picasso

Podawałam: Ten punkt nie wygląda na wykonany, w logu FRST nadal Redjane jako domyślna przeglądarka: Internet Explorer Wersja 11 (Domyślna przeglądarka: "C:\Program Files (x86)\Redjane\Application\chrome.exe" "%1") Wykonaj rekonfigurację. To zmienia odczyty w rejestrze i poprzednie wyszukiwanie jest nieaktualne, więc należy po tej akcji wykonać nowy log:

Skoro BSOD się już nie powtarza, to na razie nie ma czym się zajmować. Jak mówiłam, dostarczone wcześniej pliki DMP wskazywały sterownik nVidia jako przyczynę, a sterowniki były aktualizowane właśnie w przedziale wystąpienia pierwszych problemów. Co do raportów FRST, to w momencie rozwiązywania określonego problemu nadrzędnego nie komentuję rzeczy nieistotnych z punktu widzenia tego problemu. W raportach nie ma nic ciekawego. W spoilerze usuwanie drobnych wpisów szczątkowych + zaległe wpisy z innego tematu (sztucznie dodane klucze nie istniejące domyślnie w konfiguracji SafeBoot + folder wyłączonego Administratora którego zawartość zmanipulowano).

Nic tu nie wskazuje na problem infekcji, pomijam lewe programy wyliczane poniżej które doinstalowałeś w celu "rozwiązania" problemów. Czy przed wystąpieniem objawów było coś szczególnego wykonywane (instalacja, zmiana opcji, czyszczenie rejestru, etc.)? Z raportów trudno coś wywnioskować... Jedyne co się rzuca w oczy, to błędy w Dzienniku zdarzeń typu "Zestaw kluczy nie jest zdefiniowany": System errors: ============= Error: (09/20/2016 04:52:13 PM) (Source: DCOM) (EventID: 10010) (User: ) Description: Serwer {FCC74B77-EC3E-4DD8-A80B-008A702075A9} nie zarejestrował się w modelu DCOM w wymaganym czasie. Error: (09/20/2016 04:44:54 PM) (Source: DCOM) (EventID: 10010) (User: ) Description: Serwer {6028EEB8-6D2B-4D62-A101-C03407994679} nie zarejestrował się w modelu DCOM w wymaganym czasie. Error: (09/20/2016 04:44:24 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa VCService zakończyła działanie; wystąpił następujący błąd: Zestaw kluczy nie jest zdefiniowany. Error: (09/20/2016 04:41:26 PM) (Source: WMPNetworkSvc) (EventID: 14325) (User: ) Description: Nie można poprawnie uruchomić usługi „WMPNetworkSvc”, ponieważ funkcja QueryService napotkała błąd „0x80070002”. W programie Windows Media Player wyłącz udostępnianie multimediów, a następnie włącz je z powrotem. Error: (09/20/2016 04:40:01 PM) (Source: DCOM) (EventID: 10010) (User: ) Description: Serwer {CB45D4CA-8A34-4EF1-9957-6134E5270E83} nie zarejestrował się w modelu DCOM w wymaganym czasie. Error: (09/20/2016 04:39:52 PM) (Source: DCOM) (EventID: 10010) (User: ) Description: Serwer {06622D85-6856-4460-8DE1-A81921B41C4B} nie zarejestrował się w modelu DCOM w wymaganym czasie. Error: (09/20/2016 04:39:46 PM) (Source: DCOM) (EventID: 10010) (User: ) Description: Serwer {CB45D4CA-8A34-4EF1-9957-6134E5270E83} nie zarejestrował się w modelu DCOM w wymaganym czasie. Error: (09/20/2016 04:39:29 PM) (Source: WMPNetworkSvc) (EventID: 14325) (User: ) Description: Nie można poprawnie uruchomić usługi „WMPNetworkSvc”, ponieważ funkcja QueryService napotkała błąd „0x80070002”. W programie Windows Media Player wyłącz udostępnianie multimediów, a następnie włącz je z powrotem. Error: (09/20/2016 04:39:21 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa VAIO Event Service zakończyła działanie; wystąpił następujący błąd: Zestaw kluczy nie jest zdefiniowany. Error: (09/20/2016 04:39:21 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Skype Updater zakończyła działanie; wystąpił następujący błąd: Zestaw kluczy nie jest zdefiniowany. Nic mi to nie mówi. Pytaniem jest czy problemy występują w Trybie awaryjnym? - SpyHunter to program-naciągacz, którego cel to właśnie skłonienie do zakupu pełnej wersji. Użycie wersji crackowanej nie zmienia stanu rzeczy. I jeszcze mógł zaszkodzić, są znane przypadki wdrażania przez niego błędnych procedur, prowadzących nawet do niestartującego Windows. Jest tu nie do ustalenia co zrobił w systemie i czy wyniki były prawdziwe. Należy się go pozbyć. Jak sądzę, deinstalacja w normalny sposób niemożliwa (w Dzienniku zdarzeń błędy DCOM związane z appwiz.cpl). Skorzystaj więc ze SpyHunterCleaner. - Kolejny gagatek to WinThruster, który notabene jest flagowany przez FRST jako niepożądany, usuwa go też ... AdwCleaner.

Komunikat "Wykryto atak z preparowaniem pakietów dla pamięci podręcznej ARP" nie świadczy o niczym szczególnym. Do wglądu artykuł ESET: ARP, ICMP or DNS Cache Poisoning Attack in ESET home products for Windows

DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. To wszystko.

Log z FRST usuwam (zbędny i to nie jest log z producedury którą zadałam). Proszę ponów próbę - opcja Napraw a nie Skanuj.

Jak to nie wykrył zagrożeń? W logu dużo szczątków adware (sekcja Potential Unwanted Programs), także Cookies oraz kopie FRST (to się nie liczy). Wszystko usuń za pomocą programu, w tym kopie FRST bo są zbędne. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Fix pomyślnie wykonany. Jeszcze na wszelki wypadek zrób skan w Hitman Pro. Jeśli wykryje coś innego niż FRST64.exe (to fałszywy alarm), przedstaw raport. Popatrz na listę programów tutaj: KLIK. Przykładowo z darmowych programów blokujących instalacje adware/PUP to Unchecky, z komercyjnych pełna wersja MBAM czy Emsisoft. Antywirusy jako takie słabo adresują temat zagrożeń adware/PUP.

Wszystko pomyślnie wykonane. Ostatni skrypt do FRST. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: del /q C:\WINDOWS\system32\Drivers\RegDeleteEx.sys CMD: ipconfig /flushdns CMD: netsh advfirewall reset Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

W systemie działa fałszywy klon Chrome (pod nazwą Redjane) z wbudowanym adware. Przeglądarka ustawiła się jako domyślna. Przy okazji będą usuwane odpadkowe wpisy po aktualizacji Windows 7 do Windows 10 i inne szczątki. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 22 NPAPI, Adobe Flash Player 22 PPAPI, Bonjour, Driver Cleaner 3, QuickTime 7, Safari, Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables (obie wersje Visual to pozostałości po AVG). Archaiczny Driver Cleaner 3 nie nadaje się do czyszczenia nowych systemów! 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Edge HomeButtonPage: HKU\S-1-5-21-978019282-1476024836-731519584-1000 -> hxxp://www.mylucky123.com/?type=hp&ts=1474269048&z=a09746c7fce9d60f7a6dc9fg8zdmbz8o9qft3efc8o&from=wpm0616&uid=KINGSTONXSV300S37A120G_50026B7243020B50 IE Session Restore: HKU\S-1-5-21-978019282-1476024836-731519584-1000 -> [funkcja włączona] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-978019282-1476024836-731519584-1000\Software\Microsoft\Internet Explorer\Main,Start Page = BHO-x32: Brak nazwy -> {451C804F-C205-4F03-B48E-537EC94937BF} -> Brak pliku Handler: WSWSVCUchrome - {1CA93FF0-A218-44F1 - Brak pliku FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [brak pliku] FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [brak pliku] FF SearchPlugin: C:\Users\Tom\AppData\Roaming\Mozilla\Firefox\Profiles\420ri4xj.default\searchplugins\mylucky123.xml [2016-09-19] FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [WSVCU@Wondershare.com] - C:\ProgramData\Wondershare\Video Converter Ultimate\WSVCU@Wondershare.com_xpi => nie znaleziono HKU\S-1-5-21-978019282-1476024836-731519584-1000\...\StartupApproved\Run: => "CCleaner Monitoring" Winlogon\Notify\igfxcui: igfxdev.dll [X] S1 epp; \??\C:\PROGRAM FILES\EMSISOFT ANTI-MALWARE\epp.sys [X] U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath Task: {084AF03E-2203-4351-AD9B-C34F0A6FAC99} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {11A26448-F69D-4327-A88A-7A0E4D003DBA} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {19EC22CB-C77C-4E00-B517-32F428EEE7FA} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {23CB528A-A95A-40EC-8F33-FD6F2EB92BAD} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {256F7707-786F-4781-A772-419E96F19273} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {27346C8E-DAA2-40BE-8EDA-1783BBEDC6E9} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {291AD335-EFEF-418D-9BA1-1219D4EC9756} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {2BF3327C-51B9-4F39-A002-98DF26BAF0FE} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {32A9FAC5-5157-4E74-869E-1F98752B1A02} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {34AB52D4-FC9D-486E-9DF7-D4BA71D23CA6} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {3B76A5A3-4585-474D-8179-57401FC83087} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {3E7C9BEA-1A66-4113-B3D3-B92F2861088D} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {3F429424-2283-4E0E-98AF-32A0240ACCAD} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {45C49177-0961-4B18-ABA7-2CBF065E69D0} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {4FFE269F-488C-4E1D-9F9D-87299A338D00} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {52760BF6-2D0B-4D46-B5D1-04861247A425} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {55F6AA25-BE92-4C90-84E6-61F886F2A5CE} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {5688BD57-89A5-470D-AFC0-4DCA0F1CB406} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {56A9EDA3-824E-4448-9C54-9CFDF76490F3} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {5D8EA6F9-51C8-4C13-AC5C-A5B86768A590} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {5E0C581B-CB57-4E02-9505-4E30EC5F5636} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {65768EED-4632-481B-B3AA-E1544BC59495} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {701B9286-B085-42AC-BCE9-52B7A2FFD205} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {73F00040-E07C-4DBC-BDB2-0A1D871C34C5} - System32\Tasks\{0276DAFE-B685-48B2-9A3A-99485BB8A92D} => pcalua.exe -a "C:\Program Files (x86)\ImTOO\iTransfer Platinum\Uninstall.exe" Task: {801660E4-939E-4EFA-B243-F89E7E7891DD} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {825C4EDE-744D-4580-9A37-C2AD0B145C13} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {85CF6B71-E070-4054-91C6-3163AC51A1A6} - System32\Tasks\RedjaneUpdateTaskMachineUA => C:\Program Files (x86)\Redjane\Update\RedjaneUpdate.exe Task: {A2AC961C-A250-4536-8946-C9460749E79C} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {A835C9C1-E81A-408C-98A5-07021BDC523C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {A8F11448-B307-468B-ACAA-8C1951D5EA4D} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {B7D949A8-6816-43CA-99EC-FC5E48C78709} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {B9262193-D09D-4801-AF98-B5DD221594F5} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {B971968B-B49A-4D27-B365-CCF9359B9DFC} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {BB7A2D39-FC51-4DFC-B3BF-008C38D8C1B0} - System32\Tasks\{CA87736E-D881-44C0-B90E-8606C9865166} => pcalua.exe -a "D:\itb dokumenty\system\pagedefrag\pagedfrg.exe" -d "D:\itb dokumenty\system\pagedefrag" Task: {C80FB711-E580-4298-971E-C41CBF4923D4} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {CAFC199F-6763-4F72-AE6D-1946DB76CB2A} - System32\Tasks\RedjaneUpdateTaskMachineCore => C:\Program Files (x86)\Redjane\Update\RedjaneUpdate.exe Task: {EDBDBB58-E789-4D9B-8C32-5DF6EAADB843} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {EF367365-3BDA-499A-91B5-AA4DB38CF9D4} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {FCCCF7F1-D190-4B33-B5A7-DD0ED25E1E73} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {FE555014-28CA-40B8-9CDC-C6E323758C08} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f C:\Program Files (x86)\Redjane C:\ProgramData\mzemgkrx.fuc C:\ProgramData\corss C:\ProgramData\Emsisoft C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\SendTo\TeamViewer.lnk C:\Users\Tom\AppData\Local\Redjane C:\Users\Tom\AppData\LocalLow\DefaultCompany C:\Users\Tom\AppData\Roaming\DVDVideoSoft C:\Users\Tom\AppData\Roaming\Eusing C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Tom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft Beta C:\Users\Tom\Documents\Corel\Próbki CorelDRAW X7\target.lnk C:\Users\Tom\Downloads\6338.tmp C:\Users\Public\Documents\report.dat C:\Users\Public\Documents\temp.dat C:\Windows\ehome C:\Windows\System32\Tasks\Microsoft\Windows\Media Center C:\WINDOWS\SysWOW64\data.bin CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Ustaw wybraną przeglądarkę jako domyślną, by zlikwidować skojarzenia z Redjane. 4. Zrób nowe logi FRST: - Standardowy z opcji Skanuj (Scan), z zaznaczonym polem Addition ale już bez Shortcut. - Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. Redjane;chrome.exe Dołącz też plik fixlog.txt.

Wszystko zrobione. Drobne poprawki: 1. Ponów skan AdwCleaner, by się upewnić że nic nie wykrywa. 2. Otwórz Notatnik i wklej w nim: S2 mfeicfcoreocp; C:\Program Files\McAfeeEx\MOCP\core\mfeicfcore.exe [X] DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{EF79C448-6946-4D71-8134-03407888C054} RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Piotr Chmielewski\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2 RemoveDirectory: C:\Users\Piotr Chmielewski\AppData\Local\Google\Chrome\User Data\System Profile Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

Czyli wszystko OK. W procesach (już były sprawdzane w logach FRST) nic podejrzanego. W instrukcji było napisane, by zmienić nazwę raportu Hitman z *.log na *.txt, by wszedł w załączniki. Prawie nic nie wykrył, kopie FRST w Tymczasowych plikach internetowych (to fałszywy alarm) oraz jeden drobny śmieć w rejestrze. Wszystko usuń za pomocą programu. Hitman jako taki możesz usunąć z dysku lub zostawić na przyszłość do ewentualnych skanów na żądanie. Do wglądu ogólna lista oprogramowania: KLIK. Wygląda na to, że skończyliśmy. Skasuj też z dysku plik raportu C:\delfix.txt.

Co konkretnie masz na myśli? Na czym polega niedziałanie Chrome? A w skrypcie FRST były usuwane zmanipulowane przez infekcję skróty Chrome i IE. Czy Ty aby nie mylisz zaniku skrótów z zanikiem całej przeglądarki IE? Przeglądarka jest w systemie (wykryta w nagłówku FRST). Te skróty i tak mają podrzędne znaczenie, bo na Windows 10 IE jest właśnie domyślnie "schowany", główną przeglądarką jest Edge a nie IE. MPC Cleaner nie usunął się. Musimy go załatwić z poziomu środowiska zewnętrznego RE. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: S2 MPCProtectService; "C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe" [X] R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-09-06] (DotC United Inc) C:\Program Files (x86)\MPC Cleaner C:\WINDOWS\system32\Drivers\MPCKpt.sys Plik zapisz pod nazwą fixlist.txt. Plik ten razem z FRST64.exe umieść na pendrive. 2. Uruchom FRST z poziomu środowiska zewnętrznego: KLIK. W FRST klik w Napraw (Fix). Na pendrive powstanie plik fixlog.txt. 3. Zaloguj się z powrotem do Windows i zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Wszystko zrobione. 1. W skanie FRST nie został wykryty profil Opery, prawdopodobnie dlatego że masz przekierowane niektóre ścieżki na inne dyski. Czy w Operze nie ma nic podejrzanego w ustawieniach i zainstalowanych rozszerzeniach? 2. Zastosuj DelFix, w celu usunięcia FRST i AdwCleaner. 3. Na wszelki wypadek zrób skan za pomocą Hitman Pro. Jeśli coś wykryje, przedstaw wynikowy log.

Kolejne poprawki: 1. Zawartość Registry.pol pobrana w Fixlog wskazuje, że są nadal aktywne polityki blokujące wykluczenia Windows Defender. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions C:\WINDOWS\system32\GroupPolicy\gpt.ini C:\WINDOWS\system32\GroupPolicy\Adm C:\WINDOWS\system32\GroupPolicy\Machine C:\WINDOWS\system32\GroupPolicy\User Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Powinien nastąpić automatyczny restart. Jeśli jednak nie, wymuś go ręcznie (konieczne, by wdrożyć reset GPO). Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner ponownie, tym razem dobierz sekwencję opcji Skanuj + Oczyść. Przedstaw wynikowy log zczyszczenia.

Temat założony w niewłaściwym dziale. Przenoszę do diagnostyki infekcji. Komunikat jest bowiem pochodną infekcji. Dostarcz obowiązkowe logi: KLIK.

Poprzednie musiały być usunięte ze wszystkich miejsc, gdyż to nie były już oryginalne skróty Opera, tylko zmanipulowane przez adware. Niestety musisz je odtworzyć ręcznie. PS. Apropos "Panowie", ja jestem akurat płci żeńskiej. Działania w większości wykonane. Poprawki: 1. Avast zablokował reset własnego pliku exclusions.ini. Musisz ręcznie usunąć wszystkie dodane przez adware wyjątki z poziomu interfejsu Avast. 2. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\DPower_is1 S2 MaohaWifiSvr; C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe [X] S1 MaohaWifiNetPro; \??\C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaoHaWiFiNet64.sys [X] S0 szkg5; SySWOW64\drivers\szkg64.sys [X] Task: {809D2E50-9D92-4C99-8F23-348CDF7ACF94} - System32\Tasks\{C1A5690D-E8E5-4410-87D1-0BA48C90DDF7} => pcalua.exe -a "C:\Program Files (x86)\DPower\uninstaller.exe" FirewallRules: [{9411D6C6-CCDD-4CCE-8BC7-871B68EF521C}] => (Allow) C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe C:\ProgramData\STOPzilla! C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{EBEE7053-62C4-E01D-76FF-B729A2589E40}-Download Download.lnk C:\Users\RozzyJames\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MaohaWiFi.lnk C:\WINDOWS\system32\config\software.szfi C:\WINDOWS\system32\Drivers\kgpcpy.cfg CMD: type C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

W podanych działaniach nie było żadnej operacji, która mogłaby wpłynąć na zanik tego komunikatu. Nasuwa się raczej zmiana w IP. PC: Usuń ręcznie pobrany FRST i jego logi. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. LAPTOP: Rzeczywiście, nie widzę tego już na liście zainstalowanych. Na wszelki wypadek dołączę jednak klucz deinstalacji oraz ten folder. 1. Drobny skrypt na śmieci odpadkowe po deinstalacjach. Operacja z poziomu konta Iza. Otwórz Notatnik i wklej w nim: URLSearchHook: HKU\S-1-5-21-966588509-143319652-2419219573-1006 - Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - Brak pliku BHO: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku BHO: IEPluginBHO Class -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> C:\Documents and Settings\Iza\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll [2009-07-27] (GG Network S.A.) Toolbar: HKLM - Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku Toolbar: HKU\S-1-5-21-966588509-143319652-2419219573-1006 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1006_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\DOCUME~1\Iza\Pulpit\BESTPL~1.EXE => Brak pliku CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1006_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1006_Classes\CLSID\{31261F21-2B16-45EE-BEAB-07C4CFA18B65}\InprocServer32 -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1006_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1006_Classes\CLSID\{BB6410D8-F879-4184-9C5C-6A02D16AE0B3}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1006_Classes\CLSID\{CA1073A2-5F3F-4445-8E5E-7109BDCEDDBE}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1006_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-966588509-143319652-2419219573-1006_Classes\CLSID\{D5A55D2D-C59D-42C3-A5BF-4C08EEE74339}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku DPF: {31435657-9980-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll [Brak pliku] FF Plugin HKU\S-1-5-21-966588509-143319652-2419219573-1006: pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll [Brak pliku] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{18D10072035C4515918F7E37EAFAACFC} S4 sptd; System32\Drivers\sptd.sys [X] S3 SymIM; system32\DRIVERS\SymIM.sys [X] S3 SymIMMP; system32\DRIVERS\SymIM.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\LuUninstall.LiveUpdate C:\Documents and Settings\Iza\Dane aplikacji\Nowe Gadu-Gadu C:\Documents and Settings\Iza\Ustawienia lokalne\Dane aplikacji\Install.exe C:\Program Files\Common Files\Onet.pl CMD: netsh firewall reset Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Zaprezentuj wynikowy fixlog.txt. 2. Na wszelki wypadek przełącz się z powrotem na konto Czesiek i dostarcz FRST.txt + Addition.txt.

Skrypt pomyślnie wykonany. Zastosuj DelFix, następnie wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Mówiłeś: Chodziło mi więc o pokazanie tej informacji (przekopiowanie z dziennika skanów lub zrzut ekranu).

Owszem, masa niepożądanych obiektów adware/PUP aktywnie działających, w tym infekcja WMI infekująca skróty przeglądarek. Czy na pewno? Jedną z ostatnich akcji było doinstalowanie Avast. Jeśli w systemie Windows 10 pojawia się zewnętrzny antywirus, Windows Defender jest automatycznie deaktywowany i to normalne działanie mające zapobiec kolizji. Natomiast to co na pewno malware zrobiło, to samoistne wykluczenie się ze skanów Windows Defender, Avast, AVG i Avira. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj DPower version 1.0 (adware) oraz STOPzilla AntiMalware (skaner wątpliwej reputacji). W przypadku błędów kontynuuj dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 AdAnti; C:\Program Files (x86)\AdAnti\driver\x64\AdAnti.sys [114896 2016-09-10] () R1 MaohaWifiNetPro; C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaoHaWiFiNet64.sys [871152 2015-10-27] () R2 CkasotyshanuchControls; C:\Program Files (x86)\Prucutstky_\shhcch.dll [315392 2016-09-20] () [brak podpisu cyfrowego] R2 MaohaWifiSvr; C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe [170464 2014-12-18] (猫哈网络 版权所有) R2 Undp33; M:\Program Files\Undp\Undp3\Undp33.exe [193028 2016-09-20] () [brak podpisu cyfrowego] R2 Undp55; M:\Program Files\Undp\Undp5\Undp55.exe [193028 2016-09-20] () [brak podpisu cyfrowego] R2 Undp66; M:\Program Files\Undp\Undp6\Undp66.exe [193028 2016-09-20] () [brak podpisu cyfrowego] S0 is3srv; SySWOW64\drivers\is3srv64.sys [X] HKLM-x32\...\Run: [AdAnti] => C:\Program Files (x86)\AdAnti\AdAnti.exe [2504640 2016-09-14] () HKLM-x32\...\Run: [DiskPower] => C:\Program Files (x86)\DPower\DiskPower.exe [210432 2016-07-21] () HKLM\...\RunOnce: [OTUTPRODUCT_W7ZOS] => C:\Program Files (x86)\mpck\o_network.exe [287232 2016-09-20] (4XL) HKLM\...\RunOnce: [OMEWPRODUCT_BH2FO] => C:\Program Files (x86)\DPower\wemoshow.exe [290816 2016-09-20] (4XL) HKU\S-1-5-21-2170958554-1536813273-2872571073-1001\...\Run: [00WZGX7JDK] => C:\Program Files (x86)\DPower\9PVN12UK5U.exe [369664 2016-09-20] () Task: {18954CCF-A7FD-45D3-948E-6369C1A7DA52} - System32\Tasks\Ckasotyshanuch Controls => C:\Program Files (x86)\Prucutstky\crent.exe [2016-09-20] (CHENGDU YIWO Tech Development Co., Ltd) Task: {543AAFCA-8BD9-49A4-A562-7363D391D92E} - System32\Tasks\Berlletherserle Server => C:\Program Files (x86)\Plumly\ghiwodom.exe [2016-09-20] (VideoLAN) Task: {762DE7AA-77A5-428F-89C5-0837916680F5} - System32\Tasks\svchost => C:\Users\ROZZYJ~1\AppData\Local\Temp\is-EUEQE.tmp\51490.exe Task: {7AD8AE1D-3F00-415B-B311-62A80260110B} - System32\Tasks\CreateExplorerShellUnelevatedTask => /NOUACCHECK Task: {D0AD8016-022A-45C9-B033-F019894FDC02} - System32\Tasks\{C9429FE8-44BC-43CE-BC3A-CCCF782062DD} => pcalua.exe -a "C:\Program Files (x86)\DPower\uninstaller.exe" HKU\S-1-5-21-2170958554-1536813273-2872571073-1001\Software\Classes\exefile: HKU\S-1-5-21-2170958554-1536813273-2872571073-1001\Software\Classes\.exe: exefile => FirewallRules: [{9C4D98D9-7992-4CE2-BB9E-7E138948D446}] => (Allow) C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe WMI_ActiveScriptEventConsumer_ASEC: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2170958554-1536813273-2872571073-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins M:\Program Files\Undp C:\Program Files\SpaceSoundPro C:\Program Files (x86)\776wvx3o C:\Program Files (x86)\7t8iawri C:\Program Files (x86)\AdAnti C:\Program Files (x86)\badb4yrj C:\Program Files (x86)\DPower C:\Program Files (x86)\e3wpinat C:\Program Files (x86)\EasyHotspot C:\Program Files (x86)\host C:\Program Files (x86)\GreatMaker C:\Program Files (x86)\mpck C:\Program Files (x86)\sunnyday C:\Program Files (x86)\Plumly C:\Program Files (x86)\Prucutstky C:\Program Files (x86)\Prucutstky_ C:\Program Files (x86)\sbqh C:\Program Files (x86)\SPnP3 C:\Program Files (x86)\SPnP4 C:\Program Files (x86)\SPnP5 C:\Program Files (x86)\SPnP6 C:\Program Files (x86)\tsrhnlxr C:\Program Files (x86)\u72bgqw1 C:\ProgramData\AVAST Software\Avast\exclusions.ini C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\Thunder Network C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MaohaWiFi C:\Users\RozzyJames\AppData\Local\Calerdompluwise C:\Users\RozzyJames\AppData\Local\Lopuwardpleripy C:\Users\RozzyJames\AppData\Roaming\Microsoft\Windows\Start Menu\净广大师 C:\Users\RozzyJames\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ореrа.lnk C:\Users\Public\Thunder Network C:\Users\Public\Desktop\Ореrа.lnk Folder: C:\WINDOWS\system32\GroupPolicy Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers /s Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txtumieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W skrypcie zostały usunięte wszystkie skróty Opera zawierające substytuty Unicode w nazwach. Odtwórz wszystkie skróty ręcznie. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut (poprzednio zabrakło tego trzeciego pliku). Dołącz też plik fixlog.txt.

+ z Twojego poprzedniego tematu: Na chwilę obecną nasuwają mi się tylko sterowniki grafiki jako przyczyna. W Firefox 48 zaimplementowano chyba kolejne zmiany w obsłudze grafiki, a tolerancja dla starszych rozwiązań jest coraz mniejsza. Nie wiem. Czy próbowałeś KIS bez przywracania poprzednich wyeksportowanych ustawień? Czy do KIS po reinstalacji zostały dodane ewentualne patche z aktualizacji? Poza tym, czy próbowałeś najnowszą edycję 2017? Nic więcej nie wymyślę.

Sprawdź czy nastąpią zmiany po tej manipulacji: about:config > wyszukaj gfx.font_rendering.directwrite.force-enabled i przestaw na true > przeładuj Firefox. I problemem mogą być po prostu sterowniki grafiki. W raporcie FRST te dane nie są widoczne, więc nie wiadomo jakie sterowniki i jak bardzo stare.

Tu jest jeden dysk fizyczny, przeniesienie pliku wymiany na dalszą partycję może odbić się na wydajności. Ta operacja miałaby większy sens, gdyby był dostępny drugi bardzo szybki dysk.

MPC Cleaner już zdewastowany w dużej części, ale to nie jedyny problem. Jest tu także infekcja DNS (ustawione rosyjskie adresy IP) oraz infekcja WMI i skrótów. Operacje do wdrożenia: 1. Sugeruję deinstalację YTD Video Downloader 5.1.1 (instalatory sponsorowane przez adware). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Tcpip\..\Interfaces\{94a3c708-b67c-4a8a-a520-2a927c10945a}: [NameServer] 188.120.239.115,8.8.8.8 WMI_ActiveScriptEventConsumer_ASEC: GroupPolicy: Ograniczenia - Chrome ShortcutWithArgument: C:\Users\MaTii\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\MaTii\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\MaTii\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc CHR DefaultSearchURL: Default -> hxxp://sc-downloader.com/?utm_source=cws-addon CHR DefaultSearchKeyword: Default -> lp CHR Session Restore: Default -> [funkcja włączona] FF Plugin: @iqiyi.com/npWebPlayer -> C:\IQIYI Video\LStyle\npWebPlayer.dll [brak pliku] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1436825657&z=ca3dbf97e090f4f1187b6e7g3z8ccqab0ofw3q6z9w&from=obw&uid=KINGSTONXSM2280S3120G_50026B7255002482&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1436825657&z=ca3dbf97e090f4f1187b6e7g3z8ccqab0ofw3q6z9w&from=obw&uid=KINGSTONXSM2280S3120G_50026B7255002482&q={searchTerms} HKU\S-1-5-21-122393886-2402834969-4264950312-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617912&ResetID=131182763146670752&GUID=BA938CF2-7B82-4DA2-8DC6-0E843CB1F8A6 SearchScopes: HKU\S-1-5-21-122393886-2402834969-4264950312-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-122393886-2402834969-4264950312-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-122393886-2402834969-4264950312-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=obw&utm_campaign=install_ie&utm_content=ds&from=obw&uid=KINGSTONXSM2280S3120G_50026B7255002482&ts=1436825672&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-122393886-2402834969-4264950312-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=obw&utm_campaign=install_ie&utm_content=ds&from=obw&uid=KINGSTONXSM2280S3120G_50026B7255002482&ts=1436825672&type=default&q={searchTerms} R1 {699bd245-8d10-4e76-8ffa-df6cfdf0e2bc}Gw64; C:\Windows\System32\drivers\{699bd245-8d10-4e76-8ffa-df6cfdf0e2bc}Gw64.sys [48784 2015-07-13] (StdLib) R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-09-06] () [brak podpisu cyfrowego] R2 WsAppService; C:\Program Files (x86)\Wondershare\WAF\2.2.4.1\WsAppService.exe [417792 2016-07-12] (Wondershare) [brak podpisu cyfrowego] S3 dbx; system32\DRIVERS\dbx.sys [X] S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S2 MPCProtectService; "C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe" [X] S3 WsDrvInst; "C:\Program Files (x86)\Wondershare\Dr.Fone for Android\DriverInstall.exe" [X] Task: {2B1BEFF4-F03B-45E1-98BB-5AC2422683B7} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {3D830C81-1DCB-4356-9C02-1D2DADEE7FA7} - System32\Tasks\{BE01AE9E-FE9F-49D6-A500-A9107FEBF637} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\core\PDApp.exe" -c --appletID="DWA_UI" --appletVersion="2.0" --mode="Uninstall" --mediaSignature="{793C2BF7-A4FE-4608-91C9-9282C5801C21}" Task: {464A9C76-72A1-4F6B-A44D-1CA539E95AC1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {588F3A9E-BBC4-4C09-A04F-5B3A16E73E6A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {869D9A8D-737D-490B-9EB5-8DC2EFD2B97C} - \CCleanerSkipUAC -> Brak pliku Task: {9DDD24DB-C30B-4EBD-ACFC-C47A908D4B97} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {B1DA4348-C111-4CE9-B7D5-28C756B12836} - \Bidaily Synchronize Task[973b] -> Brak pliku Task: {C54A051F-7BDE-4241-A365-734BB47DEBE4} - System32\Tasks\Perotainghernerry System => C:\Program Files (x86)\Kazushsicty\shehuch.exe Task: {C89CBA81-177C-4546-91F8-06ECE914D94E} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {CE8B7790-821A-44CD-9D84-BFEE0E9C9B18} - System32\Tasks\Cjaythituther Core => C:\Program Files (x86)\Shoqeent\cjycrLiterpyprwch.exe Task: {CEAAAD92-4C70-4C4E-96A8-C6B9FEDAB731} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {D6B307DD-F784-49DD-8EE8-519279478097} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {DB6176F2-99F8-4A17-907B-162D963D3710} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {EC1E7DF8-2E29-433A-8F04-85FB93412781} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {EDC201D7-61E5-4695-BB10-85933C9F0279} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {FD55AA12-0616-41A2-945B-1139F3AE078D} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: C:\WINDOWS\Tasks\Bidaily Synchronize Task[973b].job => c:\programdata\{4fdce565-d225-1a2f-4fdc-ce565d229597}\setup_product_27839.exe Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe HKLM-x32\...\Run: [] => [X] HKLM\...\StartupApproved\Run: => "AdobeAAMUpdater-1.0" HKU\S-1-5-21-122393886-2402834969-4264950312-1001\...\StartupApproved\Run: => "EADM" HKU\S-1-5-21-122393886-2402834969-4264950312-1001\...\StartupApproved\Run: => "AirDroid 3" HKU\S-1-5-21-122393886-2402834969-4264950312-1001\...\StartupApproved\Run: => "MailStylerWarmup" FirewallRules: [{61ACB03D-D3EB-4EAF-B55C-0B335EF8BBAB}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer.exe FirewallRules: [{54DA602D-4D06-4575-921C-66C5C0236DE5}] => (Allow) C:\Users\MaTii\AppData\Local\Temp\7zS7ACA\HPDiagnosticCoreUI.exe FirewallRules: [{CB878BC1-B4E1-496E-9C96-E81C80B50767}] => (Allow) C:\Users\MaTii\AppData\Local\Temp\7zS7ACA\HPDiagnosticCoreUI.exe FirewallRules: [{1A62BBBB-E291-46E7-B65F-91D4F8867BEC}] => (Allow) C:\Users\MaTii\AppData\Roaming\IQIYI Video\GeePlayer\GpUpdate.exe FirewallRules: [{086263FF-7441-400A-A686-B5CECC6E103B}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer\2.1.20.1931\GeePlayer.exe FirewallRules: [{D1DFB400-51C4-4F4D-9D4C-6564327B75C4}] => (Allow) C:\Users\MaTii\AppData\Roaming\IQIYI Video\GeePlayer\GpUpdate.exe FirewallRules: [{145C7443-E946-4E9B-B656-E00E99D41778}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer\2.1.20.1931\GeePlayer.exe FirewallRules: [{2836A2DD-0D9F-4870-8286-BB7F26330A10}] => (Allow) C:\Users\MaTii\AppData\Local\Temp\MPCOnline\MPCDownload.exe FirewallRules: [{85A265A0-7995-4689-BB3F-819FCAC6C0DA}] => (Allow) C:\Users\MaTii\AppData\Local\Temp\MPCOnline\MPCDownload.exe FirewallRules: [{FD264E4A-8DF8-4D83-94C9-7AD808E5201E}] => (Allow) C:\Users\MaTii\AppData\Local\Temp\00025266\inst_buychannel_37.exe FirewallRules: [{12F18B45-AC30-4D6F-AD4B-6669B9E56441}] => (Allow) C:\Users\MaTii\AppData\Local\Temp\00025266\inst_buychannel_37.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths C:\Program Files (x86)\{516D9F5A-D8E3-485A-838A-AE688ED07E5C} C:\Program Files (x86)\DrFoneAndroid_Temp C:\Program Files (x86)\KMSPico 10.0.6 C:\Program Files (x86)\MPC Cleaner C:\Program Files (x86)\sbqh C:\Program Files (x86)\Shoqeent C:\Program Files (x86)\Wondershare C:\ProgramData\mntemp C:\ProgramData\rxsmznjf.zcp C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\Wondershare C:\ProgramData\wsr C:\ProgramData\Microsoft\Windows\Start Menu.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\InsERT C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk C:\Users\MaTii\.android C:\Users\MaTii\AppData\Local\{65EE4718-B44C-4891-91B7-8CA860D4CA38} C:\Users\MaTii\AppData\Local\Kabeghtjerpoing C:\Users\MaTii\AppData\Roaming\09ED6CC2-1436825761-3449-A18F-2C316B87DAF5 C:\Users\MaTii\AppData\Roaming\ClassicShell C:\Users\MaTii\AppData\Roaming\GameLauncher C:\Users\MaTii\AppData\Roaming\HMYGSetting C:\Users\MaTii\AppData\Roaming\Wondershare C:\Users\MaTii\AppData\Roaming\IObit\Advanced SystemCare V7 C:\Users\MaTii\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk C:\Users\MaTii\AppData\Roaming\Microsoft\Windows\SendTo\MPC Desktop.lnk C:\Users\MaTii\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Ехрlоrеr.lnk C:\Users\MaTii\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome C:\Users\MaTii\AppData\Roaming\Microsoft\Word\cv-katarzyna-jozefiak305442872836301973\cv-katarzyna-jozefiak.docx.lnk C:\Users\MaTii\Desktop\Zarządzanie Sklepem\Kasiarz GT.lnk C:\Users\MaTii\Desktop\Zarządzanie Sklepem\Novitus wgrywanie grafiki i animacji.lnk C:\Users\MaTii\Desktop\Zarządzanie Sklepem\Sello.lnk C:\Windows\System32\drivers\{699bd245-8d10-4e76-8ffa-df6cfdf0e2bc}Gw64.sys C:\WINDOWS\System32\drivers\MPCKpt.sys C:\WINDOWS\system32\Drivers\RegDeleteEx.sys C:\WINDOWS\SysWOW64\dllhost.exe.config Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows *. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. * Tryb awaryjny Windows 10: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > wybierz Tryb awaryjny. 3. Zresetuj ustawienia przeglądarek: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.