picasso

Usuwam zbędne logi. Chodziło tylko i wyłącznie o nowy plik Addition. Uruchamianie skryptu absolutnie nie, to jednorazowa naprawa i nie działa po raz drugi. Komentowałam tylko, że zapisałeś plik w złym kodowaniu. Adware pomyślnie usunięte. Mam dodatkowe pytanie: pojawiła się nowa aplikacja IMVU Avatar Chat Software - czy to celowa instalacja? Ten program może być instalowany w niechciany sposób.

Skrypt FRST pomyślnie wykonany. Narzędzie SFC nie wykryło problemów. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Adware nie jest wyczyszczone dobrze, nadal jest aktywny sterownik WordFly. Jeśli chodzi o brak dostępu do internetu, to przypuszczalną przyczyną może być uszkodzenie łańcucha Winsock, pomimo że log FRST nie pokazuje tej usterki, a typuję to po obecności kilku plików na dysku które są wpuszczane z adware modyfikującym Winsock. Dodatkowo, plik systemowy dnsapi.dll był odświeżany co dopiero, co wskazuje na to, że była też infekcja w tym pliku i jest niejasne w jaki sposób go naprawiano. Tym wszystkim się zajmę. Natomiast uszkodzenie Recovery to osobna sprawa, nie wiem czy da się coś w tej kwestii zrobić, nie jestem pewna co się stało, że przy anulowaniu rozwaliło system. Wstępnie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) R1 wfdrvr_vt_1_10_0_28; C:\Windows\System32\drivers\wfdrvr_vt_1_10_0_28.sys [61296 2015-10-30] (WF) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] Task: {5BF71ACE-D8AD-4BA8-9293-95E1CA325D89} - System32\Tasks\Cigif => C:\PROGRA~1\GROOVE~1\Lursic.bat Task: {85665E16-C27C-4287-9AC6-549AB492567D} - System32\Tasks\WordFly Auto Updater 1.10.0.28 Core => C:\Program Files (x86)\WordFly_1.10.0.28\Update\WordflyAutoUpdateClient.exe <==== UWAGA Task: {9D0FD961-9A58-4B71-8FC5-1AFF71C8DA7D} - System32\Tasks\WordFly Auto Updater 1.10.0.28 Pending Update => C:\Program Files (x86)\WordFly_1.10.0.28\Update\WordflyAutoUpdateClient.exe <==== UWAGA Task: {B11FC049-05CA-4A1D-A9A1-1E04707D25CF} - System32\Tasks\{92A49F2D-8053-4C77-9839-6D0287C6CC43} => pcalua.exe -a D:\drivers\VGA_nVidia_WIN7_32_z817125741\setup.exe -d D:\drivers\VGA_nVidia_WIN7_32_z817125741 GroupPolicy: Ograniczenia - Chrome <======= UWAGA GroupPolicyUsers\S-1-5-21-3343506224-3256486555-700229984-1003\User: Ograniczenia <======= UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-3343506224-3256486555-700229984-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-3343506224-3256486555-700229984-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=hp&ts=1434908967&z=6f306756d3dd5d16bf528edg6zcc3z0tce9b9t3q2w&from=cmi&uid=ST9500325AS_5VEC8KP1XXXX5VEC8KP1 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\apphide DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\baidu RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Users\ASUS\AppData\Local\10002 RemoveDirectory: C:\Users\ASUS\AppData\Local\Call Download RemoveDirectory: C:\Users\ASUS\AppData\Roaming\E0813030-1432553686-FA90-8A80-14DAE92F0F8F RemoveDirectory: C:\Users\ASUS\AppData\Roaming\E0813030-1434900597-FA90-8A80-14DAE92F0F8F RemoveDirectory: C:\Users\ASUS\AppData\Roaming\NetService RemoveDirectory: C:\Users\ASUS\AppData\Roaming\Soft-4-Free.com RemoveDirectory: C:\Users\ASUS\AppData\Roaming\WarThunder C:\Users\ASUS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\ASUS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Windows\system32\TinpuatbuOff.ini C:\Windows\System32\drivers\wfdrvr_vt_1_10_0_28.sys C:\Windows\SysWOW64\Tinpuatbu.ini C:\Windows\SysWOW64\TinpuatbuOff.ini CMD: netsh advfirewall reset CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom sprawdzanie sfc /scannow i wyprodukuj przefiltrowany log sfc.txt: KLIK. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\ASUS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt i sfc.txt. Wypowiedz się czy nastąpiła poprawa.

Adware nabyte podczas pobierania WinRAR przy udziale "Asystenta pobierania" dobreprogramy.pl: KLIK. Zaimplementowane via Harmonogram zadań, stąd żadne akcje na poziomie przeglądarki nie pomagają. Aktywność globalna widoczna w obojętnej przeglądarce. Działania do przeprowadzenia: 1. Deinstalacje: - Odinstaluj zbędne programy: Acer Games, eBay Worldwide, Norton Online Backup, Pokki Start Menu. Acer Games (z grupy Pokki) i tak jest naruszony, prawdopodobnie przez AdwCleaner. Przy okazji przejrzyj listę i pozbądź się nieużywanych aplikacji. - Jest tu aktywny niepoprawnie odinstalowany McAfee. Zastosuj McAfee Consumer Product Removal Tool. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {D4897DA7-A490-4F4B-90C3-AE11C46F53B7} - System32\Tasks\StoeckleOnboardOverattentivenessV2 => Rundll32.exe MossCrisping.dll,main 7 1 RemoveDirectory: C:\Users\Stoeckle\AppData\Local\OnboardOverattentiveness C:\Users\Stoeckle\Downloads\*-dp*.* GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres adware isearch.omiga-plus.com, przestaw na "Otwórz stronę nowej karty" 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Krytyczny stan aktualizacji systemu: brak SP3 + IE8 i reszty łat, niebezpieczne wersje Adobe i Java zainstalowane. W związku ze stanem systemem tu są ślady innych infekcji spoza adware. Widoczne następujące problemy: - To zachowanie dysków to jest konsekwencja infekcji z mediów przenośnych USB. Nabyłeś wirusa Sality, który infekuje wszystkie pliki wykonywalne na wszystkich dyskach. Sality uszkodził także Tryb awaryjny Windows. Wirus Sality nie wygląda na aktywny (brak sterownika i jego czynności w GMER), ale nie wiadomo ile zdewastował i czy są geny wirusa w jakiś programach. Może się okazać, że jest konieczny format całego dysku. - A tytułowy problem PriceFountain owszem pochodzi z "Asystenta pobierania" dobrychprogramów, ale przy wirusie Sality to pikuś. To prosta infekcja uruchamiana przez Harmonogram zadań. Wstępnie: 1. Zrób skan za pomocą SalityKiller. Jeśli wykryje zarażone pliki, powtarzasz skan, do momentu gdy zwrotem będzie zero zainfekowanych. 2. Pobierz Sality_RegKeys.zip. Rozpakuj i uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 3. Odinstaluj stare wersje: Adobe Flash Player 9 ActiveX, Adobe Reader 8 - Polish, Java™ 6 Update 24, OpenOffice.org 3.3, Orange Free (uszkodzony), Real Alternative 1.8.0. Również Mozilla Maintenance Service - to nie jest stara wersja, ale program jest naruszony przez wirusa Sality. Jeśli wystąpią problemy przy deinstalacji, kontynuuj dalej. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\User\DANEAP~1\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\UserFrothedAntilogsV2.job => C:\WINDOWS\system32\rundll32.exe#ReconsolidatingSachet.dll S3 filtertdidriver; system32\drivers\ewfiltertdidriver.sys [X] S4 IntelIde; Brak ImagePath S1 mailKmd; Brak ImagePath HKLM\...\Run: [CtrlVol] => C:\Program Files\Launch Manager\CtrlVol.exe HKLM\...\Run: [LaunchAp] => C:\Program Files\Launch Manager\LaunchAp.exe HKLM\...\Run: [Wbutton] => C:\Program Files\Launch Manager\WButton.exe HKLM\...\Run: [WinampAgent] => "C:\Program Files\Winamp\winampa.exe" HKLM\...\Run: [PPort11reminder] => "C:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Dane aplikacji\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini" HKU\S-1-5-21-436374069-261903793-725345543-1004\...\Run: [ares] => "C:\Documents and Settings\User\Pulpit\Ares\Ares.exe" -h HKU\S-1-5-21-436374069-261903793-725345543-1004\...\Run: [Komunikator] => C:\Program Files\Tlen.pl\tlen.exe HKU\S-1-5-21-436374069-261903793-725345543-1004\...\Run: [skype] => "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://wyborcza.pl/0,0.html?p=014 HKU\S-1-5-21-436374069-261903793-725345543-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki" FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Skype RemoveDirectory: C:\Documents and Settings\All Users\Menu Start\Programy\Orange RemoveDirectory: C:\Documents and Settings\All Users\Menu Start\Programy\LetsFun FLV Converter RemoveDirectory: C:\Documents and Settings\User\Dane aplikacji\Skype removeDirectory: C:\Documents and Settings\User\Menu Start\Programy\WorldUnlock Calculator RemoveDirectory: C:\Documents and Settings\User\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\FrothedAntilogs RemoveDirectory: C:\Program Files\Mozilla Firefox\plugins RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Menu Start\Programy\Brother\DCP-195C\Rejestracja On-Line.lnk C:\Documents and Settings\All Users\Menu Start\Programy\K-Lite Codec Pack\Tools\VobSubStrip.lnk C:\Documents and Settings\User\Dane aplikacji\avdrn.dat C:\Documents and Settings\User\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Orange.lnk C:\Documents and Settings\User\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\User\Pulpit\BurnAware-Free-13053-dp.exe C:\Documents and Settings\User\Pulpit\OpenFM.lnk C:\autorun.inf D:\autorun.inf CMD: dir /a C:\ CMD: dir /a D:\ EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowe logi: FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut, oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.

Posługujesz się potwornie starym FRST: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 02-05-2015 (ATTENTION: ====> FRST version is 284 days old and could be outdated) Proszę pobierz najnowszą wersję z przyklejonego i zrób nowe raporty (FRST.txt, Addition.txt, Shortcut.txt): KLIK.

Owszem, widzę tu obiekty adware, które mogą negatywnie wpływać na aktywność sieciową, a konkretnie to sterownik adware WordFly: R1 wafd_1_10_0_18; C:\Windows\System32\drivers\wafd_1_10_0_18.sys [58240 2015-06-04] (WA) Widzę także inne rzeczy: zainstalowany Avast Internet Security (komponent zapory i filtrowanie sieciowe może być problemem), wyłączona za pomocą msconfig usługa Pomoc IP (iphlpsvc), modyfikacja łańcucha sieciowego Winsock przez aplikację WTFast oraz poniższe błędy w Dzienniku zdarzeń: Error: (02/10/2016 10:57:18 PM) (Source: RemoteAccess) (EventID: 20106) (User: ) Description: Nie można dodać interfejsu {8CEEF680-9F03-4C17-8B1D-FC954519B2D2} za pomocą menedżera routerów dla protokołu IPV6. Wystąpił następujący błąd: Nie można ukończyć wykonywania tej funkcji. Error: (02/10/2016 10:57:21 PM) (Source: Microsoft-Windows-EapHost) (EventID: 2002) (User: dom-Komputer) Description: Pomijanie: nie można zweryfikować Eap method DLL path. Błąd: identyfikator typu=43, identyfikator autora=9, identyfikator dostawcy=0, typ dostawcy=0 Error: (02/10/2016 10:57:21 PM) (Source: Microsoft-Windows-EapHost) (EventID: 2002) (User: dom-Komputer) Description: Pomijanie: nie można zweryfikować Eap method DLL path. Błąd: identyfikator typu=25, identyfikator autora=9, identyfikator dostawcy=0, typ dostawcy=0 Error: (02/10/2016 10:57:21 PM) (Source: Microsoft-Windows-EapHost) (EventID: 2002) (User: dom-Komputer) Description: Pomijanie: nie można zweryfikować Eap method DLL path. Błąd: identyfikator typu=17, identyfikator autora=9, identyfikator dostawcy=0, typ dostawcy=0 Na razie usuwanie sterownika adware (i inne drobnostki) i podstawowe resety sieciowe. Wykonaj następujące czynności: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 wafd_1_10_0_18; C:\Windows\System32\drivers\wafd_1_10_0_18.sys [58240 2015-06-04] (WA) S2 wasvc_1.10.0.18; "C:\Program Files (x86)\WordAnchor_1.10.0.18\Service\wasvc.exe" [X] U2 CLKMSVC10_3A60B698; Brak ImagePath U2 CLKMSVC10_C3B3B687; Brak ImagePath U2 DriverService; Brak ImagePath U2 IAStorDataMgrSvc; Brak ImagePath U2 idealife Update Service; Brak ImagePath U3 IGRS; Brak ImagePath U2 IviRegMgr; Brak ImagePath U2 Oasis2Service; Brak ImagePath U2 PCCarerServic; Brak ImagePath U2 ReadyComm.DirectRouter; Brak ImagePath U2 RichVideo; Brak ImagePath U2 SoftwareService; Brak ImagePath S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] U2 Stereo Service; Brak ImagePath Task: {F81DD8F3-27C6-4491-86BD-A1B2CD06C9A5} - System32\Tasks\{F18C6F15-7873-47C8-B290-B385726A7CE4} => pcalua.exe -a C:\Users\dom\Downloads\RegCleaner(dobreprogramy.pl).exe -d C:\Users\dom\Downloads HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-304197070-3302841352-318972171-1001\...\Run: [CyberGhost] => "C:\Program Files\CyberGhost 5\CyberGhost.exe" /autostart /min HKU\S-1-5-21-304197070-3302841352-318972171-1001\...\MountPoints2: {5b9438f9-c1a1-11e5-b14c-f0def199c0f3} - E:\iLinker.exe HKU\S-1-5-21-304197070-3302841352-318972171-1001\...\MountPoints2: {b63de6cf-4376-11e5-b646-f0def199c0f3} - E:\SETUP.EXE HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKU\S-1-5-21-304197070-3302841352-318972171-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-08-01] C:\ProgramData\Microsoft\Windows\GameExplorer\{96C7E72A-7177-4C09-B03F-8F3DFB4AF7E3} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\GTA San Andreas C:\ProgramData\Microsoft\Windows\Start Menu\Programs\San Andreas Multiplayer C:\Users\dom\Desktop\Gry\Grand Theft Auto V.lnk C:\Users\dom\Desktop\Programy\DAEMON Tools Lite.lnk C:\Windows\System32\drivers\wafd_1_10_0_18.sys DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\iphlpsvc DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg query HKLM\System\CurrentControlSet\Services\Eaphost\Methods /s CMD: ipconfig /flushdns CMD: netsh advfirewall reset CMD: netsh int ipv4 reset all CMD: netsh int ipv6 reset all CMD: netsh int httpstunnel reset all CMD: netsh int portproxy reset all CMD: netsh int tcp reset all CMD: netsh winsock reset CMD: sc config iphlpsvc start= auto RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz zmiany.

Skoro AdwCleaner nic nie wykrył, to log nie jest oczywiście potrzebny. Zrób jeszcze jeden skan za pomocą Hitman Pro. Jeśli coś wykryje, dostarcz log wynikowy.

Naprawa Zmiennych przebiegła pomyślnie. Odczyty "Brak pliku" i "Nie można uzyskać dostępu do BCD" zniknęły. Kolejne działania: Uruchom FRST ponownie, w polu Szukaj wklej co poniżej i klik w Szukaj w rejestrze. Dostarcz wynikowy log. {F6BF8414-962C-40FE-90F1-B80A7E72DB9A}

O ile problem nadal aktualny: nie jestem w stanie obejrzeć głównego raportu FRST.txt, link wygasł, więc dostarcz ponownie.

Są tu ślady rozmaitych infekcji: trojan Ropest, infekcja szyfrująca dane CryptoWall (to te "dziwne" pliki, które pokazujesz na obrazku), usługa Tor oraz polityka IP blokującą aktywność sieciową. Jedna z przyczyn nabycia tego miotu to exploity Adobe, a w raporcie widać poważne grzechy. Będę także usuwać szczątki odinstalowanych programów. Działania wstępne do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {08C3216B-74FF-4A82-9238-1F6018AC69B6} - System32\Tasks\{C7D1C61A-A881-4E7A-B7AE-6EE13F6B5F42} => pcalua.exe -a C:\Users\Ewa\Downloads\sp55843.exe -d C:\Users\Ewa\Downloads Task: {0BD089E1-C774-4E66-8A81-966FD3808718} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {570F8FD4-21DD-4B9B-9F4A-FC5763A099B8} - System32\Tasks\Remediation\AntimalwareMigrationTask => C:\Program Files\Common Files\AV\Norton Internet Security\Upgrade.exe [2015-08-06] (Symantec Corporation) Task: {7A01A985-859F-4074-B684-944FD459DE96} - \AdobeFlashPlayerUpdate -> Brak pliku <==== UWAGA Task: {9FDC1A5A-F628-4899-BA7F-C0A7426BB0B1} - System32\Tasks\WSManHTTPConfig => C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\IEUpdate\WSManHTTPConfig.exe <==== UWAGA Task: {A61FA2F7-553F-40D8-8C4E-06B45EE2450A} - System32\Tasks\{5B13B85D-F3F9-4CD4-BBED-60A85CBA1736} => pcalua.exe -a C:\Users\Ewa\Downloads\sp52212.exe -d C:\Users\Ewa\Downloads Task: {C4CCB51D-E46A-4338-A0EB-F4466214C617} - System32\Tasks\Hewlett-Packard\HP Support Assistant\WarrantyChecker_DeviceScan => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPWarrantyCheck\HPWarrantyChecker.exe Task: {DD0067E7-D68E-4F02-AD3B-9D2FCB523D54} - System32\Tasks\Hewlett-Packard\HP Support Assistant\WarrantyChecker_CN29P151HG05SZ => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPWarrantyCheck\HPWarrantyChecker.exe Task: {F082FB45-D1F8-401A-8C8B-985604EEFEE7} - \AdobeFlashPlayerUpdate 2 -> Brak pliku <==== UWAGA Task: {F98C0926-31A3-4AEF-B923-6E10251F54EF} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe R2 tor; C:\Program Files (x86)\Tor\tor.exe [3233806 2013-09-11] () [Brak podpisu cyfrowego] <==== UWAGA S3 hpqwmiex; "C:\Program Files (x86)\Hewlett-Packard\Shared\hpqWmiEx.exe" [X] S2 UPDATESRV; "C:\Program Files\Bitdefender\Bitdefender 2016\updatesrv.exe" /service [X] U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 EraserUtilRebootDrv; \??\C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbfake; system32\DRIVERS\ewusbfake.sys [X] U3 fxldapow; \??\C:/Temp\fxldapow.sys [X] HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{2996d584-b7e4-4160-b873-aef041cfcb50} <======= UWAGA (Ograniczenia - IP) HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-2060724838-3934703078-1233277874-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = Toolbar: HKU\S-1-5-21-2060724838-3934703078-1233277874-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku CHR HKLM-x32\...\Chrome\Extension: [fabcmochhfpldjekobfaaggijgohadih] - hxxps://clients2.google.com/service/update2/crx HKU\S-1-5-21-2060724838-3934703078-1233277874-1000\...\Run: [Bitdefender Wallet Agent] => "C:\Program Files\Bitdefender\Bitdefender 2016\bdwtxag.exe" DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Hewlett-Packard DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Remediation DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\Windows Live RemoveDirectory: C:\Program Files\Common Files\AV\Norton Internet Security RemoveDirectory: C:\Program Files (x86)\Draco - Faktury VAT RemoveDirectory: C:\Program Files (x86)\Internet Mobilny RemoveDirectory: C:\Program Files (x86)\iPlus RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Program Files (x86)\Real RemoveDirectory: C:\Program Files (x86)\Temp RemoveDirectory: C:\Program Files (x86)\Tor RemoveDirectory: C:\Program Files (x86)\Windows Live RemoveDirectory: C:\ProgramData\Internet Mobilny RemoveDirectory: C:\ProgramData\Norton RemoveDirectory: C:\ProgramData\Real RemoveDirectory: C:\ProgramData\RealNetworks RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CcpmSoft RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Draco - Faktury VAT RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Informator RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Online Services RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Users\Ewa\AppData\Local\{1f6a284e-9b30-e06e-d9bb-ea65b9158f30} RemoveDirectory: C:\Users\Ewa\AppData\Local\AVworks RemoveDirectory: C:\Users\Ewa\AppData\Local\Facebook RemoveDirectory: C:\Users\Ewa\AppData\Local\ITKsoft RemoveDirectory: C:\Users\Ewa\AppData\Local\Microsoft\Messenger RemoveDirectory: C:\Users\Ewa\AppData\Local\Microsoft\Windows Live RemoveDirectory: C:\Users\Ewa\AppData\Local\Microsoft\Windows Live Mail RemoveDirectory: C:\Users\Ewa\AppData\Roaming\_MDLogs RemoveDirectory: C:\Users\Ewa\AppData\Roaming\iPlus RemoveDirectory: C:\Users\Ewa\AppData\Roaming\Opera Software RemoveDirectory: C:\Users\Ewa\AppData\Roaming\Real RemoveDirectory: C:\Users\Ewa\AppData\Roaming\RealNetworks RemoveDirectory: C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\IEUpdate RemoveDirectory: C:\Users\Ewa\M-505045204205054050886045405080 RemoveDirectory: C:\Windows\SoftwareDistribution.old RemoveDirectory: C:\Windows\system32\CatRoot2Old RemoveDirectory: C:\Windows\system32\oldcatroot2 RemoveDirectory: C:\Windows\System32\Tasks\Hewlett-Packard RemoveDirectory: C:\Windows\System32\Tasks\Remediation RemoveDirectory: C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Windows Internet Name Service RemoveDirectory: C:\Windows\SysWOW64\dfrg C:\ProgramData\Hewlett-Packard\HP Setup\launchreg.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP Help and Support\HP Connection Manager.lnk C:\Users\Ewa\AppData\Roaming\*.* C:\Users\Ewa\Desktop\GRAFIKI\grafik excel.lnk CMD: netsh advfirewall reset CMD: attrib -r -h -s C:\HELP_DECRYPT.* /s CMD: attrib -r -h -s D:\HELP_DECRYPT.* /s CMD: attrib -r -h -s E:\HELP_DECRYPT.* /s CMD: del /q /s C:\HELP_DECRYPT.* CMD: del /q /s D:\HELP_DECRYPT.* CMD: del /q /s E:\HELP_DECRYPT.* Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Odinstaluj niebezpieczne wersje oraz zbędne programy: Adobe Flash Player 11, Adobe Reader X (10.1.16) MUI, HP Deskjet 3520 series — badanie mające na celu poprawę produktów, SUPERAntiSpyware. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Plik fixlog.txt może być za duży i nie zmieścić się w załączniku, w takiej sytuacji shostuj go gdzieś i podaj link.

Temat idzie do Windows. Brak oznak infekcji. Cytuję z innego tematu: To proces systemowy używany przez system m.in. podczas renderowania miniatur w eksploratorze. Problemy z nim mogą wynikać np. z kodeków. W Twoim przypadku najbardziej prawdopodobne jest, że zawieszenie procesu było powiązane z plikami filmowymi, bo widać w raporcie, że kręciłeś się na tym terenie. Wspominasz "wczoraj" - w tym czasie został utworzony plik MP4: 2016-01-31 18:14 - 2016-01-31 18:14 - 65857762 _____ C:\Users\tomicher\Desktop\lualmi_termy.mp4 2016-01-14 22:58 - 2016-01-14 23:37 - 1645725461 _____ C:\Users\tomicher\Desktop\Chochołowskie Termy DJI_0001.MOV 2016-01-14 22:04 - 2016-01-14 22:25 - 38610948 _____ C:\Users\tomicher\Desktop\lualmi4.mpg 2016-01-13 19:11 - 2016-01-13 19:11 - 29990474 _____ C:\Users\tomicher\Desktop\lualmi1.mp4 2016-01-13 14:24 - 2016-01-13 13:48 - 27213828 _____ C:\Users\tomicher\Desktop\lualmi1.mpg

W raportach nie widać żadnych oznak infekcji. Czy problem tych zgłoszeń nadal występuje? PS. Odinstaluj bardzo stary Adobe AIR oraz program wątpliwej reputacji Dll-Files.com Fixer wersja 3.0.81.2643.

Sterowniki Kasperskiego zostały pomyślnie usunięte. I ja w raportach nie widzę przyczyny dla opisywanego zachowania... Spróbuj jeszcze przeinstalować Avast: najpierw usuń go normalnie via Panel sterowania, następnie w Trybie awaryjnym zastosuj Avast Uninstall Utility. Podaj rezultaty.

Konkretnie, co i gdzie widzisz, jakie błędy? Wspominane komponenty są w stanie "uruchomiono": R2 MsMpSvc; c:\Program Files\Microsoft Security Client\MsMpEng.exe [23816 2015-04-30] (Microsoft Corporation) S3 NisSrv; c:\Program Files\Microsoft Security Client\NisSrv.exe [366544 2015-04-30] (Microsoft Corporation) R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation) R0 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [280376 2015-03-04] (Microsoft Corporation) S3 NisDrv; C:\Windows\System32\DRIVERS\NisDrvWFP.sys [124568 2015-03-04] (Microsoft Corporation) Zapora systemu Windows [funkcja włączona] Jedyne co tu widzę powiązanego, to poniższy błąd w Dzienniku zdarzeń. I widzę, że już ręcznie próbowałeś ładować sygnatury, na dysku jest plik mpam-feX64.exe. Jaki błąd podczas ich instalacji otrzymałeś? Dziennik System: ============= Error: (02/02/2016 08:06:26 AM) (Source: Microsoft Antimalware) (EventID: 2001) (User: ) Description: Produkt %ZARZĄDZANIE NT60 napotkał błąd podczas próby aktualizacji podpisów. Nowa wersja podpisu: Poprzednia wersja podpisu: 0.0.0.0 Źródło aktualizacji: %ZARZĄDZANIE NT51 Etap aktualizacji: 4.8.0204.00 Ścieżka źródła: 4.8.0204.01 Typ podpisu: %ZARZĄDZANIE NT602 Typ aktualizacji: %ZARZĄDZANIE NT604 Użytkownik: ZARZĄDZANIE NT\USŁUGA SIECIOWA Bieżąca wersja aparatu: %ZARZĄDZANIE NT605 Poprzednia wersja aparatu: %ZARZĄDZANIE NT606 Kod błędu: %ZARZĄDZANIE NT607 Opis błędu: %ZARZĄDZANIE NT608 Nic tu nie wskazuje na problem czynnej infekcji, choć widzę na dysku dwa podejrzane ukryte foldery "numeryczne". Wstępnie: 1. Drobny skrypt czyszczący do wykonania. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {3AAE17F6-87EE-4088-8CBF-547677F5DC05} - \Windows -> Brak pliku <==== UWAGA U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 cpuz135; \??\C:\Users\Bartek\Desktop\pc-wizard_2012.2.11\pcwiz_x64.sys [X] GroupPolicy: Ograniczenia - Chrome <======= UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-4060467696-4152469294-1706288102-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSSE HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSSE HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-4060467696-4152469294-1706288102-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-4060467696-4152469294-1706288102-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSSE SearchScopes: HKU\S-1-5-21-4060467696-4152469294-1706288102-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4060467696-4152469294-1706288102-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main Folder: C:\ProgramData\621377 Folder: C:\ProgramData\621477 C:\ProgramData\621377 C:\ProgramData\621477 C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Haali Media Splitter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan C:\Users\Bartek\AppData\Roaming\appdataFr2.bin C:\Users\Bartek\Desktop\Inne\*.lnk CMD: netsh advfirewall reset RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowe logi: FRST z opcji Skanuj (Scan), ponownie z Addition, oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.

jessica GreatDeals tworzy właśnie fałszywa przeglądarka chroomium Browser. Trik polega na tym, że zostały przekierowane skróty normalnego Google Chrome na fałszywą przeglądarkę. Użytkownik myśli, że uruchamia Google Chrome, a uruchamia się imitacja Google Chrome z wbudowanym adware. Komponenty profilu fałszywej przeglądarki nie są widoczne w raporcie FRST, gdyż FRST skanuje tylko i wyłącznie profil normalnego Google (%localappdata%\Google\Chrome) a nie jego klonów (w tym przypadku %localappdata%\chroomium). Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\chroomium Browser\chroomium\chrome.exe (The chroomium Authors) Shortcut: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\chroomium Browser\chroomium\chrome.exe (The chroomium Authors) Shortcut: C:\Users\Sara\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\chroomium Browser\chroomium\chrome.exe (The chroomium Authors) Shortcut: C:\Users\Sara\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\chroomium Browser\chroomium\chrome.exe (The chroomium Authors) Shortcut: C:\Users\Sara\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\chroomium Browser\chroomium\chrome.exe (The chroomium Authors) PS. AdwCleaner to już był stosowany, widać to w logu. I zaktualizuj sobie też "wklejki" - w AdwCleaner od dawna polska opcja to "Skanuj" a nie "Szukaj". Powycinałam też ze skryptu powielenia. Np. skoro przetwarzasz linie "Task:", to nie przetwarzaj linii z FRST.txt kierującej na te same pliki C:\Windows\system32\Tasks:

Nie widzę śladów tej infekcji, poza dodanymi wtórnie plikami związanymi z szyfrowaniem. Ale system wymagałby dużych interwencji i masowych porządków. Jest tu system XP w fatalnym stanie: krytyczna ilość wolnego miejsca na dysku, masa starych programów (a archaiczne wersje Adobe z lukami to prawie na pewno była przyczyna infekcji), różne naruszenia np. Winsock i ogólny śmietnik. Mogę się oczywiście podjąć tej roboty, ale moim zdaniem nie opłaca się. Tu szybciej i z lepszymi efektami zostałby wdrożony kompleksowy format, który usunąłby zresztą wszystkie skutki tej infekcji na partycji C. Druga sprawa: czy jest szansa na wymianę systemu XP nowszym?

Temat nie został zgłoszony w przyklejonym temacie "Zgłoszenia tematów bez odpowiedzi", więc nie wiem czy nadal aktualny. Jeśli nadal aktualny, to dostarcz świeże raporty FRST. Z tego co widzę w starych, to w starcie jest taki oto obiekt malware: InternetURL: C:\Users\pomyk_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dfgbvweer.eu.url -> file:///C:\ProgramData\ererwerr\dfgbvweer.exe Zajmę się tym oraz innymi śmieciami po otrzymaniu nowych logów.

Nie odinstalowałeś wskazanych programów i to nadal aktualne. Poza tym wszystko gładko wykonane i nie widać już żadnych jawnych oznak infekcji. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Autodesk udostępnia darmowe nowoczesne przeglądarki: A360 Viewer (online) lub DWG TrueView (do instalacji). U Ciebie widzę zainstalowaną strasznie starą wersję z ... 2006 (!): Autodesk DWF Viewer 7 (HKLM-x32\...\{9A346205-EA92-4406-B1AB-50379DA3F057}) (Version: 7.0.0 - Autodesk, Inc.) Pozbądź się jej i nie instaluj takich archaicznych programów na nowoczesnym Windows 10.

Problemem jest wyłączona usługa Instrumentacja zarządzania Windows, niezbędna do działania Centrum zabezpieczeń, Zapory systemu, Przywracania systemu i paru innych. Error: (12/28/2015 08:29:08 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Centrum zabezpieczeń zależy od usługi Instrumentacja zarządzania Windows, której nie można uruchomić z powodu następującego błędu: %%1058 winmgmt Service is not running. Checking service configuration: The start type of winmgmt service is set to Disabled. The default start type is Auto. The ImagePath of winmgmt: "%systemroot%\system32\svchost.exe -k netsvcs". The ServiceDll of winmgmt service is OK. Ustawię Automatyczny start usługi. Przy okazji usunę śmieci powstałe z aktualizacji do Windows 10 oraz drobne szczątki adware. Operacja do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: sc config winmgmt start= auto CMD: netsh advfirewall reset Task: {001A9B8F-4182-479A-84A5-7E7782125FAD} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {0171F0B8-02B1-46F2-B752-55088CDB7FB2} - System32\Tasks\SidebarExecute => C:\Program Files\Windows Sidebar\sidebar.exe Task: {0D70F1F7-8F7A-4F75-91D5-E59D2DA3BF34} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {0EC8D4FC-8D80-43B0-B4B8-73DEF9BC9AA0} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {0FACC785-4059-4998-B0F7-1AAFAA5E4C65} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {17923074-153A-48E5-85DB-56562CB1E765} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {1F2EDF92-EA41-456E-8C27-DD95D2F40854} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {2375E01A-8C55-4B80-8C63-33A29BC86D55} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {251DF3B5-CEAD-44A3-82E9-D56C783BA1B8} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {27F51064-1243-4730-B0EF-710912A4341C} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {28F2296C-89F4-46BF-B517-C74E97C7F175} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {2A2FA7BA-FA95-4EE9-8273-D4CB36524AA5} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {2AF6B35B-F81F-4AB6-9FD8-F9CCBD87D941} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {34642866-B291-4F68-B009-1E52014BFB1B} - System32\Tasks\{39880C34-AE18-408C-B021-2FA1659492C3} => pcalua.exe -a "C:\Program Files (x86)\Corel\Corel Paint Shop Pro Photo X2 - Installation Files\setup.exe" -d "C:\Program Files (x86)\Corel\Corel Paint Shop Pro Photo X2 - Installation Files" Task: {3A0BC6C5-D737-4DF5-ACCF-9570FD0E6124} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {3C5915DE-427C-42EB-9522-637D2BA4C9DC} - System32\Tasks\{646D268F-0B09-426D-B262-394C57AA8ADF} => pcalua.exe -a "C:\Users\Kasiarzynka\Desktop\ZOO_TYCOON_2_PL\ZOO 2 PL - dodatki\Zoo_Tycoon_2_Addon_Hotfix.exe" -d "C:\Users\Kasiarzynka\Desktop\ZOO_TYCOON_2_PL\ZOO 2 PL - dodatki" Task: {406D9FE1-A2D8-4B55-B3DB-4F221BDA6035} - System32\Tasks\{C8D26D62-1F22-4681-B2FC-3F2FFB660B79} => pcalua.exe -a "C:\Users\Kasiarzynka\Desktop\Adobe\Photoshop Lightroom 5.7.1\Install Lightroom 5.exe" -d "C:\Users\Kasiarzynka\Desktop\Adobe\Photoshop Lightroom 5.7.1" Task: {41263DDF-FA58-4CC3-82FB-023869D94518} - System32\Tasks\SONY\VAIO Wallpaper Setting Tool\VAIO Wallpaper Setting Tool => C:\Program Files (x86)\Sony\VAIO Wallpaper Setting Tool\VWSet.exe Task: {440446B4-2DEE-4B2E-9972-3E9929ECD746} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {49140EB1-1735-4C0B-B1C5-F9FF231892ED} - System32\Tasks\{B1948F05-A0A9-42B5-86D7-E3D37A18C731} => pcalua.exe -a C:\Users\Kasiarzynka\Desktop\ZOO_TYCOON_2_PL\Zoo_Tycoon_2_Addon_Hotfix.exe -d C:\Users\Kasiarzynka\Desktop\ZOO_TYCOON_2_PL Task: {61E815B3-9DEC-4B5F-9C55-C276E63F1CEE} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {677978DD-C171-480A-A88F-F60282A6A391} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {6AA45898-3DCD-46C7-B452-B46FBA8C6FD9} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {77B68D9E-83D1-489D-AC44-57423AE2EA09} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {7D1BA18F-DD11-4A40-8A6E-A51CE750D50A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {809B4B14-8500-4F18-8676-9C1BD0350FBF} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {88A806D1-A3BA-4DFD-8565-5DED618B8870} - System32\Tasks\HPCeeScheduleForKasiarzynka => C:\Program Files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe Task: {940299DD-F528-4962-A88A-57F22ADCBB7A} - System32\Tasks\{940F26B3-C83D-4E2C-8048-96CAD8D8F0F0} => pcalua.exe -a D:\directx\dxsetup.exe -d D:\directx Task: {94FA0432-5102-4B8B-8E62-B04E5610FC21} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {9A506955-AC9C-4EDA-91C4-B7631387EA2B} - System32\Tasks\{AEEF624B-C476-4C06-BED1-8732CC3DCE47} => pcalua.exe -a C:\Users\Kasiarzynka\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor Task: {9AE89564-9106-43F4-AA24-77F307FD7E81} - System32\Tasks\{A8BD7A6B-90FC-49CC-9B96-0473C54BE8A2} => pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{F9657EF6-C156-4CE9-A0A2-562CD3E94842}\Setup.exe" -d "C:\Program Files (x86)\Eidos Interactive\Beach Life" Task: {9BC3C1A1-FC1C-4331-8E61-7D4F6A573D3E} - System32\Tasks\{107F1BD6-05A3-459B-9E57-60FBEC1B03CC} => pcalua.exe -a "F:\Corel Paint Shop Pro Photo X2 v12.01 CZ PL\PSPP12_Corel_TBYB_CZ_PL_ESD\setup.exe" -d "F:\Corel Paint Shop Pro Photo X2 v12.01 CZ PL\PSPP12_Corel_TBYB_CZ_PL_ESD" Task: {A041E254-8634-4930-9A76-FDF435E768C1} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {A736298B-92E2-4F4B-AF61-605FDF970BB8} - System32\Tasks\{8932C48B-2392-4AE3-BE03-538F3E847DA2} => pcalua.exe -a "C:\Users\Kasiarzynka\Desktop\Zoo Tycoon 2 PL.exe" -d C:\Users\Kasiarzynka\Desktop Task: {B1AF5E3B-428A-4450-B014-471365233ED9} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {B4952F30-EB0E-42D1-8576-5883CC7DC0EF} - System32\Tasks\{E388F6B4-8865-4132-84B6-BA236AB1912B} => pcalua.exe -a C:\Users\Kasiarzynka\Downloads\jxpiinstall.exe -d C:\Users\Kasiarzynka\Downloads Task: {B65376A9-FA4D-45A2-BC28-8332BFDA90AC} - System32\Tasks\{D9BE421A-7B35-43DC-8200-0C22D8C5C8C7} => pcalua.exe -a D:\autorun.exe -d D:\ Task: {C0AF4BA2-6A39-40ED-84EC-7504C032637E} - System32\Tasks\{D9F8CFBB-32A3-4399-B221-909D2CF9EFD0} => pcalua.exe -a "C:\Users\Kasiarzynka\Desktop\Corel Paint Shop Pro Photo X2 v12.01 CZ PL\PSPP12_Corel_TBYB_CZ_PL_ESD\setup.exe" -d "C:\Users\Kasiarzynka\Desktop\Corel Paint Shop Pro Photo X2 v12.01 CZ PL\PSPP12_Corel_TBYB_CZ_PL_ESD" Task: {C1D966DC-64AE-4CA4-8F12-CB71C7B66CA3} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {C5E0E46F-948B-406B-A9C7-5B929FE6475B} - System32\Tasks\{0A8E30F1-B352-4E32-8753-2A5383E83F6C} => Firefox.exe hxxp://ui.skype.com/ui/0/6.3.0.105/pl/abandoninstall?page=tsProgressBar Task: {C8E36C1A-EF64-41AA-8F88-2E4395940920} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {C98C691B-EC45-47A5-971D-97458FE1799F} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {D6E59995-BC8E-461F-B265-8A428C3B1DE8} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {DCC4CCF0-EA03-4C16-A6D7-2CF34DCB2B97} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {DE349F28-E836-4A22-A97B-A59F534A209C} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {E14E4831-5517-42D1-BF55-B8345CB04333} - System32\Tasks\{1B1596F0-D99B-4027-879F-9BA33AAD49CD} => pcalua.exe -a "C:\Users\Kasiarzynka\Desktop\beach life\Setup.exe" -d "C:\Users\Kasiarzynka\Desktop\beach life" Task: {E16E0014-C6AB-4941-94A0-619B1B305B0F} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {E251D312-070E-4C1E-B589-285BCF75B603} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {E8DDE171-4E9A-4122-AB07-6B6E4686E7CF} - System32\Tasks\{F411FD4A-2576-4CF4-ACA6-7B179A502777} => Firefox.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=5.3.0.111.259&LastError=12002 Task: {EA140F4E-6C41-435D-B3A3-82D4845615EB} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {FAAACEF3-D74B-48BF-8B54-D7091065E879} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {FEF24019-2CE4-4DF9-A82A-7F3904F55E21} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: C:\WINDOWS\Tasks\HPCeeScheduleForKasiarzynka.job => C:\Program Files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe BootExecute: autocheck autochk * U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKU\S-1-5-21-56604747-4067415843-783896686-1000\SOFTWARE\Policies\Google: Ograniczenia CHR HKU\S-1-5-21-56604747-4067415843-783896686-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-56604747-4067415843-783896686-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://pl.search.yahoo.com/?&fr=hp-avast&type=odc414 SearchScopes: HKLM-x32 -> {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = hxxp://pl.yhs4.search.yahoo.com/yhs/search?hspart=avast&hsimp=yhs-001&type=odc414&p={searchTerms} SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253 SearchScopes: HKU\S-1-5-21-56604747-4067415843-783896686-1000 -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9500325AS_5VEBJK1ZXXXX5VEBJK1Z&ts=1422383969&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-56604747-4067415843-783896686-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9500325AS_5VEBJK1ZXXXX5VEBJK1Z&ts=1422383969&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-56604747-4067415843-783896686-1000 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9500325AS_5VEBJK1ZXXXX5VEBJK1Z&ts=1422383969&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-56604747-4067415843-783896686-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9500325AS_5VEBJK1ZXXXX5VEBJK1Z&ts=1422383969&type=default&q={searchTerms} BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku BHO-x32: Brak nazwy -> {E601996F-E400-41CA-804B-CD6373A7EEE2} -> Brak pliku BHO-x32: Brak nazwy -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> Brak pliku Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\plugins RemoveDirectory: C:\ProgramData\Microsoft\Windows\GameExplorer\{A2672015-A91C-428D-B83E-FFF7EC4903A2} RemoveDirectory: C:\ProgramData\Microsoft\Windows\GameExplorer\PlayTasks RemoveDirectory: C:\ProgramData\Microsoft\Windows\GameExplorer\SupportTasks RemoveDirectory: C:\Users\Kasiarzynka\AppData\Local\Microsoft\Windows\GameExplorer\{A2672015-A91C-428D-B83E-FFF7EC4903A2} RemoveDirectory: C:\Windows\ehome RemoveDirectory: C:\Windows\System32\Tasks\Microsoft\Windows\Media Center EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy ustąpiły.

Zadania usuwające wykonane, ale mamy jeszcze prace. Masz uszkodzone Zmienne środowiskowe, dlatego w FRST są fałszywe adnotacje "Brak pliku" oraz komunikat o braku dostępu do "BCD": Path=C:\ProgramData\Oracle\Java\javapath;C:\Program Files (x86)\Skype\Phone\;C:\Program Files\Common Files\Microsoft Shared\Windows Live Kolejne działania do wdrożenia: 1. Panel sterowania > System i zabezpieczenia > System > Zaawansowane ustawienia systemu > Zmienne środowiskowe > w sekcji Zmienne systemowe zaznacz Path i klik w Edytuj. Przeklej całą ścieżkę do Notatnika, wstaw pomarańczowy blok jako pierwszy: %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\;C:\ProgramData\Oracle\Java\javapath;C:\Program Files (x86)\Skype\Phone\;C:\Program Files\Common Files\Microsoft Shared\Windows Live Zedytowaną ścieżkę przeklej z powrotem do okna i zapisz. Zresetuj system. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut, i nie zaznaczaj opcji "Lista BCD".

Jeśli problem z zamuleniem Chrome nadal ma miejsce, to sprawdź czy sytuacja ulegnie zmianie po tymczasowym wyłączeniu AVG. Zadania usuwające pomyślnie wykonane. Teraz jeszcze na wszelki wypadek uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Nazwy logów FRST wskazują, że je wyciągasz z folderu C:\FRST\Logs. To jest archiwum, bieżące powstają tam skąd uruchamiałeś FRST, czyli w tym przypadku w katalogu Pobrane. Zabrakło też trzeciego obowiązkowego pliku FRST Shortcut. Temat przenoszę do działu diagnostyki malware, to infekcja uruchamiana przez Harmonogram zadań, są też rozmaite inne obiekty adware. Całość nabyłeś uruchamiając jakiś "downloader", więcej na ten temat: KLIK. Log sugeruje, że stało się to po uruchomieniu pliku FreeDWGViewer (1).exe (skąd pobierany?): 2016-02-10 18:00 - 2016-02-10 18:00 - 00005160 _____ C:\WINDOWS\System32\Tasks\GoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837-4126873412-1010Main 2016-02-10 18:00 - 2016-02-10 18:00 - 00005128 _____ C:\WINDOWS\System32\Tasks\GoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837-4126873412-1010P 2016-02-10 18:00 - 2016-02-10 18:00 - 00005102 _____ C:\WINDOWS\System32\Tasks\AdGoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837-4126873412-1010D 2016-02-10 18:00 - 2016-02-10 18:00 - 00005100 _____ C:\WINDOWS\System32\Tasks\GoogleUpdateTaskUserS-1-5-21-4287834998-254447837-4126873412-1000Main 2016-02-10 18:00 - 2016-02-10 18:00 - 00005100 _____ C:\WINDOWS\System32\Tasks\GoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837-4126873412-1010 2016-02-10 18:00 - 2016-02-10 18:00 - 00005084 _____ C:\WINDOWS\System32\Tasks\GoogleUpdateTaskAdminS-1-5-21-4287834998-254447837-4126873412-1010 2016-02-10 18:00 - 2016-02-10 18:00 - 00005084 _____ C:\WINDOWS\System32\Tasks\DfGoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837 2016-02-10 18:00 - 2016-02-10 18:00 - 00005070 _____ C:\WINDOWS\System32\Tasks\ZcGoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837-4126873412 2016-02-10 18:00 - 2016-02-10 18:00 - 00000000 ____D C:\WINDOWS\system32\Express 2016-02-10 18:00 - 2016-02-10 18:00 - 00000000 ____D C:\Program Files\Task Server 2016-02-10 18:00 - 2016-02-10 18:00 - 00000000 ____D C:\Program Files\Task Host 2016-02-10 18:00 - 2016-02-10 18:00 - 00000000 ____D C:\Program Files\Svc Host 2016-02-10 18:00 - 2016-02-10 18:00 - 00000000 ____D C:\Program Files\IIS 2016-02-10 18:00 - 2016-02-10 18:00 - 00000000 ____D C:\Program Files\Explore 2016-02-10 17:59 - 2016-02-10 18:00 - 00000000 ____D C:\ProgramData\4WdM4 2016-02-10 17:59 - 2016-02-10 17:59 - 00000074 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat 2016-02-10 17:58 - 2016-02-10 18:54 - 00000000 ____D C:\Users\User\AppData\Roaming\istartpageing 2016-02-10 17:56 - 2016-02-10 17:56 - 00001100 _____ C:\Users\User\Desktop\Goodgame Empire.lnk 2016-02-10 17:56 - 2016-02-10 17:56 - 00000000 ____D C:\Users\User\AppData\Roaming\dlg 2016-02-10 17:52 - 2016-02-10 17:52 - 00553944 _____ C:\Users\User\Downloads\FreeDWGViewer (1).exe Działania wstępne: 1. Odinstaluj zbędny program Badanie mające na celu poprawę produktów HP Deskjet 1510 series oraz stare aplikacje QuickTime Alternative 1.65 + Real Alternative 1.46 (to produkcje z 2005!, luki). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\4WdM4\WdMan.exe [794376 2016-02-10] (TU-Funs LIMITED) Task: {15D2CBA2-4279-4BDF-A95F-08452878F2A8} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-4287834998-254447837-4126873412-1000Main => 15000,1 Task: {30B668C5-84AF-4523-AA75-E094A65E5CD4} - System32\Tasks\AdGoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837-4126873412-1010D => C:\Program Files\Explore\iexloprer.exe Task: {8385325D-F003-462E-A21E-062307CEC9A5} - System32\Tasks\{0A017EBA-AD3B-4E28-A5B6-8E8C20DE64F6} => Chrome.exe hxxp://ui.skype.com/ui/0/6.13.73.104.456/pl/abandoninstall?page=tsWLM Task: {A24AA258-7249-4C6E-A896-6893B3340CE3} - System32\Tasks\{75D61F9B-C040-421C-9573-D13923BEC4F9} => Chrome.exe hxxp://ui.skype.com/ui/0/6.14.0.104/pl/abandoninstall?source=lightinstaller&amp;page=tsBing Task: {C01D0E67-6605-4720-AB5D-554B7FBCE928} - System32\Tasks\GoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837-4126873412-1010P => C:\WINDOWS\system32\WindowsPowerShell\taskprocess.exe Task: {CF81464F-3575-44FA-A9EE-B281197B74B9} - System32\Tasks\GoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837-4126873412-1010 => C:\Program Files\Task Host\taskhost.exe Task: {D214271E-0E7B-410E-A53A-AD2F3081B5CB} - System32\Tasks\GoogleUpdateTaskAdminS-1-5-21-4287834998-254447837-4126873412-1010 => C:\Program Files\Svc Host\svchost.exe Task: {F31512F0-50D7-4C06-8B2C-CAC4779BC42A} - System32\Tasks\DfGoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837 => 15000 Task: {FB687C88-3B2A-4513-9299-2975016B3078} - System32\Tasks\ZcGoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837-4126873412 => C:\Program Files\IIS\iis.exe [2016-02-10] (Microsoft) Task: {FFF1D61D-8AE0-47C8-B626-F4E416DFAD99} - System32\Tasks\GoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837-4126873412-1010Main => C:\Users\User\AppData\Local\Temp\nskCFE5.tmp\ScreenCapture_Win8.exe <==== UWAGA HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartpageing.com/?type=sc&ts=1455123515&z=fa426dedd24c6476b08197cgbzaw1wcgbodc1wcg7c&from=pcs&uid=TOSHIBAXMQ01ABD050_X2NAS1IESXXX2NAS1IES CHR HomePage: Default -> hxxp://www.istartpageing.com/?type=hp&ts=1455123515&z=fa426dedd24c6476b08197cgbzaw1wcgbodc1wcg7c&from=pcs&uid=TOSHIBAXMQ01ABD050_X2NAS1IESXXX2NAS1IES CHR StartupUrls: Default -> "hxxp://www.istartpageing.com/?type=hp&ts=1455123515&z=fa426dedd24c6476b08197cgbzaw1wcgbodc1wcg7c&from=pcs&uid=TOSHIBAXMQ01ABD050_X2NAS1IESXXX2NAS1IES" CHR DefaultSearchURL: Default -> hxxp://istartpageing.com/web?type=ds&ts=1455123515&z=fa426dedd24c6476b08197cgbzaw1wcgbodc1wcg7c&from=pcs&uid=TOSHIBAXMQ01ABD050_X2NAS1IESXXX2NAS1IES&q={searchTerms} CHR DefaultSearchKeyword: Default -> istartpageing DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DisableService: PLAY ONLINE. RunOuc RemoveDirectory: C:\Program Files\Explore RemoveDirectory: C:\Program Files\IIS RemoveDirectory: C:\Program Files\Svc Host RemoveDirectory: C:\Program Files\Task Host RemoveDirectory: C:\Program Files\Task Server RemoveDirectory: C:\ProgramData\4WdM4 RemoveDirectory: C:\Spacekace RemoveDirectory: C:\Users\User\AppData\Local\FileViewPro RemoveDirectory: C:\Users\User\AppData\Roaming\dlg RemoveDirectory: C:\Users\User\AppData\Roaming\istartpageing RemoveDirectory: C:\Users\User\AppData\Roaming\Solvusoft RemoveDirectory: C:\WINDOWS\System32\Tasks\AVAST Software RemoveDirectory: C:\WINDOWS\system32\vbox RemoveDirectory: C:\WINDOWS\SysWOW64\vbox C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\User\Desktop\Goodgame Empire.lnk C:\Users\User\Downloads\*-dp.* C:\Users\User\Downloads\FreeDWGViewer*.exe C:\Users\User\Downloads\pobierz*.* C:\Users\User\Downloads\Setup_FileViewPro_2016.exe C:\WINDOWS\system32\roboot64.exe C:\WINDOWS\system32\netcfg*.txt C:\WINDOWS\system32\Drivers\*.tmp C:\WINDOWS\system32\Drivers\aswNdisFlt.sys Folder: C:\WINDOWS\system32\Express EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pola Addition + Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal widzisz komunikat z obrazka.

1. Za późno poprawiłam literówkę w skrypcie. Ostatni skrypt do FRST o postaci: DeleteKey: HKU\S-1-5-18\Software\HQ Video Pro 3.1cV20.04-nv-ie 2. Na koniec przez SHIFT+DEL (omija Kosz) skasuj pobrany FRST i jego logi z D:\DIAGNOSTYKA. Popraw za pomocą DelFix

Tylko drobne poprawki kosmetyczne pod kątem wpisów pustych. 1. Odinstaluj COMODO System-Cleaner, to stary program z 2010. Dodatkowo, zastosuj narzędzie SPTDinst w celu usunięcia sterownika SPTD - w systemie brak widocznego programu z niego korzystającego. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Krisu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {3847BFEF-B488-4EF2-A79D-603AE11CA3A8} - \ShopperPro3 -> Brak pliku Task: {4A825F5A-347D-4932-8158-054A820F6B0C} - \task Update -> Brak pliku Task: {67D5F319-6ABE-4D8B-B92C-7CC619DB060D} - \SPDriver -> Brak pliku Task: {A7212489-759D-4517-B39A-DC0A7B4A692D} - \SPBIW_UpdateTask_Time_343233313138343832312d4137345a376c453278345a41 -> Brak pliku Task: {F031031A-2B5A-4E3D-8F86-751C16D409F5} - \Inst_Rep -> Brak pliku Task: {F7512CFC-6244-4CEA-8DA0-C27A4FF1E9EE} - \ShopperProJSUpd -> Brak pliku HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\81882277.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\81882277.sys => ""="Driver" HKU\S-1-5-21-2664372736-3809392050-2341891308-1000\...\Run: [] => C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe HKU\S-1-5-21-2664372736-3809392050-2341891308-1000\...\MountPoints2: {6d307dd0-a768-11e5-bb78-806e6f6e6963} - H:\Run.exe FF DefaultSearchEngine: Google FF DefaultSearchUrl: hxxp://www.bing.com/search FF SearchEngineOrder.1: Bing (Microsoft) FF SelectedSearchEngine: Bing (Microsoft) FF Keyword.URL: hxxp://www.bing.com/search FF SearchPlugin: C:\Users\Krisu\AppData\Roaming\Mozilla\Firefox\Profiles\g7txyxbn.default\searchplugins\bing-avast.xml [2016-01-20] FF SearchPlugin: C:\Users\Krisu\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1\searchplugins\bing-avast.xml [2016-01-20] FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF R3 ALSysIO; \??\D:\Temp\Temp\ALSysIO64.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] RemoveDirectory: C:\KVRT_Data RemoveDirectory: C:\Users\Krisu\AppData\Roaming\dlg CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są mi potrzebne.