picasso

Zabij proces FRST, następnie w powyższym skrypcie wytnij linię CreateRestorePoint: i ponów zadanie. A deinstalacje programów zabezpieczających miały być wykonane dopiero po pomyślnym usuwaniu via FRST, w przeciwnym wypadku malware blokujące w oparciu o certyfikaty może uniemożliwić tę operację.

Programy do czyszczenia rejestru (oraz "jednoklikowe" konserwacje) nie są tu polecane. Użycie czyścicieli nie podnosi wydajności, zaś algorytm wykrywania wadliwych wpisów podatny na fałszywe alarmy i można sobie zaszkodzić. Na forum były przykłady, gdy trzeba było odkręcać cały system po zbyt przedsiębiorczym czyścicielu. Obecnie to nawet część z nich jest wykrywana jako "potencjalnie niepożądana aplikacja" w programie MBAM.

Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj cały folder C:\FRST oraz FRST i jego logi z E:\Pobrane\Programs. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj poniższe programy (linki ww/w temacie). Zaś uTorrent polecam zamień nie-reklamodawczym qBittorrent. ==================== Zainstalowane programy ====================== µTorrent (HKU\S-1-5-21-1532438688-69712199-1985089998-1000\...\uTorrent) (Version: 3.5.0.43916 - BitTorrent Inc.) Adobe Flash Player 26 PPAPI (HKLM-x32\...\Adobe Flash Player PPAPI) (Version: 26.0.0.151 - Adobe Systems Incorporated) Java 8 Update 131 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F64180131F0}) (Version: 8.0.1310.11 - Oracle Corporation)

Wszystko poprawnie wykonane, malware Java usunięte. Drobne poprawki: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: Task: {F077E2D2-C294-4E9A-BAFB-E8EDAF43440D} - System32\Tasks\Driver Booster SkipUAC (Maciej) => C:\Program Files (x86)\IObit\Driver Booster\4.4.0\DriverBooster.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\KVRT_Data RemoveDirectory: C:\ProgramData\Comms RemoveDirectory: C:\ProgramData\ProductData StartBatch: del /q C:\TDSSKiller.3.1.0.15_14.09.2017_16.46.49_log.txt netsh advfirewall reset EndBatch: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są potrzebne. 2. I coś jest nie tak z instalacją GameSave Manager v3. Były w raporcie notowane puste skróty (już usunęłam), ale jeszcze poniższy plik jest uszkodzony. Odinstaluj / przeinstaluj ten program. Niektóre zerobajtowe pliki/foldery: ========================== C:\Windows\System32\gs_mngr_3.exe

Ale przecież wykonałeś poprzednie stare instrukcje Miszela, która ja usunęłam jako nieaktualne (nie adresowały wielu wpisów). Wpis apletu Java w ogóle nie ruszony. Do wykonania mój skrypt, a po tym nowe skany FRST. Oczywiście te dane już w nowym poście.

Jeśli chodzi o problem główny, z raportów nic konkretnego nie wynika. Ale jeśli chodzi o infekcję, to zaprezentowałeś przecież skan z Kasperskiego, a w nim obiekt który nadal jest aktywnie uruchomiony w systemie (wpis startowy i masa procesów Java): HKLM\...\Run: [system_jconsole.jar] => C:\Program Files\Java\jre1.8.0_131\bin\javaw.exe -jar "C:\ProgramData\Comms\jconsole.jar" 1. Odinstaluj Driver Booster. To program typu "PUP", wątpliwej reputacji, jest nawet wykrywany przez MBAM. Sterowniki aktualizuje się precyzyjnie ręcznie a nie "na oko" automatami. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [system_jconsole.jar] => C:\Program Files\Java\jre1.8.0_131\bin\javaw.exe -jar "C:\ProgramData\Comms\jconsole.jar" ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {0ED2792E-65E5-474A-9137-6682BBBD192B} - System32\Tasks\{20E29486-81D5-41A1-BF5B-9F30E732ADFA} => D:\RavenShield\system\ravenshield.exe Task: {108ED360-B2F8-40B4-8EAF-63A31AD510EB} - System32\Tasks\{3158FCAB-1254-4AA0-B86E-9B2199809009} => C:\Windows\system32\pcalua.exe -a E:\Pulpit\PULPIT\programy\GSAutoClicker-Setup.exe -d E:\Pulpit\PULPIT\programy Task: {184886F2-B8B3-4F87-9383-5A364BE6A4E8} - System32\Tasks\{939D57EA-BDE4-43D0-883A-06A77FA8AA3F} => C:\Windows\system32\pcalua.exe -a K:\R3Setup.exe -d K:\ Task: {3E5EA80A-35B3-4E66-B707-7C8FDB9B50B2} - System32\Tasks\{5024C6F3-3316-42AD-8EFE-7602907E4DAC} => C:\Windows\system32\pcalua.exe -a D:\RavenShield\system\Setup.exe -d D:\RavenShield\system Task: {47BCC617-A6A8-40B9-B5CE-AE356954B34A} - System32\Tasks\{4F6719C5-AF32-4106-8F4E-CB76F537B918} => D:\Games\Mass Effect 3\Binaries\Win32\MassEffect3.exe Task: {711FC4A2-7FDD-4B0E-819C-B4E5D17E9A8C} - System32\Tasks\{12B20674-4654-4A89-AF1E-8297BC9D3108} => D:\Grand Theft Auto\gtawin\gtawin.exe Task: {807C1806-8F82-4D15-8D40-D876710A5D43} - System32\Tasks\{26A4B03C-3C35-42DC-90D9-051ABC6EFF1F} => D:\Grand Theft Auto\gtawin\gtawin.exe Task: {8ABE5765-862D-44B9-A585-A8D203A0783E} - \Auslogics\Driver Updater\Start Driver Updater оn Maciej logon -> Brak pliku <==== UWAGA Task: {C120646B-16B0-406C-8633-21806B80DC24} - System32\Tasks\{3726490B-F8D0-4068-BF9A-4642640E2561} => D:\RavenShield\system\ravenshield.exe CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\Mozilla\SeaMonkey DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Folder: C:\ProgramData\Comms C:\ProgramData\Comms\jconsole.jar C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EaseUS Partition Master 12.0 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GameSave Manager v3 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kamimachi site E C:\Users\Maciej\AppData\Local\Google\Chrome\User Data\System Profile C:\Users\Maciej\Desktop\Sexy Beach 3 - Complete English Edition.lnk C:\Users\Maciej\Desktop\SubtitleCreator.lnk CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome sugeruję pozbyć się rozszerzenia Stylish (z userstyles.org). To rozszerzenie zostało przejęte przez producenta adware (SimilarSites), ma wstawione programy śledzące/analityczne i nie jest godne zaufania. Więcej informacji: KLIK. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. I wypowiedz się w/w usuwanie przyniosło jakieś wymierne skutki.

Tu jest o wiele więcej infekcji niż raportujesz: malware blokujące wszystkie główne programy antywirusowe w oparciu o certyfikaty, infekcja WMI i inne. Jeśli chodzi o Google Chrome, to być może podejścia z usuwaniem będą dwa, gdyż infekcja WMI odtwarza zainfekowane skróty. Działania do przeprowadzenia: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) WMI_ActiveScriptEventConsumer_ASEC: Task: {34D284C7-9514-4D01-938A-FA19B8196A70} - System32\Tasks\Opera scheduled Autoupdate 1496920503 => C:\Users\krzysztof\AppData\Local\Programs\Opera\launcher.exe Task: {86D4A202-2F78-44F7-96C7-60FB80A72E6F} - System32\Tasks\oSThxc4DEbFg => osthxc4debfg.exe Task: {A5FB8D28-D504-41F0-B324-7EF271DB0D4C} - System32\Tasks\Opera scheduled suite Autoupdate 1496920513 => C:\Users\krzysztof\AppData\Local\Programs\Opera\launcher.exe Task: {A62C542D-9452-4556-B59B-9FB1D95AAC05} - System32\Tasks\Canon iutorub Express => C:\WINDOWS\system32\rundll32.exe "C:\Program Files\Canon iutorub Express\Canon iutorub Express.dll",YKOGxuvomcXD Task: {BCF2A156-DDF4-4D82-AEF9-28211776529B} - \{1727B1E3-0FB9-4E70-85F6-52306BB3A3B4} -> Brak pliku Task: {DF59654F-BB01-4D7F-9B24-2220718ABB88} - System32\Tasks\SpinTires => C:\Users\KRZYSZ~1\AppData\Local\Temp\is-8T1TB.tmp\prsetup.exe Task: {F3D2ECF4-2E1F-47ED-BD70-09AC5F164A9B} - \{0C0E0547-0C7D-7E0D-0A11-0F780B78110F} -> Brak pliku S2 PEFService; "C:\Program Files\Common Files\Intel Security\PEF\CORE\PEFService.exe" [X] S1 wfcre; system32\drivers\wfcre.sys [X] ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton AntiVirus\Engine\22.10.1.10\Exts\Chrome.crx CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton AntiVirus\Engine\22.10.1.10\Exts\Chrome.crx SearchScopes: HKU\S-1-5-21-894481356-605578302-1186019840-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKU\S-1-5-21-894481356-605578302-1186019840-1002\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\Canon iutorub Express C:\Program Files (x86)\oSThxc4DEbFg C:\ProgramData\AVAST Software C:\ProgramData\Mozilla C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Productivity and Tools\7-Zip File Manager.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Productivity and Tools\7-Zip Help.lnk C:\Users\krzysztof\AppData\Local\installer.dat C:\Users\krzysztof\AppData\Local\Mozilla C:\Users\krzysztof\AppData\Local\Programs\Opera C:\Users\krzysztof\AppData\Roaming\Mozilla C:\Users\krzysztof\Desktop\gry, piosenki i nagrania\filip\Farming Simulator 15 .lnk C:\Users\krzysztof\Desktop\programy\Cheat Engine.lnk C:\Users\krzysztof\Documents\My Games\FarmingSimulator2015\mods\McAfee Security Scan Plus.lnk C:\WINDOWS\msdownld.tmp Hosts: CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Gdy powyższy skrypt się wykona poprawnie, odinstaluj jeden z programów zabezpieczających, gdyż jest ich za dużo: McAfee LiveSafe lub Norton AntiVirus. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Jessika, systemowy folder to C:\ProgramData\Microsoft. Cytowany to śmieć, ale tu nie powinien mieć znaczenia. Czy MBAM był zainstalowany przed infekcją, czy dopiero pojawił się podczas czyszczenia? Czy przekierowania występują tylko w Google Chrome ale nie we wbudowanych przeglądarkach Microsoftu (Edge lub Internet Explorer)? ----> Jeśli problem tyczy też przeglądarek Microsoftu, cache DNS może być zainfekowane. ----> Jeśli problem tyczy tylko Google Chrome, to któreś z rozszerzeń może być zmodyfikowane. Z niedomyślnych elementów widać tylko jedno: CHR Extension: (Speed Dial 2 - New tab) - C:\Users\Damian\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpfpebmajhhopeonhlcgidhclcccjcik [2017-09-06] W jaki sposób była robiona reinstalacja Chrome, tzn: czy podczas deinstalacji zaznaczyłeś opcję "Usuń dane przeglądania" (czyli profil), czy używasz konta Google do synchronizacji danych, a jeśli tak to czy czyściłeś synchronizację (to nie jest reset ustawień na poziomie lokalnym)?

Jeśli chodzi o Fix FRST, to wykonany. Natomiast nie widzę zmian w Google Chrome: nadal preferencje adware oraz zainstalowany felerny Video Downloader professional.

Temat przenoszę do działu Windows, to nie jest problem infekcji. Z raportów nic zupełnie nie wynika. Jednak podejrzenia budzi Kaspersky Anti-Virus - najbardziej rozbudowany obiekt startowy (multum usług i sterowników). Rozpocznij od sprawdzenia tego tropu. Rozumiem, że: nie masz konta Microsoftu lub nie pamiętasz do niego hasła (to alternatywna opcja logowania, gdy nie pamiętasz PIN, pozwala dostać się do Ustawień i zresetować PIN), zawartość komputera niedostępna. W tym przypadku możesz z poziomu instalacyjnego DVD utworzyć nowe konto lokalne, by się na nie zalogować i dostać do danych. Instrukcje tu: KLIK.

Nic podejrzanego. W związku z tym nie za bardzo mam tu teraz pole manewru, brak oznak infekcji na koncie Michal. Czy przed ponownym pojawianiem się minera uruchamiałeś jakiś konkretny plik / program?

Minery Bitcoinów są charakterystyczne dla uruchomienia jakiegoś pliku (np. cracka), nie wlatują samoistnie poprzez sieć czy na skutek zmiany ustawień Windows. W raportach FRST nic nie widzę, ale na wszelki wypadek podaj dane tego zaplanowanego zadania DataUsageLiveTileTask (kieruje na plik MS, ale FRST obcina zbyt dużo Argumentów komendy i nie wiadomo jakie są tam parametry) Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CMD: type C:\Windows\System32\Tasks\S-1-5-21-1947299008-2126829087-4161886784-1001\DataSenseLiveTileTask Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Brakuje nowego skanu Addition.txt. Dołącz.

Temat przenoszę do właściwego działu Windows, nie ma nic wspólnego z infekcją. Nadal brakuje raportu FRST Addition z konta dell, to jest inny kontekst uprawnień (administrator) i pokazuje więcej niż log limitowanej Martyny. Ten log dostarczysz już jednak po poniższych działaniach. Czy ten błąd się pojawia po wyborze konkretnej opcji w ustawieniach czy też nie ma znaczenia które z ograniczeń chcesz zaaplikować? Z raportów nic nie wynika, ale na początek zweryfikuję co jest ustawione w GPO: GroupPolicy\User: Ograniczenia <==== UWAGA GroupPolicyUsers\S-1-5-21-2699644351-2892152953-1369547661-1002\User: Ograniczenia <==== UWAGA GroupPolicyUsers\S-1-5-21-2699644351-2892152953-1369547661-1001\User: Ograniczenia <==== UWAGA Chodzi o pierwszą linię, dwie pozostałe mają czytelne SID należne do pozostałych kont (Nikolas i Paulina) i powinny to być ekwiwalenty dla tych zasad: HKU\S-1-5-21-2699644351-2892152953-1369547661-1000\...\Policies\system: [DisableLockWorkstation] 0 HKU\S-1-5-21-2699644351-2892152953-1369547661-1000\...\Policies\system: [LogonHoursAction] 2 HKU\S-1-5-21-2699644351-2892152953-1369547661-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1 HKU\S-1-5-21-2699644351-2892152953-1369547661-1002\...\Policies\system: [LogonHoursAction] 2 HKU\S-1-5-21-2699644351-2892152953-1369547661-1002\...\Policies\system: [DontDisplayLogonHoursWarnings] 1 Odrębna sprawa to poniższe błędy, które też wymagają naprawy, ten błąd BCD to prawdopodobnie wynik uszkodzenia Zmiennych środowiskowych: UWAGA: ==> Nie można uzyskać dostępu do BCD. Dziennik Aplikacja: ================== Error: (09/10/2017 02:42:48 PM) (Source: System Restore) (EventID: 8211) (User: ) Description: Nie można utworzyć zaplanowanego punktu przywracania. Informacje dodatkowe: (0x80042318). Error: (09/10/2017 02:42:48 PM) (Source: System Restore) (EventID: 8193) (User: ) Description: Nie można utworzyć punktu przywracania (Proces = C:\Windows\system32\rundll32.exe /d srrstr.dll,ExecuteScheduledSPPCreation; Opis = Zaplanowany punkt kontrolny; Błąd = 0x80042318). Error: (09/10/2017 02:42:48 PM) (Source: VSS) (EventID: 12347) (User: ) Description: Błąd Usługi kopiowania woluminów w tle: Wykryto niespójność wewnętrzną podczas próby nawiązania kontaktu z modułami zapisującymi usługi kopiowania w tle. Moduł zapisujący rejestru nie odpowiedział na zapytanie z usługi VSS. Sprawdź, czy Usługa zdarzeń i Usługa kopiowania woluminów w tle działają prawidłowo oraz czy w dzienniku zdarzeń aplikacji nie występują inne zdarzenia. Operacja: Zbieranie danych modułu zapisującego Wykonywanie operacji asynchronicznej Kontekst: Kontekst wykonywania: Requestor Stan bieżący: GatherWriterMetadata Dziennik System: ============= Error: (09/10/2017 06:11:50 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (09/10/2017 06:11:50 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (09/10/2017 06:11:51 PM) (Source: WMPNetworkSvc) (EventID: 14332) (User: ) Description: Nie można poprawnie uruchomić usługi „WMPNetworkSvc”, ponieważ funkcja CoCreateInstance(CLSID_UPnPDeviceFinder) napotkała błąd „0x8002801d”. Sprawdź, czy usługa UPnPHost jest uruchomiona i czy składnik UPnPHost systemu Windows jest zainstalowany właściwie. Error: (09/10/2017 06:11:50 PM) (Source: PNRPSvc) (EventID: 102) (User: ) Description: Chmura protokołu rozpoznawania nazw równorzędnych nie została uruchomiona, ponieważ tworzenie tożsamości domyślnej nie powiodło się; kod błędu: 0x80630801. Czyli na razie tylko pobór danych, naprawa niektórych błędów oraz poboczne kosmetyczne działania (usunięcie pustych wpisów). 1. Zaloguj sę na konto dell. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: StartBatch: set type C:\Windows\system32\GroupPolicy\User\Registry.pol vssadmin list writers reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {49606DC7-976D-4030-A74E-9FB5C842FA68} /f EndBatch: HKU\S-1-5-21-2699644351-2892152953-1369547661-1000\...\Run: [Wisdom-soft AutoScreenRecorder 3.1 Free] => 0 S2 SKLService64; C:\Program Files (x86)\KAward64\aklservice64.exe [X] HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com BHO: Brak nazwy -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> Brak pliku BHO: Brak nazwy -> {9421DD08-935F-4701-A9CA-22DF90AC4EA6} -> Brak pliku BHO-x32: Brak nazwy -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> Brak pliku BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - Brak pliku Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - Brak pliku Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - Brak pliku Handler: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - Brak pliku Handler: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - Brak pliku C:\ProgramData\Media Center Programs\*.lnk C:\Users\dell\AppData\Local\42747051538627b9063d49.45359236 C:\Users\dell\AppData\Local\nszC05.tmp C:\Users\dell\AppData\Roaming\RKRPK C:\Users\Martynaa\Downloads\fotoshopy XD.lnk C:\Users\Nikolas\Desktop\Kontynuuj instalację Poly Bridge.lnk C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking\idstore.* DisableService: WMPNetworkSvc Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy skan FRST z poziomu konta dell, ale dostarcz tylko log Addition. Zaprezentuj też plik fixlog.txt.

Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj foldery C:\FRST i G:\INSTALKI\FRST oraz wszystkie logi FRST utworzone na obu kontach. 2. Zaktualizuj Java: KLIK. Stara wersja w systemie: Java 8 Update 72 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218072F0}) (Version: 8.0.720.15 - Oracle Corporation)

Skrypt pomyślnie wykonany, infekcja nie jest już czynna. Ostatni skrypt do FRST: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\dylaN\AppData\Roaming\Macromedia RemoveDirectory: C:\Users\Michal\AppData\Roaming\Autodesk\Java Update Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

1. To raczej wyglądało jak pozostałość po większej infekcji. Natomiast to co znalazł MBAM nie jest ważne. Wykrył rozszerzenie adware w martwym profilu Google Chrome. Chrome odinstalowane i wcześniej w skrypcie dostawiłam puste skróty i inne elementy. Usuń cały katalog: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Marcin\AppData\Local\Google RemoveDirectory: C:\Users\Marcin\Desktop\Stare dane programu Firefox Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Swoją drogą, jest tu ogromna ilość kont użytkowników, na razie był sprawdzany tylko Marcin: Bogusia (S-1-5-21-1244533767-2505366996-2244784048-1004 - Administrator - Enabled) => C:\Users\Bogusia eyik (S-1-5-21-1244533767-2505366996-2244784048-1017 - Administrator - Enabled) => C:\Users\eyik Grzegorz (S-1-5-21-1244533767-2505366996-2244784048-1003 - Administrator - Enabled) => C:\Users\Grzegorz Marcin (S-1-5-21-1244533767-2505366996-2244784048-1000 - Administrator - Enabled) => C:\Users\Marcin yyyy (S-1-5-21-1244533767-2505366996-2244784048-1018 - Administrator - Enabled) => C:\Users\yyyy Logi pobrane z konkretnego konta pokazują inne profile przeglądarek i inne wpisy strony HKCU/HKU.

Tak jak mówiłam, na koncie Michal szczątki malware w Harmonogramie, ale na koncie dylaN malware jest aktywne, to ten Bitcoin Miner: Task: {4463A011-7AFE-4A5D-AA3C-692483CC4F10} - System32\Tasks\System\SystemTask => C:\Users\dylaN\AppData\Roaming\Macromedia\WebHelper.exe [2017-06-30] () Czyszczenie z poziomu konta dylaN: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: Task: {0FC1AF37-ABB7-48A3-B261-F49572751154} - System32\Tasks\Driver Booster Scheduler => D:\Programy\Driver Booster\4.5.0\Scheduler.exe Task: {252EDC30-46C7-4B1F-A403-721103DCD3C8} - System32\Tasks\Java Update Registration => C:\Users\Michal\AppData\Roaming\Autodesk\Java Update\jaureg.exe Task: {4463A011-7AFE-4A5D-AA3C-692483CC4F10} - System32\Tasks\System\SystemTask => C:\Users\dylaN\AppData\Roaming\Macromedia\WebHelper.exe [2017-06-30] () Task: {5E3A2920-77A9-489C-9930-46EF817F3D92} - System32\Tasks\InstallShield Update Service => C:\Users\Michal\AppData\Local\Ubisoft\ISSCH\issch.exe Task: {95212754-04D5-4F73-982F-76B79FD03CD6} - \DefenderUpdate -> Brak pliku <==== UWAGA Task: {A3659E65-6528-4958-84B4-354A7587ACC0} - System32\Tasks\Driver Booster SkipUAC (Michal) => D:\Programy\Driver Booster\4.5.0\DriverBooster.exe Task: {FB5C6DD6-DD63-47E2-9BBC-7277C6D67553} - \System\SystemCheck -> Brak pliku <==== UWAGA S3 GPUZ; C:\Users\Michal\AppData\Local\Temp\GPUZ.sys [27008 2017-09-08] () <==== UWAGA DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\System DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins GroupPolicy: Ograniczenia <==== UWAGA C:\ProgramData\Driver-Soft C:\ProgramData\DriverGenius C:\ProgramData\IObit C:\ProgramData\ProductData C:\Users\dylaN\AppData\Roaming\Macromedia\WebHelper.exe C:\Users\Michal\AppData\LocalLow\IObit C:\Users\Michal\AppData\Roaming\IObit C:\WINDOWS\IObit C:\Windows\System32\Tasks\System Folder: C:\Users\Michal\AppData\Roaming\Autodesk\Java Update Folder: C:\Users\dylaN\AppData\Roaming\Macromedia Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Czy instalowałeś jakiegoś cracka? W raporcie conajmniej jeden (KMS-R@1nHook.exe), co może sugerować że używałeś więcej takich wynalazków, jeden z nich mógł mieć zaszytego trojana. Jeśli chodzi o jawne malware, to nie widzę nic aktywnego, tylko szczątki (kilka plików w root Program files i Debugger kierujący na svchost.exe) plus pozostałości adware w Google Chrome. Pod kątem czyszczenia tych odpadków oraz innych pustych wpisów i skrótów: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpGvurF9zzOIyDLu5uOmkinzBq1bnef-187MIGsU70JH1D5wQ8I1HPbbgiU8eHg-HfpJ0HIqMd_gZGn8-WAp3VhEmC5jRDLM2fUkqlmJ-GJD9msztx10H29dePQibZsKT_lE7bwv8xRM_Zb83FdFuNYrCecXQcI, CHR StartupUrls: Default -> "hxxp://www.istartpageing.com/?type=hp&ts=1451928047&z=4d8f4b76957462447566824gbz9wag6t3o7b1eaz9m&from=cor&uid=st250dm000-1bd141_5vy93k1pxxxx5vy93k1p" FF NewTab: Mozilla\Firefox\Profiles\x5pju775.default -> HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} URLSearchHook: HKLM-x32 -> Default = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} IFEO\RegWorks.exe: [Debugger] svchost.exe IFEO\RSITx64.exe: [Debugger] svchost.exe GroupPolicy: Restriction GroupPolicyScripts: Restriction GroupPolicyScripts\User: Restriction CHR HKLM\SOFTWARE\Policies\Google: Restriction HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\...\Run: [AdobeBridge] => [X] S3 Hamachi; C:\Windows\system32\DRIVERS\Hamdrv.sys [45680 2017-02-27] (LogMeIn Inc.) MSCONFIG\Services: GalaxyClientService => 3 MSCONFIG\Services: GalaxyCommunication => 3 MSCONFIG\Services: Hamachi2Svc => 2 MSCONFIG\Services: iPod Service => 3 MSCONFIG\Services: LMIGuardianSvc => 2 MSCONFIG\Services: TunnelBearMaintenance => 2 HKLM\...\StartupApproved\Run: => "CMD" HKLM\...\StartupApproved\Run: => "iTunesHelper" HKLM\...\StartupApproved\Run32: => "LogMeIn Hamachi Ui" HKLM\...\StartupApproved\Run32: => "AdobeAAMUpdater-1.0" HKLM\...\StartupApproved\Run32: => "PlaysTV" HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\...\StartupApproved\Run: => "GalaxyClient" HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\...\StartupApproved\Run: => "screenSHU" HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\...\StartupApproved\Run: => "TunnelBear" HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\...\StartupApproved\Run: => "Plex Media Server" HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\...\StartupApproved\Run: => "MyImgur" HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\...\StartupApproved\Run: => "AdobeBridge" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\Program Files (x86)\5ef7ea3b.tmp C:\Program Files (x86)\7dcianqrua.dat C:\ProgramData\mntemp C:\ProgramData\rxsmznjf.zcp C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gothic II\Usu* - Noc Kruka.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Handbrake C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Id C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Native Instruments\Massive\Native Instruments Homepage.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Quake III Arena\AT&T WorldNet.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Quake III Arena\Bot Commands.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Quake III Arena\Check for Quake III Arena Updates.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Quake III Arena\Help System.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Quake III Arena\Play Quake III Arena.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Quake III Arena\Q3A Community C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The You Testament C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Valendor PL C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WindBot Beta C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WindBot\WindBot 11 Beta.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WindBot\WindAddons\Wind Addons.lnk C:\Users\nikodem\AppData\Local\Google\Chrome\User Data\System Profile C:\Users\nikodem\AppData\Roaming\system.xml C:\Users\nikodem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\nikodem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\18c7e66df9434f18\TibiaME MMO.lnk C:\Users\nikodem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\nikodem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Gothic\GOTHIC2 - Odyseja - 'Pakiet systemowy' C:\Users\nikodem\Documents\XenoScan-master\bin\test.lnk C:\Windows\system32\drivers\Hamdrv.sys File: C:\Users\nikodem\AppData\Local\slack\Update.exe CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Odinstaluj rozszerzenie Video Downloader professional. To rozszerzenie znane ze zintegrowanego adware. Np. powodowało taki problem z naszym forum: KLIK. Są też rozszerzenia z jednej stajni (maskowane jako różni producenci): Flash Video Downloader + Speed Dial [FVD] - one także pochodzą od wątpliwego producenta, który lubił wstawiać w rozszerzeniach adware, obecnie nie wiem czy te rozszerzenia są czyste Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Problemem są zasady grupy blokujące funkcje Chrome. Jeśli chodzi o reklamy, to jedyne co się rzuca w oczy to podejrzane rozszerzenie SoccerSpecific (nie ma go w Chrome Web Store). Przy okazji do usunięcia będą różne szczątki programowe oraz korygowany poniższy błąd: Dziennik System: ============= Error: (09/07/2017 06:29:05 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (09/07/2017 06:29:05 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Działania do przeprowadzenia: 1. Odinstaluj stare wersje (luki bezpieczeństwa): Adobe AIR, Adobe Download Assistant, Adobe Shockwave Player 12.0, Java 8 Update 101 (64-bit), Java 8 Update 101, Java 8 Update 111 (64-bit), Java SE Development Kit 8 Update 111 (64-bit), Windows Live ID Sign-in Assistant. Ponadto, coś jest nie tak ze Skype + Skype Click to Call, widnieje jako zainstalowany, podczas gdy w raportach masa odczytów "brak pliku", więc usuń go również i na razie nie instaluj ponownie (poniższy skrypt usuwa szczątki). 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome <==== UWAGA GroupPolicy\User: Ograniczenia <==== UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA CHR HKU\S-1-5-21-2717253058-3565486889-724126867-1000\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA CHR StartupUrls: Default -> "hxxp://www.google.pl/","hxxp://www.sweetpacks-search.com/?barid=&src=10&&st=23" CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx <nie znaleziono> URLSearchHook: HKLM-x32 -> Domyślne = {3B81079D-2AC9-425f-A494-A1C7D93AFA3C} URLSearchHook: HKU\S-1-5-21-2717253058-3565486889-724126867-1000 -> Domyślne = {3B81079D-2AC9-425f-A494-A1C7D93AFA3C} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-2717253058-3565486889-724126867-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} BHO-x32: Brak nazwy -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> Brak pliku Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku Toolbar: HKU\S-1-5-21-2717253058-3565486889-724126867-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130861918154947626&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130861918155103627&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-2717253058-3565486889-724126867-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-2717253058-3565486889-724126867-1000\...\Run: [Skype] => "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun HKU\S-1-5-18\...\Run: [Skype] => "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service" R2 PCToolsSSDMonitorSvc; C:\Program Files (x86)\Common Files\PC Tools\sMonitor\StartManSvc.exe [794272 2012-08-21] (PC Tools) S3 Desura Install Service; C:\Program Files (x86)\Common Files\Desura\desura_service.exe [X] S3 IDriverT; "C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe" [X] S3 w7Svc; E:\webcam 7\webcam7.Service.exe /startedbyscm:5053B757-40E35B3B-webcam7SRV [X] <==== UWAGA MSCONFIG\Services: SkypeUpdate => 2 MSCONFIG\startupreg: ALLPlayer WiFi Remote => C:\Program Files (x86)\ALLPlayer Remote\ALLPlayerRemoteControl.exe MSCONFIG\startupreg: ALLUpdate => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" MSCONFIG\startupreg: ChomikBox => C:\Program Files (x86)\ChomikBox\chomikbox.exe MSCONFIG\startupreg: Clownfish => "C:\Program Files (x86)\Clownfish\Clownfish.exe" MSCONFIG\startupreg: Denzi => C:\Program Files (x86)\Denzi\Launcher.bat --wait MSCONFIG\startupreg: Facebook Update => "C:\Users\Nexa\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver MSCONFIG\startupreg: Napisy24Update => "C:\Program Files (x86)\Napisy24\Napisy24Update.exe" "sleep" MSCONFIG\startupreg: Skype => "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun MSCONFIG\startupreg: SSDMonitor => C:\Program Files (x86)\Common Files\PC Tools\sMonitor\SSDMonitor.exe MSCONFIG\startupreg: SunJavaUpdateSched => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" Task: {01836B17-9FF4-463B-9FDA-931E8CAD83B5} - System32\Tasks\{D80316E3-93E0-49FC-9B4A-5499A8B7DF75} => C:\Windows\system32\pcalua.exe -a C:\Users\Nexa\Desktop\dxwebsetup(pobierz.pl).exe -d C:\Users\Nexa\Desktop Task: {097877E8-C6E8-439C-90BA-31BAE26C7A2B} - System32\Tasks\{5F9C9B7C-E74B-4406-8B0A-5A3B0FFE1231} => "c:\program files (x86)\google\chrome\application\chrome.exe" hxxp://ui.skype.com/ui/0/7.6.11.105/pl/abandoninstall?page=tsProgressBar Task: {0C7BC51A-16FA-4B4A-87A2-2E79058CE454} - System32\Tasks\{778BD6DA-0F82-49A0-B408-9D29C1C29477} => C:\Users\Nexa\Desktop\szczepan\MinecraftZyczu.exe Task: {14AF14AE-AC74-4093-AA2F-E3704E90FA8A} - System32\Tasks\GadgetBox UpdaterUpdaterTask{843FEC12-C525-4EE4-A652-619A51C5CF03} => C:\ProgramData\Premium\GadgetBox Updater\GadgetBox Updater.exe <==== UWAGA Task: {1A31F3E5-A834-47CE-904D-08E28842F2F1} - System32\Tasks\{24CEF27D-2B52-43A3-AC5C-169C5A797BB3} => C:\Users\Nexa\AppData\Local\Warframe\Downloaded\Public\Tools\Launcher.exe Task: {353371D6-E027-4F1A-9873-BBA272C384D1} - System32\Tasks\update-S-1-5-21-2717253058-3565486889-724126867-1000 => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe Task: {3723F5F5-6470-40AC-B8D0-F8098A0EDBF3} - System32\Tasks\{ABA96075-ABF9-4C28-95F2-AD4F5D7C55A5} => C:\Users\Nexa\Desktop\szczepan\MinecraftZyczu.exe Task: {466D2590-C398-4F1C-B459-4233AB59D838} - System32\Tasks\{A328AB4E-6E47-4430-99EE-6A2384DA3D9D} => C:\Users\Nexa\AppData\Local\Warframe\Downloaded\Public\Tools\Launcher.exe Task: {5B8FA0E3-4619-44D1-8701-6A9242299B09} - System32\Tasks\update-sys => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe Task: {5D5A5364-3F40-4DEB-BB6B-DEEC572E21BD} - System32\Tasks\{7D6A4CB8-0F1F-4FEE-89A5-66BFA2A15061} => C:\Windows\system32\pcalua.exe -a C:\Users\Nexa\AppData\Local\Temp\{4146CD70-9C94-446B-90DF-8F0713B97520}\adobeshockwavextrabundle.exe -d "C:\Program Files (x86)\Google\Chrome\Application\20.0.1132.57" -c /xtrabundle=SwaStrm <==== UWAGA Task: {61A9BBC4-4F01-4EDA-B8FE-850A7B6D8F2F} - System32\Tasks\{62A4634F-A112-4FE1-A976-5E9509023F91} => C:\Windows\system32\pcalua.exe -a "C:\Users\Nexa\Desktop\Piter ,,,,,,\piotr.trojnar@neostrada.pl\PlanoPro.exe" -d "C:\Users\Nexa\Desktop\Piter ,,,,,,\piotr.trojnar@neostrada.pl" Task: {9A0E4DEB-FFAE-43B2-A70C-70FF836DA836} - System32\Tasks\RMAutoUpdate => C:\Program Files (x86)\PC Tools Registry Mechanic\SULauncher.exe Task: {9B30A3B4-0C65-4825-A0C7-1BF43955563D} - System32\Tasks\{D5F2D09D-9B0A-4BBD-8DD1-8C8D7D3BE2B1} => C:\Windows\system32\pcalua.exe -a C:\Users\Nexa\AppData\Local\Temp\Temp1_InstallerR12.043DEMO.zip\setup.exe <==== UWAGA Task: {B571825C-9ED8-43A8-A289-451737F7A7C5} - System32\Tasks\{E8555CAC-6232-498C-8978-131EA7DA0816} => C:\Windows\system32\pcalua.exe -a C:\Users\Nexa\Downloads\HamachiSetup-1.0.0.50-en.exe -d C:\Users\Nexa\Downloads Task: {BB5E5E6A-5AC8-4301-85D0-DD79F6F39824} - System32\Tasks\{CF423214-C7AA-49C5-B745-605150E21B89} => "c:\program files (x86)\google\chrome\application\chrome.exe" hxxp://ui.skype.com/ui/0/5.10.11.116/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {BCE7BBED-A05A-4CCB-905C-3C8604DE3574} - System32\Tasks\{00820018-BB0C-4A9B-959F-10CFDF91E66F} => C:\Windows\system32\pcalua.exe -a C:\Users\Nexa\Desktop\szczepan\MinecraftZyczu.exe -d C:\Users\Nexa\Desktop\szczepan Task: {BF57A5AB-BC79-41CB-A5B2-B9CCC5211D97} - System32\Tasks\{8E63DAF6-DBC6-4D45-A5E7-764F5AA6E41C} => C:\Users\Nexa\Desktop\LogMeInHamachi_downloader-9kSe62Wh.exe Task: {C49E3095-6FA5-4894-BA71-EC9B59649DAE} - System32\Tasks\{73CA13D0-D61B-4CE7-A1FB-7DF0E7140F15} => C:\Windows\system32\pcalua.exe -a "C:\Users\Nexa\Desktop\Symulator Farmy 2011\GDFInstall.exe" -d "C:\Users\Nexa\Desktop\Symulator Farmy 2011" Task: {C56B889C-C9CA-4C72-9C10-CEA78E096625} - System32\Tasks\{70FF0F12-AE03-42F8-99AD-577B7C00181E} => C:\Users\Nexa\Desktop\szczepan\MinecraftZyczu.exe Task: {C5EB9689-C5D3-4023-83A9-BF3F1D3BBFF4} - System32\Tasks\{5789A4A7-9BC5-4C4E-AEFE-932B0DCE48DC} => C:\Windows\system32\pcalua.exe -a "C:\Users\Nexa\Desktop\Enchanting Plus Mod Installer.exe" -d C:\Users\Nexa\Desktop Task: {C85BDDFB-6C57-4EFA-940C-BDF1E1D690C3} - System32\Tasks\{262C472F-AC77-4D50-9E0E-757962A65C90} => C:\Windows\system32\pcalua.exe -a F:\menu.exe -d F:\ Task: {E9C243F8-9D9D-4597-9E08-CF7DEC4B84AC} - System32\Tasks\RMSchedule => C:\Program Files (x86)\PC Tools Registry Mechanic\RegMech.exe Task: {EE20716B-9476-4404-93BD-B91F0D4B789F} - System32\Tasks\{A4BAC895-291F-49E7-9EFC-32A287C9B087} => C:\Program Files (x86)\Shai Raiten\Bluetooth Radar\Blue Radar.exe Task: {F117EC78-4768-4ADC-BAB7-DDD1883BE329} - System32\Tasks\{04A23D1D-19FD-48EF-80A3-443980CAAABC} => C:\Users\Nexa\Desktop\LogMeInHamachi_downloader-9kSe62Wh.exe Task: {FED8E007-1A28-493E-8685-CD6DB82340C8} - System32\Tasks\{1852A8D7-26FC-4656-BD45-AB11A5C1FF84} => C:\Windows\system32\pcalua.exe -a "C:\Users\Nexa\Desktop\Balkons Weapon Mod Installer.exe" -d C:\Users\Nexa\Desktop Task: C:\Windows\Tasks\GadgetBox UpdaterUpdaterTask{843FEC12-C525-4EE4-A652-619A51C5CF03}.job => C:\ProgramData\Premium\GadgetBox Updater\GadgetBox Updater.exeN/schedule /profilepath C:\ProgramData\Premium\GadgetBox Updater\profile.ini <==== UWAGA Task: C:\Windows\Tasks\RMAutoUpdate.job => C:\Program Files (x86)\PC Tools Registry Mechanic\SULauncher.exe Task: C:\Windows\Tasks\RMSchedule.job => C:\Program Files (x86)\PC Tools Registry Mechanic\RegMech.exe Task: C:\Windows\Tasks\update-S-1-5-21-2717253058-3565486889-724126867-1000.job => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe Task: C:\Windows\Tasks\update-sys.job => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe CustomCLSID: HKU\S-1-5-21-2717253058-3565486889-724126867-1000_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Nexa\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay => Brak pliku ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => -> Brak pliku ContextMenuHandlers1: [WinRAR] -> _{B41DB860-64E4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers1: [WinRAR32] -> _{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => -> Brak pliku ContextMenuHandlers4: [WinRAR] -> _{B41DB860-64E4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers4: [WinRAR32] -> _{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers6: [WinRAR] -> _{B41DB860-64E4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers6: [WinRAR32] -> _{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\MyAshampoo Toolbar DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files (x86)\Common Files\PC Tools C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ABBYY FineReader 6.0 Sprint\User's Guide.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\City Interactive C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Clownfish C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DJ Mixer Professional for Win C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Game Dev Tycoon C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Minecraft Pingwin Pack 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IQ Publishing C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Moorhuhn Soccer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NewSoft C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Tools Registry Mechani C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Plano RS C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Samsung C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ski Region Simulator 2012 Demo C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype C:\ProgramData\Microsoft\Windows\Start Menu\Programs\STV Launcher C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Terraria C:\ProgramData\Microsoft\Windows\Start Menu\Programs\webcam 7 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\webcamXP 5 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Warplanes C:\Users\Nexa\Skype.lnk C:\Users\Nexa\AppData\Local\{*} C:\Users\Nexa\AppData\Local\updater.log C:\Users\Nexa\AppData\Local\UserProducts.xml C:\Users\Nexa\AppData\Local\Google\Chrome\User Data\System Profile C:\Users\Nexa\AppData\Roaming\Thumbs.db C:\Users\Nexa\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\Nexa\AppData\Roaming\Microsoft\Windows\SendTo\Skype.lnk C:\Users\Nexa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BeamNG-Techdemo-0.3 C:\Users\Nexa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GameSub C:\Users\Nexa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Robocraft C:\Users\Nexa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steam C:\Users\Nexa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder C:\Users\Public\Desktop\Ashampoo Deals.url C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking\idstore.* C:\Windows\system32\Drivers\*.tmp StartBatch: netsh advfirewall reset netsh ipconfig /flushdns netsh winsock reset EndBatch: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. W pasku adresów wklep po kolei chrome://extensions i chrome://apps. Wyszukaj na listach SoccerSpecific i odinstaluj. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Na razie nie widzę nic aktywnego, tylko szczątki malware w Harmonogramie (zadania są puste). Przed usuwaniem dostarcz więcej danych: vs. ==================== Konta użytkowników: ============================= dylaN (S-1-5-21-1947299008-2126829087-4161886784-1004 - Administrator - Enabled) => C:\Users\dylaN Michal (S-1-5-21-1947299008-2126829087-4161886784-1001 - Administrator - Enabled) => C:\Users\Michal Na którym koncie problem zaistniał w pierwszej kolejności? Zostały tu dostarczone raporty z konta Michal, należy także dostarczyć nowy skan FRST.txt + Addition.txt z konta dylaN, wykonany po pełnym restarcie (nie po użyciu opcji Wyloguj czy Przełącz użytkownika). Ponadto pokaż też raport z MBAM co było usuwane.

Tak, skrypt powyżej zmodyfikowałam. Wycięłam też ze skryptu sprawdzanie na VirusTotal poniższego pliku, to plik Asus i domyślnie nie ma producenta. Task: {D612682F-3494-4EFA-A4E8-32C578F10D30} - System32\Tasks\ASUS\RunDAOD => C:\Windows\DAODx.exe [2009-03-30] () Przy okazji dodałam kilka innych wpisów w ramach kosmetyki (tak, usuwanie strony Google, bo obecnie jest obsługiwany tylko wariant https).

Temat przenoszę do stosownego działu Windows. Kuchta: Usuwam ten zły link. ugetfix.com to lewy serwis promujący niepożądane aplikacje typu "Reimage Repair". Wg Dziennika zdarzeń sprawa się kręciła wokół SW_PROV: Error: (09/04/2017 06:38:59 PM) (Source: VSS) (EventID: 12292) (User: ) Description: Błąd Usługi kopiowania woluminów w tle: błąd tworzenia klasy COM dostawcy kopii w tle z identyfikatorem CLSID: {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a} [0x80070422, Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia. Operacja: Uzyskaj możliwy do wywołania interfejs dla tego dostawcy Wyświetl listę interfejsów dla wszystkich dostawców obsługujących ten kontekst Badaj kopie w tle Kontekst: Identyfikator dostawcy: {b5946137-7b9f-4925-af80-51abd60b20d5} Identyfikator klasy: {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a} Kontekst migawki: 13 Kontekst migawki: 13 Kontekst wykonywania: Coordinator Error: (09/04/2017 06:38:59 PM) (Source: VSS) (EventID: 13) (User: ) Description: Informacje Usługi kopiowania woluminów w tle: nie można uruchomić serwera usługi COM z identyfikatorem CLSID {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a} i nazwą SW_PROV. [0x80070422, Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia. Operacja: Uzyskaj możliwy do wywołania interfejs dla tego dostawcy Wyświetl listę interfejsów dla wszystkich dostawców obsługujących ten kontekst Badaj kopie w tle Kontekst: Identyfikator dostawcy: {b5946137-7b9f-4925-af80-51abd60b20d5} Identyfikator klasy: {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a} Kontekst migawki: 13 Kontekst migawki: 13 Kontekst wykonywania: Coordinator Sprawdzałeś inną usługę wymienianą w usuniętym już linku, czyli Kopiowanie woluminów w tle (VSS). A wg błędu prędzej należało sprawdzić stan usługi Dostawca kopiowania w tle oprogramowania firmy Microsoft (swprv): HKLM\SYSTEM\CurrentControlSet\Services\swprv System przeinstalowany, nie masz już pewnie kopii rejestru C:\FRST\Hives. Ale jeśli jest, wyłuskaj plik SYSTEM i prześlij do wglądu. To błąd w FRST, usługa nie filtrowana + flagowana określoną rutyną na odpadkowe usługi. Te usługi *UserSvc_* domyślnie nie mają ServiceDLL i powinny być ukryte na liście filtrowania. Farbar jest na wakacjach i nie może tego naprawić.

URL wklejek tekstowych nie mają znaczenia w kontekście sprawy tu podnoszonej (nie produkują komunikatu o "mieszanej zawartości").

Sprawa rozwiązana przedwczoraj, obecnie przekierowanie czynne. Dodatkowo na wszelki wypadek nowy certyfikat z uwzględnieniem kombinacji, jeżeli przekierowanie zostanie zdjęte.