picasso

W raportach widać tylko polityki blokujące Google Chrome, ale nic więcej. Jeśli przekierowania występują tylko w Google Chrome, to prócz owych polityk jedno z dwóch tu występuje: zmodyfikowane pliki Google Chrome przez infekcję, lub log FRST nie pokazuje wszystkich rozszerzeń (są takie, które w preferencjach podają "pustą ścieżkę", ale są ładowane). Logi pochodzą sprzed prawie miesiąca, na wszelki wypadek zrób nowe raporty FRST.

Logi z przestarzałego OTL nie są tu obowiązkowe - usuwam. Brakuje za to trzeciego obowiązkowego raportu FRST Shortcut. Widzę tu jeden szkodliwy wpis CustomCLSID i powiązane foldery na dysku. Działania wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-1740114911-785093284-708989120-1000_Classes\CLSID\{56CBD3CF-BF99-4DF5-851F-F5B9B57496A1}\InprocServer32 -> C:\ProgramData\{D9E629DC-CB1C-4A97-9900-81922B4EFFD4}\shsetup.dll (Microsoft Corporation) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\ProgramData\{D9E629DC-CB1C-4A97-9900-81922B4EFFD4} C:\Users\Pamela\AppData\Roaming\34FC36FA EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan - zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są detekcje URL:Mal.

Jest tu widoczny jeden szkodnik w CustomCLSID i powiązane foldery na dysku, Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-1317218049-2942288360-2257388386-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\fwcfg.dll (poctifiCtarroronM oso) Task: {54BE5004-1DA7-4FD4-99E2-363DBBABC2C4} - System32\Tasks\{28F4C1DB-2834-4EC2-8289-33C7943A0DE6} => W:\1602.exe Task: {5AD4BDD5-02BB-46A8-82FE-E6FB5AC174CD} - System32\Tasks\{9BF58081-F93F-4F9A-BC1F-C6AFE280B535} => W:\1602.exe Task: {5EFDBADC-D464-4D7B-8091-DB8891280AFC} - System32\Tasks\{9A96E561-ACAE-42FD-BBC4-99734C3C7975} => W:\Anno1602\1602.exe Task: {B189A341-0F0A-4CF0-8054-5F998D5A36EF} - System32\Tasks\{30A68905-9A1C-4B27-983E-1A0902CA1732} => W:\Anno1602\1602.exe Task: {C475D94A-7339-42DB-9B35-F4766BA51E1E} - System32\Tasks\{06433C43-285A-4140-82FC-379A7EB9E902} => Chrome.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=7.0.0.102&LastError=12007 Task: {F92974D0-39AC-4A85-BFC8-EC1985714FB5} - System32\Tasks\{E756FDA0-6644-414D-9AA0-41A3D111D567} => D:\Gry\Gauntlet\binaries\gauntlet.exe HKLM\...\Run: [NetWorx] => "C:\Program Files\NetWorx\networx.exe" /auto HKU\S-1-5-21-1317218049-2942288360-2257388386-1000\...\Run: [ASRockXTU] => [X] HKU\S-1-5-21-1317218049-2942288360-2257388386-1000\...\Run: [GalaxyClient] => [X] HKU\S-1-5-21-1317218049-2942288360-2257388386-1000\...\RunOnce: [Adobe Speed Launcher] => 1435689862 HKU\S-1-5-21-1317218049-2942288360-2257388386-1000\...\Policies\Explorer: [] FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8} C:\Users\Szymon\AppData\Roaming\480D35BE C:\Users\Szymon\Downloads\Niepotwierdzony*.crdownload Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan - zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy.

Bez raportów nie ma na razie o czym dyskutować. Czekam więc na raporty z FRST i GMER.

Deinstalacją nic nie zdziałałeś w tej kwestii. Oto pierwszy log FRST pokazujący co było, gdy Firefox był zainstalowany (jak mówiłam: nic zdrożnego): Sytuacja z drugiego raportu po deinstalacji Firefox: To co zostało na dysku to cały profil przeglądarki z wszystkim co było poprzednio. Deinstalacja nie usuwa także kluczy Mozilla z rozszerzeniami oraz MozillaPlugins z wtyczkami. Prawie nic się nie znieniło, a "prawie", gdyż zniknął tylko folder C:\Program Files (x86)\Mozilla Firefox\extensions. Ale on nie został zlikwidowany przez deinstalację tylko mój skrypt FRST. Usuwam tę lokalizację, bo od wersji Firefox 21 nie jest ona już interpretowana (o ile nie zrobi się myku w preferencjach), zamiast niej jest odczyt z C:\Program Files (x86)\Mozilla Firefox\browser\extensions. Mnie chodzi o to, iż po deinstalacji Firefox (czyli usunięciu kluczy HKCU związanych z Firefox ustawionym jako domyślnym) powinien się pojawić odczyt, że domyślną przeglądarką jest IE11 (pobór danych z kluczy HKLM). To się tu nie stało, toteż sprawdzam na wszelki wypadek dane - podobny scenariusz do Twojego już był na forum i w tamtym przypadku była dewastacja w rejestrze.

Na pendrive widać tylko ten wspominany plik autorun.inf - on prawdopodobnie jest zablokowany przez Nortona, dlatego figuruje jako "zero bajtów". Przeprowadź następującą operację przy podpiętym urządzeniu: Otwórz Notatnik i wklej w nim: F:\AUTORUN.INF BHO: No Name -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> No File Task: {1EF554BA-0D7A-41C1-83F6-D0B4D3EAB140} - System32\Tasks\DriverToolkit Autorun => C:\Program Files\DriverToolkit\DriverToolkit.exe Task: {C23E6905-9BAC-442B-A6F3-3EFFAA29BC3B} - System32\Tasks\{5BB0C49F-0F3F-4D37-91E9-F67512A0C7A6} => pcalua.exe -a C:\SWSetup\SP66873\Setup.exe -d C:\SWSetup\SP66873 Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files\DriverToolkit\DriverToolkit.exe S3 massfilter; system32\DRIVERS\massfilter.sys [X] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows (Norton nieaktywny). Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Na zakończenie: 1. Usuń używane narzędzia z folderu D:\download\anty. Następnie popraw za pomocą DelFix. 2. Na wszelki wypadek pozmieniaj hasła logowania w serwisach internetowych (np. banki, poczta). 3. Jeśli chodzi o dobór antywirusa, wedle własnych preferencji i umiejętności obsługi interfejsu. Nie promuję określonej marki piastując przekonanie, że dowolny wybór użytkownika z wiodących marek (byle nie niszowe mało znane rozwiązania) będzie w porządku.

Na początek pytanie: jaki był powód deinstalacji Firefox? W pierwszym logu przeglądarka figuruje jako zainstalowana i skan nie wykazał naruszeń w Firefox. 1. Czy jest włączony UAC? Panel sterowania > Konta użytkowników i filtr rodzinny > Konta użytkowników > Zmień ustawienia funkcji Kontrola konta użytkownika > ustaw poziom Domyślny (trzeci "ząbek" licząc od dołu) i zresetuj system. Podaj czy pytania o hasło nadal występują. 2. Log z FRST notuje także brak domyślnej przeglądarki, co może świadczyć i o tym, że są uszkodzone wpisy globalne HKLM w rejestrze. Pobieram dane o nich w poniższym skrypcie FRST. Internet Explorer Version 11 (Default browser not detected!) Infekcja pomyślnie usunięta, będą jeszcze drobne poprawki. Otwórz Notatnik i wklej w nim: ProxyServer: [s-1-5-21-240840061-2717004978-97619909-1000] => 127.0.0.1:9881 RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy RemoveDirectory: C:\Spacekace RemoveDirectory: C:\Users\Jarek76\Desktop\Stare dane programu Firefox Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg query HKCU\Software\Classes Reg: reg query HKCU\Software\Classes\.htm /s Reg: reg query HKCU\Software\Classes\.html /s Reg: reg query HKCU\Software\Classes\.shtml /s Reg: reg query HKCU\Software\Classes\.webm /s Reg: reg query HKCU\Software\Classes\.xht /s Reg: reg query HKCU\Software\Classes\.xhtml /s Reg: reg query HKCU\Software\Classes\ftp /s Reg: reg query HKCU\Software\Classes\http /s Reg: reg query HKCU\Software\Classes\https /s Reg: reg query HKCU\Software\Clients\StartMenuInternet /s Reg: reg query HKLM\SOFTWARE\Classes\.htm /s Reg: reg query HKLM\SOFTWARE\Classes\.html /s Reg: reg query HKLM\SOFTWARE\Classes\.shtml /s Reg: reg query HKLM\SOFTWARE\Classes\.webm /s Reg: reg query HKLM\SOFTWARE\Classes\.xht /s Reg: reg query HKLM\SOFTWARE\Classes\.xhtml /s Reg: reg query HKLM\SOFTWARE\Classes\ftp /s Reg: reg query HKLM\SOFTWARE\Classes\http /s Reg: reg query HKLM\SOFTWARE\Classes\https /s Reg: reg query HKLM\SOFTWARE\Clients\StartMenuInternet /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Wszystko zdaje się być w porządku. Potwierdź mi jeszcze, że wbudowany w systemem Windows Defender jest sprawny i się uruchamia. I na koniec: 1. Usuń używane narzędzia za pomocą DelFix. 2. Na wszelki wypadek pozmieniaj hasła logowania w ważnych serwisach (bank, poczta, etc.).

Zapomniałam dodać poprzednio: blokowanie FRST przez Nortona to norma, nie powiązana z infekcją, dlatego w instrukcjach jest zalecenie deaktywacji programów tego typu przed próbą uruchomienia FRST. Logi: Nic tu nie wskazuje, by system został zainfekowany z pendrive. Tak więc teraz należy sprawdzić co jest na pendrive. Rozumiem, że jest on teraz podpięty i widoczny pod literą F: Drive f: (USB DISK) (Removable) (Total:14.92 GB) (Free:12.1 GB) FAT32 Dodaj log z USBFix z opcji Listing zrobiony podczas gdy urządzenie jest dostępne.

Infekcja została pomyślnie usunięta. Kolejne kroki: 1. Przywracanie systemu zostało wyłączone (prawdopodobnie przez infekcję): ==================== Restore Points ========================= ATTENTION: System Restore is disabled Wejdź do interfejsu konfiguracji Przywracania: KLIK. Zaznacz Ochronę dla systemowego dysku C. 2. Dodaj też log z Farbar Service Scanner.

Rzeczywiście, Firefox nie figurował na liście zainstalowanych. Zmyliło mnie to raptowne ujawnienie się profilu FF, którego w pierwszym logu nie było. Komponenty Firefox zostaną usunięte ręcznie w skrypcie FRST. Rozumiem, że to wystąpiło dopiero po infekcji? Może infekcja zmieniła uprawnienia którejś ze ścieżek dostępu. Będę to sprawdzać w poniższym skrypcie. Z którego skrótu uruchamiasz Google Chrome - jeden z poniższych z Pulpitu, czy z innego miejsca? C:\Users\DOM\Desktop\chrome — skrót.lnk C:\Users\Public\Desktop\Google Chrome.lnk Jakie są ustawienia w: Panel sterowania > System i zabezpieczenia > System > Zaawansowane ustawienia systemu > Wydajność > Ustawienia? Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Mozilla C:\Users\DOM\AppData\Local\Mozilla C:\Users\DOM\AppData\Roaming\Mozilla Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f ListPermissions: C:\Program Files (x86)\Google ListPermissions: C:\Program Files (x86)\Google\Chrome ListPermissions: C:\Program Files (x86)\Google\Chrome\Application ListPermissions: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe ListPermissions: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome ListPermissions: C:\Users\DOM\AppData\Local\Google ListPermissions: C:\Users\DOM\AppData\Local\Google\Chrome ListPermissions: C:\Users\DOM\AppData\Local\Google\Chrome\User Data ListPermissions: C:\Users\DOM\AppData\Local\Google\Chrome\User Data\Default ListPermissions: C:\Users\DOM\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk ListPermissions: C:\Users\DOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk ListPermissions: C:\Users\DOM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk ListPermissions: C:\Users\DOM\Desktop\chrome — skrót.lnk ListPermissions: C:\Users\Public\Desktop\Google Chrome.lnk Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

W instrukcji zapisu raportu GMER jest napisane, iż należy raport zapisać opcją Kopiuj. Jeśli raport zapisałeś za pomocą opcji Zapisz, powstał plik o rozszerzeniu *.LOG niedopuszczalny w załącznikach. W tej sytuacji należy zmienić ręcznie nazwę rozszerzenia na *.TXT lub zapisać raport do nowego pliku TXT. Druga sprawa: raporty FRST zostały dołączone z biblioteki medialnej z zasobu użytego prawdopodobnie w innym temacie (dlatego przestały się wyświetlać po usunięciu przez mnie odnośników) - nie zostały logi FRST w ogóle załadowane w tym temacie. Ponownie je wstaw - tu w temacie.

Logi z OTL nie są obowiązkowe i usuwam. Stosowałeś jaki skrypt usuwający do OTL - co to było i skąd? W systemie grasuje popularna tu ostatnio infekcja w postaci fałszywej usługi "cieniowania woluminu". Akcje do wdrożenia: 1. Otwórz Notatnik i wklej w nim: R2 VSSS; C:\Users\Grzegorz\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [106359424 2015-06-23] (Microsoft Corporation) [File not signed] S2 avgfws; "C:\Program Files (x86)\AVG\AVG2015\avgfws.exe" [X] S0 cm_km_w; system32\DRIVERS\cm_km_w.sys [X] S1 hzszkayk; \??\C:\WINDOWS\system32\drivers\hzszkayk.sys [X] S3 intaud_WaveExtensible; \SystemRoot\system32\drivers\intelaud.sys [X] S3 iwdbus; \SystemRoot\System32\drivers\iwdbus.sys [X] S2 kldisk; \SystemRoot\system32\DRIVERS\kldisk.sys [X] S1 Klwtp; \SystemRoot\system32\DRIVERS\klwtp.sys [X] R4 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X] S3 usb3Hub; \SystemRoot\System32\drivers\usb3Hub.sys [X] S3 XHCIPort; \SystemRoot\System32\drivers\XHCIPort.sys [X] HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-1195767892-898069442-3820156252-1002\...\Run: [AceWebException] => C:\Users\Grzegorz\AppData\Roaming\AceWebExtension\updater\ace_web_extension.exe [22824 2015-02-28] () ShellIconOverlayIdentifiers: [sugarSyncBackedUp] -> {0C4A258A-3F3B-4FFF-80A7-9B3BEC139472} => No File ShellIconOverlayIdentifiers: [sugarSyncPending] -> {62CCD8E3-9C21-41E1-B55E-1E26DFC68511} => No File ShellIconOverlayIdentifiers: [sugarSyncRoot] -> {A759AFF6-5851-457D-A540-F4ECED148351} => No File ShellIconOverlayIdentifiers: [sugarSyncShared] -> {1574C9EF-7D58-488F-B358-8B78C1538F51} => No File HKU\S-1-5-21-1195767892-898069442-3820156252-1002\Software\Microsoft\Internet Explorer\Main,Start Page = https://mysearch.avg.com/?cid={B4B56E63-B3D8-4505-8723-348C611CD0B8}&mid=8f655335c45347cd9dc5314fa05b5230-6bed12d77deea99345a0cedb1c9141571f9fc80a&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0215pi&pr=fr&d=2015-03-24 19:11:32&v=4.1.0.411&pid=wtu&sg=&sap=hp SearchScopes: HKU\S-1-5-21-1195767892-898069442-3820156252-1002 -> DefaultScope {04311CAB-6B0E-4E4E-BDCD-6283C1C0ADE0} URL = SearchScopes: HKU\S-1-5-21-1195767892-898069442-3820156252-1002 -> {04311CAB-6B0E-4E4E-BDCD-6283C1C0ADE0} URL = SearchScopes: HKU\S-1-5-21-1195767892-898069442-3820156252-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File FirewallRules: [TCP Query User{702FC1AA-C29F-4662-AEE9-76087FEF9DE7}C:\users\grzegorz\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\grzegorz\appdata\roaming\acestream\engine\ace_engine.exe FirewallRules: [uDP Query User{2DD5C466-6F65-40BC-8DEE-4B3D34132039}C:\users\grzegorz\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\grzegorz\appdata\roaming\acestream\engine\ace_engine.exe C:\Program Files\*.exe C:\Program Files (x86)\AVG C:\Program Files (x86)\Kaspersky Lab C:\Program Files\Common Files\AV C:\ProgramData\AVG2015 C:\ProgramData\MFAData C:\Users\Grzegorz\AppData\Local\MFAData C:\Users\Grzegorz\AppData\Roaming\.ACEStream C:\Users\Grzegorz\AppData\Roaming\ACEStream C:\Users\Grzegorz\AppData\Roaming\AceWebExtension C:\Users\Grzegorz\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe C:\_acestream_cache_ DisableService: Internet Manager. RunOuc Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

O jakim systemie operacyjnym mowa? Czy w tle działa jakiś antywirus, a jeśli jest to czy po jego wyłączeniu jest możliwe uruchomienie w/w programów? Czy jest możliwe (korzystając jednak z zupełnie innego nośnika niż ów zainfekowany pendrive) pobrać FRST i GMER na innym komputerze (inny nośnik, by infekcji nie roznieść na drugi komputer), następnie uruchomić je z poziomu Trybu awaryjnego Windows?

Kolejne czynności pod kątem usuwania infekcji: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wykonaj skany za pomocą Hitman Pro oraz Malwarebytes Anti-Malware. Nic nie usuwaj, dostarcz tylko raporty skanerów. Wyniki sfc zostały wydrukowane w skrypcie FRST za pomocą komendy CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log. Narzędzie notuje następujące nienaprawialne uszkodzenia: 2015-06-29 21:19:23, Info CSI 000008e2 [sR] Cannot repair member file [l:24{12}]"utc.app.json" of Microsoft-Windows-Unified-Telemetry-Client, Version = 6.3.9600.17842, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-06-29 21:19:23, Info CSI 000008e4 [sR] Cannot repair member file [l:66{33}]"telemetry.ASM-WindowsDefault.json" of Microsoft-Windows-Unified-Telemetry-Client, Version = 6.3.9600.17842, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-06-29 21:19:23, Info CSI 000008e6 [sR] Cannot repair member file [l:34{17}]"I386\STDSCHMX.GDL" of ntprint.inf, Version = 6.3.9600.17415, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type = [l:24{12}]"driverUpdate", TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-06-29 21:19:23, Info CSI 000008e8 [sR] Cannot repair member file [l:34{17}]"I386\STDSCHMX.GDL" of ntprint.inf, Version = 6.3.9600.17415, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type = [l:24{12}]"driverUpdate", TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-06-29 21:19:23, Info CSI 000008e9 [sR] This component was referenced by [l:164{82}]"Package_706_for_KB3000850~31bf3856ad364e35~amd64~~6.3.1.8.3000850-1750_neutral_GDR" 2015-06-29 21:19:23, Info CSI 000008eb [sR] Cannot repair member file [l:24{12}]"utc.app.json" of Microsoft-Windows-Unified-Telemetry-Client, Version = 6.3.9600.17842, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-06-29 21:19:23, Info CSI 000008ec [sR] This component was referenced by [l:154{77}]"Package_1_for_KB3068708~31bf3856ad364e35~amd64~~6.3.1.0.3068708-1_neutral_GDR" 2015-06-29 21:19:23, Info CSI 000008ee [sR] Cannot repair member file [l:66{33}]"telemetry.ASM-WindowsDefault.json" of Microsoft-Windows-Unified-Telemetry-Client, Version = 6.3.9600.17842, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-06-29 21:19:23, Info CSI 000008ef [sR] This component was referenced by [l:154{77}]"Package_1_for_KB3068708~31bf3856ad364e35~amd64~~6.3.1.0.3068708-1_neutral_GDR" Prawdopodobnie są to skutki złych bloków dysku. Na razie wątek zostawiam, gdyż: - Te wyniki nie wyglądają na krytyczne. - Bez podmiany plikami dostarczonymi przeze mnie z mojego systemu Windows 8.1 x64 i tak nie ma jak tego naprawić. Musi być identyczna suma MD5 zgodna z wersją komponentu, tu nie przejdzie podmiana plikiem o takiej samej nazwie. - Nie wiadomo co wykaże diagnostyka sprzętowa dysku - może się i tak szykować reinstalacja Windows.

Hitman wykrył jeden szczątkowy klucz po adware (przedstawiany "podwójnie" - jedna z lokalizacji to skrót zwrotny). Usuń za pomocą programu. Na koniec wyczyść foldery Przywracania systemu: KLIK.

Poproszę o dostarczenie raportów z FRST.

Prawie wszystko zrobione. Jedna z komend się nie wykonała (za późno poprawiłam literówkę). Kolejne poprawki. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Eaphost\Methods /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\FontCache3.0.0.0 /s S4 sptd; C:\Windows\System32\Drivers\sptd.sys [845560 2012-09-21] (Duplex Secure Ltd.) C:\Windows\System32\Drivers\sptd.sys RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Google Chrome zostało przekonwertowane przez adware z wersji stabilnej do developerskiej i wymagana kompletna reinstalacja od zera. Ponadto, nadal ładuje się malware z przejętej klasy {56FDF344-FD6D-11d0-958A-006097C9A090}, produkując coraz to nowe "bełkotliwe" foldery w Roaming. Jest też dużo różnych innych śmieci (puste skróty aplikacji w Menu Start, śmieci w Harmonogramie). Stosowałeś wątpliwe skanery SpyHunter, STOPzilla i archaiczny SpywareTerminator. Akcje do przeprowadzenia: 1. Działania związane z Google Chrome: Wyeksportuj tylko zakładki do pliku. Następnie zresetuj synchronizację (o ile włączona): KLIK. Odinstaluj przeglądarkę - przy deinstalacji zaznacz opcję Usuń także dane przeglądarki. Na razie nie instaluj Google Chrome. 2. Przez Panel sterowania odinstaluj zbędniki: Carambis Driver Updater, HyperCam Toolbar, McAfee Security Scan Plus, SpyHunter 4, Qtrax Player, UsbFix By El Desaparecido. Jeśli coś będzie niewidoczne, lub nie będzie się dało odinstalować, kontynuuj dalej. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: (Microsoft Corporation) C:\Windows\explorer.exe CustomCLSID: HKU\S-1-5-21-2122632447-3009132497-1824439013-1000_Classes\CLSID\{0D083146-4631-4BDD-A2A3-FDC7B3D5354D}\InprocServer32 -> C:\Program Files (x86)\TNT2\Profiles\10809\passport64.dll No File CustomCLSID: HKU\S-1-5-21-2122632447-3009132497-1824439013-1000_Classes\CLSID\{56FDF344-FD6D-11d0-958A-006097C9A090}\InprocServer32 -> C:\Users\User\AppData\Roaming\tricomfi\tivesen.dll No File Task: {0147D6A3-A951-45BB-8EEA-0EBF9CF2C4EE} - System32\Tasks\{11A92B39-82FD-40F0-9354-8A6101FCAD40} => Z:\Setup.exe Task: {03AC3746-4F3A-44AA-A88A-F0C2B7402BF2} - System32\Tasks\{1F70D7DC-1657-4F22-ACB2-E282F24A905E} => pcalua.exe -a Z:\WM9\WM9Codecs.exe -d Z:\WM9 Task: {0A078CA5-356E-4253-82A7-202213480249} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-11 No Task File Task: {0B28910B-7FA0-49CE-8547-299D8BBC2A15} - System32\Tasks\{BEB4D67E-10C1-4D0C-B3A4-8506258585F2} => Z:\Install\TwoWorlds_RADEON.exe Task: {1042AE1E-728F-4F2D-8AAF-38278AAD47B4} - System32\Tasks\{608D9FB3-184E-428A-BBBB-2ED92333D944} => pcalua.exe -a H:\setup.exe -d H:\ Task: {11F39DDB-DA91-4204-A49F-552F56BFEC7D} - System32\Tasks\{64CCA3E8-03DE-4ADE-9368-ECF901C40BDF} => C:\Program Files (x86)\Diablo II + Diablo II - Lord of Destruction PL\Diablo II.exe Task: {131F2298-AB3C-4FD7-B57F-F0950C8E36B4} - System32\Tasks\{A9569A72-CC59-4656-9EA2-0CA7D8D02BB3} => Z:\Setup.exe Task: {13468A67-80A8-47A4-9719-54B1A51EE6D2} - System32\Tasks\{16CA8704-3DFE-467B-BCB6-48947C3B69E9} => C:\Program Files (x86)\Diablo II + Diablo II - Lord of Destruction PL\Diablo II.exe Task: {15994D1C-BDF8-4F30-B7E4-768C10F7F875} - System32\Tasks\{B256A2A3-2DE3-4830-898D-0E7A1A2C5D04} => Z:\Setup.exe Task: {244DE28B-C3A6-4154-A0FD-F7B7BC0877CF} - \3904021f-e269-4d64-88b3-1d7db1b5d60f-7 No Task File Task: {26325694-AB4D-4BC8-84FE-DD24018E416F} - System32\Tasks\{E7EC618B-C194-48D3-96FE-372A24FA059E} => Z:\Setup.exe Task: {29043ACA-4D67-40A3-80BB-E53BC2F9F53E} - System32\Tasks\{8DDE688A-40A7-4BA0-B453-4261E1CF571B} => pcalua.exe -a C:\Users\User\AppData\Local\Temp\7zS110B.tmp\MicroInstallerNative.exe -d C:\Users\User\AppData\Local\Temp\7zS110B.tmp Task: {2DAE7CCF-D7C1-40B8-8036-2825D1D3C08A} - \1c4fb8c3-4482-4747-aa6c-6a5ce886c1ec-2 No Task File Task: {33B86D01-84A4-485A-A81B-8632A327AFD8} - System32\Tasks\{1F8415AA-5FF6-4257-AFD4-8F94C94D5FBC} => Z:\Setup.exe Task: {36FAEE96-CFA0-48D3-A7F0-3FE38B7940DF} - System32\Tasks\{611C4656-CB45-47E4-997D-92C6EC522871} => C:\Program Files (x86)\Diablo II + Diablo II - Lord of Destruction PL\Diablo II.exe Task: {3750DAD9-FFF6-4E68-9CFD-60C6A0589899} - \3904021f-e269-4d64-88b3-1d7db1b5d60f-5 No Task File Task: {3AD8345F-59F8-46C8-8097-DA971F711132} - \3904021f-e269-4d64-88b3-1d7db1b5d60f-3 No Task File Task: {3F22BCB7-F77C-49CD-B641-A3EB5FEA7A5D} - System32\Tasks\{8AD84287-54C5-4015-841D-96635B2DF2A9} => pcalua.exe -a "C:\Program Files (x86)\Diablo 2\Setup.exe" -d "C:\Program Files (x86)\Diablo 2" Task: {40B714A7-1792-4374-A602-786F9CD5AD43} - System32\Tasks\{F03CE0B1-C25E-4A8A-8B57-70CC506A32AE} => pcalua.exe -a C:\Users\User\AppData\Local\TNT2\2.0.0.1702\TNT2User.exe -c /UNINSTALL PARTNER=10809 Task: {483948AD-0CCD-4F44-880D-2C44A3AECF14} - \1c4fb8c3-4482-4747-aa6c-6a5ce886c1ec-7 No Task File Task: {4BCDFC77-D58F-43A6-BAD8-C58A22EAF558} - \1c4fb8c3-4482-4747-aa6c-6a5ce886c1ec-11 No Task File Task: {4DAEEC8D-F40C-4AA8-8620-DBDA9D781FDB} - \3904021f-e269-4d64-88b3-1d7db1b5d60f-6 No Task File Task: {53B04A56-6CF0-4B7D-B8B6-EDE68ED80AAE} - \1c4fb8c3-4482-4747-aa6c-6a5ce886c1ec-5_user No Task File Task: {53E60E56-D6C2-41F2-8EFF-E1EB93DCFE5D} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-3 No Task File Task: {5BBDE433-3FAB-4393-B990-B552C27E0E2B} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-5 No Task File Task: {5C000558-C2F7-4C41-ABE3-73E31FDA95AF} - System32\Tasks\{C685E596-885D-47E9-B1C2-6602FE095B6F} => Z:\Setup.exe Task: {5E1534DA-9849-40FA-8390-C685212675DF} - \1c4fb8c3-4482-4747-aa6c-6a5ce886c1ec-5 No Task File Task: {5F79C8DA-DCF0-4200-A846-6693D0D660BE} - System32\Tasks\{91EDAF26-0E0C-4D4A-9BAE-DDF19A2574FA} => C:\Program Files (x86)\Diablo II + Diablo II - Lord of Destruction PL\Diablo II.exe Task: {68F102F3-1C50-43EB-B1B6-71AA4B8AF6AB} - System32\Tasks\{7EDC5FF0-870C-4164-A859-BBC9EE8962AB} => pcalua.exe -a "C:\Program Files\AVAST Software\Avast\aswRunDll.exe" -c "C:\Program Files\AVAST Software\Avast\Setup\setiface.dll" RunSetup Task: {6A1309B6-ED26-4BE2-812D-2B555B76ED3F} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-2 No Task File Task: {7107BE0D-FD61-46DC-80D5-6D15604E53CE} - \3904021f-e269-4d64-88b3-1d7db1b5d60f-2 No Task File Task: {71F7CB6A-61D5-4DB7-ADFD-F2314B7E9822} - System32\Tasks\{398B5C92-E1D6-44CC-BFC2-4E48AF8175F4} => Z:\Setup.exe Task: {7345C1B2-39CD-44DD-8BE5-08048774F356} - \1c4fb8c3-4482-4747-aa6c-6a5ce886c1ec-6 No Task File Task: {74E7D659-24CE-43AD-925B-C8C9F588B119} - \3904021f-e269-4d64-88b3-1d7db1b5d60f-1 No Task File Task: {7B6B0442-3AB4-405F-9A26-D4BA8D677553} - System32\Tasks\{01BC9750-462E-4ABE-A7B8-54AD88532321} => Z:\Setup.exe Task: {8286B5E4-95D5-40A7-A39E-AFB2F8ECDD58} - System32\Tasks\{E033DC38-7C64-4DF6-BACC-DA1525358C61} => Z:\Setup.exe Task: {8417B0D2-9302-4BAB-80C4-56E383F51293} - System32\Tasks\{6E84CF2A-DB65-4A8B-AADF-CB062F6F91B2} => Z:\Setup.exe Task: {85BB0B83-7927-45A5-BE3C-4254BB06F690} - \1c4fb8c3-4482-4747-aa6c-6a5ce886c1ec-1 No Task File Task: {8AD2F891-1F12-4910-B4DB-5957CB0CC105} - System32\Tasks\{2461F301-C778-4CBA-BC2E-BE04A7AF28F0} => Z:\Setup.exe Task: {8C8D808E-5730-4BE2-A257-93163A4B7633} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-7 No Task File Task: {931C84EA-843C-4622-97CA-98D594180EF9} - System32\Tasks\{FE9BB53E-0FB5-4B11-AD91-AA9C40198E2B} => Z:\Setup.exe Task: {9FD315FF-990E-4177-ACE2-FA021D99A136} - System32\Tasks\{FC00D634-919C-4416-BEF7-A4E7A4CDA2EA} => Z:\Setup.exe Task: {A1FD9D28-CE13-460A-A4E8-208D27697C60} - System32\Tasks\{84EF8A0E-9AB8-436D-A3CF-502318985BD9} => Z:\Setup.exe Task: {A7642474-56F5-4EF4-8080-0A2EDFE2EBD9} - System32\Tasks\{16630745-80B5-4014-8869-4D49A6E79F84} => C:\Program Files (x86)\Diablo II + Diablo II - Lord of Destruction PL\Diablo II.exe Task: {A9253568-E974-4CA0-A8CD-DF636B306F67} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-1 No Task File Task: {AE932370-E6EB-4507-A4EB-D98128015542} - System32\Tasks\{BEF16A9D-AF9B-44B6-8259-565E2A09C365} => msiexec.exe /package "E:\AMD\AMD_Catalyst_11.12_Win_XP\Packages\Drivers\Display\XP_INF\CX129964.msi" Task: {AEEFB688-246E-406A-A5BD-3E5F34FE6531} - System32\Tasks\{09D3AA2A-93C6-4CFC-9582-C645DEDB8F66} => pcalua.exe -a "E:\Documents and Settings\Admin\Moje dokumenty\Downloads\cstrike.exe" -d "E:\Documents and Settings\Admin\Moje dokumenty\Downloads" Task: {BDB2421E-D82E-4F3B-9A69-9153B1E244C8} - System32\Tasks\{C7C81142-6648-4B34-88E5-104C7ACE5021} => Z:\Setup.exe Task: {C0723157-AB02-4BF0-AF50-C90D4D523440} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-5_user No Task File Task: {D1282B33-9AC3-49B0-B0BD-953610E59E4C} - \1c4fb8c3-4482-4747-aa6c-6a5ce886c1ec-4 No Task File Task: {D4B1FF41-72A1-4104-A741-4880E57C5FA2} - System32\Tasks\{9529DA08-7BEC-44DF-B4C7-7708EEB64C73} => C:\Program Files (x86)\Diablo II + Diablo II - Lord of Destruction PL\Diablo II.exe Task: {D4D469D9-DF7F-4C43-9975-42BD57430B98} - System32\Tasks\{24E607FB-4B41-4C60-8DCB-D38AD9062A8C} => pcalua.exe -a C:\Users\User\Downloads\DQ20zip\setup.exe -d C:\Users\User\Downloads\DQ20zip Task: {D532FEC3-5932-494C-9343-F02C7C4CAD00} - System32\Tasks\{83AB5873-966D-48DA-855B-0D7A897F8259} => Z:\Install\TwoWorlds_RADEON.exe Task: {DA369AFE-340E-498E-9A58-E80690C533EF} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-4 No Task File Task: {DDA20EDE-1BCB-4010-AC6F-62457267E4F5} - System32\Tasks\{6340F2B2-6CC1-4E35-9E64-B23E34E17C43} => Z:\Setup.exe Task: {DDC682B5-F41D-4C37-BDCE-638A2D133833} - \88f9d0a7-0d4d-4e1a-9e5c-3dba1727a592-6 No Task File Task: {DECBA946-C6F3-47A3-B816-48B3480F4D8B} - System32\Tasks\{F0619166-E937-4437-822F-A8A36157DEC3} => pcalua.exe -a C:\Users\User\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=amt Task: {E055F2E3-858A-4134-A821-91EAD34CA4B6} - \3904021f-e269-4d64-88b3-1d7db1b5d60f-4 No Task File Task: {E2F70A87-6CED-4DBB-919D-8484D9FE0636} - System32\Tasks\{2A2A753B-3A1A-4AC0-8358-6AD03866F593} => C:\Program Files (x86)\Rockstar Games\GTA San Andreas\gta_sa.exe Task: {E8553DB5-3FDD-4EAA-93E3-9D144B003B73} - System32\Tasks\{77D8D460-7514-444D-AD26-C99C55CECB42} => pcalua.exe -a "D:\Rasy\Cliff Elf v1.exe" -d D:\Rasy Task: {F16F4E60-184B-4657-8FE3-312216B27780} - System32\Tasks\{37C8921E-42DF-454B-8872-50FAFFC8D5D5} => Z:\Setup.exe Task: {F762360D-F6AE-4D24-B200-4E56B55EB0B4} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe Task: {F77E2C3D-BA6E-4040-8A95-24583F64CE3B} - System32\Tasks\{A447FFE8-3E92-4422-BB72-0929BB7806F1} => Z:\Setup.exe Task: {FBB59B77-E872-47F9-9548-AE40A53D8A63} - System32\Tasks\{AE73BD4F-562F-45CE-ABB9-4FAF74DF65B1} => Z:\Setup.exe Task: {FFEA354A-001F-47BF-9484-5E0E7EA616F7} - System32\Tasks\{F68BC186-E986-4669-9C56-49BAD415067B} => Z:\Setup.exe S2 863788fa; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\goopad\goopad.dll",serv S3 ATICDSDr; \??\C:\Users\User\AppData\Local\Temp\ATICDSDr.sys [X] S3 BT; system32\DRIVERS\btnetdrv.sys [X] S3 BTCOM; system32\DRIVERS\btcomport.sys [X] S3 Btcsrusb; System32\Drivers\btcusb.sys [X] S3 gfiark; system32\drivers\gfiark.sys [X] S3 IvtComBusSrv; System32\Drivers\btcombus.sys [X] S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] S0 szkg5; SySWOW64\drivers\szkg64.sys [X] S3 vserial; System32\DRIVERS\vserial.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X] HKU\S-1-5-21-2122632447-3009132497-1824439013-1000\Software\Classes\.exe: exefile => HKU\S-1-5-21-2122632447-3009132497-1824439013-1000\Software\Classes\exefile: HKU\S-1-5-21-2122632447-3009132497-1824439013-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-2122632447-3009132497-1824439013-1000\...\Run: [Connectify-Installer] => C:\Users\User\AppData\Local\Temp\Connectify\Connectify2015Installer_cnet_.exe [10318768 2015-06-10] (Connectify) Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\M.A-1.20.x.lnk [2015-03-12] ShortcutTarget: M.A-1.20.x.lnk -> C:\ProgramData\{be1d3c5b-0d5f-cc50-be1d-d3c5b0d5f16c}\M.A-1.20.x.exe (No File) ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\User\AppData\Local\MEGAsync\ShellExtX64.dll No File ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\User\AppData\Local\MEGAsync\ShellExtX64.dll No File ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\User\AppData\Local\MEGAsync\ShellExtX64.dll No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\User\AppData\Local\MEGAsync\ShellExtX32.dll No File ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\User\AppData\Local\MEGAsync\ShellExtX32.dll No File ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\User\AppData\Local\MEGAsync\ShellExtX32.dll No File BootExecute: autocheck autochk * sdnclean64.exe CHR HKLM-x32\...\Chrome\Extension: [gbdabnfmdemcjjadpkpjibhhacggangd] - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\novo_price_comparison.crx [Not Found] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKU\.DEFAULT\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2122632447-3009132497-1824439013-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-2122632447-3009132497-1824439013-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-2122632447-3009132497-1824439013-1000\Software\Microsoft\Internet Explorer\Main,Default_search_url = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Toolbar: HKU\S-1-5-21-2122632447-3009132497-1824439013-1000 -> FindWide Toolbar - {0D083146-4631-4BDD-A2A3-FDC7B3D5354D} - C:\Program Files (x86)\TNT2\Profiles\10809\passport64.dll No File FF HKU\S-1-5-21-2122632447-3009132497-1824439013-1000\...\Firefox\Extensions: [{B64D9B05-48E1-4CEB-BF58-E0643994E900}] - C:\Program Files (x86)\Common Files\DVDVideoSoft\plugins\ff HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" Tcpip\..\Interfaces\{D2349193-633D-4ABF-982A-E6AD402640C9}: [NameServer] Tcpip\..\Interfaces\{8A5A9908-3DEA-4BE1-9521-38C604FF680D}: [NameServer] AlternateDataStreams: C:\Windows\System32:{4B9A1497-0817-47C4-9612-D6A1C53ACF57} C:\Program Files (x86)\Smart File Advisor C:\ProgramData\mtbjfghn.xbe C:\ProgramData\{be1d3c5b-0d5f-cc50-be1d-d3c5b0d5f16c} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PaintTool SAI Ver.1.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PhotoStage Slideshow Producer.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Switch Sound File Converter.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VideoPad Video Editor.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\3DO C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AphelionOnline C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audio Related Programs C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Catalyst Control Center C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ColdTurkey C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dll-Files Fixer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free Lunch Design C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GIMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gothic C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GTA San Andreas 107 [AmGaD-SaLaH] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\League of Legends C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Little Fighter 2 version 2.0a C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Little Fighter vDragon Ball Z C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mirillis C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NCH Software Suite C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Catalyst\FIFA 13 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reality Pump\Two Worlds II C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Risen 3 - Titan Lords C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart File Advisor C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sony C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Splashtop Remote C:\ProgramData\Microsoft\Windows\Start Menu\Programs\sXe Injected C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ulead VideoStudio 11 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Video Related Programs C:\ProgramData\STOPzilla! C:\ProgramData\TEMP C:\Users\User\AppData\Local\Microsoft\Windows\GameExplorer\{3B89EC98-3563-4AAF-A26E-D49F77E627CD} C:\Users\User\AppData\Local\Microsoft\Windows\GameExplorer\{B79933BE-4C3D-4639-9C72-DFEB2690E8A8} C:\Users\User\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\User\AppData\Local\updater.log C:\Users\User\AppData\Roaming\appdataFr25.bin C:\Users\User\AppData\Roaming\id.txt C:\Users\User\AppData\Roaming\aqhwflkn C:\Users\User\AppData\Roaming\bixaiuzr C:\Users\User\AppData\Roaming\erlycedq C:\Users\User\AppData\Roaming\iqejovto C:\Users\User\AppData\Roaming\hnojaegz C:\Users\User\AppData\Roaming\kbbdbdzd C:\Users\User\AppData\Roaming\ncppweev C:\Users\User\AppData\Roaming\nufezamc C:\Users\User\AppData\Roaming\ooojrkqq C:\Users\User\AppData\Roaming\osqoelcp C:\Users\User\AppData\Roaming\rljgmiob C:\Users\User\AppData\Roaming\ssqffzfz C:\Users\User\AppData\Roaming\ucasmuhc C:\Users\User\AppData\Roaming\usartyxu C:\Users\User\AppData\Roaming\zbczctrs C:\Users\User\AppData\Roaming\zuaicjnl C:\Users\User\AppData\Roaming\xyitlgco C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Diablo II + Diablo II - Lord of Destruction PL 1.12a.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Audio Related Programs C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DC++ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mirillis C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Modiac MP3 to AVI Audio Converter C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\NCH Software Suite C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Video Related Programs C:\Users\User\AppData\Roaming\TuneUp Software C:\Users\Public\Desktop\ GTA San Andreas 107 [AmGaD-SaLaH].lnk C:\Users\Public\Desktop\Origin.lnk C:\Users\User\Desktop\Cain.lnk C:\Users\User\Documents\Icy Tower.lnk C:\Users\User\Documents\PaintTool SAI Ver.1.lnk C:\Users\User\Documents\My Games\Nowy folder.lnk C:\Users\User\Downloads\*(*)-dp*.exe C:\Users\User\Downloads\SpyHunter-Installer*.exe C:\Users\User\Downloads\SpywareTerminatorSetup.exe C:\Users\User\Downloads\STOPzillaASM_Setup.exe C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\system32\Drivers\kgpcpy.cfg C:\Windows\SysWOW64\Drivers\kgpfr2.cfg DisableService: Mobile Partner. RunOuc DisableService: PLAY ONLINE. RunOuc CMD: netsh advfirewall reset Reg: reg add HKCR\Unknown\shell\openas\command /ve /t REG_EXPAND_SZ /d "%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" /f Reg: reg add HKCR\Unknown\shell\opendlg\command /ve /t REG_EXPAND_SZ /d "%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" /f Reg: reg delete HKCR\Unknown\shell\openas\command /v sfa_backup /f Reg: reg delete HKCR\Unknown\shell\opendlg\command /v sfa_backup /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\808638919.portal.qtrax.com /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{84178AE8-C22D-48CB-A6BA-D116FD3FE469} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SpyHunter /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\HyperCam Toolbar" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MyPublicWiFi" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Optimizer Pro" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Smart File Advisor" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpywareTerminatorShield" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpywareTerminatorUpdater" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan - zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Pytanie dodatkowe - co tu było robione z Internet Explorer? Jest notowany brak jego plików: Shortcut: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (No File) Shortcut: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (No File)

Temat przenoszę do działu Windows. W raportach brak oznak infekcji. Raporty są też bezużyteczne, by ocenić o co chodziło wcześniej, bo oglądany Windows to jest świeża instalacja, brak danych co ładowało się wcześniej. "Odśwież komputer" zrzuca obraz systemu - zeruje cały Windows i wszystkie aplikacje desktopowe (z wyjątkiem tych zintegrowanych z obrazem, tu integracje ASUSowe typu McAfee), portuje tylko aplikacje Modern UI (FRST ich w ogóle nie skanuje) oraz podstawowe ustawienia z poprzedniego setupu (np. typu tapeta).

Wszystko zrobione. Teraz: 1. Usuń używane narzędzia za pomocą DelFix. 2. Zrób skan za pomocą Hitman Pro. Nic nie usuwaj, dostarcz tylko raport co program wykrywa.

Infekcja wstępnie usunięta. Poprawki: 1. W związku z obecnością infekcji bezplikowej typu Poweliks / Xswkit zachodzi podejrzenie, że są zmodyfikowane określone ustawienia przeglądarki IE. Wykonaj reset także i tej przeglądarki: Opcje internetowe > Zaawansowane > Resetuj. 2. Klawisz z flagą Windows + X > Wiersz polecenia (Administrator) > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie: 3. Odinstaluj USBFix. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [DptfPolicyLpmServiceHelper] => C:\WINDOWS\system32\DptfPolicyLpmServiceHelper.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\UsbFix RemoveDirectory: C:\Users\Cezary\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\AutoKMS CMD: netsh advfirewall reset CMD: del /q C:\Users\Cezary\Downloads\adwcleaner*.exe CMD: del /q C:\Users\Cezary\Downloads\UsbFix_2015_7.959.exe CMD: del /q C:\Users\Cezary\Downloads\zf49b930.exe CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Tym razewm nie wchodź do Trybu awaryjnego, lecz wyłącz COMODO na czas akcji z FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Ma nastąpić restart systemu i powstać kolejny fixlog.txt. Przedstaw ten log. PS. Jeśli nikt jeszcze nie odpisał, a chcesz uzupełnić post, stosuj funkcję Edytuj zamiast pisać post pod postem. Dwa posty powyżej skleiłam.

Kolejne poprawki na wpisy szczątkowe / puste (w tym po nieistniejącym Firefox i F-Secure) oraz zdefektowany sterownik SPTD zgłaszający błędy w Dzienniku: System errors: ============= Error: (06/29/2015 06:14:32 PM) (Source: Service Control Manager) (EventID: 7026) (User: ) Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego: sptd Error: (06/29/2015 06:13:30 PM) (Source: sptd) (EventID: 4) (User: ) Description: Sterownik wykrył błąd wewnętrzny w swoich strukturach danych dla . Do wdrożenia: 1. Odinstaluj szczątek Windows Media Player Firefox Plugin. 2. Przywracanie systemu zostało wyłączone (prawdopodobnie przez infekcję): ==================== Restore Points ========================= ATTENTION: System Restore is disabled Wejdź do konfiguracji Przywracania systemu: KLIK. Zaznacz Ochronę dla dysku C. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DisableService: sptd S3 ESETCleanersDriver; C:\Windows\system32\Drivers\ESETCleanersDriver.sys [170280 2015-06-27] (ESET) R1 FSES; C:\Windows\System32\drivers\fses.sys [44496 2009-11-26] (F-Secure Corporation) Task: {2C9E5B6C-DBB5-4C30-AFD6-52E1E1BA201B} - System32\Tasks\{FEC07447-FECD-4798-BFDE-4D2B6E80C793} => pcalua.exe -a "E:\Windows98 Driver\setup.exe" -d "E:\Windows98 Driver" Task: {2D2A657D-2E70-4DE8-BF27-573CEEF5B644} - System32\Tasks\{755C5001-591A-4CEE-A4AC-F7E29DB4206D} => pcalua.exe -a C:\Users\Daria\Desktop\Shockwave_Installer_Slim.exe -d C:\Users\Daria\Desktop Task: {308B6619-5C77-4559-B4E8-1B8D79186A3A} - System32\Tasks\{66BF84A6-3F09-4409-B2E8-5D7A269E9046} => pcalua.exe -a "C:\Users\Daria\Desktop\Nowy folder\setup.EXE" -d "C:\Users\Daria\Desktop\Nowy folder" Task: {3BB17040-A85C-4F9E-AB5B-7154AFCABD5B} - System32\Tasks\{A1ECF8DC-57BB-443F-A209-9C32471889B7} => pcalua.exe -a C:\Windows\IsUn0415.exe -c -f"C:\Program Files (x86)\SuperMemo UX\Courses\Angielski No Problem 3\Uninst.isu" Task: {3E5DAED4-351E-4A47-BD9C-886032F672F0} - System32\Tasks\{BD7C3AB6-A836-4A01-A1D7-B7A0527AAE02} => C:\Program Files (x86)\MATLAB71\bin\win32\MATLAB.exe Task: {671714E5-0553-4E26-A4E3-19BA007E7F96} - System32\Tasks\{EABC7668-1F5D-4634-8D15-C6CD379F2132} => pcalua.exe -a "C:\Program Files (x86)\MATLAB71\uninstall\uninstall.exe" -c C:\Program Files (x86)\MATLAB71\ Task: {6C1A83EB-7520-4462-BF12-A6C9444CC481} - System32\Tasks\{4FDA19A2-4C1B-4B01-9654-B1D0B1299F9A} => pcalua.exe -a C:\Users\Daria\Desktop\securew2_win.exe -d C:\Users\Daria\Desktop Task: {6CA10C05-723B-47B8-9999-3BE55FFCF5E1} - System32\Tasks\{D61306E0-FB69-485C-AB01-4A38723CE090} => pcalua.exe -a "C:\Program Files (x86)\F-Secure\Uninstall\fsuninst.exe" -c /UninstRegKey:"F-Secure Anti-Virus" Task: {B6563DD4-D281-4287-BC77-391C054A5035} - System32\Tasks\RealUpgradeScheduledTaskS-1-5-21-1153746196-1546038390-1762079413-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe HKU\S-1-5-21-1153746196-1546038390-1762079413-1000\...\Run: [iRNeroReboot] => "C:\Users\Daria\Desktop\Nero_BurningROM2015_setup-16.3c_trial.exe" /reboot="1" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\Program Files\ESET C:\ProgramData\AVAST Software C:\ProgramData\ESET C:\ProgramData\Temp C:\Users\Daria\AppData\Local\cache C:\Users\Daria\AppData\Local\Mozilla C:\Users\Daria\AppData\Roaming\Mozilla C:\Users\Daria\AppData\Roaming\TuneUp Software C:\Users\Daria\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\COMODO GeekBuddy.lnk C:\Windows\system32\Drivers\ESETCleanersDriver.sys C:\Windows\system32\Drivers\fses.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ares" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CIS_{81EFDD93-DBBE-415B-BE6E-49B9664E3E82}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\F-Secure Manager" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\F-Secure TNB" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FDPRO-516" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\iLivid" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Iminent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IminentMessenger" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ROC_roc_ssl_v12" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TkBellExe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader" /f Reg: reg query HKLM\System\CurrentControlSet\Services\Eaphost\Methods /s CMD: netsh advfirewall reset CMD: type C:\Windows\system32\Drivers\etc\hosts Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Daria\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Wyczyść Dzienniki zdarzeń: Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator > rozwiń gałąź "Dzienniki systemu Windows" i z prawokliku opróżnij pod-gałęzie Aplikacja, SYSTEM. Zresetuj Windows. 5. Zrób nowy log FRST z opcji Scan - zaznacz Addition, ale nie Shortcut. Dołącz też plik fixlog.txt.

Kilka uwag: - GMER był zablokowany prawdopodobnie przez sterownik buceecol.sys, gdyż po usunięciu pliku ujawniła się już pusta usługa go ładująca (uprzednio całkowicie niewidoczna). - Google Chrome jest obecnie już poprawnie skanowane przez FRST, więc nie wiem o co chodziło z poprzednim wynikiem. - W logu nowe śmieci widać, tzn. liczne preferencje adware w Firefox. Poprzednio profil Firefox również nie był wykrywany. Poprawki: 1. Otwórz Notatnik i wklej w nim: S1 buceecol; \??\C:\Windows\system32\drivers\buceecol.sys [X] HKLM\...\RunOnce: [*EmptyTemp] => cmd /c rd /q/s C:\FRST\Temp C:\Users\DOM\AppData\Local\Temp.dat C:\Users\DOM\AppData\Local\updater.log C:\Users\DOM\AppData\Roaming\DOM.exe D:\Program Files (x86)\MoorHunt v2\Downloads\Avira Antivirus Pro 2015 v15.0.8.624 + Key {B@tman} Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 3. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut), GMER oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. Wypowiedz się czy na pewno po przeprowadzonym tu usuwaniu nadal widoczny spadek wydajności.