picasso

Jeśli chodzi o infekcję, to loader z Harmonogramu pomyślnie usunięty, ale zdążyły się jeszcze utworzyć trzy dodatkowe foldery. Źródłem infekcji było prawdopodobnie konto Pracownik, w starcie pozostał pusty wpis "Otemf". Natomiast problem WMI muszę przemyśleć, w raporcie WmiDiag nie widzę nic szczególnego (raportowane błędy nie wyglądają na istotne, widziałam je na systemie ze sprawnym WMI)... NA KONCIE ADMIN: Otwórz Notatnik i wklej: S4 HWiNFO32; \??\C:\Users\Admin\AppData\Local\Temp\HWiNFO32.SYS [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Windows\system32\Cyvyahseaqkea RemoveDirectory: C:\Windows\system32\Doapuhveawuxidc RemoveDirectory: C:\Windows\system32\Uccykeatilxexou Folder: C:\Windows\System32\GroupPolicy\Machine Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. NA KONCIE PRACOWNIK: Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-4117495662-1774613777-2529111306-1001\...\Run: [Otemf] => C:\Users\Pracownik\AppData\Local\Otemf.exe C:\Users\Pracownik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\860601ede1953e04\Google Chrome.lnk Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. I jeszcze mam pytanie czy na Pracowniku w Google Chrome nie występują aby jakieś reklamy. W spisie skrótów jeden z nich wymusza start Chrome z określonym profilem (Profile 1), jedynym zresztą. Ten skrót nie jest normalny i powinien mieć źródło w instalacji adware.

Problemem jest przestawiona data komputera: Uruchomiony przez user (administrator) LAPTOP (01-01-2006 11:31:39) Należy skorygować datę. Po korekcie daty i tak Cię czeka reinstalacja wszystkich dodatków Firefox. Znam to z autopsji. Po przestawieniu daty dodatki Firefox uzyskują stan "bez podpisu cyfrowego". Po korekcie daty nie regenerują się już i trzeba je przeinstalować. Po poprawieniu daty zrób nowe raporty FRST (wystarczy FRST.txt + Addition.txt).

Działania do przeprowadzenia: 1. Przez Dodaj/Usuń programy odinstaluj adware PriceFountain, SafeFinder oraz stare wersje Adobe AIR, Adobe Shockwave Player 12.0, Java 7 Update 71. 2. Zastosuj narzędzie SPTDinst, by odinstalować stary odpadkowy sterownik SPTD: KLIK. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 Quotenamron; C:\Documents and Settings\All Users\Dane aplikacji\\Quotenamron\\Quotenamron.exe [1106432 2016-06-18] () AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\DANEAP~1\Quotenamron\Domtom.dll => C:\Documents and Settings\All Users\Dane aplikacji\Quotenamron\Domtom.dll [257536 2016-06-18] () Task: C:\WINDOWS\Tasks\060184C3-9766-46a0-B258-F4518A0B2633.job => C:\WINDOWS\system32\cscript.exe C:\Documents and Settings\All Users\Dane aplikacji\Baidu Security\Duplicaterecord.js Task: C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job => C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Task: C:\WINDOWS\Tasks\norbertPacifismReenslavingV2.job => rundll32 exe GillerPsychotic dll HKU\S-1-5-21-725345543-1897051121-1177238915-1006\...\Run: [iSUSPM] => "C:\Documents and Settings\All Users\Dane aplikacji\FLEXnet\Connect\11\ISUSPM.exe" -scheduler HKU\S-1-5-21-725345543-1897051121-1177238915-1006\...\Run: [Akamai NetSession Interface] => "C:\Documents and Settings\norbert\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe" ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku ShellIconOverlayIdentifiers: [baiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com URLSearchHook: [s-1-5-21-725345543-1897051121-1177238915-1006] UWAGA => Brak domyślnego URLSearchHook HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://www.google.com" SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM -> Backup.Old.DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} SearchScopes: HKU\S-1-5-21-725345543-1897051121-1177238915-1006 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-725345543-1897051121-1177238915-1006 -> %SearchDefender_IESearchEngineGuid% URL = SearchScopes: HKU\S-1-5-21-725345543-1897051121-1177238915-1006 -> {19CB25E5-375B-90A4-95F6-6A95A99AD278} URL = SearchScopes: HKU\S-1-5-21-725345543-1897051121-1177238915-1006 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre7\bin\ssv.dll => Brak pliku BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre7\bin\jp2ssv.dll => Brak pliku Toolbar: HKU\S-1-5-21-725345543-1897051121-1177238915-1006 -> Brak nazwy - {192A6019-26D2-4611-AEAD-07CD7733B146} - Brak pliku DPF: {CAFEEFAC-0017-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_07-windows-i586.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab CustomCLSID: HKU\S-1-5-21-725345543-1897051121-1177238915-1006_Classes\CLSID\{1c492e6a-2803-5ed7-83e1-1b1d4d41eb39}\InprocServer32 -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll => Brak pliku S3 EagleNT; \??\C:\WINDOWS\system32\drivers\EagleNT.sys [X] S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 Lavasoft Kernexplorer; \??\C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys [X] S3 Secdrv; system32\DRIVERS\secdrv.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Documents and Settings\All Users\Dane aplikacji\6499be50.dat C:\Documents and Settings\All Users\Dane aplikacji\97b26338f16942eda570559c1c92b696_c C:\Documents and Settings\All Users\Dane aplikacji\HirezPipeError.txt C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\Baidu C:\Documents and Settings\All Users\Dane aplikacji\Baidu Security C:\Documents and Settings\All Users\Dane aplikacji\Quotenamron C:\Documents and Settings\All Users\Dane aplikacji\Quotenamrons C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{00D2D01F-CE3A-4E19-B457-2DE1B9D22F13} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{097779E3-CAA2-4EE1-A541-F09722E513C6} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{2FB24DAB-30E0-4102-84DD-5C09D6390BE5} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{37192CB8-D3D5-47B4-BF67-5F0E0E90CE59} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{5C5E0931-C0D4-4334-B456-FD77E3271E5D} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{64EB4D1B-E356-4373-89FE-A45A191B1A75} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{8DD15F62-A8E8-4308-BEE3-B17554ED7DF1} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{90540566-C5E1-4F09-A544-7C1024CA3509} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{98D4DB03-DC7D-4162-A271-9014C0C7B3A7} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{C2DAA42B-0E9A-437E-ACA5-946029139EE2} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{CA9CFBDC-D9F3-4048-892A-B6E4FA888B2B} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{CCCEEEED-7886-475C-9065-61D1E0F88998} C:\Documents and Settings\All Users\Menu Start\Programy\Otchlan 1.3 C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\BAVData C:\Documents and Settings\marzenka\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\marzenka\Menu Start\Gadu-Gadu.lnk C:\Documents and Settings\marzenka\Menu Start\Programy\Gadu-Gadu C:\Documents and Settings\natalia\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\natalia\Menu Start\Video Converter Uninstall Video Converter.lnk C:\Documents and Settings\natalia\Menu Start\Video Converter Video Converter.lnk C:\Documents and Settings\natalia\Moje dokumenty\Natalia\zdjecia\2002 - 2005r\Stacja dysków CD.lnk C:\Documents and Settings\natalia\Pulpit\Śmieci z pulpitu\AirRivals.lnk C:\Documents and Settings\natalia\Pulpit\Śmieci z pulpitu\avast! Free Antivirus.lnk C:\Documents and Settings\natalia\Pulpit\Śmieci z pulpitu\Facebook.lnk C:\Documents and Settings\natalia\Pulpit\Śmieci z pulpitu\Need for Speed™ ProStreet.lnk C:\Documents and Settings\natalia\Pulpit\Śmieci z pulpitu\OpenFM.lnk C:\Documents and Settings\natalia\Pulpit\Śmieci z pulpitu\OverTargetMarkersEditor.lnk C:\Documents and Settings\natalia\Pulpit\Śmieci z pulpitu\Pit Pro 2011.lnk C:\Documents and Settings\natalia\Pulpit\Śmieci z pulpitu\Skype.lnk C:\Documents and Settings\natalia\Ustawienia lokalne\Dane aplikacji\BAVData C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\BAVData C:\Documents and Settings\norbert\.exe C:\Documents and Settings\norbert\Dane aplikacji\*.* C:\Documents and Settings\norbert\Dane aplikacji\Baidu C:\Documents and Settings\norbert\Dane aplikacji\BavMini C:\Documents and Settings\norbert\Dane aplikacji\Mozilla C:\Documents and Settings\norbert\Dane aplikacji\PriceFountainUpdateVer C:\Documents and Settings\norbert\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Graj w League of Legends.lnk C:\Documents and Settings\norbert\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\norbert\Menu Start\Programy\Anki.lnk C:\Documents and Settings\norbert\Menu Start\Programy\Steam C:\Documents and Settings\norbert\Menu Start\Programy\Terraria C:\Documents and Settings\norbert\Menu Start\Programy\Ubisoft C:\Documents and Settings\norbert\Moje dokumenty\Pendrajw 2010-2011\ANKA\ankieta kompetencyjna wtępna gr 1-6.lnk C:\Documents and Settings\norbert\Moje dokumenty\Pendrajw 2010-2011\ANKA\ankieya końcowa kadry dla budownictwa.lnk C:\Documents and Settings\norbert\Pulpit\League of Legends.lnk C:\Documents and Settings\norbert\Ustawienia lokalne\Dane aplikacji\BAVData C:\Documents and Settings\norbert\Ustawienia lokalne\Dane aplikacji\PacifismReenslaving C:\Program Files\Common Files\Betadex C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\BdSandboxDll32.dll CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Google Chrome: - Wyeksportuj zakładki z bieżącego profilu. Następnie Ustawienia > karta Ustawienia > Osoby > Dodaj osobę > zaloguj się na ten nowy profil, zamknij okna poprzednich. Wróć do ustawień Osób i skasuj wszystkioe pozostałe widoczne profile, z wyjątkiem świeżo założonego bieżącego. 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Prosę trzymaj się konfiguracji FRST z tutejszego forum (KLIK). Opcje Lista BCD, MD5 sterowników i Pliki z 90 dni nie miały być zaznaczone. Problemem jest szkodliwe proxy. Poza tym, są też zmodyfikowane skróty LNK przeglądarek. Działania do przeprowadzenia: 1. Odinstaluj stare wersje i zbędny dodatek AVG: Acrobat.com, Adobe AIR, AVG Web TuneUp, Java 8 Update 77 (64-bit), Java 8 Update 77, Java SE Development Kit 8 Update 60, Java SE Development Kit 8 Update 91 (64-bit), Spybot - Search & Destroy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1466184213&a=1054667&src=sh&uuid=d39ba6c1-b36b-442d-b445-4ca74b45d92e" ShortcutWithArgument: C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1466184213&a=1054667&src=sh&uuid=d39ba6c1-b36b-442d-b445-4ca74b45d92e" ShortcutWithArgument: C:\Users\Patryk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1466184213&a=1054667&src=sh&uuid=d39ba6c1-b36b-442d-b445-4ca74b45d92e" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> "hxxp://safebrowsing.biz/?ssid=1466184213&a=1054667&src=sh&uuid=d39ba6c1-b36b-442d-b445-4ca74b45d92e" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> "hxxp://safebrowsing.biz/?ssid=1466184213&a=1054667&src=sh&uuid=d39ba6c1-b36b-442d-b445-4ca74b45d92e" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-450625639-2108557950-182894140-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-450625639-2108557950-182894140-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch FF Plugin-x32: @esn/esnlaunch,version=2.3.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.3.0\npesnlaunch.dll [brak pliku] FF Plugin-x32: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelog.dll [brak pliku] CustomCLSID: HKU\S-1-5-21-450625639-2108557950-182894140-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Patryk\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 ShellExecuteHooks: - {6710C780-E20E-4C49-A87D-321850ED3D7C} - C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Cookies\bago.dll Brak pliku [ ] GroupPolicyScripts: Ograniczenia Task: {005EE743-AA71-47B0-A4F2-9155EC6BDBE9} - System32\Tasks\{D80A972F-BC98-4AC7-9FB2-547EFE7D933F} => C:\Users\Patryk\Desktop\jre-8u60-windows-x64.exe Task: {2A5500BA-79C6-4A48-B62F-136BD63AB579} - System32\Tasks\{7B893153-B703-4B7F-857C-822B036897B7} => pcalua.exe -a C:\Users\Patryk\Desktop\Victoria\vcr446f.exe -d C:\Users\Patryk\Desktop\Victoria Task: {3206CCA4-17E0-4C86-A0D4-8FBCDA729DC4} - System32\Tasks\{FD92FE01-D791-460E-BDCF-8E3F7CA1F566} => C:\Users\Patryk\Desktop\jre-8u60-windows-x64.exe Task: {38FE411B-976C-4253-9525-C4B2116D8A30} - System32\Tasks\Better Updater => C:\Users\Patryk\AppData\Roaming\Better Updater\Better Updater.exe Task: {3E4B5087-3795-45C5-92A0-DF6EC0BEE763} - System32\Tasks\{BF3F76FE-B559-4D29-A703-ACB7B0F56069} => C:\Users\Patryk\Desktop\jre-8u60-windows-x64.exe Task: {5CA38E2F-22D2-4159-A1F1-4110C59CC41A} - System32\Tasks\{B0CA3F82-662B-4985-A0C0-B550972311E2} => pcalua.exe -a G:\TMP\jre-8u71-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 Task: {7674B0E9-6FF5-4DCC-8D9B-DD8DEAC23BFA} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {873CC182-7F16-42E4-97C0-CB2806AE63D0} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {8E850216-1541-408B-946E-BF39EB73BF74} - System32\Tasks\{0762BD20-39EF-4F8D-8DB0-1D11C7BCC8C0} => pcalua.exe -a C:\PROGRA~2\BDE5SE~1\UNWISE.EXE -c C:\PROGRA~2\BDE5SE~1\INSTALL.LOG Task: {9048EB3F-021C-4CC9-9920-D7EFA08A9451} - System32\Tasks\{6E16FD4B-FB47-40F7-8CEF-0AFEBDAA00CC} => C:\Users\Patryk\Desktop\jre-8u60-windows-x64.exe Task: {9062DB96-6D1E-46EC-AC25-26465FA86441} - System32\Tasks\Alfasistem Memory Job => C:\Program Files (x86)\Alfasistem Memory\ tmjob.exe Task: {A799BB2D-0A5D-4E9B-829B-AB37031CAF55} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: {AE393478-9156-46A4-B215-D78AE37A1F1C} - System32\Tasks\Reujosestogle Community => C:\Program Files (x86)\Reujosestogle\ReujosestogleCmmTes.exe S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 cpuz138; \??\G:\TMP\cpuz138\cpuz138_x64.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 GPUZ; \??\G:\TMP\GPUZ.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 MSICDSetup; \??\F:\CDriver64.sys [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7F341DDA-39D3-4E15-99B0-EA892DB5ED35} DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains C:\Program Files (x86)\Anonetionjse C:\Program Files (x86)\Pheqeght C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Oracle VM VirtualBox\User manual (CHM, English).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Network Monitor 3.4 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NokiaFREE Calculator C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan C:\Users\Patryk\AppData\Local\ACCCx2_6_0_393.zip.aamdownload C:\Users\Patryk\AppData\Local\ACCCx2_6_0_393.zip.aamdownload.aamd C:\Users\Patryk\AppData\Local\Google\Chrome\User Data\ChromeDefaultData C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\MinGW Installation Manager.lnk C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\RightMark Audio Analyzer CMD: netsh advfirewall reset Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj powielone rozszerzenia Fair.... Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

W raportach brak oznak infekcji. Przeklej ze skanu Avira dokładny rekord, by przedstawić jaką ścieżkę docelową wykrył skaner. O ile na dysku są pliki DMP (jednak ja nie widzę ich w skanie FRST jako świeżo utworzonych), diagnostyka autoresetów: KLIK.

Żaden z przedstawionych systemów XP nie wykazuje aktywnej infekcji powiązanej z infekcją na pendrive, tylko na pendrive są jej skutki. Dla systemów będą do wykonania tylko poboczne działania (usunięcie starych niebezpiecznych wersji programów oraz wpisów odpadkowych / pustych). Działania do przeprowadzenia: DLA PENDRIVE (SPOD DOWOLNEGO SYSTEMU): 1. Otwórz Notatnik i wklej w nim: X:\Removable Drive (2GB).lnk CMD: attrib /d /s -s -h X:\* Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Pod X:\ podstaw literę pod jąką będzie zmapowany pendrive w Moim komputerze. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Jeśli wszystko pójdzie dobrze, na pendrive uwidoczni się folder "bez nazwy". To w nim są dane ukryte przez infekcję. Przesuń wszystkie dane z tego folderu poziom wyżej, a pusty już folder "bez nazwy" przez SHIFT+DEL (omija Kosz) skasuj DLA XP (LOGI FRST Z OZNACZENIEM "000"): 1. Odinstaluj stare wersje i zbędny download produktów Autodesk: Adobe Reader 9.5.5 - Polish, Akamai NetSession Interface, Java 8 Update 45. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: SearchScopes: HKLM -> {d3f22a84-2a84-49eb-91e6-5dadaaf0165d} URL = hxxp://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=GRxdm324YYpl&ptnrS=GRxdm324YYpl&si=4124&ptb=1C14E1FE-77C3-49F8-A6E2-CC3FA5FC2510&ind=2012041709&n=77ed51ed&psa=&st=sb&searchfor={searchTerms} SearchScopes: HKU\S-1-5-21-73586283-412668190-682003330-1004 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=8B30817C-377A-4B76-B54A-86713E2E74CB&apn_sauid=3289FC9C-3D1E-43BF-9FE9-A68F98BABAA0 SearchScopes: HKU\S-1-5-21-73586283-412668190-682003330-1004 -> {d3f22a84-2a84-49eb-91e6-5dadaaf0165d} URL = hxxp://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=GRxdm324YYpl&ptnrS=GRxdm324YYpl&si=4124&ptb=1C14E1FE-77C3-49F8-A6E2-CC3FA5FC2510&ind=2012041709&n=77ed51ed&psa=&st=sb&searchfor={searchTerms} Toolbar: HKU\S-1-5-21-73586283-412668190-682003330-1004 -> Brak nazwy - {D4027C7F-154A-4066-A1AD-4243D8127440} - Brak pliku HKLM\...\Run: [sunJavaUpdateSched] => "C:\Program Files\Java\jre1.8.0_45\bin\jusched.exe" HKU\S-1-5-21-73586283-412668190-682003330-1004\...\Run: [Allway Sync 'n' Go] => "D:\Allway Sync 'n' Go\Bin\syncappw.exe" -m FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension DPF: {68282C51-9459-467B-95BF-3C0E89627E55} hxxp://www.mks.com.pl/skaner/SkanerOnline.cab CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{000C0114-0000-0000-C000-000000000046}\InprocServer32 -> C:\PROGRA~1\COMMON~1\MI => Brak pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{1EFB6596-857C-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{2C247F23-8591-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{35053A22-8589-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{44EC053A-400F-11D0-9DCD-00A0C90391D3}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{66833FE6-8583-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{6D7AE628-FF41-4CD3-91DD-34825BB1A251}\localserver32 -> C:\Program Files\Autodesk\AutoCAD Architecture 2011\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{812034D2-760F-11CF-9370-00AA00B8BF00}\InprocServer32 -> C:\PROGRA~1\COMMON~1\MI => Brak pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{8E3867A3-8586-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{B722BCCD-4E68-101B-A2BC-00AA00404770}\InprocServer32 -> C:\PROGRA~1\COMMON~1\MI => Brak pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{BDD1F04B-858B-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE32-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE33-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE34-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE35-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE36-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE37-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE38-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE39-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE3A-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE3B-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE3C-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE3D-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE3E-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE3F-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE40-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE41-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C27CCE42-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C74190B6-8589-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{C92FB640-AD4D-498A-9979-A51A2540C977}\localserver32 -> C:\Program Files\Autodesk\AutoCAD Architecture 2011\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{D5DE8D20-5BB8-11D1-A1E3-00A0C90F2731}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{D70E31AD-2614-49F2-B0FC-ACA781D81F3E}\localserver32 -> C:\Program Files\Autodesk\AutoCAD Architecture 2011\acad.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{DD9DA666-8594-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-73586283-412668190-682003330-1004_Classes\CLSID\{F08DF954-8592-11D1-B16A-00C0F0283628}\InprocServer32 -> Brak ścieżki do pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer DeleteKey: HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer DeleteKey: HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer C:\Documents and Settings\All Users\msqrplk.exe C:\Documents and Settings\user_2\Ustawienia lokalne\Dane aplikacji\FSDART C:\Documents and Settings\user_2\Ustawienia lokalne\Dane aplikacji\F-Secure C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten log. DLA XP (LOGI FRST Z OZNACZENIEM "002"): 1. Odinstaluj stare wersje: Adobe Flash Player 19 ActiveX, Adobe Reader X (10.1.11) - Polish, Apple Application Support, Apple Software Update, Java 7 Update 55, QuickTime. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe S3 BlueletAudio; system32\DRIVERS\blueletaudio.sys [X] S3 BlueletSCOAudio; system32\DRIVERS\BlueletSCOAudio.sys [X] S3 BT; system32\DRIVERS\btnetdrv.sys [X] S3 Btcsrusb; System32\Drivers\btcusb.sys [X] S0 BTHidEnum; System32\Drivers\vbtenum.sys [X] S0 BTHidMgr; System32\Drivers\BTHidMgr.sys [X] S3 catchme; \??\C:\avyrv5h6\catchme.sys [X] S3 USBET; system32\DRIVERS\ETdrv.sys [X] S3 VComm; system32\DRIVERS\VComm.sys [X] S3 VcommMgr; System32\Drivers\VcommMgr.sys [X] HKLM\...\Run: [NokiaMServer] => C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer /watchfiles startup GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1645522239-823518204-682003330-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia URLSearchHook: HKLM -> Domyślne = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} Toolbar: HKU\S-1-5-21-1645522239-823518204-682003330-1003 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku Toolbar: HKU\S-1-5-21-1645522239-823518204-682003330-1003 -> Brak nazwy - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - Brak pliku CustomCLSID: HKU\S-1-5-21-1645522239-823518204-682003330-1003_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [{A27F3FEF-1113-4cfb-A032-8E12D7D8EE70}] - C:\Program Files\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension FF HKLM\...\Thunderbird\Extensions: [{CCB7D94B-CA92-4E3F-B79D-ADE0F07ADC74}] - C:\Program Files\Nokia\Nokia Ovi Suite\Connectors\Thunderbird Connector\ThunderbirdExtension DeleteKey: HKLM\SOFTWARE\MozillaPlugins\@Microsoft.com/DownloadManager DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer DeleteKey: HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer DeleteKey: HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer C:\Documents and Settings\All Users\Dane aplikacji\F-Secure C:\Documents and Settings\zbyszek\Ustawienia lokalne\Dane aplikacji\FSDART C:\Program Files\mozilla firefox\browser\searchplugins C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension C:\Program Files\Nokia\Nokia Ovi Suite\Connectors\Thunderbird Connector\ThunderbirdExtension C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten log. DLA XP (LOGI FRST Z OZNACZENIEM "003"): Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\runonceex: [Flag] => 2 Toolbar: HKU\S-1-5-21-602162358-1644491937-1417001333-1003 -> Brak nazwy - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - Brak pliku CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-602162358-1644491937-1417001333-1003_Classes\CLSID\{D5DE8D20-5BB8-11D1-A1E3-00A0C90F2731}\InprocServer32 -> Brak ścieżki do pliku DFF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: Microsoft .NET Framework Assistant - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2014-06-16] [brak podpisu cyfrowego] S2 SSPORT; \??\C:\WINDOWS\system32\Drivers\SSPORT.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten log.

Te logi wklejone do posta trzeba wymazać, sama sieczka. - By dołączyć pliki w postaci oryginalnej, kliknij przy w/w poście opcję Edytuj > Użyj pełnego edytora > jest opcja doczepiania plików. - Jeśli będziesz pisał kolejne posty, to w polu szybkiej odpowiedzi na spodzie tematu > Więcej opcji

Działania do przeprowadzenia: 1. Deinstalacje: - Wejdź do folderów C:\Program Files (x86)\MPC Cleaner + C:\Program Files (x86)\Tencent. Wyszukaj deinstalatory, z prawokliku "Uruchom jako administrator", zresetuj system. Przypuszczalnie Tencent stawi opór, niemniej spróbuj. - Przez Panel sterowania odinstaluj stare niebezpieczne wersje: Adobe AIR, Apple Software Update, Java 8 Update 25, Obsługa programów Apple, QuickTime 7. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe R2 QQPCRTP; C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCRTP.exe [301728 2016-06-16] (Tencent) S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-06-16] () R1 QMUdisk; C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QMUdisk64.sys [79160 2016-06-16] (Tencent) R2 QQSysMonX64; C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQSysMonX64.sys [138040 2016-06-16] (电脑管家) R1 softaal; C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\softaal64.sys [35128 2016-06-16] (Tencent) R3 TAOAccelerator; C:\Windows\system32\Drivers\TAOAccelerator64.sys [89464 2016-06-16] (Tencent) R1 TAOKernelDriver; C:\Windows\system32\Drivers\TAOKernel64.sys [131896 2016-06-16] (Tencent Technology(Shenzhen) Company Limited) R3 TFsFlt; C:\Windows\System32\Drivers\TFsFltX64.sys [87864 2016-06-16] (电脑管家) R1 TSDefenseBt; C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\TSDefenseBT64.sys [28984 2016-06-16] (Tencent) S3 TSSKX64; C:\Windows\System32\drivers\tsskx64.sys [38200 2016-06-16] (电脑管家) R1 TSSysKit; C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\TSSysKit64.sys [87352 2016-06-16] (电脑管家) S3 avchv; system32\DRIVERS\avchv.sys [X] S3 blNetFilter; \??\C:\Windows\system32\drivers\blNetFilter.sys [X] S2 chaekgrewegeverfierService; "C:\Program Files (x86)\Chaekgrewege\chaekgrewegeverfierService.html5" {79740E79-A383-47A7-B513-3DF6563D007F} {8C4CE252-7DB2-4F8E-8E76-BAD0E5826A83} [X] S2 dowidoly; C:\Program Files (x86)\00000000-1466095405-0000-0000-1C6F65D90B5A\jnsj8743.tmp [X] S2 rijufoze; C:\Program Files (x86)\00000000-1466095405-0000-0000-1C6F65D90B5A\hnsy9CA8.tmp [X] R4 gzflt; \??\C:\Program Files\Lavasoft\Ad-Aware Antivirus\Antimalware Engine\3.0.129.0\gzflt.sys [X] S0 ITDFNPYNFL; System32\Drivers\askProtect64.sys [X] Task: {BA4618A9-929C-42AF-B7E7-FADC626E3ADC} - System32\Tasks\Chaekgrewege Verfier => C:\Program Files (x86)\Chaekgrewege\chaekgrewegeverfierTask.exe [2016-06-15] () Task: {BDCF8747-6077-4B47-9993-C68A568AFECA} - System32\Tasks\{676C24A8-4FDB-4921-8A8C-8922F55D5CA4} => pcalua.exe -a "C:\Program Files (x86)\CleanBrowser\uninstall.exe" -c /uninstall HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM-x32\...\Run: [apphide] => C:\Program Files (x86)\badu\qq.exe HKLM-x32\...\Run: [ QQPCTray] => C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCTRAY.EXE [355296 2016-06-16] (Tencent) HKU\S-1-5-21-2770645938-1525980923-2771191637-1000\...\Run: [AdobeBridge] => [X] ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QMGCShellExt64.dll [2016-06-16] (Tencent) BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\TSWebMon64.dat [2016-06-16] (Tencent) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-2770645938-1525980923-2771191637-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ-2orCeBR-PX6VPoUWAHry7WFA2STngrnaJtVZT5DE99Djo3-wl0u1bzYdP7GQ3aF6zlsMoCc52UyIjJtv7vLGJNr0_hUI2ftKwya6DgTf2g-yY6yhbmTCT3DR1Thofbb1JsD2uo6KY70gPaArfYFTWNPyrQ,,&q={searchTerms} HKU\S-1-5-21-2770645938-1525980923-2771191637-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ-2orCeBR-PX6VPoUWAHry7WFA2STngrnaJtVZT5DE99Djo3-wl0u1bzYdP7GQ3aF6zlsMoCc52UyIjJtv7vLGJNr0_hUI2ftKwya6DgTf2g-yY6yhbmTCT3DR1Thofbb1JsD2uo6KY70gPaArfYFTWNPyrQ,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ-2orCeBR-PX6VPoUWAHry7WFA2STngrnaJtVZT5DE99Djo3-wl0u1bzYdP7GQ3aF6zlsMoCc52UyIjJtv7vLGJNr0_hUI2ftKwya6DgTf2g-yY6yhbmTCT3DR1Thofbb1JsD2uo6KY70gPaArfYFTWNPyrQ,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2770645938-1525980923-2771191637-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ-2orCeBR-PX6VPoUWAHry7WFA2STngrnaJtVZT5DE99Djo3-wl0u1bzYdP7GQ3aF6zlsMoCc52UyIjJtv7vLGJNr0_hUI2ftKwya6DgTf2g-yY6yhbmTCT3DR1Thofbb1JsD2uo6KY70gPaArfYFTWNPyrQ,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2770645938-1525980923-2771191637-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ-2orCeBR-PX6VPoUWAHry7WFA2STngrnaJtVZT5DE99Djo3-wl0u1bzYdP7GQ3aF6zlsMoCc52UyIjJtv7vLGJNr0_hUI2ftKwya6DgTf2g-yY6yhbmTCT3DR1Thofbb1JsD2uo6KY70gPaArfYFTWNPyrQ,,&q={searchTerms} CHR Extension: (Video AdBlock for Chrome) - C:\Users\Tuscioch\AppData\Local\Google\Chrome\User Data\Default\Extensions\bknbnapaddjdnbilpmlacdkjdkjmbjhd [2016-03-09] CHR Extension: (电脑管家上网防护) - C:\Users\Tuscioch\AppData\Local\Google\Chrome\User Data\Default\Extensions\ooebklgpfnbcnpokahmdidgbmlcdepkm [2016-06-16] CHR Extension: (Bazz Search) - C:\Users\Tuscioch\AppData\Local\Google\Chrome\User Data\Default\Extensions\pinhfkamckbogjgmbmdkdebbbpnmlaef [2016-06-16] CHR HKU\S-1-5-21-2770645938-1525980923-2771191637-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx ShortcutWithArgument: C:\Users\Tuscioch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Tuscioch\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Tuscioch\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Tuscioch\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% FirewallRules: [{FD847F1E-568C-439C-BE4C-990DF017F899}] => (Allow) C:\Users\Tuscioch\AppData\Local\Temp\MPCOnline\MPCDownload.exe FirewallRules: [{720ECC18-AA61-4CEB-A9F8-53D34E3EB402}] => (Allow) C:\Users\Tuscioch\AppData\Local\Temp\MPCOnline\MPCDownload.exe FirewallRules: [{81245B04-B75A-424B-B1A6-4DE6EC94D2EF}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCmgrInstallGuide.exe FirewallRules: [{512CE4C0-62B4-4378-BBCF-1E8623EC5F90}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCTray.exe FirewallRules: [{235909F9-16E6-4D68-9D40-E987012B753C}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCMgr.exe FirewallRules: [{3487CEDA-5F51-49B2-9C24-DAD19A0E7564}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCRTP.exe FirewallRules: [{A221B5FA-BBC2-4568-8A72-892E2BC662BA}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QMDL.exe FirewallRules: [{A2129534-9CF2-45C8-9318-41D0C8DCA887}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\bugreport.exe FirewallRules: [{45A44750-6C78-4F0B-BA8B-003C0F210A6B}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCFileOpen.exe FirewallRules: [{AB699F88-E7DD-41C0-8F57-D079BA848B8A}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCLeakScan.exe FirewallRules: [{35DE8337-0404-44C6-BC9F-B1AB40B47236}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPConfig.exe FirewallRules: [{B15FC6ED-1328-4AF7-907B-407BDB50848A}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCSoftMgr.exe FirewallRules: [{F4471065-5336-4303-9F46-7B779597EAF2}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\plugins\QMNetMon\QQPCNetFlow.exe FirewallRules: [{99D0D339-92D7-4CD6-A7B4-54262FFBBF93}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCBTU.exe FirewallRules: [{1769A617-27AA-4846-B96F-1FB3729E3CA8}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCClinic.exe FirewallRules: [{0336DE99-A0B4-4917-8D0A-02867257DAF4}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCLaunch.exe FirewallRules: [{0276A55C-6A84-440F-B87F-8C426BA218A3}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QMUpdate\QQPCMgrUpdate.exe FirewallRules: [{ECB2E148-2A3D-41CB-ACA6-2104CC86A480}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCSoftGame.exe FirewallRules: [{659CE565-E5B3-4BA8-9699-4C9C4E0992D9}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCSysOptimize.exe FirewallRules: [{43D8B6AF-F9DE-42E7-B017-D7C6A57CC319}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCUpdateAVLib.exe FirewallRules: [{38FDE77D-D8A3-4DFC-A5E4-60A6608F7A5B}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQRepair.exe FirewallRules: [{C374D107-B02C-4AC7-BE4F-68B69EE35A51}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\Uninst.exe FirewallRules: [{65EAF90D-54AC-4C27-9DB5-8B2F301E4DF4}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QQPCPatch.exe FirewallRules: [{D5B9F811-5C94-49D4-AE29-D4138722328D}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\TpkUpdate.exe FirewallRules: [{172B2245-CA6B-4706-81E6-0FBE367B2C36}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QMRouterMgr.exe FirewallRules: [{99B29F6E-2C61-4058-9AA4-E58F8D449111}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QMAccountProtection.exe FirewallRules: [{CC3B1AF8-A593-41CF-949C-783ED4C88441}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\QMAdBlock.exe FirewallRules: [{282B955E-C04D-44BF-914F-428D80D4756C}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe FirewallRules: [{1A8BA3A3-C2C3-4E32-A8E7-83C02FBC9DCF}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe FirewallRules: [{D8F91689-5488-4A90-87BD-7CAD6C91A8AF}] => (Allow) C:\Program Files (x86)\ADSKIP\ADSkip.exe FirewallRules: [{E613D24A-AF0A-4621-AFE6-F0BAC5EFCF9B}] => (Allow) C:\Program Files (x86)\ADSKIP\ADSkipSvc.exe AV: 电脑管家系统防护 (Enabled - Up to date) {6F9C3F92-B625-0E47-F0B1-447602EC65F5} AS: 电脑管家系统防护 (Enabled - Up to date) {D4FDDE76-901F-01C9-CA01-7F04796B2F48} DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKCU\Software\Tencent DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdobeCS6ServiceManager DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\APSDaemon DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LightScribe Control Panel DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NBKeyScan DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Tencent DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Tencent Reg: reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" /v PendingFileRenameOperations /t REG_MULTI_SZ /d "" /f CMD: for %i in ("C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\*.dll") do regsvr32 /s /u %i CMD: for %i in ("C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17195.214\*.dll") do C:\Windows\SysWOW64\regsvr32.exe /s /u %i C:\Program Files\Common Files\WinPcapNmap.exe C:\Program Files\Common Files\Tencent C:\Program Files (x86)\00000000-1466095405-0000-0000-1C6F65D90B5A C:\Program Files (x86)\badu C:\Program Files (x86)\Chaekgrewege C:\Program Files (x86)\CleanBrowser C:\Program Files (x86)\Clzghthupase C:\Program Files (x86)\Lattionmesos C:\Program Files (x86)\MPC Cleaner C:\Program Files (x86)\Tencent C:\ProgramData\adaware-installer-reboot-required.tmp C:\ProgramData\CloudPrinter C:\ProgramData\Logic Handler C:\ProgramData\Quoteexs C:\ProgramData\Tencent C:\ProgramData\TXQMPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Fraps C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ManiaPlanet C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SCi Games C:\Users\Tuscioch\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 C:\Users\Tuscioch\AppData\Local\app C:\Users\Tuscioch\AppData\Local\UCBrowser C:\Users\Tuscioch\AppData\Local\Microsoft\Windows\GameExplorer\{B2501E5E-7229-4132-B1F2-980293971595} C:\Users\Tuscioch\AppData\Roaming\*.* C:\Users\Tuscioch\AppData\Roaming\gplyra C:\Users\Tuscioch\AppData\Roaming\MCorp C:\Users\Tuscioch\AppData\Roaming\Tencent C:\Users\Tuscioch\AppData\Roaming\Microsoft\Windows\SendTo\MPC Desktop.lnk C:\Users\Tuscioch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Tuscioch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live for Speed C:\Users\Public\Desktop\Aktualności.lnk C:\Users\Public\Desktop\MPC Cleaner.lnk C:\Users\Tuscioch\Downloads\SpyHunter-Installer.exe C:\Users\Tuscioch\Downloads\SpyHunter-Installer (1).exe C:\Windows\chromebrowser.exe C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\system32\Drivers\TAOKernel64.sys C:\Windows\system32\Drivers\TAOAccelerator64.sys C:\Windows\system32\Drivers\TFsFltX64.sys C:\Windows\system32\Drivers\TSSKX64.sys C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\findit.xml Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Adware podstawiło w Google Chrome całkowicie nowy profil ChromeDefaultData. Należy go usunąć i przywrócić poprzedni, a jeśli poprzedni niedostępny to założyć całkowicie nowy. Czyli: Ustawienia > karta Ustawienia > Osoby > na liście powinien być user0 (to profil utworzony porzez adware). Jeśli to jedyna widoczna "Osoba", skorzystaj z opcji Dodaj Osobę, następnie zaloguj się na nowy profil, zamknij okno poprzedniego, w Ustawieniach skasuj "user0". 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wszystkie logi proszę wstaw jako załączniki forum, a nie na serwisach wklejkowych.

Kurcze, ta deinstalacja IE11 to był błąd. Teraz system wrócił pewnie do starej wersji IE8 - powiedz mi czy z poziomu tej wersji da się pobrać z tej strony?

Była tu usuwana infekcja z dysku C. Przywrócenie plików z E nie dotyczy tego co było robione wcześniej. Z tym że kompletnie nie wiadomo jaki był stan katalogu E:\Gry i co w nim naprawdę było. Nie. Odzyskane dane należy przenosić ręcznie.

Chyba już tu nic nie zaradzę. Skoro katalog ogołocony, a program do odzyskiwania danych znajduje częściowo nadpisane dane, to raczej nie widzę rozwiązania.

Mówisz o włączonym oknie Windows Update (tym samym które uruchamia się z Panelu sterowania)? W takim przypadku zatrzymaj proces wyszukiwania aktualizacji poprzez restart komputera. I przejdź do instalacji tej drugiej łaty.

Zrozumiałam za pierwszym razem i mówię byś to uruchomił właśnie za pomocą "Autonomiczny Instalator rozszerzenia Windows Update". Tak się otwiera pliki MSU.

aga133, na czym stoimy, czy jest już pewne że śledzenie (nie)odbywa się?

Do tego nie ma co szukać sterowników w rozumieniu które temu przypisujesz. To jest wirtualne urządzenie generowane przez emulator SPTD od DAEMON Tools / Alcohol. Z Twojego raportu: R0 sptd; C:\Windows\System32\Drivers\sptd.sys [386680 2014-05-09] (Duplex Secure Ltd.) U3 a5t6qt57; C:\Windows\System32\Drivers\a5t6qt57.sys [0 ] (Microsoft Corporation) Więcej na ten temat: KLIK / KLIK. Jeśli odinstalujesz DAEMON Tools Lite i sterownik SPTD zgodnie z wytycznymi w pierwszym linku, urządzenie zniknie z menedżera. Jeśli DAEMON Tools ma pozostać w systemie, to przynajmniej zaktualizuj SPTD do nowszej wersji posługując się narzędziem SPTDInst podanym w pierwszym linku. I dużo grzebałeś, więc zrób nowe raporty FRST (FRST.txt + Addition.txt) obrazujące zmiany. Podsumuj też co obecnie działa lub nie.

1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku poniższy folder adware oraz od FRST: C:\Users\Ja\AppData\Roaming\PriceFountainUpdateVer C:\Users\Ja\Downloads\fix\FRST-OlderVersion Za pomocą Hitman Pro usuń wszystkie pozostałe wyniki. Wprawdzie w nich jest też FRST64.exe (fałszywy alarm), ale FRST idzie i tak na ubój i wszystkie kopie mają zostać usunięte z dysku. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Temat przenoszę do działu Windows. Nie ma wskazań, że to infekcja. A ten odczyt z GMER to wygląda jak by system był zablokowany. Z raportów FRST mało co wynika. To może być równie dobrze problem sprzętowy. Wg FRST niedawno odświeżały się sterowniki Avast. One nadal są aktywne, pomimo że rzekomo Avast odinstalowany. Zastosuj narzędzie Avast Uninstall Utility. Przy okazji odinstaluj też śmiecia Amazon Browser Bar. Zresetuj system. Po akcji zrób nowe raporty FRST (FRST.txt + Addition.txt) oraz wypowiedz się czy usunięcie sterowników Avast coś wniosło do sprawy. Czy to zachowanie podczas wchodzenia w awaryjny powtarza się?

W tej kwestii załóż nowy temat, przypuszczalny kierunek dział Hardware. DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. Temat związany z adware rozwiązany. Zamykam.

Nie, FRST nie nadaje się do analizy zainstalowanych aktualizacji. Ta część w ogóle nie jest skanowana. Większym dowodem, że ma przypuszczalnie wszystkie aktualizacje, będzie odczyt z Windows Update, że nie znaleziono już nic więcej do zainstalowania.

Nie dołączyłeś pliku fixlog.txt z wynikami usuwania. Doczep go, plik jest tam skąd uruchamiałeś FRST. Nie uruchamiaj przypadkiem skryptu ponownie. Nie został wykonany ten punkt: Nadal wg FRST domyślnym profilem jest profil adware "ChromeDefaultData" (nazwa wyświetlana przypuszczalnie user0). Tego nie załatwisz żadnym "skryptem do FRST", jest konieczna operacja na profilach w opcjach Google Chrome.

Temat przenoszę do działu Vista. Infekcji tu nie widać. Zacznij od deinstalacji staroci, co odetnie część procesów. 1. Odinstaluj: Adobe AIR, Adobe Digital Editions, Adobe Flash Player 16 NPAPI, Adobe Reader X (10.1.16) - Polish, Adobe Shockwave Player, Bonjour, CyberLink DVD Suite, Facebook Video Calling 3.1.0.521, HP Customer Experience Enhancements, HP DVD Play 3.7, HP MediaSmart DVD, HP MediaSmart Music/Photo/Video, HP MediaSmart SmartMenu, HP MediaSmart Webcam, Java 8 Update 77, LabelPrint, LightScribe System Software, Mozilla Firefox 24.0 (x86 pl), Mozilla Maintenance Service, My HP Games, Nero 9, OpenOffice.org 3.4.1, Pasek narzędzi AOL 5.0, PhotoNow!, Power2Go, PowerDirector, RealPlayer, Sony Ericsson Update Service, Windows Live Messenger, Yahoo! Messenger, Yahoo! Software Update, Yahoo! Toolbar + to z czego nie będziesz korzystać. W przypadku problemów z deinstalacją skorzystaj z Wise Program Uninstaller oraz Program Install and Uninstall Troubleshooter. 2. Uruchom ten skrypt: KLIK. Wklej do Notatnika skrypt podany na stronie, zapisz pod nazwą FIX.VBS, plik umieść na C:\, następnie Start > w polu szukania cmd > z prawokliku Uruchom jako Administrator > wklep C:\FIX.VBS. 3. Wyczyść Dzienniki zdarzeń: Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. W sekcji Dzienniki systemu Windows z prawokliku wyczyść gałęzie Aplikacja i System. W sekcji Dzienniki aplikacji i usług > Microsoft > Windows > CodeIntegrity > z prawokliku wyczyść Operational. Po akcji zresetuj system, by nagrały się nowe błędy w Dzienniku zdarzeń. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. I będzie doczyszczanie po deinstalacjach.

Temat przenoszę do działu sprzętowego. A log z FRST bezużyteczny i nic tu nie zdziałamy. FRST w ogóle nie wykrył zawartości dysku systemowego (ten dysk nie jest wyliczany w sekcji dysków, tylko w spisie partycji widać że jest twardy), w związku z tym nie był w stanie podmontować rejestru, ani nie wykrył żadnych plików na dysku. ATTENTION: Could not load system hive. ATTENTION: System hive is missing. To wszystko oznacza brak czytelności dysku z systemem.

Podaj też log USBFix z opcji Listing zrobiony przy podpiętym pendrive.

Ale przecież te łaty mają być zamiast aktualnego wyszukiwania Windows Update, właśnie by obejść problem długiego wyszukiwania na świeżo zainstalowanym systemie, który ma potężne braki. Najpierw instalujesz tę pierwszą (ona jest niezbędna, by dało się zainstalować tę drugą). Tak, to jest przedstawione jako "Autonomiczny Instalator rozszerzenia Windows Update", i to należy zainstalować. Potem instalujesz tę drugą łatę, która w istocie ładuje MASĘ łat, by nie pobierać ich z Windows Update. I dopiero gdy ona się zainstaluje, uruchamiasz Windows Update w systemie, które powinno działać już szybciej i wyszukać tylko "drobnicę" wydaną po kwietniu 2016. PS. Przez SHIFT+DEL (omija Kosz) dokasuj foldery: C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\ByteFence C:\Users\Arek\Desktop\Stare dane programu Firefox

Wszystko poprawnie wykonane. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.