picasso

Czyli wszystko w porządku. Na zakończenie, o ile już tego nie zrobiłeś, przez SHIFT+DEL (omija Kosz) skasuj folder C:\FRST z kwarantanną oraz FRST i jego logi. Wyczyść też foldery Przywracania systemu: KLIK. To wszystko.

Jedyne co ja tu widzę, to niedomyślne ustawienia UAC: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 2) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1) Domyślne to: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1) Wejdź do Panelu sterowania do ustawień UAC, przesuń suwak na pozycję domyślną i zatwierdź. Zresetuj system. Podaj czy są zmiany.

Poprawki: 1. Nie został odinstalowany zbędny program HP Customer Participation Program 13.0. 2. W Google Chrome nadal ustawienia startowe adware. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy z wyjątkiem Google. 3. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{1146AC44-2F03-4431-B4FD-889BC837521F}{1678b813} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{1146AC44-2F03-4431-B4FD-889BC837521F}{b2902a13} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{1146AC44-2F03-4431-B4FD-889BC837521F}{c7035300} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{c6a5f59a} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\PCData App HKU\S-1-5-21-2212758980-1354942390-246654559-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Admin\AppData\Local\Akamai\netsession_win.exe" RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\PCDApp RemoveDirectory: C:\Users\Admin\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Admin\Downloads\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. Do wglądu te wątki: KLIK, KLIK.

1. Pomimo użycia RepairDNS nadal w raporcie FRST widać infekcję pliku C:\Windows\SysWOW64\dnsapi.dll. Powtórz operację z RapairDNS i dostarcz wynikowy log RepairDNS.txt. 2. Kolejna operacja do przeprowadzenia przy podpiętych pendrive. Zakładam, że nadal są mapowane pod literami F i H, w przeciwnym wypadku w skrypcie podstaw pasujące litrery. Otwórz Notatnik i wklej w nim: CMD: del /q "F:\Removable Drive (16GB).lnk" CMD: del /q "H:\RYSZARD (8GB).lnk" CMD: attrib /d /s -s -h F:\* CMD: attrib /d /s -s -h H:\* CMD: ipconfig /flushdns RemoveProxy: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\Common Files\McAfee RemoveDirectory: C:\Program Files (x86)\McAfee RemoveDirectory: C:\ProgramData\McAfee Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 3. Jeśli wszystko pójdzie dobrze, na obu pendrivach odkryje się folder "bez nazwy", do którego infekcja przesunęła dane. Wszystko przenieś poziom wyżej, a folder "bez nazwy" skasuj przez SHIFT+DEL (omija Kosz).

1. Wprawdzie zadanie pomyślnie wykonane, ale został wykonany skrypt przed moją edycją. W pierwszej chwili nie zauważyłam Picasy od Google na liście zainstalowanych i mając w zamiarze usunięcie szczątków Google Chrome, załączyłam globalne obiekty Google. Potem się zreflektowałam i poprawiłam ścieżki zawężając do usuwania tylko obiektów Chrome, ale jak widać zrobiłam to za późno. Należy przeinstalować Picasę. 2. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Tylko się upewnię: synchronizacja obejmowała tylko element na dysku, czyli zadanie w Harmonogramie nie odtworzyło się?

To nie wygląda na problem infekcji, temat zostaje przeniesiony do działu Sieci. W kwestii problemu zasadniczego, w raportach brak konkretów, ale upewnij się że problemu nie tworzy po prostu stary pakiet G DATA TOTAL PROTECTION z wbudowanym firewallem. Na próbę program odinstaluj. Jeśli nie przyniesie to rezultatów, dostarcz raporty wymagane działem Sieci: KLIK. PS. W spoilerze drobne działania poboczne (czyszczenie Tempów, reset pliku Hosts i usunięcie drobnych szczątkowych wpisów), nie związane z problemem:

Zabrakło trzeciego obowiązkowego raportu FRST Shortcut.txt. Owszem, problemem m.in. były skróty Chrome ustawione na start przeglądarki z innego profilu wprowadzonego przez adware (ChromeDefaultData2) i ładujące zewnętrzne rozszerzenie: ShortcutWithArgument: C:\Users\boogie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\boogie\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\boogie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7eacadfa43776aec\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData2 Jeden ze skrótów już odpiąłeś, zakładam że to ten ze ścieżki "User Pinned" i go ominę w usuwaniu. Ale są inne problemy widoczne, tzn. nadal aktywne zadanie adware w Harmonogramie oraz polityki oprogramowania blokujące coś w Chrome. Do usunięcia będą też różne szczątki po odinstalowanych programach. Czyli do wykonania następujące działania: 1. Odinstaluj bardzo starą dziurawą wersję Adobe Flash Player 10 ActiveX. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: testsigning: ==> 'testsigning' is set. Check for possible unsigned driver <===== ATTENTION Task: {15ED63B3-C33A-48C0-8D40-DF82716A3FF2} - System32\Tasks\UnregisterNonABICompliantCodeRange => Wscript.exe C:\PROGRA~4\ps3d6lkk\8ux7y.js Task: {1642C0E6-7B9E-4196-B81D-B79E5860E0F8} - System32\Tasks\{E8E6B69C-EE66-44AE-9890-706979C4C9A7} => pcalua.exe -a C:\Users\boogie\Downloads\Programy\TrafficShaper\TrafficShaperXpSetup.exe -d C:\Users\boogie\Downloads\Programy\TrafficShaper Task: {6A97ADB3-D41F-411A-8ED4-26C26DD2F268} - System32\Tasks\Ksation Schedule => C:\Program Files (x86)\Sieyhokesy\placty.exe [2016-09-13] (CHENGDU YIWO Tech Development Co., Ltd) Task: {F119DBC5-7536-41E4-B1A9-CD5B6711E4F8} - System32\Tasks\{A0C267A5-D070-4D3F-94C3-954A246C02EB} => pcalua.exe -a "C:\Program Files (x86)\Sieyhokesy\placty.exe" -c 4921cc4c-65ff-4aba-8595-517060699f5d "/k={6DE5D787-248D-499B-9284-6681D68BA37C}" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\33060297.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\70053003.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\81472886.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\83008810.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\33060297.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\70053003.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\81472886.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\83008810.sys => ""="Driver" HKU\S-1-5-21-3756860874-1814013104-2480899376-1000\...\Run: [Antamedia DBServer AsService] => 0 S2 Citdhwa; "C:\Users\boogie\AppData\Roaming\AzigcWig\Geeswu.exe" -cms [X] S4 qahvpk; no ImagePath S3 ndisahMP; system32\DRIVERS\ndisah.sys [X] S2 nldrv; \??\C:\Program Files\Locktime Software\NetLimiter 4\nldrv.sys [X] S1 rtdiftex; \??\C:\Windows\system32\Drivers\rtdiftex.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] GroupPolicy: Restriction - Chrome <======= ATTENTION ShortcutWithArgument: C:\Users\boogie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdAnti DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Antamedia DBServer DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoogleChromeAutoLaunch_5F5250ADB2CFD375AE8B1D217CB54004 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Overwolf DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RtsFT DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Seviler DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\svchost0 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\win_en_77 DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\win_en_77_is1 DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Antamedia C:\Program Files (x86)\AdAnti C:\Program Files (x86)\9j4t1kht C:\Program Files (x86)\NetPeeker C:\Program Files (x86)\ps3d6lkk C:\Program Files (x86)\sbqh C:\Program Files (x86)\Sieyhokesy C:\Program Files (x86)\SoSoIm_3 C:\Program Files (x86)\SoSoIm_4 C:\Program Files (x86)\SoSoIm_5 C:\Program Files (x86)\SoSoIm_6 C:\Program Files (x86)\Traffic Shaper XP Client C:\Program Files (x86)\Traffic Shaper XP Server C:\Program Files (x86)\win_en_77 C:\Program Files (x86)\WTFast C:\Program Files (x86)\Y2Go C:\ProgramData\zdhvmnqp.xgw C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\Database Server C:\ProgramData\HitmanPro C:\ProgramData\SeriousBit C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Traffic Shaper XP C:\Users\boogie\AppData\Local\uts.ini C:\Users\boogie\AppData\Local\AAA_Internet_Publishing,_ C:\Users\boogie\AppData\Local\Animiprujersp C:\Users\boogie\AppData\Local\Overwolf C:\Users\boogie\AppData\Local\Tempfolder C:\Users\boogie\AppData\Local\THORN C:\Users\boogie\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2 C:\Users\boogie\AppData\LocalLow00000000003B40E8 C:\Users\boogie\AppData\LocalLow00605890 C:\Users\boogie\AppData\LocalLow02F00070 C:\Users\boogie\AppData\LocalLow\Company C:\Users\boogie\AppData\Roaming\GameLauncher C:\Users\boogie\AppData\Roaming\Hemkajdoa C:\Users\boogie\AppData\Roaming\Locktime Software C:\Users\boogie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\boogie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antamedia C:\Users\MSUser.Default C:\Windows\Joberphlusisp C:\Windows\NetPkr.str C:\Windows\system32\wofo C:\Windows\system32\Drivers\nbdrv.sys C:\Windows\SysWOW64\bcevent.dll CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. Dołącz też plik fixlog.txt.

To co opisujesz to jest to co zauważyłam w Shortcut.txt. Otwierasz skróty LNK a nie pliki zasadnicze, a skróty kierują na nieistniejący plik Office: Pytaniem jest: gdzie leżą originalne pliki graficzne JPG, PNG, etc. (a nie skróty LNK do nich).

Folder C:\FRST Cię nie interesuje (służy do innych operacji). Chodzi o folder z którego uruchamiasz pobrany FRST, czyli w tym przypadku katalog Pobrane: Uruchomiony z C:\Users\Łukasz\Downloads

Użyłeś inne narzędzie, tzn. Remediate VBS Worm a nie USBFix. Wróć do opisu.

Tak, trzeba usunąć wszystkie skróty przeglądarek przekierowujące na martwy już HPSewil i resztę odpadków. Nazwy skrótów są w Unicode, to nie są zwykłe nazwy "Opera" etc. Będzie problem z usunięciem aktywnego MPC Cleaner, ale spróbuję jednak najpierw podejścia w Trybie awaryjnym Windows. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 0225591471264939mcinstcleanup; C:\Windows\TEMP\022559~1.EXE [961888 2016-05-16] (McAfee, Inc.) S2 bilyqotezbt; C:\Program Files (x86)\0152F095-1471023076-E411-85C7-F0761C8993C3\knsiC824.tmp [X] R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [350688 2016-08-12] (DotC United Inc) R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-08-13] (DotC United Inc) DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\HPSewil C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk C:\Users\edward\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk C:\Users\edward\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk C:\Users\edward\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ореrа.lnk C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk C:\Users\Public\Desktop\Ореrа.lnk C:\Program Files (x86)\MPC Cleaner C:\Windows\System32\DRIVERS\MPCKpt.sys SearchScopes: HKU\S-1-5-21-2574603618-2478407198-2579358465-1001 -> {C0042433-DA31-4F26-BEF5-066DDE07335C} URL = Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart systemu, opuść Tryb awaryjny. Powstanie kolejny plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Wszystko wykonane. Na koniec: 1. Drobna poprawka na odpadki po SpyHunter. Otwórz Notatnik i wklej w nim: S3 esgiguard; \??\C:\2-click run\SpyHunter v4.22.8.4668\esgiguard.sys [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Lyssa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\1-click run RemoveDirectory: C:\Users\Lyssa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter v4.22.8.4668 RemoveDirectory: C:\Users\Lyssa\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Lyssa\Downloads\FRST-OlderVersion CMD: del /q C:\Users\Lyssa\Downloads\RegHunter-Installer.exe Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

1. Restart jednak nastąpił, gdyż FRST natknął się na zablokowany folder C:\Users\oem\AppData\Roaming\Tlen.pl i próbował go usuwać przy restarcie. To się jednak nie udało. Czy Tlen na pewno był odinstalowany (i nie uruchomiony w procesach) w tamtym momencie? Czy w chwili obecnej da się usunąć ten folder ręcznie? 2. AdwCleaner znalazł sporo śmieci szczątkowych. Zaktualizuj program, uruchom ponownie, wybierz po kolei opccje Skanuj + Oczyść i przedstaw wynikowy log z usuwania.

Na koniec, o ile już tego nie zrobiłeś, zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Dodatkowo, przez SHIFT+DEL (omija Kosz) skasuj z dysku folder C:\MATS utworzony przez narzędzie Microsoftu. Temat rozwiązany. Zamykam.

Problem nadal występuje, gdyż pomiędzy pierwszymi logami a Fix FRST nastąpiła odbudowa adware i pojawił się drugi wpis (nie był widoczny w pierwszych logach). Czyli poprawka: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-735583447-693508571-541323270-1001\...\Run: [Wojtek] => explorer.exe hxxp://kb-ribaki.org <===== UWAGA Task: {CB756BC8-45A8-4AC1-BE16-4D104B46A707} - \SidebarExecute -> Brak pliku <==== UWAGA Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Wojtek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

Poproszę o nowe raporty FRST (FRST.txt + Addition.txt) dokumentujące zmiany.

Fix FRST pomyślnie wykonany, ale skoro katalog się odbudował, to mam pytanie na którym koncie występuje PriceFountain? FRST wykrywa tylko standardowe konta lokalne aktualnie załadowane, a tu definitywnie jest system domenowy, więc nawet nie widzę dokładnie w logu ile kont naprawdę jest, poza enigmatyczną informacją w nagłówku że prawdopodobnie są w obrotach 3 konta: Załadowane profile: b0635940 (Dostępne profile: b0635940 & B0635941 & SM61ZZ) Zrób logi FRST (FRST.txt + Addition.txt) z każdego konta na którym jest problem.

Przeprowadź proces odwrotny, tzn. zacznij włączać partiami (np. od tego samego producenta) wpisy uprzednio zdeaktywowane, aż dojdziesz do tego która z usług stanowi problem.

Temat przenoszę do działu Windows. Brak oznak infekcji. Nasuwa się, by przywrócić stan systemu sprzed ingerencji w sterowniki. Są tu wykryte następujące punkty Przywracania systemu: ==================== Punkty Przywracania systemu ========================= 21-07-2016 20:45:23 Windows Update 03-08-2016 18:15:32 Garmin Express 24-08-2016 22:59:26 Windows Update 04-09-2016 18:52:38 Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.30501 05-09-2016 00:13:40 Windows Update Wybierz odpowiednio "stary".

Brak oznak infekcji. Odinstaluj jednak niepożądane wątpliwe programy FileViewPro i WinThruster, doinstalowane najwyraźniej w celu "rozwiązania" problemu z plikami graficznymi. Opisz o co chodzi, jaki błąd przy otwieraniu plików, na czym polega "zamiana w inny plik" oraz gdzie leżą te pliki (na partycji C czy D i w jakiej konkretnie ścieżce). Jedyne co ja widzę w logu Shortcut.txt, to masowe skróty będące jakoby skrótami do plików graficznych, ale kierujące na nieistniejący plik Office: Shortcut: C:\Users\Tomek\Desktop\hujej\IMG_20151220_185109.lnk -> C:\Program Files\Microsoft Office\Office14\OIS.EXE (Brak pliku) Shortcut: C:\Users\Tomek\Desktop\hujej\IMG_20151220_185136.lnk -> C:\Program Files\Microsoft Office\Office14\OIS.EXE (Brak pliku) Shortcut: C:\Users\Tomek\Desktop\hujej\IMG_20151220_185321.lnk -> C:\Program Files\Microsoft Office\Office14\OIS.EXE (Brak pliku) Shortcut: C:\Users\Tomek\Desktop\hujej\IMG_20151221_170754.lnk -> C:\Program Files\Microsoft Office\Office14\OIS.EXE (Brak pliku) Shortcut: C:\Users\Tomek\Desktop\hujej\IMG_20151221_185758.lnk -> C:\Program Files\Microsoft Office\Office14\OIS.EXE (Brak pliku) Shortcut: C:\Users\Tomek\Desktop\hujej\IMG_20151221_190025.lnk -> C:\Program Files\Microsoft Office\Office14\OIS.EXE (Brak pliku) Shortcut: C:\Users\Tomek\Desktop\hujej\IMG_20151221_210140.lnk -> C:\Program Files\Microsoft Office\Office14\OIS.EXE (Brak pliku) etc. Z raportów nic nie wynika.

Brak oznak infekcji, więc przypuszczalna przyczyna komunikatu to raczej: MBAM wykrył nie powiązany z komunikatem obiekt adware PriceFountain w folderze Temp (przypuszczalnie uruchamiałeś jakiś instalator sponsorowany). Do wykonania poboczne operacje: Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Winlogon\Notify\igfxcui: igfxdev.dll [X] S3 cpuz139; \??\C:\Users\Wonszyna\AppData\Local\Temp\cpuz139\cpuz139_x64.sys [X] FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF C:\Program Files (x86)\Java C:\ProgramData\mntemp C:\Users\Wonszyna\AppData\Local\Google\Chrome EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne. I nie polecam programów-automatów typu Driver Easy.

Konsekwentnie brak oznak infekcji. Nie mam się czym zajmować. Trudno powiedzieć o co chodzi z Pandą, nie blokuje przypadkiem narzędzia Zemana? Zachowanie programu ESET za to normalne. Program ESET jest konsolowy, co oznacza że po uruchomieniu przez dwuklik wykonuje zadanie i samoistnie się zamyka. Należy uruchomić linię komend cmd jako administrator, a w niej wklepać ścieżkę dostępu do ESETHfsReader.exe - wtedy program się nie zamknie. Ale usuwałeś wykryte przez TDSSKiller obiekty, na dodatek zrobiłeś przetasowanie w partycjach i format, więc nie powinien w ogóle wykryć tego ukrytego systemu plików. PS. Drobnostka w Dzienniku zdarzeń: Dziennik Aplikacja: ================== Error: (09/12/2016 06:02:16 PM) (Source: WinMgmt) (EventID: 10) (User: ) Description: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected. Błąd zupełnie nieszkodliwy i nie mający wpływu na wydajność, ale możesz go zlikwidować stosując wytyczne z artykułu microsoftu: KLIK.

Log wskazuje, że nie masz zainstalowanych wszystkich aktualizacji z Windows Update (widać bardzo starą niewspieraną wersję IE8). Uzupełnij wszystkie aktualizacje, powtarzając rundy z wyszukiwaniem aktualizacji aż do zwrotu, że nie wykryto już nic do instalacji. To ważny krok również mający znaczenie w zabezpieczeniach.

Problem jest bardziej złożony, w Windows różne infekcje: infekcja "bezplikowa" wykorzystująca systemowy PowerShell, infekcja DNS (zainfekowany systemowy plik dnsapi.dll) oraz różne drobniejsze odpadki adware. Jeśli chodzi o urządzenia, ten "jakby podfolder" to skrót zrobiony przez infekcję typu Gamarue: KLIK. Działania do przeprowadzenia: 1. Uruchom RepairDNS. Na Pulpicie powstanie log RepairDNS.txt. 2. Deinstalacje: - Przez Panel sterowania odinstaluj stare wersje i zbędne programy: HP Customer Participation Program 13.0, Java 8 Update 60, Java 8 Update 91, McAfee Security Scan Plus. - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń ukryty wpis Metric Collection SDK 35. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-995890878-878726906-1775722255-1000\...\Run: [{7DB9971C-09E8-4266-9645-B5F140A170DF}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\DVEDK').SRAQCMPEcNmejA))); HKU\S-1-5-21-995890878-878726906-1775722255-1000\...\Policies\Explorer: [] HKLM-x32\...\Run: [sunJavaUpdateSched] => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia Task: {165A9219-DD85-4ABE-BD15-4A6955D9E09D} - System32\Tasks\{497BC594-D6E9-4671-9D6C-0753CDF41988} => pcalua.exe -a G:\Setup.exe -d G:\ Task: {54230122-CBDB-471F-8172-60DEA9384649} - System32\Tasks\{C882CD55-E171-4FAF-B61B-EF346A82DE61} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Jayhold\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Jayhold\uninstall.dat" -a uninstallme E3ED8A07-EA72-407A-819E-078CA8A27884 DeviceId=577af0ef-1a8e-e8e8-b4a2-7ef2760ce5a6 BarcodeId=50027003 ChannelId=3 DistributerName=APSnapdoAMRev Task: {55326147-EFE9-42E4-B980-229B278817E4} - System32\Tasks\{C01FB94F-205F-4E3D-9004-4995902E23B4} => pcalua.exe -a C:\Users\Ryszard\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=cor Task: {6A6C2D35-0ECB-4F91-854C-076A5953AD95} - System32\Tasks\{5C1CB5DE-7A7E-4EC4-A5F9-EE44CD25CF15} => pcalua.exe -a C:\Users\Ryszard\AppData\Roaming\yoursearching\UninstallManager.exe -c -ptid=face Task: {6B714865-F609-479C-8F5C-9BDAE27E34B4} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe Task: {7A144258-6B4C-4BF6-99F9-00DB9F893913} - System32\Tasks\Smart Protector Viewer => C:\Program Files (x86)\Smart Protector\sswworker.exe Task: {93A16FB0-29AF-424A-A021-35643F66A26C} - System32\Tasks\{9BA85016-7634-4492-BBBB-E232330FA358} => pcalua.exe -a C:\Users\Ryszard\Downloads\MafiaIIDemo\Setup.exe -d C:\Users\Ryszard\Downloads\MafiaIIDemo Task: {D71EFD69-6734-4770-B92B-4695138F0A71} - System32\Tasks\{D072C5E8-3F8F-4C2E-B246-0559FF528E5D} => pcalua.exe -a C:\Users\Ryszard\Downloads\MafiaIIDemo\SetupLauncher.exe -d C:\Users\Ryszard\Downloads\MafiaIIDemo Task: {E1FB72DB-8669-4355-B84A-21B45DCC8BD8} - System32\Tasks\{8E25D02D-4975-489A-B736-83435D1C4E4F} => pcalua.exe -a D:\Autorun.exe -d D:\ Task: {E38F9A3D-17B7-4B3B-978B-EC2C8EA0A6CC} - System32\Tasks\Tuswutr => C:\PROGRA~1\GROOVE~1\Jetsy.bat Task: {FEED8E2F-3F05-49BE-B051-89E4811DB57D} - System32\Tasks\{517BBFDD-A6EF-4167-BB51-D98C98456345} => pcalua.exe -a C:\Users\Ryszard\Desktop\KSIĄŻKI\gta_iv_eflc_crack_by_nehm.exe -d C:\Users\Ryszard\Desktop\KSIĄŻKI S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-02-18] () S0 irjup; System32\drivers\pyga.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] FF Plugin HKU\S-1-5-21-995890878-878726906-1775722255-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKU\S-1-5-21-995890878-878726906-1775722255-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank SearchScopes: HKLM-x32 -> DefaultScope {20B9D1AE-AD1A-38B4-87FE-AF278DA9861D} URL = SearchScopes: HKU\S-1-5-21-995890878-878726906-1775722255-1000 -> DefaultScope {20B9D1AE-AD1A-38B4-87FE-AF278DA9861D} URL = DeleteKey: HKCU\Software\Classes\DVEDK DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\McComponentHostService DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ares DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Skype DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo C:\Program Files (x86)\Google\Chrome\Application\7515b657f8993a63ede6b511ba964675_2 C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\msrzdf.exe C:\ProgramData\mntemp C:\ProgramData\Softland C:\ProgramData\Microsoft\Windows\Start Menu\Programs\50 FREE MP3s +1 Free Audiobook!.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\L.A. Noire C:\Users\Ryszard\AppData\Local\Chromium C:\Users\Ryszard\AppData\Local\WinSweeper C:\Users\Ryszard\AppData\Roaming\agent.dat C:\Users\Ryszard\AppData\Roaming\Installer.dat C:\Users\Ryszard\AppData\Roaming\Main.dat C:\Users\Ryszard\AppData\Roaming\Softland C:\Users\Ryszard\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Ryszard\Desktop\Nowy folder (2)\L.A. Noire.lnk C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\System32\Drivers\EsgScanner.sys C:\Windows\System32\Tasks\Lenovo CMD: ipconfig /flushdns CMD: netsh advfirewall reset Zip: C:\ProgramData\Microsoft\Windows\GameExplorer\{30B53CBD-507E-47DC-8C90-6E1073D6BC9A}\SupportTasks Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Dostarcz następujące materiały: - Zrób nowe logi: FRST z opcji Skanuj (Scan), bez Addition i Shortcut, oraz USBFix z opcji Listing zrobiony przy podpiętym pendrive. - Dołącz pliki fixlog.txt i RepairDNS.txt. - Na Pulpicie powstanie też plik Upload.zip - shostuj go gdzieś i podaj link do niego.