picasso

Nie zmienia to instrukcji. Notujesz problemy z ładowaniem stron, toteż sugeruję zmienić serwery DNS. A ta doinstalowana gra wprowadziła obiekty, które są aktywne i przez skaner klasyfikowane jako "niepożądane".

jessika

Zły import rejestru dostosowany pod starsze systemy! "Windows Defender" w Windows 8/8.1 i Windows 10 to nie jest ten sam program co w starszych systemach, tylko najnowsza wersja Microsoft Security Essentials pod zmienioną nazwą. FRST nie filtruje programów zabezpieczających, więc jeśli Windows Defender nie jest uszkodzony, jest widoczny:

Windows 7 i Vista:

==================== Usługi (filtrowane) ========================
 

R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation)

Windows 10 i 8/8.1:

==================== Usługi (filtrowane) ========================
 

R3 WdNisSvc; C:\Program Files\Windows Defender\NisSrv.exe [277760 2015-07-10] (Microsoft Corporation)

R2 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [23264 2015-07-10] (Microsoft Corporation)
 

===================== Sterowniki (filtrowane) ==========================
 

S0 WdBoot; C:\WINDOWS\System32\drivers\WdBoot.sys [37400 2015-07-10] (Microsoft Corporation)

R0 WdFilter; C:\WINDOWS\System32\drivers\WdFilter.sys [245600 2015-07-10] (Microsoft Corporation)

R2 WdNisDrv; C:\WINDOWS\System32\Drivers\WdNisDrv.sys [97632 2015-07-10] (Microsoft Corporation)

Trzeba będzie odkręcać to co zrobiłaś, bo żadnym cudem nie będzie działać konstrukcja ze starego systemu.

Suchar

Zacznijmy od tego, że infekcję nabyłeś używając cracka aktywacji. Na dysku widać było wyraźnie, że powstał KMSPico, a trzy minuty później już szkodliwe zadanie w Harmonogramie:

2015-09-08 17:03 - 2015-09-08 17:03 - 00466944 __RSH C:\WINDOWS\SysWOW64\adtschema6.dll

2015-09-08 17:03 - 2015-09-08 17:03 - 00002656 _____ C:\WINDOWS\System32\Tasks\Kiaxu

2015-09-08 17:00 - 2015-09-08 17:09 - 00000000 ____D C:\Program Files (x86)\KMSPico 10.0.6

To ta infekcja zdewastowała usługi zabezpieczeń Windows. Jeśli chodzi o nieszczęsny Windows Defender, z raportu wynika, że masz wyciętą w pień połowę w/w zestawu. W FRST w ogóle nie widać tych dwóch usług WdNisSvc + WinDefend (z poprawką na to, że później jessika przywróciła tę drugą w formie ze starych systemów). Są tylko sterowniki, które notabene mają przestawiony tryb startu na Ręczny:

S3 WdBoot; C:\Windows\system32\drivers\WdBoot.sys [44568 2015-07-10] (Microsoft Corporation)

S3 WdFilter; C:\Windows\system32\drivers\WdFilter.sys [291680 2015-07-10] (Microsoft Corporation)

S3 WdNisDrv; C:\Windows\System32\Drivers\WdNisDrv.sys [119648 2015-07-10] (Microsoft Corporation)

Dwie brakujące usługi muszą zostać ręcznie odbudowane. Niemniej w pierwszej kolejności trzeba potwierdzić czy na pewno tylko tego brakuje. FSS mówi, że nie został naruszony folder C:\Program Files\Windows Defender (są wykrywane w nim dwa pliki podpisane cyfrowo), a przynajmniej nie w części którą sprawdza FSS.

1. Poproszę o więcej danych na temat stanu katalogu. Do Notatnika wklej:

Folder: C:\Program Files\Windows Defender

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy plik fixlog.txt.

2. Poza tym, poproszę o świeże raporty FRST z opcji Skanuj (Scan), zaznacz pole Addition.

.

Temat przenoszę, to nie jest problem infekcji.

Mam problem z niedziałającymi przeglądarkami FF i Chrome. FF i Chrome były odinstalowane i zainstalowane ponownie, jednak bez rezultatu.

System Vista Home Premium, antywirus Comodo CIS Premium.

Jedyną działającą przeglądarką pozostał IE, jednak na niektóre strony (m.inn. toolslib.com, poczta) nie można wejść

Obawiam się, że problemem może być nie kto inny a antywirus Comodo, gdyż ma silne związki z tymi strefami. Na próbę go odinstaluj i sprawdź jakie to przyniesie rezultaty. Tym bardziej, że i tak jest problem z jego rejestracją w obszarze WMI:

I jeszcze problem z Comodo, który nie chce współpracować automatycznie z Vistą.

Tak, widać to w raporcie FRST Addtion, jedyny zarejestrowany program to systemowy Windows Defender:

==================== Centrum zabezpieczeń ========================
 

AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

Ponowną rejestrację WMI wymusza m.in. reinstalacja programu.

Sprawdziłem też dodatki do IE - jest tam jakaś paskuda (wyłączona), screen załączam.

Jeśli masz na myśli:

{09BA8F6D-CB54-424B-839C-C2A6C8E6B436) - Thunder Network: KLIK.

PrivDog - To jest to komponent Comodo: KLIK.

To wszystko są odpadki i nie mają znaczenia. Ale jeśli chcesz się ich pozbyć, to dodaj skan na klucze których FRST nie obejmuje. Do Notatnika wklej:

Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\Extensions" /s
Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\MenuExt" /s
Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions" /s
Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\MenuExt" /s

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Temat sprzątam. Pod bardziej dopasowanym tytułem przenoszę do działu Windows.

Nie moge uruchomić usługi windows audio, przy próbie uruchomienie pojawia sie komunikat System Windows nie może uruchomic usługi windows audio na komputerze komputer lokalny. Błąd 0x800706cc: punkt końcowy jest duplikatem.

Ten komunikat zawierał podpowiedź gdzie szukać. Problemem jest konfiguracja usługi pomocniczej Konstruktor punktów końcowych audio systemu Windows (AudioEndpointBuilder), tzn. błędna ścieżka ServiceDll kierująca na inny plik niż AudioEndpointBuilder.dll. Prawdopodobnie siedzi tam "duplikat", tzn. ścieżka Audiosrv.dll od usługi Windows Audio (Audiosrv). Usługa AudioEndpointBuilder nie została tu w ogóle sprawdzona. Poproszę o odczyt jaki jest stan aktualny. Otwórz Notatnik i wklej w nim:

Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\AudioEndpointBuilder /s
File: C:\Windows\System32\AudioEndpointBuilder.dll

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

jessica

Failed to access process -> csrss.exe

Failed to access process -> csrss.exe

To już dawno rozwiązane w FRST.

auburn

Temat przenoszę do działu Windows. O ile problem nadal aktualny:

Po pierwsze, dostarcz nowe raporty FRST, by było wiadome jakie zmiany wystąpiły. W pierwszych był notowany masowy rekord [File not signed] dla ogromnej ilości sterowników, co zwykle oznacza uszkodzenie bazy danych Usług kryptograficznych systemuy Windows.

od miesiąca moja przglądarka zwariowała - bardzo długo wczytuje strony, po zamknięciu jakiejś karty następna na pasku potrafi "mielić" 2 minuty zanim się odżyje pomimo że była wcześniej otwarta

Podejrzane strefy:

1. Ogromny plik HOSTS, conajmniej 1000 rekordów, liczba faktyczna nieznana. FRST, by ograniczyć długość skanu, liczy tylko do 1000:

2015-05-17 20:45 - 2015-05-17 23:04 - 00519714 ____A C:\Windows\system32\Drivers\etc\hosts

127.0.0.1 localhost

0.0.0.0 fr.a2dfp.net

0.0.0.0 m.fr.a2dfp.net

0.0.0.0 mfr.a2dfp.net

0.0.0.0 ad.a8.net

0.0.0.0 asy.a8ww.net

0.0.0.0 static.a-ads.com

0.0.0.0 atlas.aamedia.ro

0.0.0.0 abcstats.com

0.0.0.0 ad4.abradio.cz

0.0.0.0 a.abv.bg

0.0.0.0 adserver.abv.bg

0.0.0.0 adv.abv.bg

0.0.0.0 bimg.abv.bg

0.0.0.0 ca.abv.bg

0.0.0.0 www2.a-counter.kiev.ua

0.0.0.0 track.acclaimnetwork.com

0.0.0.0 accuserveadsystem.com

0.0.0.0 www.accuserveadsystem.com

0.0.0.0 achmedia.com

0.0.0.0 csh.actiondesk.com

0.0.0.0 ads.activepower.net

0.0.0.0 app.activetrail.com

0.0.0.0 stat.active24stats.nl #[Tracking.Cookie]

0.0.0.0 traffic.acwebconnecting.com

0.0.0.0 office.ad1.ru

0.0.0.0 cms.ad2click.nl

0.0.0.0 ad2games.com

0.0.0.0 ads.ad2games.com
 

There are 1000 more lines.

Duży plik HOSTS ma skutki uboczne. Dla porównania najbardziej drastyczny przypadek, który powodował że aplikacje się uruchamiały 15 minut, a odczyty sieciowe były mocno spowolnione: KLIK.

2. Programy zabezpieczające. Tu AntiLogger Zemany, IObit Malware Fighter, Malwarebytes Anti-Exploit, Surfing Protection (wszedł z Advanced SystemCare). Na początek odinstaluj całkowicie IObit Malware Fighter (jest stary) + Surfing Protection i sprawdź czy jest jakaś poprawa. Jeśli nie będzie rezultatów, sprawdzić kolejne programy.

3. Dodatki i wtyczki zamontowane w Firefox. Mowa była o reinstalacji Firefox, a nic o tym czy przy reinstalacjach usuwano profil (podejrzewam, że nie). Mógłbyś sprawdzić jak chodzi Firefox po odświeżeniu ustawień: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Proces nie usuwa zakładek, historii i haseł, ale wszystkie preferencje i rozszerzenia tak.

Ogólnie masz całą kolekcję programów IOBit. Sugeruję pozbyć się wszystkiego. Nie polecam tej marki, mam słabe zaufanie ze względu na te fakty: notoryczne zabawy w adware w instalatorach wersji free, podejrzane praktyki promocyjne, w przeszłości złapani na kradzieży bazy danych MBAM.

Fix wykonany, ale nie on tu był najważniejszy. Czy sprawdziłeś sugestie 1+2, czy są jakieś pozytywne wyniki?

Temat przenoszę do działu Windows.

zawieszanie sie systemu na koncie z ograniczonymi uprawnieniami

Brak tu raportów z tego konta. Logi FRST zostały zrobione z poziomu konta administracyjnego User:

Ran by User (administrator) on MOJLEN (17-08-2015 10:59:13)

Running from C:\Users\User\Downloads

Loaded Profiles: User (Available Profiles: User & witek)

Logi FRST muszą być robione na każdym koncie z osobna, by widzieć rzeczy charakterystyczne tylko dla danego konta. Zaloguj się na konto witek poprzez pełny restart komputera (a nie opcje Wyloguj / Przełącz użytkownika). Pobierz i uruchom FRST przez dwuklik - nie stosuj opcji "Uruchom jako Administrator, bo zmieni to kontekst konta na User. Zrób skan z zaznaczoną opcją Addition (Shortcut nie jest mi potrzebny po raz drugi).

powyzszy problem wystepuje dokladnie od 12 sierpnia.

potwierdza to historia niezawodnosci.

warto wspomniec, ze mniej wiecej juz od 6 miesiecy komputer w ciagu 10-60 min po uruchomieniu zawieszal sie w identyczny sposob, ale tylko na czas ok 5-12 sekund... i po jego uplynieciu wszystko wracalo do normy. byc moze przyczyna byla instalacja BAIDU pc faster ?na szczesicie juz ja usunalem, bo doczytalem sie, ze ma negatywne opinie. usunalem przy okazji windows media player, poniewaz korzystam z VLC.

Z podanych tu raportów z konta administracyjnego nic nie wynika. Jedyne co mogę stwierdzić, to że 12 sierpnia były aktualizacje Windows oraz (de)instalacje programów, m.in. owego Baidu oraz AMD Catalyst Control Center.

od 2 dni..

przy otwieraniu niektorych okien, np przed chwila klikam > start/panel sterowania/system pokazuje sie docelowa zakladka system i jednoczesnie komunikat "program explorator windows przestal dzialac-trwa wyszukiwanie rozwiazania problemu przez system windows" i kolejene okno "trwa ponowne uruchamianie:Eksplorator windows" a pozniej zamkniecie obu okien: system i tego z komunikatem.

Ten błąd jest charakterystyczny dla wadliwych lub niekompatybilnych rozszerzeń zintegrowanych w powłoce explorer. Skoro to się dzieje przy operacjach w sekcji Panel sterowania, to być może to rozszerzenia Panelu sterowania są problemem.

Diagnostyka gdzie leży problem jest prowadzona przy udziale programu ShellExView x64, któty notabene widzę pobrany. W programie przez klik w kolumnę Company posortuj wpisy tak by wszystkie niedomyślne, tzn. wyróżnione na różowym tle, zostały zgrupowane razem. Z wciśniętym CTRL zaznacz wszystkie różowe, z prawokliku wyłącz i zresetuj system. Jeśli błąd ustąpi, zastosuj odwrotność akcji tylko w partiach, tzn. zaznacz uprzednio wyłączoną grupę tego samego producenta i włącz > restart systemu > i tak dalej, aż wyłowisz który obiekt przywraca problem.

Nawiasem mówiąc to zastanowił mnie ten stary COMODO PC TuneUP działający w tle.

po restarcie - z ciekawosci uruchmilem zakladke system z panelu sterowania, ale nadal blad nr 2 pojawia sie.

operacje ta i wczesniejsze przeprowadzalem na koncie admin. mam nadzieje, ze to wlasciwy wybor?

Podano skrypt FRST bez objaśnień co on ma robić. Ten skrypt nie miał żadnego związku z Twoimi problemami i nie mógłby ich rozwiązać, był natury "kosmetycznej" - tylko usunięcie wpisów odpadkowych (pustych) i czyszczenie lokalizacji tymczasowych. Tak, skrypt miał być wykonany na koncie o uprawnieniach administracyjnych.

I jeszcze w Dzienniku zdarzeń błąd:

System errors:

=============

Error: (08/17/2015 09:31:51 AM) (Source: Service Control Manager) (EventID: 7001) (User: )

Description: Usługa Usługa biometryczna systemu Windows zależy od usługi Menedżer poświadczeń, której nie można uruchomić z powodu następującego błędu:

%%1058

Wejdź do services.msc, dwuklik na Menedżer poświadczeń i Typ uruchomienia przestaw na Ręczny.

Temat został założony w nieodpowiednim dziale. Przenoszę do działu diagnostyki infekcji.

Bardzo proszę o rozwiązanie problemu reklam w chrome, które włączają się i przenoszą na inne strony. Komputer wolno pracuje. Podejrzewam, że coś dodatkowego zainstalowało się podczas ściągania programu z internetu.

Przed założeniem tematu były stosowane różne programy (AdwCleaner i ComboFix), a wyniki ich działań nie zostały przedstawione. Komponenty ComboFix zresztą nadal były w procesach podczas tworzenia raportów. Na temat używania ComboFix: KLIK.

Jedyne co tu czynnego w Chrome widać to polityki blokujące funkcje Chrome. Jest jeszcze Firefox zainfekowany adware. Żaden z tym obiektów nie może mieć związku ze spowolnieniem systemu. Spowolnienie jest prędzej wynikiem aktywności rozbudowanego inwazyjnego pakietu Panda Global Protection 2015. Działania do przeprowadzenia:

1. Odinstaluj stare wersje: Adobe Flash Player 17 ActiveX, Adobe Flash Player 17 NPAPI, Adobe Reader X (10.1.0) - Polish, Browser Address Error Redirector, Java 8 Update 40, Java™ 6 Update 6. Browser Address Error Redirector to firmowy śmieć preintegrowany w systemie.

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
DisableService: sptd
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-509397886-1678132260-2415722295-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKU\S-1-5-21-509397886-1678132260-2415722295-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-509397886-1678132260-2415722295-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=183
HKLM\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-21-509397886-1678132260-2415722295-1000\...\Run: [Napisy24Update] => "C:\Program Files\Napisy24\Napisy24Update.exe" "sleep"
HKU\S-1-5-21-509397886-1678132260-2415722295-1000\...\Policies\Explorer: [RestrictRun] 0
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\itms.js [2015-04-03]
Task: {1B08B02C-5FFA-4F71-9E50-8FE08E33C238} - \Ad-Aware Update (Weekly) -> Brak pliku 
Task: {3B40D341-5DC5-4253-A9C2-01DD25B3B336} - \CCleanerSkipUAC -> Brak pliku 
Task: {63A27E99-879B-42FA-8F2D-4EAB5E01F932} - \GoogleUpdateTaskMachineCore -> Brak pliku 
Task: {7A23C657-00E0-405B-B29F-7201629663AE} - \GoogleUpdateTaskMachineUA -> Brak pliku 
Task: {B2D7FDEC-FBF1-4964-9E2F-F9F626AE01A1} - \Adobe Flash Player Updater -> Brak pliku 
U5 AppMgmt; C:\Windows\system32\svchost.exe [21504 2008-01-21] (Microsoft Corporation)
S3 catchme; \??\C:\Users\MICHA~1\AppData\Local\Temp\catchme.sys [X]
S3 eapihdrv; \??\C:\Users\MICHA~1\AppData\Local\Temp\ehdrv.sys [X]
S2 HWDeviceService.exe; C:\ProgramData\DatacardService\HWDeviceService.exe -/service [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
C:\Program Files\GUTC3CC.tmp
C:\Program Files\ESET
C:\ProgramData\TEMP
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AnyReader
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bad CD Repair
C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Opera.lnk
C:\Users\Michał\AppData\Roaming\Opera Software
C:\Users\Michał\Desktop\CatzillaDownloader.exe
C:\Users\Michał\Desktop\Continue Digital Image Recovery installation.lnk
C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\IviRegMgr" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Wyczyść przeglądarki:

Firefox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj sponsora AllPlayer Gazeta.pl
• Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres gazeta.allplayer.org

C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt i raporty z folderu C:\AdwCleaner. Wypowiedz się czy problemy nadal występują.

Skontaktowałem się z Lenovo support, stanowczo odradzają odinstalowani jednej z kart, ponieważ może mieć to negatywny wpływ na komputer tzn. jak się coś spierniczy to nię będzie można tego odzyskać. Co o tym sądzisz?

Tutaj miały zostać tylko zaktualizowane sterowniki do karty hybrydowej i nic poza tym.

Rozdzielczość wróciła do normy, ale problemy są te same, nadal długo się włącza/wyłącza oraz wiesza zaraz po starcie.

1. Po pierwsze, co z tym działaniem (wykonane?):

Wracając do problemu wydłużonego startu: KLIK

2. Po drugie, przedstaw jakie zmiany w raportach już zaszły:

- Na początek wyczyść wszystkie Dzienniki zdarzeń, by odrzucić błędy już nieaktualne: klawisz z flagą Windows + X > Podgląd zdarzeń > Dzienniki systemu Windows > z prawokliku na gałęzie Aplikacja i System uruchom czyszczenie tych dzienników. Następnie zresetuj system, by aktualne błędy zostały nagrane.

- Zrób nowy log FRST na następujących warunkach: odznacz Filtrowanie dla Usług i Sterowników, zaznacz też pole Addition.

Proces systemowy vssadmin.exe był uruchamiany, gdyż malware szyfrujące dane wywoływało komendę usuwania wszystkich punktów Przywracania systemu, obecnie Przywracanie systemu jest kompletnie zdeaktywowane. Wg raportów malware nie jest już czynne, choć pozostały puste odpadki które próbują się uruchamiać, dlatego też widzisz błędy z regsvr32.

Przerwij działanie programu IDTool, jeśli zbyt długo będzie "zawieszony". Wstępnie na podstawie samego modelu nazwy plików HOWTO_RESTORE_FILES_* to wygląda na wariant infekcji TeslaCrypt. Jaki suffiks otrzymały zaszyfrowane dane osobiste (dokumenty i inne pliki): .exx, .xyz, .zzz, .aaa, .abc, .ccc? Sprawdź wszystkie dyski, szyfratory danych jadą po wszystkich dostępnych.

Pierwsza faza usuwania:

1. Wejdź do konfiguracji Przywracania systemu i zaznacz Ochronę dla dysku C:. Obrazek z konfiguracji w tym temacie: KLIK.

2. Przez Panel sterowania odinstaluj stare wersje naruszające bezpieczeństwo: Adobe Flash Player 17 ActiveX, Java 7 Update 51.

3. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
Startup: C:\Users\Michal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\39C0.lnk [2015-03-10]
Startup: C:\Users\Michal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\8F60.lnk [2015-03-10]
HKU\S-1-5-21-1320927441-3038179963-326650102-1000\...\Run: [Epsbtion] => regsvr32.exe C:\Users\Michal\AppData\Local\Epsbtion\kdmnimbc.dll 
HKU\S-1-5-21-1320927441-3038179963-326650102-1000\...\Run: [usnpmedia] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Michal\AppData\Local\Odkics\mtkhomvj.dll
HKLM-x32\...\Run: [etcfg] => C
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
IE Session Restore: HKU\S-1-5-21-1320927441-3038179963-326650102-1000 -> - funkcja włączona.
Task: {1BC8AB68-DBC3-439F-8D6D-33CF31AD62AE} - System32\Tasks\{7097DD7F-5C59-4CA5-95DC-B637060D4123} => pcalua.exe -a "D:\Gry\The Vanishing of Ethan Carter\Binaries\Launcher.exe" -d "D:\Gry\The Vanishing of Ethan Carter\Binaries"
Task: {20BC3D1D-6951-4976-BAE4-491DBD9CE2B3} - System32\Tasks\{02ED49F6-A749-46FB-94DE-5AD643E0B1EB} => pcalua.exe -a "D:\Forum france\ALCATEL_ADB_RNDIS_Driver for MTK SP 2013_03_29\ALCATEL_ADB_RNDIS_Driver2013_03_29\install.exe" -d "D:\Forum france\ALCATEL_ADB_RNDIS_Driver for MTK SP 2013_03_29\ALCATEL_ADB_RNDIS_Driver2013_03_29"
Task: {403BD8AC-A754-4834-891C-CDD2625134FF} - System32\Tasks\{D4D33C9B-E016-4FC8-9ACD-70AF01FE5C3E} => pcalua.exe -a "D:\Gry\Sacred 3\_CommonRedist\vcredist\2008\vcredist_x64.exe" -d "D:\Gry\Sacred 3\_CommonRedist\vcredist\2008"
Task: {9FEB6817-DD0C-47F0-B7D2-0EF0349EF502} - System32\Tasks\{87405FE9-3886-45BC-9BF9-234EE4B8EED0} => pcalua.exe -a "C:\Program Files\GRAPHISOFT\ArchiCAD 18\Uninstall.AC\uninstaller.exe"
Task: {F71E5BB7-A8C0-4C7A-A93E-5C3295A36B01} - \Origin -> Brak pliku 
C:\Program Files (x86)\DAEMON Tools Lite
C:\ProgramData\{6a960249-18be-785d-6a96-6024918b0924}
C:\ProgramData\{8834ed44-aca7-ee74-8834-4ed44acab512}
C:\ProgramData\7824b102000003cf
C:\ProgramData\DAEMON Tools Lite
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Contrast PL
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Techland
C:\ProgramData\Orbit
C:\Users\Michal\AppData\Local\Epsbtion
C:\Users\Michal\AppData\Local\Odkics
C:\Users\Michal\AppData\LocalLow\{7BBDBDC4-2F16-40DC-B488-B909DFF47F1D}
C:\Users\Michal\AppData\LocalLow\{A760A828-6D5A-40B5-8B98-C65733BDABF2}
C:\Users\Michal\AppData\LocalLow\{D5A090E3-0AED-447E-852A-1AE89D63AA2A}
C:\Users\Michal\AppData\Roaming\g78rfdsafhi
C:\Users\Michal\AppData\Roaming\DAEMON Tools Lite
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f
Reg: reg delete HKLM\SOFTWARE\Google /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
CMD: netsh advfirewall reset
CMD: attrib -h -s C:\HOWTO_RESTORE_FILES_* /s
CMD: attrib -h -s D:\HOWTO_RESTORE_FILES_* /s
CMD: attrib -h -s F:\HOWTO_RESTORE_FILES_* /s
CMD: del /q /s C:\HOWTO_RESTORE_FILES_*
CMD: del /q /s D:\HOWTO_RESTORE_FILES_*
CMD: del /q /s F:\HOWTO_RESTORE_FILES_*
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Plik fixlog, ze względu na zadaną komendę rekursywnego usuwania plików HOWTO_RESTORE_FILES_* z wszystkich dysków, może być przeogromny. W przypadku jeśli nie zmieści się w załącznikach, spakuj go do zip i shostuj gdzieś podając link.

Ps. Jeżeli o chodzi o drugi system to założyć nowy temat czy lepiej w tym. Oczywiście na tamtym systemie skanowałem Malwarebytes (jeszcze przed założeniem wątku, wykryło trochę, log oczywiście z tego skanu posiadam).

Tutaj kontynuujmy. Dostarcz raporty FRST + GMER oraz wyniki skanu MBAM.

Jeśli chodzi o bieżący system, wszystko co zaplanowane zostało wykonane.

1. Drobne poprawki do wdrożenia, tzn. usunięcie odpadkowych folderów i czyszczenie lokalizacji tymczasowych. Otwórz Notatnik i wklej w nim:

CloseProcesses:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
DPF: {CAFEEFAC-0017-0000-0071-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_71-windows-i586.cab
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Kaspersky Rescue Disk 10.0
RemoveDirectory: C:\czerny\c\AdwCleaner
RemoveDirectory: C:\czerny\c\Documents and Settings\Mariano\Dane aplikacji\Sun
RemoveDirectory: C:\czerny\c\Documents and Settings\Mariano\Ustawienia lokalne\Dane aplikacji\Sun
RemoveDirectory: C:\czerny\c\Documents and Settings\Mariano\Moje dokumenty\OpenOffice.org 3.0 (pl) Installation Files
RemoveDirectory: C:\czerny\c\Kaspersky Rescue Disk 10.0
RemoveDirectory: C:\czerny\c\Qoobox
RemoveDirectory: C:\czerny\c\System Volume Information
RemoveDirectory: C:\czerny\D\RECYCLER
RemoveDirectory: C:\Documents and Settings\admin\Dane aplikacji\Sun
RemoveDirectory: C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Sun
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\RogueKiller
RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\Nowe Gadu-Gadu
RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\OpenFM
RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\OpenOffice.org2
RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\Sun
RemoveDirectory: C:\Documents and Settings\ppp\Gadu-Gadu
RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\Gadu-Gadu
RemoveDirectory: C:\Program Files\Java
RemoveDirectory: C:\Program Files\OpenOffice.org 2.0.3
RemoveDirectory: C:\RECYCLER
CMD: del /q "C:\Documents and Settings\ppp\Menu Start\Programy\Autostart\OpenOffice.org 2.0.3.lnk"
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Przedstaw wynikowy fixlog.txt.

Pytanie, czy można w całości usunąć poniższą kopię zapasową ze śmieciami?

C:\czerny\c\Documents and Settings

2. Dodatkowo, zaloguj się na konto admin poprzez pełny restart komputera (a nie Wyloguj czy Przełącz użytkownika) i zrób logi FRST (główny + Addition).

3. Pozostaje sprawa zaszyfrowanych plików. Niestety, jak zaznaczałam, sprawa wygląda na przegraną. Szyfrowanie zachodziło także w folderach poprawnych aplikacji i Windows. Obecnie mogą być notowane w określonych programach ubytki obrazków czy linków dokumetacji. Przy zanotowaniu takiego uszczerbku przeinstaluj daną aplikację.

Po pierwsze, w systemie są ustawione niestandardowe adresy DNS OpenDNS - czy to celowa modyfikacja?

DNS Servers: 208.67.222.222 - 208.67.220.220

Po drugie, trzy dni temu odbyła się instalacja gry Black Desert, która wprowadziła niepożądane obiekty typu adware/PUP, tzn. aktywną usługę THORN i sterownik Thetta: KLIK / KLIK / KLIK.

R2 Thorn; C:\Users\LukeMike\AppData\Local\THORN\Thorn.exe [56824 2015-10-01] (GGS)

R3 Thetta; C:\Windows\System32\DRIVERS\Thetta64.sys [312536 2015-08-31] (Windows ® Win 7 DDK provider)

Wstępne akcje do przeprowadzenia:

1. Odinstaluj wszystkie programy grupy "Global Gamers Solutions Ltd.": Black Desert, QGNA.

2. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK.

3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstały dwa logi.

O raporcie DelFix jest napisane w opisie DelFix, dlatego się nie powtarzam. DelFix wykonał co należy. Usuń z dysku plik C:\delfix.txt.

Temat rozwiązany. Zamykam.

Temat przenoszę do działu Windows. Nic tu nie wskazuje na problem infekcji.

Po tych zabiegach komputer zaczął pracować w miarę normalnie, niestety tylko przez około tydzień. Problem niestety powrócił. Nadal nie wyskakują żadne błędy systemowe ani komunikaty. W tej chwili komputer zależnie od nastroju uruchamia się bardzo powoli i tak też pracuje lub nie uruchamia się wcale (zatrzymuje się na logo "Windows"). W trybie awaryjnym komputer pracuje normalnie.

Ten opis wskazuje na element startowy, szczególnie w obszarze sterowników. I niestety to oznacza, że najbardziej podejrzane jest oprogramowanie zabezpieczające, zwłaszcza ESET (multum sterownik ładuje). Jako krok wstępny odinstaluj wszystkie programy tego typu: ESET NOD32 Antivirus, Malwarebytes Anti-Malware wersja 2.1.8.1057, Spybot - Search & Destroy. Jeśli system zacznie się uruchamiać poprownie, przywróć tylko NOD. A tego Spybota w ogóle nie instaluj, program "przechodzony" i mniej dziś skuteczny niż jego nowoczesny odpowiednik MBAM.

Dodatkowo zauważyłem że program w trakcie skanowania wykrywa coś takiego "mbam swiss army". Jest ktoś w stanie coś na to poradzić ?

vs.

S3 MBAMSwissArmy; C:\Windows\system32\drivers\MBAMSwissArmy.sys [113880 2015-10-12] (Malwarebytes Corporation)

Komponent MBAM. GMER będzie notował na pasku postępu skanowane różne ścieżki niezależnie od ich "szkodliwości", a w oknie wykrywania modyfikacji będą figurować także czynności poprawnych programów - inwazyjne aplikacje wykonujące określone modyfikacje, do tej kategorii należy m.in. oprogramowanie zabezpieczające.

Objaśnij dokładniej wątek zaszyfrowanych plików, gdzie to widać (jakie ścieżki, na którym dysku) i czy na pewno zaszyfrowane kopie mają taki sam suffiks _decode@india.com jak w linkowanym temacie, a może zupełnie inny. W dostarczonych raportach z pierwszego posta nie widać żadnych oznak infekcji szyfrującej dane. A rozszerzenia określonych plików, które miałyby podlegać szyfrowaniu, nie są naruszone. Ale raport FRST jest mocno ograniczony.

Dodatkowo, raporty pochodzą sprzed kilku miesięcy. Proszę zrób nowe logi dla porównania jaka jest aktualna sytuacja. Oraz dodaj jeszcze log z narzędzia IDTool.

Czy po usunięciu infekcji jest możliwość odszyfrowania plików?

Niestety nie. Nie ma żadnego dekodera do tych wariantów infekcji. Aczkolwiek nadal nie wiadomo jaki rodzaj infekcji tu wystąpił.

Proszę dostosuj się do zasad działu i dostarcz obowiązkowe raporty z FRST i GMER.

Dodatkowo, dostarcz log z narzędzia IDTool.

Obowiązkowym raportem jest też GMER.

W systemie są aktywne procesy adware oraz różne ustawienia przejęte przez niepożądane adresy. Do przeprowadzenia następujące działania:

1. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
R2 Danlax; C:\Documents and Settings\All Users\Dane aplikacji\\Danlax\\Danlax.exe [441856 2015-09-17] () [brak podpisu cyfrowego]
AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\DANEAP~1\Danlax\Holdzap.dll => C:\Documents and Settings\All Users\Dane aplikacji\Danlax\Holdzap.dll [384512 2015-09-21] ()
HKLM\...\Run: [GEST] => =
HKLM\...\Run: [Web Protector Plus Agent] => "C:\Program Files\WebProtectorPlus\WebProtectorPlus.exe"
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGSNUjrwY1y6yS7vkz8roO8peJ4F9SYM4HOhApitXQUOItRk9MpwBiCqZBDkjNCK8Cx2rdsM3dSaoYg,,
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms}
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms}
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms}
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGSNUjrwY1y6yS7vkz8roO8peJ4F9SYM4HOhApitXQUOItRk9MpwBiCqZBDkjNCK8Cx2rdsM3dSaoYg,,
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms}
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms}
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms}
HKU\S-1-5-21-343818398-602162358-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGSNUjrwY1y6yS7vkz8roO8peJ4F9SYM4HOhApitXQUOItRk9MpwBiCqZBDkjNCK8Cx2rdsM3dSaoYg,,
HKU\S-1-5-21-343818398-602162358-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms}
HKU\S-1-5-21-343818398-602162358-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms}
HKU\S-1-5-21-343818398-602162358-1801674531-1004\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csuRBQDAZ0FmM9TCERoeuHeIJJe7FH3_mc1L75LEMEaLeu2G5nBImsU7nk7-EyoJGS-GBe0SisnA8FrHj2urDIZCkUXqtkrMyXo08SaSLlHBn_sy0KF8Wz07Sdk9_rryGTExmULWxSh3lA,,&q={searchTerms}
URLSearchHook: HKLM -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D}
SearchScopes: HKLM -> DefaultScope {ielnksrch} URL =
CHR HKLM\...\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-343818398-602162358-1801674531-1004\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko] - hxxp://clients2.google.com/service/update2/crx
C:\Documents and Settings\All Users\Dane aplikacji\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\Documents and Settings\All Users\Dane aplikacji\Danlax
C:\Documents and Settings\All Users\Dane aplikacji\Danlaxs
C:\Documents and Settings\CoolPizza\SetupComponents.exe
C:\Documents and Settings\CoolPizza\Ustawienia lokalne\Dane aplikacji\updater.log
C:\Documents and Settings\CoolPizza\Ustawienia lokalne\Dane aplikacji\UserProducts.xml
C:\Program Files\Common Files\Subgodom
C:\WINDOWS\system32\findit.xml
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0B451150-3691-41C6-9AD0-B7CC164A02C2} /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Wyczyść Google Chrome z adware:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystkie niedomyślne przeglądarki zostawiając tylko Google.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

C:\Documents and Settings\CoolPizza\Menu Start\Programy\Akcesoria\Narzędzia systemowe

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut, oraz na wszelki wypadek też brakujący GMER. Dołącz też plik fixlog.txt.

Śmieci zostały usunięte, system zaktualizowany. Widzę, że zainstalowałeś Avira. Drobne ostrzeżenie, wsparcie Avira dla XP jest wycofywane. Najnowsze wersje nie obsługują XP (zainstalowałeś akurat starszą która ma je jeszcze obsługę), a definicje będą dostarczane tylko do kwietnia 2016.

Na zakończenie:

1. Był uruchamiany GMER, upewnij się że nie obniżył się transfer dysku. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

2. Zastosuj DelFix (GMER i jego log trzeba dokasować ręcznie) oraz wyczyść foldery Przywracania systemu: KLIK.

W systemie jest aktywna duża ilość adware. Dodatkowa uwaga, wyłączyłeś usługę BFE, która jest niezbędna do obsługi Zapory systemu Windows, używa jej też Avast - usługę będę włączać. Działania wstępne:

1. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
R1 {6939a927-ce62-4a88-a27a-fd77343fd696}Gw64; C:\Windows\System32\drivers\{6939a927-ce62-4a88-a27a-fd77343fd696}Gw64.sys [48784 2015-10-08] (StdLib)
R1 {b666938f-73a7-45e6-be3c-578b46fc5b7e}Gw64; C:\Windows\System32\drivers\{b666938f-73a7-45e6-be3c-578b46fc5b7e}Gw64.sys [48784 2015-10-09] (StdLib)
R2 Crashhd; C:\Users\Grzesiek\AppData\Local\Crsoft\crsvc.exe [185800 2015-09-25] ()
R2 gyvixodu; C:\Program Files (x86)\A8187454-1442618321-21E7-006D-B4B52F29A7E8\hnspDEA2.tmp [203776 2015-09-19] () [brak podpisu cyfrowego]
R2 IhPul; C:\Users\Grzesiek\AppData\Roaming\TSv\TSvr.exe [396944 2015-09-21] (tsvr.com)
R2 NetTcpHandler; C:\Users\Grzesiek\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] ()
R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [169632 2015-10-10] (TODO: )
S2 Update Web Amplified; C:\Program Files (x86)\Web Amplified\updateWebAmplified.exe [461048 2015-10-11] ()
S2 Util Web Amplified; C:\Program Files (x86)\Web Amplified\bin\utilWebAmplified.exe [461048 2015-10-11] ()
R2 WdsManPro; C:\ProgramData\1WdsManPro1\WdsManPro.exe [442504 2015-10-10] (DTools LIMITED)
R1 wwfd_vt_1_10_0_24; C:\Windows\System32\drivers\wwfd_vt_1_10_0_24.sys [61312 2015-09-02] (WordWizard)
R2 wwsvc_1.10.0.24; C:\Program Files (x86)\WordWizard_1.10.0.24\Service\wwsvc.exe [301656 2015-09-02] (WordWizard)
S3 clwvd; system32\DRIVERS\clwvd.sys [X]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S2 IHProtect Service; C:\Program Files (x86)\MiuiTab\ProtectService.exe [X]
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
R2 zicumiji; C:\Program Files (x86)\A8187454-1442618321-21E7-006D-B4B52F29A7E8\knsz7EDE.tmpfs [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\KNet => ""="service"
HKLM-x32\...\Run: [tuto4pc_pl_5] => [X]
HKLM-x32\...\Run: [gmsd_pl_005010091] => [X]
HKLM-x32\...\Run: [gmsd_pl_005010099] => [X]
HKLM-x32\...\Run: [gmsd_pl_005010106] => C:\Program Files (x86)\gmsd_pl_005010106\gmsd_pl_005010106.exe [3978384 2015-10-04] ()
HKLM-x32\...\Run: [gmsd_pl_005010107] => C:\Program Files (x86)\gmsd_pl_005010107\gmsd_pl_005010107.exe [3976336 2015-10-05] ()
HKLM-x32\...\Run: [gmsd_pl_005010109] => C:\Program Files (x86)\gmsd_pl_005010109\gmsd_pl_005010109.exe [3977872 2015-10-08] ()
HKLM-x32\...\RunOnce: [upgmsd_pl_005010107.exe] => C:\Users\Grzesiek\AppData\Local\gmsd_pl_005010107\upgmsd_pl_005010107.exe [3302544 2015-10-05] ()
HKU\S-1-5-21-1994262508-4124847217-438547347-1001\...\Run: [GoogleChromeAutoLaunch_ACF11CF5586B43242B6CC8B92C5B5F1D] => C:\Program Files (x86)\MyBrowser\MyBrowser\Application\mybrowser.exe [636928 2015-08-29] (MyBrowser)
HKU\S-1-5-18\...\Run: [KurupiraNet] => "C:\Program Files (x86)\Kurupira\WebFilter\kurupirawf.exe"
Task: {4B01A0FF-FC2B-4F83-AB75-49C93DA425B6} - System32\Tasks\WordWizard Auto Updater 1.10.0.24 Pending Update => C:\Program Files (x86)\WordWizard_1.10.0.24\Update\WordwizardAutoUpdateClient.exe [2015-09-02] (WordWizard) 
Task: {5333BE7A-6640-4D54-8D6B-870FABABEB5B} - System32\Tasks\e-pity2013_kwiecien => C:\Program Files (x86)\e-file\e-pity2013\Assets\signxml.exe
Task: {5B7F5C8D-932F-47E7-8619-A4EFAFC23C75} - System32\Tasks\FF305F69-D19D-4D18-A3A7-BF797FC7CDB => C:\Users\Grzesiek\AppData\Local\FF305F69-D19D-4D18-A3A7-BF797FC7CDB\FF305F69-D19D-4D18-A3A7-BF797FC7CDB.exe [2015-10-07] () 
Task: {69815643-FF6E-47DF-A58B-B04AEBAE9E49} - System32\Tasks\{C5E7D8C2-FC56-48B7-A7BD-451615BD0D9F} => Chrome.exe http://ui.skype.com/ui/0/6.11.0.102/pl/abandoninstall?page=tsProgressBar
Task: {7576D194-9504-4C72-A07D-7D17FAFAFA9D} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe [2015-10-07] () 
Task: {8A2225D8-C183-4451-8099-F78228A7A6E6} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe [2015-10-07] () 
Task: {90BCA0F5-B723-4BD0-9DD7-2EBB6BCB2278} - System32\Tasks\{5A670A30-0215-4AB8-AD52-C6E42D36182E} => pcalua.exe -a C:\Users\Grzesiek\Desktop\FreeRapid-0.9u1\frd.exe -d C:\Users\Grzesiek\Desktop\FreeRapid-0.9u1
Task: {935A2DDE-F0E3-48D5-A931-8F4ABCC7FDEB} - System32\Tasks\WordWizard Auto Updater 1.10.0.24 Core => C:\Program Files (x86)\WordWizard_1.10.0.24\Update\WordwizardAutoUpdateClient.exe [2015-09-02] (WordWizard) 
Task: {97700335-1BD3-41CA-A12A-E13712DD269F} - System32\Tasks\{B3F69E9C-7B55-4F67-AC96-7CCD987E245D} => Chrome.exe http://ui.skype.com/ui/0/6.14.60.104/pl/abandoninstall?page=tsProgressBar
Task: {A1B9CDF1-BB87-475F-B413-4D45081F4558} - System32\Tasks\e-pity2013_styczen => C:\Program Files (x86)\e-file\e-pity2013\Assets\signxml.exe
Task: {BAB791B8-777C-4A01-8DEA-6CB929FA6CE6} - System32\Tasks\{FFF060CB-8F09-4AA0-9D99-39A023A26C6D} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.21.0.104&LastError=12002
Task: {BD0CA5A1-2281-4D40-A714-67C4EEE384B2} - System32\Tasks\E68C052A-B27D-42D2-8242-C43157D2EC5D => C:\Users\Grzesiek\AppData\Local\E68C052A-B27D-42D2-8242-C43157D2EC5D\E68C052A-B27D-42D2-8242-C43157D2EC5D.exe 
Task: {DA6EAD2C-BC61-47D6-AE3A-FA1D21B25767} - System32\Tasks\Funmoods => C:\Users\Grzesiek\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE 
Task: {FCBCC7DD-40D6-4001-8B41-29AEA8D7E112} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe [2015-10-07] () 
Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe 
Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe 
Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe 
FF Plugin-x32: @adobe.com/AuthorwarePlayer -> C:\Windows\system32\Macromed\AUTHORWA\np32asw.dll [brak pliku]
FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw_1215155.dll [brak pliku]
FF Plugin HKU\S-1-5-21-1994262508-4124847217-438547347-1001: SkypePlugin -> C:\Users\Grzesiek\AppData\Local\SkypePlugin\7.5.0.127\npGatewayNpapi.dll Brak pliku
FF Plugin HKU\S-1-5-21-1994262508-4124847217-438547347-1001: SkypePlugin64 -> C:\Users\Grzesiek\AppData\Local\SkypePlugin\7.5.0.127\npGatewayNpapi-x64.dll Brak pliku
FF Plugin HKU\S-1-5-21-1994262508-4124847217-438547347-1001: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll Brak pliku
FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Grzesiek\AppData\Roaming\Mozilla\Firefox\Profiles\eh54ahxz.default\extensions\defsearchp@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Grzesiek\AppData\Roaming\Mozilla\Firefox\Profiles\eh54ahxz.default\extensions\deskCutv2@gmail.com
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\all-gemius.js [2013-08-19]
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswwebrepchrome-sp.crx [2014-08-04]
StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.istartsurf.com/?type=sc&ts=1444206053&z=63fb0728259f1eb64ace079g0z0c4m4b2q0z2g7g2g&from=face&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Marvel Super Hero Squad Online.lnk -> C:\Program Files (x86)\HP Games\Web Link - Marvel Super Hero Squad Online\launcher.exe (WildTangent) -> hxxp://www.istartsurf.com/?type=sc&ts=1444206053&z=63fb0728259f1eb64ace079g0z0c4m4b2q0z2g7g2g&from=face&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX
ShortcutWithArgument: C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.istartsurf.com/?type=sc&ts=1444206053&z=63fb0728259f1eb64ace079g0z0c4m4b2q0z2g7g2g&from=face&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX
ShortcutWithArgument: C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1444206053&z=63fb0728259f1eb64ace079g0z0c4m4b2q0z2g7g2g&from=face&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=J2160051KGYZJC_HTS547550A9E&tm=1443521302
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=J2160051KGYZJC_HTS547550A9E&tm=1443521302
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=J2160051KGYZJC_HTS547550A9E&tm=1443521302
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=J2160051KGYZJC_HTS547550A9E&tm=1443521302
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-21-1994262508-4124847217-438547347-1001\Software\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=J2160051KGYZJC_HTS547550A9E&tm=1443521302
HKU\S-1-5-21-1994262508-4124847217-438547347-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=J2160051KGYZJC_HTS547550A9E&tm=1443521302
HKU\S-1-5-21-1994262508-4124847217-438547347-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com
SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF
SearchScopes: HKLM-x32 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=CMNTDF
SearchScopes: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX&ts=1437864848&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX&ts=1437864848&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX&ts=1437864848&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> {b7fca997-d0fb-4fe0-8afd-255e89cf9671} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX&ts=1437864848&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> {d43b3890-80c7-4010-a95d-1e77b5924dc3} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX&ts=1437864848&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=HitachiXHTS547550A9E384_J2160051KGYZJCKGYZJCX&ts=1437864848&type=default&q={searchTerms}
BHO-x32: Web Amplified 1.0.0.7 -> {4f93c386-c677-4212-9bc8-47814de68c52} -> C:\Program Files (x86)\Web Amplified\WebAmplifiedbho.dll [2015-07-11] (Web Amplified)
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku
Toolbar: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku
Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll Brak pliku
Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll Brak pliku
CustomCLSID: HKU\S-1-5-21-1994262508-4124847217-438547347-1001_Classes\CLSID\{0825CC0E-34BD-4FE4-B78D-EF6582A94B6A}\InprocServer32 -> C:\Users\Grzesiek\AppData\Local\SkypePlugin\7.5.0.127\GatewayActiveX-x64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1994262508-4124847217-438547347-1001_Classes\CLSID\{8E00BFA9-1C7B-4E45-BF2F-0FAEA236E1CC}\localserver32 -> C:\Users\Grzesiek\AppData\Local\SkypePlugin\7.5.0.127\GatewayVersion-x64.exe => Brak pliku
CustomCLSID: HKU\S-1-5-21-1994262508-4124847217-438547347-1001_Classes\CLSID\{CBF9CD8C-2714-4F36-B76A-43E6C7547BC2}\localserver32 -> C:\Users\Grzesiek\AppData\Local\SkypePlugin\7.5.0.127\EdgeCalling.exe => Brak pliku
CustomCLSID: HKU\S-1-5-21-1994262508-4124847217-438547347-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Grzesiek\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku
HKU\S-1-5-21-1994262508-4124847217-438547347-1001\Software\Classes\.exe: => 
C:\task.vbs
C:\Program Files (x86)\GUT1DEC.tmp
C:\Program Files (x86)\A8187454-1442618321-21E7-006D-B4B52F29A7E8
C:\Program Files (x86)\predm
C:\Program Files (x86)\SFK
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\ProgramData\Microsoft\Windows\GameExplorer\{1E9B598D-22A7-4AE2-86AB-146A09171AAE}\PlayTasks\1
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadwin Systems
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GAMESDESKTOP
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\mp3cutter
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MyBrowser
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PESEdit.com 2011 Patch\PESEdit.com 2011 Patch.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PESEdit.com 2011 Patch\Settings.lnk
C:\Users\Grzesiek\AppData\Local\Crsoft
C:\Users\Grzesiek\AppData\Local\FF305F69-D19D-4D18-A3A7-BF797FC7CDB
C:\Users\Grzesiek\AppData\Roaming\Thumbs.db
C:\Users\Grzesiek\AppData\Roaming\istartsurf
C:\Users\Grzesiek\AppData\Roaming\mystartsearch
C:\Users\Grzesiek\AppData\Roaming\NetService
C:\Users\Grzesiek\AppData\Roaming\RunDir
C:\Users\Grzesiek\AppData\Roaming\shortCutStore
C:\Users\Grzesiek\AppData\Roaming\SoftOrbits
C:\Users\Grzesiek\AppData\Roaming\systweak
C:\Users\Grzesiek\AppData\Roaming\TSv
C:\Users\Grzesiek\AppData\Roaming\VOPackage
C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MyBrowser.lnk
C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk
C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\MyBrowser.lnk
C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Alcohol 120%.lnk
C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AnyProtect PC Backup
C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\bobyte
C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google+ Auto Backup
C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\jogotempo
C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie
C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage
C:\Users\Grzesiek\AppData\Roaming\Microsoft\Word\Grafik%20Phillip%20Morris302487943129193636\Grafik%20Phillip%20Morris.docx.lnk
C:\Users\Grzesiek\Desktop\AnyProtect.lnk
C:\Users\Grzesiek\Desktop\Continue Live Installation.lnk
C:\Users\Grzesiek\Desktop\jogotempo.lnk
C:\Users\Grzesiek\Favorites\GG dysk.lnk
C:\Users\Public\Desktop\MyBrowser.lnk
C:\Windows\system32\roboot64.exe
C:\Windows\System32\drivers\{6939a927-ce62-4a88-a27a-fd77343fd696}Gw64.sys
C:\Windows\System32\drivers\{b666938f-73a7-45e6-be3c-578b46fc5b7e}Gw64.sys
C:\Windows\System32\drivers\wwfd_vt_1_10_0_24.sys
C:\Windows\system32\Drivers\etc\hp.bak
Folder: C:\program1
Folder: C:\results
Folder: C:\Windows\SysWOW64\GroupPolicy
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AlcoholAutomount" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoogleDriveSync" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\HKCU" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesAirMessage" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesPDLR" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesPreload" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesTrayAgent" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KurupiraNet" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NetPanel" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Onet.pl AutoUpdate" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Spybot-S&D Cleaning" /f
CMD: for /d %f in (C:\ProgramData\*WdsManPro*) do rd /s /q "%f"
CMD: netsh advfirewall reset
CMD: sc config BFE start= auto
DisableService: PLAY ONLINE. RunOuc

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Przez Panel sterowania odinstaluj:

- Adware/PUP: AnyProtect, GamesDesktop 008.005010106, GamesDesktop 008.005010107, GamesDesktop 008.005010109, jogotempo 3.4, MyBrowser, Setup, Web Amplified, WordWizard 1.10.0.2. Na Twoim obrazku jest jeszcze pozycja Plus.HD_3.5V04.10, tylko że w raporcie FRST jej nie widać. Czy ten program został już odinstalowany?

- Starsze wersje i zbędne programy: Adobe Reader XI - Polish, Adobe Shockwave Player + Authorware Web Player, Adobe Shockwave Player 12.0, Spybot - Search & Destroy.

3. Wyczyść przeglądarki z adware:

Firefox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > Osoby > Dodaj osobę, czyli załóż nowy profil i się na niego zaloguj, uprzednio otwarte okna przeglądarki z zalogowanymi innymi profilami zamknij. Pozostałe "Osoby" skasuj.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

CTRL+SHITF+E i na liście rozszerzeń odinstaluj za pomocą "iksa" Web Amplified, o ile nie zniknie samodzielnie po w/w deinstalacji.

Obecnie domyślną przeglądarką jest szkodliwy MyBrowser. W wybranej przeglądarce ustaw ją jako domyślna.

4. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pola Addition + Shortcut. Dołącz też plik fixlog.txt.

Powiedz mi też co to za plik na Pulpicie:

C:\Users\Grzesiek\Desktop\fb b.exe

Aneks
 
 

Został uruchomiony specjalny czyściciel sterowników AMD, czego bezpośrednią konsekwencją po restarcie było przełączenie na podstawowy sterownik Windows o ograniczonych możliwościach (to degradacja rozdzielczości a nie Tryb awaryjny).

Przypominam Twój stary temat omawiający problem karty hybrydowej AMD-Intel, gdy miałeś jeszcze Windows 7. Już wtedy był problem z funkcjonowaniem sterowników i była sugerowana ich aktualizacja. Wątku nie pociągnąłeś wtedy. Nowy upgrade do Windows 10, żadnych zmian w układzie zainstalowanego softu, te same stare wersje widziane tu w pierwszym logu FRST Addition:

AMD Catalyst Control Center (HKLM\...\WUCCCApp) (Version: 1.00.0000 - AMD)
AMD Catalyst Install Manager (HKLM\...\{9B931181-D3E6-B7C8-6AC1-0415CAE8821F}) (Version: 8.0.881.0 - Advanced Micro Devices, Inc.)
Intel® Display Audio Driver (HKLM\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 6.14.00.3086 - Intel Corporation)

Ten układ został podwójnie naruszony:
- W poście #14 zgłosiłeś nagłe błędy paczki Catalyst związane z uszkodzeniami plików. W poście #16 na dodatek jeszcze powiedziałeś, że nie widać tej paczki już jako zainstalowanej, co rozumiem jako niewyjaśniony zanik w/w pozycji AMD z Addition.
- W poście #20 został użyty deinstalator AMD, który zabrał się za powiązane sterowniki i nastąpiła spodziewana degradacja. Co dokładnie zostało usunięte, nie jest wiadome. Czy jest na dysku log utworzony przez narzędzie?

Wymagane jest ponowne zainstalowanie pasujących sterowników. Jak powiedziane, wejdź na stronę Lenovo i szukaj dla swojego modelu Lenovo jakie sterowniki ogólnie są proponowane i czy są zgodne z Windows 10. Pobieranie prawdopodobnie będzie opisane jako kombinowane "AMD Radeon HD and Intel Graphic Driver".

Czy uporałeś się ze sprawą Aviry? Ostatnie zadane czynności wykonane pomyślnie. Wcześniej już był używany AdwCleaner, więc nie zadaję ponownie tej operacji. Myślę, że możemy kończyć:

1. Był używany GMER, toteż upewnij się, że nie obniżył się transfer dysku. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

2. Zastosuj DelFix (GMER trzeba dokasować ręcznie) i wyczyść Przywracanie systemu: KLIK.

3. Zaktualizuj systemowy Internet Explorer z bieżącej wersji IE7 do wersji IE8. Link do instalatora również podany w/w temacie.

Czy na pewno ten Fixlist posiada treść odpowiadającą mojemu postowi? Jeśli tak, ponownie uruchom Fix w FRST i przedstaw wyniki.

Ten PriceFountain to jest adware, nabyte na jeden z tych sposobów: KLIK. Widzę jego szczątki w Harmonogramie zadań i na dysku.

1. Doczyść owe szczątki. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\Tomek\DANEAP~1\PRICEF~1\UPDATE~1\UPDATE~1.EXE 
Task: C:\WINDOWS\Tasks\PFExe.job => C:\Documents and Settings\Tomek\Ustawienia lokalne\Dane aplikacji\PriceFountain\pricefountain.exe
C:\Documents and Settings\Tomek\Dane aplikacji\PriceFountain
C:\{b6a94784-0ffb-4121-88c6-435139067ee2}.xpi
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Następnie proszę zaktualizuj cały XP, bo stan obecny marny: KLIK (sekcja "Aktualizacje Windows").

Platform: Microsoft Windows XP Professional Dodatek Service Pack 2 (X86) Język: Polski

Internet Explorer Wersja 6 (Domyślna przeglądarka: FF)

3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt.

W przeglądarce od Google Chrome tak samo dopiero dziś resetowałem synchronizację.

Chociaż skoro to nie było związane z wirusem, tylko z innym czymś, bliżej mi nie określonym...

Reset synchronizacji jest po to, by umożliwić zmiany w lokalnym Chrome na dysku. Przy czynnej synchronizacji czyszczenie Chrome jest nieskuteczne, gdyż z serwera Google są ładowane ponownie poprzednie ustawienia. A owe ustawienia o które mi tu chodziło, to był sponsorowany obiekt instalowany przez Avast (zbędny Avast SafePrice) oraz nieobsługiwane + puste wpisy wtyczek pozostawione po nakładkowej aktualizacji wersji Chrome:

CHR Plugin: (Native Client) - C:\Program Files\Google\Chrome\Application\45.0.2454.101\ppGoogleNaClPluginChrome.dll => No File

CHR Plugin: (Chrome PDF Viewer) - C:\Program Files\Google\Chrome\Application\45.0.2454.101\pdf.dll => No File

CHR Plugin: (Adobe Acrobat) - C:\Program Files\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll => No File

CHR Plugin: (Java Deployment Toolkit 6.0.200.2) - C:\Program Files\Java\jre6\bin\new_plugin\npdeployJava1.dll => No File

CHR Plugin: (Java™ Platform SE 6 U20) - C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll => No File

CHR Plugin: (Google Update) - C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll => No File

CHR Plugin: (Windows Live Photo Gallery) - C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)

CHR Plugin: (Silverlight Plug-In) - c:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll => No File

Jak mówię, kompletnie nie związane z tematem zasadniczym.

A i zanim temat będzie zamknięty to chciałem się zapytać co to było

Szczątki adware: KLIK. Pobierałeś i uruchamiałeś kiedyś "downloader" ze sponsorami. Więcej na temat tego typu obiektów: KLIK. Temat nie wyczerpuje wszystkich możliwości, nakreśla tylko ogólną metodologię. Nazwa pliku u Ciebie wskazuje, że źródłem był inny portal niż wymieniane.