picasso

Wszystkie wyliczone to poprawne procesy: ==================== Procesy (filtrowane) ================= () C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe (Zemana Ltd.) C:\Program Files (x86)\Zemana AntiMalware\ZAM.exe (Hewlett-Packard Development Company, L.P.) C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe () C:\Program Files (x86)\Hewlett-Packard\Shared\HpqToaster.exe W raportach brak oznak czynnej infekcji, tylko mikro odpadki na dysku. Do wykonania poboczne działania: 1. Odinstaluj stare niebezpieczne wersje, zbędny program HP i składnik odinstalowanego pakietu Windows Live: Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Shockwave Player, Formant ActiveX programu Windows Live Mesh odpowiedzialny za obsługę połączeń zdalnych, HP Customer Participation Program 13.0, Java 7 Update 75 (64-bit). Druga sprawa, był tu deinstalowany pakiet Windows Live, ale deinstalacja niekompletna. Skorzystaj z narzędzia Program Install and Uninstall Troubleshooter, by usunąć poniżej zakreślone ukryte wpisy: Galeria fotografii usługi Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Mesh Runtime (x32 Version: 15.4.5722.2 - Microsoft Corporation) Hidden Poczta usługi Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Podstawowe programy Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Pomocnik Messenger (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\HP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Skrypt kosmetyczny usuwający szczątkowe wpisy i czyszczący Tempy. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {95E90794-F6B4-4566-BF5E-DBDC3F782315} - System32\Tasks\Hewlett-Packard\HP Assistant\HP Total Care Tune-Up => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPTuneUp.exe Task: {F813EBC5-18C0-49C4-B74F-00F2C8997EEF} - \ReimageUpdater -> Brak pliku <==== UWAGA R2 ezSharedSvc; C:\Windows\SysWOW64\ezsvc7.dll [129584 2009-02-22] (EasyBits Sofware AS) [Brak podpisu cyfrowego] S3 lmimirr; system32\DRIVERS\lmimirr.sys [X] S3 massfilter_lte; system32\DRIVERS\massfilter_LTE.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X] S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X] R1 ZAM_Guard; \??\C:\Windows\System32\drivers\zamguard64.sys [X] S3 zgdcat; system32\DRIVERS\zgdcat.sys [X] S3 zgdcdiag; system32\DRIVERS\zgdcdiag.sys [X] S3 zgdcmdm; system32\DRIVERS\zgdcmdm.sys [X] S3 zgdcnet; system32\DRIVERS\zgdcnet.sys [X] S3 zgdcnmea; system32\DRIVERS\zgdcnmea.sys [X] HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-369731840-4170033666-3729031613-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> ShellExecuteHooks: - {6710C780-E20E-4C49-A87D-321850ED3D7C} - Brak pliku [ ] BHO-x32: Brak nazwy -> {9FDDE16B-836F-4806-AB1F-1455CBEFF289} -> Brak pliku Toolbar: HKU\S-1-5-21-369731840-4170033666-3729031613-1000 -> Brak nazwy - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - Brak pliku Toolbar: HKU\S-1-5-21-369731840-4170033666-3729031613-1000 -> Brak nazwy - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - Brak pliku BHO: Windows Live ID Sign-in Helper -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2010-09-21] (Microsoft Corp.) BHO-x32: Pomocnik logowania za pomocą identyfikatora Windows Live -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2010-09-21] (Microsoft Corp.) Handler: livecall - Brak wartości CLSID Handler: msnim - Brak wartości CLSID Handler: wlmailhtml - Brak wartości CLSID Handler: wlpg - Brak wartości CLSID CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA CHR HKU\S-1-5-21-369731840-4170033666-3729031613-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fffcjibagikpbcgeadlbbpobdcchhjfh] - C:\Users\HP\AppData\Local\Temp\CT3316226.crx <nie znaleziono> CHR HKLM-x32\...\Chrome\Extension: [oaocmnfllndpbbmjmniielgaanaifehp] - hxxps://clients2.google.com/service/update2/crx FF Plugin-x32: @microsoft.com/WLPG,version=15.4.3502.0922 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll [Brak pliku] FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-369731840-4170033666-3729031613-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files (x86)\update-MKKE.bat C:\Program Files (x86)\visit-www.nosteam.ro.html C:\Program Files (x86)\mpck C:\Program Files\Common Files\Microsoft Shared\Windows Live C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live C:\ProgramData\Avg C:\ProgramData\LogMeIn C:\ProgramData\mntemp C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\FreeCell.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Hearts.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java Development Kit C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Solitaire.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Live Messenger.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Live Movie Maker.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Live Photo Gallery.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Live C:\Users\HP\AppData\Local\{5BDC6F40-72AD-4D78-93B6-6C2A77D0401D} C:\Users\HP\AppData\Local\app C:\Users\HP\AppData\Local\deoentderzgeserasp C:\Users\HP\AppData\Local\AvgSetupLog C:\Users\HP\AppData\Local\Zemana C:\Users\HP\AppData\Local\Google\Chrome\User Data\Profile 1 C:\Users\HP\AppData\Local\Microsoft\Windows\GameExplorer\{E83C0669-8E92-4C70-9D7C-22B3FA57421E} C:\Users\HP\AppData\Local\Microsoft\Windows\GameExplorer\{BEE25826-B11E-4A7F-AA2A-4894A616446C} C:\Users\HP\AppData\Local\Microsoft\Windows\GameExplorer\{70AD5F63-68D5-41FB-9DA6-98FD3EB9BDC6} C:\Users\HP\AppData\Local\Microsoft\Windows\GameExplorer\{5241B8DC-C319-4AA3-94F8-CCA76001A1D6} C:\Users\HP\AppData\Roaming\*.* C:\Users\HP\Desktop\GRY\Age of Empires II - The Age of Kings PL\Age of Empires II - The Age of Kings PL\Age of Empires 2\Support\*.lnk C:\Windows\Reimage.ini C:\Windows\ZAM_Guard.krnl.trace C:\Windows\ZAM.krnl.trace C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\ezsvc7.dll Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Problemem było szkodliwe proxy ustawione w Windows, które zostało usunięte za pomocą MBAM. Reinstalacja Chrome, która jakoby pomogła, to musiał być przypadek, bo Chrome nie ma własnych ustawień proxy i korzysta z tych skonfigurowanych w Windows. W podanych tu raportach obecnie nie widać żadnych oznak infekcji. Do wykonania tylko poboczne działania: 1. W Firefox i Google Chrome zamień uBlock (nierozwijany fork) na uBlock Origin. 2. Drobny skrypt kosmetyczny usuwający puste wpisy i czyszczący tempy. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {628BB5EB-E277-48F0-BC16-455183F015FD} - System32\Tasks\{79F90E25-64A4-4CF0-90F9-A79D02DC3EF1} => pcalua.exe -a "D:\Program Files (x86)\Gry\Ubisoft\Heroes of Might and Magic V\bin\UpgradeLauncher.exe" -d "D:\Program Files (x86)\Gry\Ubisoft\Heroes of Might and Magic V\bin" Task: {9A660762-5A70-42ED-942B-894D9923D77A} - System32\Tasks\{5F07E727-1C12-4ADC-B902-2C4F9EB4F50F} => pcalua.exe -a "D:\Program Files (x86)\Gry\Ubisoft\Heroes of Might and Magic V - Dzikie Hordy\bin\UpgradeLauncher.exe" -d "D:\Program Files (x86)\Gry\Ubisoft\Heroes of Might and Magic V - Dzikie Hordy\bin" Task: {9EA345AF-126A-499B-8400-85E58B347C12} - System32\Tasks\{E8C6E559-6F1D-45EF-8BAB-6A2A2B33578A} => pcalua.exe -a "D:\Program Files (x86)\Gry\Ubisoft\Heroes of Might and Magic V\bina1\UpgradeLauncher.exe" -d "D:\Program Files (x86)\Gry\Ubisoft\Heroes of Might and Magic V\bina1" Task: {AFF31AFE-8D36-47DB-833E-55E9CB46366B} - System32\Tasks\e-pity2015a_kwiecien => C:\Program Files (x86)\e-file\e-pity2015\Assets\signxml.exe Task: {C4198C8B-D192-4E1D-9B14-7EDFB4817E36} - System32\Tasks\e-pity2015a_styczen => C:\Program Files (x86)\e-file\e-pity2015\Assets\signxml.exe Task: {C593138B-3A0D-412B-99F7-25418A3DEEE0} - System32\Tasks\{71BE1978-9EEF-438B-B877-E33E496FF0C3} => pcalua.exe -a "D:\Program Files (x86)\Gry\Heroes of Might and Magic V ver. 1.6\bina1\H5_Game.exe" -d "D:\Program Files (x86)\Gry\Heroes of Might and Magic V ver. 1.6\bina1" Task: {D195CC6E-AF93-4852-8C08-78C2D481382B} - System32\Tasks\{EA2CCD0C-AFA7-4533-B01B-D693728F01D8} => pcalua.exe -a "D:\Program Files (x86)\Gry\Heroes of Might and Magic V Dzikie Hordy.old\bin\H5_Game.exe" -d "D:\Program Files (x86)\Gry\Heroes of Might and Magic V Dzikie Hordy.old\bin" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-665292603-3306122162-886866675-1006\Control Panel\Desktop\\SCRNSAVE.EXE -> FF HKLM-x32\...\Firefox\Extensions: [quickprint@hp.com] - C:\Program Files (x86)\Hewlett-Packard\SmartPrint\QPExtension CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 RemoveDirectory: C:\ProgramData\tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Jako log FRST.txt podałeś zawartość raportu GMER. Uzupełnij brakujący log. Nie ma danych co wykrył Avast, ale skutki usunięcia tajemniczego obiektu mogą świadczyć, że był to fałszywy alarm i Avast usunął jakiś kluczowy plik Windows. Czekam jeszcze na główny plik FRST.txt, ale póki co w reszcie raportów brak oznak infekcji.

Jaki był komunikat w oknie PowerShell? Czy diagnostyk Menu Start nadal twierdzi to samo?

W raportach nie widać żadnych oznak infekcji, ale wykonaj działania poboczne: 1. Odinstaluj stare wersje Acrobat.com, Adobe AIR, Adobe Flash Player 21 ActiveX, Adobe Flash Player 21 NPAPI, Adobe Reader 9, Java 8 Update 77 oraz program wątpliwej reputacji Spyware Terminator 2015. 2. Usuń puste wpisy wtyczek w Google Chrome poprzez reset cache: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 dtlitescsibus; C:\Windows\System32\DRIVERS\dtlitescsibus.sys [30264 2015-11-13] (Disc Soft Ltd) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S4 NVHDA; system32\drivers\nvhda64v.sys [X] S4 nvlddmkm; system32\DRIVERS\nvlddmkm.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" BootExecute: autocheck autochk * GroupPolicyScripts-x32: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1789897332-3693317233-3652865675-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-1789897332-3693317233-3652865675-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeFlashPlayerUpdateSvc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Disc Soft Lite Bus Service DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\HiPatchService DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite Automount DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Dawidos\AppData\Local\{19E14926-8B2B-43B9-828C-C2872D94452B} C:\Users\Dawidos\AppData\Local\file__0.localstorage C:\Users\Dawidos\AppData\Local\Chromium C:\Users\Dawidos\Downloads\pcmechanicpm.exe C:\Users\Dawidos\Downloads\SpywareTerminatorSetup.exe C:\Windows\System32\Drivers\dtlitescsibus.sys C:\Windows\SysWOW64\91207717.sys cmd: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

W raportach widać owszem izraelskie adresy IP ustawione w wartościach NameServer (DNS strony Windows) i DhcpNameServer (DNS strony routera), tylko nie wiadomo czy to interfejsy nadal aktywne, logi FRST były robione podczas braku połączenia z internetem. Wstępnie usunę te wpisy na poziomie rejestru, ale jeśli router jest rzeczywiście zainfekowany, to nie pomoże i trzeba będzie przeprowadzić inny rodzaj czyszczenia. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{16A88122-A6CD-464D-A9F0-09ACD838E7B2}: [NameServer] 82.163.143.171 82.163.142.173 Tcpip\..\Interfaces\{921EA7F4-6DE0-466C-9E36-24BCB09F7481}: [DhcpNameServer] 82.163.143.171 HKLM\...\Run: [] => [X] S3 MBAMSwissArmy; \??\C:\windows\system32\drivers\MBAMSwissArmy.sys [X] Task: {B5A81B00-B0A4-4D5F-9325-3ABB9425680E} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-06-03] (AVAST Software) Task: {E493D2B0-4101-4303-800A-5555066572EF} - System32\Tasks\{E9DB6DFC-515C-465F-93B6-7620309544EF} => Firefox.exe hxxp://ui.skype.com/ui/0/7.2.59.103/pl/abandoninstall?page=tsMain DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku Toolbar: HKU\S-1-5-21-142685641-1434691135-2110308453-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku HKU\S-1-5-21-142685641-1434691135-2110308453-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki CHR HomePage: Default -> hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki CHR StartupUrls: Default -> "hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TOSHIBA\Rejestracja gwarancji firmy Toshiba.lnk C:\Users\User\Desktop\Wszystko\tali\chrzciny Marysi\SAM_1137 — skrót.lnk C:\Users\User\Downloads\ReimageRepair.exe C:\windows\system32\Drivers\aswsp.sys.146730414592002 RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\Common Files\AV\avast! Antivirus RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\Malwarebytes RemoveDirectory: C:\Users\User\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\System32\Tasks\AVAST Software CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Podłącz internet. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

Działania do przeprowadzenia: 1. Odinstaluj zbędny Bing Bar. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {12A798CD-1EC9-4C1C-A17C-5CA771B620B6} - System32\Tasks\{75B23389-F256-4B6F-A8F7-82D9622D4D05} => pcalua.exe -a C:\Users\Mateusz\Desktop\wog\WoG_Install\Install.exe -d C:\Users\Mateusz\Desktop\wog\WoG_Install Task: {97777994-5FD0-4FD4-AF72-3F96901A7E87} - System32\Tasks\Mateusz => /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Mateusz /t REG_SZ /d "explorer.exe hxxp://kb-ribaki.org" HKU\S-1-5-21-1698314851-326736941-3311299484-1000\...\Run: [Mateusz] => explorer.exe hxxp://kb-ribaki.org FF Plugin HKU\S-1-5-21-1698314851-326736941-3311299484-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

Czy obecnie występują jakieś konkretne problemy i widoczne przekierowania? W raportach nie widać żadnych aktywnych oznak infekcji adware/PUP. Czyli na razie do wykonania tylko mini skrypt kosmetyczny pod kątem wpisów odpadkowych i czyszczenia tempów. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [FAStartup] => [X] S4 sptd2; System32\Drivers\sptd2.sys [X] DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\KVRT_Data RemoveDirectory: C:\Program Files (x86)\Gadu-Gadu RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\{BE2ACE5C-32B7-4777-9BDF-ECF87CDAB705} RemoveDirectory: C:\ProgramData\{FD6F83C0-EC70-4581-8361-C70CD1AA4B98} RemoveDirectory: C:\Users\Bartlomiej\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\Bartlomiej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\KISS Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Advanced SystemCare 9" /f CMD: del /q C:\Users\Bartlomiej\Desktop\ReiEditAA2.lnk CMD: del /q C:\Users\Bartlomiej\Desktop\カスタムメイド3D2.lnk CMD: type C:\Windows\System32\Tasks\CreateExplorerShellUnelevatedTask EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Problemem jest infekcja WMI, która w określonych przedziałach czasowych modyfikuje skróty wszystkich przeglądarek. Korekcja skrótów nie będzie więc trwała, dopóki nie zostanie usunięty skrypt osadzony we WMI. Prócz tego są też odpadki po chińskich niechcianych instalacjach. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj podejrzany program Online-IO. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Alchemy Studio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\ALCHEM~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://navsmart.info ShortcutWithArgument: C:\Users\Alchemy Studio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://navsmart.info ShortcutWithArgument: C:\Users\Alchemy Studio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\ALCHEM~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://navsmart.info ShortcutWithArgument: C:\Users\Alchemy Studio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://navsmart.info ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\ALCHEM~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://navsmart.info ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://navsmart.info R2 KuaiZipDrive; C:\WINDOWS\system32\drivers\KuaiZipDrive.sys [92872 2016-07-30] (WinMount International Inc) R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-07-21] (Huorong Borui (Beijing) Technology Co., Ltd.) U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath Task: {083F776B-B52A-41F6-9F00-C8501118D8E1} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {28D7820A-3BA2-40E9-858E-3046295A2E42} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {4A85E4C6-5ADD-438F-A5E6-1C987C645B43} - System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan => C:\Program Files\Microsoft Security Client\MpCmdRun.exe Task: {4BA9140F-42E4-4F14-BA6D-388F9FB4EF99} - System32\Tasks\b2929b72a96a471893ecaa9c51368bae => C:\Program Files (x86)\2j7E0C1\rzxE0E0.bat [2016-07-30] () Task: {4FA8FCEF-08B1-4712-B3BA-015DD64EA06D} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {513F3584-ADA5-4CAA-9023-46FD458BF356} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {51917499-61A4-4502-860A-273061CB7DBA} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {590993D8-F37F-4D1D-961E-6A7B944DE1FC} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {66D23134-FD89-4C2C-A068-174D24C48A4B} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {712ECAE7-8F98-4CA8-A5BE-E360BDF7617F} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {846EB02C-7843-4EAB-B3BE-C9B0896BB6E2} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {A4F538AB-607F-4751-B4BC-7A7FFD5E75A4} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {AE9A6890-9B4E-4076-A0D5-37FE2A648B35} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {B09769FD-BE7C-43A0-B543-693E70B4F42A} - System32\Tasks\OnlineIO => C:\Program Files\Online-IO\Online.exe [2016-07-21] (Microleaves Ltd) Task: {B177628C-A214-4573-8E0A-A16D5E620E8E} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {B36517B9-236D-48CE-83AC-0945D4CE0C64} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {B8274553-1CB6-4815-86B7-FC471B135DD1} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {C41F8D10-A628-4977-8DB7-EF10E6245E63} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {D2275ECE-A658-44D5-818F-5EDADCE47708} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {D7524836-BB8A-459E-9A4A-6FF769339B19} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {D7D2BA5A-4F25-4769-B565-F0DC553FAAAD} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {DA21479E-7A0C-4C24-B5B6-37816C69D021} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {E0E2E97A-1D02-4A97-AA7F-4DBEA3CF8900} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {E3172048-92D9-472B-B44D-E20BE3C9C99D} - System32\Tasks\Phujitythase Engine => C:\Program Files (x86)\Shuqogeclaale_\Phujitythaseengplb.exe Task: {E6A5DFA9-ED0B-421F-9E86-CCB5E254B41D} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: {E8CC4162-4C8A-4271-8017-78C97707E2FD} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {F44713AD-1E53-4A61-8336-BE94BE6BB97B} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {FBF98844-1063-4AE1-8737-CDF2F150EB21} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2016-07-30] () HKU\S-1-5-21-2538737369-596069251-4272499049-1000\...\Run: [sidebar] => C:\Program Files\Windows Sidebar\sidebar.exe /autoRun HKU\S-1-5-21-2538737369-596069251-4272499049-1000\...\Run: [osmsg] => C:\ProgramData\WindowsMsg\osmsg.exe /AUTORUN HKU\S-1-5-21-2538737369-596069251-4272499049-1000\...\MountPoints2: {a3d1e2af-3105-11e4-9913-806e6f6e6963} - "G:\incs4o.EXE" GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center C:\Program Files\Online-IO C:\Program Files\żěŃą C:\Program Files (x86)\2j7E0C1 C:\ProgramData\WindowsMsg C:\Users\Alchemy Studio\AppData\Local\app C:\Users\Alchemy Studio\AppData\Local\guquentligolysergeph C:\Users\Alchemy Studio\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk C:\Users\Alchemy Studio\AppData\Local\UCBrowser C:\Users\Alchemy Studio\AppData\Roaming\*.* C:\Users\Alchemy Studio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MaohaWiFi.lnk C:\Users\Alchemy Studio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk C:\Users\Alchemy Studio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacja Wyświetl mój ekran\Przykładowy plik konfiguracyjny.lnk C:\Windows\ehome C:\WINDOWS\system32\drivers\KuaiZipDrive.sys C:\WINDOWS\system32\drivers\ucguard.sys C:\WINDOWS\system32\Drivers\etc\hp.bak C:\Windows\system32\Tasks\Microsoft\Windows\Media Center Folder: C:\Users\Alchemy Studio\AppData\Local\Apps\2.0 Zip: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Native Instruments\Service Center\Native Instruments Homepage.lnk CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt. Na Pulpicie powstanie też plik Upload.zip, shostuj go gdzieś i podaj link do paczki.

Ten proces o którym mówisz to podróbka Realtek, uruchamia się via Harmonogram z folderu ... Avast: Task: {E30BE303-0ECD-48AC-881F-8D574C73610A} - System32\Tasks\Realtek HD Audio => C:\Users\Fig\AppData\Roaming\AVAST Software\Realtek HD\rthdcpl.exe [2016-07-23] (Realtek) 2016-07-23 21:07 - 2016-07-23 21:07 - 00279955 _____ () C:\Users\Fig\AppData\Roaming\AVAST Software\Realtek HD\libidn-11.dll 2016-07-23 21:07 - 2016-07-23 21:07 - 00113166 _____ () C:\Users\Fig\AppData\Roaming\AVAST Software\Realtek HD\zlib1.dll Konstrukcja wpisu i objawy sugerują typ Bitcoin miner. Przypuszczalna droga nabycia to jakiś crack. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {E30BE303-0ECD-48AC-881F-8D574C73610A} - System32\Tasks\Realtek HD Audio => C:\Users\Fig\AppData\Roaming\AVAST Software\Realtek HD\rthdcpl.exe [2016-07-23] (Realtek) S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] S3 EverestDriver; \??\F:\Potrzebne\Instalki\Programy\ewerest\kerneld.amd64 [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-21-1636404970-671201596-126257068-1000\...\MountPoints2: {f7e90b9f-a1b7-11e5-9a82-f0795990e8cb} - K:\Startme.exe HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Temp Folder: C:\Users\Fig\AppData\Roaming\AVAST Software C:\Users\Fig\AppData\Roaming\AVAST Software\Realtek HD C:\Windows\SysWOW64\*.tmp Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Owszem, ucguard jest widoczny, ale zacinanie może mieć związek z tym, że zainstalowałeś Kaspersky, podczas gdy w systemie działa niepoprawnie i pozornie odinstalowany McAfee. Działania do przeprowadzenia: 1. Zastosuj McAfee Consumer Product Removal Tool. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-07-04] (Huorong Borui (Beijing) Technology Co., Ltd.) S1 mdzojgae; \??\C:\WINDOWS\system32\drivers\mdzojgae.sys [X] Task: {199D7CF9-7F7A-453D-AE3D-405D03BFFEED} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {26F49C7C-B692-4B81-80F9-88AF1176BE74} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {2C18C91E-FF74-49DF-A941-579E326C5469} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {3ADE4205-98F0-4B45-AB16-D5FA533B8579} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {4006BFA1-A18F-4760-A728-DCA20E053FD4} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: {534E37E7-2245-4E70-A8DA-26A0C9A18323} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {65C4FABC-6D4F-4105-A4FE-717F21A43C45} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {6A276A9F-FC2F-440A-8524-3B54D3BC433D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {81E97E4C-51FE-4253-818B-55BFF6D2CD24} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {85EDF810-7958-47E6-B125-BC7471F17657} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {975A2AB5-CEB4-4B4A-87FA-1FC7C414F750} - System32\Tasks\Chromium => C:\Users\AUCHAN~1\AppData\Local\Chromium\APPLIC~1\440238~1.0\INSTAL~1\UNINST~1.EXE Task: {A9E80FA1-E5D9-447F-A393-98C4FE1CE5F8} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {F406F6BC-4DFE-4A14-B63F-46026434E6CB} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {FB8F21FF-1614-4B7E-8C37-FB32E87BD4D6} - \AutoKMS -> Brak pliku Task: C:\WINDOWS\Tasks\Chromium.job => C:\Users\AUCHAN~1\AppData\Local\Chromium\APPLIC~1\440238~1.0\INSTAL~1\UNINST~1.EXE Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe HKLM\...\Policies\Explorer\Run: [btvStack] => C:\Program Files (x86)\Qualcomm Atheros\Bluetooth Suite\BtvStack.exe ShellIconOverlayIdentifiers: [JzShlobj] -> {7B286609-DA97-47E1-AC6B-33B8B4732C95} => Brak pliku CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-3925212489-2423934052-125047453-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki SearchScopes: HKU\S-1-5-21-3925212489-2423934052-125047453-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2014-03-03] (Microsoft Corporation) C:\Program Files\żěŃą C:\Program Files (x86)\2feEC09 C:\Program Files (x86)\Huorong C:\Program Files (x86)\mozilla firefox\plugins C:\Users\Auchan 2014\AppData\Local\Tempfolder C:\Users\Auchan 2014\AppData\Local\hehesevuluiedfebt C:\Users\Auchan 2014\AppData\LocalLow\Company C:\Users\Auchan 2014\AppData\LocalLow0101EFA0 C:\Users\Auchan 2014\AppData\Roaming\*.* C:\Users\Auchan 2014\AppData\Roaming\Gokmytra C:\Users\Auchan 2014\AppData\Roaming\Opera Software C:\Users\Auchan 2014\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Public\Desktop\My Software Deals.url C:\Users\Public\Desktop\Your Software Deals.url C:\WINDOWS\system32\vig C:\WINDOWS\system32\Drivers\hrfwdrv.sys C:\WINDOWS\system32\Drivers\hrwfpdrv.sys C:\WINDOWS\system32\Drivers\ucguard.sys C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\SysWOW64\kz.exe C:\WINDOWS\SysWOW64\Number of results RemoveDirectory: C:\Users\TEMP Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Wyeksportuj zakładki i zamknij Firefox. Klawisz z flagą Windows + R i w polu Uruchom wklej poniższą komendę. Skasuj wszystkie widoczne profile i załóż nowy. "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p Google Chrome: Jest ustawiony dziwny profil (kzculttovushclqerse) jako domyślny. Ustawienia > karta Ustawienia > Osoby > załóż nowy profil i się na niego zaloguj, okno poprzedniego zamknij, następnie wróć do w/w ustawień i skasuj poprzedni profil. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy jest poprawa.

Należało zalogować się do panelu opłat zgodnie z wytycznymi na planszy okupu. Niestety z tego co wyczytałam już zrobiono "reset" systemu i skończyło się rozdawanie kluczy za darmo.

Rzecz w tym, że nie było w FRST żadnych zmian i skrypt używany do tej funkcji pozostał niezmieniony. Farbar nie mógł tego w ogóle zreprodukować i raczej obstawiał coś w naszych systemach, bo defekt występował tylko na jednym koncie Windows (tak, u mnie też). Koniec końców był zdziwiony wynikami do których doszłam i nie potrafił tego wyjaśnić.

Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki. Wydzielone w osobny temat. Dostarcz obowiązkowe logi z FRST, jak wyszczególnione w zasadach.

damascus7 Upłynął miesiąc, brak odpowiedzi, więc temat zamykam. romand Tę kwestię objaśnia odpowiedź tutaj: KLIK.

Owszem, to jest miejsce z którego startuje crack i to część zestawu, uruchomienie następuje via Harmonogram zadań: Task: {767108ED-CD0D-4CBE-B996-C1D4F15C49ED} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2016-05-13] () Ale ten katalog prawdopodobnie nie zawiera deinstalatora i powinieneś posłużyć się tym czym wprowadziłeś crack, by go poprawnie odinstalować.

Temat przenoszę do działu Windows. Brak jakichkolwiek oznak infekcji. Z raportów nic nie wynika, a przetwarzanie drobnych pustych wpisów na razie pomijam (brak znaczenia). Czy te objawy na pewno nadal występują po deinstalacji AVG? Jedyne co mi przychodzi teraz do głowy, to deinstalacje zbędnych aplikacji preintegrowanych na Lenovo, tych z których nie korzystasz, co wyeliminowałoby przynajmniej niektóre obiekty startowe. Odrzucając sterowniki, diagnostyk i soft Recovery: Cisco EAP-FAST Module (HKLM-x32\...\{64BF0187-F3D2-498B-99EA-163AF9AE6EC9}) (Version: 2.2.14 - Cisco Systems, Inc.) Cisco LEAP Module (HKLM-x32\...\{AF312B06-5C5C-468E-89B3-BE6DE2645722}) (Version: 1.0.19 - Cisco Systems, Inc.) Cisco PEAP Module (HKLM-x32\...\{0A4EF0E6-A912-4CDE-A7F3-6E56E7C13A2F}) (Version: 1.1.6 - Cisco Systems, Inc.) CyberLink PowerDirector 10 (HKLM-x32\...\InstallShield_{B0B4F6D2-F2AE-451A-9496-6F2F6A897B32}) (Version: 10.0.0.2810 - CyberLink Corp.) Hightail for Lenovo (HKLM\...\{2F10E937-F6D7-4174-8AB9-B299E8FC5CEC}) (Version: 2.4.97.2857 - Hightail, Inc.) Lenovo FusionEngine (HKLM-x32\...\Lenovo FusionEngine) (Version: 1.0.13.0 - Lenovo, Inc.) Lenovo Mobile Phone Wireless Import (HKLM-x32\...\InstallShield_{DFB2E0D6-8DDE-49A4-B8F7-03C14DACCBA6}) (Version: 1.1.1.9 - Lenovo) Lenovo PhoneCompanion (HKLM-x32\...\InstallShield_{0F82EA83-B0C5-4AB9-9695-DFE92C5FD57B}) (Version: 1.2.0.0 - Lenovo) Lenovo Photo Master (HKLM-x32\...\InstallShield_{BC94C56A-3649-420C-8756-2ADEBE399D33}) (Version: 1.0.1823.01 - CyberLink Corp.) Lenovo PowerDVD10 (HKLM-x32\...\InstallShield_{DEC235ED-58A4-4517-A278-C41E8DAEAB3B}) (Version: 10.0.5630.52 - CyberLink Corp.) Lenovo SHAREit (HKLM-x32\...\Lenovo SHAREit_is1) (Version: 2.0.5.0 - Lenovo Group Limited) Lenovo Solution Center (HKLM\...\{4386A5EF-BD23-49F4-9DAD-CD76B4F6A8BF}) (Version: 2.8.006.00 - Lenovo Group Limited) Lenovo VeriFace Pro (HKLM\...\Lenovo VeriFace) (Version: 5.0.14.1061 - Lenovo) Metric Collection SDK 35 (x32 Version: 1.2.0001.00 - Lenovo Group Limited) Hidden Power2Go (HKLM-x32\...\{40BF1E83-20EB-11D8-97C5-0009C5020658}) (Version: 5.6.0.10525 - CyberLink Corp.) SHAREit (HKLM-x32\...\SHAREit_is1) (Version: 3.2.0.526 - Lenovo) Visual Studio 2012 x64 Redistributables (HKLM\...\{8C775E70-A791-4DA8-BCC3-6AB7136F4484}) (Version: 14.0.0.1 - AVG Technologies) Visual Studio 2012 x86 Redistributables (HKLM-x32\...\{98EFF19A-30AB-4E4B-B943-F06B1C63EBF8}) (Version: 14.0.0.1 - AVG Technologies CZ, s.r.o.) Wpis "Metric Collection SDK 35" jest ukryty, więc do jego usunięcia Program Install and Uninstall Troubleshooter.

Masa uszkodzonych plików i jest do nie do naprawienia automatycznie bez przesłania idealnych wersji komponentów ze sprawnego systemu. Wyników jest jednak tak dużo, a skan nawet niepełny, że ta robota raczej odpada i klaruje się przeinstalowanie Windows. Z tym że niemożność ukończenia skanu SFC brzmi niepokojąco i może być oznaką problemów grubszego kalibru z dyskiem twardym (złe bloki). Toteż przesuwam temat na diagnostykę dysku do działu Hardware. Dostarcz dane wymagane działem: KLIK.

Skrypt FRST wykonany. Mała poprawka. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\Mozilla\Seamonkey C:\Users\Administrator\AppData\Roaming\c* C:\Windows\system32\java.exe C:\Windows\system32\javaw.exe Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Czy na pewno oba wpisy są na różowym tle? Rekordy typu "not found" powinny być na żółtym, natomiast pliki nie podpisane cyfrowo na różowym.

1. Jeśli chodzi o błąd ShellExperienceHost, spróbuj przeinstalować tę aplikację. Uruchom menedżer zadań > Plik > Uruchom nowe zadanie > w polu wklep powershell > zaznacz "Utwórz to zadanie z uprawnieniami administracyjnymi". W onie PowerShell wklej poniższe polecenie: Get-AppxPackage -allusers Microsoft.Windows.ShellExperienceHost | Foreach {Add-AppxPackage -DisableDevelopmentMode -Register "$($_.InstallLocation)\AppXManifest.xml"} Jeśli komenda się poprawnie wykona, zrestartuj system i podaj czy nadal są problem z Menu Start. 2. Natomiast nie jestem pewna co sądzić o błędzie Cortany. Cortana nie jest aktywna na polskich Windows 10 (niedostępna dla tego regionu): KLIK. Aczkolwiek u mnie diagnostyk MS nie zwraca błędu związanego z Cortaną.

DelFix wykonał robotę. Skasuj z dysku plik raportu C:\delfix.txt. Temat rozwiązany. Zamykam. I wielkie dzięki za ewenualne wsparcie.

BSOD, więc brak zmian, nadal te same wpisy w raporcie. Powtarzaj całą operację od początku, tylko w punkcie 1 Fix wywołaj z poziomu Trybu awaryjnego, a ze skryptu wytnij komendę CreateRestorePoint: (nie działa w Trybie awaryjnym).

Temat przenoszę do działu Windows. Brak oznak, by problemy były pochodną infekcji. Podejrzenia za to mogą budzić programy zabezpieczające (Avast i IOBit), z tym że IOBit został co dopiero zainstalowany, więc go wykluczam. 1. Zacznij od testu czy Avast jest powiązany, tzn. go tymczasowo odinstaluj. Przy okazji pozbądź się też IObit Malware Fighter 4 ze względu na reputację ogólną producenta: KLIK. Sugeruję wywalić też pozostałe programy IOBit. 2. W spoilerze dodatkowe poboczne czyszczenie wpisów odpadkowych / pustych oraz Tempów. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy po usunięciu Avast jest jakaś zmiana. PS. Widzę, że niedawno zainstalowałeś trupa Gadu-Gadu 6.1, w którym prawie nic nie działa jak powinno ze względu na ogromne zmiany w protokole GG. Jaki był powód tego działania, skoro posiadasz WTW?

Nie wiem skąd pobierałeś FRST, użyta starsza wersja FRST, nowa pochodzi z wczoraj... Temat zostaje przeniesiony pod bardziej dopasowanym do problemu tytułem do działu Windows, żadnych oznak, by problemy były wynikiem infekcji. W Chrome owszem adware APSuggestor, ale to nie jest powiązane. DNS_PROBE_FINISHED_NXDOMAIN to błąd Google Chrome, nic nie wypowiadasz się na temat innych przeglądarek. Kolejna sprawa to kontekst konta z poziomu którego zrobionoi raporty z FRST, pochodzą z konta Piotr, ale w systemie są jeszcze dwa dodatkowe Michal i Pitek, nie wiadomo czy błędy widzisz na wszystkich. Jeśli chodzi o użycie ComboFix (brak raportu), to prawdopodobnie uszkodził te skróty deinstalacyjne wywalając powiązane pliki z dysku (o ile pamięć mnie nie myli, usuwa tego rodzaju pliki): G:\Documents and Settings\All Users\Menu Start\Programy\WYSIWYG Web Builder 8\Uninstall WYSIWYG Web Builder 8.lnk -> G:\WINDOWS\iun6002.exe (Brak pliku) G:\Documents and Settings\All Users\Menu Start\Programy\Sabrina - Nastoletnia czarownica\Magiczna czapka\Odinstaluj grę Sabrina.lnk -> G:\WINDOWS\IsUn0415.exe (Brak pliku) G:\Documents and Settings\All Users\Menu Start\Programy\Gry\Invictus\Usunięcie gry Invictus.lnk -> G:\WINDOWS\IsUn0415.exe (Brak pliku) Wstępnie rozwiąż problemy widziane w raportach: 1. Masowe oznaczenia Brak podpisu cyfrowego dla usług i sterowników Microsoftu, co oznacza uszkodzenie bazy Usług kryptograficznych. Uruchom narzędzie Fix It 50202 (działa na XP): KLIK. Zaznacz tryb agresywny, który m.in. zawiera reset bazy catroot2. 2. Przez Dodaj/Usuń programy odinstaluj stare niebezpieczne wersje z lukami: Adobe Flash Player 11 ActiveX, Adobe Flash Player 21 NPAPI, Bonjour, Gadu-Gadu 7.6, Google Talk Plugin (nie działa już), Java 7 Update 21, Java 7 Update 6, Opera 12.17, QuickTime, Real Alternative 1.32, Safari, Visual C++ Runtime for Dragon NaturallySpeaking (odpadek). 3. Usunięcie odpadkowych i pustych wpisów (w tym skrótów): 4. Czyszczenie przeglądarek na koncie Piotr: Przed czyszczeniem wyeksportuj z przeglądarek zakładki, zaimportujesz je potem na świeże profile. Zamknij Firefox. Start > Uruchom > wklej komendę "G:\Program Files\Mozilla Firefox\firefox.exe" -p i w menedżerze profilów załóż całkiem nowy a wszystkie pozostałe skasuj. W Google Chrome menu Ustawienia > karta Ustawienia > Osoby > załóż całkowicie nowy profil i się na niego zaloguj. Okno poprzedniego zamknij. Pousuwaj pozostałe profile w opcjach. Po założeniu nowych profilów na razie nie instaluj żadnych rozszerzeń w przeglądarkach. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz jakieś zmiany.

Żadnych nowych obiektów infekcji, natomiast w Firefox zostały masowo domontowane różne rozszerzenia, więc to one budzą podejrzenia: FF Extension: Google Translator for Firefox - C:\Users\Agata\AppData\Roaming\Mozilla\Firefox\Profiles\jgsdud32.default-1468599369378\extensions\translator@zoli.bod.xpi [2016-07-15] FF Extension: Online Convert - C:\Users\Agata\AppData\Roaming\Mozilla\Firefox\Profiles\jgsdud32.default-1468599369378\extensions\firefox@online-convert.com.xpi [2016-07-15] FF Extension: To Google Translate - C:\Users\Agata\AppData\Roaming\Mozilla\Firefox\Profiles\jgsdud32.default-1468599369378\Extensions\jid1-93WyvpgvxzGATw@jetpack.xpi [2016-07-15] FF Extension: YouTube™ HD Plus - C:\Users\Agata\AppData\Roaming\Mozilla\Firefox\Profiles\jgsdud32.default-1468599369378\Extensions\jid1-wkCmfgboni3B1Q@jetpack.xpi [2016-07-15] FF Extension: uBlock Origin - C:\Users\Agata\AppData\Roaming\Mozilla\Firefox\Profiles\jgsdud32.default-1468599369378\Extensions\uBlock0@raymondhill.net.xpi [2016-07-15] FF Extension: Video DownloadHelper - C:\Users\Agata\AppData\Roaming\Mozilla\Firefox\Profiles\jgsdud32.default-1468599369378\Extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}.xpi [2016-07-15] FF Extension: Adblock Plus - C:\Users\Agata\AppData\Roaming\Mozilla\Firefox\Profiles\jgsdud32.default-1468599369378\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2016-07-15] Np. skoro masz uBlock Origin to Adblock Plus zbędny. Nie jest też wiadome ile filtrów załadowałaś w obu blokerach, tzn. czy zachowałaś standardową instalację, czy zmieniłaś coś. Im więcej filtrów zaznaczonych, tym bardziej ociężała przeglądarka. Dotyczy to każdego blokera reklam. I na koniec ponownie zastosuj DelFix. To wszystko.