06B45EE2450A} - System32\Tasks\{5B13B85D-F3F9-4CD4-BBED-60A85CBA1736} => pcalua.exe -a C:\Users\Ewa\Downloads\sp52212.exe -d C:\Users\Ewa\Downloads Task: {C4CCB51D-E46A-4338-A0EB-F4466214C617} - System32\Tasks\Hewlett-Packard\HP Support Assistant\WarrantyChecker_DeviceScan => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPWarrantyCheck\HPWarrantyChecker.exe Task: {DD0067E7-D68E-4F02-AD3B-9D2FCB523D54} - System32\Tasks\Hewlett-Packard\HP Support Assistant\WarrantyChecker_CN29P151HG05SZ => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPWarrantyCheck\HPWarrantyChecker.exe Task: {F082FB45-D1F8-401A-8C8B-985604EEFEE7} - \AdobeFlashPlayerUpdate 2 -> Brak pliku <==== UWAGA Task: {F98C0926-31A3-4AEF-B923-6E10251F54EF} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe R2 tor; C:\Program Files (x86)\Tor\tor.exe [3233806 2013-09-11] () [Brak podpisu cyfrowego] <==== UWAGA S3 hpqwmiex; "C:\Program Files (x86)\Hewlett-Packard\Shared\hpqWmiEx.exe" [X] S2 UPDATESRV; "C:\Program Files\Bitdefender\Bitdefender 2016\updatesrv.exe" /service [X] U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 EraserUtilRebootDrv; \??\C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbfake; system32\DRIVERS\ewusbfake.sys [X] U3 fxldapow; \??\C:/Temp\fxldapow.sys [X] HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{2996d584-b7e4-4160-b873-aef041cfcb50} <======= UWAGA (Ograniczenia - IP) HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-2060724838-3934703078-1233277874-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = Toolbar: HKU\S-1-5-21-2060724838-3934703078-1233277874-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku CHR HKLM-x32\...\Chrome\Extension: [fabcmochhfpldjekobfaaggijgohadih] - hxxps://clients2.google.com/service/update2/crx HKU\S-1-5-21-2060724838-3934703078-1233277874-1000\...\Run: [Bitdefender Wallet Agent] => "C:\Program Files\Bitdefender\Bitdefender 2016\bdwtxag.exe" DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Hewlett-Packard DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Remediation DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\Windows Live RemoveDirectory: C:\Program Files\Common Files\AV\Norton Internet Security RemoveDirectory: C:\Program Files (x86)\Draco - Faktury VAT RemoveDirectory: C:\Program Files (x86)\Internet Mobilny RemoveDirectory: C:\Program Files (x86)\iPlus RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Program Files (x86)\Real RemoveDirectory: C:\Program Files (x86)\Temp RemoveDirectory: C:\Program Files (x86)\Tor RemoveDirectory: C:\Program Files (x86)\Windows Live RemoveDirectory: C:\ProgramData\Internet Mobilny RemoveDirectory: C:\ProgramData\Norton RemoveDirectory: C:\ProgramData\Real RemoveDirectory: C:\ProgramData\RealNetworks RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CcpmSoft RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Draco - Faktury VAT RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Informator RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Online Services RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Users\Ewa\AppData\Local\{1f6a284e-9b30-e06e-d9bb-ea65b9158f30} RemoveDirectory: C:\Users\Ewa\AppData\Local\AVworks RemoveDirectory: C:\Users\Ewa\AppData\Local\Facebook RemoveDirectory: C:\Users\Ewa\AppData\Local\ITKsoft RemoveDirectory: C:\Users\Ewa\AppData\Local\Microsoft\Messenger RemoveDirectory: C:\Users\Ewa\AppData\Local\Microsoft\Windows Live RemoveDirectory: C:\Users\Ewa\AppData\Local\Microsoft\Windows Live Mail RemoveDirectory: C:\Users\Ewa\AppData\Roaming\_MDLogs RemoveDirectory: C:\Users\Ewa\AppData\Roaming\iPlus RemoveDirectory: C:\Users\Ewa\AppData\Roaming\Opera Software RemoveDirectory: C:\Users\Ewa\AppData\Roaming\Real RemoveDirectory: C:\Users\Ewa\AppData\Roaming\RealNetworks RemoveDirectory: C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\IEUpdate RemoveDirectory: C:\Users\Ewa\M-505045204205054050886045405080 RemoveDirectory: C:\Windows\SoftwareDistribution.old RemoveDirectory: C:\Windows\system32\CatRoot2Old RemoveDirectory: C:\Windows\system32\oldcatroot2 RemoveDirectory: C:\Windows\System32\Tasks\Hewlett-Packard RemoveDirectory: C:\Windows\System32\Tasks\Remediation RemoveDirectory: C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Windows Internet Name Service RemoveDirectory: C:\Windows\SysWOW64\dfrg C:\ProgramData\Hewlett-Packard\HP Setup\launchreg.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP Help and Support\HP Connection Manager.lnk C:\Users\Ewa\AppData\Roaming\*.* C:\Users\Ewa\Desktop\GRAFIKI\grafik excel.lnk CMD: netsh advfirewall reset CMD: attrib -r -h -s C:\HELP_DECRYPT.* /s CMD: attrib -r -h -s D:\HELP_DECRYPT.* /s CMD: attrib -r -h -s E:\HELP_DECRYPT.* /s CMD: del /q /s C:\HELP_DECRYPT.* CMD: del /q /s D:\HELP_DECRYPT.* CMD: del /q /s E:\HELP_DECRYPT.* Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Odinstaluj niebezpieczne wersje oraz zbędne programy: Adobe Flash Player 11, Adobe Reader X (10.1.16) MUI, HP Deskjet 3520 series — badanie mające na celu poprawę produktów, SUPERAntiSpyware. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Plik fixlog.txt może być za duży i nie zmieścić się w załączniku, w takiej sytuacji shostuj go gdzieś i podaj link.

Temat idzie do Windows. Brak oznak infekcji. Cytuję z innego tematu: To proces systemowy używany przez system m.in. podczas renderowania miniatur w eksploratorze. Problemy z nim mogą wynikać np. z kodeków. W Twoim przypadku najbardziej prawdopodobne jest, że zawieszenie procesu było powiązane z plikami filmowymi, bo widać w raporcie, że kręciłeś się na tym terenie. Wspominasz "wczoraj" - w tym czasie został utworzony plik MP4: 2016-01-31 18:14 - 2016-01-31 18:14 - 65857762 _____ C:\Users\tomicher\Desktop\lualmi_termy.mp4 2016-01-14 22:58 - 2016-01-14 23:37 - 1645725461 _____ C:\Users\tomicher\Desktop\Chochołowskie Termy DJI_0001.MOV 2016-01-14 22:04 - 2016-01-14 22:25 - 38610948 _____ C:\Users\tomicher\Desktop\lualmi4.mpg 2016-01-13 19:11 - 2016-01-13 19:11 - 29990474 _____ C:\Users\tomicher\Desktop\lualmi1.mp4 2016-01-13 14:24 - 2016-01-13 13:48 - 27213828 _____ C:\Users\tomicher\Desktop\lualmi1.mpg