picasso

W innym temacie określiłam moją nieobecność na 3 tygodnie. Na forum w sposób widoczny jestem od kilku dni (daty logowania, podczas nieobecności byłam tylko gościem), załatwiając inne sprawy. Wiem, że wszyscy się spodziewają po moim powrocie natychmiastowej pomocy, co ma poświadczać mój "pobyt na forum". Ale pamiętajcie też o tym, że jestem administratorem i mam do wykonania i obowiązki, których bezpośrednio nie widać (np. weryfikacja poprawności kopii zapasowej, konserwacje, sprzątanie w panelu, etc.).

Polskie tłumaczenie zostało dziś oficjalnie uaktywnione. Jak mówiłam: - są pewne rzeczy, które nie mogą być przetłumaczone ze względu na przetwarzanie w Fix lub podjęto decyzję iż tłumaczenie jest "zbędne" - pewne spolonizowane frazy w raportach mogą brzmieć dziwnie (z czym nie jestem w stanie nic zrobić) - natywnie angielski system, w którym doinstalowano wtórnie polski język wyświetlania, będzie traktowany jako angielski i jest to poprawne zachowanie

Temat był już dyskutowany. W ciągu ponad 5 lat działania forum propozycję zgłosiły 2 osoby (licząc Ciebie), co odbieram jako wskaźnik niskiego zainteresowania. Tapatalk wymaga instalacji wtyczki na forum. Instalacje tego typu elementów obcych są tu prowadzone tylko jeśli jest to niezbędne / bardzo potrzebne i poparte dużym zainteresowaniem, by ograniczyć problemy z kompatybilnością, stabilnością i bezpieczeństwem. Wersja IPB 4, do której za jakiś czas forum zostanie zaktualizowane (czekam na wydania poprawkowe likwidujące określone bugi), posiada natywny design responsywny, czyli automatyczne dostosowanie i optymalizację strony forum do urządzeń mobilnych. Ten system w dużej mierze wypiera Tapatalk.

RegBak Strona domowa Platforma: Windows XP do Windows 10 32-bit i 64-bit Licencja: freeware RegBak - Darmowa aplikacja do tworzenia kopii zapasowej rejestru od producenta ACE Utilities. Podobna do ERUNT, ale oficjalnie kompatybilna z najnowszymi systemami i domyślnie stosująca zalecaną przez Microsoft technikę posiłkowania się usługą Kopiowania woluminów w tle, aczkolwiek jest możliwość przełączenia na alternatywny tryb Windows API. Ma także łatwiejszą organizację dostępu do niektórych opcji (uzyskiwanych w ERUNT przez edycję pliku INI) i kopii zapasowych. W konfiguracji programu można ustalić: domyślny katalog dla kopii i formatowanie nazw, opcjonalne kompresowanie kopii (funkcja niedostępna na XP), aktywowanie Kopiowania woluminów w tle (funkcja niedostępna na XP), usuwanie starszych kopii. Program portable i waży bardzo mało. Po uruchomieniu tworzy własny plik konfiguracyjny INI. Porównawczo do poczytania cała dokumentacja ERUNT, bo z punktu widzenia obsługi są tu podobne zjawiska. Tworzenie kopii rejestru W głównym oknie programu wybór opcji New Backup... Pojawi się dialog, w których należy wybrać katalog do którego nastąpi zapis kopii - domyślnie C:\WINDOWS\RegBak i ta lokalizacja ma znaczenie przy użytkowaniu Konsoli Odzyskiwania XP. Odnośnik Click here to view details przenosi do opcji umożliwiających wybranie które elementy rejestru mają zostać uwzględnione w kopii zapasowej. Podobnie jak w ERUNT jest tu wybór tworzenia kopii zapasowej rejestru części systemowej, bieżącego użytkownika lub innych otwartych rejestrów użytkowników, a dodatkowo funkcja niedostępna w ERUNT, czyli kopiowanie gałęzi które nie są aktualnie załadowane przez Windows. Zatwierdzenie akcji skutkuje uruchomieniem kopiowania plików, na koniec jest wyświetlane podsumowanie akcji. Przywracanie kopii rejestru 1. Jeśli system startuje: W głównym oknie zaznaczyć wybraną kopię, wybrać Restore... i zrestartować komputer. Można też wykonać to ręcznie przez wejście bezpośrednio do folderu danej kopii rejestru i uruchomienie REGRES.CMD. Opcje zgodne z odpowiednikiem tego mechanizmu w ERUNT. 2. Jeśli system nie startuje: Aplikują się te same metody co w przypadku poprzedników, czyli WinRE / Konsola Odzyskiwania / LiveCD.

AdwCleaner 6.x / 7.x Systemy XP i Vista nie są już obsługiwane. Ostatnią kompatybilną wersją (bez aktualizacji baz) jest 7.4.2 Legacy: https://downloads.malwarebytes.com/file/adwcleaner-legacy AdwCleaner - Następca archaicznego AD-Remover. Program wybitnie specjalizowany w detekcji i usuwaniu infekcji typu adware/PUP. Narzędzie rozpoznaje preferencje wszystkich głównych przeglądarek: Firefox, Google Chrome, Microsoft Edge, Opera i inne na silniku Mozilla czy Chromium/Blink. Początkowo niezależny projekt, w październiku 2016 został przejęty przez Malwarebytes. Oficjalnie kompatybilność XP i Vista kończyła się na linii 6.x, ale nadal można było korzystać z linii 7.x. W końcu firma wprowadziła konkretną limitację i zawęziła "lukę" do wersji 7.4.2.

RegShot Strona domowa Platforma: Windows XP do Windows 10 32-bit i 64-bit Licencja: GPL (open source) RegShot - Małe narzędzie, które pozwala na super szybkie stworzenie snapshotów rejestru, mających na celu wykazać wszelkie zmiany dokonane na skutek np. instalacji jakiegoś programu lub modyfikacji w systemie. Przydatne przy korzystaniu z tweakerów. Tworzymy więc 1st shot / Zdjęcie 1, potem dokonujemy zmian w systemie / instalacji i pobieramy 2nd shot / Zdjęcie 2. Następnie za pomocą opcji Compare / Porównaj porównujemy zaistniałe zmiany. Log zmian może być zapisany zarówno w formie TXT jak i HTML. Narzędzie posiada natywną wersję 64-bit. Praca na systemach Windows Vista i nowszych: przez Uruchom jako Administrator. W programie można ustawić język polski.

Zawiadamiam, że od niedzieli nie będzie mnie trzy tygodnie, aktywność limitowana do kontrolnego logowania w celach technicznych. Bardzo Was proszę o wyrozumiałość. Po tym czasie jest przewidziana pełna aktywność bez żadnych przerw. Skontaktowałam się z Naathim, który wychodzi na prostą i zadeklarował swoją pomoc w tym okresie. Mam nadzieję, że nic tu nie popsuje szyków. Chcę też odnieść się ogólnie do sytuacji. Wiem, że obecnie źle to wygląda, i że prawdopodobnie powstają jakieś insynuacje typu "właściciele olali forum" (widziałam na własne oczy post o takiej treści), "forum zostanie zamknięte" i podobne katastroficzne wątki. Te insynuacje są fałszywe.

Sprawdź czy CTRL+F5 (przeładowanie strony z pominięciem cache) coś pomoże.

Jeśli inna strefa czasowa nie została ustawiona świadomie, to w ustawieniach profilu sprawdź konfigurację tego. Powinno być ustawione GMT + 1.00 Warszawa, Bruksela... A tu obrazek jak ja widzę wpis z Twojego obrazka:

Taki defekt występuje, gdy jest problem z wyświetleniem avataru użytkownika, np. błąd uploadu, błąd łączenia z serwisem Gravatar, jakiś program w systemie użytkownika powodujący problemy z pełnym załadowaniem strony i podobne. Akurat ten konkretny użytkownik to właśnie ten sam, który na PW zgłosił, że jest problem z ładowaniem zdjęcia z dysku. To właśnie naprawiłam, a on potwierdził pomyślne załadowanie avatara w opcjach profilu. Na Twoim obrazku wpis ma datę z wczoraj, obecnie na forum widzę datę z dziś i poprawne wyświetlanie zdjęcia.

Na PW zgłoszono mi nowy bug ujawniony po aktualizacji - niemożność załadowania wybranego avatara z dysku (brak wyświetlania po wyborze). Naprawione.

Nie, gdyż FRST wykrywa język systemu automatycznie i nie można na to wpłynąć. Angielski system = angielski FRST. Tak samo było w OTL. Prawdopodobnie różnica między OTL a FRST ujawni się jednak przy systemach angielskich z wtórnie doinstalowanym polskim MUI - natywny język systemu to nadal angielski (np. nazwy grup w uprawnieniach są angielskie), polski to tylko "nakładka". FRST to poprawnie wykrywa w przeciwieństwie do OTL, więc mniemam że translacja będzie działać w taki sam sposób - FRST będzie po angielsku na takim systemie. Dodam, że czas uaktywnienia spolszczenia już nie ode mnie zależy. Są w przygotowaniu także tłumaczenia francuskie i niemieckie, nie wiem na jakim są etapie oraz czy nie wynikną jakieś trudności mające wpływ na zmianę czegoś w systemie translacji.

Za jakiś czas pojawi się w FRST spolszczenie mojego autorstwa. Spolszczenie przygotowywałam przez ostatni tydzień. Obecnie jest już gotowe i oczekuje na integrację z programem. Spolszczenie obejmuje interfejs FRST, okna dialogowe oraz niektóre partie logów (w tym wyniki Fixlog). Nie wszystkie słowa w raportach są tłumaczone, by nie naruszyć procedur Fix. FRST podstawi stosowne tłumaczenie w zależności od wykrytego natywnego języka systemu operacyjnego. Czyli spolszczenie się ujawni tylko na natywnie polskich systemach. Od razu mówię, że pewne frazy w Fixlog mogą dziwnie wyglądać, np. "wartość nie znaleziono" (zamiast "nie znaleziono wartości"), ale to jest limitacja systemu translacji w FRST. Frazy są rozbite na osobne słowa tłumaczone indywidualne (czyli "value" i "not found" to dwa osobne elementy), które są "sklejane" w różnych zdaniach, przy czym słowa występują więcej niż raz w różnych kontekstach oraz nie da się zmienić kolejności słów. Trudno dopasować polską składnię do takiego systemu. Dlatego tłumaczenie zajęło mi cały ostatni tydzień a nie godzinę. Trzeba było zreprodukować wszystkie możliwe komunikaty FRST i wykonać łamigłówkę jak wstawić to samo słowo, by pasowało we wszystkich możliwych kombinacjach. W większości udało się oszukać limitacje systemu translacji. Pozostałe niedociągnięcia są niemożliwe do korekty.

Fix FRST zatrzymał się na ostatniej komendzie EmptyTemp: (czyszczenie lokalizacji tymczasowych) - wskazujesz, że w oknie przetwarzaną wtedy ścieżką było coś od Firefoxa. Tę komendę trzeba będzie powtórzyć. Jeden "chiński" wpis mi umknął + pozostałe poprawki (m.in. szczątki Rising): Otwórz Notatnik i wklej w nim: Task: {244EA8EB-A876-41F7-A5A5-C60B279EBDC8} - System32\Tasks\RsDelayLauncher_{8A34248E-7D35-4832-8378-7659E0B0A380} => C:\Program Files (x86)\Rising\RAV\rsdelaylauncher.exe S2 RsMgrSvc; No ImagePath BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\TSWebMon64.dat No File RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\GUM4B64.tmp RemoveDirectory: C:\Program Files (x86)\Rising RemoveDirectory: C:\ProgramData\Rising RemoveDirectory: C:\RavBin CMD: del /q C:\Users\Jasiu\Downloads\tz51hegy.exe CMD: del /q C:\WINDOWS\SysWOW64\vpatch.dll Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v RSDTRAY /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v RavTRAY /f Hosts: EmptyTemp: Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Ma nastąpić restart, opuść Tryb awaryjny. Przedstaw wynikowy fixlog.txt. Nowy skan FRST nie jest mi potrzebny.

Infekcję rekonstruują w każdej dostępnej przeglądarce aktywne zadania ustawione w Harmonogramie zadań. Działania do wdrożenia: 1. Przez Panel sterowania odinstaluj poszkodowane Google Chrome oraz starą wersję Java 7 Update 67. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {05B199B3-BD53-4095-BBAA-7C0FE29A7C35} - System32\Tasks\{1D1B2DC0-020E-4882-B85C-554CC1727780} => pcalua.exe -a D:\Setup.exe -d D:\ Task: {0E394ED5-DC81-4822-8E5E-E4D1FD33AF10} - System32\Tasks\{89BD8B34-DEE4-4E68-96C5-2B7B125E885B} => Iexplore.exe http://ui.skype.com/ui/0/6.18.0.106/en/go/help.faq.installer?source=lightinstaller&LastError=1638 Task: {19501AD6-2E95-4624-8FC9-5C248A2CCB6A} - System32\Tasks\AffiliatedUpdate => C:\Users\DON\AppData\Roaming\AFFILI~1\UPDATE~1\UPDATE~1.EXE Task: {1CA1C98E-1713-4C6F-9356-4643B0CE732B} - System32\Tasks\{66FE8832-068D-4C8E-8237-279DD4A94DEF} => Iexplore.exe http://ui.skype.com/ui/0/6.18.0.106/en/go/help.faq.installer?source=lightinstaller&LastError=1638 Task: {1CAFBC20-2E25-4485-8C4C-185F8D327174} - System32\Tasks\{E7472E04-EDE8-4791-8AD0-309EDCEDAD3E} => Firefox.exe http://ui.skype.com/ui/0/6.18.60.106/pl/go/help.faq.installer?LastError=1638 Task: {49F9B34A-E017-4766-A68A-BCBA6A50E130} - System32\Tasks\b8e2dbf6-f651-4529-84b2-6113f5365cc5-4 => C:\Program Files (x86)\MediaPlayerplus\b8e2dbf6-f651-4529-84b2-6113f5365cc5-4.exe [2014-04-03] (Freeven) Task: {4B1F2A32-1BB4-4304-9A8B-1F68B3854772} - System32\Tasks\{A39C8C5E-7BF4-4397-B871-E94C3EADECF9} => Iexplore.exe http://ui.skype.com/ui/0/6.18.0.106/en/go/help.faq.installer?source=lightinstaller&LastError=1638 Task: {518C5091-0F07-4192-B49A-60B02DFFD3DC} - System32\Tasks\b8e2dbf6-f651-4529-84b2-6113f5365cc5-5 => C:\Program Files (x86)\MediaPlayerplus\b8e2dbf6-f651-4529-84b2-6113f5365cc5-5.exe [2014-04-03] (Freeven) Task: {5523FFD8-2948-4DA3-98FD-09F41A1C31DE} - System32\Tasks\{76CDE6CC-0E9E-4A74-B9A3-D2A099BC5E27} => Iexplore.exe http://ui.skype.com/ui/0/6.18.60.106/en/go/help.faq.installer?LastError=1638 Task: {69D9F105-3B88-40B0-8244-B5531B377952} - System32\Tasks\13dd8bf3-8295-4928-b7c1-849e5ce4bce2-5 => C:\Program Files (x86)\Freeven pro\13dd8bf3-8295-4928-b7c1-849e5ce4bce2-5.exe Task: {785D0F1A-94F1-4CFE-A0AC-D956B5A76BE4} - System32\Tasks\{DF437F4D-5E67-4D19-A8EA-2A85290B06B7} => Iexplore.exe http://ui.skype.com/ui/0/6.18.0.106/en/go/help.faq.installer?LastError=1638 Task: {7B35D655-7B04-451B-B94B-0351ECAD0854} - System32\Tasks\{4B61DF04-FA32-44DA-8F16-86494583A6F5} => Iexplore.exe http://ui.skype.com/ui/0/6.18.0.106/en/go/help.faq.installer?source=lightinstaller&LastError=1638 Task: {82947D5B-BA22-4C87-8FB6-89D965CFC070} - System32\Tasks\13dd8bf3-8295-4928-b7c1-849e5ce4bce2-4 => C:\Program Files (x86)\Freeven pro\13dd8bf3-8295-4928-b7c1-849e5ce4bce2-4.exe Task: {9A536D27-2386-4E35-AA13-0E041DCD3611} - System32\Tasks\b8e2dbf6-f651-4529-84b2-6113f5365cc5-3 => C:\Program Files (x86)\MediaPlayerplus\b8e2dbf6-f651-4529-84b2-6113f5365cc5-3.exe [2014-04-03] (Freeven) Task: {9DBDB9E7-43E8-47AF-9A5F-7F2C6C41A37B} - System32\Tasks\SoftPlanet Software Assistant => C:\Program Files (x86)\SoftPlanet Software Assistant\spassist.exe [2013-12-09] (Secure Download Ltd.) Task: {A60DBB5B-DF7F-48CC-9009-CFD87895E41D} - System32\Tasks\{461593F8-1F25-47CC-BC3B-7F3AD060DB0F} => Iexplore.exe http://ui.skype.com/ui/0/6.18.0.106/en/go/help.faq.installer?source=lightinstaller&LastError=1638 Task: {B0B9E6FC-C158-46FD-8D36-A05E280A84B0} - System32\Tasks\{89BAF6CB-EE6F-4D8B-A463-DBC1066A98BF} => Iexplore.exe http://ui.skype.com/ui/0/6.18.60.106/en/go/help.faq.installer?LastError=1638 Task: {B98FF139-DD48-4F58-8A6D-DBC07647DBAE} - System32\Tasks\{370AC80F-1FB4-41BB-9B4E-291B11551633} => Iexplore.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.5.0.158&LastError=404 Task: {BF0C410F-5894-4F62-98ED-1DD7B19EF95B} - System32\Tasks\13dd8bf3-8295-4928-b7c1-849e5ce4bce2-1 => C:\Program Files (x86)\Freeven pro\Freeven pro-codedownloader.exe Task: {C971E6FA-3FE8-4ADC-8CD9-7F031BB3A083} - System32\Tasks\b8e2dbf6-f651-4529-84b2-6113f5365cc5-1 => C:\Program Files (x86)\MediaPlayerplus\MediaPlayerplus-codedownloader.exe [2014-04-03] (Freeven) Task: {D075A481-8903-4A76-A469-CD7CD6A00745} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: {D95DDAE0-4492-4F51-9CDF-A89F327F8BBF} - System32\Tasks\{64C9DB15-FD58-4BBC-971E-AE50C84FBE7B} => Iexplore.exe http://ui.skype.com/ui/0/6.18.60.106/en/go/help.faq.installer?LastError=1638 Task: {E3EF408A-872F-4B23-B91E-E54261103792} - System32\Tasks\{8C095CBF-FC3F-4A2B-9120-49DC4C5A2339} => Iexplore.exe http://ui.skype.com/ui/0/6.16.0.105/en/go/help.faq.installer?LastError=1638 Task: {E5644DD2-93AA-4B97-9C0C-A6E5CC53B8E3} - System32\Tasks\{67032755-BE8C-4466-ABDC-86853B828C5D} => Iexplore.exe http://ui.skype.com/ui/0/6.18.0.106/en/go/help.faq.installer?source=lightinstaller&LastError=1638 Task: {EF39399B-A3B4-40FF-AE1A-3E5F1BAFAA14} - System32\Tasks\{590302A3-78FB-466D-9C64-64A7503AC631} => pcalua.exe -a "C:\Program Files (x86)\Uninstall Information\97\3867\uninstall.exe" -c /PUninstall="HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\77Zip" /reg=32 /cid=97 Task: {FBFF3DCC-E1DB-4E91-B632-F27498B3C9FB} - System32\Tasks\{F4FE0AA3-6AE0-4EC8-853B-1E6807F2C84F} => Iexplore.exe http://ui.skype.com/ui/0/6.5.0.158/en/abandoninstall?source=lightinstaller&page=tsMain Task: {FE15DC0F-64DC-4022-8A76-A7E8D6D75C54} - System32\Tasks\13dd8bf3-8295-4928-b7c1-849e5ce4bce2-3 => C:\Program Files (x86)\Freeven pro\13dd8bf3-8295-4928-b7c1-849e5ce4bce2-3.exe Task: C:\Windows\Tasks\13dd8bf3-8295-4928-b7c1-849e5ce4bce2-1.job => C:\Program Files (x86)\Freeven pro\Freeven pro-codedownloader.exeǷ/uMuOzh /sNKZj=task /OvIGnaBN='Freeven pro' /vsBcw=54248 /ngHiv='001360' /qwhUEGjCC='0' /DHBkRFBBQ='0' /FgNeiA=C75207F273AA41FBB201F00076BAE99DIE /QDFYVzaq=82287b0e7be6dcdbad6d18279e527843 /HWHvH=1_34_3_28 /EpSyG=1.34.3.28 /oublx=1396544465 /hTCzxE=http:/stats.clientdataservice.com /hTrLUIn=http:/errors.clientdataservice.com /KfknWrgZ=http:/js.clientdataservice.com /HiGrK=ie /CtKvl /wMcTp='http:/update.clientdataservice.com/ie_code_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\13dd8bf3-8295-4928-b7c1-849e5ce4bce2-3.job => C:\Program Files (x86)\Freeven pro\13dd8bf3-8295-4928-b7c1-849e5ce4bce2-3.exe Task: C:\Windows\Tasks\13dd8bf3-8295-4928-b7c1-849e5ce4bce2-4.job => C:\Program Files (x86)\Freeven pro\13dd8bf3-8295-4928-b7c1-849e5ce4bce2-4.exe͟/IvDTEXs /OvIGnaBN='Freeven pro' /ZZEHiqn C:\Program Files (x86)\Freeven pro\54248.xpi' /vsBcw=54248 /ngHiv='001360' /qwhUEGjCC='0' /DHBkRFBBQ='0' /FgNeiA=C75207F273AA41FBB201F00076BAE99DIE /QDFYVzaq=82287b0e7be6dcdbad6d18279e527843 /HWHvH=1_34_3_28 /EpSyG=1.34.3.28 /oublx=1396544465 /hTCzxE=http:/stats.clientdataservice.com /hTrLUIn=http:/errors.clientdataservice.com /cArMgMMj=300 /lFbAt=a0046b9b-fdb9-497f-a4b1-2a108ad6007a@5cdf80b7-0420-4bb7-b3c0-e188e6f4fb8a.com /RvXTb=0.94 /ztJazWqJ=aa0046b9bfdb9497fa4b12a108ad6007a5cdf80b704204bb7b3c0e188e6f4fb8acom54248 /pYRPZiEK=https:/w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/54248.rdf /aFQmrsZZo='Freeven pro' /fJzztV='Feven Shopping Companion' /hfPlBG='Freeven' /HiGrK=ie /CtKvl /zkZRtaHsz /SRDGOHri /wMcTp='http:/update.clientdataservice.com/ff_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\13dd8bf3-8295-4928-b7c1-849e5ce4bce2-5.job => C:\Program Files (x86)\Freeven pro\13dd8bf3-8295-4928-b7c1-849e5ce4bce2-5.exeȜ/CUqnW /OvIGnaBN='Freeven pro' /vsBcw=54248 /ngHiv='001360' /qwhUEGjCC='0' /DHBkRFBBQ='0' /FgNeiA=C75207F273AA41FBB201F00076BAE99DIE /QDFYVzaq=82287b0e7be6dcdbad6d18279e527843 /HWHvH=1_34_3_28 /oublx=1396544465 /hTCzxE=http:/stats.clientdataservice.com /hTrLUIn=http:/errors.clientdataservice.com /tRiQJy=http:/ipgeoapi.com/ /eljTXyB=http:/update.clientdataservice.com /AcNPifRpi=9 /lZLxxOQND=http:/stats.mstatsserv.com /wMcTp='http:/update.clientdataservice.com/updater_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\AffiliatedUpdate.job => 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ask: C:\Windows\Tasks\b8e2dbf6-f651-4529-84b2-6113f5365cc5-1.job => C:\Program Files (x86)\MediaPlayerplus\MediaPlayerplus-codedownloader.exeȗ/uMuOzh /sNKZj=task /OvIGnaBN='MediaPlayerplus' /vsBcw=54246 /ngHiv='001359' /qwhUEGjCC='verticals-ads,shopping,intext' /DHBkRFBBQ='0' /FgNeiA=051250BA9AFE4940BDCC23100D6CE7C2IE /QDFYVzaq=2bb925c143c728caab2d1a0d698d7d33 /HWHvH=1_34_3_28 /EpSyG=1.34.3.28 /oublx=1396544496 /hTCzxE=http:/stats.clientdataservice.com /hTrLUIn=http:/errors.clientdataservice.com /KfknWrgZ=http:/js.clientdataservice.com /HiGrK=ie /CtKvl /wMcTp='http:/update.clientdataservice.com/ie_code_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\b8e2dbf6-f651-4529-84b2-6113f5365cc5-3.job => C:\Program Files (x86)\MediaPlayerplus\b8e2dbf6-f651-4529-84b2-6113f5365cc5-3.exe Task: C:\Windows\Tasks\b8e2dbf6-f651-4529-84b2-6113f5365cc5-4.job => C:\Program Files (x86)\MediaPlayerplus\b8e2dbf6-f651-4529-84b2-6113f5365cc5-4.exe΋/IvDTEXs /OvIGnaBN='MediaPlayerplus' /ZZEHiqn C:\Program Files (x86)\MediaPlayerplus\54246.xpi' /vsBcw=54246 /ngHiv='001359' /qwhUEGjCC='verticals-ads,shopping,intext' /DHBkRFBBQ='0' /FgNeiA=051250BA9AFE4940BDCC23100D6CE7C2IE /QDFYVzaq=2bb925c143c728caab2d1a0d698d7d33 /HWHvH=1_34_3_28 /EpSyG=1.34.3.28 /oublx=1396544496 /hTCzxE=http:/stats.clientdataservice.com /hTrLUIn=http:/errors.clientdataservice.com /cArMgMMj=300 /lFbAt=a9719e64-232b-4695-ae9c-a89cd7f2aa84@ca1279df-bc0d-44a8-97ef-19301c922b68.com /RvXTb=0.94 /ztJazWqJ=aa9719e64232b4695ae9ca89cd7f2aa84ca1279dfbc0d44a897ef19301c922b68com54246 /pYRPZiEK=https:/w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/54246.rdf /aFQmrsZZo='MediaPlayerplus' /fJzztV='MediaPlayerEnhance Extension' /hfPlBG='Freeven' /HiGrK=ie /CtKvl /zkZRtaHsz /SRDGOHri /wMcTp='http:/update.clientdataservice.com/ff_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\b8e2dbf6-f651-4529-84b2-6113f5365cc5-5.job => C:\Program Files (x86)\MediaPlayerplus\b8e2dbf6-f651-4529-84b2-6113f5365cc5-5.exeȼ/CUqnW /OvIGnaBN='MediaPlayerplus' /vsBcw=54246 /ngHiv='001359' /qwhUEGjCC='verticals-ads,shopping,intext' /DHBkRFBBQ='0' /FgNeiA=051250BA9AFE4940BDCC23100D6CE7C2IE /QDFYVzaq=2bb925c143c728caab2d1a0d698d7d33 /HWHvH=1_34_3_28 /oublx=1396544496 /hTCzxE=http:/stats.clientdataservice.com /hTrLUIn=http:/errors.clientdataservice.com /tRiQJy=http:/ipgeoapi.com/ /eljTXyB=http:/update.clientdataservice.com /AcNPifRpi=9 /lZLxxOQND=http:/stats.mstatsserv.com /wMcTp='http:/update.clientdataservice.com/updater_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe HKLM-x32\...\Run: [MapsGalaxy_39 Browser Plugin Loader 64] => C:\Program Files (x86)\MapsGalaxy_39\bar\1.bin\39brmon64.exe HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKU\S-1-5-21-3674742494-2999520443-3398800312-1000\...\Run: [iLivid] => "C:\Users\DON\AppData\Local\iLivid\iLivid.exe" -autorun HKU\S-1-5-21-3674742494-2999520443-3398800312-1000\...\Run: [Free Download Manager] => "C:\Program Files (x86)\Free Download Manager\fdm.exe" -autorun) HKU\S-1-5-21-3674742494-2999520443-3398800312-1000\...\MountPoints2: D - D:\Setup.exe AppInit_DLLs: C:\PROGRA~2\OPTIMI~1\OPTPRO~2.DLL => C:\PROGRA~2\OPTIMI~1\OPTPRO~2.DLL File not found Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\FAH.lnk [2015-07-16] ShortcutTarget: FAH.lnk -> C:\Program Files\WinZip\FAH\FAHConsole.exe (Nico Mak Computing) Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\WinZip Preloader.lnk [2015-07-16] ShortcutTarget: WinZip Preloader.lnk -> C:\Program Files\WinZip\WzPreloader.exe (WinZip Computing, S.L.) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSSE HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSSE SearchScopes: HKLM -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = SearchScopes: HKLM -> {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL = SearchScopes: HKLM-x32 -> DefaultScope {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM-x32 -> {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snapdo.com/?publisher=Tuguu&dpid=TuguuTU&co=GB&userid=c592d3cb-98a3-fce3-899d-6ddfc7843dc2&searchtype=ds&q={searchTerms}&installDate=20/02/2014 SearchScopes: HKLM-x32 -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKU\S-1-5-21-3674742494-2999520443-3398800312-1000 -> DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://search.conduit.com/Results.aspx?gd=&ctid=CT3319613&octid=EB_ORIGINAL_CTID&ISID=MC4FA73B5-0EDB-472E-A4AE-79B961737025&SearchSource=58&CUI=&UM=5&UP=SP8C9A53BB-E1DF-4C09-8CD5-CAF40FCBC7B0&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-3674742494-2999520443-3398800312-1000 -> {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snapdo.com/?publisher=Tuguu&dpid=TuguuTU&co=GB&userid=c592d3cb-98a3-fce3-899d-6ddfc7843dc2&searchtype=ds&q={searchTerms}&installDate=20/02/2014 SearchScopes: HKU\S-1-5-21-3674742494-2999520443-3398800312-1000 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://search.conduit.com/Results.aspx?gd=&ctid=CT3319613&octid=EB_ORIGINAL_CTID&ISID=MC4FA73B5-0EDB-472E-A4AE-79B961737025&SearchSource=58&CUI=&UM=5&UP=SP8C9A53BB-E1DF-4C09-8CD5-CAF40FCBC7B0&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-3674742494-2999520443-3398800312-1000 -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE BHO: MediaPlayerplus -> {11111111-1111-1111-1111-110511421146} -> C:\Program Files (x86)\MediaPlayerplus\MediaPlayerplus-bho64.dll [2014-04-03] (Freeven) BHO: Freeven pro -> {11111111-1111-1111-1111-110511421148} -> C:\Program Files (x86)\Freeven pro\Freeven pro-bho64.dll No File BHO-x32: Free Download Manager -> {CC59E0F9-7E43-44FA-9FAA-8377850BF205} -> C:\Program Files (x86)\Free Download Manager\iefdm2.dll No File Toolbar: HKLM - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} - No File Toolbar: HKLM-x32 - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} - No File C:\Program Files (x86)\Google C:\Program Files (x86)\Freeven pro C:\Program Files (x86)\MediaPlayerplus C:\Program Files (x86)\SoftPlanet Software Assistant C:\ProgramData\Microsoft\Windows\Start Menu\Programs\InstallConverter C:\ProgramData\TEMP C:\Users\DON\AppData\Local\{40F5DE87-0BED-41CA-B91D-0F9383EC6FDA} C:\Users\DON\AppData\Local\Google Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 4. Zrób nowy log FRST z opcji Scan - zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Na temat pobierania z dobrychprogramów: KLIK. Obecnie to siedlisko syfu. To jest niepożądana strona, której jedyny cel to promocja lewego programu SpyHunter! Jest ogromna ilość takich fałszywek w sieci, opis infekcji nawet może się zgadzać, ale zalecenie usuwania to zawsze użycie SpyHunter... Problem oczywiście nie rozwiązany - multum przekierowań istartsurf.com i protektor tych ustawień MiuiTab (czyli ów "Search Protect"). Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IHProtect Service; C:\Program Files (x86)\MiuiTab\ProtectService.exe [125112 2015-06-24] (XTab system) S1 wafd_vt_1_10_0_20; system32\drivers\wafd_vt_1_10_0_20.sys [X] HKU\S-1-5-21-3558422558-433605425-3847010577-1000\...\Run: [unified Remote v2] => C:\Program Files (x86)\Unified Remote\RemoteServer.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1436692951&z=798186261d437a1ac7e535egez8c9q9q1t6oct1cct&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1436692951&z=798186261d437a1ac7e535egez8c9q9q1t6oct1cct&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1436692916&z=de6332c23574daf7dbb257dg5zfc4q1q6tao7tfe2w&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1436692916&z=de6332c23574daf7dbb257dg5zfc4q1q6tao7tfe2w&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1436692951&z=798186261d437a1ac7e535egez8c9q9q1t6oct1cct&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1436692951&z=798186261d437a1ac7e535egez8c9q9q1t6oct1cct&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1436692916&z=de6332c23574daf7dbb257dg5zfc4q1q6tao7tfe2w&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1436692916&z=de6332c23574daf7dbb257dg5zfc4q1q6tao7tfe2w&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699&q={searchTerms} HKU\S-1-5-21-3558422558-433605425-3847010577-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=dspp&ts=1436692951&z=798186261d437a1ac7e535egez8c9q9q1t6oct1cct&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699&q={searchTerms} HKU\S-1-5-21-3558422558-433605425-3847010577-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1436692951&z=798186261d437a1ac7e535egez8c9q9q1t6oct1cct&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699 HKU\S-1-5-21-3558422558-433605425-3847010577-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1436692951&z=798186261d437a1ac7e535egez8c9q9q1t6oct1cct&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699 HKU\S-1-5-21-3558422558-433605425-3847010577-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=dspp&ts=1436692951&z=798186261d437a1ac7e535egez8c9q9q1t6oct1cct&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699&q={searchTerms} SearchScopes: HKU\S-1-5-21-3558422558-433605425-3847010577-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=dspp&ts=1436692951&z=798186261d437a1ac7e535egez8c9q9q1t6oct1cct&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699&q={searchTerms} SearchScopes: HKU\S-1-5-21-3558422558-433605425-3847010577-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699&ts=1436692965&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3558422558-433605425-3847010577-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699&ts=1436692965&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3558422558-433605425-3847010577-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=dspp&ts=1436692951&z=798186261d437a1ac7e535egez8c9q9q1t6oct1cct&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699&q={searchTerms} SearchScopes: HKU\S-1-5-21-3558422558-433605425-3847010577-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=SAMSUNGXSSDXPM800XTMX64GB_S0DJNEAZ401699401699&ts=1436692965&type=default&q={searchTerms} BHO-x32: LuckyTab Class -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> C:\Program Files (x86)\MiuiTab\SupTab.dll [2015-06-24] (Thinknice Co. Limited) FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\istartsurf.xml [2015-07-12] C:\Program Files (x86)\MiuiTab C:\ProgramData\IHProtectUpDate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Talk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

To menu jest standardowo dla wszystkich dysków widoczne. Ja pytam czy widzisz w menu kontekstowym nazwę encrypt-bde-elev (nazwa figurująca tylko w rejestrze) czy Włącz funkcję BitLocker (nazwa wyświetlana dla encrypt-bde-elev). To jest to samo, tylko że w menu widoczna ma być nazwa wywietlana a nie nazwa z rejestru, w przeciwnym wypadku w systemie jest jakieś uszkodzenie.

Teraz możemy zająć się kosmetyką. Do usunięcia puste wpisy oraz czyszczenie Tempów. Przypuszczalnie infekcja startowała via Harmonogram zadań - patrz na fałszywkę Adobe Flash Player Updater v17.053 w poniższym skrypcie - wpis powstał wczoraj, ale były jakieś manipulacje i coś usunęło plik infekcji (zadanie jest martwe). Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {C2E9F035-CCAA-4C44-A825-B6DD6A9FD6FB} - System32\Tasks\Adobe Flash Player Updater v17.053 => C:\Users\Przemek\AppData\Roaming\Adobe\Flash Task: {151B0398-0FBB-4C79-AFE4-FFECE6C02BCC} - System32\Tasks\{1D038069-A20D-4F82-9044-9A5B4C92E313} => Chrome.exe http://ui.skype.com/ui/0/7.1.73.105.456/pl/abandoninstall?page=tsProgressBar Task: {19D03418-5506-4519-A72A-BDF8FC8FFFA7} - System32\Tasks\{B682C19B-BFD0-4AF2-AA20-F190E8A6DD0F} => Chrome.exe http://ui.skype.com/ui/0/7.2.0.103/pl/abandoninstall?source=lightinstaller&page=tsMain S3 cpuz138; \??\C:\Users\Przemek\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] HKU\S-1-5-21-4233494923-3357577127-3169329625-1000\...\Policies\system: [EnableLUA] 0 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = C:\ProgramData\APN C:\ProgramData\.windows.sys C:\Users\Przemek\AppData\Local\{B5C00876-19EA-45A5-87C6-99B59158DBC1} C:\Users\Przemek\AppData\Local\BIT2693.tmp C:\Users\Przemek\AppData\Local\Microsoft\Windows\GameExplorer\{AE529A0D-63C2-4BA5-AEB1-3312A28F5CDD} C:\Users\Przemek\AppData\Local\Microsoft\Windows\GameExplorer\{68834329-C095-4240-9DF2-7E89E01C7DDD} C:\Users\Przemek\AppData\Local\Microsoft\Windows\GameExplorer\{49F08473-3486-460D-B5A7-47CB59893732} C:\Users\Przemek\AppData\Local\Microsoft\Windows\GameExplorer\{193D06CE-2C2C-4EE4-BC31-16BD25F6523D} C:\Users\Przemek\AppData\Roaming\Adobe C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\SendTo\Sandboxie*.lnk C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Sandboxed Web Browser.lnk C:\Windows\Sandboxie.ini EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. Nowe logi FRST nie są mi potrzebne.

Za późno zedytowałam Fixlist. W 14 linii od dołu był brak parametru cichego (to blokuje wykonanie komendy Reg): Reg: reg delete HKU\S-1-5-21-287265340-2162033715-3200400593-1005\Software\Google /f Skrypt zatrzymał się na nieskończoności, dlatego też nie nastąpił reset. Edytowałam post zmieniając i inne rzeczy w skrypcie. Niestety Ty już przetwarzałeś skrypt w wersji pierwotnej. W logu są także ślady niepoprawnych deinstalacji. Np. na liście zainstalowanych w ogóle nie figuruje Adobe Shockwave Player czy Java, a stare wtyczki Adobe Shockwave + Java 7 są ładowane w Firefox, na dysku są też foldery Java 8. Misz masz. I może przyczyną jest to: Są pewne aplikacje, które lepiej usuwać za pomocą natywnych deinstalatorów oraz pomocniczych specjalnych firmowych usuwaczy. Do tej kategorii należą m.in. programy zabezpieczające (antywirusy / firewalle). Wg raportu FRST są dwa rodzaje w Firefox - RealPlayer oraz Real Alternative. To wersja 6.0.12.69 widziana na obrazku pochodzi od Real Alternative. Notabene, wszystko cholernie stare, może być naruszeniem bezpieczeństwa: FF Plugin: @real.com/nppl3260;version=16.0.3.51 -> c:\program files\real\realplayer\Netscape6\nppl3260.dll [2013-10-06] (RealNetworks, Inc.) FF Plugin: @real.com/nprjplug;version=15.0.0.198 -> c:\program files\real\realplayer\Netscape6\nprjplug.dll [2011-11-29] (RealNetworks, Inc.) FF Plugin: @real.com/nprpchromebrowserrecordext;version=15.0.0.198 -> C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll [2011-11-29] (RealNetworks, Inc.) FF Plugin: @real.com/nprphtml5videoshim;version=15.0.0.198 -> C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll [2011-11-29] (RealNetworks, Inc.) FF Plugin: @real.com/nprpjplug;version=15.0.0.198 -> c:\program files\real\realplayer\Netscape6\nprpjplug.dll [2011-11-29] (RealNetworks, Inc.) FF Plugin: @real.com/nprpjplug;version=6.0.12.69 -> C:\Program Files\Real Alternative\browser\plugins\nprpjplug.dll [2008-09-10] (RealNetworks, Inc.) FF Plugin: @real.com/nprpplugin;version=16.0.3.51 -> c:\program files\real\realplayer\Netscape6\nprpplugin.dll [2013-10-06] (RealPlayer) Foldery Microsoftu z uszkodzonymi uprawnieniami pomyślnie odblokowane. Poza tym, pojawił się nowy odczyt detekcji skryptów startowych ustawionych via GPO - nie było wcześniej tego widać, gdyż to nowa detekcja którą zaproponowałam, wprowadzona co dopiero w FRST. Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: GroupPolicyScripts: Group Policy detected GroupPolicyScripts\User: Group Policy detected R2 AcrSch2Svc; C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe [804560 2010-12-21] (Acronis) S3 hamachi; C:\Windows\System32\DRIVERS\hamachi.sys [26176 2009-03-18] (LogMeIn, Inc.) HKLM\...\Run: [usBuga Acronis Scheduler2] => C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe [390760 2010-12-21] (Acronis) FF Plugin: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw_1214154.dll [2014-11-07] (Adobe Systems, Inc.) FF Plugin: @java.com/DTPlugin,version=10.72.2 -> C:\Program Files\Java\jre7\bin\dtplugin\npDeployJava1.dll [2014-11-19] (Oracle Corporation) FF Plugin: @java.com/JavaPlugin,version=10.72.2 -> C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll [2014-11-19] (Oracle Corporation) C:\Program Files\Common Files\Acronis C:\ProgramData\mxnhytee.feu C:\Users\Włodek\AppData\Local\{AA15A737-1359-4DC7-857E-B73A86715A29} C:\Users\Włodek\AppData\Roaming\CrashRpt1402.dll C:\Windows\System32\DRIVERS\hamachi.sys RemoveDirectory: C:\Windows\system32\Adobe RemoveDirectory: C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun RemoveDirectory: C:\Windows\System32\config\systemprofile\AppData\Roaming\Softland RemoveDirectory: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5 DisableService: UleadBurningHelper Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKU\S-1-5-21-287265340-2162033715-3200400593-1005_Classes\CLSID /f Reg: reg delete HKU\S-1-5-21-287265340-2162033715-3200400593-1005\Software\Google /f Reg: reg delete HKU\S-1-5-21-287265340-2162033715-3200400593-1005\Software\Microsoft\Windows\CurrentVersion\Run /f Reg: reg delete HKU\S-1-5-21-287265340-2162033715-3200400593-1005\Software\Microsoft\Windows\CurrentVersion\Uninstall /f Reg: reg delete "HKU\S-1-5-21-287265340-2162033715-3200400593-1005\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-21-287265340-2162033715-3200400593-1005\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\egui" /f CMD: netsh advfirewall reset EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Powstanie kolejny fixlog.txt. 2. (De)instalacje: - Wejdź do folderu C:\Program Files\Java i poszukaj czy jest tam deinstalator - znaleziony "Uruchom jako administrator". jeśli deinstalatora brak, wywal cały folder. Następnie, jeśli Java ma być czynna w Firefox, zainstaluj najnowszą wersję - link w przyklejonym: KLIK. - Sugeruję też wywalić Real Player. 3. Zrób nowy log FRST z opcji Scan - nie odznaczaj już pól Whitelist, ale zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. I powiedz mi czy Windows Update zaczęło działać, oraz które z problemów w systemie nadal są obiecne.

- Jedyne co można zrobić, to zabezpieczyć pendrive przed automatycznym wykonaniem ze szkodliwych plików autorun.inf, np. za pomocą Panda USB Vaccine - opcja USB Vaccination tworzy na pendrive "lewy" plik autorun.inf zablokowany tak, że nie da się go w ogóle usunąć (czyli infekcja też nie może go nadpisać wstawiając własny plik). Ta metoda nie blokuje infekcji która tu była, bo to inny rodzaj: KLIK. - Niestety brak 100% metody zabezpieczenia nośnika. Takową byłoby zablokowanie zapisu na urządzeniu, ale wtedy pendrive przestałby pełnić swoją funkcję wymiany i migracji danych między komputerami.

Brak notowalnych uszkodzeń. Usługi Centrum zabezpieczeń, Windows Update oraz Windows Defender są po prostu wyłączone. Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik na Centrum zabezpieczeń + Windows Update i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie). Dla usługi Windows Defender Typ uruchomienia ustaw na Automatyczny. Zresetuj system i podaj czy konfiguracja się utrzymuje i usługi są uruchomione poprawnie.

Wszystko pomyślnie przetworzone. Teraz przejdźmy do tego uszkodzonego Przywracania systemu. Wejdź do konfiguracji Przywracania: KLIK. Spróbuj zaznaczyć Ochronę dla dysku C i powiedz jaki ewentualnie błąd się pojawia podczas tej próby. Odczyt z uszkodzonym WMI to osobna sprawa i to będę próbować rozwiązywać, gdy się dowiem czy w ogóle da się zaznaczyć Ochronę. Niestety Avast (podobnie jak i parę innych antywirusów) ma błąd detekcji i klasyfikuje FRST jako "trojana". Problem był zgłaszany wiele razy do ekipy Avast. Niestety oni wykluczali program "po łebkach", tzn. na podstawie sumy kontrolnej MD5, a ta jest unikatowa tylko dla jednej wersji programu i się zmienia z każdą aktualizacją FRST. Czyli problem się ujawnia przy każdej nowej wersji FRST, a te często są wydawane w tempie kilka na tydzień. Autor się wkurzył i chciał nawet wprowadzić mechanizm blokady uruchomienia FRST na systemach z antywirusami Avast i Norton. Na szczęście ten pomysł nie został przeforsowany, bo to oznaczałoby multum problemów w prowadzeniu pomocy.

Logi z przestarzałego OTL nie są tu obowiązkowe i je usuwam. Brak za to obowiązkowego GMER. Temat przenoszę do działu Windows, bo problem zasadniczy to uszkodzenia w Windows, a nie infekcja (takowej tu brak, tylko drobne odpadki po adware). Brak sieci, bo jest uszkodzony łańcuch sieciowy Winsock: Winsock: Missing Catalog5 entry, broken internet access. Akcje do wdrożenia: 1. Pozbądź się tego dziwadła RegCleaner (skąd był pobierany, kto zacz?), który jest aktualnie uruchomiony i produkuje błędy w systemie: Application errors: ================== Error: (07/16/2015 12:57:29 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: RegCleanr.exe, wersja: 4.3.0.780, sygnatura czasowa: 0x2a425e19 Nazwa modułu powodującego błąd: RegCleanr.exe, wersja: 4.3.0.780, sygnatura czasowa: 0x2a425e19 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x000849f8 Identyfikator procesu powodującego błąd: 0xd84 Godzina uruchomienia aplikacji powodującej błąd: 0xRegCleanr.exe0 Ścieżka aplikacji powodującej błąd: RegCleanr.exe1 Ścieżka modułu powodującego błąd: RegCleanr.exe2 Identyfikator raportu: RegCleanr.exe3 Pełna nazwa pakietu powodującego błąd: RegCleanr.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: RegCleanr.exe5 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Winsock: Missing Catalog5 entry, broken internet access. GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1434920034&z=134341ae5efaed6263b7572g2z4caz8t5o7ebe4cae&from=cor&uid=WDCXWD5000LPVX-60V0TT0_WD-WX21A830474904749 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1434920034&z=134341ae5efaed6263b7572g2z4caz8t5o7ebe4cae&from=cor&uid=WDCXWD5000LPVX-60V0TT0_WD-WX21A830474904749&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1434920034&z=134341ae5efaed6263b7572g2z4caz8t5o7ebe4cae&from=cor&uid=WDCXWD5000LPVX-60V0TT0_WD-WX21A830474904749 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1434920034&z=134341ae5efaed6263b7572g2z4caz8t5o7ebe4cae&from=cor&uid=WDCXWD5000LPVX-60V0TT0_WD-WX21A830474904749&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-2515682888-3305128835-3166960817-1002\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1434920034&z=134341ae5efaed6263b7572g2z4caz8t5o7ebe4cae&from=cor&uid=WDCXWD5000LPVX-60V0TT0_WD-WX21A830474904749&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1434920034&z=134341ae5efaed6263b7572g2z4caz8t5o7ebe4cae&from=cor&uid=WDCXWD5000LPVX-60V0TT0_WD-WX21A830474904749&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope value is missing SearchScopes: HKU\S-1-5-21-2515682888-3305128835-3166960817-1002 -> OldSearch URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD5000LPVX-60V0TT0_WD-WX21A830474904749&ts=1434920134&type=default&q={searchTerms} BHO-x32: HP Network Check Helper -> {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} -> C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPNetworkCheck\HPNetworkCheckPlugin.dll No File Toolbar: HKU\S-1-5-21-2515682888-3305128835-3166960817-1002 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Toolbar: HKU\S-1-5-21-2515682888-3305128835-3166960817-1002 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File CHR HKU\S-1-5-21-2515682888-3305128835-3166960817-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko] - http://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [hphehadppenpmajgnkjdcopcfijjegaf] - C:\Program Files (x86)\Jump Flip\hphehadppenpmajgnkjdcopcfijjegaf.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko] - http://clients2.google.com/service/update2/crx Task: {26A05F85-FF84-46AD-821E-37DFBEFD9DA7} - System32\Tasks\Hewlett-Packard\HP Support Assistant\PC Health Analysis => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPSF.exe Task: {2ED3E4E9-9C6B-44E8-98A8-7E8E353885D6} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Assistant Quick Start => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPSF.exe Task: {5CDFF805-7CCF-48C5-8586-9061DA876B6A} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2515682888-3305128835-3166960817-1002UA => C:\Users\Joanna\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {76741B8A-1266-4895-91CC-B9B194501321} - System32\Tasks\MirageAgent => C:\Program Files (x86)\CyberLink\YouCam\YCMMirage.exe Task: {90BCC850-CC37-46AC-93A2-6CCB5C7A6A4D} - System32\Tasks\BonanzaDealsUpdate => C:\Program Task: {AA40B134-0EAE-49F7-84CB-7ED0AFC2DFF1} - System32\Tasks\Web Protector Plus Server => C:\Program Files (x86)\WebProtectorPlus\server64\WebProtectorPlusServer.exe Task: {B74EEC48-894E-4D04-A974-3C79F09D4770} - System32\Tasks\Web Protector Plus => C:\Program Files (x86)\WebProtectorPlus\WebProtectorPlus.exe Task: {C4C8907E-1107-400E-8B94-3D5A7A5FFE16} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2515682888-3305128835-3166960817-1002Core => C:\Users\Joanna\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {C8E82452-54A5-4569-BBAA-0F174CE99F26} - System32\Tasks\Hewlett-Packard\HP Support Assistant\WarrantyChecker_DeviceScan => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPWarrantyCheck\HPWarrantyChecker.exe Task: {F56229DA-F593-425B-895A-3593C70A1044} - System32\Tasks\{0E76A21E-AD7C-404B-B94D-93B05A6DF0AC} => pcalua.exe -a "C:\Program Files (x86)\MarBit\ALLPlayer\unins000.exe" C:\Program Files\Common Files\AV C:\ProgramData\AVG2015 C:\ProgramData\IHProtectUpDate C:\ProgramData\MFAData C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Web Protector Plus C:\Users\Joanna\AppData\Local\Avg C:\Users\Joanna\AppData\Roaming\Mozilla Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Facebook Update" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Google Chrome wygląda na uszkodzone (brak poboru nazw rozszerzeń). Przeinstaluj przeglądarkę: Wyeksportuj zakładki do pliku HTML (o ile potrzebne). Zresetuj synchronizację (o ile włączona): KLIK. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome - linki w przyklejonym: KLIK. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Potwierdź naprawę sieci.

Brak trzeciego pliku FRST Shortcut. W raportach brak oznak czynnej infekcji. A to co wykrył skaner ma nikłe, bądź zerowe znaczenie: - Wyniki z lokalizacji tymczasowych. I tak będą te lokalizacje dokładniej czyszczone. - KMSpico to jest crack aktywacyjny i będzie wykrywane niezależnie od jego rzeczywistej szkodliwości. - Wpis startowy "Chomikbox" sklasyfikowany jako "adware" wygląda na fałszywy alarm. I tak bez znaczenia, bo aplikacja wygląda na odinstalowaną. Pomijając GMER, o jakie błędy chodzi? PS. Do usunięcia tylko drobne puste wpisy + czyszczenie lokalizacji tymczasowych: 1. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj odpadek Avast Online Security. Dodatkowo, jest też rozszerzenie Youtube MP3 Online - rozszerzenie nie jest autoryzowane w Chrome Web Store. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3525526821-3159406207-3434764065-1001\...\Run: [Clownfish] => [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] S4 WinDivert1.1; No ImagePath S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] Task: {188CAC1B-3820-44DD-896F-75BC49B7943E} - System32\Tasks\catalyst => c:\programdata\sunsoft\ccc.exe Task: {8B23DB90-C6B2-450C-89B4-150D7F4591B6} - System32\Tasks\sunsoft => c:\programdata\sunsoft\sunsoft.exe Task: {8C09B1B5-9DBB-4036-8C7C-AF4BCA4F5902} - System32\Tasks\AutoPico Daily Restart => C:\Program Files\KMSpico\AutoPico.exe Task: {E76A3055-99A3-4150-BA49-69674306EBBB} - System32\Tasks\{B3879C64-CC90-4C26-AB98-511D57E7D435} => Firefox.exe http://ui.skype.com/ui/0/7.0.0.102/pl/abandoninstall?source=lightinstaller&page=tsInstall C:\Users\Radosław\AppData\Local\{302983D2-A9C2-435A-A395-B065FE5B9E46} Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. Nowe skany FRST nie są mi potrzebne.

Widać jeden aktywny wpis startowy Baidu, poza tym jednak same szczątkowe / puste wpisy. Akcje do przeprowadzenia: 1. Deinstalacje: - Pytaniem jest czy Rising Antivirus to była celowa instalacja - to także chiński wyrób i wg dat w logu powstał wtedy, gdy inne niepożądane elementy. - Pozbądź się firmowych ASUS-owych zbędników: ASUS WebStorage Sync Agent, Bing Bar, Shared C Run-time for x64 (ten ostatni to szczątek po odinstalowanym McAfee). ASUS WebStorage to program znany z tworzenia błędów explorer.exe. - Odinstaluj też starsze wersje (potem będzie instalacja najnowszych): Adobe Reader XI (11.0.12), Java 7 Update 45, Java 8 Update 45 (64-bit), Java SE Development Kit 8 Update 45 (64-bit). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: U2 QQSysMonX64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQSysMonX64.sys [X] S1 TSDefenseBt; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\TSDefenseBT64.sys [X] HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCTRAY.EXE" /regrun /qqrepair HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey HKU\S-1-5-21-3625697315-574066735-3411081838-1001\...\Run: [apphide] => C:\Program Files (x86)\baidu\baidu.exe [61440 2015-06-20] () HKU\S-1-5-21-3625697315-574066735-3411081838-1001\...\Policies\Explorer: [] ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMGCShellExt64.dll No File HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF Plugin: @iqiyi.com/npclient -> C:\IQIYI Video\LStyle\npclient.dll No File FF Plugin: @iqiyi.com/npWebPlayer -> C:\IQIYI Video\LStyle\npWebPlayer.dll No File FF Plugin-x32: @iqiyi.com/npclient -> C:\IQIYI Video\LStyle\npclient.dll No File FF Plugin-x32: @iqiyi.com/npWebPlayer -> C:\IQIYI Video\LStyle\npWebPlayer.dll No File FF Plugin-x32: @qq.com/QQPCMgr -> C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\npQMExtensionsMozilla.dll No File FF Plugin HKU\S-1-5-21-3625697315-574066735-3411081838-1001: @iqiyi.com/npWebPlayer -> C:\IQIYI Video\LStyle\npWebPlayer.dll No File CustomCLSID: HKU\S-1-5-21-3625697315-574066735-3411081838-1001_Classes\CLSID\{0B628DE4-07AD-4284-81CA-5B439F67C5E6}\localserver32 -> D:\Autocad\AutoCAD 2015\acad.exe /Automation No File CustomCLSID: HKU\S-1-5-21-3625697315-574066735-3411081838-1001_Classes\CLSID\{149DD748-EA85-45A6-93C5-AC50D0260C98}\localserver32 -> D:\Autocad\AutoCAD 2015\acad.exe No File CustomCLSID: HKU\S-1-5-21-3625697315-574066735-3411081838-1001_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> D:\Autocad\AutoCAD 2015\pl-PL\acadficn.dll No File Task: {1903686A-82DF-4BF6-9F48-B4A3FD1C32FA} - System32\Tasks\{93676F8E-D262-4403-8682-F1482494E4F6} => pcalua.exe -a "C:\Team17\Worms Armageddon\wa.exe" -d "c:\Team17\Worms Armageddon" Task: {BBC97DBF-3158-4580-9856-6EE7EB9B85D7} - System32\Tasks\{AB774A4A-99AC-48A2-B8F5-28CE0353E177} => pcalua.exe -a C:\Users\Jasiu\Downloads\raidcall_v7.3.6.exe -d C:\Users\Jasiu\Downloads Task: {BDF5EAF1-2D83-462A-B472-7F321D2C77CC} - System32\Tasks\{AC834C79-C1E1-4C87-ADD4-D586D8A7EDB3} => pcalua.exe -a D:\Bwgen\Bwgen.exe -d D:\Bwgen HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\str => ""="service" C:\ppsfile C:\qycache C:\Program Files (x86)\baidu C:\ProgramData\Temp C:\ProgramData\Tencent C:\ProgramData\TXQMPC C:\Users\Jasiu\AppData\Local\SysassistByHotWheel C:\Users\Jasiu\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\爱奇艺万能播放器.lnk C:\Users\Jasiu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Jasiu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\爱奇艺万能播放器.lnk C:\Users\Jasiu\AppData\Roaming\ppslog C:\Users\Jasiu\Downloads\*(*)-dp*.* C:\Users\Jasiu\Downloads\Gbooks__1598_i1558290670_il360.exe.zip C:\Users\Jasiu\Downloads\Google Books Downloader Lite.exe C:\Users\Public\QiYi C:\WINDOWS\system32\Drivers\TFsFltX64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v mcpltui_exe /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v mcui_exe /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v " QQPCTray" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v fst_pl_121 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v mcui_exe /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "mobilegeni daemon" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v apphide /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v LiveSupport /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan - zaznacz ponowie pole Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy gdzieś jeszcze widać "chińszczyznę".