picasso

To jest niekompletny zestaw FRST, brak pliku Addition.

1. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\IHeeaWA DeleteKey: HKCU\Software\Classes\IHeeaWAHTM DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\eb928bf4_0 DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\IHeeaWA DeleteKey: HKLM\SOFTWARE\Wow6432Node\IHeeaWA Reg: reg delete HKLM\SOFTWARE\RegisteredApplications /v IHeeaWA /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\IHeeaWA\IHeeaWA\chrome.exe" /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Na wszelki wypadek zrób skan za pomocą Hitman Pro. Jeśli wykryje coś innego niż FRST64.exe jako "podejrzany plik" (to fałszywy alarm), dostarcz log z wynikami.

Wszystko zrobione. Teraz uruchom FRST, w polu Szukaj wklej podaną poniżej frazę, klik w Szukaj w rejestrze, dostarcz wynikowy log. IHeeaWA

"Przeczytaj zasady działu co należy podać pod kątem dysku" oznaczało, że dostarczasz dane tyczące dysku o których mowa w tym linku. To nadal aktualne. Jeśli chodzi o treść pokazaną w oknie CMD, jedno z dwóch: - prawy klik na okno > opcja Zaznacz wszystko > prawy klik na zaznaczoną treść, co ją automatycznie skopiuje do schowka > w poście CTRL+V co wklei treść z okna - lub po prostu zrób zrzut ekranu z tego co się pokazuje

Na wszelki wypadek spróbuj jednak "zresetować" to ustawienie, tzn. ustaw G: + restart, następnie z powrotem ustaw C: + restart.

1. Problem adware rozwiązany. Niemniej na wszelki wypadek uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. 2. Nie jestem pewna czy deinstalacja gpedt.msc cofnęła wszystkie zmiany. Zrób weryfikację sfc /scannow i dostarcz filtrowany log wynikowy: KLIK.

Hmmm, nic takiego nie widziałam w ostatnim raporcie FRST (sekcja Procesy). Proszę zrób zrzut ekranu z tego zadania. Zrób też nowe raporty FRST (FRST.txt + Addition.txt). W którym konkretnie miejscu ich brakuje po otworzeniu nowych kart? Przedstaw zrzuty ekranu z sytuacji gdy zakładki są widoczne oraz gdy ich nie widać.

To oznacza, że folder "Default" jest martwy, ale w nim mogą być poprzednie dane. Spróbuj tego: 1. Zamknij Google Chrome. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data 2. Widoczny tam folder Profile 2 na wszelki wypadek przekopiuj np. na Pulpit. Następnie zastąp jego zawartość zawartością folderu Default. 3. Uruchom Google Chrome i powiedz czy brakujące dane wróciły na miejsce.

Temat przenoszę do działu Windows. To nie jest problem infekcji. Czy tu aby nie nastąpiło przekierowanie jednego z folderów Pulpitu? W skanie Shortcut widzę odnośnik do folderu "Desktop" na dysku D: Shortcut: C:\Users\Diana\Desktop\Graboid Video.lnk -> C:\Program Files (x86)\Graboid\GraboidVideo\3.58\GraboidClient.exe (Graboid Inc) Shortcut: C:\Users\Diana\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\BESTplayer - Sprytny odtwarzacz filmów.lnk -> D:\Diana\Desktop\BESTplayer.exe (Brak pliku) Podaj mi skan pokazujący konfigurację folderów powłoki (tzn. gdzie kierują ścieżki Pulpitu). Otwórz Notatnik i wklej w nim: Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Szkodliwa wyszukiwarka jest zablokowana przy udziale triku z politykami grup. Poza tym, są inne odpadki adware. Działania do przeprowadzenia: 1. Odinstaluj zbędne programy: HP Customer Participation Program 13.0, McAfee Security Scan Plus. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: type "C:\Users\Marcin\AppData\Local\Google\Chrome\User Data\Profile 1\Secure Preferences" GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131094121247770704&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131094121247770704&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-738100350-4002353511-3136375141-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131094121247770704&GUID=00000000-0000-0000-0000-000000000000 HKU\S-1-5-21-738100350-4002353511-3136375141-1000\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" HKU\S-1-5-21-738100350-4002353511-3136375141-1000\...\Run: [bingSvc] => C:\Users\Marcin\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation) R2 IHeeaWA_protect; C:\ProgramData\IHeeaWA\protect\protect.exe [303016 2016-04-22] () S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] Task: {64561F95-8BF9-4A50-BCC3-D5108E473F7C} - System32\Tasks\{880AB7E6-DE6E-4ED0-B222-AA808D0B7DE0} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe" Task: {E44AEBD3-542A-46FF-A6DC-53B39D6E2408} - System32\Tasks\{8F3DADEE-961D-4750-A4A2-D334EA4A97EB} => pcalua.exe -a C:\Users\Marcin\Downloads\WindowsPhone.exe -d C:\Users\Marcin\Downloads CustomCLSID: HKU\S-1-5-21-738100350-4002353511-3136375141-1000_Classes\CLSID\{149DD748-EA85-45A6-93C5-AC50D0260C98}\localserver32 -> C:\Program Files\Autodesk\DWG TrueView 2015 - English\dwgviewr.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-738100350-4002353511-3136375141-1000_Classes\CLSID\{3faa4380-a399-11cf-a466-00805fe418f6}\InprocServer32 -> C:\Program Files\Autodesk\DWG TrueView 2015 - English\en-US\dwgviewrficn.dll => Brak pliku HKU\S-1-5-21-738100350-4002353511-3136375141-1000\Software\Classes\.scr: DWGTrueViewScriptFile => C:\Windows\system32\notepad.exe "%1" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WinZip DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files (x86)\IHeeaWA C:\Program Files (x86)\TXQQBrowser C:\ProgramData\IHeeaWA C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\Users\Marcin\AppData\Local\Microsoft\BingSvc C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Windows\system32\log C:\Windows\SysWOW64\pl.html CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Po odblokowaniu ustawień Chrome w/w skryptem zresetuj preferencje Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Wszystko poszło zgodnie z planem i co było poprzednio widoczne pomyślnie usunięte. Jednak w międzyczasie powstały nowe obiekty adware. Jeśli rzecz o Google Chrome, niestety jest tylko jeden profil (ten bieżący ChromeDefaultData2) i będę jeszcze sprawdzać określone rzeczy. Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {48126E61-31C0-41AF-99F4-E5D2ED08B8B0} - System32\Tasks\IBUpd2 => C:\Users\Magdalena\AppData\Local\BrowserAir\47.0.0.5\updater.exe Task: {E951E85F-BD45-4C68-9822-9C4C16DAFED4} - System32\Tasks\IBUpd => C:\Users\Magdalena\AppData\Local\BrowserAir\47.0.0.5\updater.exe Task: {FBD2E659-CF07-4EE3-ABF4-0B964EC28177} - System32\Tasks\SMW_P => C:\ProgramData\smp2.exe [2016-06-03] () HKLM\...\RunOnce: [WEPRODUCT21BB3] => C:\Users\Magdalena\AppData\Local\Temp\I5XM880YVG.exe [175616 2016-06-02] () HKU\S-1-5-21-3207241678-2084453937-2149904728-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Magdalena\AppData\Local\Akamai\netsession_win.exe" SearchScopes: HKU\S-1-5-21-3207241678-2084453937-2149904728-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www-searching.com/search.aspx?s=g62zamobl2140bq,b2d06a37-9aac-4599-ada9-42322c59585b,&site=shyosie&prd=setgo&q={searchTerms} SearchScopes: HKU\S-1-5-21-3207241678-2084453937-2149904728-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www-searching.com/search.aspx?s=g62zamobl2140bq,b2d06a37-9aac-4599-ada9-42322c59585b,&site=shyosie&prd=setgo&q={searchTerms} ShortcutWithArgument: C:\Users\Magdalena\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www-searching.com/?prd=set_epc&s=g62zamobl2140bq,b2d06a37-9aac-4599-ada9-42322c59585b, ShortcutWithArgument: C:\Users\Magdalena\Desktop\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www-searching.com/?prd=set_epc&s=g62zamobl2140bq,b2d06a37-9aac-4599-ada9-42322c59585b, ShortcutWithArgument: C:\Users\Magdalena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www-searching.com/?prd=set_epc&s=g62zamobl2140bq,b2d06a37-9aac-4599-ada9-42322c59585b, ShortcutWithArgument: C:\Users\Magdalena\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www-searching.com/?prd=set_epc&s=g62zamobl2140bq,b2d06a37-9aac-4599-ada9-42322c59585b, ShortcutWithArgument: C:\Users\Magdalena\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www-searching.com/?prd=set_epc&s=g62zamobl2140bq,b2d06a37-9aac-4599-ada9-42322c59585b, ShortcutWithArgument: C:\Users\Magdalena\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www-searching.com/?prd=set_epc&s=g62zamobl2140bq,b2d06a37-9aac-4599-ada9-42322c59585b, ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www-searching.com/?prd=set_epc&s=g62zamobl2140bq,b2d06a37-9aac-4599-ada9-42322c59585b, C:\ProgramData\smp2.exe C:\Program Files (x86)\DriverToolkit C:\Users\Magdalena\AppData\Local\BrowserAir C:\Users\Magdalena\AppData\Roaming\OwiffMuste C:\Windows\system32\bi3.exe C:\Windows\SysWOW64\kz.exe CMD: netsh advfirewall reset CMD: dir /a "C:\Users\Magdalena\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2" EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Tym razem zapis w kodowaniu UTF-8 nie jest wymagany. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. W logu z Autoruns nie widać wpisów context menu, które były podane na obrazku w pierwszym poście. Owszem, w skrypcie FRST derejestrowałam masowo biblioteki DLL i to mogło być jedno z działań usuwające te wejścia. Potwierdź proszę, że te pozycje w menu kontekstowym rzeczywiście nie są już widoczne.

Ogólnie na temat Kodu 10: KB943104. Wstępnie proszę podaj raporty FRST ogólnie przedstawiające stan systemu, błędy w Dzieniku i podobne.

Ten błąd 0x80242021 może wynikać z niedomyślnej i w jakiś sposób zdefektowanej lokalizacji docelowej zapisu pobieranych aplikacji, np. niedostępny lub ograniczony uprawnieniami dysk zewnętrzny. Pytaniem jest co jest obecnie ustawione tu: klik na przycisk Start > Ustawienia > System > Pamięć > Lokalizacje zapisywania > Nowe aplikacje będą zapisywane w.... Domyślną lokalizacją jest "Ten komputer (C:)". Jeśli figuruje inna lokalizacja, np. wspominany padnięty dysk z danymi, przestaw z powrotem na C + restart systemu.

Markiz, w FAQ Nirsoft stoi:

ThePiotrek, wyraźnie powiedziałam co należy podać, czego nie dostarczyłeś. Dane przeanalizuje moderator Hardware. Nawiasem mówiąc, nawet nie raczyłeś przekleić co się pokazało w oknie cmd po ostatniej próbie z chkdsk. Jasnowidzami nie jesteśmy, by ustalić treść komunikatu: "Wyskoczyły jakieś napisy po angielsku. Bardzo małym drukiem i marnej jakości."

Usuwam log OTL, ten przestarzały program nie jest już tu od dawna używany. Obecnie są obowiązkowe raporty z FRST. Niemniej: Skoro jest zgłaszany problem z danymi na dysku zewnętrznym, temat przenoszę do działu Hardware. Zasady działu: KLIK. I pytaniem jest czy próbowałeś już skanu chkdsk?

Zapomnij o uruchomieniu tej gry na systemie XP. Minimalne wymagania gry to system Vista SP2 i wyższy DirectX 10/11: KLIK. Nawiasem mówiąc, podobne pytania już na forum były, np. KLIK / KLIK.

Temat założony w dziale analizy infekcji, opis nie wskazuje na infekcję. Infekcja ukrywa dane za pomocą atrybutów HS. Skoro atrybuty zdjęte, a ujawniły się tylko te dwa foldery (Kosz i folder Przywracania systemu), to znaczy że nie ma nic więcej dostępnego w normalny sposób. Opis sugeruje problem ze strukturą plików, a być może i fizyczny dysku skoro nawet chkdsk nie chce się uruchomić. Temat przenoszę do działu Hardware. Przeczytaj zasady działu co należy podać pod kątem dysku: KLIK.

Kaspersky Internet Security ma wbudowany moduł "Automatic Exploit Prevention" przydatny pod kątem ataku infekcji szyfrujących dane: KLIK. Ta funkcja może ewentualnie kolidować z takimi rozwiązaniami jak Malwarebytes Anti-exploit, pomimo że oficjalnie nie ma oznaczenia braku kompatybilności. Bitdefender Anti-Ransomware działa na innej zasadzie, poprzez immunizację wybranych miejsc, ale pula ochrony jest dość skromna, to nie jest pełna ochrona przed wszystkimi typami szyfratorów. Prawdopodobnie KIS może działać bezkolizyjnie równolegle z tą mini szczepionką.

Dodałam jeszcze w ostatnim punkcie tworzenie raportu w Autoruns, pod kątem spisu rozszerzeń menu kontekstowych widocznych na zrzucie ekranu (FRST tego nie skanuje).

W systemie kupa chińskich infekcji, a także infekcja WMI atakująca skróty przeglądarek. Wygląda na to, że adware ustawiło inny profil przeglądarki (ChromeDefaultData2). Będę sprawdzać czy jest poprzedni profil. Czyszczenie będzie rozłożone na wiele etapów. Działania wstępne do przeprowadzenia: 1. Próba deinstalacji określonych programów adware/PUP. Wejdź do folderu C:\Program Files (x86) i z prawokliku na oba wyliczane pliki Uruchom jako Administrator: C:\Program Files (x86)\ADSKIP\uninst.exe C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\Uninst.exe Następnie wejdź jeszcze do folderu C:\Program Files\żěŃą (oraz podfolderów) i sprawdź czy nie ma jakiegoś podobnego pliku deinstalacyjnego. Jeśli podczas deinstalacji wystąpią błędy, nie szkodzi. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe WMI_ActiveScriptEventConsumer_ASEC: R2 KuaizipUpdateChecker; C:\Program Files\żěŃą\X86\kuaizipUpdateChecker.dll [219072 2016-06-02] () R2 QQPCRTP; C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QQPCRtp.exe [295144 2016-06-02] (Tencent) S3 blNetFilter; C:\Windows\system32\drivers\blNetFilter.sys [54664 2016-05-11] () S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-06-02] () S3 FHUXXZLDPA; C:\Windows\System32\Drivers\askProtect64.sys [208776 2016-05-11] () R2 KuaiZipDrive; C:\Windows\system32\drivers\KuaiZipDrive.sys [92872 2016-06-02] (WinMount International Inc) R2 QQSysMonX64; C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QQSysMonX64.sys [126456 2016-06-02] (PC Manager) R3 TFsFlt; C:\Windows\System32\Drivers\TFsFltX64.sys [95224 2016-06-02] (PC Manager) R1 TSSysKit; C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\TSSysKit64.sys [97272 2016-06-02] (PC Manager) S0 mvs91xx; System32\drivers\mvs91xx.sys [X] S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QMUdisk64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" Task: {017E626B-A215-4D1F-BED7-539C0167F28C} - System32\Tasks\{86835B39-E574-433C-AB70-4351533C682A} => pcalua.exe -a "C:\Program Files (x86)\Common Files\K-tam\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\K-tam\uninstall.dat" -a uninstallme 5952C0CA-608B-4DF6-88EB-50D2BA9A6C7C DeviceId=b9fa0cf2-b857-720c-65de-843591f62eed BarcodeId=51107003 ChannelId=3 DistributerName=APSFClickMeIn Task: {28C523D2-57F4-4DC3-9C41-A53BB45F4E4C} - System32\Tasks\KuaiZip_Update => C:\Program Files\żěŃą\X86\Update.exe [2016-06-02] (Shanghai Guangle Network Technology Ltd ) Task: {4680F67C-3AE3-47D5-82F8-0B72DB73FE11} - System32\Tasks\PPTAssistantUpdateTask_Magdalena => C:\Users\Magdalena\AppData\Local\PPTAssist\assistupdate.exe Task: {4E1B5BA3-3F3A-4C77-967B-973D344AF882} - System32\Tasks\{3772494E-FDA7-4249-B94E-11E1C61A7F28} => pcalua.exe -a "C:\Program Files (x86)\EasyHotspot\uninstaller.exe" Task: {4F7D3A5F-B0CC-48BE-8713-F6284F866D94} - System32\Tasks\{808055D5-E073-48B3-92A4-92290238395D} => pcalua.exe -a "C:\Program Files (x86)\Hostify\uninstaller.exe" Task: {641E5119-67FD-41EC-89E2-7C4480963F3E} - System32\Tasks\tasklist => C:\Users\Magdalena\AppData\Roaming\setup_qg02.exe Task: {811EB506-332D-4C42-A624-320FC381CB96} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe [2015-07-01] (Megaify Software Co., Ltd.) Task: {A6322CFE-615E-4CD7-81D9-B05A9C235F6A} - System32\Tasks\{B57DE98B-827F-4AD0-8736-0D1FD5EE3586} => pcalua.exe -a "C:\Program Files (x86)\sunnyday\uninstaller.exe" Task: {AF85F5BE-AC76-42C6-A312-5BC9C0F51703} - System32\Tasks\{34522D2B-DBFC-4C45-A69C-CA5FBB933EE6} => pcalua.exe -a "C:\Program Files (x86)\mpck\uninstaller.exe" Task: {B02C6A97-ADF3-4218-AC76-0892296C7DCE} - System32\Tasks\Zivuleclahtain Launcher => C:\Program Files (x86)\Zivuleclahtain\zivuleclahtainlauncherTsk.exe Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: C:\Windows\Tasks\PPTAssistantUpdateTask_Magdalena.job => C:\Users\Magdalena\AppData\Local\PPTAssist\assistupdate.exe Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\PHOTOfunSTUDIO 9.5 PE.lnk [2015-06-09] HKLM\...\Run: [FAHConsole] => C:\Program Files\File Association Helper\FAHConsole.exe [729272 2014-01-28] (Nico Mak Computing) HKLM-x32\...\Run: [ QQPCTray] => C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QQPCTray.exe [352488 2016-06-02] (Tencent) HKLM\...\RunOnce: [WEPRODUCT64Hg4] => C:\Users\Magdalena\AppData\Local\Temp\I5XM880YVG.exe [175616 2016-06-02] () HKU\S-1-5-21-3207241678-2084453937-2149904728-1001\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-3207241678-2084453937-2149904728-1001\...\Policies\Explorer: [] ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43} => Brak pliku ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2016-06-02] () BHO: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku BHO: PC Manager网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\TSWebMon64.dat [2016-06-02] (Tencent) BHO-x32: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku CustomCLSID: HKU\S-1-5-21-3207241678-2084453937-2149904728-1001_Classes\CLSID\{034DF736-A378-4292-ACAE-A561088999F5}\InprocServer32 -> C:\Users\Magdalena\AppData\Local\PPTAssist\pptassist64.dll (珠海金山办公软件有限公司) CustomCLSID: HKU\S-1-5-21-3207241678-2084453937-2149904728-1001_Classes\CLSID\{1077138E-896C-445E-BD31-CFCFFA4636C4}\InprocServer32 -> C:\Users\Magdalena\AppData\Local\PPTAssist\pptassist64.dll (珠海金山办公软件有限公司) CustomCLSID: HKU\S-1-5-21-3207241678-2084453937-2149904728-1001_Classes\CLSID\{C4917602-2AC8-4ECE-8E5D-390C3871ABB3}\InprocServer32 -> C:\Users\Magdalena\AppData\Local\PPTAssist\tabassist64.dll (珠海金山办公软件有限公司) CustomCLSID: HKU\S-1-5-21-3207241678-2084453937-2149904728-1001_Classes\CLSID\{E00310B2-F036-4771-9347-C131257D990F}\InprocServer32 -> C:\Users\Magdalena\AppData\Local\PPTAssist\tabassist64.dll (珠海金山办公软件有限公司) ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% FirewallRules: [TCP Query User{D9A32231-1F97-43D3-851B-E4ABA77B234B}C:\program files (x86)\adskip\adskip.exe] => (Block) C:\program files (x86)\adskip\adskip.exe FirewallRules: [uDP Query User{A4F8889E-A354-4772-B0B4-5647C98C4857}C:\program files (x86)\adskip\adskip.exe] => (Block) C:\program files (x86)\adskip\adskip.exe FirewallRules: [{3B0A9B77-2478-4DB9-8B6D-A6610D17DD38}] => (Allow) C:\Program Files (x86)\ADSKIP\ADSkipSvc.exe FirewallRules: [{70C99020-C78C-4E64-947C-81110F017BE1}] => (Allow) C:\Program Files (x86)\ADSKIP\ADSkip.exe FirewallRules: [{D26C4207-B3B1-4887-A2E1-4E892BEC7691}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QQPCTray.exe FirewallRules: [{F6398801-F413-4D28-AD45-347AFEF30E41}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QQPCMgr.exe FirewallRules: [{59B93E18-E99A-4987-ADE7-BFDA051B3C47}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QQPCRTP.exe FirewallRules: [{66BE47B1-A0FE-4ED6-8C54-20468F4EE544}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\bugreport.exe FirewallRules: [{678F6EA1-FA8A-4DB9-BCFB-DCAE324B1B32}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QQPConfig.exe FirewallRules: [{223DC554-FEE4-47C2-81AA-F3048A71B10C}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QMUpdate\QQPCMgrUpdate.exe FirewallRules: [{5D8F9EAD-33F4-44CC-A1B4-93A83881B477}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QQPCUpdateAVLib.exe FirewallRules: [{5EA68776-3FA1-4C26-8F29-F429B8CDBE0B}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\Uninst.exe FirewallRules: [{3CD11196-136C-43AC-BB0A-1343CD41F66C}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\TpkUpdate.exe FirewallRules: [{F3338BF5-5102-4237-9E71-D2F806EFF739}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QMDL.exe FirewallRules: [{E2C9F419-1E67-4C35-808D-6D7D05DDC512}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QMDL.exe FirewallRules: [{8992A8EE-1924-43C7-8B11-80FC4B6A1220}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\132\tencentdl.exe FirewallRules: [{01B0A32C-1871-4AC5-84CE-B5778F0AA19B}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\132\bugreport_xf.exe FirewallRules: [{B7421323-FBD7-474B-9D56-258C2B0D43AB}] => (Allow) C:\Program Files (x86)\ADSKIP\ADSkip.exe FirewallRules: [{9B7F6473-DB66-46C0-96A3-4553AAB81D61}] => (Allow) C:\Program Files (x86)\ADSKIP\ADSkipSvc.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{5CC359A2-C839-485F-8DA9-15EC6DD056B0} DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "PHOTOfunSTUDIO 9.5 PE.lnk" /f Reg: reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" /v PendingFileRenameOperations /t REG_MULTI_SZ /d "" /f CMD: for %i in ("C:\Program Files\żěŃą\X86\*.dll") do regsvr32.exe /s /u %i CMD: for %i in ("C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\*.dll") do C:\Windows\SysWOW64\regsvr32.exe /s /u %i C:\extensions C:\Program Files\Caster C:\Program Files\żěŃą C:\Program Files\Common Files\Tencent C:\Program Files (x86)\03D40274-1464874845-058E-7A06-440700080009 C:\Program Files (x86)\ADSKIP C:\Program Files (x86)\badu C:\Program Files (x86)\Cirageqopward C:\Program Files (x86)\Hofight C:\Program Files (x86)\MPC Cleaner C:\Program Files (x86)\mpck C:\Program Files (x86)\Tencent C:\Program Files (x86)\Zivuleclahtain C:\Program Files (x86)\Common Files\K-tam C:\program files (x86)\Common Files\Tencent C:\ProgramData\APN C:\ProgramData\kingsoft C:\ProgramData\Logic Handler C:\ProgramData\Norton C:\ProgramData\Tencent C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DriverToolkit C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\PDFCreator Pomoc.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk C:\uninst C:\Users\Magdalena\AppData\Local\03D40274-1464884535-058E-7A06-440700080009 C:\Users\Magdalena\AppData\Local\app C:\Users\Magdalena\AppData\Local\cache C:\Users\Magdalena\AppData\Local\PPTAssist C:\Users\Magdalena\AppData\Local\Tempfolder C:\Users\Magdalena\AppData\LocalLow00416DA8 C:\Users\Magdalena\AppData\LocalLow00434908 C:\Users\Magdalena\AppData\LocalLow000000B343FC60A8 C:\Users\Magdalena\AppData\LocalLow\Company C:\Users\Magdalena\AppData\Roaming\*.* C:\Users\Magdalena\AppData\Roaming\ADSKIP C:\Users\Magdalena\AppData\Roaming\JRghk C:\Users\Magdalena\AppData\Roaming\kingsoft C:\Users\Magdalena\AppData\Roaming\Kuaizip C:\Users\Magdalena\AppData\Roaming\lBGhC C:\Users\Magdalena\AppData\Roaming\pptassist C:\Users\Magdalena\AppData\Roaming\Qejge C:\Users\Magdalena\AppData\Roaming\Tencent C:\Users\Magdalena\AppData\Roaming\Softlink C:\Users\Magdalena\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\AdSkip.lnk C:\Users\Magdalena\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk C:\Users\Magdalena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\¶ŕ˛Ę±ăÇ© C:\Users\Magdalena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AdSkip C:\Users\Magdalena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Tencent Software C:\Users\Magdalena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Autodesk\Install Now Autodesk® AutoCAD® 2014.lnk C:\Users\Magdalena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Autodesk\Install Now Autodesk® AutoCAD® 2015.lnk C:\Users\Magdalena\Desktop\AdSkip.lnk C:\Users\Magdalena\Desktop\¶ŕ˛Ę±ăÇ©.lnk C:\Users\Magdalena\Desktop\żěŃą.lnk C:\Users\Magdalena\Downloads\SpyHunter-Installer-k.com C:\Users\Magdalena\Downloads\RegHunter-Installer.exe C:\Windows\system32\BIT9237.tmp C:\Windows\system32\Drivers\askProtect64.sys C:\Windows\system32\Drivers\blNetFilter.sys C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\system32\Drivers\KuaiZipDrive.sys C:\Windows\system32\Drivers\TFsFltX64.sys C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\System32\Tasks\tasklist C:\Windows\System32\Tasks\Remediation Folder: C:\Users\Magdalena\AppData\Local\Apps\2.0 CMD: dir /a "C:\Users\Magdalena\AppData\Local\Google\Chrome\User Data" CMD: dir /a "C:\Users\Magdalena\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions" Hosts: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows*. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. * Wejście do Trybu awaryjnego: klawisz z flagą Windows + I > Zmień ustawienia komputera > Aktualizacja i odzyskiwanie > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > nastąpi restart i pojawi się ekran z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > wybierz Tryb awaryjny. 3. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj: Adobe Reader 9.5.0 - Polish (stara wersja), Akamai NetSession Interface (zbędny downloader produktów Autodesk), DriverToolkit version 8.5.0.0 (przypuszczalnie niechciana instalacja), File Association Helper (podobnie). 4. Zrób nowe logi: - FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition, ale już bez Shortcut. - Autoruns, z prawokliku na program Uruchom jako Administrator, a wynikowy log zapisz do formatu *.txt z poziomu menu.. Dołącz też plik fixlog.txt. Oraz zrób zrzut ekranu z tego miejsca w Google Chrome: menu Ustawienia > karta Ustawienia > Osoby.

W GMER także nie widzę nic podejrzanego. Czyli jak mówiłam:

Nowe logi wstawione, przechodzimy do usuwania. Odpowiadasz mi już w nowym poście, nie edytuj pierwszego i nie podmieniaj logów. Problem podstawowy to aktywna infekcja DNS i modyfikacja systemowych plików dnsapi.dll. Prócz tego masa odpadków adware. Działania wstępne: 1. Uruchom RepairDNS. Na Pulpicie powstanie log RepairDNS.txt. 2. Odinstaluj Ace Stream Media 3.1.1.1 (wbudowany moduł adware) oraz Adobe Flash Player 10 ActiveX (stara niebezpieczna wersja). 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 Afict; "C:\Users\Karol\AppData\Roaming\Nudnum\Nudnum.exe" -cms [X] S2 backlh; C:\ProgramData\Logic Handler\set.exe [X] S2 CloudPrinter; C:\ProgramData\\CloudPrinter\\CloudPrinter.exe shuz -f "C:\ProgramData\\CloudPrinter\\CloudPrinter.dat" -l -a S2 cobycekozbt; C:\Program Files (x86)\46313030-1464376569-3142-3230-3139FFFFFFFF\knsm18A8.tmpfs [X] S2 dowidoly; Brak ImagePath S2 Ikermuze; "C:\Users\Karol\AppData\Roaming\JatwOjeura\Siynfunf.exe" -cms [X] S2 Quoteex; C:\ProgramData\\Quoteex\\Quoteex.exe shuz -f "C:\ProgramData\\Quoteex\\Quoteex.dat" -l -a S2 rijufoze; C:\Program Files (x86)\46313030-1464376569-3142-3230-3139FFFFFFFF\hnsc4896.tmp [X] S2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe -s [X] R1 cherimoya; C:\Windows\System32\drivers\cherimoya.sys [82240 2016-05-28] (Cherimoya Ltd) S3 TSSKX64; C:\Windows\System32\drivers\tsskx64.sys [54904 2016-05-27] (电脑管家) S1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMUdisk64.sys [X] S1 softaal; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\softaal64.sys [X] S1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv [X] S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM-x32\...\Run: [svchost.exe -start] => C:\ProgramData\svchost.exe -start HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun AppInit_DLLs: C:\ProgramData\Quoteex\Zathsoft.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Quoteex\HomeTontough.dll => Brak pliku Tcpip\..\Interfaces\{549DF18E-551F-403C-BCE2-9FA15230C1D2}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{846ee342-7039-11de-9d20-806e6f6e6963}: [NameServer] 104.197.191.4 HKU\S-1-5-21-1544065239-652640673-2946235325-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu6aEhdAQJAr6KR-UDqFZpQuTFuLw5jK08HKqTPVNZGhjy7WlPsBwQAZxBxCt_IklVdBQgEFpU9AiczlF_ZQMnuA3rTrVH6MciT8yqy1UxAkCeXwr_shxMSSwFsB6TWqTTs_9lqfWraMAEBfglef8Ad861Og,,&q={searchTerms} HKU\S-1-5-21-1544065239-652640673-2946235325-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu6aEhdAQJAr6KR-UDqFZpQuTFuLw5jK08HKqTPVNZGhjy7WlPsBwQAZxBxCt_IklZe2utCraANmceghWX9XI4m8ZGnnTO5ki8GTH6YAJvEwQNlQjceRUYEgfZ1JHk6huAUllCpDVzBAJmpSHvi6QtrE1o0Q,, HKU\S-1-5-21-1544065239-652640673-2946235325-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu6aEhdAQJAr6KR-UDqFZpQuTFuLw5jK08HKqTPVNZGhjy7WlPsBwQAZxBxCt_IklVdBQgEFpU9AiczlF_ZQMnuA3rTrVH6MciT8yqy1UxAkCeXwr_shxMSSwFsB6TWqTTs_9lqfWraMAEBfglef8Ad861Og,,&q={searchTerms} HKU\S-1-5-21-1544065239-652640673-2946235325-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu6aEhdAQJAr6KR-UDqFZpQuTFuLw5jK08HKqTPVNZGhjy7WlPsBwQAZxBxCt_IklVdBQgEFpU9AiczlF_ZQMnuA3rTrVH6MciT8yqy1UxAkCeXwr_shxMSSwFsB6TWqTTs_9lqfWraMAEBfglef8Ad861Og,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu6aEhdAQJAr6KR-UDqFZpQuTFuLw5jK08HKqTPVNZGhjy7WlPsBwQAZxBxCt_IklVdBQgEFpU9AiczlF_ZQMnuA3rTrVH6MciT8yqy1UxAkCeXwr_shxMSSwFsB6TWqTTs_9lqfWraMAEBfglef8Ad861Og,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-1544065239-652640673-2946235325-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu6aEhdAQJAr6KR-UDqFZpQuTFuLw5jK08HKqTPVNZGhjy7WlPsBwQAZxBxCt_IklVdBQgEFpU9AiczlF_ZQMnuA3rTrVH6MciT8yqy1UxAkCeXwr_shxMSSwFsB6TWqTTs_9lqfWraMAEBfglef8Ad861Og,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-1544065239-652640673-2946235325-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu6aEhdAQJAr6KR-UDqFZpQuTFuLw5jK08HKqTPVNZGhjy7WlPsBwQAZxBxCt_IklVdBQgEFpU9AiczlF_ZQMnuA3rTrVH6MciT8yqy1UxAkCeXwr_shxMSSwFsB6TWqTTs_9lqfWraMAEBfglef8Ad861Og,,&q={searchTerms} CHR HomePage: Default -> hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu6aEhdAQJAr6KR-UDqFZpQuTFuLw5jK08HKqTPVNZGhjy7WlPsBwQAZxBxCt_IklVb5P14roTCx8DakOP-yuMHB2bw9fcSQvlq0PEUi886yUi3RLZxleEBahsRhL7RMvD0x3IBuV7UkFlG0jza4EXoRdAqg,, CHR HKU\S-1-5-21-1544065239-652640673-2946235325-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% DeleteKey: HKCU\Software\Mozilla\Firefox\Extensions DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AvgUi DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DIMDownloading your update...1300677038363 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NVIDIA Corporation\MediaShield C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NVIDIA Corporation\Panel sterowania NVIDIA C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SubtitleCreator C:\Users\Karol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Karol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Subtitle Workshop\Help C:\Users\Karol\Documents\Corel\CorelDRAW X5 Samples\target.lnk C:\Users\Public\Thunder Network C:\Windows\chromebrowser.exe C:\Windows\system32\ghn C:\Windows\SysWOW64\Number of results C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\system32\Drivers\cherimoya.sys C:\Windows\system32\Drivers\TFsFltX64.sys C:\Windows\system32\Drivers\TSSKX64.sys C:\Windows\SysWOW64\findit.xml C:\Windows\SysWOW64\Drivers\TS888x64.sys CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też pliki fixlog.txt i RepairDNS.txt.

Fix FRST pomyślnie wykonany. Skasuj FRST i jego logi z folderu E:\Programy. Zastosuj jeszcze DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Nie podałeś obowiązkowego raportu z GMER, choć widzę że była z nim jakaś próba - nie mogłeś go uruchomić? W raportach FRST nie widać żadnych oznak infekcji. 1. Jedyne co mogę obecnie doradzić, to zmiana loginów w kontach pocztowych, które są skonfigurowane w Outlooku. 2. Dodatkowo, w systemie są stare niebezpieczne wersje (luki! zagrożenie infekcjami szyfrującymi dane). Do wglądu przyklejony i wątek aktualizacji: KLIK. Internet Explorer Wersja 6 (Domyślna przeglądarka: FF) ==================== Zainstalowane programy ====================== Adobe Flash Player 10 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 10.0.42.34 - Adobe Systems Incorporated) Adobe Reader XI (11.0.08) (HKLM\...\{AC76BA86-7AD7-1033-7B44-AB0000000001}) (Version: 11.0.08 - Adobe Systems Incorporated) Java 2 Runtime Environment, SE v1.4.1_07 (HKLM\...\{CA532E73-1BB7-11D8-9D6A-00010240CE95}) (Version: - ) Java 8 Update 66 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83218066F0}) (Version: 8.0.660.18 - Oracle Corporation) Java Web Start (HKLM\...\Java Web Start) (Version: - )