picasso

W raportach nie widać żadnych oznak infekcji. Do wykonania byłyby tylko kosmetyczne operacje usunięcia pustych wpisów (nie od infekcji), co na razie pomijam, gdyż nie ma to znaczenia. Z raportów nic nie wynika. Sprawdź na wszelki wypadek czy zmieni się sytuacja po tymczasowej deinstalacji Avast oraz MBAM. Co masz na myśli, jakie karty z Facebookiem, z jaką zawartością, podczas jakich operacji?

Adware pomyślnie usunięte i nie jest już aktywne. Teraz już tylko poprawki. Kolejna porcja: 1. Czy utraciłeś zakładki w Google Chrome, tzn. czy przed infekcją miałeś jakieś zapisane? Jeśli tak, to zamknij Chrome i przekopiuj pliki Bookmarks i Bookmarks.bak z folderu martwego profilu sprzed infekcji: C:\Users\Kondzio\AppData\Local\Google\Chrome\User Data\Default ... do świeżo założonego profilu: C:\Users\Kondzio\AppData\Local\Google\Chrome\User Data\Profile 1 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-4146119985-1251853827-3017599396-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.hao123.com/?tn=92731610_hao_pg S1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] C:\Program Files (x86)\MPC Cleaner C:\Users\Kondzio\AppData\Local\Google\Chrome\User Data\ChromeDefaultData C:\Users\Kondzio\AppData\Local\Google\Chrome\User Data\Default C:\Windows\system32\Drivers\MPCKpt.removed734977625 Plik zapisz pod nazwą fixlist.txt (już nie trzeba ustawiać kodowania UTF-8) w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Co masz na myśli z tym obrazkiem z GMER? A jeśli chodzi o zawartość folderu "BitTorrent" pobraną via skrypt FRST, to definitywnie wygląda na część adware. Czyli powtórka, ale z uwzględnieniem tego falsyfikatu "BitTorrent": 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 BitTorrent; C:\Program Files\BitTorrent\BitTorrent.exe [383488 2016-07-06] () [brak podpisu cyfrowego] R2 xifs; C:\ProgramData\\xifs\\xifs.exe [400896 2016-07-12] () [brak podpisu cyfrowego] Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox () -> %SNF% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Bolec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> E:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBtydo4tvZOMtZG43EE93YffAUcnuWgbrIySzScRd4UBvlgR0sAeWt5i4skNfU4HYj0xIAo8n49u-2SmqxKV6slsAMZdpAQ, HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} HKU\S-1-5-21-865181693-1974036264-3221311095-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} SearchScopes: HKU\S-1-5-21-865181693-1974036264-3221311095-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYEqQao2TxTGptbOxpBNeoIGShepo8uLJ7xv4O2s041dKJO6l2gCDI2UeQLByM6bClPTbjr0fPUZqiOWpJwfimBtAiEUkFQTLBe71LhpGFVBS9pA_nb2dqTc-RFuUEyenfhBPbj9Tpkca3JEYRD4S6pD7rhIL-7TxdFvf3tc8AmHLYCGAT7zg1wh0yoLExc,&q={searchTerms} DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Search DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl Reg: reg delete HKCU\Environment /v SNF /f Reg: reg delete HKCU\Environment /v SNP /f C:\Program Files\BitTorrent C:\ProgramData\xifs C:\ProgramData\xifss C:\Windows\SysWOW64\findit.xml EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restarti powstanie kolejny plik fixlog.txt. 2. Punkty 2 do 4 z mojego pierwszego posta z instrukcjami.

Wygląda na to, że tym razem RepairDNS dokończył robotę. Niemniej na wszelki wypadek zrób skan sfc /scannow: KLIK. Jeśli komunikatem będzie "Nie znaleziono nruszeń integralności", wynikowy log zbędny, w przeciwnym wypadku wyprodukuj go zgodnie z instrukcją w linku. Uściślij niemożność wyboru: brak reakcji na klik, brak programów na liście, wybór nie utrzymuje się, inne?

Deinstalalacja wprawdzie pomyślnie wykonana, ale Tencent nie jest w pełni odinstalowany. Poza tym, mamy więcej problemów z adware. Kolejne działania do przeprowadzenia: 1. Wejdź do folderów C:\Program Files (x86)\MPC Cleaner + C:\Program Files (x86)\mpck. Wyszukaj plik deinstalatora (o ile jest) i z prawokliku na niego "Uruchom jako administrator". 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: U2 QQRepair10e7; C:\Program Files (x86)\Tencent\QQPCMGR\QQRepair10e7 [147176 2016-07-05] () S2 QQRepairFixSVC; C:\Program Files (x86)\Tencent\QQPCMGR\QQRepairFixSVC [147176 2016-07-05] () R1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv [179320 2016-07-05] () R4 TAOKernelDriver; C:\Windows\system32\Drivers\TAOKernelEx64.sys [141816 2016-06-22] (Tencent Technology(Shenzhen) Company Limited) R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [80768 2016-04-25] (Huorong Borui (Beijing) Technology Co., Ltd.) S2 coollevalalyconfigurationService; Brak ImagePath S2 gulesuwizbt; Brak ImagePath R1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.6.17647.229\QMUdisk64.sys [X] R3 softaal; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.6.17647.229\softaal64.sys [X] R2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.6.17647.229\TsNetHlpX64.sys [X] Task: {221EA8EF-8BB5-404F-801E-2E225B8904BD} - System32\Tasks\KondzioDecelerationsPlumagesV2 => Rundll32.exe BilkedBronzier.dll,main 7 1 Task: {4812C033-B219-46DA-9748-7C66B9D18675} - System32\Tasks\Coollevalaly Configuration => C:\Program Files (x86)\Coollevalaly\coollevalalyconfigurationTask.exe Task: {6F1BB191-109F-4EDB-AE63-1D4D51C3CEAB} - System32\Tasks\{36322EEB-8510-5E51-9BDD-6E7D9140FACA} => C:\Users\Kondzio\AppData\Roaming\{36322~1\SYNCVE~1.EXE Task: C:\Windows\Tasks\{36322EEB-8510-5E51-9BDD-6E7D9140FACA}.job => C:\Users\Kondzio\AppData\Roaming\{36322~1\SYNCVE~1.EXE AppInit_DLLs: C:\ProgramData\Quotenamron\Greendax.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Quotenamron\Tiprunsoft.dll => Brak pliku HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM-x32\...\Run: [apphide] => C:\Program Files (x86)\badu\qq.exe HKU\S-1-5-21-4146119985-1251853827-3017599396-1001\...\Run: [apphide2] => C:\Program Files (x86)\badu\qq.exe HKU\S-1-5-21-4146119985-1251853827-3017599396-1001\...\Run: [blueStacks Agent] => C:\Program Files (x86)\Bluestacks\HD-Agent.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=92731610_hao_pg HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKU\S-1-5-21-4146119985-1251853827-3017599396-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPat1KB19jY-l6YWQiYlTnRlNmue7Gwoemo4HZRu3dgEjIK7QEilMSC02k30CQFrHqjHv64_f-Id365bN3zqdmZWfqwFbAj4gTG02n-fPzrl_F7Kh32nLaHEtla0DhlSE2crepcdLeQYjdiB8_XDuvY1Q3Y&q={searchTerms} HKU\S-1-5-21-4146119985-1251853827-3017599396-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPat1KB19jY-l6YWQiYlTnRlNmue7Gwoemo4HZRu3dgEjIK7QEilMSC02k30CQFrHqjHv64_f-Id365bN3zqdmZWfqwFbAj4gTG02n-fPzrl_F7Kh32nLaHEtla0DhlSE2crepcdLeQYjdiB8_XDuvY1Q3Y&q={searchTerms} HKU\S-1-5-21-4146119985-1251853827-3017599396-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPat1KB19jY-l6YWQiYlTnRlNmue7Gwoemo4HZRu3dgEjIK7QEilMSC02k30CQFrHqjHv64_f-Id365bN3zqdmZWfqwFbAj4gTG02n-fPzrl_F7Kh32nLaHEtla0DhlSE2crepcdLeQYjdiB8_XDuvY1Q3Y&q={searchTerms} HKU\S-1-5-21-4146119985-1251853827-3017599396-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=92731610_hao_pg SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPat1KB19jY-l6YWQiYlTnRlNmue7Gwoemo4HZRu3dgEjIK7QEilMSC02k30CQFrHqjHv64_f-Id365bN3zqdmZWfqwFbAj4gTG02n-fPzrl_F7Kh32nLaHEtla0DhlSE2crepcdLeQYjdiB8_XDuvY1Q3Y&q={searchTerms} SearchScopes: HKU\S-1-5-21-4146119985-1251853827-3017599396-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPat1KB19jY-l6YWQiYlTnRlNmue7Gwoemo4HZRu3dgEjIK7QEilMSC02k30CQFrHqjHv64_f-Id365bN3zqdmZWfqwFbAj4gTG02n-fPzrl_F7Kh32nLaHEtla0DhlSE2crepcdLeQYjdiB8_XDuvY1Q3Y&q={searchTerms} SearchScopes: HKU\S-1-5-21-4146119985-1251853827-3017599396-1001 -> {EE8FB2EF-1E18-4419-8F18-A175BE3A5C91} URL = hxxps://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=435371&p={searchTerms} SearchScopes: HKU\S-1-5-21-4146119985-1251853827-3017599396-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPat1KB19jY-l6YWQiYlTnRlNmue7Gwoemo4HZRu3dgEjIK7QEilMSC02k30CQFrHqjHv64_f-Id365bN3zqdmZWfqwFbAj4gTG02n-fPzrl_F7Kh32nLaHEtla0DhlSE2crepcdLeQYjdiB8_XDuvY1Q3Y&q={searchTerms} BHO-x32: Ó¦Óñ¦Ň»Ľü°˛×°˛ĺĽţ -> {50F4150A-48B2-417A-BE4C-C83F580FB904} -> C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3192\npQQPhoneManagerExt.dll [2014-05-30] (腾讯公司) DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Search DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKCU\Software\Tencent DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\Tencent DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Tencent Reg: reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" /v PendingFileRenameOperations /t REG_MULTI_SZ /d "" /f C:\extensions C:\Program Files\Reimage C:\Program Files\Common Files\Tencent C:\Program Files (x86)\014D8E17-1465842485-11E5-8FC7-507B9D810DC9 C:\Program Files (x86)\badu C:\Program Files (x86)\Coollevalaly C:\Program Files (x86)\Esuyjojeght C:\Program Files (x86)\mpck C:\Program Files (x86)\Phepryhsadom C:\Program Files (x86)\Tencent C:\Program Files (x86)\Common Files\Tencent C:\ProgramData\SogouInput C:\ProgramData\Tencent C:\ProgramData\TXQMPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Kondzio\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 C:\Users\Kondzio\AppData\Local\app C:\Users\Kondzio\AppData\Local\Avg C:\Users\Kondzio\AppData\Local\AvgSetupLog C:\Users\Kondzio\AppData\Local\DecelerationsPlumages C:\Users\Kondzio\AppData\Local\PreadaptedRecrated C:\Users\Kondzio\AppData\Roaming\*.* C:\Users\Kondzio\AppData\Roaming\MCorp C:\Users\Kondzio\AppData\Roaming\Tencent C:\Users\Kondzio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Kondzio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Kondzio\Downloads\ReimageRepair.exe C:\Users\Kondzio\Downloads\ReimageRepair (1).exe C:\Windows\chromebrowser.exe C:\Windows\Reimage.ini C:\Windows\system32\Drivers\TAOKernelEx64.sys C:\Windows\system32\Drivers\TFsFltX64.sys C:\Windows\System32\Drivers\ucguard.sys C:\Windows\SysWOW64\Drivers\TS888x64.sys CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Adware podstawiło w Google Chrome całkowicie nowy profil ChromeDefaultData (nazwa wyświetlana user0), który należy usunąć. Czyli: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę, następnie zaloguj się na nowy profil, zamknij okno poprzedniego, w Ustawieniach skasuj "user0". Po tej akcji trzeba odpiąć skróty Chrome z paska i przypiąć od nowa. Wg raportu FRST jest poprzedni profil na dysku, ale zanieczyszczony przez adware Safefinder. Nie wiadomo też czy traktowany nadal przez Chrome jako działający profil, to może być tylko odpadkowy folder. Na razie nie ruszam tego folderu, na wypadek gdyby trzeba było odzyskać z niego zakładki. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition, już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się też czy w ustawieniach Chrome było widać inny profil niż user0.

Zabrakło pliku fixlog.txt z wynikami uruchamiania skryptu FRST. Plik jest w katalogu, skąd uruchamiałeś FRST. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p Pousuwaj wszystkie widoczne tam profile i załóż świeży. Co to konkretnie oznacza i w którym miejscu próbujesz ustawić domyślną przeglądarkę? Wg raportu FRST obecnie domyślną przeglądarką jest Google Chrome: Internet Explorer Wersja 11 (Domyślna przeglądarka: Chrome) Nadal jest zainfekowane jedno z wystąpień 32-bitowego pliku dnsapi.dll. Uruchom ponownie narzędzie RepairDNS i podaj wynikowy log.

Zacznij od próby poprawnej deinstalacji: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Reimage Repair, 电脑管家11.6. 2. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut.

Zacznij od przeczytania zasad działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki, wydzielone w osobny temat. Dostarcz wymagane raporty z FRST: KLIK. To dopiero na ich podstawie zostaną stworzone dla Ciebie instrukcje. A instrukcje podane w cudzych postach nie mają zastosowania do innych przypadków.

Bonjour wpina się w Winsock, konkretnie w część Namespace. Usunięcie pliku wpiętego w Winsock bez poprawnego wypięcia z łańcucha skutkuje opisywanymi objawami. Więcej na ten temat: KLIK. Podaj skany z FRST: KLIK. FRST umie wykazać usterkę, a skrypt podany FRST ją poprawnie naprawić. Zresztą poprawność zadania wynika właśnie z mojego raportu wskazującego, że trzeba uzgadniać też licznik wejść a nie tylko ciąć klucz z rejestru.

UnsignedFile.Multi.Generic to jest ogólna detekcja plików bez podpisu cyfrowego, taka detekcja nie świadczy o infekcji, jest wiele poprawnych instalacji które będą wykryte w TDSSKiller. Ta usługa jest widoczna w skanie FRST: R2 BitTorrent; C:\Program Files\BitTorrent\BitTorrent.exe [383488 2016-07-06] () [brak podpisu cyfrowego] Niemniej ona już mnie wcześniej zastanawiała, bo jakoś obiekt powstał w czasokresie inwazji adware + brak powiązanego wejścia na liście zainstalowanych, ale nie miałam czasu sprawdzić Bittorrent z oficjalnej strony czy taką usługę tworzy. Teraz się zmotywowałam, by zainstalować oficjalny Bittorent w wirtualnej maszynie - nie utworzył takiej usługi, czyli prawdopodobnie jest to jednak składnik adware. Pokaż mi co jest w tym folderze. Zrób plik fixlist.txt do FRST o zawartości: Folder: C:\Program Files\BitTorrent Klik w Fix (Napraw) i dostarcz wynikowy fixlog.txt.

Z widocznych śladów po Brontok została modyfikacja plku Hosts, podmiana powłoki Trybu awaryjnego z obsługą wiersza polecenia i kilka drobnych pliczków. Do wdrożenia będą też dodatkowe działania. 1. Przez Dodaj/Usuń programy odinstaluj stare wersje i zbędne instalacje: Adobe AIR, Adobe Flash Player 17 ActiveX, Adobe Flash Player 20 NPAPI, Java 8 Update 65, McAfee Security Scan Plus, Microsoft Security Essentials, Skaner on-line mks_vir. Microsoft Security Essentials od ponad roku nie wspiera już XP, całkowite odcięcie od aktualizacji. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="cmd-brontok.exe" HKU\S-1-5-21-1220945662-842925246-682003330-1006\...\Policies\system: [DisableCMD] 0 S3 SWDUMon; C:\WINDOWS\System32\DRIVERS\SWDUMon.sys [13464 2014-04-13] () S1 bsnhlxrg; \??\C:\WINDOWS\system32\drivers\bsnhlxrg.sys [X] S1 btyzzvkf; \??\C:\WINDOWS\system32\drivers\btyzzvkf.sys [X] S1 gkxhbgzd; \??\C:\WINDOWS\system32\drivers\gkxhbgzd.sys [X] S1 pkmdvkxa; \??\C:\WINDOWS\system32\drivers\pkmdvkxa.sys [X] S1 rbhgtnay; \??\C:\WINDOWS\system32\drivers\rbhgtnay.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S1 spvulzxz; \??\C:\WINDOWS\system32\drivers\spvulzxz.sys [X] S2 StarOpen; Brak ImagePath S1 tenjscqb; \??\C:\WINDOWS\system32\drivers\tenjscqb.sys [X] S1 tzyvpawd; \??\C:\WINDOWS\system32\drivers\tzyvpawd.sys [X] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\itms.js [2015-09-09] C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{EA4B762B-89EA-4906-AB05-8DCCD6DF3D7B} C:\Documents and Settings\All Users\Menu Start\Programy\K-Lite Codec Pack\Help\Frequently Asked Questions.lnk C:\Documents and Settings\All Users\Menu Start\Programy\WinRAR\Podręcznik RAR-a dla konsoli.lnk C:\Documents and Settings\Admin\Menu Start\Programy\WinRAR\Podręcznik RAR-a dla konsoli.lnk C:\Documents and Settings\Admin\Moje dokumenty\MOJE\Bank 2.lnk C:\Documents and Settings\Admin\Moje dokumenty\Moje wideo\DivX Movies\DivX.com.lnk C:\Documents and Settings\Admin\Moje dokumenty\Moje wideo\DivX Movies\Enhance your video soundtracks.lnk C:\Documents and Settings\Admin\SendTo\The Bat!.LNK C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Bron.tok.A16.em.bin C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Kosong.Bron.Tok.txt C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\ListHost16.txt C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Comodo C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\Administrator C:\Documents and Settings\ASPNET C:\Documents and Settings\Gość C:\Documents and Settings\Pomocnik C:\Documents and Settings\SUPPORT_388945a0 C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\System32\DRIVERS\SWDUMon.sys CMD: netsh firewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox ze starych preferencji i śmieci narosłych aktualizacjami: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale zostanie usunięty Multirow Bookmarks Toolbar Plus. Twoja decyzja czy go reinstalować, ale zważ, że to program sponsorowany: KLIK. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

W raportach nie widać żadnych typowych instalacji adware czy infekcji, a wyniki z AdwCleaner zupełnie nie powiązane z problemem. W związku z tym podejrzenia budzą zainstalowane rozszerzenia Chrome. Są tylko dwa niedomyślne: CHR Extension: (ZenMate VPN - Best Cyber Security & Unblock) - C:\Users\Jola-Mariusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\fdcgdnkidjaadafnichfpabhfomcebme [2016-07-02] CHR Extension: (GG Plugin) - C:\Users\Jola-Mariusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\khmcdkdpeihijgkgmmdkbccccjnonjie [2016-03-23] Podejrzany to ZenMate, nie tylko dlatego że zainstalowany co dopiero, ale też dlatego że darmowy "plan" jest supportowany przez reklamy: KLIK. "When using ZenMate, we may display in the framework of our free services advertisements in your browser or smartphone which are generated by us or by third party providers. These advertisements may overlay other elements shown on your screen." Rozpocznij od deinstalacji tego rozszerzenia i wyczyszczenia danych przeglądania Chrome. Podaj rezultaty czy są zmiany.

Masa problemów: infekcja DNS (zmodyfikowane pliki systemowe dnsapi.dll), infekcja WMI (aktywne modyfikowanie skrótów przeglądarek), spreparowany profil użytkownika w Google Chrome. Działania do przeprowadzenia: 1. Zastosuj narzędzie RepairDNS. Na Pulpicie powstanie log RepairDNS.txt. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: ShellExecuteHooks: - {6710C780-E20E-4C49-A87D-321850ED3D7C} - Brak pliku [ ] ShellExecuteHooks: - {98C066AB-D735-4339-9E52-A34875141B56} - C:\Users\Michał\AppData\Local\Microsoft\Windows\INetCookies\repogh.dll [376000 2016-07-12] () Task: {3B561EA2-59E7-425D-97A5-E30D850B5E02} - System32\Tasks\Bazery Controls => C:\Program Files (x86)\Tholigetermught\bazeryControlsfimukcloele.exe Task: {489EB232-B305-4759-AA27-EA9ADA328DEE} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe Task: {EB8AA38F-10B2-4576-88F6-A38345425893} - System32\Tasks\Kucipy Cloud => C:\Program Files (x86)\Kucipy\kucipycloudtsk.exe Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe HKLM\...\Run: [WINCOMQ0Q] => "C:\Program Files (x86)\sunnyday\wincom_Q0Q.exe" HKLM-x32\...\Run: [EYAN] => C:\Users\Michał\AppData\Roaming\THREADAPP.exe HKLM-x32\...\Run: [apphide] => C:\Program Files (x86)\surranderu\uc.exe HKLM-x32\...\Run: [win_en_77] => [X] HKLM-x32\...\Run: [sun21] => [X] HKLM\...\RunOnce: [OTUTPRODUCT_I04AV] => "C:\Program Files (x86)\sunnyday\otutnetwork.exe" HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 S3 dtlitescsibus; C:\Windows\System32\drivers\dtlitescsibus.sys [30264 2015-10-16] (Disc Soft Ltd) S3 ptun0901; C:\Windows\System32\drivers\ptun0901.sys [27136 2014-08-08] (The OpenVPN Project) S2 Ajisl; "C:\Users\Michał\AppData\Roaming\MuolOrycm\Nejde.exe" -cms [X] S2 kucipycloudsrv; "C:\Program Files (x86)\Kucipy\kucipycloudsrv.html5" {79740E79-A383-47A7-B513-3DF6563D007F} {8C4CE252-7DB2-4F8E-8E76-BAD0E5826A83} [X] S2 YueweijieTransHost; C:\Program Files\YueweijieNetTrans\TransHost.exe [X] R1 UCGuard; system32\DRIVERS\ucguard.sys [X] S3 vmci; \SystemRoot\System32\drivers\vmci.sys [X] S3 VMnetAdapter; \SystemRoot\system32\DRIVERS\vmnetadapter.sys [X] GroupPolicy: Ograniczenia - Chrome GroupPolicyScripts: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\MICHA~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\MICHA~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\MICHA~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.zingload.com/?type=ll&uid=7d4f42c8-84d7-4104-8cbc-b56e51589841 StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.zingload.com/?type=ll&uid=7d4f42c8-84d7-4104-8cbc-b56e51589841 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\dbupdate DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\dbupdatem DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Disc Soft Lite Bus Service DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{05A1E928-6A6C-47A5-B7AB-F16C8F04432C} Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite Automount" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v WINCOMQ0Q /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Dropbox /f C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\KMSAuto C:\ProgramData\Nero C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Andy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nero (32-bit) C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Virtual Audio Cable C:\Users\Michał\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk C:\Users\Michał\AppData\Local\Microsoft\Windows\INetCookies\repogh.dll C:\Users\Michał\AppData\Local\MSfree Inc C:\Users\Michał\AppData\LocalLow\Company C:\Users\Michał\AppData\LocalLow0161BA50 C:\Users\Michał\AppData\Roaming\Nero C:\WINDOWS\system32\SppExtComObjHook.dll C:\WINDOWS\system32\SppExtComObjPatcher.exe C:\Windows\System32\Drivers\dtlitescsibus.sys C:\WINDOWS\system32\Drivers\KuaiZipDrive.sys C:\WINDOWS\system32\Drivers\ptun0901.sys C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\system32\ref CMD: ipconfig /flushdns CMD: netsh advfirewall reset RemoveProxy: Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Adware podstawiło w Google Chrome całkowicie nowy profil ChromeDefaultData (nazwa wyświetlana user0), który należy usunąć. Czyli: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę, następnie zaloguj się na nowy profil, zamknij okno poprzedniego, w Ustawieniach skasuj "user0". Po tej akcji trzeba odpiąć skróty Chrome z paska i przypiąć od nowa. Niestety nie ma już w ogóle na dysku poprzedniego profilu, nie można go też odzyskać z kopii cieniowych Windows, bo Przywracanie systemu jest wyłączone... 4. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też pliki fixlog.txt i RepairDNS.txt.

Nic wyraźnego. Sprawdź co powie Kaspersky TDSSKiller. Jeśli coś wykryje, przyznaj akcję Skip i dostarcz log wynikowy. Jeśli nic nie wykryje, log zbędny.

AdwCleaner znalazł strony prekonfigurowane przez Lenovo (widziałam je w raporcie FRST). Spokojnie można to zignorować, ale ich "naprawa" też nie przyniesie szkód. Czyli kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj folder C:\MATS od używanego narzędzia Microsoftu. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Skasuj z dysku plik raportu C:\delfix.txt. To wszystko. Temat rozwiązany. Zamykam.

Widzę, że wystąpił jakiś błąd, Fix był uruchamiany aż dwa razy i w drugim podejściu "dokańczał" od miejsca gdzie poprzednio padł. Wszystko zrobione, problem rozwiązany. Niemniej jeszcze uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner (o ile program coś wykryje, w przeciwnym wypadku log zbędny).

Fix FRST pomyślnie wykonany. Na koniec: 1. Przez SHIFT+DEL (omija Kosz) skasuj FRST i jego logi z folderu E:\Moje dokumenty\Pobrane\Nowy folder. 2. Uruchom DelFix, następnie wyczyść foldery Przywracania systemu: KLIK.

SpyHunter to niepożądany program wątpliwej reputacji! Jeśli rzecz o SafeFinder, to w raportach widzę tylko jakieś szczątki. Rozszerzenie chce się non stop reinstalować w Google Chrome, gdyż jest jego reinstalator w rejestrze (tak, rozszerzenie ściąga się z ... Chrome Web Store): CHR HKLM-x32\...\Chrome\Extension: [knnaihaddpogmkclkahpcnhppgapinpe] - hxxps://clients2.google.com/service/update2/crx Identyfikator knnaihaddpogmkclkahpcnhppgapinpe należy do SafeFinder, tu z cudzego raportu: CHR Extension: (SafeFinder New Tab) - C:\Users\ludwik\AppData\Local\Google\Chrome\User Data\Default\Extensions\knnaihaddpogmkclkahpcnhppgapinpe [2016-04-29] Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj niepotrzebny program Lenovo App Services oraz SpyHunter 4. Niezależnie od tego czy poprawnie się odinstaluje, czy wręcz przeciwnie, zastosuj też SpyHunterCleaner. - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń wpis Metric Collection SDK 35. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\Quotenamron\Freshin.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Quotenamron\Zummalax.dll => Brak pliku S2 PlaysService; "C:\Program Files (x86)\Raptr Inc\PlaysTV\plays_service.exe" [X] S2 Quotenamron; C:\ProgramData\\Quotenamron\\Quotenamron.exe shuz -f "C:\ProgramData\\Quotenamron\\Quotenamron.dat" -l -a S3 SwitchBoard; "C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [X] S3 GPU-Z; \??\C:\Users\Lenovo\AppData\Local\Temp\GPU-Z.sys [X] HKLM\...\Run: [] => [X] HKLM\...\Run: [MacroKeyManager] => WTMKM.exe HKLM-x32\...\Run: [switchBoard] => C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe HKLM-x32\...\Run: [AdobeCS6ServiceManager] => "C:\Program Files (x86)\Common Files\Adobe\CS6ServiceManager\CS6ServiceManager.exe" -launchedbylogin HKLM-x32\...\Run: [PlaysTV] => "C:\Program Files (x86)\Raptr Inc\PlaysTV\playstv_launcher.exe" --startup HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKLM-x32 -> DefaultScope - brak wartości Task: {04E48B32-0E81-49EB-908F-74F5B1E06CCE} - \LenovoCorrosivesDeadeyeV2 -> Brak pliku Task: {4FE8D83D-BC1A-46FF-ADF7-1B0F699214D1} - System32\Tasks\{1A748E4B-E00B-C73B-42C6-4A6753D95421} => C:\Users\Lenovo\AppData\Roaming\{1A748~1\PRICEF~1.EXE Task: {59745619-9E0D-485E-8BCA-80557345034C} - System32\Tasks\TVT\TVSUUpdateTask => C:\Program Files (x86)\Lenovo\System Update\tvsuShim.exe Task: {5CEB14D5-79F2-4341-95DB-1F9315864453} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe Task: {7A8513FA-C7A3-4C8B-9AA1-1F763375150B} - System32\Tasks\AdobeAAMUpdater-1.0-BRZYDAL-PC-Lenovo => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe Task: {95FB4B7A-A627-46EF-8158-D0C51921F8C4} - System32\Tasks\DolbySelectorTask => C:\Program Files\Dolby Digital Plus\ddp.exe Task: {E24756EE-57F6-486E-9CF7-5CC0324DD2CF} - System32\Tasks\PDVDServ Task => C:\Program Files (x86)\Lenovo\PowerDVD10\PDVD10Serv.EXE Task: {E266D70D-8709-45B2-82B6-9C7D6F2ABDC9} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2015-12-10] (Lenovo) Task: C:\WINDOWS\Tasks\{1A748E4B-E00B-C73B-42C6-4A6753D95421}.job => C:\ProgramData\HitmanPro C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PlaysTV DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v MacroKeyManager /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v Raptr /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AdobeCS6ServiceManager /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SwitchBoard /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v PlaysTV /f CMD: netsh advfirewwall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Chew7Hale to miernej jakości bardzo stary i problematyczny crack, który będzie obciążał mocno zasoby. Należy uruchomić dokładnie ten sam plik Chew7.exe, którym zaprawiłeś system. Gdy crack jest aktywny, instalator cracka podstawia opozycyjną opcję deinstalacji. Jeśli nie posiadasz już instalatora cracka, z oczywistych względów nie zostanie tu zlinkowany. A sfc /scannow naprawiał skutki cracka aktywacji, który modyfikuje te pliki systemowe: C:\Windows\system32\winlogon.exe [2015-06-23 10:53] - [2016-05-20 14:43] - 0389632 ____A (Microsoft Corporation) 87A00ED70FEC36D0DD968E5058C29AA1 C:\Windows\system32\User32.dll [2010-11-21 05:24] - [2016-05-20 14:43] - 1008128 ____A (Microsoft Corporation) D186BABDFAE7C0D93C9F6AE63957EE96

Poproszę o przedstawienie pliku fixlog.txt z wynikami oraz dostarczenie nowych raportów FRST (FRST.txt i Addition.txt).

Jak sądzę już wykonałeś podane instrukcje, więc wymagane są raporty przedstawiające zmiany (log z MBAM oraz nowe logi FRST).

A rzeczywiście "Download" kieruje teraz do nikąd. Czyli do wykonania ręczne instrukcje rozpisane tam w sekcji Let me fix it myself. I skasuj plik raportu C:\delfix.txt z dysku.

Wpis był, teraz go nie ma, więc albo deinstalacja była sprzężona z usunięciem głównego programu, albo czyściciel firmowy Adobe to upłynnił. Tej pozycji w ogóle nie ma w FRST Addition. Poproszę o przesłanie mi na PW spakowanego i shostowanego gdzieś folderu C:\FRST\Hives. To po to by ewentualnie podrzucić autorowi materiał. Czyli mam rozumieć, że ten problem cały czas występuje? Kolejna porcja doczyszczania: 1. Załaduj kolejny fixlist.txt do FRST usuwający szczątki po deinstalacjach. Do Notatnika wklej: AS: Lavasoft Ad-Watch Live! (Disabled - Up to date) {61CDFD9D-3CAC-9270-C6FC-52325ACB795B} HKU\S-1-5-18\...\RunOnce: [AutoLaunch] => C:\Program Files\Lavasoft\Ad-Aware\AutoLaunch.exe monthly Toolbar: HKU\S-1-5-21-529066224-3218515000-3466368205-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku S0 Lbd; system32\DRIVERS\Lbd.sys [X] FF Plugin: @java.com/DTPlugin,version=10.9.2 -> C:\Windows\system32\npDeployJava1.dll [2012-11-21] (Oracle Corporation) CustomCLSID: HKU\S-1-5-21-529066224-3218515000-3466368205-1000_Classes\CLSID\{1FD1FE74-9E3C-4C1C-AEEB-AAB592AD770F}\localserver32 -> C:\Users\Jurek\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.) CustomCLSID: HKU\S-1-5-21-529066224-3218515000-3466368205-1000_Classes\CLSID\{5E71E4F3-E8C7-4906-9626-973E418762B6}\InprocServer32 -> C:\Users\Jurek\AppData\Local\Facebook\Update\1.2.205.0\goopdate.dll (Facebook Inc.) Task: {6B9E2D58-0354-4080-9E1B-8DE5E6813367} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-529066224-3218515000-3466368205-1000Core => C:\Users\Jurek\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-11-21] (Facebook Inc.) Task: {881BB7FC-9309-47A8-959E-2EC2E4760677} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-529066224-3218515000-3466368205-1000UA => C:\Users\Jurek\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-11-21] (Facebook Inc.) Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-529066224-3218515000-3466368205-1000Core.job => C:\Users\Jurek\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-529066224-3218515000-3466368205-1000UA.job => C:\Users\Jurek\AppData\Local\Facebook\Update\FacebookUpdate.exe C:\Program Files\Gadu-Gadu 10 C:\Program Files\Java C:\Program Files\Spybot - Search & Destroy C:\Program Files\Common Files\Symantec Shared C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\Symantec C:\Users\Jurek\AppData\Local\Facebook C:\Windows\Sun 2. Uruchom Program Install and Uninstall Troubleshooter. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście Ask Shopping Toolbar (o ile widoczny) > Dalej. 3. Przeinstaluj Avast, gdyż nie jest zintegrowany z Centrum zabezpieczeń, a na dodatek są dwie wybrakowane usługi sandboxa. Czyli na początek tradycyjna deinstalacja, ale niezależnie od tego czy się powiedzie przejdź w tryb awaryjny Windows i zastosuj Avast Uninstall Utility. Po akcji zainstaluj Avast ponownie. 4. Likwidacja drobnego błędu WMI. Uruchom ten skrypt: KLIK. Wklej do Notatnika skrypt podany na stronie, zapisz pod nazwą FIX.VBS, plik umieść na C:\, następnie Start > w polu szukania cmd > z prawokliku Uruchom jako Administrator > wklep C:\FIX.VBS. 5. Wyczyść Dzienniki zdarzeń: Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. W sekcji Dzienniki systemu Windows z prawokliku wyczyść gałęzie Aplikacja i System. W sekcji Dzienniki aplikacji i usług > Microsoft > Windows > CodeIntegrity > z prawokliku wyczyść Operational. Po akcji zresetuj system, by nagrały się nowe błędy w Dzienniku zdarzeń. 6. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dostarcz też fixlog.txt.

Na początek poproszę o log z GMER (nawiasem mówiąc to powinno być już podane na początku).