picasso

Nie mogłam się zmobilizować do przejrzenia tego raportu Fixlog detalicznie pod kątem ewentualnego sprzątania bez formatu dysku, ale skoro tu wspominasz o formacie, to pole jest czyste. System został wyczyszczony z tej infekcji, nie jest ona aktywna i nie widać w raporcie żadnych plików mogących "odpalić" to ponownie, więc kopie niezaszyfrowanych danych spokojnie możesz wykonać. Na dysku zostawiłam celowo tylko poniższe pliki identyfikacyjne, na wypadek gdyby kopia zaszyfrowanych plików także była tworzona: 2015-11-28 19:03 - 2015-11-28 19:03 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_hsxottbuu.txt 2015-11-28 18:55 - 2015-11-28 18:55 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_xuhpkqgpk.txt 2015-11-25 01:00 - 2015-11-25 01:00 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_nmpdoewlf.txt 2015-11-25 00:43 - 2015-11-25 00:43 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_yyyucwcwq.txt 2015-11-25 00:20 - 2015-11-25 00:20 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_aqkrsuiyw.txt 2015-11-24 22:45 - 2015-11-24 22:45 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_klpaggvhb.txt 2015-11-24 12:50 - 2015-11-24 12:50 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_csfxgcblx.txt 2015-11-24 12:03 - 2015-11-24 12:03 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_kxwcwelnn.txt 2015-11-18 01:00 - 2015-11-18 01:00 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_pwernchkp.txt 2015-11-17 22:40 - 2015-11-17 22:40 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_gcorurqss.txt 2015-11-17 22:34 - 2015-11-17 22:34 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_yegjpxfqv.txt 2015-11-10 16:32 - 2015-11-10 16:32 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_asxfxisnf.txt 2015-11-10 13:59 - 2015-11-10 13:59 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_jiejemvpd.txt 2015-11-10 02:19 - 2015-11-10 02:19 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_fqvfmedqq.txt I dodatkowe uwagi: 1. Komputer brandowany przez Hewlett-Packard i mający multum firmowych integracji. Jeśli system będzie przywracany z Recovery HP, to zaraz po jego zrzuceniu pozbądź się przestarzałych programów typu: Adobe Flash Player ActiveX (wersja 11 była tu przypuszczalnie "out-of-box" do obsługi Centrum HP - wymaga wersji ActiveX pod Internet Explorer) i ewentualnie innych potencjalnych starych integracji Adobe, Bing Bar, Magic Desktop, Norton Internet Security (tu była wersja jadąca na sterownikach z 2011!), Norton Backup. 2. Specjalizowane programy zabezpieczające przed infekcjami szyfrującymi: KLIK.

Kopia pliku fixlog.txt jest w folderze C:\FRST\Logs. Dostarcz plik.

Temat przenoszę do działu Windows. System wygląda na drastycznie uszkodzony. FRST nie był nawet w stanie podmontować rejestru: notowalny w nagłówku problem z plikiem SYSTEM (dlatego log golutki i nie widać nic z zakresu usług / sterowników), ale czuć, że strzeliło też w SOFTWARE (te znaczniki ATTENTION to nie infekcja tylko uszkodzenia). Skoro nawet tak kompleksowa procedura jak "Odświeżanie" nie działa, to system ma kwalifikację na czystą instalację od zera z płyty DVD.

Na koniec usuń FRST z C:\Temp oraz folder C:\MATS utworzony przez deinstalator MS. Zastosuj też DelFix i wyczyść foldery Przywracania systemu: KLIK.

Wszystko zostało wykonane. Kończymy. Skasuj folder C:\logi. Następnie zastosuj DelFix. Poza tym, zaktualizuj systemowy Internet Explorer, nawet jeśli z niego nie korzystasz.

Wszystko zostało wykonane, infekcje usunięte, teraz już tylko cyzelowanie. Kolejne poprawki: 1. Odinstaluj zbędny Adobe Flash Player 19 NPAPI, to wersja dla Firefox, którego tu nie ma. Przeinstaluj także Google Chrome od zera, gdyż było poszkodowane przez adware: Upewnij się, że nie masz włączonej synchronizacji, w razie czego wykonaj Opcję 2: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą wersję Google Chrome: KLIK. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie: 3. Otwórz Notatnik i wklej w nim: S3 Steam Client Service; "C:\Program Files\Common Files\Steam\SteamService.exe" /RunAsService [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\found.000 RemoveDirectory: C:\ProgramData\Microsoft\Windows\WER\ReportArchive RemoveDirectory: C:\ProgramData\Microsoft\Windows\WER\ReportQueue RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\SmartWeb RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\Tempfolder RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\Microsoft\Feeds Cache RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\Microsoft\Windows\WER\ReportArchive RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\Microsoft\Windows\WER\ReportQueue RemoveDirectory: C:\Users\Aramejskie PsP\AppData\LocalLow\Company RemoveDirectory: C:\Users\Aramejskie PsP\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A} RemoveDirectory: C:\Users\Aramejskie PsP\AppData\LocalLow\Sun\Java\Deployment\cache RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Roaming\ChromeUpdServeis RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Roaming\FoucnYbuiw RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Roaming\istartpageing RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Roaming\Macromedia RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Roaming\RunDir RemoveDirectory: C:\Windows\system32\dyka RemoveDirectory: D:\$RECYCLE.BIN Reg: reg add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /v EnableFirewall /t REG_DWORD /d 0x1 /f Reg: reg add HKLM\SYSTEM\CurrentControlSet\services\wuauserv /v ImagePath /t REG_EXPAND_SZ /d "^%systemroot^%\system32\svchost.exe -k netsvcs" /f Reg: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore" /v DisableSR /f CMD: attrib -h "C:\Users\Aramejskie PsP\AppData\Roaming\*" CMD: del /q "C:\Users\Aramejskie PsP\AppData\Roaming\*" CMD: del /q "C:\Users\Aramejskie PsP\AppData\Local\Apps\8df46qrdf.5r" CMD: del /q "C:\Users\Aramejskie PsP\Documents\4hw4w59.gv74" CMD: del /q "C:\Users\Aramejskie PsP\Documents\5l2s8j2.y6n" CMD: del /q "C:\Users\Aramejskie PsP\Documents\dq3tcem.8ww" CMD: del /q "C:\Users\Aramejskie PsP\Documents\w60odudr9n.r6z69" CMD: del /q "C:\Users\Aramejskie PsP\Documents\xq5xbo4u.cpn0" CMD: del /q "C:\Users\Aramejskie PsP\Downloads\9ylfu6o6.exe" CMD: del /q C:\Users\Public\Documents\2x1x7.1vele CMD: del /q C:\Users\Public\Documents\52l8z1b5.q9 CMD: del /q C:\Users\Public\Documents\558yr.thw2s CMD: del /q C:\Users\Public\Documents\hylj1cpv6o.x2t6g CMD: del /q C:\Users\Public\Documents\i1tdqm.9r CMD: del /q C:\Windows\system32\Giqdulti.ini CMD: del /q C:\Windows\system32\GiqdultiOff.ini CMD: del /q "C:\Windows\system32\Number of results" CMD: del /q D:\cn82hor.l4st CMD: ipconfig /flushdns CMD: sc config BITS start= auto CMD: sc config MpsSvc start= auto CMD: sc config WinDefend start= demand CMD: sc config wscsvc start= delayed-auto CMD: sc config wuauserv start= auto CMD: netsh advfirewall reset CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log CMD: dir /a "C:\Users\Aramejskie PsP\AppData\Local\Google" CMD: dir /a "C:\Users\Aramejskie PsP\AppData\Local\VirtualStore" Reg: reg query HKEY_CURRENT_USER\Software Reg: reg query HKEY_LOCAL_MACHINE\SOFTWARE Reboot: Plik zapisz pod nazwą fixlist.txt (tym razem nie trzeba w UTF-8) i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix).Nastąpi restart. Powstanie kolejny fixlog.txt. 4. Popraw datę komputera. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut, oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. Czy w Panelu sterowania masz ustawiony układ klawiatury Polski (Programisty) jako domyślny?

Problem z datą to pewnie problem sprzętowy, tzn. bateria BIOS padła i do wymiany. Na razie ustaw czas w Windows, by nowe logi FRST zrobione zostały z prawidłowego kontekstu czasowego (i będziesz musiał czas korygować przed uruchomieniem innych narzędzi). I tu jeszcze nie koniec sprzątania systemu, ale czekam na nowe logi. Zapomniałam poprzednio napisać, dorzuć mi jeszcze log z Farbar Service Scanner.

Poprzednie logi FRST były tworzone na systemie mającym poprawny czas, choć zauważyłam, że niektóre pliki mają strasznie stare datowanie, mimo że na pewno były tworzone świeżo, co sugerowało że data była cofana. Obecnie masz nieprawidłowy czas komputera, dlatego logi FRST pokazują masę zbędnych danych sprzed kilku lat: Ran by Aramejskie PsP (administrator) on ARABSKAPATELNIA (21-12-2007 00:06:57) Ustaw ponownie poprawny czas komputera i zrób nowe raporty FRST (FRST.txt + Addition.txt).

Prawie wszystkie akcje pomyślnie wykonane. Niemniej nadal w logu jest McAfee Security Scan Plus (aktywnie uruchomiony). Jaki błąd się pojawia podczas próby jego deinstalacji? Czy próbowałeś przy wyłączonym Comodo?

System jest w tragicznym stanie: masowo zainfekowany różnymi trojanami oraz adware (w tym patch pliku dnsapi.dll i infekcja ogólna DNS systemowych), programy zabezpieczające są zablokowane na bazie polityk oprogramowania, a Windows w ogóle nieaktualizowany. Niestety mam też niedobre wieści. Te pliki how_recover* oznaczają infekcję szyfrującą dane TeslaCrypt w najnowszym wariancie: KLIK. Twoje pliki zostały zaszyfrowane i mają obecnie rozszerzenie *.vvv. Plików nie da się odkodować.... Jedyne co będzie w mojej gestii, to usunięcie aktywnej infekcji i nabitych przez infekcję plików how_recover*. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe R1 cherimoya; C:\Windows\System32\drivers\cherimoya.sys [49408 2007-12-21] (Cherimoya Ltd) [File not signed] R2 ginoquci; C:\Users\Aramejskie PsP\AppData\Local\Temp\nsc1610.tmp [222208 2007-12-21] () [File not signed] R2 NetTcpHandler; C:\Users\Aramejskie PsP\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] () R2 nyneryxo; C:\Program Files\E8F0E980-1449267636-81DC-39F9-001D6007944C\hnsmB63D.tmp [134656 2015-12-04] () [File not signed] R2 roqenufe; C:\Program Files\E8F0E980-1449267636-81DC-39F9-001D6007944C\jnsv9AA4.tmp [307200 2015-12-04] () [File not signed] R2 SSFK; C:\Program Files\SFK\SSFK.exe [155280 2015-12-04] (TODO: ) R2 sypycuge; C:\Program Files\E8F0E980-1449267636-81DC-39F9-001D6007944C\knshF0DC.tmp [658432 2015-12-06] () [File not signed] R2 WindowsMangerProtect; C:\ProgramData\Tmp0x0x\ProtectWindowsManager.exe [344232 2015-12-04] (Sysinternals process Explorer) U2 avgsvc; "C:\Program Files\AVG\Framework\Common\avgsvcx.exe" [X] S3 cpuz134; \??\C:\Users\ARAMEJ~1\AppData\Local\Temp\cpuz134\cpuz134_x32.sys [X] R1 swsedrvr_vt_1_10_0_25; system32\drivers\swsedrvr_vt_1_10_0_25.sys [X] IFEO\mbam.exe: [Debugger] epdmfji.exe IFEO\mbamgui.exe: [Debugger] kxemabm.exe IFEO\MRT.exe: [Debugger] kgmnddmbzri.exe IFEO\Mrtstub.exe: [Debugger] cyduxutsugs.exe IFEO\rstrui.exe: [Debugger] gfscokwngcs.exe SecurityProviders: credssp.dll, AmzoygUjducc.dll HKLM\...\Run: [sound+] => "C:\Program Files\Sound+\Sound+.exe" HKLM\...\Run: [rec_en_77] => [X] HKLM\...\Run: [gmsd_pl_005010165] => [X] HKLM\...\Run: [gmsd_pl_005010167] => [X] HKLM\...\Run: [gmsd_pl_005010168] => [X] HKLM\...\Run: [NetworkChecker] => C:\Users\Aramejskie PsP\AppData\Roaming\Microsoft\Windows\Templates\venktp.exe [1064807 2015-12-06] () HKLM\...\Run: [gmsd_pl_005010169] => [X] HKLM\...\RunOnce: [upgmsd_pl_005010168.exe] => C:\Users\Aramejskie PsP\AppData\Local\gmsd_pl_005010168\upgmsd_pl_005010168.exe [3278512 2015-12-06] () HKLM\...\RunOnce: [Windows Update Engine] => C:\ProgramData\Windows Update Engine\3wgwegkm5a.exe [470528 2007-12-21] () HKLM Group Policy restriction on software: C:\Program Files\AVAST Software HKLM Group Policy restriction on software: C:\Program Files\Microsoft Security Client HKLM Group Policy restriction on software: C:\Program Files\Avira HKLM Group Policy restriction on software: C:\Program Files\Avira HKLM Group Policy restriction on software: C:\Program Files\COMODO HKLM Group Policy restriction on software: C:\Program Files\COMODO HKLM Group Policy restriction on software: C:\Program Files\AVAST Software HKLM Group Policy restriction on software: C:\Program Files\COMODO HKLM Group Policy restriction on software: C:\Program Files\COMODO HKLM Group Policy restriction on software: C:\Program Files\COMODO HKLM Group Policy restriction on software: C:\Program Files\Avira HKLM Group Policy restriction on software: C:\Program Files\AVAST Software HKLM Group Policy restriction on software: C:\Program Files\AVAST Software HKLM Group Policy restriction on software: C:\Program Files\AVAST Software HKLM Group Policy restriction on software: C:\Program Files\Avira HKLM Group Policy restriction on software: C:\Program Files\Microsoft Security Client HKLM Group Policy restriction on software: C:\Program Files\Microsoft Security Client HKLM Group Policy restriction on software: C:\Program Files\AVAST Software HKLM Group Policy restriction on software: C:\Program Files\Microsoft Security Client HKLM Group Policy restriction on software: C:\Program Files\Microsoft Security Client HKLM Group Policy restriction on software: C:\Program Files\COMODO HKLM Group Policy restriction on software: C:\Program Files\Avira HKLM Group Policy restriction on software: C:\Program Files\Microsoft Security Client HKLM Group Policy restriction on software: C:\Program Files\AVAST Software HKLM Group Policy restriction on software: C:\Program Files\Avira HKLM Group Policy restriction on software: C:\Program Files\Avira HKLM Group Policy restriction on software: C:\Program Files\COMODO HKLM Group Policy restriction on software: C:\Program Files\Microsoft Security Client HKLM\...\Policies\Explorer\Run: [1245908319] => C:\ProgramData\msnos.exe [313856 2009-07-14] () HKLM\...\Policies\Explorer\Run: [638143719] => C:\ProgramData\msrbgbio.exe [102400 2009-07-14] () HKLM\...\Policies\Explorer\Run: [1876573201] => C:\ProgramData\msukbv.exe [162304 2007-12-21] () HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [Acronis] => C:\Users\Aramejskie PsP\AppData\Roaming\hvskb-bc.exe HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [KdjSaS011arbaaa1z] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18611771\KdjSaS011arbaaaa1z.exe [259072 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [djSaS011arbaaa1za13a1] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-186117711\djSaS011arbaaaa1za13a1.exe [260608 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [KdjSaS011arbaaa1za13a] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18611771\KdjSaS011arbaaaa1za13a.exe [260608 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [KdjSaS011ar] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18611771\KdjSaS011ar.exe [259584 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [KdjSaS011arh] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18611771\KdjSaS011arh.exe [311808 2007-12-21] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [KdjSaS011arhaaa] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18611771\KdjSaS011arhaaaa.exe [259072 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [djSaS01121za13a1a] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18611127711\djSaS011a12a13a1a.exe [262144 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [a12121zq] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-186171411\854561araaq.exe [264192 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [we121za13a1ab] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18623451\we1a12a13a1ab.exe [264192 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [we121za13a1abab] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1862314511\we1a12a13a1abavb.exe [291840 2007-12-21] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [we121za13a1abab1] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18623145111\we1a12a13a1abavb1.exe [290816 2007-12-21] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [Windows Update Engine] => C:\ProgramData\Windows Update Engine\3wgwegkm5a.exe [470528 2007-12-21] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [AQworks] => C:\Users\Aramejskie PsP\AppData\Local\AQworks\KB00258656.exe [167936 2007-12-21] (DVDVideoSoft Ltd.) HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [bcdsserv] => C:\Users\Aramejskie PsP\AppData\Roaming\Certnect\authesvc.exe HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [YbPack] => regsvr32.exe "C:\Users\Aramejskie PsP\AppData\Local\YbPack\jdlriwcn.dll" HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [YfkPack] => C:\Windows\System32\regsvr32.exe "C:\Users\Aramejskie PsP\AppData\Local\AQworks\fjxcixtq.dll" HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [we121za13a1abab1ab] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1862314511111\we1a12a13a1abavb1ab.exe [309248 2007-12-21] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Run: [we121za13a1abab1a] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-186231451111\we1a12a13a1abavb1a.exe [313856 2007-12-21] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\RunOnce: [KdjSaS011arbaaa1z] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18611771\KdjSaS011arbaaaa1z.exe [259072 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\RunOnce: [KdjSaS011arhaaa] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18611771\KdjSaS011arhaaaa.exe [259072 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\RunOnce: [djSaS011arbaaa1za13a1] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-186117711\djSaS011arbaaaa1za13a1.exe [260608 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\RunOnce: [KdjSaS011arbaaa1za13a] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18611771\KdjSaS011arbaaaa1za13a.exe [260608 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\RunOnce: [we121za13a1ab] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18623451\we1a12a13a1ab.exe [264192 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\RunOnce: [KdjSaS011ar] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18611771\KdjSaS011ar.exe [259584 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\RunOnce: [djSaS01121za13a1a] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18611127711\djSaS011a12a13a1a.exe [262144 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\RunOnce: [KdjSaS011arh] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18611771\KdjSaS011arh.exe [311808 2007-12-21] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\RunOnce: [a12121zq] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-186171411\854561araaq.exe [264192 2015-12-06] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\RunOnce: [we121za13a1abab1] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18623145111\we1a12a13a1abavb1.exe [290816 2007-12-21] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\RunOnce: [we121za13a1abab] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1862314511\we1a12a13a1abavb.exe [291840 2007-12-21] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\RunOnce: [we121za13a1abab1ab] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1862314511111\we1a12a13a1abavb1ab.exe [309248 2007-12-21] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\RunOnce: [we121za13a1abab1a] => C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-186231451111\we1a12a13a1abavb1a.exe [313856 2007-12-21] () HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\CurrentVersion\Windows: [Load] C:\PROGRA~2\msnos.exe HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Policies\Explorer: [TaskbarNoNotification] 1 HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...\MountPoints2: {7a652b40-af4f-11dc-8934-806e6f6e6963} - G:\SETUP.EXE HKU\S-1-5-21-4007559694-3794498742-1702077847-1002\...409d6c4515e9\InprocServer32: [Default-shell32] C:\Users\Aramejskie PsP\AppData\Local\AQworks\gbkwevrv.dll ATTENTION! ====> ZeroAccess? CustomCLSID: HKU\S-1-5-21-4007559694-3794498742-1702077847-1002_Classes\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InprocServer32 -> C:\Users\Aramejskie PsP\AppData\Local\AQworks\gbkwevrv.dll () Startup: C:\Users\Aramejskie PsP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ST6UNST Uninstaller.LNK [2007-12-21] Task: {1CFF9393-2E8C-48B3-B7A5-89915CED6E8A} - System32\Tasks\RegClean Pro_DEFAULT => C:\Program Files\RCP\RegCleanPro.exe Task: {357BF60E-CD5E-4B50-98FE-6C1808BBF87B} - System32\Tasks\{F5942225-B64B-4BF9-8AD3-03AAF9886671} => pcalua.exe -a "C:\Users\Aramejskie PsP\AppData\Roaming\yoursearching\UninstallManager.exe" -c -ptid=face Task: {7891D619-6EAC-412D-9BE3-DB0A22F57984} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files\RCP\RegCleanPro.exe Task: {7B557CA1-B408-4ADC-9C2F-6A1A95ABD941} - System32\Tasks\Girwhyka => C:\PROGRA~1\GROOVE~1\Ufigys.bat Task: {B9B624F2-8241-4A4E-9435-8C71AFCE2C44} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\Aramejskie PsP\AppData\Local\SmartWeb\SmartWebHelper.exe Task: {C0122447-7E61-4BDB-8663-C9409ADCBA74} - System32\Tasks\{3ADE5C10-33C6-434A-9C82-ED0665008D25} => pcalua.exe -a "C:\Users\Aramejskie PsP\AppData\Roaming\mysites123\UninstallManager.exe" -c -ptid=amt Task: {FB162231-74F0-4380-B557-15299DC4BC27} - System32\Tasks\RegClean Pro => C:\Program Files\RCP\RegCleanPro.exe Task: C:\Windows\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files\RCP\RegCleanPro.exe Task: C:\Windows\Tasks\RegClean Pro_UPDATES.job => C:\Program Files\RCP\RegCleanPro.exe StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mysites123.com/?type=sc&ts=1449266897&z=c393f8356b294b209f17ae0g2zdz0t0o0qfq0b1m2t&from=amt&uid=WDCXWD3200BEVT-60A23T0_WD-WXL1A90H1351H1351 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins RemoveDirectory: C:\Program Files\AVG RemoveDirectory: C:\Program Files\E8F0E980-1449267636-81DC-39F9-001D6007944C RemoveDirectory: C:\Program Files\Opera RemoveDirectory: C:\Program Files\SFK RemoveDirectory: C:\Program Files\Wooden Seal RemoveDirectory: C:\Program Files\Common Files\Steam RemoveDirectory: C:\ProgramData\Avg RemoveDirectory: C:\ProgramData\CreativeAudio RemoveDirectory: C:\ProgramData\Tmp0x0x RemoveDirectory: C:\ProgramData\Windows Update Engine RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GAMESDESKTOP RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Steam RemoveDirectory: C:\RECYCLER RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\AvgSetupLog RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\Avg RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\AQworks RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\Camera Plugin RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\CEF RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\E8F0E980-1449271314-81DC-39F9-001D6007944C RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\GeometryDash RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\gmsd_pl_005010168 RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\Opera Software RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\Steam RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\YbPack RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Roaming\BrowserMe RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Roaming\Certnect RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Roaming\mysites123 RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Roaming\NetService RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Roaming\Opera Software RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Roaming\shortCutStore RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\ProgramData\@system.temp C:\ProgramData\@system3.att C:\ProgramData\fb19r8t.2koqu C:\ProgramData\j3ymz.7yyn C:\ProgramData\jsvef3g8x0.e3s4r C:\ProgramData\mscxoz.exe C:\ProgramData\msnos.exe C:\ProgramData\msrbgbio.exe C:\ProgramData\msukbv.exe C:\ProgramData\oyqij0.4x C:\ProgramData\y16w2.s1 C:\ProgramData\zj63ef.ej2 C:\Users\Aramejskie PsP\AppData\Local\4zsfk3.0b C:\Users\Aramejskie PsP\AppData\Local\541g3q.2o5 C:\Users\Aramejskie PsP\AppData\Local\Apps\barldt9b.05u C:\Users\Aramejskie PsP\AppData\Roaming\½Ó C:\Users\Aramejskie PsP\AppData\Roaming\Microsoft\Windows\Templates\venktp.exe C:\Windows\system32\AmzoygUjducc.dll C:\Windows\system32\Giqdulti.dll C:\Windows\system32\history.dat C:\Windows\system32\roboot.exe C:\Windows\System32\drivers\cherimoya.sys C:\Windows\system32\drivers\etc\hp.bak CMD: netsh winsock reset CMD: attrib -r -h -s C:\how_recover* /s CMD: attrib -r -h -s C:\HELP_YOUR_FILES* /s CMD: attrib -r -h -s D:\how_recover* /s CMD: attrib -r -h -s D:\HELP_YOUR_FILES* /s CMD: del /q /s C:\how_recover* CMD: del /q /s C:\HELP_YOUR_FILES* CMD: del /q /s D:\how_recover* CMD: del /q /s D:\HELP_YOUR_FILES* CMD: dir /a C:\ CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a "C:\Users\Aramejskie PsP\AppData\Local" CMD: dir /a "C:\Users\Aramejskie PsP\AppData\LocalLow" CMD: dir /a "C:\Users\Aramejskie PsP\AppData\Roaming" CMD: dir /a D:\ EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom RepairDNS. Poczekaj aż narzędzie ukończy działanie. Powstanie raport RepairDNS.txt. 3. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 4. Zrób nowe logi: FRST z opcji Skanuj (Scan) - ponownie z Addition, ale bez Shortcut - oraz GMER. Dołącz też pliki fixlog.txt + RepairDNS.txt. Przy czym fixlog będzie ogromny ze względu na rekursywne usuwanie z wszystkich dysków plików infekcji. W związku z tym shostuj ten plik na jakimś zewnętrznym serwisie nie-wklejkowym i podaj do niego link. PS. Odpowiadasz mi już w nowym poście.

Problem w Google Chrome tworzą polityki blokujące jakieś funkcje przeglądarki oraz rozszerzenie Quick Menu kojarzone z przymusowymi instalacjami. Poza tym, widać odpadki innych śmieci adware (usługa "MustangService_2015_10_10" i zadania w Harmonogramie). Wszystko to pokłosie prawdopodobnie "Asystentów pobierania": KLIK. STOPzilla! to wątpliwy skaner, nie instaluj go już więcej. To akurat nie jest nic zadziwiającego. Magazyn kopii cieniowych ma ograniczone miejsce i system usuwa starsze punkty, by nowe się zmieściły. Fixlist to jedynie część procesu rozwiązywania problemów. Akcje do przeprowadzenia: 1. Odinstaluj: Adobe Flash Player 19 NPAPI (to wersja dla nieistniejącego tu Firefox), Java 8 Update 45 (starsza wersja). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer26.exe [236816 2015-10-09] (MustangService) S0 is3srv; system32\drivers\is3srv.sys [X] S0 szkg5; system32\drivers\szkg.sys [X] S0 szkgfs; system32\drivers\szkgfs.sys [X] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKLM\...\Chrome\Extension: [oggihoncmelambjaefiboekididcaffe] - C:\Users\Lucynka\AppData\Local\Google\Chrome\User Data\Default\Extensions\oggihoncmelambjaefiboekididcaffe.crx [2015-10-29] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1756971717-903987818-1331759138-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-1756971717-903987818-1331759138-1000 -> {szukaj.gazeta.pl} URL = hxxp://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} Task: {1C3D8A9F-6C3F-4A46-9CAE-40F0CFBED781} - System32\Tasks\EasyProgress => c:\programdata\{844fa4f1-2bb1-d59c-844f-fa4f12bb93c4}\driver 3.exe Task: {4E3DE2F3-E71A-495C-B866-C74C6B93A6B9} - System32\Tasks\MagicKeeper => c:\programdata\{8633d1fd-ea70-b2f5-8633-3d1fdea747f7}\5254392802355984628b.exe Task: {57309A81-84A7-45B9-BBE2-81D8C5DCEFC2} - System32\Tasks\SizeFixer => c:\programdata\{26c77064-ad4b-edcf-26c7-77064ad4c192}\9168102286225661756b.exe Task: {7B57F7DA-0C9A-4646-9E8C-D0C2D059D68A} - System32\Tasks\DataEncrypt => c:\programdata\{b87b28c2-ddab-3b9e-b87b-b28c2ddaa30b}\2887833614186346724b.exe Task: C:\Windows\Tasks\DataEncrypt.job => c:\programdata\{b87b28c2-ddab-3b9e-b87b-b28c2ddaa30b}\2887833614186346724b.exe Task: C:\Windows\Tasks\EasyProgress.job => c:\programdata\{844fa4f1-2bb1-d59c-844f-fa4f12bb93c4}\driver 3.exe Task: C:\Windows\Tasks\MagicKeeper.job => c:\programdata\{8633d1fd-ea70-b2f5-8633-3d1fdea747f7}\5254392802355984628b.exe Task: C:\Windows\Tasks\SizeFixer.job => c:\programdata\{26c77064-ad4b-edcf-26c7-77064ad4c192}\9168102286225661756b.exe HKU\S-1-5-21-1756971717-903987818-1331759138-1000\Software\Classes\.exe: exefile => HKU\S-1-5-21-1756971717-903987818-1331759138-1000\Software\Classes\exefile: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f C:\ProgramData\STOPzilla! C:\ProgramData\TempMoudleSet C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MgameEU C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR C:\Users\Lucynka\AppData\Local\Microsoft\Windows\GameExplorer\{966E0570-968F-43C2-B2A5-307A6668962E} C:\Users\Lucynka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MyHeritage.com C:\Users\Lucynka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Okozo Desktop C:\Users\Lucynka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR C:\Windows\system32\Drivers\kgpcpy.cfg DisableService: Mobile Partner. RunOuc EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > upewnij się, że zniknął obiekt Quick Menu. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone, więc ponownie je aktywuj. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Lucynka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy zostały rozwiązane.

To nie jest problem infekcji. 1. Temat przenoszę do działu Hardware na diagnostykę ze względu na poniższe błędy w Dzienniku zdarzeń. Dostarcz dane wymagane działem: KLIK. Dziennik System: ============= Error: (12/08/2015 12:51:17 PM) (Source: Ntfs) (EventID: 137) (User: ) Description: Domyślny menedżer zasobów transakcji w woluminie \Device\HarddiskVolumeShadowCopy1 napotkał błąd niepowtarzający operacji i nie można go uruchomić. Dane zawierają kod błędu. Error: (12/08/2015 12:51:17 PM) (Source: volsnap) (EventID: 14) (User: ) Description: Kopie w tle woluminu C: zostały przerwane z powodu usterki We/Wy w woluminie C:. Error: (12/08/2015 12:51:12 PM) (Source: atapi) (EventID: 11) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Ide\IdePort0. 2. Problem z wolną pracą może też tworzyć COMODO Antivirus + GeekBuddy i to można sprawdzić tymczasowo deinstalując te aplikacje. PS. W Firefox jest adware, ale to nie ma związku z objawami. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania.

Czy po usunięciu sterownika Hardlock jest jakaś poprawa w procesie startu systemu? Czy są jeszcze jakieś problemy? Fix FRST wykonany. Skorzystaj z DelFix.

Deinstalacja KB3035583 usuwa notyfikator GWX, więc nie ma prawa się już zgłosić na błędzie, o ile z Windows Update ponownie nie zostanie zainstalowana ta sama poprawka. Jak mówiłam, to tylko przykrycie problemu, a nie jego rozwiązanie. Pozostaje również sprawa samej aktualizacji do Windows 10. Można będzie ją zrobić z pominięciem Windows Update: KLIK / KLIK / KLIK. Fix wykonany. Zastosuj DelFix i to tyle w tym zakresie.

Zacznij wyłączać partiami wpisy w ShellExView, aż wyłowisz wpis który tworzy problem, po każdej deaktywacji restart systemu. Zacznij od wyłączenia SHAREit.FileContextMenuExt Class Lenovo + restart systemu. W przypadku braku rezultatów kontynuuj wyłączając wszystkie wpisy typu TheDeskTopContextMenu Class Intel oraz McCtxFrmWrk Class McAfee. Ostatnim delikwentem na liście jest WinRAR i jakoś najmniej go podejrzewam.

Ten błąd sugeruje problem sprzętowo-sterownikowy, tzn. jakiś komponent z tego zakresu stawiający opór. Na razie dostarcz mi materiały do analizy, tzn. skopiuj na Pulpit folder C:\Windows\Logs\CBS, spakuj do ZIP, shostuj gdzieś i podaj link do paczki. Mam też pytania: jakie zewnętrzne urządzenia są podłączone (drukarki, skanery, karty, ...)? Widziałam w raporcie m.in. stare sterowniki Hewlett-Packard, a coś stanowczo za mało powiązanych wpisów instalacyjnych. Czy jakiekolwiek urządzenie Hewlett-Packard jest tu na pewno podłączone?

Problemem jest infekcja Djzdr w Harmonogramie zadań, pochodząca z jakiegoś cracka (prawdopodobnie właśnie do Office). Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {0E3828EA-152C-4ACD-A7FA-CA7CFD2A534F} - System32\Tasks\{0AAD3B8A-F5DF-41D4-A69E-F1427884EB25} => C:\Users\Tomek\Desktop\win64_153339.exe Task: {1703091F-62F2-4063-BF35-BA5D47ED11CF} - \SlimDrivers Startup -> Brak pliku Task: {1D49AD35-0602-45D2-B3B1-0196535D0D31} - \{927B2167-321E-43BE-9B64-E98370AF8FF3} -> Brak pliku Task: {3277D67F-F931-4668-B2A2-53BE02E6BC36} - \{764093C1-D8A2-452D-843E-51CF24360D0D} -> Brak pliku Task: {34575119-75A0-48C0-9536-CE7BF497EC43} - System32\Tasks\{1093E491-AA2E-404F-94B7-582827678324} => pcalua.exe -a C:\Users\Tomek\Desktop\win64_153339.exe -d C:\Users\Tomek\Desktop Task: {46884AEE-9144-4877-9C25-C06820729EDD} - System32\Tasks\Djzdr => Rundll32.exe "C:\Windows\SysWOW64\cliconfgm.dll",YJHBQB Task: {51BEB673-5737-4ED2-A52B-D9ACE9EB2864} - System32\Tasks\{1F937443-1DC4-41F1-BBEE-56F8F983DFA1} => pcalua.exe -a C:\Users\Tomek\Desktop\win64_152822.exe -d C:\Users\Tomek\Desktop Task: {6D720F2A-C02C-4199-A4D0-A847BC1858BA} - \{D355D9B5-7488-4DB9-8762-DA87C97E0893} -> Brak pliku Task: {6FA66645-4A10-4DEC-92F8-2663A2E77E57} - System32\Tasks\{C1478EB5-A665-4627-AA92-CEF7EF37CEE8} => pcalua.exe -a C:\Users\Tomek\Desktop\jre-8u25-windows-i586_[www.programosy.pl].exe -d C:\Users\Tomek\Desktop Task: {7D3F5F77-142F-4FE6-955E-F8735AC8CCFC} - System32\Tasks\{F1E50616-7D24-4C4A-B1A6-EC47193349A2} => pcalua.exe -a C:\Users\Tomek\Desktop\win64_153335.exe -d C:\Users\Tomek\Desktop Task: {88123DCB-CBCB-4F14-8862-05CDD2CCACA8} - \{8EF14A94-5A54-41B0-B7AF-018B0E6A7BF3} -> Brak pliku Task: {898CEFFC-FDDD-4BDF-B268-C751E063A59C} - \AutoKMS -> Brak pliku Task: {91402DF4-EDA3-454C-8D8C-D011EF0C09A8} - System32\Tasks\Microsoft\Windows\TabletPC\InputPersonalization => C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe Task: {9E22F70B-A68E-4767-ABCD-C622C4DD8360} - System32\Tasks\{07A03552-C09F-498F-BB73-F448DBD7B7E6} => pcalua.exe -a "C:\Program Files (x86)\Common Files\DVDVideoSoft\lib\Uninstall.exe" Task: {C13BE581-4132-410E-A688-FECDFCF22113} - System32\Tasks\{8FD27FB1-3681-4A9E-A730-D64DBF7FEC9F} => pcalua.exe -a "D:\Gry\Emperor Battle for Dune\SETUP.EXE" -d "D:\Gry\Emperor Battle for Dune" Task: {DAB5F0AC-F420-4C1E-92EA-E25F4F13BD9E} - \SlimCleaner Plus (Scheduled Scan - Tomek) -> Brak pliku Task: {F6352E20-BF7A-4D7C-BC59-85806CC34F3C} - \{1A0BDA5F-8067-48C1-99DC-976BBB41BFF3} -> Brak pliku Task: C:\Windows\Tasks\Djzdr.job => C:\Windows\system32\rundll32.exe C:\Windows\SysWOW64\cliconfgm.dll S3 SWDUMon; C:\Windows\System32\DRIVERS\SWDUMon.sys [16056 2015-11-29] (SlimWare Utilities, Inc.) S4 AthBTPort; system32\DRIVERS\btath_flt.sys [X] S4 BTATH_A2DP; system32\drivers\btath_a2dp.sys [X] S4 btath_avdt; system32\drivers\btath_avdt.sys [X] S4 BTATH_BUS; system32\DRIVERS\btath_bus.sys [X] S4 BTATH_HCRP; system32\DRIVERS\btath_hcrp.sys [X] S4 BTATH_LWFLT; system32\DRIVERS\btath_lwflt.sys [X] S4 BTATH_RCP; system32\DRIVERS\btath_rcp.sys [X] S4 BtFilter; system32\DRIVERS\btfilter.sys [X] BootExecute: autocheck autochk * sdnclean64.exe Winlogon\Notify\igfxcui: igfxdev.dll [X] HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-18\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-1721066390-4275270589-3150467131-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> ShellIconOverlayIdentifiers: [4SyncOverlay1] -> {2012DE06-50C0-48BD-ACDE-88F95D4CAD1F} => Brak pliku ShellIconOverlayIdentifiers: [4SyncOverlay2] -> {C72C6188-BEF2-46E5-A89A-52F0ED75219E} => Brak pliku ShellIconOverlayIdentifiers: [4SyncOverlay3] -> {C92F6BC2-AF61-4C0E-80E0-939B8282DDB7} => Brak pliku ShellIconOverlayIdentifiers: [4SyncOverlay4] -> {CB1EFEF8-D5E0-49D1-B768-41B48B1D7803} => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-1721066390-4275270589-3150467131-1001\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 AlternateDataStreams: C:\ProgramData:$SS_DESCRIPTOR_SBXNV9VVGV1BFXT9KXN0BXTYKJNW06JNHJDVJWXFSVF7VBCVP4GF AlternateDataStreams: C:\Users\All Users:$SS_DESCRIPTOR_SBXNV9VVGV1BFXT9KXN0BXTYKJNW06JNHJDVJWXFSVF7VBCVP4GF AlternateDataStreams: C:\ProgramData\Application Data:$SS_DESCRIPTOR_SBXNV9VVGV1BFXT9KXN0BXTYKJNW06JNHJDVJWXFSVF7VBCVP4GF C:\Program Files (x86)\Temp C:\Program Files (x86)\Windows Live C:\ProgramData\limttbkj.pkw C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\GameExplorer\{27C10E34-B7C3-4217-9EC0-29D4EC3492AD} C:\ProgramData\Microsoft\Windows\GameExplorer\{8872E108-3018-4C3C-B954-8ADB358A86A6} C:\Users\Tomek\AppData\Local\*.html C:\Users\Tomek\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦 C:\Users\Tomek\AppData\Roaming\1D959CA221C7573.sys C:\Users\Tomek\AppData\Roaming\regsvr32.exe_log.txt C:\Users\Tomek\AppData\Roaming\sp_data.sys C:\Windows\x÷Ż C:\Windows\System32\drivers\SWDUMon.sys C:\Windows\SysWOW64\cliconfgm.dll Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SDScannerService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SDUpdateService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\wlidsvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\wuauserv" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CLMLServer" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tsiVideo" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: sc config MpsSvc start= auto CMD: sc config WinDefend start= demand CMD: sc config wscsvc start= delayed-auto CMD: sc config wuauserv start= auto RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Konfiguracja usług Centrum, Zapory i Windows Defender została już uwzględniona w powyższym skrypcie. Natomiast ręcznie włącz Przywracanie systemu. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Sprawdź czy w tej sytuacji da się po prostu uruchomić instalator IE8. DelFix zrobił co należy. Skasuj z dysku plik C:\delfix.txt.

Fix FRST wykonany. W tym zakresie już kończymy. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Coś tu jest nie tak z detekcją IE8. Sugerują przeinstalować ponownie przeglądarkę. Czyli via Dodaj/Usuń odinstaluj pozycję "Windows Internet Explorer 8", a następnie ponownie zainstaluj z instalatora podanego w przyklejonym temacie.

DelFix wykonał co należy. Skasuj z dysku plik C:\delfix.txt. To wszystko. Temat rozwiązany. Zamykam. I wielkie dzięki za ewentualną dotację!

Brak oznak czynnej infekcji. Widać tylko stare Google Chrome w wersji "developerskiej" (prawdopodobnie przekonwertowane kiedyś przez adware). Do wykonania więc bardziej porządki kosmetyczne (puste wpisy, Tempy): 1. W Firefox jest ustawione jakieś indonezyjskie proxy. Jeśli to nie jest celowa konfiguracja, usuń to proxy. 2. Deinstalacje: - Odinstaluj poszkodowane Google Chrome, starą wersję Java 8 Update 31 (64-bit) oraz sponsorowany McAfee Security Scan Plus. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki, a resztę obiektów Google dokasuje skrypt FRST w punkcie 2. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowe wpisy po odnstalowanym pakiecie Nokia: MSVC80_x64_v2, MSVC80_x86_v2, MSVC90_x64, MSVC90_x86 > Dalej. Narzędzie nie umożliwia akcji hurtowej, należy je uruchomić tyle razy ile jest wpisów. 3. Otwórz Notatnik i wklej w nim: CreateRestorePoint: Task: {D6EAC24E-B095-42D1-ACF3-12024543385A} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku Task: {F0658738-807B-4DFF-9965-54FD68241BA1} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {FC2E687D-3646-40FE-91EE-416A0D55CA31} - System32\Tasks\iolo Process Governor => C:\Program Files (x86)\iolo\System Mechanic\iologovernor64.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe S2 SWUpdateService; C:\ProgramData\Samsung\SW Update Service\SWMAgent.exe /SERVICE [X] R0 mfehidk; C:\Windows\System32\drivers\mfehidk.sys [864072 2015-12-07] (McAfee, Inc.) S3 mferkdet; C:\Windows\System32\drivers\mferkdet.sys [106120 2015-12-07] (McAfee, Inc.) S3 efavdrv; \??\C:\Windows\system32\drivers\efavdrv.sys [X] S3 RimUsb; System32\Drivers\RimUsb_AMD64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp => ""="Service" HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-2473741681-2772739424-3275958420-1001\...\MountPoints2: {24901a9c-9060-11e5-9f0f-70f395f8fe6a} - F:\autorun.exe CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKU\S-1-5-21-2473741681-2772739424-3275958420-1001 -> {864E4547-55D1-4F75-93BD-12A8681024A5} URL = hxxp://www.idg.pl?q={searchTerms} SearchScopes: HKU\S-1-5-21-2473741681-2772739424-3275958420-1001 -> {FBEDAEB5-244F-48C3-8AD0-DA7DF098A0F3} URL = hxxp://www.idg.pl?q={searchTerms} C:\Program Files\McAfee C:\Program Files\stinger C:\Program Files (x86)\Google C:\Program Files (x86)\Nokia C:\ProgramData\InstallMate C:\ProgramData\McAfee C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo C:\Users\podst\AppData\Local\llftool.4.40.agreement C:\Users\podst\AppData\Local\Google C:\Users\podst\AppData\Local\Microsoft\Windows\GameExplorer\{E2C2D26E-16E5-4A84-820D-634B6933DD56} C:\Users\podst\AppData\Roaming\1D959CA221C7573.sys C:\Users\podst\AppData\Roaming\System5908ConfigCollection.dat C:\Users\podst\AppData\Roaming\E Dev C:\Users\podst\AppData\Roaming\Opera Software C:\Windows\system32\mfevtps.exe C:\Windows\system32\Drivers\mfehidk.sys C:\Windows\system32\Drivers\mferkdet.sys Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt oraz: Tak.

W zakresie czyszczenia systemu kończymy. Odinstaluj USBFix. Skasuj FRST i jego logi z folderu C:\Users\Pawel\Desktop\Nowy folder. Następnie jeszcze popraw za pomocą DelFix. Przykładowa propozycja: CCleaner Portable.

W porządku. Teraz możesz więc wykonać to: Koniec czyszczenia systemu.

Do katalogu C:\Windows\system32\Drivers.

1. AdwCleaner czepia się programu Media Player Codec Pack 4.3.7. Na wszelki wypadek odinstaluj ten program. 2. Następnie otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\XTab RemoveDirectory: C:\ProgramData\IHProtectUpDate RemoveDirectory: C:\ProgramData\MailUpdate RemoveDirectory: C:\ProgramData\WindowsMangerProtect RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Media Player - Codec Pack RemoveDirectory: C:\Users\Pawel\AppData\Local\FileViewPro RemoveDirectory: C:\Users\Pawel\AppData\Roaming\MailUpdate RemoveDirectory: C:\Windows\SysWOW64\Codecs DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKLM\SOFTWARE\Classes\Interface\{B81A3063-CE6C-4F9A-AEBD-5DDD0EA805A0} DeleteKey: HKLM\SOFTWARE\Wow6432Node\do-searchSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\IHProtect DeleteKey: HKLM\SOFTWARE\Wow6432Node\SupDp DeleteKey: HKLM\SOFTWARE\Wow6432Node\supWindowsMangerProtect DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{B81A3063-CE6C-4F9A-AEBD-5DDD0EA805A0} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{31D48CAD-F6D9-411A-A0C9-C1F051511A86} DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WindowsMangerProtect Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Uściślij pytanie, do czego konkretnie zmierzasz, o jakich programach mowa?