picasso

W raporcie nie było śladów stosowania AdwCleaner. Czy nadal na dysku jest folder C:\AdwCleaner z logami? Jeśli jest, to przedstaw logi. I zrób kosmetyczne poprawki na odpadkowe wpisy Avast i McAfee. Otwórz Notatnik i wklej w nim: CreateRestorePoint: HKLM-x32\...\Run: [mcpltui_exe] => "C:\Program Files\Common Files\McAfee\Platform\mcuicnt.exe" /platui ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku S4 McProxy; "C:\Program Files\Common Files\mcafee\platform\McSvcHost\McSvHost.exe" /McCoreSvc [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" FirewallRules: [{4A74CCCF-8AC8-4BA2-A79A-CAEE0713A655}] => (Allow) C:\Program Files\Common Files\mcafee\platform\McSvcHost\McSvHost.exe FirewallRules: [{36034A72-8DBE-43C0-BC8A-4C0E3D78445E}] => (Allow) C:\Program Files\Common Files\mcafee\platform\McSvcHost\McSvHost.exe C:\ProgramData\AVAST Software Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IgfxTray /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v mcpltui_exe /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowy skan FRST nie jest mi potrzebny.

1. W raportach nie ma żadnych widocznych oznak infekcji. Jaki typ reklam się wyświetla i podczas jakich akcji? Zaprezentuj zrzut ekranu. Czy problem występuje tylko w Firefox, czy również w systemowym Internet Explorer? 2. Datę masz ustawioną mocno "przodu": Uruchomiony przez Asus (administrator) LAPTOP (17-12-2017 16:09:40) Datę należy skorygować ręcznie w ustawieniach czasu systemu. Po korekcie ustąpią problemy z komunikatami o certyfikatach.

Klawisz z flagą Windows + X > Uruchom > regedit > przejdź do klucza: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IpOverUsbSvc Dwuklik w wartość Start i zamień figurującą tam liczbę 2 na 4. Zresetuj system. Podaj czy są jakieś widoczne zmiany w starcie systemu.

EDIT: To jest bug FRST Wersja:16-11-2015, bo u mnie właśnie pokazało się dokładnie to samo co u Ciebie. Jeśli wrócę na starszą wersję 7-11-2015, skan wygląda jak powinien. Wszystko jest w porządku ze sterownikami. Już zgłosiłam autorowi problem.

Skoro to jest adapter USB, to wg manuala tam nie ma żadnej konfiguracji tego typu. Czyli jest jeszcze router? To na tym drugim urządzeniu zastosuj przycisk reset i po tym spróbuj się zalogować do interfejsu konfiguracji routera.

Infekcja pomyślnie usunięta. Zostaje nierozwiązywalny problem zaszyfrowanych plików na wszystkich dyskach. Na dysku C dostało się także plikom programów i Windows, więc pewne ubytki odnotujesz np. w opcjach niektórych aplikacji. Jedyne co jest w mojej gestii, to ewentualne usunięcie zaszyfrowanych kopii z wybranych miejsc. Teraz na spokojnie wybierz który wariant wdrażamy dla dysku C: - Usunięcie wszystkich zaszyfrowanych plików z dysku C. Nadal zostanie problem naruszonych programów i przy natknięciu się na taki kwiatek wymagana reinstalacja danego programu. - Format partycji C. Pliki na innych dyskach niż systemowy to osobna sprawa. To już do ewentualnego ręcznego posprzątania z zachowaniem na wszelki wypadek ważnych zaszyfrowanych kopii. Na teraz i tak nie ma żadnych szans, by je odkodować.

To jest cała nazwa: Windows Phone IP over USB Transport. Wątpliwością tu jest tylko czy na początku tej nazwy figuruje dodatkowe słowo "Usługa", czy też nie. Jeśli na 100% nie będzie tego widać, podam sposób jak to wyłączyć w inny sposób.

Objaw nie jestem niczym dobrym, ale nie widzę jawnych oznak infekcji... Skopiuj na Pulpit poniższe foldery: C:\Program Files (x86)\Opera C:\Users\wojtuq\AppData\Roaming\Opera Software Spakuj do jednego ZIP, shostuj gdzieś paczkę i na PW wyślij link. EDIT: W paczkach nic podejrzanego nie widzę. Jedyne referencje do adresu tradeadexchange.com znajduję w plikach Cookies i History Provider Cache. Pozostałe wystąpienia adresu nie są szkodliwe, tzn. lista blokująca µBlock (...Opera Software\Opera Stable\Extensions\kccohkcpppjjkkjppopfnflnebibpida\1.3.2_0\assets\thirdparties\easylist-downloads.adblockplus.org\easylist.txt) oraz zapamiętany w Historii tytuł tutejszego tematu wymieniający ten adres. W związku z tym przychodzi mi do głowy tylko wyczyszczenie danych przeglądania Opery: 1. Ustawienia > Prywatność i bezpieczeństwo > Wyczyść dane przeglądania > ustaw przedział czasowy "od samego początku" i zaznacz wszystkie pozycje z wyjątkiem haseł i formularzy > Wyczyść dane przeglądania. 2. Uruchom ponownie Operę i podaj czy MBAM nadal zgłasza te połączenia.

Napisałeś to w taki sposób jakbyś szukał dwóch, a to jest jedna usługa "Windows Phone IP over USB Transport". Ona powinna być widoczna. Sprawdź dokładnie czy nie widać jej pod nazwą "Usługa Windows Phone IP over USB Transport". DelFix wykonał zadanie, skasuj z dysku plik C:\delfix.txt. A w skanie MBAM nie widać żadnych rootkitów, tylko szczątki adware w magazynie HTML5 (rodzaj podobny do "ciasteczek") Google Chrome, co rzecz jasna do usunięcia.

1. Tu masz instrukcję tworzenia pełnego zrzutu pamięci: KLIK. Była wprawdzie mowa o zrzucie pamięci konkretnego procesu, ale szerszy zakres danych może być wymagany, bo prawdopodobnie lista procesów nie jest ograniczona do jednej instancji. Procesy są widziane różnie: w FRST nie widać ani jednego z procesów infekcji pasujących do istniejących wpisów startowych (evdyx-a.exe, ydcfwkop.exe), ale w GMER jeden z nich figuruje jako ukryty (evdyx-a.exe), i nie jestem pewna czy ten stan się przypadkiem nie zmienił (mogą być aktywne dwa lub nawet inne procesy mogły się pojawić). 2. Do zrzutu aktywności sieciowej możesz użyć np. kombinację WinPcap + WinDump. Zrzuty prześlij mgrzeg do analizy.

Skoro nie można się dostać do interfejsu logowania routera w taki sposób, możesz zrobić reset fabryczny za pomocą przycisku na obudowie, co także zresetuje ustawienia DNS skonfigurowane w routerze. Jeżeli ta operacja pozwoli się zalogować do routera, to natychmiast zmienić hasło i wyłączyć dostęp zdalny, jak omawiane powyżej. A reszta instrukcji nadal bez zmian.

Infekcja pomyślnie usunięta. Oczywiście na dyskach C, D, F pozostały masowo utworzone obiekty wtórne (pliki HELP_DECRYPT.* + HOWTO_RESTORE_FILES.*) oraz zaszyfrowane pliki. Możesz przejść do formatowania dysku C, co rozwiąże problemy pozostałości. Na dyskach D i F będziesz musiał ręcznie posprzątać śmieci utworzone przez infekcje szyfrujące.

W związku z tym, że najwyraźniej zmaipulowałeś nazwę użytkownika muszą być zastosowane obejścia, bo Fix FRST nie przetworzy fałszywej ścieżki. W podstawowej wersji instrukcja wyglądałaby tak: 1. Zaznacz myszką poniższy tekst widoczny na szarym tle i skopiuj (prawy przycisk myszki > opcja Kopiuj): CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2198406095-3139052445-529361822-1000\...\Run: [43715f4] => C:\Windows\syswow64\regsvr32.exe C:\43715f47\43715f47.dll HKU\S-1-5-21-2198406095-3139052445-529361822-1000\...\Run: [43715f47] => C:\Windows\syswow64\regsvr32.exe C:\Users\9DEC~1\AppData\Roaming\43715f47.dll ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => Brak pliku SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości BHO-x32: Pomocnik logowania za pomocą identyfikatora Windows Live -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll => Brak pliku Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku CustomCLSID: HKU\S-1-5-21-2198406095-3139052445-529361822-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2198406095-3139052445-529361822-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2198406095-3139052445-529361822-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.23.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2198406095-3139052445-529361822-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2198406095-3139052445-529361822-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2198406095-3139052445-529361822-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2198406095-3139052445-529361822-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2198406095-3139052445-529361822-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2198406095-3139052445-529361822-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.24.7\psuser_64.dll => Brak pliku FF Plugin-x32: @gamersfirst.com/LiveLauncher -> C:\Program Files (x86)\GamersFirst\LIVE!\nplivelauncher.dll [brak pliku] FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files (x86)\Microsoft Silverlight\5.1.30214.0\npctrl.dll [brak pliku] FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => nie znaleziono Task: {C21B1897-B6D0-4ACE-8D03-2E6CD2C2B5B4} - System32\Tasks\{4C9E6C00-A383-45DA-B774-7798CD037CAD} => pcalua.exe -a "C:\Users\ \AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Q7TKM0BK\AdobeAIRInstaller.exe" -d C:\Users\ \Desktop Task: {FE455A8A-43C1-4E43-9479-254E4DE89BCD} - System32\Tasks\{E157E865-4215-455C-9649-2BEEB499C422} => pcalua.exe -a H:\setup.exe -d H:\ -c /autorun S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 GGSAFERDriver; \??\D:\programy\Garena Plus\Room\safedrv.sys [X] S3 X6va005; \??\C:\Users\9DEC~1\AppData\Local\Temp\005D02B.tmp [X] AlternateDataStreams: C:\Users\9DEC~1\Local Settings:init C:\43715f47 C:\Program Files (x86)\mozilla firefox\plugins CMD: netsh advfirewall reset CMD: del /q %appdata%\43715f47.dll CMD: del /q %appdata%\7za.exe CMD: del /q %appdata%\a.7z CMD: del /q %appdata%\Mozilla\Firefox\Profiles\pbfzvjtn.default\prefs.js CMD: del /q %appdata%\Mozilla\Firefox\Profiles\pbfzvjtn.default\Extensions\*.xpi CMD: del /q "%localappdata%\Google\Chrome\User Data\Default\Preferences" CMD: del /q "%localappdata%\Google\Chrome\User Data\Default\Web Data" CMD: attrib -r -h -s C:\HELP_DECRYPT.* /s CMD: attrib -r -h -s D:\HELP_DECRYPT.* /s CMD: del /q /s C:\HELP_DECRYPT.* CMD: del /q /s D:\HELP_DECRYPT.* Hosts: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Otwórz Notatnik i wklej skopiowany tekst (czyli z prawokliku opcja Wklej). Plik zapisz pod nazwą fixlist.txt w tym samym folderze gdzie jest FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi automatyczny restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Fix może długo się wykonywać ze względu na rekursywne usuwanie wszystkich plików typu HELP_DECRYPT.* z dysków C i D. 2. Dostarcz dane powierdzające usunięcie infekcji, czyli: - Zrób nowy log FRST wg instrukcji: KLIK. Logi należy doczepić w postaci załączników [to mógłbyś opisać rodzicom dokładniej gdzie szukać opcji na forum]. - Wynikowy plik fixlog.txt też potrzebuję sprawdzić, ale on będzie bardzo duży i się nie zmieści w załącznikach. Za pomocą zainstalowanego WinRAR spakuj więc do ZIP ten plik, umieść na jakimś serwisie hostingowym [tu podać rodzicom jaki i jak obsłużyć] i podaj link w poście. To byłoby doraźne rozwiązanie polegające na usunięciu czynnej infekcji oraz dorobionych masowo przez infekcję plików HELP_DECRYPT*. Pozostałby problem zaszyfrowanych danych, z którymi nic nie da się zrobić, oraz uszkodzeń programów i Windows spowodowanych brakiem plików występujących już w postaci zaszyfrowanej (to wymagałoby i tak przeinstalowania określonych rzeczy). Na dalszą metę można sformatować system, gdy będziesz osobiście pilotował sprawę. Moim zdaniem nie opłaca się bulić informatykowi, który nic ponad opisaną procedurę (lub od razu format dysku) nie zdziała.

O jakim IP mówisz? Logując się do routera poprzez wklepanie adresu IP w pasku należy użyć adres widziany w ipconfig (linia Default Gateway / Domyślna brama). Czy ten adres nie wchodzi w przeglądarce, by dostać się do konfigu routera?

Infekcja nadal czynna, tylko zmienił się układ. Niestety stan został pogorszony jeszcze bardziej, wykonane podwójne szyfrowanie danych, co jest karkołomną kombinacją nie do rozwiązania. Pojawił się drugi szyfrator danych TeslaCrypt zastępujący poprzednika - widać na dysku zakodowane pliki o rozszerzeniu *.ccc. Tego wariantu też nie da się odszyfrować, ale tu jest skomasowana niemożność dekodowania (Cryptowall > TeslaCrypt). Jedyne co mogę zrobić, to usunąć czynną infekcję, ale po tym sugeruję od razu zrobić kompleksowy format dysku, bo podwójne szyfrowanie to rozległa dewastacja i nie wszystkie uszkodzenia zrobione przez infekcje jestem w stanie naprawić. Poza tym, widać że ten system był w przeszłości poddawany działaniu innych inwazyjnych infekcji (np. ZeroAccess) i mam silne wątpliwości czy szkody po tej infekcji były w owym czasie zlikwidowane. Zaszyfrowanych danych niestety nie da się odzyskać. Doraźne usunięcie czynnej infekcji, by przygotować się do formatu: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: HKLM\...\Run: [aspnet_regsql] => C:\ProgramData\aspnet_regsql.exe [4096 2015-11-06] () HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [qewr2342] => C:\Users\Primol\AppData\Roaming\javcw-a.exe HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Run: [OpAgent] => "OpAgent.exe" /agent HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Run: [GalaxyClient] => [X] HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Run: [Akdworks] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Primol\AppData\Local\Ahbhworks\cbdqutnw.dll HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Run: [Opfics] => regsvr32.exe C:\Users\Primol\AppData\Local\Opfics\qpmhudvp.dll HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Run: [qewr2342] => C:\Users\Primol\AppData\Roaming\javcw-a.exe HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Policies\Explorer: [] HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Policies\Explorer: [TaskbarNoNotification] 1 HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Policies\Explorer: [HideSCAHealth] 1 GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia ShellIconOverlayIdentifiers: [0PerformanceMonitor] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => Brak pliku ShellIconOverlayIdentifiers: [1MediaIconsOverlay] -> {1EC23CFF-4C58-458f-924C-8519AEF61B32} => Brak pliku Startup: C:\Users\Primol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fliptoast.lnk [2011-12-20] CustomCLSID: HKU\S-1-5-21-1571191598-4212959213-3768767430-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Primol\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1571191598-4212959213-3768767430-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Primol\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1571191598-4212959213-3768767430-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Primol\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1571191598-4212959213-3768767430-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Primol\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1571191598-4212959213-3768767430-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\acledit.dll () Task: {09F03BE8-6E4F-4610-A3B9-668AD9EBC1C8} - System32\Tasks\{CEDF1330-0C5A-44E4-AA75-592A848B1745} => pcalua.exe -a C:\Users\Primol\Desktop\Diablo-III-8370-plPL-Installer-downloader.exe -d C:\Users\Primol\Desktop Task: {1E22C2E3-6561-4497-99B3-E00C51AF888B} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: {6CB06F2E-A2E0-420D-935D-BE104A20A03C} - System32\Tasks\{5A9547FB-9643-42E1-B1F5-075256CDFEBC} => pcalua.exe -a D:\Steam\steam.exe -c steam://uninstall/34030 Task: {B3ED0109-542A-43BC-8173-716170065817} - System32\Tasks\{1120A0E6-7B1D-475B-BCF3-331D089C76F1} => pcalua.exe -a "D:\GameJack 5\GameJack.exe" -d "D:\GameJack 5\" S3 ALSysIO; \??\C:\Users\Primol\AppData\Local\Temp\ALSysIO64.sys [X] S3 cpuz135; \??\C:\Windows\TEMP\cpuz135\cpuz135_x64.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] U3 awrdipob; \??\C:\Users\Primol\AppData\Local\Temp\awrdipob.sys [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.aartemis.com/web/?type=ds&ts=1387320947&from=cor&uid=SAMSUNGXHD502HJ_S20BJA0B902971&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.aartemis.com/web/?type=ds&ts=1387320947&from=cor&uid=SAMSUNGXHD502HJ_S20BJA0B902971&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.aartemis.com/web/?type=ds&ts=1387320947&from=cor&uid=SAMSUNGXHD502HJ_S20BJA0B902971&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.aartemis.com/web/?type=ds&ts=1387320947&from=cor&uid=SAMSUNGXHD502HJ_S20BJA0B902971&q={searchTerms} BHO: Hotspot Shield Class -> {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} -> C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE_64.dll => Brak pliku StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF Plugin-x32: @esn/npbattlelog,version=2.3.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.3.2\npbattlelog.dll [brak pliku] FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] C:\Program Files\Common Files\WireHelpSvc.exe C:\ProgramData\aspnet_regsql.exe C:\ProgramData\RegComSrv.txt.ccc C:\ProgramData\taskeng.dll C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8} C:\Users\Primol\AppData\Local\Ahbhworks C:\Users\Primol\AppData\Local\Mobogenie C:\Users\Primol\AppData\Local\Opfics C:\Users\Primol\AppData\Roaming\Thumbs.db C:\Users\Primol\AppData\Roaming\Mozilla\Firefox\Profiles\m74d7t5z.default\Extensions\{85D5939E-85A9-5C88-43B7-612ABE9DADBA} RemoveDirectory: C:\Users\Primol\AppData\Local\{8c0f2b29-12c2-451d-2f6c-52ae1a624c64} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Poprawiłam formatowanie posta. Wiele podejrzanych: - Owszem, widać w raportach aktywne adware Monarch Find (plus inne niepożądane ingerencje, w tym zainfekowany Firefox) i jest to jedna z możliwych przyczyn problemów. - Aczkolwiek tu zwraca też uwagę modyfikacja Winsock wprowadzona przez świeżo zainstalowane oprogramowanie Winfast. - I niepokoi mnie zakreślony serwer DNS pobierany z routera, mimo że to teoretycznie polski adres: KLIK. Ale on nie odpowiada dostawcy IP pod jakim widać Cię na forum, oraz to szczególne sparowanie z adresem Google budzi podejrzenia, taki układ jest charakterystyczny dla infekcji routera... No i posiadasz router TP-Link (zainstalowane oprogramowanie TL-WN721N/TL-WN722N Driver). Tcpip\Parameters: [DhcpNameServer] 91.189.248.66 8.8.8.8 Operacje do wykonania: 1. Na wszelki wypadek zmień ustawienia DNS routera. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Deinstalacje: ----> Przez Panel sterowania odinstaluj: - Adware: Monarch Find, Picexa. - Stare wersje i zbędniki: Adobe Flash Player 17 NPAPI, Adobe Flash Player 17 PPAPI, Bing Bar, HP Deskjet 1050 J410 series — badanie mające na celu poprawę produktów, Mozilla Firefox 39.0.3 (x86 pl), Mozilla Maintenance Service, Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables (te dwie instancje Visual Studio to odpadki po odinstalowanym AVG). Przy deinstalacji Firefox potwierdź usuwanie profilu z dysku. ----> Widać też na liście odpadek Norton Internet Security, więc zastosuj narzędzie Norton Removal Tool. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-1687086191-1766106099-2116064288-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.delta-homes.com/?type=sc&ts=1442922687&z=00cfbeb7cfa4e6b4da75c59g8z2z1o7t6o7o7qabab&from=ient07031&uid=WDCXWD10EZEX-08M2NA0_WD-WMC3F281549915499 R2 IhPul; C:\Users\Mikołaj\AppData\Roaming\TSv\TSvr.exe [396944 2015-09-21] (tsvr.com) S2 AODDriver4.2.0; \??\C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] HKLM-x32\...\Run: [] => [X] Startup: C:\Users\Mikołaj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Powiadomienia monitorowania tuszu - HP Deskjet 1050 J410 series.lnk [2015-09-24] Task: {8544BECD-DAC2-4836-87C5-54C5157CE170} - System32\Tasks\{8E6FEE63-0839-4370-BB85-19DB3776E470} => pcalua.exe -a C:\Users\Mikołaj\Desktop\Downloads\ATRAC3\atrac3.exe -d C:\Users\Mikołaj\Desktop\Downloads\ATRAC3 Task: {C6DACE99-4A63-4EF0-B318-EDEDB5EC65DF} - System32\Tasks\{E89BCD4F-D5D9-4AAF-A94E-55FE9FA2ABDE} => pcalua.exe -a C:\Users\Mikołaj\Desktop\Downloads\ASIO4ALL_2_9_English.exe -d C:\Users\Mikołaj\Desktop\Downloads Task: {F3209651-0958-49DD-8652-0DCA7902C4F4} - System32\Tasks\{C2D6D357-69B7-4F4F-AC90-30998891EDEC} => pcalua.exe -a C:\Users\Mikołaj\Desktop\Downloads\Metin2Mod_2013SF_13012015.exe -d C:\Users\Mikołaj\Desktop\Downloads C:\Program Files (x86)\AVG C:\Program Files (x86)\Monarch Find C:\Program Files (x86)\Picexa C:\Program Files (x86)\Vuze C:\Program Files (x86)\Common Files\6b8a269e-46ff-4899-a3e6-0e20ae670c9b C:\ProgramData\6b8a269e-46ff-4899-a3e6-0e20ae670c9b C:\ProgramData\AVG C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Vuze.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\STAR WARS Battlefront Beta C:\Users\Mikołaj\AppData\Local\Avg C:\Users\Mikołaj\AppData\Roaming\appdataFr3.bin C:\Users\Mikołaj\AppData\Roaming\PLZQ C:\Users\Mikołaj\AppData\Roaming\WISZARM C:\Users\Mikołaj\AppData\Roaming\AVG C:\Users\Mikołaj\AppData\Roaming\Azureus C:\Users\Mikołaj\AppData\Roaming\OpenCandy C:\Users\Mikołaj\AppData\Roaming\RPEng C:\Users\Mikołaj\AppData\Roaming\TSv C:\Windows\SysWOW64\pl.html Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Mikołaj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się jak sprawy wyglądają oraz potwierdź mi, że w Google Chrome i Operze nie występują reklamy "Monarch Find", bo jeśli tak, to jest tu globalna modyfikacja niewidzialna w raporcie i trzeba będzie podjąć inne kroki.

1. FRST zadanie jednak wykrył i częściowo usunął, w międzyczasie zadanie bowiem zmieniło identyfikator rejestru. Nadal widzę je w Harmonogramie, ale już w postaci zupełnie zdewastowanej. Kolejna poprawka. Otwórz Notatnik i wklej w nim: Task: {F8A026DC-D6B7-4FA3-A818-D3E21CB700A2} - \AutoKMS -> Brak pliku CMD: set Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Druga sprawa, czy przypadkiem w Autoruns nie ruszałeś czegoś więcej niż zadane? Widzę nową i to niekorzystną zmianę, otóż nagle z niewiadomych powodów masa sterowników (uprzednio filtrowana) się ujawniła pokazując "brak pliku", co nie jest normalne. Fix FRST w ogóle nie ruszał tego obszaru, więc powstaje pytanie skąd ta usterka. W powyższym fixie zadałam komendę sprawdzania Zmiennych środowiskowych, może tam coś się uszkodziło. R3 1394ohci; \SystemRoot\System32\drivers\1394ohci.sys [X] S3 acpipagr; \SystemRoot\System32\drivers\acpipagr.sys [X] S3 AcpiPmi; \SystemRoot\System32\drivers\acpipmi.sys [X] S3 acpitime; \SystemRoot\System32\drivers\acpitime.sys [X] R1 AFD; \SystemRoot\system32\drivers\afd.sys [X] S3 AmdK8; \SystemRoot\System32\drivers\amdk8.sys [X] S3 AmdPPM; \SystemRoot\System32\drivers\amdppm.sys [X] S3 AppID; \SystemRoot\system32\drivers\appid.sys [X] R1 AVGIDSShim; \SystemRoot\system32\DRIVERS\avgidsshimw8x.sys [X] R1 Avgwfpx; \SystemRoot\system32\DRIVERS\avgwfpx.sys [X] R3 b57nd60x; \SystemRoot\system32\DRIVERS\b57nd60x.sys [X] R1 BasicDisplay; \SystemRoot\System32\drivers\BasicDisplay.sys [X] R1 BasicRender; \SystemRoot\System32\drivers\BasicRender.sys [X] R3 BCM43XX; \SystemRoot\system32\DRIVERS\bcmwl63l.sys [X] S3 bcmfn2; \SystemRoot\System32\drivers\bcmfn2.sys [X] S3 BthAvrcpTg; \SystemRoot\System32\drivers\BthAvrcpTg.sys [X] S3 BthHFEnum; \SystemRoot\System32\drivers\bthhfenum.sys [X] S3 bthhfhid; \SystemRoot\System32\drivers\BthHFHid.sys [X] S3 BTHMODEM; \SystemRoot\System32\drivers\bthmodem.sys [X] R1 cdrom; \SystemRoot\System32\drivers\cdrom.sys [X] S3 circlass; \SystemRoot\System32\drivers\circlass.sys [X] R3 CmBatt; \SystemRoot\System32\drivers\CmBatt.sys [X] R3 CompositeBus; \SystemRoot\System32\drivers\CompositeBus.sys [X] S3 dmvsc; \SystemRoot\System32\drivers\dmvsc.sys [X] S3 drmkaud; \SystemRoot\system32\drivers\drmkaud.sys [X] R3 DXGKrnl; \SystemRoot\System32\drivers\dxgkrnl.sys [X] S3 E1G60; \SystemRoot\system32\DRIVERS\E1G60I32.sys [X] S3 ErrDev; \SystemRoot\System32\drivers\errdev.sys [X] S3 fdc; \SystemRoot\System32\drivers\fdc.sys [X] S3 flpydisk; \SystemRoot\System32\drivers\flpydisk.sys [X] S3 FxPPM; \SystemRoot\System32\drivers\fxppm.sys [X] S3 gencounter; \SystemRoot\System32\drivers\vmgencounter.sys [X] S3 GPIO; \SystemRoot\System32\drivers\iaiogpio.sys [X] S3 HdAudAddService; \SystemRoot\system32\drivers\HdAudio.sys [X] R3 HDAudBus; \SystemRoot\System32\drivers\HDAudBus.sys [X] S3 HidBatt; \SystemRoot\System32\drivers\HidBatt.sys [X] S3 HidBth; \SystemRoot\System32\drivers\hidbth.sys [X] S3 hidi2c; \SystemRoot\System32\drivers\hidi2c.sys [X] S3 HidIr; \SystemRoot\System32\drivers\hidir.sys [X] R3 HidUsb; \SystemRoot\System32\drivers\hidusb.sys [X] S3 hyperkbd; \SystemRoot\System32\drivers\hyperkbd.sys [X] S3 HyperVideo; \SystemRoot\system32\DRIVERS\HyperVideo.sys [X] R3 i8042prt; \SystemRoot\System32\drivers\i8042prt.sys [X] S3 iaioi2c; \SystemRoot\System32\drivers\iaioi2c.sys [X] R3 igfx; \SystemRoot\system32\DRIVERS\igdkmd32.sys [X] R3 IntcAzAudAddService; \SystemRoot\system32\drivers\RTKVHDA.sys [X] R3 intelppm; \SystemRoot\System32\drivers\intelppm.sys [X] S3 IPMIDRV; \SystemRoot\System32\drivers\IPMIDrv.sys [X] R2 irda; \SystemRoot\system32\DRIVERS\irda.sys [X] S3 iScsiPrt; \SystemRoot\System32\drivers\msiscsi.sys [X] R3 kbdclass; \SystemRoot\System32\drivers\kbdclass.sys [X] S3 kbdhid; \SystemRoot\System32\drivers\kbdhid.sys [X] R3 kdnic; \SystemRoot\system32\DRIVERS\kdnic.sys [X] R2 lltdio; \SystemRoot\system32\DRIVERS\lltdio.sys [X] R2 luafv; \SystemRoot\system32\drivers\luafv.sys [X] R3 monitor; \SystemRoot\System32\drivers\monitor.sys [X] R3 mouclass; \SystemRoot\System32\drivers\mouclass.sys [X] R3 mouhid; \SystemRoot\System32\drivers\mouhid.sys [X] S3 MRxDAV; \SystemRoot\system32\drivers\mrxdav.sys [X] S3 MsBridge; \SystemRoot\system32\DRIVERS\bridge.sys [X] S3 msgpiowin32; \SystemRoot\System32\drivers\msgpiowin32.sys [X] S3 mshidkmdf; \SystemRoot\System32\drivers\mshidkmdf.sys [X] S3 mshidumdf; \SystemRoot\System32\drivers\mshidumdf.sys [X] S3 MSKSSRV; \SystemRoot\system32\drivers\MSKSSRV.sys [X] S3 MsLldp; \SystemRoot\system32\DRIVERS\mslldp.sys [X] S3 MSPCLOCK; \SystemRoot\system32\drivers\MSPCLOCK.sys [X] S3 MSPQM; \SystemRoot\system32\drivers\MSPQM.sys [X] R1 mssmbios; \SystemRoot\System32\drivers\mssmbios.sys [X] S3 MSTEE; \SystemRoot\system32\drivers\MSTEE.sys [X] S3 MTConfig; \SystemRoot\System32\drivers\MTConfig.sys [X] R2 NativeWifiP; \SystemRoot\system32\DRIVERS\nwifi.sys [X] S3 NdisCap; \SystemRoot\system32\DRIVERS\ndiscap.sys [X] S3 NdisImPlatform; \SystemRoot\system32\DRIVERS\NdisImPlatform.sys [X] S3 NdisTapi; \SystemRoot\system32\DRIVERS\ndistapi.sys [X] R3 Ndisuio; \SystemRoot\system32\DRIVERS\ndisuio.sys [X] R3 NdisVirtualBus; \SystemRoot\System32\drivers\NdisVirtualBus.sys [X] S3 NdisWan; \SystemRoot\system32\DRIVERS\ndiswan.sys [X] S3 NdisWanLegacy; \SystemRoot\system32\DRIVERS\ndiswan.sys [X] S3 netvsc; \SystemRoot\System32\drivers\netvsc63.sys [X] R1 npsvctrig; \SystemRoot\System32\drivers\npsvctrig.sys [X] R3 NSCIRDA; \SystemRoot\system32\DRIVERS\nscirda.sys [X] S3 Parport; \SystemRoot\System32\drivers\parport.sys [X] S2 Parvdm; \SystemRoot\System32\drivers\parvdm.sys [X] S3 Processor; \SystemRoot\System32\drivers\processr.sys [X] R1 Psched; \SystemRoot\system32\DRIVERS\pacer.sys [X] S3 QWAVEdrv; \SystemRoot\system32\drivers\qwavedrv.sys [X] S3 RasPppoe; \SystemRoot\system32\DRIVERS\raspppoe.sys [X] R3 rdpbus; \SystemRoot\System32\drivers\rdpbus.sys [X] R2 rspndr; \SystemRoot\system32\DRIVERS\rspndr.sys [X] S3 s3cap; \SystemRoot\System32\drivers\vms3cap.sys [X] R3 sdbus; \SystemRoot\System32\drivers\sdbus.sys [X] S3 sdstor; \SystemRoot\System32\drivers\sdstor.sys [X] S3 Serenum; \SystemRoot\System32\drivers\serenum.sys [X] S3 Serial; \SystemRoot\System32\drivers\serial.sys [X] S3 sermouse; \SystemRoot\System32\drivers\sermouse.sys [X] S3 sfloppy; \SystemRoot\System32\drivers\sfloppy.sys [X] R3 SrvHsfHDA; \SystemRoot\system32\DRIVERS\VSTAZL3.SYS [X] R3 SrvHsfV92; \SystemRoot\system32\DRIVERS\VSTDPV3.SYS [X] R3 SrvHsfWinac; \SystemRoot\system32\DRIVERS\VSTCNXT3.SYS [X] R3 swenum; \SystemRoot\System32\drivers\swenum.sys [X] S3 TCPIP6; \SystemRoot\system32\DRIVERS\tcpip.sys [X] R1 tdx; \SystemRoot\system32\DRIVERS\tdx.sys [X] S3 terminpt; \SystemRoot\System32\drivers\terminpt.sys [X] R3 tifm21; \SystemRoot\system32\drivers\tifm21.sys [X] S3 TPM; \SystemRoot\system32\drivers\tpm.sys [X] S3 TsUsbGD; \SystemRoot\System32\drivers\TsUsbGD.sys [X] R3 tunnel; \SystemRoot\system32\DRIVERS\tunnel.sys [X] S3 UASPStor; \SystemRoot\System32\drivers\uaspstor.sys [X] S3 UCX01000; \SystemRoot\System32\drivers\ucx01000.sys [X] S3 UEFI; \SystemRoot\System32\drivers\UEFI.sys [X] R3 umbus; \SystemRoot\System32\drivers\umbus.sys [X] S3 UmPass; \SystemRoot\System32\drivers\umpass.sys [X] R3 usbaudio; \SystemRoot\system32\drivers\usbaudio.sys [X] R3 usbccgp; \SystemRoot\System32\drivers\usbccgp.sys [X] S3 usbcir; \SystemRoot\System32\drivers\usbcir.sys [X] R3 usbehci; \SystemRoot\System32\drivers\usbehci.sys [X] R3 usbhub; \SystemRoot\System32\drivers\usbhub.sys [X] S3 USBHUB3; \SystemRoot\System32\drivers\UsbHub3.sys [X] S3 usbohci; \SystemRoot\System32\drivers\usbohci.sys [X] S3 usbprint; \SystemRoot\System32\drivers\usbprint.sys [X] S3 USBSTOR; \SystemRoot\System32\drivers\USBSTOR.SYS [X] R3 usbuhci; \SystemRoot\System32\drivers\usbuhci.sys [X] S3 USBXHCI; \SystemRoot\System32\drivers\USBXHCI.SYS [X] S3 vhdmp; \SystemRoot\System32\drivers\vhdmp.sys [X] S3 ViaC7; \SystemRoot\System32\drivers\viac7.sys [X] S3 VMBusHID; \SystemRoot\System32\drivers\VMBusHID.sys [X] R3 vwifibus; \SystemRoot\System32\drivers\vwifibus.sys [X] R1 vwififlt; \SystemRoot\system32\DRIVERS\vwififlt.sys [X] S3 WacomPen; \SystemRoot\System32\drivers\wacompen.sys [X] S3 WdBoot; \SystemRoot\system32\drivers\WdBoot.sys [X] S3 WdFilter; \SystemRoot\system32\drivers\WdFilter.sys [X] S3 WinUsb; \SystemRoot\system32\DRIVERS\WinUsb.sys [X] R3 WmiAcpi; \SystemRoot\System32\drivers\wmiacpi.sys [X] S4 ws2ifsl; \SystemRoot\system32\drivers\ws2ifsl.sys [X] S3 WUDFRd; \SystemRoot\System32\drivers\WUDFRd.sys [X] S3 WUDFWpdFs; \SystemRoot\system32\DRIVERS\WUDFRd.sys [X] S3 WUDFWpdMtp; \SystemRoot\system32\DRIVERS\WUDFRd.sys [X]

Co Ty opowiadasz. Temat jest w dziale Sieci (wyraźnie mówiłam że go tam przenoszę!): https://www.fixitpc.pl/topic/28473-problem-z-traceniem-pakietów-i-wolnym-internetem/ Tu jest dział diagnostyki infekcji, a tematy nie pasujące do tego działu (brak infekcji) są przenoszone do bardziej pasujących działów.

1. Jakoś pominęłam odpadkowy DAEMON Tools Toolbar nadal widoczny na liście. Ostatnia poprawka do FRST: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DAEMON Tools Toolbar 2. Skasuj FRST i jego logi z folderu C:\Pobieranie. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj systemowy IE8 do wersji IE11, nawet jeśli z niego nie korzystasz. 4. Nie jestem pewna co "łowiła" infekcja. Na wszelki wypadek zmień hasła w ważnych serwisach (bank, poczta, etc).

Jest tu więc jakaś rozbieżność detekcji, albo coś się zmieniło w międzyczasie, bo FRST widzi AutoKMS w Harmonogramie. W związku z tym po prostu zadam do usuwania ten element, wraz z innymi wspominanymi poprawkami. Akcje do przeprowadzenia: 1. Odinstaluj SlimDrivers. Instalacja wygląda na naruszoną (może AdwCleaner coś tam grzebał). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {91FF2CF2-A6AE-4288-A58E-D56F388AAF3A} - System32\Tasks\SlimDrivers Startup => C:\Program Files\SlimDrivers\SlimDrivers.exe Task: {9FA58E07-9EA9-446E-BB99-70AD30F0051E} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office\Office15\msoia.exe Task: {AFBEFB4B-F65A-4845-A836-A7A324203D16} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office\Office15\msoia.exe Task: {B7FE9452-F3C4-4B82-B961-419F0A30898E} - System32\Tasks\JetCleanLoginCheckUpdate => E:\Program Files\BlueSprig\JetClean\AutoUpdate.exe Task: {BE07A5E2-D4A7-4966-A73A-008B31232C0F} - System32\Tasks\JetBoost_AutoUpdate => E:\Program Files\BlueSprig\JetBoost\AutoUpdate.exe Task: {CFFA4BC0-FFC0-465E-ACE9-E6AE7584A19A} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-07-27] () Task: C:\Windows\Tasks\SlimDrivers Startup.job => C:\Program Files\SlimDrivers\SlimDrivers.exe CustomCLSID: HKU\S-1-5-21-988280708-379344645-3364513464-1001_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-988280708-379344645-3364513464-1001_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-988280708-379344645-3364513464-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-988280708-379344645-3364513464-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> Brak ścieżki do pliku HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\AutoKMS Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy po przeprowadzonej operacji AVG nadal coś wykrywa.

Pytanie: czy "puste" pole nazwy użytkownika oznacza celową manipulację wyglądu raportu? Stan systemu jest następujący: owszem, to infekcja CryptoWall 3.0 szyfrująca dane na wszystkich dyskach (tu C i D), plików zaszyfrowanych nie da się odkodować. Co więcej, infekcja jest nadal aktywna, w starcie uruchamiają się szkodliwe moduły. Jestem w stanie usunąć wszystkie wtórnie dodane elementy infekcji, z wyjątkiem odkodowania plików osobistych zaszyfrowanych przez infekcję, tylko jest tu ten problem: Rozumiem, że rodzice słabo się znają na komputerze. Przez telefon nie da się podać instrukcji które mam na myśli, musieliby mieć wgląd do tego tematu i wykonać akcję rozpisaną w poście. Oczywiście format załatwiłby wszystko od ręki. Informatyk nie zdziała więcej niż ja i prawdopodobnie po prostu od razu wykona format, tylko za opłatą. Czy rodzice są w stanie wykonać instrukcje podane w poście lub samodzielnie wykonać format dysku?

Operacja ukończona pomyślnie. Na zakończenie: Zastosuj DelFix, następnie wyczyść foldery Przywracania systemu, oraz zaktualizuj systemowy IE: KLIK.

Wszystko pomyślnie wykonane. Drobne poprawki na szczątki po odinstalowanym Spybocie. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-227159230-626954009-1044769965-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) HKU\S-1-5-18\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) Task: {5D9E9CBB-5556-4E79-BA73-FFE754F40E40} - System32\Tasks\Spybot - Search & Destroy - Scheduled Task => C:\Spybot - Search & Destroy\SpybotSD.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tymrazem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

W raportach nie widać jawnych oznak infekcji. Oceniając po zgłoszeniach AVG kierujących na plik C:\Windows\Temp\SppExtComObjHook.dll, wygląda na to że AVG wykrywa aktywność cracka aktywacji Office. Masz go w Zaplanowanych zadaniach: Task: {CFFA4BC0-FFC0-465E-ACE9-E6AE7584A19A} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-07-27] () Ten crack będzie wykrywany przez rozmaite skanery. Na początek przeprowadź test, czy wyłączenie tego obiektu spowoduje ustanie zgłoszeń. Uruchom Autoruns, w karcie Scheduled Tasks wyłącz AutoKMS, zresetuj system i podaj czy AVG nadal zgłasza coś. Gdy mi potwierdzisz stan rzeczy, zajmę się innymi rzeczami, tzn. usunięcie odpadkowymch wpisów.

Uprawnienioa są już OK w root dysku. Folder RECYLER został odblokowany, więc czy Kosz działa już jak powinien? Ale z pośpiechu bezmyślnie powielałam własny błąd w komendach Reg (brak zamknięcia cudzysłowiem), więc powtórz to: Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /s Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /s