picasso

Proszę dostosuj się do zasad działu: KLIK. Logi z przestarzałego OTL w ogóle nie są tu już brane pod uwagę.

Brakuje pliku fixlog.txt z wynikami usuwania FRST.

Wszystko co miało został usunięte, zostało. W skrypcie zadałam pobór zawartości "wlanconnect.txt" (uprzednio wlanconnect.vbs), by sprawdzić co skrypt miał zaplanowane, ale FRST pliku nie znalazł. Najwyraźniej usunąłeś go przed użyciem skryptu FRST. Żaden antywirus nie ma 100% skuteczności, są obiekty które mogą zostać nie wykryte. Z tego co rozumiem z opisu, Avast wykrywał skutki działania skryptu (te dodatkowe pliki), a nie sam skrypt. Nie wiadomo skąd to coś u Ciebie w systemie. Jeśli chodzi o telefon, to podepnij go pod system, nie wchodź na niego i zrób log USBFix z opcji Listing.

Brakuje pliku Fixlog.txt z wynikami usuwania. Dołącz. Nie uruchamiaj skryptu ponownie - ten plik już jest w folderze skąd uruchamiano FRST. GMER był robiony w złych warunkach, nie zrealizowane ogłoszenie: KLIK. Zainstalowany DAEMON Tools Lite i czynny powiązany sterownik SPTD od emulacji napędów wirtualnych: R0 sptd; C:\windows\System32\Drivers\sptd.sys [466008 2013-10-17] (Duplex Secure Ltd.) U3 afs14yhz; C:\windows\system32\Drivers\afs14yhz.sys [0 ] (Intel Corporation) Aktywność emulacji powoduje rozmaite odczyty rootkit-podobne. Wszystko wygląda tak jak ma to wyglądać. Rozszerzenia Chrome używają identyfikatorów ID (ciąg losowo dobranych liter alfabetu). Identyfikator jest stały dla danego rozszerzenia (o ile nie jest to malware używające losowych). ID występuje w Chrome Web Store w adresach pobierania, np. dla Avast: hxxps://chrome.google.com/webstore/detail/avast-online-security/gomekmidlodglbbmalcneegieacbdmki?hl=pl Był w pierwszym logu, w drugim już nie. W skrypcie usuwałam powiązany wpis rejestru, co mogło odpalić całkowite automatyczne usunięcie rozszerzenia.

Wszystko przetworzone zgodnie z planem. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: Reg: reg add HKLM\SOFTWARE\Classes\Unknown\shell\openas\command /ve /t REG_EXPAND_SZ /d "%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" /f Reg: reg delete "HKU\S-1-5-21-842140158-2366408920-2547723377-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "C:\Program Files (x86)\Tencent\unins000.exe" /f Reg: reg delete "HKU\S-1-5-21-842140158-2366408920-2547723377-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe" /f Reg: reg query HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{365ADADE-814B-400C-877C-95E9F684BBEB} /s DeleteKey: HKLM\SOFTWARE\Classes\.apk DeleteKey: HKLM\SOFTWARE\Classes\.qbox DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{754DF2CE-51E8-4895-B53C-6381418B84AE} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{D4801E96-E7A1-45F6-B124-7A36DFB40B81} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{E52EB753-1F56-4DF7-BE53-2C314AC5F8A1} DeleteKey: HKLM\SOFTWARE\Classes\PCMgrRepairIEExtensions DeleteKey: HKLM\SOFTWARE\Classes\qmbfile DeleteKey: HKLM\SOFTWARE\Classes\qmgcfiles DeleteKey: HKLM\SOFTWARE\Classes\qpakfile DeleteKey: HKLM\SOFTWARE\Classes\qqapp DeleteKey: HKLM\SOFTWARE\Classes\QQPCMgr.qbox DeleteKey: HKLM\SOFTWARE\Classes\qqpro DeleteKey: HKLM\SOFTWARE\Classes\TencentAndroidAssistant DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{35627C7C-DB28-4772-9A6F-7607FFCBF9FF} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{445E3964-15B0-472A-95F4-6242DD2EA066} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{573F9869-D92C-4B7E-A9C3-F042278D5078} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{6E1533F0-E0B5-465A-9F16-98FF0C76D493} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{8519F1E4-E25B-42B1-B361-0C643F45CF11} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{C049F583-D724-4BAB-8F47-F13BCA41B808} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{29B6CFD5-0064-411A-8C42-9890C83F9921} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{63332668-8CE1-445D-A5EE-25929176714E} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{754DF2CE-51E8-4895-B53C-6381418B84AE} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{E52EB753-1F56-4DF7-BE53-2C314AC5F8A1} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{35627C7C-DB28-4772-9A6F-7607FFCBF9FF} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{573F9869-D92C-4B7E-A9C3-F042278D5078} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{6E1533F0-E0B5-465A-9F16-98FF0C76D493} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{8519F1E4-E25B-42B1-B361-0C643F45CF11} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{C049F583-D724-4BAB-8F47-F13BCA41B808} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\NativeMessagingHosts\com.qq.qmchext DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{365ADADE-814B-400C-877C-95E9F684BBEB} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Tencent DeleteKey: HKLM\SYSTEM\WifiSafeCfg DeleteKey: HKU\S-1-5-18\Software\Tencent DeleteKey: HKU\S-1-5-21-842140158-2366408920-2547723377-1000\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Tencent DeleteKey: HKU\S-1-5-21-842140158-2366408920-2547723377-1000\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{639B74F1-0594-432C-97C8-68C8C17A1E1D} DeleteKey: HKU\S-1-5-21-842140158-2366408920-2547723377-1000\Software\Tencent DeleteKey: HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_QMUDISK DeleteKey: HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_TAOKERNELDRIVER RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Damian\AppData\Local\Game Updater RemoveDirectory: C:\Users\Damian\AppData\Local\Setup Integrity Check RemoveDirectory: C:\Users\Damian\Downloads\FRST-OlderVersion CMD: del /q C:\Users\Damian\Downloads\vm9u0ow8.exe CMD: netsh advfirewall reset Plik zapisz pod nazwą fixlist.txt (tym razem już nie w UTF-8) i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Skanuj (nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Owszem, ślady wskazują, że w systemie była infekcja. W Starcie pozostał skrót próbujący uruchamiać już skasowany skrypt VBS: Startup: C:\Users\Julia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wlanconnect.lnk [2015-10-02] ShortcutTarget: wlanconnect.lnk -> C:\Users\Julia\AppData\Roaming\wlanconnect.vbs (No File) Doczyść te szczątki i inne puste wpisy: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Julia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wlanconnect.lnk [2015-10-02] HKLM\...\Run: [] => [X] ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => No File Toolbar: HKU\S-1-5-21-3482297185-812369919-341804188-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Task: {0669CAE3-8D62-4774-B302-84C58336CA56} - System32\Tasks\{86945756-3D09-4802-87F2-A47D3F85E65B} => pcalua.exe -a C:\Windows\System32\TVWSetup.exe -d C:\Windows\System32 Task: {17AC3F7F-8C29-4B0D-9C60-C7E836F5D088} - System32\Tasks\{FF2891D5-3E53-4F84-9530-7EFF906A430D} => pcalua.exe -a "C:\Users\Julia\Desktop\cień czarnobyla\Stalker\setup.exe" -d "C:\Users\Julia\Desktop\cień czarnobyla\Stalker" Task: {1C766A04-0982-4DA4-8613-57B58556FBD8} - System32\Tasks\C__Users_Julia_AppData_Local_Temp_nsvD015.tmp_fliptoast.app.13295.fliptoast-9e1f6ff0.exe => C:\Users\Julia\AppData\Local\Temp\nsvD015.tmp\fliptoast.app.13295.fliptoast-9e1f6ff0.exe Task: {6238AB7C-8B2B-4CA1-8AE6-3430113B4BAA} - System32\Tasks\{45F4C0D4-9E6A-450B-8471-227DC8E9A268} => pcalua.exe -a "C:\Program Files\AVAST Software\Avast\aswRunDll.exe" -c "C:\Program Files\AVAST Software\Avast\Setup\setiface.dll" RunSetup Task: {AAC1A1D3-BEB0-48BB-A6DD-08C5ED31E683} - System32\Tasks\C__Users_Julia_AppData_Local_Temp_nst8FBB.tmp_fliptoast.app.13295.fliptoast-9e1f6ff0.exe => C:\Users\Julia\AppData\Local\Temp\nst8FBB.tmp\fliptoast.app.13295.fliptoast-9e1f6ff0.exe Task: {BC6050EF-6F58-42F0-BAA6-5EE768D9444F} - System32\Tasks\{AF0A5B6C-63DE-4487-9C6F-5A73A4525A62} => pcalua.exe -a "C:\Games BF\Battlefield 3™\Core\EAProxyInstaller.exe" -d "C:\Games BF\Battlefield 3™\Core" Task: C:\windows\Tasks\C__Users_Julia_AppData_Local_Temp_nst8FBB.tmp_fliptoast.app.13295.fliptoast-9e1f6ff0.exe.job => C:\Users\Julia\AppData\Local\Temp\nst8FBB.tmp\fliptoast.app.13295.fliptoast-9e1f6ff0.exe Task: C:\windows\Tasks\C__Users_Julia_AppData_Local_Temp_nsvD015.tmp_fliptoast.app.13295.fliptoast-9e1f6ff0.exe.job => C:\Users\Julia\AppData\Local\Temp\nsvD015.tmp\fliptoast.app.13295.fliptoast-9e1f6ff0.exe S3 andnetadb; System32\Drivers\lgandnetadb.sys [X] S3 AndNetDiag; system32\DRIVERS\lgandnetdiag.sys [X] S3 ANDNetModem; system32\DRIVERS\lgandnetmodem.sys [X] S3 andnetndis; system32\DRIVERS\lgandnetndis.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files\IObit\Game Booster 3\Driver\WinRing0.sys [X] CMD: type C:\Users\Julia\AppData\Roaming\wlanconnect.txt C:\Program Files\ESET C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\INTERIA.PL C:\Users\Julia\AppData\Local\ESET C:\Users\Julia\AppData\Local\Microsoft\Windows\GameExplorer\{d58eecb0-0816-11de-8c30-0800200c9a66} C:\Users\Julia\AppData\Local\Microsoft\Windows\GameExplorer\{c3c636e0-1b04-11de-8c30-0800200c9a66} C:\Users\Julia\AppData\Local\Microsoft\Windows\GameExplorer\{3eda1e54-8889-41f5-a649-5a306789b7ef} C:\Users\Julia\AppData\Local\Microsoft\Windows\GameExplorer\{26352374-af55-4b53-b07b-6b0288ed97df} C:\Users\Julia\AppData\Roaming\*.* C:\Users\Julia\AppData\Roaming\Microsoft\Excel\SO_tematy304135693020343955\SO_tematy.xls.lnk Reg: reg delete HKLM\SOFTWARE\Google\Chrome\Extensions\eofcbnmajmjmplflapaojjnihcjkigck /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Anti-phishing Domain Advisor" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Drobne sprawy w Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj sponsoringowy Avast SafePrice Zresetuj cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

W raportach widać szkodliwe zadania w Harmonogramie ("IT Viewer Uninstaller" + "Security Cleaner"), Privoxy którym posługuje się malware oraz ustawione przez niego proxy. Bezpośrednio przed pojawieniem się obiektów malware na dysku był pobierany poniższy plik - czy przypadkiem w środku nie było jakiegoś pliku EXE? C:\Users\magda1\Downloads\Muse discography 1999 2012 320 kbps (1).zip Wstępnie do przeprowadzenia następujące akcje: 1. Odinstaluj starszą wersję Adobe Reader XI (11.0.12) - Polish oraz problematyczny ASUS WebStorage Sync Agent (znany z tworzenia błędów explorer.exe). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 PrivoxyService; C:\Program Files (x86)\IT Viewer\privoxy.exe [371200 2015-10-09] (The Privoxy team - www.privoxy.org) [File not signed] U4 AvastVBoxSvc; "C:\Program Files\AVAST Software\Avast\ng\vbox\AvastVBoxSVC.exe" [X] U4 VBoxAswDrv; \??\C:\Program Files\AVAST Software\Avast\ng\vbox\VBoxAswDrv.sys [X] Task: {1440A01B-844E-4A65-9BAC-3399EFAA808C} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File Task: {1D848E9D-A42E-444E-A468-E36AE665CE99} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File Task: {3A577F41-7EEC-4B64-8C7B-0D2045D70D76} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File Task: {3F3A6BC1-69CE-4CA8-AE08-7A9CE592BAEA} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File Task: {565EFB66-DEEE-4FD5-800A-D1605F0A72BE} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File Task: {57537E90-C12F-44C3-A0A8-F9D64B2EA3AB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File Task: {5A1EB5FC-D5F3-4239-8F5F-9187D325E812} - System32\Tasks\Security Cleaner => C:\Users\magda1\AppData\Roaming\Security Cleaner\Security Cleaner.exe [2015-10-09] () Task: {5EDD9277-79D9-46D3-80EE-0F3459860F03} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File Task: {69F3888F-5D45-4845-A54F-A093E77BF4DE} - System32\Tasks\IT Viewer Uninstaller => C:\Program Files (x86)\IT Viewer\astask.exe [2015-10-09] (West CH Soft) Task: {A20834AB-E3D4-43E6-A437-EE444A7843A2} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File Task: {A489DAEA-2740-4F36-B1B1-13644CC82176} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File Task: {ED0DF5C9-94B7-4CA6-9011-E1BD708113D5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File Task: {F5EAF9C6-2FD3-451B-A1B5-912BA346787B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File HKLM\...\Run: [HotKeysCmds] => "C:\WINDOWS\system32\hkcmd.exe" HKLM\...\Run: [Persistence] => "C:\WINDOWS\system32\igfxpers.exe" HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank SearchScopes: HKU\S-1-5-21-1955459496-1287597648-2212735668-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1955459496-1287597648-2212735668-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx C:\Program Files (x86)\IT Viewer C:\Users\magda1\AppData\Roaming\Security Cleaner Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\eofcbnmajmjmplflapaojjnihcjkigck /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj sponsora Avast SafePrice Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt. Wypowiedz się czy problem ustąpił.

Poproszę także o log z USBFix z opcji Listing zrobiony przy podpiętym pendrive.

Próbować oczywiście możesz, ale tu są słabe widoki. CryptoWall od wersji 2.0 stosuje "bezpieczne" wymazywanie danych, uniemożliwiając stosowanie programów do odzyskiwania danych: KLIK. Listę już zaszyfrowanych plików możesz sprawdzić stosując program ListCWall. Dostarcz raporty z tego systemu. Widzę też pobrany instalator STOPzilla - odradzam ten program, wcześniej był nawet na czarnej liście. Jeśli chodzi o podane tu raporty, to widzę w starcie podejrzany obiekt "cftmon.exe" oraz masę plików typu HELP_DECRYPT.* (MBAM usunął zaledwie mikro cząstkę). Działania zostaną sprowadzone do usunięcia wspominanych obiektów oraz różnych pustych wpisów. Do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Startup: C:\Documents and Settings\ppp\Menu Start\Programy\Autostart\ctfmon.exe [2006-06-26] () HKU\S-1-5-21-2247778763-4088190255-1608279117-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2247778763-4088190255-1608279117-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch BHO: Adobe PDF Reader Link Helper -> {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -> C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll Brak pliku BHO: Brak nazwy -> {BA3295CF-17ED-4F49-9E95-D999A0ADBFDC} -> Brak pliku Toolbar: HKU\S-1-5-21-2247778763-4088190255-1608279117-1003 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku U3 TrueSight; C:\WINDOWS\system32\drivers\TrueSight.sys [35064 2015-10-08] () S3 APCMp50; System32\Drivers\APCMp50.sys [X] S1 VClone; system32\DRIVERS\VClone.sys [X] C:\Documents and Settings\All Users\Menu Start\Programy\Firebird_1_5\Firebird 1.5 Readme.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Firebird_1_5\Firebird 1.5 Release Notes.lnk C:\Documents and Settings\ppp\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Winamp.lnk C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\drivers\TrueSight.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: attrib -h -s C:\HELP_DECRYPT.* /s CMD: del /q /s C:\HELP_DECRYPT.* Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, system zostanie zresetowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj bardzo stare wersje naruszające bezpieczeństwo: Adobe Flash Player 10 Plugin, Adobe Reader 7.1.0, J2SE Runtime Environment 5.0 Update 9, Java 7 Update 71, Java™ SE Runtime Environment 6 Update 1, OpenOffice.org 2.0.3. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

To zadanie "MakeMarkerFile" można usunąć. Wyniki z SFC wydrukuję w skrypcie FRST. Otwórz Notatnik i wklej w nim: Task: {539F9EBA-DFAD-4591-8D57-1C10F6CD48CC} - System32\Tasks\MakeMarkerFile => %ProgramData%\MakeMarkerFile.exe CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Tak, chińskie świństwa niestety nie odinstalowały się i trzeba je usunąć siłą. Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 QQPCRTP; C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16779.224\QQPCRTP.exe [301728 2015-10-02] (Tencent) S4 TAOFrame; C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16779.224\TAOFrame.exe [297952 2015-10-02] (Tencent) R1 QMUdisk; C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16779.224\QMUdisk64.sys [80184 2015-09-29] (Tencent) R2 QQSysMonX64; C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16779.224\QQSysMonX64.sys [138040 2015-10-02] (电脑管家) R2 TAOAccelerator; C:\Windows\system32\Drivers\TAOAccelerator64.sys [74040 2015-10-02] (Tencent) R1 TAOKernelDriver; C:\Windows\System32\Drivers\TAOKernel64.sys [274232 2015-10-02] (Tencent Technology(Shenzhen) Company Limited) R3 TFsFlt; C:\Windows\System32\Drivers\TFsFltX64.sys [87864 2015-10-02] (电脑管家) R3 TS888x64; C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16779.224\TS888x64.sys [28984 2015-10-08] (Tencent) R1 TSDefenseBt; C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16779.224\TSDefenseBT64.sys [28984 2015-10-02] (Tencent) S3 TSSKX64; C:\Windows\System32\drivers\tsskx64.sys [38200 2015-10-02] (电脑管家) R1 TSSysKit; C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16779.224\TSSysKit64.sys [87352 2015-10-02] (电脑管家) HKLM-x32\...\Run: [ QQPCTray] => C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16779.224\QQPCTRAY.EXE [355296 2015-10-02] (Tencent) AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~2.DLL => Brak pliku AppInit_DLLs-x32: C:\PROGRA~2\SupTab\SEARCH~1.DLL => Brak pliku ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16779.224\QMGCShellExt64.dll [2015-10-02] (Tencent) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=56626&homepage=about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=95611903_hao_pg HKU\S-1-5-21-842140158-2366408920-2547723377-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=95611903_hao_pg BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16779.224\TSWebMon64.dat [2015-10-02] (Tencent) BHO-x32: Brak nazwy -> {0E5680D1-BF44-4929-94AF-FD30D784AD1D} -> Brak pliku BHO-x32: Brak nazwy -> {11111111-1111-1111-1111-110311551110} -> Brak pliku BHO-x32: Brak nazwy -> {11111111-1111-1111-1111-110611511123} -> Brak pliku BHO-x32: Ó¦Óñ¦Ň»Ľü°˛×°˛ĺĽţ -> {50F4150A-48B2-417A-BE4C-C83F580FB904} -> C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3198\npQQPhoneManagerExt.dll [2014-05-30] (腾讯公司) BHO-x32: Brak nazwy -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> Brak pliku AV: 电脑管家系统防护 (Enabled - Up to date) {6F9C3F92-B625-0E47-F0B1-447602EC65F5} AS: 电脑管家系统防护 (Enabled - Up to date) {D4FDDE76-901F-01C9-CA01-7F04796B2F48} C:\Program Files\Core Temp C:\Program Files (x86)\Ganymede C:\Program Files (x86)\OCCTPT C:\Program Files (x86)\Opera C:\Program Files (x86)\predm C:\Program Files (x86)\R.G. Mechanics C:\Program Files (x86)\SupTab C:\Program Files (x86)\Temp C:\Program Files (x86)\Tencent C:\Program Files (x86)\搜狐影音 C:\Program Files\Common Files\Tencent C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} C:\ProgramData\{8533ADFA-85F0-4dc1-946A-2A0BA58E78E3} C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69 C:\ProgramData\APN C:\ProgramData\AVG C:\ProgramData\Codemasters C:\ProgramData\IePluginServices C:\ProgramData\Oracle C:\ProgramData\Orbit C:\ProgramData\Riot Games C:\ProgramData\Splashtop C:\ProgramData\Sun C:\ProgramData\Tencent C:\ProgramData\TXQMPC C:\Users\Damian\AppData\Local\AVG C:\Users\Damian\AppData\Local\CEF C:\Users\Damian\AppData\Local\CrashRpt C:\Users\Damian\AppData\Local\ESN C:\Users\Damian\AppData\Local\GGEmpire C:\Users\Damian\AppData\Local\globalUpdate C:\Users\Damian\AppData\Local\Installer C:\Users\Damian\AppData\Local\OCCT_-_Ocbase_-_Adrien_Me C:\Users\Damian\AppData\Local\Opera Software C:\Users\Damian\AppData\Local\PunkBuster C:\Users\Damian\AppData\Local\Sony C:\Users\Damian\AppData\Local\WorldofTanks C:\Users\Damian\AppData\LocalLow\iWebar C:\Users\Damian\AppData\LocalLow\Sense C:\Users\Damian\AppData\LocalLow\Sun C:\Users\Damian\AppData\Roaming\AVG C:\Users\Damian\AppData\Roaming\java C:\Users\Damian\AppData\Roaming\GanymedeNet C:\Users\Damian\AppData\Roaming\LolClient C:\Users\Damian\AppData\Roaming\OpenCandy C:\Users\Damian\AppData\Roaming\Oracle C:\Users\Damian\AppData\Roaming\RHEng C:\Users\Damian\AppData\Roaming\Riot Games C:\Users\Damian\AppData\Roaming\Sony C:\Users\Damian\AppData\Roaming\Tencent C:\Users\Damian\AppData\Roaming\Wargaming.net C:\Users\Damian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\强力卸载电脑上的软件 .lnk C:\Users\Damian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\电脑管家.lnk C:\Windows\system32\Drivers\TAOAccelerator64.sys C:\Windows\system32\Drivers\TAOKernel64.sys C:\Windows\system32\Drivers\TFsFltX64.sys C:\Windows\system32\Drivers\TSSKX64.sys C:\Windows\SysWOW64\Drivers\TS888x64.sys Folder: C:\Users\Damian\AppData\Local\EmieBrowserModeList Folder: C:\Users\Damian\AppData\Local\EmieSiteList Folder: C:\Users\Damian\AppData\Local\EmieUserList Folder: C:\Users\Damian\AppData\Local\Game Updater Folder: C:\Users\Damian\AppData\Local\Setup Integrity Check Folder: C:\Users\Damian\AppData\LocalLow\EmieBrowserModeList Folder: C:\Users\Damian\AppData\LocalLow\EmieSiteList Folder: C:\Users\Damian\AppData\LocalLow\EmieUserList Folder: C:\Users\Damian\AppData\Roaming\Publish Providers EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. Powstanie kolejny fixlog.txt. 2. Uruchom FRST ponownie, w polu Szukaj wklej poniższe warunki i klik w Szukaj w rejestrze. QQPCMgr;Tencent 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też pliki fixlog.txt i Search.txt.

Cóż, to może być problem braku wsparcia dla XP. Avira wycofuje się z obsługi XP, najnowsze wersje nie mają nawet oznaczonej kompatybilności z XP, a definicje na starszych będą dostarczane tylko do kwietnia 2016: KLIK / KLIK. Masz zainstalowaną następującą wersję: Avira Free Antivirus (HKLM\...\Avira AntiVir Desktop) (Version: 15.0.8.658 - Avira) Już nieco starsza wersja Pro 15.0.8.624 okazała się "za nowa" dla XP i support zalecił downgrade do jakiejś starej, która mogła się aktualizować na XP: KLIK. W tej sytuacji proponuję w ogóle zrezygnować z Avira i zastąpić np. darmowym Avast, który nadal ma pełne wsparcie dla XP. NA KONCIE ALEX: Drobne poprawki: 1. Otwórz Notatnik i wklej w nim: BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll Brak pliku FF Plugin: @java.com/DTPlugin -> C:\Program Files\Java\jre6\bin\npDeployJava1.dll [brak pliku] FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.28.1\npGoogleUpdate3.dll [brak pliku] FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.28.1\npGoogleUpdate3.dll [brak pliku] C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Mozilla Firefox\defaults\pref\itms.js CMD: net user Gość /active:no CMD: net user ASPNET /delete Plik zapisz pod nazwą fixlist.txt (tym razem już nie w UTF-8) i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Uruchom Zoek. W oknie wklej: Google Update Helper;u Grand Theft Auto IV;u Grand Theft Auto: Episodes from Liberty City;u HiJackThis;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log).

Ostrzeżenie o używaniu ComboFix już otrzymałeś. Posty sklejam do oczekiwanej na starcie formy. Temat przenoszę do działu Windows. To nie jest problem infekcji. Z raportów nic konkretnego nie wynika. Sugestie: 1. Deinstalacje: - Upewnij się, że problemu nie tworzy instalacja AVG. W ramach testu odinstaluj, by sprawdzić czy system przyśpieszy. - W Dzienniku zdarzeń dużo błędów Malwarebytes Anti-Malware. Ten również odinstaluj. - Mógłbyś też ograniczyć ilość zbędnych procesów nVidia deinstalując NVIDIA GeForce Experience 2.5.12.11. To nie jest komponent niezbędny do obsługi karty nVidia. - Przy okazji pozbądź się starych wersji Adobe Reader 9.5.0 - Polish, Java 8 Update 40. 2. Jest tu nie za dużo wolnego miejsca na dysku i to może być jedna z przyczyn: Drive c: (SYSTEM) (Fixed) (Total:50.01 GB) (Free:7.55 GB) NTFS ==>[dysk z komponentami startowymi (pozyskano z BCD)] PS. W spoilerze drobne doczyszczanie wpisów odpadkowych. Uruchom ten Fix już po w/w deinstalacjach.

W systemie jest dużo niepożądanych obiektów. Przeprowadź następujące działania: 1. Deinstalacje: ----> Przez Panel sterowania odinstaluj stare wersje: Adobe Flash Player 14 ActiveX, Adobe Flash Player 16 NPAPI, Java 8 Update 45. ----> Z prawokliku na poniższe pliki > Uruchom jako Administrator: C:\Program Files (x86)\搜狐影音\uninstall.exe C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16779.224\Uninst.exe Jeśli deinstalacje zakończą się błędem, kontynuuj dalej. Obiekty adware zostaną usunięte siłą w drugim podejściu. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {a3f28269-ad17-41a8-b032-3e0313ef8979}Gw64; C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw64.sys [61016 2014-06-06] (StdLib) S4 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-12-30] (globalUpdate) [brak podpisu cyfrowego] S4 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-12-30] (globalUpdate) [brak podpisu cyfrowego] S3 AODDriver; \??\C:\Program Files (x86)\GIGABYTE\ET6\amd64\AODDriver.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 TEAM; system32\DRIVERS\RtTeam60.sys [X] Startup: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iexplore updater.exe [2015-10-01] (Microsoft Corporation) HKLM-x32\...\Run: [gmsd_pl_12] => [X] HKLM-x32\...\Run: [CMD] => cmd.exe /c start http://zivlingamer.org && exit HKLM-x32\...\Run: [app] => C:\Program Files (x86)\Tencent\app.exe AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~2.DLL => Brak pliku AppInit_DLLs-x32: C:\PROGRA~2\SupTab\SEARCH~1.DLL => Brak pliku IFEO\adwcleaner_4.204.exe: [Debugger] svchost.exe IFEO\AnVir.exe: [Debugger] svchost.exe IFEO\AutoLogger.exe: [Debugger] svchost.exe IFEO\avz.exe: [Debugger] svchost.exe IFEO\CCleaner.exe: [Debugger] svchost.exe IFEO\CCleaner64.exe: [Debugger] svchost.exe IFEO\FRST.exe: [Debugger] svchost.exe IFEO\FRST64.exe: [Debugger] svchost.exe IFEO\HiJackThis.exe: [Debugger] svchost.exe IFEO\regedit.exe: [Debugger] svchost.exe IFEO\RegWorks.exe: [Debugger] svchost.exe IFEO\RSIT.exe: [Debugger] svchost.exe IFEO\RSITx64.exe: [Debugger] svchost.exe Task: {0270BC74-E5A4-4774-B605-E5921FA877B0} - System32\Tasks\sup_games_updating_service => C:\Program Files (x86)\sup games\sup_games_updating_service.exe [2015-04-07] () Task: {0A12D5A9-32C8-410B-BFAB-78C2BABAB129} - System32\Tasks\{CD3410FA-3655-44C6-869A-39FAE7981FB6} => pcalua.exe -a "C:\Users\Damian\Desktop\The Sims 4 Installer\The Sims 4 Game Installer.exe" -d "C:\Users\Damian\Desktop\The Sims 4 Installer" Task: {0CAF6760-18FC-4704-8302-655DA4E1A51D} - System32\Tasks\{61D0D797-F334-4DDB-A814-B6C37EA3FE1F} => pcalua.exe -a F:\setup.exe -d F:\ Task: {1081216A-8403-4F8A-8F6B-387C0D2685CD} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-6 => C:\Program Files (x86)\iWebar\iWebar-novainstaller.exe Task: {1358B150-5B4C-4D63-A084-FD86A4E6D0C1} - System32\Tasks\UNELEVATE_2594 => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.486\jsdrv.exe Task: {1397097C-1D47-427B-A757-7857E27DFF07} - System32\Tasks\RtlNICDiagVistaStart => C:\Program Files (x86)\Realtek\Realtek Ethernet Diagnostic Utility\8169Diag.exe Task: {1F11FC35-9129-4823-A9C1-4FBE800C259D} - System32\Tasks\{306204FC-A106-4B0D-BD07-B0A4BE21C91D} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe" Task: {28B426FB-3C3E-4440-B6F5-20252C06AD71} - System32\Tasks\48_dresses_updating_service => C:\Program Files (x86)\48 dresses\48_dresses_updating_service.exe [2015-04-01] () Task: {341BDBBD-82AE-49C6-B47C-BAED1A578B57} - System32\Tasks\suprize_notification_service => C:\Program Files (x86)\suprize\suprize_notification_service.exe Task: {439CC7DE-278C-4411-9E97-D845B2CD9F3B} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-4 => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-4.exe Task: {5B8E12CF-D086-44EB-BAB8-4545F049E1ED} - System32\Tasks\{8D43D382-B5B2-4DB5-A3BD-8738CFF0F8B4} => pcalua.exe -a "D:\The Pirate Jogos - Need For Speed Most Wanted\TraduçãoMost Wanted.exe" -d "D:\The Pirate Jogos - Need For Speed Most Wanted" Task: {630BFEEF-7059-4788-AA83-99C3E86C136D} - System32\Tasks\{9B445F3B-C93D-4752-89C4-9803132438ED} => pcalua.exe -a C:\Users\Damian\Desktop\W7\CPSetup.exe -d C:\Users\Damian\Desktop\W7 Task: {7339FE3B-8067-4AB8-97D9-3A675F4CD0F3} - System32\Tasks\sup_games_notification_service => C:\Program Files (x86)\sup games\sup_games_notification_service.exe Task: {7A0947A6-883A-4E5A-9D81-1F2BCD5BAD1C} - System32\Tasks\{59E732DB-AF8B-4F1A-83EA-EF41910FC32F} => pcalua.exe -a C:\Users\Damian\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=smt -simple=0 Task: {7C66A99B-FCE9-45E9-A927-2F1C381FD7E9} - System32\Tasks\{1D016F55-57C7-4D7C-A452-947892CC609A} => pcalua.exe -a "C:\Program Files (x86)\Sense\Uninstall.exe" -c /fcp=1 Task: {88F1C3DB-F937-411A-A3FD-496884CE3934} - System32\Tasks\48_dresses_notification_service => C:\Program Files (x86)\48 dresses\48_dresses_notification_service.exe Task: {987136D7-2303-4483-8B50-0AE349FB46AB} - System32\Tasks\suprize_updating_service => C:\Program Files (x86)\suprize\suprize_updating_service.exe [2015-04-02] () Task: {A02B0FA7-F69D-43E9-9971-566D24FE840D} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-12-30] (globalUpdate) Task: {B0B88EC0-C14D-4491-98B0-1C5F016728F4} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-12-30] (globalUpdate) Task: {B916F084-0886-49CC-ACAB-2F612A5D4AEF} - System32\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-4 => C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-4.exe Task: {D3A5E190-4FF1-415B-B27E-4FA0A082CF0F} - System32\Tasks\helper_king_notification_service => C:\Program Files (x86)\helper king\helper_king_notification_service.exe Task: {D689DBA1-C07F-4F94-B646-FF1F1C240369} - System32\Tasks\{4C0FDA1D-F99E-4FD5-9C93-71A86FB6A33D} => pcalua.exe -a "C:\Program Files (x86)\Rockstar Games\Grand Theft Auto IV\GTA IV - Spolszczenie v0.99.exe" -d "C:\Program Files (x86)\Rockstar Games\Grand Theft Auto IV" Task: {DC6FBF00-819C-4C4A-8FCD-D5CE7E473E66} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-7 => C:\Program Files (x86)\iWebar\iWebar-nova.exe Task: {E9F6B911-9B51-44A9-97FC-680EF09657F7} - System32\Tasks\UNELEVATE_18776 => C:\Program Files (x86)\ShopperPro\JSDriver\1.38.0.1442\jsdrv.exe Task: {EC639C06-3A30-423E-B0D4-879DBF5FDC9D} - System32\Tasks\helper_king_updating_service => C:\Program Files (x86)\helper king\helper_king_updating_service.exe [2015-04-07] () Task: {ED85ADE1-9695-4FFF-A17C-251CB270C23A} - System32\Tasks\{E75DF2F7-6F47-4B4B-A887-0A6FE229E4C4} => pcalua.exe -a C:\Users\Damian\Desktop\Watch_Dogs.Multi-RU.Repack.by.z10yded\Redistributables\vcredist_x64_10_sp1.exe -d C:\Users\Damian\Desktop\Watch_Dogs.Multi-RU.Repack.by.z10yded\Redistributables Task: {EE0C9870-EAEB-4150-848E-E6B3C14C3674} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-5 => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-5.exe Task: C:\Windows\Tasks\48_dresses_notification_service.job => C:\Program Files (x86)\48 dresses\48_dresses_notification_service.exeǦ/url='http:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='48 dresses' /appid='73143' /srcid='2913' /bic='a6f52b5bdaa9b59456b16d7f9db68bb8' /verifier='4c2728818662604ef7df09b75a9d2f71' /installerversion='1.50.3.10' /statsdomain='http:/stats.buildomserv.com/data.gif?' /errorsdomain='http:/stats.buildomserv.com/data.gif?' /monetizationdomain='http:/logs.buildomserv.com/monetization.gif Task: C:\Windows\Tasks\48_dresses_updating_service.job => C:\Program Files (x86)\48 dresses\48_dresses_updating_service.exe« /campid=2913 /verid=1 /url=http:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=48_dresses_updating_service /funurl=http:/stats.buildomserv.com Task: C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-4.job => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-4.exeА/amFDNXTmz /dyqGeJy='iWebar' /eZMYoBF C:\Program Files (x86)\iWebar\35510.xpi' /hhBQjVc=35510 /JGSkT='000171' /YTHbNkmX='0' /ciHdRpSZ='eyJkYXRhIjp7ImRhdGUiOiJFNkZ3c210eWNCZjEsYzMwYTRjMDItYWQwNy00NmUyLWJkZTAtNTcxMDBlZDM4NWY4LCIsInVucSI6ImMzMGE0YzAyLWFkMDctNDZlMi1iZGUwLTU3MTAwZWQzODVmOCJ9fQ==' /rluRGxYUp=C629A021BA7B4B03983523661A404B03IE /WJOPj=b29ebdee7b56c763706cd3da658c3173 /WMSqXF=1_34_05_12 /iFUNYeEm=1.34.5.12 /CRFsAs=1402818759 /xqzkUn=http:/stats.clientstatsservice.com /ZYlkDu=http:/errors.clientstatsservice.com /uymDivZza=300 /DPUmaDDE=2eb528f3-950d-48a3-be4b-5d7de6c8331e@a41e199b-6ca4-4d23-ab87-73f2d1973314.com /cdQXKzy=0.94 /LkgeR=a2eb528f3950d48a3be4b5d7de6c8331ea41e199b6ca44d23ab8773f2d1973314com35510 /bZxxYEH=https:/w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/35510.rdf /RPOkTQZmQ='iWebar' /LZvLlByLh='iWebar' /ZKcdlNo='iWebar' /aZJRhuSIm=ch /JDAXzHtY='{asw:[2, 8388609]}' /mZOxglpw /FizjPHPN /XTYdtoBoe /LWpHklfn='http:/update.clientstatsservice.com/ff_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-5.job => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-5.exe Task: C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-6.job => C:\Program Files (x86)\iWebar\iWebar-novainstaller.exeʢ/UYfdKYRRC /rgtdh=task /dyqGeJy='iWebar' /hhBQjVc=35510 /JGSkT='000171' /YTHbNkmX='0' /ciHdRpSZ='eyJkYXRhIjp7ImRhdGUiOiJFNkZ3c210eWNCZjEsYzMwYTRjMDItYWQwNy00NmUyLWJkZTAtNTcxMDBlZDM4NWY4LCIsInVucSI6ImMzMGE0YzAyLWFkMDctNDZlMi1iZGUwLTU3MTAwZWQzODVmOCJ9fQ==' /rluRGxYUp=C629A021BA7B4B03983523661A404B03IE /WJOPj=b29ebdee7b56c763706cd3da658c3173 /WMSqXF=1_34_05_12 /iFUNYeEm=1.34.5.12 /CRFsAs=1402818759 /xqzkUn=http:/stats.clientstatsservice.com /ZYlkDu=http:/errors.clientstatsservice.com /PxGcIm=http:/js.clientstatsservice.com /aZJRhuSIm=ch /cHuOpTi /BrMsvOZoV='nova' /LWpHklfn='http:/update.clientstatsservice.com/novacode/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-7.job => C:\Program Files (x86)\iWebar\iWebar-nova.exeʊ/dyqGeJy='iWebar' /hhBQjVc=35510 /JGSkT='000171' /YTHbNkmX='0' /ciHdRpSZ='eyJkYXRhIjp7ImRhdGUiOiJFNkZ3c210eWNCZjEsYzMwYTRjMDItYWQwNy00NmUyLWJkZTAtNTcxMDBlZDM4NWY4LCIsInVucSI6ImMzMGE0YzAyLWFkMDctNDZlMi1iZGUwLTU3MTAwZWQzODVmOCJ9fQ==' /rluRGxYUp=C629A021BA7B4B03983523661A404B03IE /WJOPj=b29ebdee7b56c763706cd3da658c3173 /WMSqXF=1_34_05_12 /iFUNYeEm=1.34.5.12 /CRFsAs=1402818759 /xqzkUn=http:/stats.clientstatsservice.com /ZYlkDu=http:/errors.clientstatsservice.com /PxGcIm=http:/js.clientstatsservice.com /aZJRhuSIm=ch /cHuOpTi /BrMsvOZoV='nova' /LWpHklfn='http:/update.clientstatsservice.com/novarun/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-4.job => C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-4.exeЊ/amFDNXTmz /dyqGeJy='Sense' /eZMYoBF C:\Program Files (x86)\Sense\48292.xpi' /hhBQjVc=48292 /JGSkT='000805' /YTHbNkmX='0' /ciHdRpSZ='eyJkYXRhIjp7ImRhdGUiOiJFNkR3c210eWNCZjEsNzhiYmJlOGQtNTUzZS00Njg0LTg1ZDUtMDVhM2FlYmU2YjdiLCIsInVucSI6Ijc4YmJiZThkLTU1M2UtNDY4NC04NWQ1LTA1YTNhZWJlNmI3YiJ9fQ==' /rluRGxYUp=560EBB60CFD144E9B6DF33FEB737FB17IE /WJOPj=936d8ff2eda79f280e735c1c884e0d4e /WMSqXF=1_34_05_12 /iFUNYeEm=1.34.5.12 /CRFsAs=1402637143 /xqzkUn=http:/stats.clientstatsservice.com /ZYlkDu=http:/errors.clientstatsservice.com /uymDivZza=300 /DPUmaDDE=143f44cf-d99c-4e45-8cd9-ef929de77aa8@bdbf6038-0097-480c-8d8e-fc48e28131a8.com /cdQXKzy=0.94 /LkgeR=a143f44cfd99c4e458cd9ef929de77aa8bdbf60380097480c8d8efc48e28131a8com48292 /bZxxYEH=https:/w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/48292.rdf /RPOkTQZmQ='Sense' /LZvLlByLh='.' /ZKcdlNo='Object Browser' /aZJRhuSIm=ch /JDAXzHtY='{asw:[2, 1]}' /mZOxglpw /FizjPHPN /XTYdtoBoe /LWpHklfn='http:/update.clientstatsservice.com/ff_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\helper_king_notification_service.job => C:\Program Files (x86)\helper king\helper_king_notification_service.exeǧ/url='http:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='helper king' /appid='73143' /srcid='2913' /bic='a6f52b5bdaa9b59456b16d7f9db68bb8' /verifier='4c2728818662604ef7df09b75a9d2f71' /installerversion='1.50.3.10' /statsdomain='http:/stats.buildomserv.com/data.gif?' /errorsdomain='http:/stats.buildomserv.com/data.gif?' /monetizationdomain='http:/logs.buildomserv.com/monetization.gif Task: C:\Windows\Tasks\helper_king_updating_service.job => C:\Program Files (x86)\helper king\helper_king_updating_service.exe¬ /campid=2913 /verid=1 /url=http:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=helper_king_updating_service /funurl=http:/stats.buildomserv.com Task: C:\Windows\Tasks\RtlNICDiagVistaStart.job => C:\Program Files (x86)\Realtek\Realtek Ethernet Diagnostic Utility\8169Diag.exe Task: C:\Windows\Tasks\suprize_notification_service.job => C:\Program Files (x86)\suprize\suprize_notification_service.exeǣ/url='http:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='suprize' /appid='73143' /srcid='2913' /bic='a6f52b5bdaa9b59456b16d7f9db68bb8' /verifier='4c2728818662604ef7df09b75a9d2f71' /installerversion='1.50.3.10' /statsdomain='http:/stats.buildomserv.com/data.gif?' /errorsdomain='http:/stats.buildomserv.com/data.gif?' /monetizationdomain='http:/logs.buildomserv.com/monetization.gif Task: C:\Windows\Tasks\suprize_updating_service.job => C:\Program Files (x86)\suprize\suprize_updating_service.exe¨ /campid=2913 /verid=1 /url=http:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=suprize_updating_service /funurl=http:/stats.buildomserv.com Task: C:\Windows\Tasks\sup_games_notification_service.job => C:\Program Files (x86)\sup games\sup_games_notification_service.exeǥ/url='http:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='sup games' /appid='73143' /srcid='2913' /bic='a6f52b5bdaa9b59456b16d7f9db68bb8' /verifier='4c2728818662604ef7df09b75a9d2f71' /installerversion='1.50.3.10' /statsdomain='http:/stats.buildomserv.com/data.gif?' /errorsdomain='http:/stats.buildomserv.com/data.gif?' /monetizationdomain='http:/logs.buildomserv.com/monetization.gif Task: C:\Windows\Tasks\sup_games_updating_service.job => C:\Program Files (x86)\sup games\sup_games_updating_service.exeª /campid=2913 /verid=1 /url=http:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=sup_games_updating_service /funurl=http:/stats.buildomserv.com ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=56626&homepage=about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=95611903_hao_pg HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1402636960&from=smt&uid=SAMSUNGXHD200HJ_S16KJDSP909859&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1402636960&from=smt&uid=SAMSUNGXHD200HJ_S16KJDSP909859&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1402636960&from=smt&uid=SAMSUNGXHD200HJ_S16KJDSP909859&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1402636960&from=smt&uid=SAMSUNGXHD200HJ_S16KJDSP909859&q={searchTerms} HKU\S-1-5-21-842140158-2366408920-2547723377-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=95611903_hao_pg SearchScopes: HKU\S-1-5-21-842140158-2366408920-2547723377-1000 -> {0170EFAF-F87D-4673-9366-B6E2D2DA9AF8} URL = hxxp://www.google.com/cse?cx=partner-pub-3794288947762788%3A7941509802&ie=UTF-8&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A7941509802&q={searchTerms} SearchScopes: HKU\S-1-5-21-842140158-2366408920-2547723377-1000 -> {2F79342F-91C0-403d-B947-55E95426F704} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBDSV BHO: iWebar -> {11111111-1111-1111-1111-110311551110} -> C:\Program Files (x86)\iWebar\iWebar-bho64.dll Brak pliku BHO: Brak nazwy -> {11111111-1111-1111-1111-110411821192} -> Brak pliku BHO: iWebar -> {11111111-1111-1111-1111-110611511123} -> C:\Program Files (x86)\iWebar\iWebar-bho64.dll Brak pliku BHO-x32: Brak nazwy -> {0E5680D1-BF44-4929-94AF-FD30D784AD1D} -> Brak pliku BHO-x32: iWebar -> {11111111-1111-1111-1111-110311551110} -> C:\Program Files (x86)\iWebar\iWebar-bho.dll Brak pliku BHO-x32: iWebar -> {11111111-1111-1111-1111-110611511123} -> C:\Program Files (x86)\iWebar\iWebar-bho.dll Brak pliku BHO-x32: Brak nazwy -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.sweet-page.com/?type=sc&ts=1402636960&from=smt&uid=SAMSUNGXHD200HJ_S16KJDSP909859 AV: 电脑管家系统防护 (Enabled - Up to date) {6F9C3F92-B625-0E47-F0B1-447602EC65F5} AS: 电脑管家系统防护 (Enabled - Up to date) {D4FDDE76-901F-01C9-CA01-7F04796B2F48} C:\Program Files (x86)\123572be-ddec-4b61-ad9a-00753d834cab C:\Program Files (x86)\48 dresses C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\helper king C:\Program Files (x86)\iWebar C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Sense C:\Program Files (x86)\sup games C:\Program Files (x86)\suprize C:\ProgramData\Mozilla C:\ProgramData\TEMP C:\ProgramData\WindowsProtectManger C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty Advanced Warfare C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 Progressive C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FIFA 15 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gothic III C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OCCT C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan C:\ProgramData\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\搜狐影音 C:\Users\Damian\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦 C:\Users\Damian\AppData\Local\Temp尰 C:\Users\Damian\AppData\Local\Mozilla C:\Users\Damian\AppData\Roaming\*.tmp C:\Users\Damian\AppData\Roaming\1godWpJArSQ5gaOQO6 C:\Users\Damian\AppData\Roaming\5DajSfP17udXjuJ C:\Users\Damian\AppData\Roaming\cHJIYUt C:\Users\Damian\AppData\Roaming\debug.log C:\Users\Damian\AppData\Roaming\HQ0UKlb8xm0zk8vt9WMuA8PrG C:\Users\Damian\AppData\Roaming\kiSHFJbNXzTYlA C:\Users\Damian\AppData\Roaming\Nzw3YnUKE4q5aaSQXYNZK C:\Users\Damian\AppData\Roaming\PLpNcf5FSSKn9bsSaeq C:\Users\Damian\AppData\Roaming\PLpNcf5FSSKn9bsSaeq.exe C:\Users\Damian\AppData\Roaming\r51eybWKUZaJhC0nN9eYkf4 C:\Users\Damian\AppData\Roaming\V85ZQzomH3HzVP C:\Users\Damian\AppData\Roaming\VKOae9HnQ7DiZKLMKlPTjTgKmT1 C:\Users\Damian\AppData\Roaming\xexDgePWmr C:\Users\Damian\AppData\Roaming\xQIEVxBUcJbup79RvRBBbl5OI C:\Users\Damian\AppData\Roaming\Mozilla C:\Users\Damian\AppData\Roaming\Opera Software C:\Users\Damian\AppData\Roaming\Splashtop C:\Users\Damian\AppData\Roaming\Vesteris C:\Users\Damian\AppData\Roaming\VOPackage C:\Users\Damian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Opera.lnk C:\Users\Damian\AppData\Roaming\Microsoft\Windows\SendTo\Xfire Friend.lnk C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Damian\Desktop\Programy\Mozilla Firefox.lnk C:\Users\Damian\Desktop\Programy\Opera.lnk C:\Users\Damian\Desktop\Programy\Spotify.lnk C:\Users\Damian\Desktop\Gry\Call of Duty Advanced Warfare.lnk C:\Users\Damian\Desktop\Gry\Need for Speed™ Most Wanted.lnk C:\Users\Damian\Desktop\Gry\Witcher 3 - Wild Hunt.lnk C:\Users\Damian\Documents\ËŃşüÓ°Ňô C:\Windows\pss\more.url.CommonStartup C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw64.sys C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\iWebar /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\VOPackage /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdatem" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\IePluginServices" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MozillaMaintenance" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\QQPCRTP" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SCBackService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\servervo" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SPBIUpd" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\TAOFrame" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Update Greener Web" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Util Greener Web" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\WCUService_STC_FF" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\WCUService_STC_IE" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\WindowsProtectManger" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\YouTubeAcceleratorService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^more.url" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoobzoYouTubeAccelerator" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SPDriver" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Spotify" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Spotify Web Helper" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\STCAgent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZyngaGamesAgent" /f CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Damian\AppData\Local CMD: dir /a C:\Users\Damian\AppData\LocalLow CMD: dir /a C:\Users\Damian\AppData\Roaming Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj 电脑管家上网防护 Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pola Addition i Shortcut. Dołącz też plik fixlog.txt.

Nie wiem o co chodzi, może przypadek, jeśli nic nie zmieniano i nie resetowano routera. Samo przechodzenie między ustawieniami routera nie wpływa na automatyczną konfigurację. Upewnij się jakie adresy DNS są ustawione w routerze obecnie. Tutaj symulator interfejsu Asus RT-N12, chodzi o WAN > Internet Connection > WAN DNS Setting: KLIK.

Podaj model routera, w każdym ustawienia DNS mogą być zlokalizowane w innych miejscach.

Został użyty przestarzały FRST, najnowsza wersja jest z dzisiaj: Rezultaty skanowania Farbar Recovery Scan Tool (FRST) (x64) Wersja:24-08-2015 W routerze są skonfigurowane poniższe serwery DNS, ten pierwszy jest z polski: KLIK. Nie jest jednak wykluczone, że adres jest pochodną infekcji. Układ z parą jakiś DNS + DNS Google jest podejrzany, takie pary z wykorzystaniem adresu Google jako "zapasowego" są ostatnio charakterystyczne dla infekcji. Tcpip\Parameters: [DhcpNameServer] 80.72.37.106 8.8.8.8 Przeprowadź następujące działania: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Odinstaluj zbędny Akamai NetSession Interface (downloader m.in. produktów Autodesk) oraz stare Gadu-Gadu 10. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: SearchScopes: HKLM-x32 -> DefaultScope - brak wartości StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF Homepage: hxxps://www.malwarebytes.org/restorebrowser/ ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku CustomCLSID: HKU\S-1-5-21-1130217176-4031021830-1519301973-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll Brak pliku CustomCLSID: HKU\S-1-5-21-1130217176-4031021830-1519301973-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll Brak pliku C:\Program Files (x86)\mozilla firefox\plugins CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Pobierz najnowszy FRST z przyklejonego tematu: KLIK. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Podsumuj na czym stoimy.

Na początek wystarczą raporty z FRST (trzy pliki mają powstać), GMER na razie opuść.

Jeśli chodzi o DNS, to prawdopodobnie są one zmodyfikowane na poziomie routera. Bez raportów nie jesteśmy w stanie nic sprawdzić. Można narzędzia pobrać na innym komputerze i za pomocą pendrive przenieść, podobnie z wynikowymi logami.

W rejestrze są nazwy systemowe c2cautoupdatesvc i c2cpnrsvc. W services.msc są nazwy wyświetlane: Skype Click to Call Updater + Skype Click to Call PNR Service. Alternatywnie, możesz całkowicie odinstalować Skype Click to Call, jeśli nie używasz tego komponentu.

Nie podawałam, by usuwać Total Commander, to były luźne spekulacje. Nie dojdę do tego skąd te klucze w systemie, skoro upierasz się, że programy nie było instalowane. One na pewno nie są związane z żadną szkodliwą działalnością. Usuń te klucze. Do Notatnika wklej: DeleteKey: HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\7-Zip DeleteKey: HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ANotepad++64 DeleteKey: HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\7-Zip DeleteKey: HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\{4A7C4306-57E0-4C0C-83A9-78C1528F618C} Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Na zakończenie wykonaj te kroki: 1. Drobna poprawka. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). 2. W Dzienniku zdarzeń jest drobny błąd WMI. Usuń go posługując się narzędziem Fix-it: KLIK. 3. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 4. Dr. Web został odinstalowany, możesz go przywrócić.

Wg raportu FRST program jest widziany pod nazwą "Ace Stream Media", no chyba że log nie odpowiada już bieżącej sytuacji: Ace Stream Media 3.0.12 (HKU\S-1-5-21-852027150-3746939963-293083505-1001\...\AceStream) (Version: 3.0.12 - Ace Stream Media) Nie, eksport rejestru przecież pobrałam via FRST. Tylko punkt 3 z poprzedniego posta. Wpisy są w menu kontekstowych i nie widzę innej możliwości niż ta, że te programy musiały być w systemie. Tak się zastanawiam czy niektóre wpisy nie są przypadkiem pochodną instalacji Total Commander (on ma powiązania oraz pluginy do 7-zip i Notepad++). HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\7-Zip (Default) REG_SZ {23170F69-40C1-278A-1000-000100020000} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ANotepad++64 (Default) REG_SZ {B298D29A-A6ED-11DE-BA8C-A68E55D89593} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\7-Zip (Default) REG_SZ {23170F69-40C1-278A-1000-000100020000} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\{4A7C4306-57E0-4C0C-83A9-78C1528F618C} Podaj mi jeszcze skan na klasy powiązane z tymi wpisami. Do Notatnika wklej: Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{23170F69-40C1-278A-1000-000100020000} /s Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{4A7C4306-57E0-4C0C-83A9-78C1528F618C} /s Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{B298D29A-A6ED-11DE-BA8C-A68E55D89593} /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Wszystko zrobione. Kończymy: - Usuń folder "Stare dane programu Firefox" z Pulpitu oraz pobrane narzędzia Fix-it Microsoftu. - Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Kolejność powinna być następująca: w pierwszym podejściu poprawne deinstalacje wszystkich podejrzanych / nieznanych / świeżo dodanych programów > następnie w każdej przeglądarce po kolei czyszczenie za pomocą opcji własnych przeglądarki (menedżery rozszerzeń oraz funkcje resetów) > na końcu AdwCleaner i podobne. Ta kolejność jest dyktowana tym, iż AdwCleaner ma mimo wszystko ograniczenia oraz nie prowadzi poprawnej deinstalacji programów adware, tylko je siłą usuwa (gdy brak czegoś w definicjach, nie zostanie usunięte). Potencjalne skutki uboczne to pozostawienie większej ilości śmieci w rejestrze, które mogłaby zlikwidować normalna deinstalacja.

Brakuje trzeciego obowiązkowego raportu FRST Shortcut. Proszę dołącz go, poniewać muszę wiedzieć czy są skróty deinstalacyjne adware Tencent.