picasso

Wszystko pomyślnie usunięte. Drobna poprawka na szczątki po SpyHunter i puste skróty. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\Baldur's Gate - Enhanced Edition\Documents RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epistory - Typing Chronicles RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Shadowrun Returns RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WolfTeam-US S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [19984 2015-12-16] () CMD: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo II\Lord of Destruction Czytaj to.lnk" CMD: del /q "C:\Users\Pawcio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SpyHunter4.lnk" CMD: del /q "C:\Users\Pawcio\AppData\Roaming\Microsoft\Windows\SendTo\Gry.lnk" CMD: del /q "C:\Users\Pawcio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MEGAsync\MEGA Website.lnk" CMD: del /q "C:\Users\Pawcio\Desktop\DungeonRift.lnk CMD: del /q C:\Windows\System32\DRIVERS\EsgScanner.sys Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Większość usunięta, ale wskoczył niestety nowy obiekt "Adskip". Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1421970685-546915502-2319007883-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Michał\AppData\Local\Akamai\netsession_win.exe" R2 ADSkipSvc; C:\Program Files (x86)\ADSKIP\ADSkipSvc.exe [129144 2016-05-11] () S2 pihetefizbt; C:\Program Files (x86)\00000000-1465050606-0000-0000-D43D7EEF6E46\knspE2F1.tmp [X] S3 blNetFilter; \??\C:\WINDOWS\system32\drivers\blNetFilter.sys [X] S1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] C:\Program Files (x86)\ADSKIP C:\Users\Michał\AppData\Local\Google\Chrome\User Data\ChromeDefaultData C:\Users\Michał\AppData\Roaming\ADSKIP C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AdSkip C:\WINDOWS\system32\Drivers\askProtect64.sys C:\WINDOWS\SysWOW64\vns1BCB.tmp CMD: type C:\Users\Michał\AppData\Local\Google\Chrome\User Data\Local State" EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

To raporty zrobione najwyraźniej po usunięciu tego konta "Root", gdyż nie figuruje ono w spisie kont lokalnych. Nie jestem w stanie nic więcej powiedzieć, skoro nie ma żadnych danych o tym usuniętym koncie, nie wiadomo też jakie było jego źródło. A w raportach nie ma oznak infekcji. PS. Do usunięcia tylko mini-odpadki po niepożądanej aplikacji FileViewPro oraz kilka pustych wpisów. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [updReg] => C:\Windows\UpdReg.EXE HKU\S-1-5-21-3097542305-1105438724-2829177874-1001\...\Run: [TobiiWindowsControl] => C:\Program Files (x86)\Tobii\Gaze Interaction\TobiiEyeControlOptions.exe -AutoStartWindowsControl CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2016-04-20] S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] C:\Spacekace C:\Users\Camilo\AppData\Local\FileViewPro EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Fix FRST nie został wykonany. Otwórz plik Fixlog, jest całkowicie pusty (nie zapisała się zawartość w Notatniku). Powtarzaj punkty 2 i 4. Czy za każdym razem w nieudanym podejściu próbujesz wysłać identyczny plik docx, czy też w tych udanych podejściach były jednak inne pliki? I proponuję skontaktować się bezpośrednio z obsługą techniczną poczty. Pliki desktop.ini na Pulpicie były od zawsze: Natomiast pliki z dolarami w nazwie to spodziewane kopie tymczasowe tworzone przez Word: KLIK. Owner File (Same Directory as Source File) When a previously saved file is opened for editing, for printing, or for review, Word creates a temporary file that has a .doc file name extension. This file name extension begins with a tilde (~) that is followed by a dollar sign ($) that is followed by the remainder of the original file name. This temporary file holds the logon name of person who opens the file. This temporary file is called the "owner file." Obiekty znikną z widoku po zaznaczeniu następujących opcji w Opcjach folderów: Ukryj rozszerzenia znanych typów plików + Ukryj chronione pliki systemu operacyjnego.

Czyli problem występuje po zaznaczeniu opcji "Bez serwera proxy"? Czy program CyberGhost 5 jest aktywny w momencie próby połączenia? Fix FRST uruchomiłeś aż dwa razy, to Fix jednorazowego użytku. Niemniej w pierwszym podejściu wykonał co należy. Jeszcze doczyszczanie odpadków po odinstalowanych programach IObit. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3828751075-1785391660-3400717403-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yandex.ru/?win=212&clid=2100767-002 SearchScopes: HKU\S-1-5-21-3828751075-1785391660-3400717403-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://yandex.ru/search/?win=212&clid=2100768-002&text={searchTerms} SearchScopes: HKU\S-1-5-21-3828751075-1785391660-3400717403-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://yandex.ru/search/?win=212&clid=2100768-002&text={searchTerms} Task: {450ABECF-19B1-4943-8041-5BE3F38ADA17} - System32\Tasks\Driver Booster SkipUAC (kkomo) => D:\Program Files (x86)\Iobit\Driver Booster\DriverBooster.exe Task: {CFBF3DD2-C1AA-475B-B5E1-FE881A4BB9C1} - System32\Tasks\Driver Booster SkipUAC (KK) => D:\Program Files (x86)\Iobit\Driver Booster\DriverBooster.exe Task: {E20883A0-1975-40DA-AAF7-5E8B5304ABB6} - System32\Tasks\Driver Booster Scheduler => D:\Program Files (x86)\Iobit\Driver Booster\Scheduler.exe S3 IMFFilter; C:\Program Files (x86)\IObit\IObit Malware Fighter\Drivers\win7_amd64\IMFFilter.sys [22208 2016-03-31] (IObit) S3 RegFilter; C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win7_amd64\regfilter.sys [34848 2016-03-31] (IObit.com) C:\Program Files (x86)\IObit\IObit Malware Fighter C:\ProgramData\Komputronik\01.(AUDIT)_start-WDS.lnk C:\ProgramData\Komputronik\xxx_10.28.64.199.lnk C:\Users\Instalator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk C:\Users\kkomo\Desktop\Programy\Driver Booster 3.lnk C:\WINDOWS\ZAM.krnl.trace C:\WINDOWS\ZAM_Guard.krnl.trace Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. Mam też dodatkowe pytanie, czy ten program został już odinstalowany: HKU\S-1-5-18\...\Run: [bandwidth Monitor Pro] => D:\Program Files (x86)\Bandwidth Monitor Pro\Bandwidth Monitor Pro.exe [225280 2005-02-09] (Pro²soft)?

Zabrakło trzeciego obowiązkowego raportu FRST Shortcut. W systemie jest ustawione proxy w3cache.pl: ProxyEnable: [s-1-5-21-3828751075-1785391660-3400717403-1002] => Proxy [funkcja włączona] ProxyServer: [s-1-5-21-3828751075-1785391660-3400717403-1002] => w3cache.pl:8080 ManualProxies: 1w3cache.pl:8080 Poza tym, niepoprawnie odinstalowane programy IObit Malware Fighter i Zemana. Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj zbędne programy AliIM Plugins for Browser, Driver Booster wersja 3.1.0.365, Surfing Protection. - Wejdź do folderu C:\Program Files (x86)\IObit\IObit Malware Fighter i sprawdź czy jest jakiś plik deinstalatora. Jeśli tak, z prawokliku "Uruchom jako administrator". 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {66538CCA-E71B-4037-B06A-04F8825E0FA1} - \task Update -> Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3828751075-1785391660-3400717403-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yandex.ru/?win=212&clid=2100767-002 SearchScopes: HKU\S-1-5-21-3828751075-1785391660-3400717403-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://yandex.ru/search/?win=212&clid=2100768-002&text={searchTerms} SearchScopes: HKU\S-1-5-21-3828751075-1785391660-3400717403-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://yandex.ru/search/?win=212&clid=2100768-002&text={searchTerms} Edge HomeButtonPage: HKU\S-1-5-21-3828751075-1785391660-3400717403-1002 -> hxxp://www.yandex.ru/?win=212&clid=2100767-002 OPR StartupUrls: "hxxp://www.yandex.ru/?win=212&clid=2100767-002" GroupPolicy: Ograniczenia - Chrome FF NetworkProxy: "type", 0 FF Plugin-x32: @alibaba.com/nptrademanager;version=1.0 -> C:\Users\kkomo\AppData\Local\Temp\..\application data\nptrademanager\nptrademanager.dll [2012-05-31] ( ) ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => Brak pliku ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => Brak pliku ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku R1 ZAM; C:\WINDOWS\System32\drivers\zam64.sys [202144 2016-03-14] (Zemana Ltd.) R1 ZAM_Guard; C:\WINDOWS\System32\drivers\zamguard64.sys [202144 2016-03-14] (Zemana Ltd.) S1 networx; system32\drivers\networx.sys [X] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google AlternateDataStreams: C:\Windows:{4B9A1497-0817-47C4-9612-D6A1C53ACF57} [26] C:\ProgramData\{BE2ACE5C-32B7-4777-9BDF-ECF87CDAB705} C:\Users\kkomo\AppData\Local\Google C:\Users\kkomo\AppData\Roaming\GSA Search Engine Ranker C:\WINDOWS\System32\drivers\zam64.sys C:\WINDOWS\System32\drivers\zamguard64.sys RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaległym Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę do działu diagnostyki malware. Proszę o dostarczenie obowiązkowych raportów z FRST i GMER.

Nie podany system operacyjny. Otwórz linię komend cmd. Następnie otwórz Menedżer zadań i zabij proces explorer.exe. W linii komend wpisz polecenie i ENTER: rd /s /q "Ścieżka dostępu do folderu" Jeśli to zawiedzie, podam inny sposób przy udziale narzędzia zewnętrznego.

Przekieruję z powrotem Pulpit na C, ale zanim do tego przejdę mam dodatkowe pytanie. Jest tu znacznie więcej przekierowanych ścieżek na D: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders My Video REG_SZ D:\Diana\Videos My Pictures REG_SZ D:\Diana\Pictures Desktop REG_SZ D:\Diana\Desktop Favorites REG_SZ D:\Diana\Favorites My Music REG_SZ D:\Diana\Music {7D1D3A04-DEBB-4115-95CF-2F29DA2920DA} REG_SZ D:\Diana\Searches {374DE290-123F-4565-9164-39C4925E467B} REG_SZ D:\Diana\Downloads {BFB9D5E0-C6A9-404C-B2B2-AE6DB6AF4968} REG_SZ D:\Diana\Pictures\Links {4C5C32FF-BB9D-43B0-B5B4-2D72E54EAAA4} REG_SZ D:\Diana\Saved Games Czy to także niechciane zmiany?

Jest tu infekcja i to grubszego kalibru niż Twój poprzedni problem z Google Chrome. W systemie działają trojany ładowane z miejsc maskowanych znakami null (wpisy są niewidoczne dla wielu narzędzi), w tym infekcja "bezplikowa" ładowana wprost z rejestru. Załączony tu plik FRST.txt jest nawet blokowany przez Windows Defender ze względu na te specjalne ciągi, ale log sam w sobie nie jest oczywiście "niebezpieczny". Natomiast BSODy wyglądają na odrębny problem i być może właśnie sprzętowy. Na szybko przejrzałam te pliki DMP i niespójne wyniki, ale tak jakby kręcące się wokół sprzętu (m.in. msahci.sys i nvlddmkm.sys są wyliczane jako przyczynowy sterownik). Akcja wstępna: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: (Microsoft Corporation) C:\Windows\explorer.exe HKU\S-1-5-21-813231136-3034751300-3063813572-1001\Software\Classes\f84341: mshta "javascript:eDvhqj2rc="B6ExoD";Z9s=new ActiveXObject("WScript.Shell");QCBCP2GB="4";eMU69v=Z9s.RegRead("HKCU\\software\\ynqlzjycy\\cilw");Sy0XO8impn="9lR";eval(eMU69v);Vkc9RSvI="gTED";" HKU\S-1-5-21-813231136-3034751300-3063813572-1001\...\Run: [**rkia] => mshta javascript:n4uaVOOu="5p";O3p=new%20ActiveXObject("WScript.Shell");Yz2gyJz="xLc5lUr";Ano3o=O3p.RegRead("HKCU\\software\\ynqlzjycy\\cilw");C6REIhse="J";eval(Ano3o);T4sWWTxwN="RLHc4j"; HKU\S-1-5-21-813231136-3034751300-3063813572-1001\...\Run: [**uzan] => "C:\Users\Pawcio\AppData\Local\67af67\9941b9.lnk" HKU\S-1-5-21-813231136-3034751300-3063813572-1001\...\Run: [Odvics] => C:\Users\Pawcio\AppData\Local\Odvics\tmp802C.exe [143918 2016-06-01] () HKU\S-1-5-21-813231136-3034751300-3063813572-1001\...\Run: [iksoft] => regsvr32.exe C:\Users\Pawcio\AppData\Local\Iksoft\jtxbikrl.dll HKU\S-1-5-21-813231136-3034751300-3063813572-1001\...\Run: [AXworks] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Pawcio\AppData\Local\Odvics\jtxbikrl.dll Task: {8657D7CA-AFC8-4C62-85F0-A83DE2E4D8D6} - System32\Tasks\{4D653D61-D83C-4579-ACA8-FB751AF29D98} => pcalua.exe -a "C:\Downloads\Sound Booster\Sound Booster.exe" -d "C:\Downloads\Sound Booster" DeleteKey: HKCU\Software\ynqlzjycy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Pawcio^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^339bc1.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AXworks DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Iksoft DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Odvics DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins S3 usbbus; system32\DRIVERS\lgx64bus.sys [X] S3 UsbDiag; system32\DRIVERS\lgx64diag.sys [X] S3 USBModem; system32\DRIVERS\lgx64modem.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] S3 xspirit; \??\C:\Windows\xspirit.sys [X] C:\Users\Administrator C:\Users\HomeGroupUser$ C:\Users\Gość C:\Users\Pawcio\AppData\Local\{7EE9EBB6-D944-4670-A12B-6374FC4BDE72} C:\Users\Pawcio\AppData\Local\67af67 C:\Users\Pawcio\AppData\Local\CrashRpt C:\Users\Pawcio\AppData\Local\Iksoft C:\Users\Pawcio\AppData\Local\Odvics C:\Users\Pawcio\AppData\Roaming\Introvert.J C:\Users\Pawcio\AppData\Roaming\Registry.dll C:\Users\Pawcio\AppData\Roaming\Temporary.5 C:\Users\Pawcio\AppData\Roaming\d0ef40 C:\Users\Pawcio\AppData\Roaming\FF32A6D9-ACAE-42F5-AE3C-A6CAF0BDEBA9 C:\Users\Pawcio\AppData\Roaming\vlc C:\Users\Pawcio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk C:\Users\Pawcio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk C:\Users\UpdatusUser C:\Windows\pss\339bc1.lnk.Startup CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Odinstaluj Kaspersky Internet Security, skoro trial wygasł. Następnie zastosuj jeszcze narzędzie Kaspersky Remover. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition i Shortcut, oraz zaległy obowiązkowy GMER. Dołącz też plik fixlog.txt.

1. Jeśli w raporcie FRST nadal stoją uprzednio wyliczane adesy IP, to w tym przypadku należy je usunąć za pomocą skryptu FRST o następującej treści: Tcpip\..\Interfaces\{2befaa59-b503-41a5-b440-dbe37f5150d1}: [DhcpNameServer] 82.163.142.7 Tcpip\..\Interfaces\{2c61f513-5bf8-43de-ae23-6e95e8d38452}: [DhcpNameServer] 82.163.142.7 Tcpip\..\Interfaces\{97517553-d50d-4c34-af9e-feb4b699f5e4}: [DhcpNameServer] 82.163.142.7 2. Na koniec usuń z Pulpitu folder frst (o ile już tego nie zrobiłeś) oraz zastosuj DelFix.

1. Prawy klik na ten svchost > Przejdź do usług > wypisz podświetlone obiekty. 2. Błąd aktualizacji MSSE: jaki? Spróbuj ręcznie zainstalować definicje: KLIK.

1. Adware pomyślnie usunięte. Teraz uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. 2. System nie jest zaktualizowany kompletnie. Stoi stara wersja IE8 i kto to wie czego tu jeszcze brakuje. Zainstaluj ręcznie IE11: KLIK. Następnie włącz zdeaktywowaną usługę Windows Update i wykonaj kompletne sprawdzanie Windows Update. Podczas tego procesu Windows może zamulić jeszcze bardziej (obciążenie svchost), należy to przeczekać. Sugestie: 1. W msconfig w karcie Uruchamianie wyłącz uTorrent, natomiast w karcie usługi zdeaktuwuj Windows Defender. Restart systemu. 2. W przypadku braku rezultatów sprawdź czy to jednak nie jest problem Avast.

Temat przenoszę do działu Windows. Brak oznak infekcji. W systemie działa potwornie stary Norton Internet Security, który może być przypuszczalną przyczyną tych zachowań. 1. Odinstaluj starocie i zbędne programy zintegrowane na Asus: Adobe Flash Player 10, ASUS WebStorage, Bing Bar, Norton Internet Security. Porównaj też z tym postem: KLIK. 2. Po akcji zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Addition.

Temat przenoszę do działu Windows. Żadnych oznak infekcji. O jakich konkretnie usługach mowa? A z raportów nic nie wynika. Zapewne problem tworzy ten wpis sterowników AMD: HKLM-x32\...\Run: [AMD AVT] => C:\Program Files (x86)\AMD AVT\bin\kdbsync.exe [20992 2012-03-19] () Wyłącz go za pomocą msconfig. PS. Do wykonania skrypt kosmetyczny usuwający wpisy odpadkowe:

Jeśli chodzi o spowolnienie, to jedną z przyczyn może być aktywne adware Safefinder. Ale pozostałe wątki to już prawdopodobnie problem bardziej sprzętowy i potem ewentualnie założysz nowy temat w dziale Hardware podając dane wymagane działem: KLIK. Jeśli chodzi o czyszczenie adware i inne działania nie powiązane z problemami grafiki: 1. Nie masz obecnie żadnego programu emulującego, a jest aktywny sterownik SPTD2. Usuń go tym samym narzędziem SPTDinst za pomocą którego go zainstalowałeś. 2. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware SafeFinder, a także naruszony Игровой центр Mail.Ru oraz zbędne programy Akamai NetSession Interface, Driver Booster 3.2. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Quoteex; C:\ProgramData\\Quoteex\\Quoteex.exe [941568 2016-05-27] () [brak podpisu cyfrowego] AppInit_DLLs: C:\ProgramData\Quoteex\Scot-Eco.dll => C:\ProgramData\Quoteex\Scot-Eco.dll [363008 2016-05-27] () AppInit_DLLs-x32: C:\ProgramData\Quoteex\ZaamFax.dll => C:\ProgramData\Quoteex\ZaamFax.dll [257536 2016-05-27] () ShortcutWithArgument: C:\Users\Jan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Jan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Jan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% CHR HomePage: Default -> hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYrBgWCryBANtUuGpSxEqSPHrobnmFnREutApeddew96XPV9Oz-WTfphKNI1RnE9b7OY7gDUyrMyQszB-yIghIsElFsu8duvlGBQEFCNhlJB5vcusY32JmBVAjg-BMAimcCt7wmqJSCDzMb5PhEaA4bTLGSWQ,, HKU\S-1-5-21-4005203590-2278095804-2477096586-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYrBgWCryBANtUuGpSxEqSPHrobnmFnREutApeddew96XPV9Oz-WTfphKNI1RnE9b7OeJrCR4TjM8fT_Vd1FP43gWis5e157U-kiimFXPKpErYpUxGyq6OinOY66imQMNzhIUzqmFbE65iNIQPxLCP-cb0kMg,,&q={searchTerms} HKU\S-1-5-21-4005203590-2278095804-2477096586-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYrBgWCryBANtUuGpSxEqSPHrobnmFnREutApeddew96XPV9Oz-WTfphKNI1RnE9b7Ck6nlBtn_wO8kGv5YuedJgifiQJCyvrutovnZJhs4_j_6x6Jv-3e5Q4Ee6hS9oQToUv6iYXTod-I2oVNjww6Q4eJB0w,, HKU\S-1-5-21-4005203590-2278095804-2477096586-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYrBgWCryBANtUuGpSxEqSPHrobnmFnREutApeddew96XPV9Oz-WTfphKNI1RnE9b7OeJrCR4TjM8fT_Vd1FP43gWis5e157U-kiimFXPKpErYpUxGyq6OinOY66imQMNzhIUzqmFbE65iNIQPxLCP-cb0kMg,,&q={searchTerms} HKU\S-1-5-21-4005203590-2278095804-2477096586-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYrBgWCryBANtUuGpSxEqSPHrobnmFnREutApeddew96XPV9Oz-WTfphKNI1RnE9b7OeJrCR4TjM8fT_Vd1FP43gWis5e157U-kiimFXPKpErYpUxGyq6OinOY66imQMNzhIUzqmFbE65iNIQPxLCP-cb0kMg,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKU\S-1-5-21-4005203590-2278095804-2477096586-1001 -> DefaultScope {ielnksrch} URL = BHO-x32: Norton Vulnerability Protection -> {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -> C:\Program Files (x86)\Norton Internet Security\Engine\21.7.0.11\IPS\IPSBHO.DLL => Brak pliku CustomCLSID: HKU\S-1-5-21-4005203590-2278095804-2477096586-1001_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-78F0DE19A1AF}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => Brak pliku HKLM-x32\...\Run: [updReg] => C:\Windows\UpdReg.EXE HKU\S-1-5-21-4005203590-2278095804-2477096586-1001\...\Run: [GameCenterMailRu] => "C:\Users\Jan\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe" -autostart HKU\S-1-5-21-4005203590-2278095804-2477096586-1001\...\Policies\Explorer: [] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\Quoteex C:\ProgramData\Quoteexs C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Sims 4.lnk C:\Users\Jan\AppData\Local\Disc_Soft_Ltd C:\Users\Jan\AppData\Roaming\*.* C:\Users\Jan\AppData\Roaming\Mozilla C:\Users\Jan\AppData\Roaming\Microsoft\Word\7.%20Testowanie%20hipotez%20nieparametrycznych%20(305222520190784955\7.%20Testowanie%20hipotez%20nieparametrycznych%20(1).docx.lnk C:\Users\Jan\AppData\Roaming\Microsoft\Word\chi-kwadrat305227443216126956\chi-kwadrat.doc.lnk C:\Users\Jan\AppData\Roaming\Microsoft\Word\Nowy%20Microsoft%20Word%20Document%20(2)305222522876073795\Nowy%20Microsoft%20Word%20Document%20(2).docx.lnk C:\Users\Jan\AppData\Roaming\Microsoft\Word\STATYSTYKA305222442420747425\STATYSTYKA.docx.lnk C:\Users\Jan\Desktop\* Mail.Ru.lnk C:\WINDOWS\SysWOW64\HRUPPROG.TXT C:\WINDOWS\SysWOW64\HRUPPROG.EXIT CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj niepożądane rozszerzenie Bazz Search. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows, brak oznak infekcji. "Rootkit" wykryty przez GMER to sterownik DAEMON Tools. I to jakaś stara wersja: R1 dtsoftbus01; C:\Windows\System32\drivers\dtsoftbus01.sys [283064 2013-11-13] (Disc Soft Ltd) Ogólnie na temat emulatorów: KLIK. Z raportów nic nie wynika. Sugestie: 1. Na szybko do usunięcia odpadki po aktualizacji z Windows 7 do 10 oraz różne szczątkowe wpisy: 2. Odinstaluj stary DAEMON Tools Lite, co zniesie aktywność powiązanego sterownika. 3. Wykonaj kroki z tego tematu: KLIK. 4. Przetestuj też start systemu na tzw. "czystym rozruchu": KLIK. W przypadku braku rezultatów odinstaluj na próbę Avast. 5. Jeśli nie będzie zmian, dostarcz log startowy: KLIK (zgłoś temat do moderatora mgrzeg).

To nie wygląda na infekcję. Jaki plik próbowałaś wysyłać, tzn. o jakim rozszerzeniu? I czy to przypadkiem nie ma związku z tym: KLIK? O co chodzi z infekcją rootkit, gdzie to widzisz? Jeśli pijesz do odczytu GMER, to pewnie sterownik SPTD ma coś do rzeczy. Najwyraźniej omyłkowo zainstalowałaś go co dopiero... I nie widać żadnych aktywnych infekcji, poza drobnymi odpadkami adware. Natomiast system wymaga i tak interwencji. Przede wszystkim masakra w antywirusach, są aż trzy uruchomione w tym samym czasie: Avast, AVG (stary) i McAfee (niepoprawnie odinstalowany). Działania pod tym kątem: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje: Adobe Flash Player 16 NPAPI, Adobe Reader XI (11.0.07) - Polish, AVG 2014, Microsoft Outlook Social Connector Provider for Windows Live Messenger 32-bit, PC Cleaners (adware), RealPlayer, Visual Studio 2012 x64 Redistributables (od AVG), Visual Studio 2012 x86 Redistributables (od AVG). - Uruchom specjalizowany usuwacz McAfee Consumer Product Removal Tool. - Uruchom narzędzie SPTDinst i zastosuj opcję Uninstall. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 avgtp; C:\Windows\system32\drivers\avgtpx64.sys [50976 2014-08-23] (AVG Technologies) S3 gfiutil; C:\Windows\System32\drivers\gfiutil.sys [31264 2013-09-04] (ThreatTrack Security) S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 ewusbmbb; \SystemRoot\system32\DRIVERS\ewusbwwan.sys [X] S4 HWDeviceService64.exe; "C:\ProgramData\DatacardService\HWDeviceService64.exe" -/service [X] S1 wpnfd_1_10_0_4; system32\drivers\wpnfd_1_10_0_4.sys [X] AppInit_DLLs: C:\ProgramData\Quotenamron\BioNix.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Quotenamron\Airtough.dll => Brak pliku HKLM\...\Run: [] => [X] HKU\S-1-5-21-3135212574-2383626176-3544364843-1005\...\Run: [AVG-Secure-Search-Update_0414c] => C:\Program Files (x86)\Avg Secure Update\AVG-Secure-Search-Update_0414c.exe [2725912 2014-04-26] () HKU\S-1-5-21-3135212574-2383626176-3544364843-1005\...\Run: [Remote Mouse] => C:\Program Files (x86)\Remote Mouse\RemoteMouse.exe HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> Task: {29267F20-66CB-46A0-9C99-BFCF9BE810D7} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe Task: {6448FFC9-F220-4852-B184-461BAB8FC7C7} - System32\Tasks\Price Fountain => C:\Users\Inga\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: {9DB5A627-D68B-4A0A-9358-C5F499BF9CEF} - System32\Tasks\{CD87333C-DEE3-4FC8-B58C-114C4DB11E78} => pcalua.exe -a "C:\Program Files (x86)\Xilisoft\Video Cutter 2\Uninstall.exe" Task: {AEE7B4E7-82A6-40C0-8BC4-500D89E438F5} - System32\Tasks\{6A39D6B3-30E8-46A5-B787-08B6ECBA3723} => pcalua.exe -a "C:\Program Files\McAfee Security Scan\uninstall.exe" Task: {D3FFA78D-4664-4DB2-B81F-B1563E6BFA2D} - System32\Tasks\AVG-Secure-Search-Update_0414c_rel => C:\Program Files (x86)\Avg Secure Update\AVG-Secure-Search-Update_0414c.exe [2014-04-26] () Task: {D5D7DB37-EDD0-47FC-80FD-FF64941F44F0} - System32\Tasks\AVG-Secure-Search-Update_0414c_rmv => C:\Program Files (x86)\Avg Secure Update\AVG-Secure-Search-Update_0414c.exe [2014-04-26] () Task: C:\Windows\Tasks\0814tbUpdateInfo.job => C:\ProgramData\Avg_Update_0814tb\0814tb_{AC57B531-69FB-4E69-9D75-C5228D89ED14}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_0414c_rel.job => C:\Program Files (x86)\Avg Secure Update\AVG-Secure-Search-Update_0414c.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_0414c_rmv.job => C:\Program Files (x86)\Avg Secure Update\AVG-Secure-Search-Update_0414c.exe Task: C:\Windows\Tasks\pc-dis-upd.job => C:\Program Files (x86)\PC Cleaners\PCCleaners.exe Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\Inga\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE CustomCLSID: HKU\S-1-5-21-3135212574-2383626176-3544364843-1005_Classes\CLSID\{A75BE48D-BF58-4A8B-B96C-F9A09DFB9844}\InprocServer32 -> %LOCALAPPDATA%\Pokki\ocdeskband_0.dll => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSE1 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://do-search.com/?type=hppp&ts=1426106567&from=cor&uid=TOSHIBAXMQ01ABD075_63M3P5F1TXX63M3P5F1T HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3135212574-2383626176-3544364843-1005\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-3135212574-2383626176-3544364843-1005\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://toshiba.eu/symbaloo_c HKU\S-1-5-21-3135212574-2383626176-3544364843-1005\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1426106290&from=cor&uid=TOSHIBAXMQ01ABD075_63M3P5F1TXX63M3P5F1T&q={searchTerms} HKU\S-1-5-21-3135212574-2383626176-3544364843-1005\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-3135212574-2383626176-3544364843-1005\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-3135212574-2383626176-3544364843-1005 -> DefaultScope {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-3135212574-2383626176-3544364843-1005 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3135212574-2383626176-3544364843-1005 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-3135212574-2383626176-3544364843-1005 -> {23B39B67-78DB-430D-9400-AD68FAA371E1} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3135212574-2383626176-3544364843-1005 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3135212574-2383626176-3544364843-1005 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} BHO-x32: Brak nazwy -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> Brak pliku BHO-x32: Brak nazwy -> {b608cc98-54de-4775-96c9-097de398500c} -> Brak pliku CHR HomePage: Default -> mysearch.avg.com/?cid={1B77AD8B-3D5F-49AA-A6F7-7629E2520A30}&mid=4fb1f8675d5e47d3a1c0759276a51cd7-460d2c5c7700cb7e847e42300f78c469716c2977&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-02-05%2022:31:26&v=18.1.5.512&pid=safeguard&sg=&sap=hp CHR StartupUrls: Default -> "hxxps://www.google.no/webhp?sourceid=chrome-instant&rlz=1C1RNVH_enPL567PL568&ion=1&espv=2&ie=UTF-8" CHR DefaultSearchURL: Default -> hxxp://do-search.com/web/?type=dspp&ts=1426106567&from=cor&uid=TOSHIBAXMQ01ABD075_63M3P5F1TXX63M3P5F1T&q={searchTerms} CHR DefaultSearchKeyword: Default -> SafeFinder CHR HKLM-x32\...\Chrome\Extension: [idhngdhcfkoamngbedgpaokgjbnpdiji] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Chrome\Ext\realdownloader.crx [2013-08-15] CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeARMservice DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeFlashPlayerUpdateSvc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\avgwd DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\GamesAppService DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\McComponentHostService DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Mobile Partner. RunOuc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\RealNetworks Downloader Resolver Service DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v AVG-Secure-Search-Update_0414c /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Remote Mouse" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v cFosSpeed /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IgfxTray /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Persistence /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v TkBellExe /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AVG_UI /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "McAfee Security Scan Plus.lnk" /f C:\Program Files (x86)\Avg Secure Update C:\ProgramData\pclunst.exe C:\ProgramData\Avg_Update_0814tb C:\ProgramData\Logic Handler C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Cleaners C:\Users\Inga\AppData\Local\5D515C96_stp.CIS C:\Users\Inga\AppData\Local\5D515C96_stp.CIS.part C:\Users\Inga\AppData\Roaming\*.* C:\Users\Inga\AppData\Roaming\Mozilla C:\Users\Inga\AppData\Roaming\PriceFountainUpdateVer C:\Users\Inga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Bitstrips.lnk C:\Users\Inga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk C:\Users\Inga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PicMonkey.lnk C:\Users\Inga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pixlr-o-Matic.lnk C:\Windows\system32\drivers\avgtpx64.sys C:\Windows\System32\drivers\gfiutil.sys C:\Windows\SysWOW64\findit.xml CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj RealDownloader, o ile nadal będzie widoczny po deinstalacji RealPlayer. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

Masa infekcji, m.in. adware Adclick które modyfikuje wartości Userinit, infekcja WMI oraz infekcja DNS. Akcje do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware Body Text Feathering, CleanBrowser, groover, shopperz, TTWiFi 1.0.0.1 oraz zbędny Akamai NetSession Interface. - Wejdź do folderu C:\Program Files (x86)\MPC Cleaner, z prawokliku na plik deinstalacyjny "Uruchom jako administrator". Po deinstalacji zresetuj system. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Winlogon: [userinit] wscript C:\WINDOWS\run.vbs, HKLM-x32\...\Winlogon: [userinit] wscript C:\WINDOWS\run.vbs, [X] HKU\S-1-5-21-1421970685-546915502-2319007883-1001\...\Run: [Pritc] => C:\Users\Michał\AppData\Local\Temp\00009286\casrss.exe [2967552 2016-06-05] (VLOME) HKU\S-1-5-21-1421970685-546915502-2319007883-1001\...\Policies\system: [DisableLockWorkstation] 0 HKLM-x32\...\Run: [WireLessMouse] => C:\Program Files (x86)\Office Mouse Driver\StartAutorun.exe MouseDrv.exe R2 dowidoly; C:\Program Files (x86)\00000000-1465050606-0000-0000-D43D7EEF6E46\jnsmF91C.tmp [244224 2016-06-05] () [brak podpisu cyfrowego] R2 Giinno; C:\Users\Michał\AppData\Roaming\FuslyPalri\Hoefg.exe [121344 2016-06-05] () [brak podpisu cyfrowego] R2 rijufoze; C:\Program Files (x86)\00000000-1465050606-0000-0000-D43D7EEF6E46\hnsv109D.tmp [138240 2016-06-05] () [brak podpisu cyfrowego] R2 zigipyro; C:\Users\Michał\AppData\Local\00000000-1465136256-0000-0000-D43D7EEF6E46\qnsqB11A.tmp [158720 2016-06-05] () [brak podpisu cyfrowego] S2 doroghtshejasmoduleservice; "C:\Program Files (x86)\Doroghtshejas\doroghtshejasmoduleservice.html5" {79740E79-A383-47A7-B513-3DF6563D007F} {8C4CE252-7DB2-4F8E-8E76-BAD0E5826A83} [X] R2 xeruvoqyzbt; C:\Program Files (x86)\00000000-1465050606-0000-0000-D43D7EEF6E46\knslDEC7.tmpfs [X] R1 bsdpf64; C:\WINDOWS\system32\Drivers\bsdpf64.sys [27456 2016-06-05] () R1 bsdpr64; C:\WINDOWS\system32\Drivers\bsdpr64.sys [26944 2016-06-05] () S2 AODDriver4.2.0; \??\C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [X] S3 MSICDSetup; \??\F:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] S4 nvlddmkm; \SystemRoot\system32\DRIVERS\nvlddmkm.sys [X] S4 nvvad_WaveExtensible; \SystemRoot\system32\drivers\nvvad64v.sys [X] S3 xhunter1; \??\C:\WINDOWS\xhunter1.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\bsdpf64.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\bsdpr64.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\bsdpf64.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\bsdpr64.sys => ""="Driver" Task: {0CCDE892-4C86-47F1-AE32-66109B874577} - System32\Tasks\{1690D60F-4AD3-4AF3-9702-299794E1F28C} => pcalua.exe -a E:\Gry\nwn2.exe -d E:\Gry Task: {20166514-F39F-4C94-8B92-875028E71B51} - System32\Tasks\AMD Updater => C:\Program Files\AMD\CIM\\Bin64\InstallManagerApp.exe Task: {2C3E00AA-3B2C-49A4-812A-63498E3090A5} - System32\Tasks\Pritc => C:\Users\Michał\AppData\Local\Temp\00009286\casrss.exe [2016-06-05] (VLOME) Task: {72BBB419-A580-498B-9C18-CD69BD078365} - System32\Tasks\{77AEE6F1-9A05-4ACD-8443-BEB31AD4D893} => pcalua.exe -a E:\Gry\KOTOR\launcher.exe -d E:\Gry\KOTOR Task: {8371FD40-C2A8-45F5-9F23-AFFBA8F202BD} - System32\Tasks\Doroghtshejas Module => C:\Program Files (x86)\Doroghtshejas\doroghtshejasmoduletask.exe [2016-06-03] () Tcpip\..\Interfaces\{0CD180B4-AE07-4981-BBC9-FA737C2F03FB}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{378AB08B-2B79-4932-A36A-C281B89532BA}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{44EEB171-8036-4744-A61E-BE7E237EEE90}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{8718928D-CBEB-45EA-A621-800A9249001D}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{AB016443-29BF-40B5-9434-2D698A80F392}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{b38d360d-6dba-11e3-824e-806e6f6e6963}: [NameServer] 104.197.191.4 WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://navigation.iwatchavi.com/ ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://navigation.iwatchavi.com/ ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://navigation.iwatchavi.com/ ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://navigation.iwatchavi.com/ ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://navigation.iwatchavi.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://navigation.iwatchavi.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://navigation.iwatchavi.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-1421970685-546915502-2319007883-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=182&d=20151217 Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6E727987-C8EA-44DA-8749-310C0FBE3C3E} DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Pamj DeleteKey: HKLM\SOFTWARE\Toilqows DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{03AE1B7B-A9E7-4D5A-9D34-89999C31B659}, DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{6E727987-C8EA-44DA-8749-310C0FBE3C3E} DeleteKey: HKLM\SOFTWARE\Classes\Patch Fix Install.DynamicNS DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{03AE1B7B-A9E7-4D5A-9D34-89999C31B659} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{C379EAD1-CB34-4B09-AF6B-7E587F8BCD80} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{6E727987-C8EA-44DA-8749-310C0FBE3C3E} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{DCFCC2EC-3F33-45A8-8ADF-A6C81F11232F} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\Patch Fix Install.DynamicNS DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MPC DeleteKey: HKLM\SOFTWARE\Wow6432Node\Pamj DeleteKey: HKLM\SOFTWARE\Wow6432Node\Toilqows C:\Program Files\Pamj C:\Program Files\PamjUn C:\Program Files\Toilqows C:\Program Files\ToilqowsUn C:\Program Files (x86)\00000000-1465050606-0000-0000-D43D7EEF6E46 C:\Program Files (x86)\AnySend C:\Program Files (x86)\CleanBrowser C:\Program Files (x86)\Cneleprupoch C:\Program Files (x86)\Decoing C:\Program Files (x86)\Doroghtshejas C:\Program Files (x86)\MPC Cleaner C:\Program Files (x86)\ttwifi C:\ProgramData\WindowsMsg C:\ProgramData\Microsoft\Windows\GameExplorer\{24566070-140B-4CD5-AB90-145F78C63DF6} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Razor 1911 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ttwifi C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\Star Wars - The Old Republic.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\SWTOR Customer Support.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\View License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\View Readme.lnk C:\Users\Michał\AppData\Local\nsh680F.tmp C:\Users\Michał\AppData\Local\00000000-1465136256-0000-0000-D43D7EEF6E46 C:\Users\Michał\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 C:\Users\Michał\AppData\Local\app C:\Users\Michał\AppData\Local\Tempfolder C:\Users\Michał\AppData\Roaming\del.bat C:\Users\Michał\AppData\Roaming\Enimr C:\Users\Michał\AppData\Roaming\FuslyPalri C:\Users\Michał\AppData\Roaming\MCorp C:\Users\Michał\AppData\Roaming\Mibgo C:\Users\Michał\AppData\Roaming\RiksSofai C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Borderlands.2.Incl.All.24.DLC.[1.7].W.B.Repack C:\Users\Michał\Downloads\Patch Fix Install.rar C:\Users\Michał\Downloads\Patch Fix Install C:\Windows\run.vbs C:\Windows\system32\Drivers\bsdpf64.sys C:\Windows\system32\Drivers\bsdpr64.sys C:\Windows\system32\Drivers\etc\hp.bak CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome został ustawiony przez adware dziwny profil ChromeDefaultData jako domyślny. Wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > zaloguj się na ten profil, a okno poprzedniego zamknij. Następnie skasuj z listy Osoby poprzednie profile, ten "ChromeDefaultData" przypuszczalnie będzie pod nazwą user0 lub coś podobnego. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

Przedstaw raport AdwCleaner pokazujący dokładnie te wyniki. W raporcie FRST nie ma śladu instalacji programów grupy Systweak. Ale do deinstalacji wątpliwy program Dll-Files.com Fixer wersja 2.7.72.2024.

Będę także wyrzucać wszystkie elementy Firefoxa, który wygląda na odinstalowany. Działania do przeprowadzenia: 1. Wejdź do folderu C:\Program Files (x86)\MPC Cleaner. Z prawokliku na plik deinstalatora "Uruchom jako administrator". Po deinstalacji zresetuj system. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\Konksolex\Ranksunlex.dll => C:\ProgramData\Konksolex\Ranksunlex.dll [363008 2016-06-05] () AppInit_DLLs-x32: C:\ProgramData\Konksolex\Fixtrax.dll => C:\ProgramData\Konksolex\Fixtrax.dll [257536 2016-06-05] () HKLM-x32\...\RunOnce: [systwin] => C:\Windows\systwin.exe [305893 2016-06-05] ( ) HKLM-x32\...\RunOnce: [AdBlock2] => [X] HKU\S-1-5-21-601893080-2870670082-4129359601-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> R2 backlh; C:\ProgramData\Logic Handler\set.exe [2089472 2016-06-05] () [brak podpisu cyfrowego] R2 ProntSpooler; C:\Users\Ja\AppData\Local\Apps\2.0\abril.exe [134656 2016-06-05] () [brak podpisu cyfrowego] S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-06-05] () R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [80768 2016-04-25] (Huorong Borui (Beijing) Technology Co., Ltd.) S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] Task: {0752864D-3EDE-4798-AD13-740E5DCE5E56} - System32\Tasks\VirusRemover => C:\Users\Ja\AppData\Local\Temp\VirusRemover.exe [2016-06-05] ( ) Task: {119FD585-EDEF-4C52-9625-B048D4F4D1CF} - System32\Tasks\{F7AAFFFB-C7D7-479D-BF99-D9CFDBD66686} => pcalua.exe -a C:\Users\Ja\AppData\Local\Temp\Temp1_RegCleaner.zip\RegCleaner.exe Task: {7F2E7115-6E7A-47DF-B40E-FF1837E1DD9C} - System32\Tasks\{CE95EC23-332A-45BE-91B2-B23197BAE6F7} => pcalua.exe -a "C:\Users\Ja\AppData\Local\Temp\Temp1_NokiaFREE_v310_Nokia_unlock_codes_calculator (1).zip\NokiaFREE_v310_Setup.exe" Task: {7FF91FD7-47C7-488D-9998-197D0925B33A} - System32\Tasks\{052750AA-11AE-48A8-90FE-E6D2AC95B021} => pcalua.exe -a "G:\Adobe CS4\payloads\AdobeAIR1.0\AdobeAIRInstaller.exe" -d "C:\Program Files (x86)\Common Files\Adobe\Installers\faf656ef605427ee2f42989c3ad31b8" -c -silent Task: {9FCD3C57-2967-4CEE-BA91-49FB50E16388} - System32\Tasks\Doroghtshejas Module => C:\Program Files (x86)\Doroghtshejas\doroghtshejasmoduletask.exe [2016-06-05] () Task: {D0F120EF-FE56-4436-A5B5-3C95985286F7} - System32\Tasks\MPC AdCleaner => C:\Program Files (x86)\MPC AdCleaner\AdCleaner.exe [2016-03-10] (DotC United Inc) Task: {DEBCE895-4980-40E3-BD86-73A05E8AEE01} - System32\Tasks\{DBA6B979-1F8A-46F3-ADF3-C68ED12032FF} => pcalua.exe -a "C:\Program Files (x86)\Hostify\uninstaller.exe" Task: {DF39A546-1661-4B70-8776-CDCFA959F6B2} - System32\Tasks\AdBlock => C:\Windows\AdBlock.exe [2016-06-04] ( ) Task: {F809FFBA-0714-49BC-8BA0-56DC9D3D59DA} - System32\Tasks\psv_Cof-Tom => /c regedit.exe /s "C:\ProgramData\Ronzap\Bluetip.reg" & del "C:\ProgramData\Ronzap\Bluetip.reg" & SCHTASKS /Delete /TN "psv_Cof-Tom" /F ShortcutWithArgument: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Ja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-601893080-2870670082-4129359601-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUHXRX8JzCb_5MCvt2pVkGXricavWxw9YX5xNv44zr4YRvaAjeusOwOn3Rv6fJx1uibsNukl1mOWrkUkCvew4Trl_8CsZZYZoX-PQBOZ1zLh87TJmgzo_Fy6XmTyu-Zi2qhq4SUE455yC-qUgX&q={searchTerms} HKU\S-1-5-21-601893080-2870670082-4129359601-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUHXRX8JzCb_5MCvt2pVkGXricavWxw9YX5xNv44zr4YRvaAjeusOwOn3Rv6fJx1uibsNukl1mOWrkUkCvew4Trl_8CsZZYZoX-PQBOZ1zLh87TJmgzo_Fy6XmTyu-Zi2qhq4SUE455yC-qUgX&q={searchTerms} HKU\S-1-5-21-601893080-2870670082-4129359601-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUHXRX8JzCb_5MCvt2pVkGXricavWxw9YX5xNv44zr4YRvaAjeusOwOn3Rv6fJx1uibsNukl1mOWrkUkCvew4Trl_8CsZZYZoX-PQBOZ1zLh87TJmgzo_Fy6XmTyu-Zi2qhq4SUE455yC-qUgX&q={searchTerms} SearchScopes: HKLM -> DefaultScope {F154C596-75A9-4028-90E8-9752BD7CA05B} URL = SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUHXRX8JzCb_5MCvt2pVkGXricavWxw9YX5xNv44zr4YRvaAjeusOwOn3Rv6fJx1uibsNukl1mOWrkUkCvew4Trl_8CsZZYZoX-PQBOZ1zLh87TJmgzo_Fy6XmTyu-Zi2qhq4SUE455yC-qUgX&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-601893080-2870670082-4129359601-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://searchab.com/?aff=7&uid=99d00908-6ded-11e2-9e49-b870f4e84ff6&q={searchTerms} SearchScopes: HKU\S-1-5-21-601893080-2870670082-4129359601-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=92DA9439E502445D&affID=119357&tsp=4986 SearchScopes: HKU\S-1-5-21-601893080-2870670082-4129359601-1000 -> {11E6CFD8-21BC-40A7-84CB-DEF708E0614E} URL = hxxps://www.google.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-601893080-2870670082-4129359601-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUHXRX8JzCb_5MCvt2pVkGXricavWxw9YX5xNv44zr4YRvaAjeusOwOn3Rv6fJx1uibsNukl1mOWrkUkCvew4Trl_8CsZZYZoX-PQBOZ1zLh87TJmgzo_Fy6XmTyu-Zi2qhq4SUE455yC-qUgX&q={searchTerms} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\8E5BBBB9-1465107894-E011-9617-B870F4E84FF6 C:\Program Files (x86)\Doroghtshejas C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\MPC AdCleaner C:\Program Files (x86)\MPC Cleaner C:\ProgramData\CloudPrinter C:\ProgramData\Konksolex C:\ProgramData\Konksolexs C:\ProgramData\Logic Handler C:\ProgramData\Mozilla C:\ProgramData\Ronzaps C:\ProgramData\UniqueId C:\ProgramData\VsTelemetry C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2+2 v.2.1a C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\e-Kiosk Reader C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HideIPVPN C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NokiaFREE Calculator C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\Star Wars - The Old Republic.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\SWTOR Customer Support.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\View License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\View Readme.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\mForex Trader\Pomoc mForex Trader.lnk C:\Users\Ja\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 C:\Users\Ja\AppData\Local\csdi_monetize_120160604 C:\Users\Ja\AppData\Local\Host Service C:\Users\Ja\AppData\Local\UCBrowser C:\Users\Ja\AppData\Local\Apps\2.0\abril.exe C:\Users\Ja\AppData\Local\Mozilla C:\Users\Ja\AppData\Roaming\*.* C:\Users\Ja\AppData\Roaming\az0hU C:\Users\Ja\AppData\Roaming\cpuminer C:\Users\Ja\AppData\Roaming\gplyra C:\Users\Ja\AppData\Roaming\MCorp C:\Users\Ja\AppData\Roaming\Media-Assistant C:\Users\Ja\AppData\Roaming\Mozilla C:\Users\Ja\AppData\Roaming\USvbT C:\Users\Ja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\COMODO GeekBuddy.lnk C:\Users\Ja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASHER C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Flashtool C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MPC AdCleaner C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Ja\Desktop\MPC AdCleaner.lnk C:\Users\Ja\Downloads\SpyHunter-Installer.exe C:\Users\UpdatusUser\Desktop\*.lnk C:\Windows\AdBlock.exe C:\Windows\systwin.exe C:\Windows\System32\Drivers\EsgScanner.sys C:\Windows\System32\Drivers\ucguard.sys C:\Windows\SysWOW64\Number of results CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Deinstalacja MPC Cleaner prawdopodobnie zmodyfikuje preferencje Google Chrome, więc wyczyść przeglądarkę: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Ustaw też Google Chrome jako domyślną przeglądarkę, gdyż obecnie żadna przeglądarka nie jest wybrana jako domyślna. 4. Po usunięciu elementów Firefox zniknie tapeta systemowa. Skoryguj ręcznie w opcjach Windows. HKU\S-1-5-21-601893080-2870670082-4129359601-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\Ja\AppData\Roaming\Mozilla\Firefox\Tapeta pulpitu.bmp 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

Większość operacji wykonana, ale niestety nie zapisałeś pliku Fixlist w UTF-8, co było konieczne by przetworzyć folder z chińską nazwą. Poprawki: 1. RepairDNS nie naprawił wszystkich wystąpień zainfekowanego dnsapi.dll. Ponów operację z programem. 2. Nie ma oznak wykonania tej operacji: 3. Otwórz Notatnik i wklej w nim: CloseProcesses: AV: AVG AntiVirus Free Edition 2015 (Enabled - Up to date) {4D41356F-32AD-7C42-C820-63775EE4F413} AS: AVG AntiVirus Free Edition 2015 (Enabled - Up to date) {F620D48B-1497-73CC-F290-58052563BEAE} HKU\S-1-5-21-1544065239-652640673-2946235325-1000\...\Run: [AceWebExtensionUpdater] => C:\Users\Karol\AppData\Roaming\AceWebExtension\updater\ace_web_extension.exe [22824 2015-02-28] () C:\Users\Karol\AppData\Roaming\.ACEStream C:\Users\Karol\AppData\Roaming\ACEStream C:\Users\Karol\AppData\Roaming\AceWebExtension C:\Users\Karol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart systemu. Powstanie kolejny fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też pliki fixlog.txt i RepairDNS.txt.

Zacznij od próby korekty daty z poziomu Windows. Po tym ponów próbę uruchomieniem FRST.

Działania do przeprowadzenia: 1. Zakładam, że pendrive nadal jest widoczny pod literą G:, w przeciwnym wypadku w komendach podmień literę na bieżącą. Otwórz Notatnik i wklej w nim: CloseProcesses: Winlogon\Notify\igfxcui: igfxdev.dll [X] Task: {37D3081B-1337-46AB-97AA-0306A4250B51} - System32\Tasks\Microsoft\Windows\Setup\UpgradeTriggers\UpgradeNowTask => C:\Windows\System32\GWX\GWXUXWorker.exe Task: {85D2B353-28D1-414E-9A4D-C95557DF47FD} - \{D5C4270E-AC8A-5DDF-6871-F051DFFA19B9} -> Brak pliku Task: {C375802A-339E-4E0D-95B9-3B7F872A2CB0} - System32\Tasks\{357B799F-F763-47D0-BE13-93D7C7841584} => pcalua.exe -a C:\PROGRA~2\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe -c /M{268723B7-A994-4286-9F85-B974D5CAFC7B} /l1033 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "WTFast Tray" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v RtHDVCpl /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v ShadowPlay /f C:\Program Files (x86)\prefs.js C:\Users\Marcel\AppData\Local\1754111884ee9ab5277ca00.95260103 C:\Users\Marcel\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\Marcel\Desktop\Marcel\Wydatki\TrueCrypt.lnk C:\Users\Marcel\Downloads\warcraft III\warcraft III\Shortcut to w3l.exe.lnk Folder: G:\WindowsServices Folder: G:\_ CMD: attrib /d /s -s -h G:\* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten log. 2. Po w/w akcji na pendrive powinny się ujawnić dwa foldery: G:\_ i G:\WindowsServices. To przypuszczalnie w tym pierwszym zostały przez infekcję ukryte dane zasadnicze. Przenieś wszystkie pliki z tego folderu poziom wyżej, a folder G:\_ skasuj przez SHIFT+DEL (omija Kosz). Sprawdź co jest w folderze G:\WindowsServices, a jeśli tylko nieznane obiekty, też go skasuj.

Raporty FRST nie są tu potrzebne. AdwCleaner wykrył klucze programu IObit Uninstaller.