picasso

Nie wiem w jaki sposób robiłeś fixlist, ale proszę otwórz fixlog i porównaj z moim postem. Przy przeklejaniu do Notatnika wyzerowałeś wszystkie kropki i slesze w ścieżkach, w związku z tym FRST prawie nic nie wykonał... Skrypt do zrobienia od nowa i wykonania. PS. I jak mówiłam, to są poboczne działania. Problemy wyglądające na bardziej sprzętowe oczekują na analizę przez moderatora działu Hardware.

Nie widać nic od Arcabit, więc możesz przejść do wykonania skryptu FRST.

W Centrum Sieci i udostępniania > z boku klik w Zarządzaj połączenia sieciowymi > pokaże się lista połączeń. Pogrubione ma usunąć mój Fixlist do FRST, gdyż to są martwe odpadki adware i nie ma już pełnych deinstalatorów. Reszta to poprawne obiekty, usuwanie jeśli nie korzystasz z nich: http://answers.microsoft.com/en-us/windows/forum/windows8_1-performance/can-i-remove-cisco-eap-fast-module-cisco-leap/8fc13157-99ec-4215-bc2b-49c03b48b396?page=1 https://pl.wikipedia.org/wiki/ASP.NET_MVC + od gier: PunkBuster Services (HKLM\...\PunkBusterSvc) (Version: 0.993 - Even Balance, Inc.) Infestation: Survivor Stories (HKLM\...\Steam App 226700) (Version: - Hammerpoint Interactive)

Ale który problem masz na myśli? Opisz dokładnie o który wątek Ci chodzi. W raportach nie widać żadnego aktywnego adware czy innej infekcji, są tylko całkowicie martwe mini szczątki nie mające żadnego wpływu na stan systemu. Operacje porządkowe: 1. Odinstaluj stare niebezpieczne wersje (luki): Acrobat.com, Adobe AIR, Adobe Reader 9.1 MUI, Java 7 Update 79. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs-x32: C:\ProgramData\ApppaznoZ\Zamfax.dll => Brak pliku SearchScopes: HKLM-x32 -> DefaultScope - brak wartości BHO: Brak nazwy -> {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} -> Brak pliku DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\ApppaznoZ RemoveDirectory: C:\ProgramData\Kaspersky Lab RemoveDirectory: C:\Users\Lusia\DoctorWeb EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Poprawki. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\DriverToolkit DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.apk DeleteKey: HKLM\SOFTWARE\Classes\metnsd DeleteKey: HKLM\SYSTEM\ControlSet001\Services\TSKSP Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\ProgramData\Tencent\QQPCMgr\Quarantine\QMQuarantine.exe.FriendlyAppName" /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\DriverToolkit RemoveDirectory: C:\Users\Sławomir\AppData\Local\DriverToolkit Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

Podstawową instalacją jest uBlock Origin. Opcjonalnym dodatkiem do uBlock Origin jest uBlock Origin WebSocket (nie będzie działać bez uBlock Origin). Służy do blokowania dodatkowych reklam typu WebSocket. Opis co ten dodatek robi: https://github.com/gorhill/uBO-WebSocket

Nieaktywowany system bez przeszkód się aktualizuje (z wyłączeniem pewnych opcjonalnych aktualizacji), więc brak aktywacji w owym czasie nie jest dowodem że nie wykonywało się w tle Windows Update, jeśli było połączenie z siecią. I nie ma kontroli gdzie Windows Update rozpakowuje łaty przed ich instalacją, takie foldery będą powstawać przed instalacją aktualizacji zawsze tam gdzie jest więcej wolnego miejsca (w kontekście ogólnych proporcji dysku). Po instalacji aktualizacji te losowe foldery raczej nie znikają same, a niekiedy nawet nie można ich ręcznie skasować ze względu na blokadę uprawnień. Jak rozumiem, wszystkie akcje wykonane. Czy po przeładowaniu całego systemu od zera nadal są problemy ze "śledzeniem"?

Temat przenoszę do działu Windows, zero oznak infekcji na koncie marek_2 (nie sprawdzone konta marek i julia). A jedyne co wynika z raportu FRST, to poniższe powtarzające się błędy w Dzienniku zdarzeń, które można ewentualnie skojarzyć z wolnym startem. Przyczyna zawieszenia usług nieznana. Dziennik System: ============= Error: (05/30/2016 03:32:20 PM) (Source: DCOM) (EventID: 10010) (User: ) Description: {F9717507-6651-4EDB-BFF7-AE615179BCCF} Error: (05/30/2016 01:41:04 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa Windows Update zawiesiła się podczas uruchamiania. Error: (05/30/2016 01:38:11 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa Windows Image Acquisition (WIA) zawiesiła się podczas uruchamiania. Error: (05/29/2016 10:03:51 AM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa Windows Update zawiesiła się podczas uruchamiania. Error: (05/29/2016 09:57:31 AM) (Source: Microsoft-Windows-WLAN-AutoConfig) (EventID: 10000) (User: ZARZĄDZANIE NT) Description: Uruchomienie modułu rozszerzalności sieci WLAN nie powiodło się. Ścieżka modułu: C:\windows\System32\bcmihvsrv64.dll Kod błędu: 21 Ewentualnie może jeszcze zastanawiać instalacja AVG - czy sprawdzałeś jak system działa po tymczasowej deinstalacji całego majdanu AVG? PS. Odinstaluj zbędny Bing Bar, co odetnie przynajmniej jeden proces, a w spoilerze kosmetyczne usunięcie wpisów pustych (nie przyniesie to żadnej widocznej poprawy):

1. AdwCleaner czepia się programu DriverToolkit version 8.5.0.0. Owszem, on może być przemycany w niechciany sposób. Odinstaluj go w normalny sposób poprzez Panel sterowania. 2. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Tencent DeleteKey: HKCU\Software\Microsoft\Internet Explorer\DOMStorage\mpc.am DeleteKey: HKCU\Software\Microsoft\Internet Explorer\DOMStorage\search.mpc.am DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{1B5D5DBD-C857-4377-A755-06E50B4AC2B0} DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{639B74F1-0594-432C-97C8-68C8C17A1E1D} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{50F4150A-48B2-417A-BE4C-C83F580FB904} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{29B6CFD5-0064-411A-8C42-9890C83F9921} DeleteKey: HKLM\SOFTWARE\Classes\.apk DeleteKey: HKLM\SOFTWARE\Classes\.qbox DeleteKey: HKLM\SOFTWARE\Classes\PCMgrRepairIEExtensions DeleteKey: HKLM\SOFTWARE\Classes\qmbfile DeleteKey: HKLM\SOFTWARE\Classes\QMContextUninstall.QMContextUninstallMenu DeleteKey: HKLM\SOFTWARE\Classes\QMContextUninstall.QMContextUninstallMenu.1 DeleteKey: HKLM\SOFTWARE\Classes\qmgcfiles DeleteKey: HKLM\SOFTWARE\Classes\qpakfile DeleteKey: HKLM\SOFTWARE\Classes\qqapp DeleteKey: HKLM\SOFTWARE\Classes\QQAppIEAgentEx.AgentForAndroid DeleteKey: HKLM\SOFTWARE\Classes\QQAppIEAgentEx.AgentForAndroid.1 DeleteKey: HKLM\SOFTWARE\Classes\QQPCMgr.qbox DeleteKey: HKLM\SOFTWARE\Classes\qqpro DeleteKey: HKLM\SOFTWARE\Classes\TencentAndroidAssistant DeleteKey: HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\QMContextUninstall DeleteKey: HKLM\SOFTWARE\Classes\Folder\ShellEx\ContextMenuHandlers\QMContextUninstall DeleteKey: HKLM\SOFTWARE\Classes\AppID\QMContextScan.DLL DeleteKey: HKLM\SOFTWARE\Classes\AppID\QMContextUninstall.DLL DeleteKey: HKLM\SOFTWARE\Classes\AppID\{1E9BD312-7C8C-4422-906D-897F6D7714F2} DeleteKey: HKLM\SOFTWARE\Classes\AppID\{51BEE30D-EEC8-4BA3-930B-298B8E759EB1} DeleteKey: HKLM\SOFTWARE\Classes\AppID\{7A30415C-ABEE-4674-B64B-4CA145EEB0CA} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{29B6CFD5-0064-411A-8C42-9890C83F9921} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{63332668-8CE1-445D-A5EE-25929176714E} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{70DE12EA-79F4-46bc-9812-86DB50A2FD64} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{754DF2CE-51E8-4895-B53C-6381418B84AE} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{D4801E96-E7A1-45F6-B124-7A36DFB40B81} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{E52EB753-1F56-4DF7-BE53-2C314AC5F8A1} DeleteKey: HKLM\SOFTWARE\Classes\lnkfile\shellex\ContextMenuHandlers\QMContextUninstall DeleteKey: HKLM\SOFTWARE\Classes\Interface\{E52EB753-1F56-4DF7-BE53-2C314AC5F8A1} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{E7270EC6-0113-4A78-B610-E501D0A9E48E} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{D4801E96-E7A1-45F6-B124-7A36DFB40B81} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{35627C7C-DB28-4772-9A6F-7607FFCBF9FF} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{445E3964-15B0-472A-95F4-6242DD2EA066} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{573F9869-D92C-4B7E-A9C3-F042278D5078} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{6E1533F0-E0B5-465A-9F16-98FF0C76D493} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{C049F583-D724-4BAB-8F47-F13BCA41B808} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\.apk DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\.qbox DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\metnsd DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\PCMgrRepairIEExtensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\qmbfile DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\QMContextUninstall.QMContextUninstallMenu DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\QMContextUninstall.QMContextUninstallMenu.1 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\qmgcfiles DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\qpakfile DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\qqapp DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\QQAppIEAgentEx.AgentForAndroid DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\QQAppIEAgentEx.AgentForAndroid.1 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\QQPCMgr.qbox DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\qqpro DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TencentAndroidAssistant DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\QMContextUninstall DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Folder\ShellEx\ContextMenuHandlers\QMContextUninstall DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\DownloadProxy.EXE DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\QMContextScan.DLL DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\QMContextUninstall.DLL DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{1E9BD312-7C8C-4422-906D-897F6D7714F2} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{51BEE30D-EEC8-4BA3-930B-298B8E759EB1} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{7A30415C-ABEE-4674-B64B-4CA145EEB0CA} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{29B6CFD5-0064-411A-8C42-9890C83F9921} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{63332668-8CE1-445D-A5EE-25929176714E} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{70DE12EA-79F4-46bc-9812-86DB50A2FD64} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{754DF2CE-51E8-4895-B53C-6381418B84AE} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E52EB753-1F56-4DF7-BE53-2C314AC5F8A1} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{E52EB753-1F56-4DF7-BE53-2C314AC5F8A1} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{E7270EC6-0113-4A78-B610-E501D0A9E48E} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{D4801E96-E7A1-45F6-B124-7A36DFB40B81} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\lnkfile\shellex\ContextMenuHandlers\QMContextUninstall DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{35627C7C-DB28-4772-9A6F-7607FFCBF9FF} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{445E3964-15B0-472A-95F4-6242DD2EA066} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{573F9869-D92C-4B7E-A9C3-F042278D5078} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{6E1533F0-E0B5-465A-9F16-98FF0C76D493} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{C049F583-D724-4BAB-8F47-F13BCA41B808} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{16EE6530-8649-4F42-A9E4-F6A3295AF975} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{365ADADE-814B-400C-877C-95E9F684BBEB} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\11598763487076930564 DeleteKey: HKU\S-1-5-21-4002679962-1221417142-4111111163-1001_Classes\.apk Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCAVSetting.exe.FriendlyAppName" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCAVSetting.exe.ApplicationCompany" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\ProgramData\Tencent\QQPCMgr\Quarantine\QMQuarantine.exe.ApplicationCompany" /f Reg: reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\ProgramData\Tencent\QQPCMgr\Quarantine\QMQuarantine.exe" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION" /v "AndroidServer.exe" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION" /v "QQPhoneManager.exe" /f Reg: reg add HKLM\SOFTWARE\Classes\Unknown\shell\openas\command /ve /t REG_EXPAND_SZ /d "%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Sławomir\AppData\Local\app RemoveDirectory: C:\Users\Sławomir\AppData\Local\VirtualStore\Program Files (x86)\tencent RemoveDirectory: C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\tencent Tym razem zapis w UTF-8 nie jest wymagany. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 3. Jeśli punkt 2 wykona się poprawnie, powinno być zero wyników wyszukiwania FRST na poprzednio zadane warunki Szukaj w rejestrze. AdwCleaner zaś powinien ewentualnie tylko wykryć odpadkowe obiekty po deinstalacji DriverToolkit i wtedy po prostu uruchom go ponownie i zastosuj po kolei opcje Szukaj + Usuń.

Większość zrobiona, nie jest to jednak koniec czyszczenia. Kolejna porcja: 1. Na czas tej operacji wyłącz Avirę, gdyż zablokuje reset pliku Hosts (ponownie). Otwórz Notatnik i wklej w nim: CloseProcesses: DeleteKey: HKCU\Software\Tencent DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\Wow6432Node\Tencent DeleteKey: HKU\S-1-5-18\Software\Tencent S2 QQPCRTP; "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCRTP.exe" -r [X] S2 QQRepair153c; "C:\Program Files (x86)\Tencent\QQPCMGR\QQRepair153c" [X] S2 QQRepair1567; "C:\Program Files (x86)\Tencent\QQPCMGR\QQRepair1567" [X] S2 QQRepairFixSVC; C:\Program Files (x86)\Tencent\QQPCMGR\QQRepairFixSVC [X] S2 QQSysMonX64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQSysMonX64.sys [X] S1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv [X] S3 TFsFlt; system32\Drivers\TFsFltX64.sys [X] S3 TS888x64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TS888x64.sys [X] S1 TSDefenseBt; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSDefenseBT64.sys [X] S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys [X] HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCTray.exe" /regrun HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://hao.qq.com/?unc=o400493_1&s=o400493_1 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKU\S-1-5-21-4002679962-1221417142-4111111163-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://hao.qq.com/?unc=o400493_1&s=o400493_1 BHO-x32: Ó¦Óñ¦Ň»Ľü°˛×°˛ĺĽţ -> {50F4150A-48B2-417A-BE4C-C83F580FB904} -> C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3192\npQQPhoneManagerExt.dll [2014-05-30] (腾讯公司) CHR StartupUrls: Default -> "hxxp://google.com/","hxxp://www.google.com/","hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki" CMD: for %i in ("C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3192\*.dll") do regsvr32 /s /u %i C:\Program Files\Common Files\AV\Spybot - Search and Destroy C:\Program Files (x86)\Common Files\Tencent C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\TXQMPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Sławomir\AppData\Local\ACCCx3_6_0_248.zip.aamdownload C:\Users\Sławomir\AppData\Local\ACCCx3_6_0_248.zip.aamdownload.aamd C:\Users\Public\Desktop\Post Win10 Spybot-install.exe C:\Windows\System32\Tasks\Safer-Networking C:\Windows\SysWOW64\Drivers\TS888x64.sys Hosts: EmptyTemp: Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. 2. Uruchom FRST, w polu Szukaj wklej co poniżej, klik w Szukaj w rejestrze, przedstaw wynikowy log. Tencent;QQPCMgr;QQPhoneManager 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Skoro Windows 7 startuje poprawnie, to nie wygląda na to by to był problem z wejściem Windows 7. Nie wiem dlaczego ten błąd nadal występuje na Windows 10, może wbrew pozorom usterka jest w innej części (bootcat.cache lub catroot). Podaj mi dodatkowy skan FRST: W Notatniku przygotuj plik fixlist.txt o następującej zawartości: Folder: C:\Windows\System32\CodeIntegrity Folder: C:\Windows\System32\catroot Folder: C:\Windows\System32\catroot2 Umieść go na pendrive gdzie siedzi FRST. Uruchom FRST, wybierz ładowanie Windows 10, następnie opcję Napraw (Fix). Przedstaw wynikowy fixlog.txt.

aga123, ten folder F:\3156b46fa25b4a394168 wygląda normalnie. Takie foldery o losowych nazwach na dysku z największą ilością wolnego miejsca (czyli niekonieczne na C:) tworzy Windows Update w momencie rozpakowywania łat na dysk. Plik SetupUtility.exe może należeć przykładowo do instalacji .NET Framework. Jeśli to był proces od Windows Update, należało go dopuścić a nie blokować. Mnie co innego zastanawia, podałam do pobrania czystą płytę instalacyjną Windows 7 pozbawioną integracji VAIO, a tu widzę próbę uruchamiania (zbędnej) aplikacji VAIO Update. Skąd ten program się tu znalazł? Czy ręcznie go instalowałaś (i w jakim celu)?

Nie zgłaszasz żadnych problemów, więc sądzę że możemy kończyć. Usuń folder D:\FRST64. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To tyle z mojej strony.

Podstawowy zgłoszony problem rozwiązany. Dodatkowe działania: 1. Odinstaluj stare wersje (luki!): Foxit Reader, Gadu-Gadu 7.7, Nowe Gadu-Gadu, Java™ 6 Update 20, Opera 11.00, Opera 12.17, PeerBlock 1.1 (r518). Uwaga dodatkowa, za niedługo do deinstalacji będzie też Dropbox, aplikacja przestanie działać na XP: KLIK. 2. Skrypt kosmetyczny pod kątem martwych wpisów. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 EsgScanner; C:\WINDOWS\System32\DRIVERS\EsgScanner.sys [19984 2016-05-19] () HKU\S-1-5-18\...\RunOnce: [FlashPlayerUpdate] => C:\WINDOWS\system32\Macromed\Flash\FlashUtil32_17_0_0_134_pepper.exe -update pepperplugin CHR HKLM\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx SearchScopes: HKU\S-1-5-21-1060284298-1004336348-1177238915-1003 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Kornik^Menu Start^Programy^Autostart^CEF0AD98D4F1B.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Kornik^Menu Start^Programy^Autostart^CEF0AD98D4F1H.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\uTorrent DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins C:\Documents and Settings\Kornik\Dane aplikacji\Enigma Software Group C:\Documents and Settings\Kornik\Moje dokumenty\SpyHunter-Installer.exe C:\Documents and Settings\Kornik\Ustawienia lokalne\Dane aplikacji\{547E64BD-D1C6-470D-8CB3-598813043609} C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\pss\CEF0AD98D4F1B.lnkStartup C:\WINDOWS\pss\CEF0AD98D4F1H.lnkStartup C:\WINDOWS\System32\DRIVERS\EsgScanner.sys CMD: del /q C:\*Decryptor*.txt EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. Nowe skany FRST nie są potrzebne.

Temat przenoszę do działu Software, to nie jest problem infekcji. W spoilerze usuwanie śmieci adware/PUP (CHIP-Installer + BingSvc) i wpisów odpadkowych, co nie powinno mieć jednak żadnego związku z problemem gry. Dodatkowo, notowalny brak wszystkich aktualizacji Windows Update (stoi stara wersja IE8), więc postaraj się uzupełnić wszystkie ważne aktualizacje. Proponuję zgłosić się do oficjalnego supportu gry. Z raportów nic kompletnie nie wynika pod kątem opisanego problemu.

kerpal, toteż sprawdź co się stanie po jego deaktywacji. Nawiasem mówiąc, zamiast posiadanego AdBlocka polecam inny multifunkcyjny bloker, który w mojej opinii jest lepszy: uBlock Origin. Dodatkowo, jest też do niego nowy dodatek uBlock Origin WebSocket, który jest dedykowany blokowaniu specjalnego nowego typu reklam omijającego blokery (te reklamy testowały np. "dobreprogramy"). Dodatek tyczy tylko Chrome i pochodnych, na innych typach silników zbędny.

Temat przenoszę do działu Windows. Problem nie jest pochodną infekcji. I posługujesz się starą wersją FRST (25-01-2016). 1. "Uruchomienie komputera i po około 5-10 minut spowolnienie systemu w 90%" - 90% dotyczy obciążenia procesora? Jeśli tak, to czy aby nie jest to proces svchost hostujący Windows Update (prawy klik na obciążony svchost > Przejdź do usług > w podświetlonych wynikach Windows Update)? W tym przypadku do wglądu ten temat: KLIK. Aczkolwiek tu może być złożenie przyczyn, gdyż Dziennik zdarzeń notuje także wyraźne błędy silnika Windows Update: Application errors: ================== Error: (05/31/2016 12:02:12 PM) (Source: ESENT) (EventID: 104) (User: ) Description: wuaueng.dll (228) SUS20ClientDataStore: The database engine stopped the instance (0) with error (-1090). Error: (05/31/2016 12:02:12 PM) (Source: ESENT) (EventID: 492) (User: ) Description: wuaueng.dll (228) SUS20ClientDataStore: The logfile sequence in "C:\Windows\SoftwareDistribution\DataStore\Logs\" has been halted due to a fatal error. No further updates are possible for the databases that use this logfile sequence. Please correct the problem and restart or restore from backup. Error: (05/31/2016 12:02:12 PM) (Source: ESENT) (EventID: 471) (User: ) Description: wuaueng.dll (228) SUS20ClientDataStore: Unable to rollback operation #45636 on database C:\Windows\SoftwareDistribution\DataStore\DataStore.edb. Error: -614. All future database updates will be rejected. W tym kontekście rozpocznij od resetu bazy Windows Update: KLIK (narzędzie Fix It 50202 i zaznaczony "Tryb agresywny"). 2. W raporcie są też syndromy uszkodzenia plików systemowych: R2 ShellHWDetection; C:\Windows\System32\shsvcs.dll [302080 2009-07-10] (Microsoft Corporation) [File not signed] R2 ShellHWDetection; C:\Windows\SysWOW64\shsvcs.dll [247808 2009-07-10] (Microsoft Corporation) [File not signed] R2 Themes; C:\Windows\system32\shsvcs.dll [302080 2009-07-10] (Microsoft Corporation) [File not signed] R2 Themes; C:\Windows\SysWOW64\shsvcs.dll [247808 2009-07-10] (Microsoft Corporation) [File not signed] Wykonaj weryfikację sfc /scannow i dostarcz przefiltrowany raport: KLIK. PS. W spoilerze doczyszczenie mikro odpadków adware / wpisów pustych / zbędnych modyfikacji zrobionych przez ComboFix, co jest tylko pobocznym działaniem i nie ma żadnego związku z problemami.

Temat przenoszę do innego działu, to nie ma związku z infekcją. A w raportach FRST zero informacji co może być nie tak. - Jeśli problem tyczy tylko i wyłącznie Google Chrome, a nie Firefox czy systemowego IE, to sprawdź czy coś wnosi do sprawy wyłączenie wszystkich rozszerzeń przeglądarki i/lub reset jej ustawień. - Jeśli problem tyczy obojętnej przeglądarki, to temat wyląduje w dziale Sieci.

Temat przenoszę do odpowiedniejszego działu. To nie jest problem infekcji. Są wprawdzie w systemie odpadki adware oraz przekonwertowane przez adware Google Chrome do wersji developerskiej (i to mega stara wersja 36), ale one nie mają żadnego wpływu na pracę systemu i na 100% nie są przyczyną problemów. Niemniej Google Chrome będzie wymagać reinstalacji od zera ze świeżego instalatora. W momencie gdy robiłeś skan FRST (już jest nieaktualny w związku z poniższym działaniem) były tu uruchomione w tym samym czasie dwa (!) aktywne antywirusy: Avast Free Antivirus, Baidu Antivirus. Taka kombinacja mogła nawet zablokować uruchomienie systemu. Na dokładkę jeszcze aktywny sterownik sieciowy pozostawiony po deinstalacji Arcabit. Proponuję pozbyć się jeszcze tego Baidu. Nie polecam tu tej marki. Do wglądu lista programów. I po deinstalacji poboczne działania do wykonania, polegające na usunięciu innych starych programów narażających bezpieczeństwo oraz różnych odpadków: "Sterownik odzyskał sprawność" = przenoszę temat na diagnostykę do działu Hardware. Dodatkowo jeszcze są takie błędy w Dzienniku zdarzeń: Dziennik System: ============= Error: (05/29/2016 11:13:47 AM) (Source: nvstor32) (EventID: 5) (User: ) Description: Na \Device\RaidPort0 został wykryty błąd parzystości. Error: (05/29/2016 11:13:47 AM) (Source: nvstor32) (EventID: 5) (User: ) Description: Na \Device\RaidPort0 został wykryty błąd parzystości. Ponadto i zestaw sugerujący naruszenie struktury plików, choć nie wiem czy aktualne (są datowane na kwiecień): Dziennik Aplikacja: ================== Error: (04/09/2016 02:44:28 PM) (Source: Application Error) (EventID: 1005) (User: ) Description: System Windows nie może uzyskać dostępu do pliku z jednej z następujących przyczyn: problem z połączeniem sieciowym; problem z dyskiem, na którym jest przechowywany plik; problem ze sterownikami magazynu zainstalowanymi na tym komputerze; lub brak dysku. System Windows zamknął program Proces hosta dla usług systemu Windows z powodu następującego błędu. Program: Proces hosta dla usług systemu Windows Plik: Wartość błędu jest wyświetlona w sekcji Dodatkowe dane. Akcja użytkownika 1. Otwórz plik ponownie. Ta sytuacja może być przejściowym problemem, który sam się rozwiąże po ponownym uruchomieniu programu. 2. Jeśli nadal nie można uzyskać dostępu do pliku i - jest w sieci, administrator sieci powinien sprawdzić, czy nie ma problemu z siecią, i czy można skontaktować się z serwerem. - jest na dysku wymiennym, na przykład dyskietce lub dysku CD-ROM, sprawdź, czy cały dysk jest włożony do komputera. 3. Sprawdź i napraw system plików, uruchamiając program CHKDSK. Aby uruchomić program CHKDSK, kliknij przycisk Start, kliknij polecenie Uruchom, wpisz CMD, a następnie kliknij przycisk OK. W wierszu polecenia wpisz CHKDSK /F, a następnie naciśnij klawisz ENTER. 4. Jeżeli problem nie ustąpi, przywróć plik z kopii zapasowej. 5. Ustal, czy można otworzyć inne pliki na tym samym dysku. Jeśli nie, dysk może być uszkodzony. Jeśli jest to dysk twardy, skontaktuj się z administratorem lub dostawcą sprzętu komputerowego, aby uzyskać dalszą pomoc. Dodatkowe dane Wartość błędu: C0000185 Typ dysku: 0 Error: (04/09/2016 02:44:28 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Aplikacja powodująca błąd svchost.exe_wuauserv, wersja 6.0.6001.18000, sygnatura czasowa 0x47918b89, moduł powodujący błąd wuaueng.dll, wersja 7.6.7600.256, sygnatura czasowa 0x4fca8fc5, kod wyjątku 0xc0000006, przesunięcie błędu 0x000a4e9c, identyfikator procesu 0x528, godzina rozpoczęcia aplikacji 0xsvchost.exe_wuauserv0. Error: (04/07/2016 04:36:35 PM) (Source: ESENT) (EventID: 467) (User: ) Description: Windows (2368) Windows: Baza danych C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb: Indeks System_ItemTypeText415 tabeli SystemIndex_0A jest uszkodzony (0).

Instrukcje nie dotyczą dysków pracujących w innym trybie niż IDE (SATA/AHCI). W raportach nie notuję żadnych oznak infekcji czy podejrzanych modyfikacji. Do wykonania tylko poboczne działania: 1. Deinstalacja starych wersji: Adobe AIR, Adobe Reader X (10.1.16) MUI, Bonjour, Java 7 Update 67, QT Lite 2.8.0, Real Alternative 2.0.2, Shared C Run-time for x64 (odpadek po odinstalowanym McAfee). Sugeruję też pozbyć się niektórych zbędnych programów integrowanych na ASUS: ASUS WebStorage Sync Agent, AsusVibe2.0, WildTangent Games, Windows Live Essentials. 2. Kosmetyczny skrypt usuwający wpisy szczątkowe (głównie po aktualizacji ze starszego systemu do Windows 10). Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0822FD72-7BF5-4CF2-A0B3-9B83770AF577} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {0BBE6D76-EF1C-429F-A9CC-12FCC4C58919} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {249507EE-C937-4F54-9D13-724EB82F52E2} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {263E56AD-70D0-4ACE-B73F-F7DDC6BBF17C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {6CFA6A6F-D808-4566-86AE-22B9CAA48BD2} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {706626C8-E5B7-46B5-9D7C-2D429CE5C748} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {7232C008-E05D-44BF-AB26-5FEAEC740BB3} - System32\Tasks\ASUS InstantOn Config => C:\Program Files\ASUS\P4G\InsOnCfg.exe Task: {7BCE2D57-FA4C-4990-8F17-0CE2BF47E772} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {8F2A15B3-D04F-4779-A92C-5263F32E44D4} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {91B4DA52-4463-4733-BF90-DE8AA816BE44} - System32\Tasks\{5496B669-21F3-4787-9C60-1F19FC8FD39D} => pcalua.exe -a "C:\Program Files (x86)\jv16 PowerTools\jv16 PowerTools.exe" -d C:\Users\Tomaszs\Desktop Task: {9B06DE5D-6830-4F2F-84B4-DF4E2CB8C00D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {ADF7077C-9127-4AAE-A5DC-5B678918E615} - System32\Tasks\{6F21995C-B426-416C-9653-80384EB1CE33} => pcalua.exe -a C:\Users\Tomaszs\Desktop\VCDS-Lite-1.2-Installer.exe -d C:\Users\Tomaszs\Desktop Task: {D4EC014A-16F8-46C7-A9DB-D8E6658CA555} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {DDAFD3CC-AF88-449A-8BE6-56E350A55CB1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku HKLM\...\Policies\Explorer\Run: [btvStack] => C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v GoogleDriveSync /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Temat przenoszę do działu Windows, tu nie ma problemu infekcji. To nie jest żaden wirus tylko proces sterowników AMD (działa na innych uprawnieniach niż konto użytkownika): ==================== Procesy (filtrowane) ================= (AMD) C:\Windows\System32\atiesrxx.exe (AMD) C:\Windows\System32\atieclxx.exe ==================== Zainstalowane programy ====================== Pakiet sterowników systemu Windows - Advanced Micro Devices (amdxhc) USB (01/14/2016 1.1.0.0210) (HKLM\...\79AE0A804F8EA1DE17C9B52946F1B0855FC7F380) (Version: 01/14/2016 1.1.0.0210 - Advanced Micro Devices) Pakiet sterowników systemu Windows - Advanced Micro Devices Inc. (amdpsp) SecurityDevices (02/06/2016 2.22.0.0002) (HKLM\...\D153AAB1CEFE498374E8658B9A060C4FF257274E) (Version: 02/06/2016 2.22.0.0002 - Advanced Micro Devices Inc.) Pakiet sterowników systemu Windows - Advanced Micro Devices, Inc System (01/18/2015 5.12.0.0031) (HKLM\...\A8ACE8B0CDC1D5667BA277ABCC66D32711651577) (Version: 01/18/2015 5.12.0.0031 - Advanced Micro Devices, Inc) Pakiet sterowników systemu Windows - Advanced Micro Devices, Inc. (amdkmdap) Display (03/21/2016 16.150.2211.0000) (HKLM\...\F44F11E062F6E3E77BDAF2C77757B2DC1C707942) (Version: 03/21/2016 16.150.2211.0000 - Advanced Micro Devices, Inc.) Pakiet sterowników systemu Windows - Advanced Micro Devices, Inc. (amdkmdap) Display (10/05/2015 15.201.2001.0000) (HKLM\...\1373543C0B0961643D8AEB8515E16D190AFCB5B2) (Version: 10/05/2015 15.201.2001.0000 - Advanced Micro Devices, Inc.) Podobne tematy: KLIK / KLIK. Czyli ustosunkuj się proszę czy obecnie po reinstalacji systemu są jakieś problemy. Jedyne co w raportach widać, to że system nie jest kompletnie zaktualizowany (stoi stara wersja IE8) i należy to nadrobić. Wyszukiwanie aktualizacji może długo trwać i obciąży tymczasowo proces svchost - to "normalne".

Wszystko wygląda OK. Na koniec skasuj FRST i jego raporty z G:\logi, następnie zastosuj DelFix. Do aktualizacji jest też Java, o ile już to nie zostało wykonane.

Fix pomyślnie wykonany. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Na pendrive jest infekcja typu Gamarue: KLIK. System nie jest zainfekowany tym robakiem, ale są działania dodatkowe które należy podjąć w systemie: szczątki adware, za dużo pakietów zabezpieczających oraz jakieś błędy WMI. Wstępnie: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj starszy McAfee LiveSafe – Internet Security. 2. W tej fazie pendrive ma być podpięty, zakładam że nadal widać go pod literą F:, w przeciwnym wypadku podmień w końcowych komendach literę F bieżącą. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://istart.webssearches.com/?type=hp&ts=1412628315&from=irs&uid=ST1000LM024XHN-M101MBB_S314JA0DC13102C13102 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://istart.webssearches.com/?type=hp&ts=1412628315&from=irs&uid=ST1000LM024XHN-M101MBB_S314JA0DC13102C13102 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://istart.webssearches.com/?type=hp&ts=1412628315&from=irs&uid=ST1000LM024XHN-M101MBB_S314JA0DC13102C13102 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://istart.webssearches.com/?type=hp&ts=1412628315&from=irs&uid=ST1000LM024XHN-M101MBB_S314JA0DC13102C13102 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-1972188415-2893025811-970642349-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://istart.webssearches.com/?type=hp&ts=1412628315&from=irs&uid=ST1000LM024XHN-M101MBB_S314JA0DC13102C13102 HKU\S-1-5-21-1972188415-2893025811-970642349-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://istart.webssearches.com/?type=hp&ts=1412628315&from=irs&uid=ST1000LM024XHN-M101MBB_S314JA0DC13102C13102 HKU\S-1-5-21-1972188415-2893025811-970642349-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1412628315&from=irs&uid=ST1000LM024XHN-M101MBB_S314JA0DC13102C13102&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1412628315&from=irs&uid=ST1000LM024XHN-M101MBB_S314JA0DC13102C13102&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1421849551&from=zbd1&uid=st1000lm024xhn-m101mbb_s314ja0dc13102c13102&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1412628315&from=irs&uid=ST1000LM024XHN-M101MBB_S314JA0DC13102C13102&q={searchTerms} SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1421849551&from=zbd1&uid=st1000lm024xhn-m101mbb_s314ja0dc13102c13102&q={searchTerms} SearchScopes: HKU\S-1-5-21-1972188415-2893025811-970642349-1001 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1972188415-2893025811-970642349-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1972188415-2893025811-970642349-1001 -> {1A95DC8F-4A6D-4938-B715-50B59B516306} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1972188415-2893025811-970642349-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1972188415-2893025811-970642349-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1972188415-2893025811-970642349-1001 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1972188415-2893025811-970642349-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1972188415-2893025811-970642349-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-11-17] CustomCLSID: HKU\S-1-5-21-1972188415-2893025811-970642349-1001_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\mmazu_000\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-1972188415-2893025811-970642349-1001_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\mmazu_000\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-1972188415-2893025811-970642349-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\mmazu_000\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-1972188415-2893025811-970642349-1001_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\mmazu_000\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-1972188415-2893025811-970642349-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\mmazu_000\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-1972188415-2893025811-970642349-1001_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\mmazu_000\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-1972188415-2893025811-970642349-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\mmazu_000\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-1972188415-2893025811-970642349-1001_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\mmazu_000\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => No File HKU\S-1-5-21-1972188415-2893025811-970642349-1001\...\Policies\Explorer: [] HKU\S-1-5-18\...\Run: [KSS] => "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Scan\kss.exe" autorun S1 mkzmwgce; \??\C:\WINDOWS\system32\drivers\mkzmwgce.sys [X] S3 OSFMount; \??\C:\Program Files\OSFMount\OSFMount.sys [X] S3 PCDSRVC{67F2314B-25F2B3C0-06020200}_0; \??\c:\gencotst\pcdsrvc_x64.pkms [X] R3 PCDSRVC{D3412D80-CF3B4A27-06020200}_0; \??\c:\program files\my dell\pcdsrvc_x64.pkms [X] DisableService: Mobile Partner. RunOuc DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\WINDOWS\*.tmp RemoveDirectory: C:\Kaspersky Rescue Disk 10.0 RemoveDirectory: C:\Spacekace RemoveDirectory: F:\System Volume Information F:\Removable Drive (4GB).lnk CMD: attrib /d /s -s -h F:\* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Jeśli wszystko pójdzie dobrze w punkcie 2, na pendrive odkryje się folder "bez nazwy". To w nim infekcja umieściła wszystkie dane użytkownika. Wejdź do tego folderu, przenieś wszystkie dane poziom wyżej, a sam folder przez SHIFT+DEL (omija Kosz) skasuj. 4. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 5. Zrób nowe logi: FRST z opcji Skanuj (Scan), bez Addition i Shortcut, USBFix z opcji Listing. Dołącz też plik fixlog.txt.

Tutaj działania muszą być o wiele szersze niż tylko "fixlist". Masz m.in. aktywną infekcję DNS i zainfekowane pliki systemowe dnsapi oraz podstawione fałszywe Google Chrome. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware/PUP: ByteFence Anti-Malware, cloudfront - Uninstall (2 pozycje), qksee, WinZip, YellowSend. 2. Uruchom RepairDNS. Na Pulpicie powstanie log RepairDNS.txt. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Iza\AppData\Roaming\TSv\TSvr.exe [475416 2016-05-23] (tsvr.com) R2 LegpatDL; C:\Users\Iza\AppData\Local\Temp\istFD41.tmp\tools\chr.exe [432536 2016-05-26] () S2 LegpatU; C:\Program Files (x86)\Legpat\Update\LegpatUpdate.exe [532888 2016-05-26] () R2 qkseeService; C:\Program Files (x86)\qksee\qkseeSvc.exe [764432 2016-05-24] (Qksee Pvt Ltd.) R2 rtop; C:\Program Files\ByteFence\rtop\bin\rtop_svc.exe [254264 2016-05-17] () R2 xorefetyzbt; C:\Program Files (x86)\F2AC1917-1464097197-11E2-901F-45B25C000023\knsu8C09.tmp [198144 2016-05-26] () [brak podpisu cyfrowego] S2 DB6D9089-EF58-40AA-99B5-DA0A33D70B30; "C:\Program Files\Seypafybw\Wegkart.exe" [X] S2 JakutBoffaa; "C:\Program Files\Seypafybw\JakutBoffaa.exe" [X] S2 prhMngSrv; "C:\Program Files (x86)\Prehuph\prhMngSrv.exe" {79740E79-A383-47A7-B513-3DF6563D007F} {A16B1AF7-982D-40C3-B5C1-633E1A6A6678} [X] S2 Rikajep; "C:\Users\Iza\AppData\Roaming\BuimUnib\Soewegov.exe" -cms [X] S1 cherimoya; system32\drivers\cherimoya.sys [X] S1 ckuusufs; \??\C:\WINDOWS\system32\drivers\ckuusufs.sys [X] U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\bsdpf64.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\bsdpr64.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\bsdpf64.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\bsdpr64.sys => ""="Driver" Task: {0110F5ED-BA6E-4BF0-9293-A698D2C512D1} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {01613D3E-6C1A-4DFF-9613-F72BDC998DAF} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {02D9C395-EC9C-4816-84CC-C7EFB7F79314} - System32\Tasks\IzaMantlepieceFrancasV2 => Rundll32.exe InsurerSequestrating.dll,main 7 1 Task: {0994E51D-C15C-4417-85D3-87C2BEA8FD16} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {0DBBE9DB-8C9A-4C79-B624-CD9F3E62FEB4} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {0F7752F8-AAEF-49AD-B5EC-807DA4D95A28} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {172C5F4C-51FD-4C34-98AA-E6E678B9B359} - System32\Tasks\IzaCoiffureArduousV2 => Rundll32.exe PrefermentFugged.dll,main 7 1 Task: {18DAC1D1-AF9F-4F92-B801-A9E6C3E123E8} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {213144E8-301C-4EDC-BE6A-81439A04769B} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {254C570A-E1DF-4D77-9707-D7BB09C9F81E} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {294FF178-7B5D-4243-BDDB-7A6C40A40E2E} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {2E36D073-1F7B-468F-A448-6CACF1328779} - System32\Tasks\LegpatUpdateTaskMachineCore => C:\Program Files (x86)\Legpat\Update\LegpatUpdate.exe [2016-05-26] () Task: {3143B5E6-F286-4123-B586-00195D6D8F34} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {330B3549-3474-4491-8195-E005D5E62CDD} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {35A60A8E-773F-4F5E-9C61-7518DF1C6281} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {3AE2F5FD-3028-4D09-B0A7-8A294F3AB3A4} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {4DC77857-5373-49E5-AC8D-E2750223014F} - System32\Tasks\ByteFence => C:\Program Files\ByteFence\ByteFence.exe [2016-03-29] (Byte Technologies LLC) Task: {5ED014F8-7612-4592-8C62-51EDB1783D34} - System32\Tasks\Microsoft\Windows\Multimedia\FreeVPN => C:\Users\Iza\AppData\Roaming\FreeVPN\FreeVPN.exe Task: {72813F96-F5EA-4472-B454-FEC2E37B4385} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {77689255-58C2-4376-9503-6606E37BA476} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {78465056-4D8E-452B-86FE-ED890FCF1949} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {788AF193-BD89-4664-9A77-7DCF2342271F} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {7DDA3376-B970-4FF0-B1AB-302C857ECAB2} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {82EC55C3-4BCE-47F8-8995-E5621BD05FED} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {88B93671-784F-4CDA-BBFF-20CB91D7542C} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {8ABCBDDD-FDB6-4CC8-9318-D318B737408E} - System32\Tasks\LegpatUpdateTaskMachineUA => C:\Program Files (x86)\Legpat\Update\LegpatUpdate.exe [2016-05-26] () Task: {92F39211-1056-48C4-9352-9A4382D9B4D5} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {A27565BD-0590-4DFB-8DD6-FB526C70D8DA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {AB7CABFB-28FF-4DFF-9973-847C3D8E565B} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\9295E8A9A28D69FB27564111359A61FB\Update\BrowserUpdate.exe Task: {AEA624E5-32E4-43B6-ABCB-6107F05819FF} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {B7302643-D127-4F72-989C-11E8E6DC8361} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {B80950CA-6D49-403C-828D-1DED8EE273E0} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {BD4D94BF-CC7C-485A-BEE0-D11D34AB7D38} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {BECECB53-9B81-4B56-B21E-C6D780584970} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {C5019ADB-7B90-4A3F-99E4-7F84E467D12D} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {CCF65405-99F8-4E3E-8DB0-25DFA57D73D6} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {D14C2391-16A0-4C4C-A246-A1EA3C153856} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {D51F2D90-5E2A-4E86-A984-5D3A254E8481} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {D7EC235E-1404-4930-987D-F50E03514507} - System32\Tasks\Prehuph Manager => C:\Program Files (x86)\Prehuph\prhMngTsk.exe Task: {E39C6D5D-20D7-4B76-AD1F-CF39E83C62DD} - System32\Tasks\ByteFence Scan => C:\Program Files\ByteFence\ByteFence.exe [2016-03-29] (Byte Technologies LLC) Task: {ECCFC06B-6AF0-48CC-8017-3888BA0AE2D5} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {F21F6514-638C-4A5E-86D5-63149D7217E3} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {F3C9A86E-F329-4A7E-9E8C-B73D325B06D4} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {FAA6C005-FBEE-4F65-9F1A-EDE96B0CE27E} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {FABCEADE-AB6C-4586-8B28-5728E1D87AC8} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku HKLM\...\Run: [spaceSoundPro] => "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe" HKLM-x32\...\Run: [csrssf.exe -start] => C:\ProgramData\csrssf.exe -start HKLM-x32\...\Run: [apphide] => C:\Program Files (x86)\badu\uc.exe [221274 2016-05-22] () URLSearchHook: [s-1-5-21-4143302999-612070894-3059051479-1000] UWAGA => Brak domyślnego URLSearchHook BHO: Seypafybw -> {238ABED6-FCA0-43E1-8E1B-0B668E477959} -> C:\Program Files\Seypafybw\Nekje64.dll => Brak pliku BHO-x32: Seypafybw -> {238ABED6-FCA0-43E1-8E1B-0B668E477959} -> C:\Program Files\Seypafybw\Nekje.dll => Brak pliku Tcpip\..\Interfaces\{8c5e9906-00aa-44cf-afdb-1cb89ec869d2}: [DhcpNameServer] 10.69.0.1 10.69.0.2 Tcpip\..\Interfaces\{2a517bdb-d22e-11e5-965d-806e6f6e6963}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{2bd54341-3c34-4734-bcfe-c24b471228bc}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{885df29c-0d62-11e6-9661-806e6f6e6963}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{8c5e9906-00aa-44cf-afdb-1cb89ec869d2}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{953cd1b7-161a-45c5-97f0-d7f3bc995de5}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{dada748f-0fdf-4bb9-9b20-fe43f8b63eac}: [NameServer] 104.197.191.4 DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\extensions C:\Program Files\ByteFence C:\Program Files\Seypafybw C:\Program Files\SeypafybwUn C:\Program Files\SpaceSoundPro C:\Program Files (x86)\badu C:\Program Files (x86)\F2AC1917-1464097197-11E2-901F-45B25C000023 C:\Program Files (x86)\Legpat C:\Program Files (x86)\Prehuph C:\Program Files (x86)\qksee C:\Program Files (x86)\QQBrowser C:\Program Files (x86)\WinZipper C:\ProgramData\xldl.dll C:\ProgramData\4winp4 C:\ProgramData\ByteFence C:\ProgramData\download C:\ProgramData\Tencent C:\ProgramData\Thunder Network C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ByteFence Anti-Malware C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PremierOpinion C:\ProgramData\Microsoft\Windows\Start Menu\Programs\qksee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\uninst C:\Users\Iza\AppData\Local\CoiffureArduous C:\Users\Iza\AppData\Local\MantlepieceFrancas C:\Users\Iza\AppData\LocalLow00BB65C0 C:\Users\Iza\AppData\LocalLow00B87638 C:\Users\Iza\AppData\LocalLow00DA5D28 C:\Users\Iza\AppData\LocalLow0115CEC0 C:\Users\Iza\AppData\LocalLow000001CA239224C8 C:\Users\Iza\AppData\LocalLow000001F4E61A7138 C:\Users\Iza\AppData\LocalLow000001D1AD4C5748 C:\Users\Iza\AppData\LocalLow000001AA940C46C8 C:\Users\Iza\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A} C:\Users\Iza\AppData\LocalLow\Company C:\Users\Iza\AppData\Roaming\{0E548921-66CF-EFD3-110A-29DDAF17A8B0} C:\Users\Iza\AppData\Roaming\BuimUnib C:\Users\Iza\AppData\Roaming\cpuminer C:\Users\Iza\AppData\Roaming\eCyber C:\Users\Iza\AppData\Roaming\Eeaxa C:\Users\Iza\AppData\Roaming\FreeVPN C:\Users\Iza\AppData\Roaming\gplyra C:\Users\Iza\AppData\Roaming\TSv C:\Users\Iza\AppData\Roaming\qksee C:\Users\Iza\AppData\Roaming\Tencent C:\Users\Iza\AppData\Roaming\Thinstall C:\Users\Iza\AppData\Roaming\WinZiper C:\Users\Iza\AppData\Roaming\YSPackage C:\Users\Iza\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Iza\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Iza\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk C:\Users\Iza\AppData\Roaming\Microsoft\Windows\Start Menu\ByteFence C:\Users\Iza\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpaceSoundPro 1.0 C:\Users\Iza\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YSPackage C:\Users\Iza\Desktop\SpaceSoundPro.lnk C:\Users\Public\Desktop\Google Chrome.lnk C:\Users\Public\Documents\report.dat C:\Users\Public\Thunder Network C:\WINDOWS\Reimage.ini C:\WINDOWS\ehome C:\WINDOWS\system32\iku C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\system32\Tasks\Microsoft\Windows\Media Center C:\WINDOWS\SysWOW64\*.tmp C:\WINDOWS\SysWOW64\pl.html CMD: ipconfig /flushdns CMD: netsh advfirewall reset Folder: C:\Users\Iza\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions Folder: C:\Users\Public\Documents\chrome Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Przeinstaluj Google Chrome od zera: Odinstaluj Google Chrome. Przy deinstalacji zaznacz opcję Usuń także dane przeglądarki. Zainstaluj najnowsze Google Chrome ze strony domowej. Podczas instalacji potwierdź ustawienie przeglądarki jako domyślnej. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też pliki fixlog.txt i RepairDNS.txt.