picasso

Wszystko zrobione. Kończymy: 1. Jedna z kopii FRST była uruchamiana z folderu C:\Users\Inga\Documents\k, skasuj stamtąd ręcznie FRST i jego logi. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. W linku podane też instalatory do najnowszej wersji Adobe Reader, który został odinstalowany.

Być może te konkretne wpisy zdążyły się załadować na skutek aktywności modułu Sathurbot, który omyłkowo ominęłam. Ale ogólnie to mnie zastanawia skąd te wszystkie infekcje nabyłeś.... Część wygląda mi na robotę jakiegoś cracka... 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe HKU\S-1-5-21-813231136-3034751300-3063813572-1001\...\Run: [Odvics] => C:\Users\Pawcio\AppData\Local\Odvics\tmp41F0.exe [115326 2016-06-08] () HKU\S-1-5-21-813231136-3034751300-3063813572-1001\...\Run: [iksoft] => regsvr32.exe C:\Users\Pawcio\AppData\Local\Iksoft\trlkoxzc.dll HKU\S-1-5-21-813231136-3034751300-3063813572-1001\...\Run: [AXworks] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Pawcio\AppData\Local\Odvics\gtvluhlp.dll C:\Users\Pawcio\AppData\Local\Iksoft C:\Users\Pawcio\AppData\Local\Odvics C:\Users\Pawcio\AppData\Roaming\Aero.dll C:\Users\Pawcio\AppData\Roaming\Percale.w C:\Users\Pawcio\AppData\Roaming\Quadrate.uYS CMD: netsh advfirewall reset EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. 2. Zrób nowy log z FRST (tylko główny FRST.txt). Dodatkowo sprawdź także czy coś wykrywa Kaspersky TDSSKiller, a jeśli tak, dostarcz z niego log.

1. Tak, tym razem właściwy log. AdwCleaner znalazł jednak sporo szczątkowych śmieci. Uruchom go ponownie, po kolei wybierz opcje Skanuj + Usuń. Gdy program ukończy czyszczenie, skorzystaj z opcji Odinstaluj. 2. Następnie przez SHIFT+DEL (omija Kosz) skasuj z dysku ten folder adware: C:\Users\Inga\AppData\Local\Installer

Te procesy wskazują, że załadowane zostało kolejne malware... Poproszę o nowe raporty FRST.txt + Addition.txt.

Dostarczyłaś mi strasznie stary log: # AdwCleaner v4.105 - Log utworzony 16/12/2014 o 03:54:33 Powtarzaj zadanie.

To samo. Zmiana metody: 1. Uruchom menedżer zadań > Plik > Uruchom nowe zadanie > w polu wklep powershell > zaznacz "Utwórz to zadanie z uprawnieniami administracyjnymi". W onie PowerShell wklej poniższe polecenie: Stop-Service winmgmt -Force; winmgmt /resetrepository 2. Zresetuj system. Zrób nowy log z WMIDiag.

Brak zmian, bo nie zostały zatrzymane usługi zależne od Winmgmt i do resetu Repozytorium nawet nie doszło. Czyli ponów akcję, tym razem stosując skrypt o takiej zawartości: CMD: sc stop SharedAccess CMD: sc stop wscsvc CMD: sc stop winmgmt CMD: winmgmt /resetrepository

Ten ostatni Fix uruchomiłaś więcej niż raz. Skrypt jest jednorazowego użytku i nie przetworzy ponownie tego samego. W pierwszym podejściu akcje zostały wykonane. Były tu też szczątki adware. Na wszelki wypadek uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Tencent stosuje inwazyjne metody ładowania oraz "autoreperację" komponentów. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj lewy skaner SpyHunter 4. W przypadku kłopotów z deinstalacją oraz nawet po poprawnej deinstalacji zastosuj narzędzie SpyHunterCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe R2 QQPCRtp; D:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCRTP.exe [313936 2016-06-08] (Tencent) U2 QQRepair1704; C:\Program Files (x86)\Tencent\QQPCMGR\QQRepair1704 [147176 2016-06-08] () S2 QQRepairFixSVC; C:\Program Files (x86)\Tencent\QQPCMGR\QQRepairFixSVC [147176 2016-06-08] () S2 QQRepair22d1; "C:\Program Files (x86)\Tencent\QQPCMGR\QQRepair22d1" [X] R1 QMUdisk; D:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMUdisk64.sys [184952 2016-05-18] (Tencent) R2 qqsysmonx64; D:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQSysMonX64.sys [154744 2016-06-08] (电脑管家) R1 softaal; D:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\softaal64.sys [44664 2016-06-08] (Tencent) R1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv [179320 2016-06-08] () R3 TAOAccelerator; C:\WINDOWS\system32\Drivers\TAOAccelerator64.sys [99480 2016-06-08] (Tencent) R2 TAOKernelDriver; C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys [143992 2016-06-08] (Tencent Technology(Shenzhen) Company Limited) R3 TcHardWare; D:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCHW-x64.sys [16552 2016-06-08] (Tencent) R1 TFsFlt; C:\Windows\System32\Drivers\TFsFltX64.sys [97400 2016-06-08] (电脑管家) R3 TS888x64; D:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TS888x64.sys [38520 2016-06-08] (Tencent) S1 TSDefenseBt; D:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSDefenseBT64.sys [28984 2016-06-08] (Tencent) R2 tsnethlpx64; D:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys [57976 2016-06-08] () R4 TSSysKit; D:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSSysKit64.sys [96888 2016-06-08] (电脑管家) HKLM-x32\...\Run: [ QQPCTray] => D:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCTray.exe [362304 2016-06-08] (Tencent) HKLM-x32\...\Run: [AsioThk32Reg] => REGSVR32.EXE /S CTASIO.DLL HKLM-x32\...\Run: [CTHelper] => CTHELPER.EXE HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => D:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMGCShellExt64.dll [2016-06-08] (Tencent) BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> D:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSWebMon64.dat [2016-06-08] (Tencent) AV: 电脑管家系统防护 (Enabled - Up to date) {6F9C3F92-B625-0E47-F0B1-447602EC65F5} AS: 电脑管家系统防护 (Enabled - Up to date) {D4FDDE76-901F-01C9-CA01-7F04796B2F48} FirewallRules: [{E44A5660-6FE7-491A-A859-CEFE44256935}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe FirewallRules: [{A3C1D459-5D8F-41EF-A814-023239C3329D}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe FirewallRules: [{6A130BD1-506A-42D0-8345-56A19061BBC4}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe FirewallRules: [{CEE20657-1CA1-414E-A9CA-77369607D5D9}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe CHR HKU\S-1-5-21-658445980-3579676993-3380380978-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\Tencent DeleteKey: HKLM\SOFTWARE\Tencent DeleteKey: HKLM\SOFTWARE\Wow6432Node\Tencent Reg: reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" /v PendingFileRenameOperations /t REG_MULTI_SZ /d "" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v " QQPCTray" /f CMD: for %i in ("D:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\*.dll") do regsvr32 /s /u %i CMD: for %i in ("D:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\*.dll") do C:\Windows\SysWOW64\regsvr32.exe /s /u %i C:\Program Files\Common Files\Tencent C:\Program Files (x86)\Tencent C:\program files (x86)\Common Files\Tencent C:\ProgramData\Tencent C:\ProgramData\TXQMPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\(Default) C:\Users\igorr_000\AppData\Roaming\Tencent C:\Users\igorr_000\AppData\Local\VirtualStore\Program Files (x86)\Tencent C:\Users\igorr_000\Desktop\Optymalizacja\ChomikBox.lnk C:\Users\igorr_000\Desktop\Optymalizacja\O&O Defrag.lnk C:\Users\igorr_000\Desktop\Optymalizacja\SpyHunter.lnk C:\Users\igorr_000\Desktop\Gry\FalloutNV — skrót.lnk C:\Users\igorr_000\Desktop\Gry\Farming Simulator 15 .lnk C:\Users\igorr_000\Desktop\Gry\GOG Galaxy.lnk C:\Users\igorr_000\Desktop\Gry\Origin.lnk C:\Users\igorr_000\Desktop\Gry\Peggle.lnk C:\Users\igorr_000\Desktop\Gry\Plants vs. Zombies.lnk C:\Users\igorr_000\Desktop\Gry\SimCity™.lnk C:\Users\igorr_000\Desktop\Gry\The Sims 2 Ultimate Collection.lnk C:\Users\igorr_000\Desktop\Gry\Uplay.lnk C:\WINDOWS\system32\Drivers\TAOAccelerator64.sys C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys C:\WINDOWS\system32\Drivers\TFsFltX64.sys C:\WINDOWS\SysWOW64\Drivers\TS888x64.sys C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\tencent Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umiesc w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows *. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Tryb awaryjny Windows 10: przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > nastąpi restart i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > Tryb awaryjny. 3. W przeglądarkach odmontuj następujące rozszerzenia: Firefox: Porzucony i nieaktualizowany już Adblock Edge oraz nierozwijany aktywnie fork uBlock. Posiadasz już uBlock Origin, więc po co Ci gorsza replika. I przy uBlock Origin nie widzę potrzeby dla pozostałych: Adblock Plus, Adblock Plus Pop-up Addon, AdBlock for YouTube™. Google Chrome: Mocno podejrzane rozszerzenie Video AdBlock for Chrome. Rozszerzenie wprowadził zewnętrzny instalator (reinstalatory na poziomie rejestru), nie pochodzi z Chrome Web Store. Na forum występowało w kontekście produkcji reklam. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

WMIDiag raportuje masę błędów (ponad kilkaset), głównie kręcących się wokół naruszeń Repozytorium WMI. Próba naprawy: 1. Otwórz Notatnik i wklej w nim: CMD: winmgmt /resetrepository Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Zresetuj system. Zrób nowy log z WMIDiag. Doczepiając logi skorzystaj z załączników forum, preferuję tę metodę.

Zapomniałaś dołączyć plik fixlog.txt z wynikami skryptu.

Mam nadzieję, że przekopiowałeś dane z tego "bezimiennego", gdyż w Fixlog potwierdzenie tego co mówiłam (przesunięcie danych użytkownika przez infekcję). WindowsServices zawiera tylko pliki infekcji, więc poczęstuj go przez SHIFT+DEL. System Volume Information to folder Przywracania systemu tworzony przez Windows na każdym dostępnym dysku, w tym niestety i na pendrive, czyli w tym konkretnym wypadku można go usunąć, ale nie ruszaj tego folderu na dyskach twardych. Sprawa pendrive rozwiązana. Natomiast w raporcie FRST Addition był także ten odczyt zawiadamiający o niesprecyzowanej usterce WMI Windows: ==================== Punkty Przywracania systemu ========================= Sprawdź usługę "winmgmt" lub napraw WMI. ==================== Wadliwe urządzenia w Menedżerze urządzeń ============= Niepowodzenie przy listowaniu urządzeń. Sprawdź usługę "winmgmt" lub napraw WMI. Dostarcz log z narzędzia WMI Diagnosis Utility.

Możesz jeszcze spróbować wykonać punkty 4 i 5 z tych instrukcji: KLIK. W punkcie 5 jest błąd, komenda musi być ujęta w cudzysłów. Ponadto ścieżka dla nowszej wersji jest inna, tzn.: cd "C:\Program Files\Microsoft Security Client"

Limit poczty o2 to jakoby 100MB, ale otrzymujesz komunikat o2 od serwera Google kierujący z kolei do artykułu mówiącego o innym progu oraz wspominającego o limitach poczty odbiorcy: Nic tu więcej nie wymyślę, plik zdaje się być po prostu za duży. Skompresuj go do ZIP lub prześlij inną metodą... Jeśli rzecz o pobocznych akcjach, prawie wszystko wykonane, ale wymagane poprawki na szczątki po niedokładnie odinstalowanych programach: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis RealUpgrade 1.1 > Dalej. 2. Otwórz Notatnik i wklej w nim: (AVG Technologies CZ, s.r.o.) C:\Program Files (x86)\AVG\Framework\Common\avgsvca.exe R2 avgsvc; C:\Program Files (x86)\AVG\Framework\Common\avgsvca.exe [1080592 2016-05-18] (AVG Technologies CZ, s.r.o.) Task: {16A311F1-2103-43F4-BAA0-E80044EBFA39} - System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-3135212574-2383626176-3544364843-1005 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe [2013-08-15] (RealNetworks, Inc.) Task: {666C37AB-D394-4FAF-844E-7710C191787D} - System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-3135212574-2383626176-3544364843-1005 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe [2013-08-15] (RealNetworks, Inc.) Task: {6948D089-B42A-49CD-8A40-974647918432} - System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-3135212574-2383626176-3544364843-1002 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe [2013-08-15] (RealNetworks, Inc.) Task: {8808D641-BBF5-4C99-B665-D9ACA8335ADD} - System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-3135212574-2383626176-3544364843-1002 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe [2013-08-15] (RealNetworks, Inc.) Task: {95AE3F04-0992-4016-B6CF-B4F4824ECE2F} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-06-04] (AVAST Software) ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f C:\Program Files\Common Files\AV\avast! Antivirus C:\Program Files (x86)\AVG C:\Program Files (x86)\Real C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\MFAData C:\ProgramData\Real C:\Users\Inga\AppData\Local\AvgSetupLog C:\Users\Inga\AppData\Local\Avg C:\Users\Inga\AppData\Local\Mozilla C:\Users\Inga\AppData\Roaming\AVG C:\Users\Inga\AppData\Roaming\Real Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

1. Jedna komenda się nie wykonała, "zjadło" mi zamknięcie. Otwórz Notatnik i wklej w nim: CMD: type "C:\Users\Michał\AppData\Local\Google\Chrome\User Data\Local State" DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner ponownie. Po kolei wybierz opcje Skanuj + Usuń. Przedstaw log z czyszczenia.

Nagraj log w Process Monitor co się dzieje podczas restartu systemu. Usuń za pomocą AdwCleaner ten wpis. Następnie uruchom program Process Monitor, Options > Enable Boot Logging, restart systemu, otwórz Process Monitor który poprosi o zapis raportu. Plik *.PML spakuj do ZIP i shostuj gdzieś podając link.

1. Ze zmęczenia przeoczyłam jeden aktywny wpis malware (Sathurbot). Poprawka. Do Notatnika wklej: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe ShellIconOverlayIdentifiers: [0PerformanceMonitor] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => C:\ProgramData\Microsoft\Performance\Monitor\PerformanceMonitor.dll [2016-05-28] () RemoveDirectory: C:\ProgramData\Microsoft\Performance RemoveDirectory: C:\Users\Pawcio\Desktop\Nowy folder (6)\hmm\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. 2. Pozostałe wyniki z Hitman: steam_api.dll owszem wygląda na fałszywy alarm, ale za resztę nie dam głowy.

Ten plik Fixlist bardzo dziwnie zrobiłeś w Notatniku. Proszę otwórz go i porównaj z moim postem. Skopane wszystkie przejścia do nowej linii. Plik zapisałeś też w innym kodowaniu, tzn. ANSI, FRST zawsze tworzy raporty w UTF-8. Podobny temat: KLIK. FRST działa w piaskownicy COMODO, co jest tu wysoce niepożądane, gdyż COMODO blokuje operacje modyfikacji. Skan FRST też wykonany z poziomu piaskownicy, stąd w logu "dziwne" rzeczy (np. ten komunikat o blokadzie BFE jest stąd, że COMODO ogranicza dostęp FRST). Chrome ma nadal zainfekowane preferencje. Jakie? Nadal widzę w rejestrze ustawioną ścieżkę na folder Mozilla (już usunięty). Poprawki: 1. FRST nie może działać w piaskownicy COMODO, COMODO należy też wyłączyć na czas operacji. Otwórz Notatnik i wklej w nim: Task: {489532A2-10BE-4A36-965B-C42C6AE1D997} - System32\Tasks\{2E0B05CB-3F30-4CD8-9A85-7AB53AE02B41} => pcalua.exe -a "C:\Program Files (x86)\MPC Cleaner\Uninstall.exe" -d "C:\Program Files (x86)\MPC Cleaner\" U1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] SearchScopes: HKLM-x32 -> ielnksrch URL = CHR HomePage: Default -> hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjHULyvx2bbu3VEcJyNvKmfaA2dzwXXqtrOrBN35fShntC4jzPZEJ23yv8h1--wXhl8vMo6SLA8JugFMkhH0U9ZdEAJ70mzWHWzQB3OO3c_1wbVs2lor72zakKWYbsPCkmkE51s95scSz9f9mXiA0CAdZ0bEG CHR StartupUrls: Default -> "hxxp://onet.pl/","hxxp://parkiet.com.pl/","hxxp://wyborcza.pl/","hxxp://stooq.pl/","hxxp://bossafx.pl/","hxxp://bieganie.pl/","search.mpc.am" CHR DefaultSearchURL: Default -> hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWuxkYK9BNIFBtjHULyvx2bbu3VEcJyNvKmfaA2dzwXXqtrOrBN35fShntC4jzPZEJ23yv8h1--wXhl8vA_vatMGgP0viSHqT9WlrpALt36CHU0UODergacZgjTrHPDIEjwIHEOVcgIeIONiLxKeDO2oymPSDZrfUWjlMlDSg3&q={searchTerms} CHR DefaultSearchKeyword: Default -> feed.sonic-search.com CHR DefaultSuggestURL: Default -> hxxps://search.yahoo.com/sugg/chrome?output=fxjson&appid=crmas&command={searchTerms} Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Powtórz tę operację:

Aktualizacje Windows należy wykonać w sposób kompletny przed podjęciem innych działań. Wśród łat mogą być np. takie, które usprawniają działanie. Tu pełny stan aktualizacji Windows nieznany. Pomijając już punktowany stan IE8, widać tylko pakiet SP1, co w ogóle nie jest dowodem że system jest aktualny. Pakiet SP1 został wydany w roku 2011, od tego czasu z kilkaset łat wydano, czy są zaintalowane jest nie do sprawdzenia za pomocą raportu FRST, ani innych prostych metod.

Wszystko zrobione. Poprawki: 1. Wyczyść foldery Przywracania systemu: KLIK. 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: HKLM-x32\...\RunOnce: [unKIS] => wscript.exe //b C:\Users\Pawcio\AppData\Local\Temp\UnKIS.vbs R4 KAVRemvr; C:\Users\Pawcio\AppData\Local\Temp\{F4E006CA-FDC0-48FA-B340-F584297F2573}\kavremover.exe [9231432 2016-06-07] (Kaspersky Lab ZAO) CHR HKLM-x32\...\Chrome\Extension: [dhigneefebkcagnpnpbibganpmfgebnk] - hxxps://clients2.google.com/service/update2/crx S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [19984 2015-12-16] () R4 cm_km; system32\DRIVERS\cm_km.sys [X] R4 kl1; system32\DRIVERS\kl1.sys [X] R4 klbackupdisk; system32\DRIVERS\klbackupdisk.sys [X] R4 klbackupflt; system32\DRIVERS\klbackupflt.sys [X] R4 kldisk; system32\DRIVERS\kldisk.sys [X] R4 klflt; system32\DRIVERS\klflt.sys [X] R4 KLIF; system32\DRIVERS\klif.sys [X] U4 klkbdflt2; system32\DRIVERS\klkbdflt2.sys [X] R4 klpd; system32\DRIVERS\klpd.sys [X] R4 kltdi; system32\DRIVERS\kltdi.sys [X] R4 kneps; system32\DRIVERS\kneps.sys [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Pawcio\AppData\Local\Temp\{F4E006CA-FDC0-48FA-B340-F584297F2573} CMD: del /q C:\DelFix.txt CMD: del /q C:\Users\Pawcio\Desktop\DungeonRift.lnk CMD: del /q C:\Windows\Minidump\*.dmp CMD: del /q C:\Windows\System32\DRIVERS\EsgScanner.sys CMD: netsh advfirewall reset Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 3. Przeprowadź skanowanie za pomocą Hitman Pro. Dostarcz log, o ile wykryje coś innego niż plik FRST64.exe (fałszywy alarm).

Zewnętrzny dysk nie ma tu nic do rzeczy, to nie ten rodzaj infekcji. I powtarzamy kroki usuwające, czyli wykonaj ponownie instrukcje podane w moim pierwszym poście #3. Jak mówię, GMER omiń.

Niestety to oznacza, że odwróciłeś wszystkie moje akcje usuwające i przywróciłeś infekcję. Robota od początku, czyli nowe logi FRST dostacz (wszystkie trzy). GMER na razie pomiń.

A dlaczego pominąć? Przecież to pusty skrót w menu kontekstowym "Wyślij do": Shortcut: C:\Users\Pawcio\AppData\Roaming\Microsoft\Windows\SendTo\Gry.lnk -> C:\Users\Pawcio\Desktop\Gry (Brak pliku)

Camilo, następnym razem proszę się wypowiadać konkretnie gdzie widzisz dany obiekt. Tekst "Na liście użytkowników oprócz admina znalazłem użytkownika o nazwie Root z prawami Administracja" będzie przez wielu przeczytany, że chodzi o konto w Windows i tak wszyscy obecni tu w temacie to zinterpretowali. A tu się okazuje, że chodzi o konto na poziomie routera. I konto Root w Liveboxie jest standardowym kontem: ftp://tplink-forum.pl/ISP/Orange/Livebox%201.0/LIVEBOX%20odzyskanie%20zagubionego%20hasla%20do%20panelu%20konfiguracji%20LiveBox.pdf PS. Fix FRST wykonany. Zastosuj DelFix.

W FRST można wykryć tylko niektóre cracki poprzez pośrednie znaki. Tu nie ma żadnych pośrednich znaków, co nie jest żadnym dowodem że Windows nie jest scrackowany. Czy pytanie ma jakieś szczególne podłoże? Windows Update jest priorytetowe.