picasso

Skasuj z Pulpitu z folderu "fix" FRST i jego logi. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Fix FRST wykonany. Czy Hitman nic nie znalazł?

Ponawiam pytanie: skąd ta wiedza i pewność, jakie są objawy namacalne, jakie są dowody że takie sytuacje mają miejsce. Potrzebuję czegoś więcej niż tylko słowa "ktoś widzi co robię", tzn. opis konkretnego zdarzenia. - System został przeinstalowany, więc szczerze wątpię by cokolwiek było w systemie. A partycja Recovery jest ukryta, więc tam nic nie powinno być "doinstalowane", nie wspominając już o tym, że proces majstrowania w partycji Recovery musiałby być wykonany na zupełnie innym etapie i nie na zasadzie prostego dostawienia czegoś (wymagana podmiana całego obrazu instalacyjnego Windows). - Twoje dane z netstat nic nie mówią. Dla porównania nestat z mojego systemu: - A jeśli chodzi o zabezpieczenie, to proponowany program to SpyShelter.

W wynikach SFC o wiele więcej uszkodzeń, ale skan nawet jest niepełny (tylko 21%) i kto to wie co jeszcze jest uszkodzone - przypuszczalnie szykuje się reinstalacja systemu, bo plików do podstawienia już jest bardzo dużo (brak kopii w systemie), a to tylko część skanu. Nie jestem jednak pewna czy ten pokazany fragment skanu SFC zawiera tylko ważne odczyty, bo te braki plików INF to równie dobrze mogą być pochodną jakiegoś "odchudzania" czy użycia do instalacji Windows preparowanej płyty "z torrent". Zarówno wyniki chkdsk, jak i stopujący w konkretnym punkcie skan SFC sugerują grubszy problem z dyskiem. Przenoszę temat na diagnostykę do Hardware. Dodaj dane wymagane działem: KLIK.

Opisz skąd to podejrzenie, co konkretnie się dzieje. W raportach nie ma oznak infekcji. Nawiasem mówiąc brak trzeciego obowiązkowego raportu FRST Shortcut, ale on tu nie wniesie nic do sprawy.

Tym razem akcja się powiodła. Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKU\S-1-5-21-2577041985-4214604163-1054155769-1000\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-21-2577041985-4214604163-1054155769-1000\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-21-2577041985-4214604163-1054155769-1000\Software\Microsoft\Windows\CurrentVersion\Run RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw fixlog.txt. 2. Przeprowadź skan za pomocą Hitman Pro. Dostarcz log z wynikami, o ile Hitman wykryje coś innego niż FRST64.exe jako "podejrzany plik" (to fałszywy alarm).

Jedyne co widać w raportach, to jakiś dziwny soft "WindowsTM" od "Smart Software, Inc.". Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj WindowsTM. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-04-08] () R1 transcc; C:\WINDOWS\System32\drivers\transcc.sys [128224 2016-03-11] (Windows ® Win 7 DDK provider) U3 TrueSight; C:\Windows\System32\drivers\TrueSight.sys [24688 2016-04-08] () S2 AdobeARMservice; "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe" [X] S3 avchv; \SystemRoot\system32\DRIVERS\avchv.sys [X] S2 wktvstyles; \??\C:\Windows\system32\drivers\basztaskmgr.sys [X] HKU\S-1-5-21-3496166355-441736223-4160053390-1001\...\Run: [browser Cleaner] => C:\Program Files (x86)\Browser Cleaner\Browser Cleaner.exe ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => Brak pliku ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => Brak pliku ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia Task: {1425B709-629B-4E13-BDE7-9E8061F96CD9} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {1CEEBDF6-3F58-48D2-9E57-C576B0BB2274} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {28270731-E004-4304-87D6-F1119050D556} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe Task: {28D9ABBD-D6CB-450E-8F26-B478DBA8044C} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {461027C7-D041-4F49-B11E-775AED858F5A} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {4C1C2E41-9DF4-4B70-865C-907BAC233487} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\BrowserChoice\browserchoice.exe Task: {629F8548-E27F-484C-B3C4-A31CA4E896F2} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {792BDDBA-4409-428F-8F8D-FFF807714FC9} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {7F63CE49-EAAA-43DE-B2D3-1658E2D65B60} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {9C32663B-592E-4F31-91C5-E81AF9F6A9C2} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {A9480217-6EB9-47A0-B380-70A5B1AC5200} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {B1504D8A-C4CD-4819-9EFE-9D105458E4AC} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {E9379DE6-70E6-4922-8896-D10C8DCFFAAF} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {F54DC028-0CBC-43EC-A164-3468B7A0682A} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku IE trusted site: HKU\.DEFAULT\...\localhost -> localhost IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com IE trusted site: HKU\S-1-5-21-3496166355-441736223-4160053390-1001\...\localhost -> localhost IE trusted site: HKU\S-1-5-21-3496166355-441736223-4160053390-1001\...\webcompanion.com -> hxxp://webcompanion.com C:\Users\User\Documents\++Faktury 2008.lnk C:\Users\User\Documents\Baidu Antivirus.lnk C:\Users\User\Documents\Microsoft Excel.lnk C:\Users\User\Documents\Microsoft Word.lnk C:\Users\User\Documents\PREZYDENT.doc.lnk C:\Windows\System32\drivers\EsgScanner.sys C:\Windows\System32\drivers\transcc.sys C:\Windows\System32\drivers\TrueSight.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

Robak nie został usunięty, usuwane wejścia się odtworzyły. Kolejne podejście: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Startup: C:\Users\MGRK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\home.vbe [2015-09-08] () HKU\S-1-5-21-2577041985-4214604163-1054155769-1001\...\Run: [home] => wscript.exe //B "C:\Users\MGRK\AppData\Roaming\home.vbe" C:\Users\MGRK\AppData\Roaming\home.vbe C:\Program Files (x86)\Java C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Pontifex II C:\Users\MGRK\Desktop\Nowy folder (2)\Pontifex Demo.lnk C:\Users\MGRK\Desktop\Nowy folder (2)\Spybot-S&D Start Center.lnk C:\Users\MGRK\Desktop\Nowy folder (2)\Folder\Adobe Reader X.lnk C:\Users\MGRK\Desktop\Nowy folder (2)\Folder\Adobe Reader XI.lnk C:\Users\MGRK\Desktop\Nowy folder (2)\Folder\McAfee AntiVirus Plus.lnk C:\Users\MGRK\Desktop\Nowy folder (2)\Folder\McAfee Security Scan Plus.lnk C:\Users\MGRK\Music\Music.lnk C:\Windows\System32\Tasks\Safer-Networking DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart, opuść tryb awaryjny. Powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Temat założony w złym dziale, przenoszę do diagnostyki malware. Co masz na myśli mówiąc "wirus tasklist"? W raportach widać całkiem co innego, czyli instalacje adware/PUP z chińskiej rodziny Tencent. Pod tym kątem: 1. W Menu Start uruchom poniższy skrót deinstalacyjny chińskiego antywirusa Kingsoft - nawet jeśli ten antywirus był instalowany celowo (a nie w paczce z adware), to i tak jest przestarzały. Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kingsoft Antivirus\Uninstall Kingsoft Antivirus.lnk -> C:\Program Files (x86)\kingsoft\kingsoft antivirus\uninst.exe (Kingsoft Corporation) 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 GoogleChromeUpService; C:\ProgramData\service.exe [1755136 2016-04-27] () [brak podpisu cyfrowego] S2 GoogleChromeUpSvc; C:\ProgramData\Windows Update\svrupg.exe [2783744 2016-05-14] (TODO: ) [brak podpisu cyfrowego] R2 QQPCRTP; C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQPCRTP.exe [301656 2016-05-14] (Tencent) R1 QMUdisk; C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QMUdisk64.sys [184952 2016-04-18] (Tencent) R2 QQSysMonX64; C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQSysMonX64.sys [138488 2016-05-14] (电脑管家) R1 softaal; C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\softaal64.sys [35064 2016-05-14] (Tencent) R3 TAOAccelerator; C:\Windows\system32\Drivers\TAOAccelerator64.sys [89880 2016-05-14] (Tencent) R1 TAOKernelDriver; C:\Windows\system32\Drivers\TAOKernel64.sys [137976 2016-05-14] (Tencent Technology(Shenzhen) Company Limited) R3 TFsFlt; C:\Windows\System32\Drivers\TFsFltX64.sys [87800 2016-05-14] (电脑管家) R1 TSDefenseBt; C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TSDefenseBT64.sys [28984 2016-05-14] (Tencent) R2 tsnethlpx64; C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TsNetHlpX64.sys [48376 2016-05-14] () R3 TSSKX64; C:\Windows\System32\drivers\tsskx64.sys [45304 2016-05-14] (电脑管家) R1 TSSysKit; C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TSSysKit64.sys [87288 2016-05-14] (电脑管家) S3 cpuz138; \??\C:\Users\x\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] S2 noteupdateservice; "C:\Program Files (x86)\anote\anote.exe" -svc [X] S2 twsHlpSrv; "C:\Program Files (x86)\Tawesh\twsHlpSrv.exe" {79740E79-A383-47A7-B513-3DF6563D007F} {A16B1AF7-982D-40C3-B5C1-633E1A6A6678} [X] S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\30443803.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\41461616.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\30443803.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\41461616.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" Task: {0FD852EE-D3D3-44D2-B619-E3D12BD31386} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {155D2E0D-C386-48EC-8C81-96171E43326E} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\BaiduPinyinUpdate.job => C:\Program Files (x86)\Baidu\BaiduPinyin\3.3.2.1028\bdupdate.exe Task: C:\Windows\Tasks\Pritc.job => C:\Users\x\AppData\Local\Temp\00026056\casrss.exe Task: C:\Windows\Tasks\svchost.job => C:\Windows\Temp\7855.tmy HKLM-x32\...\Run: [ QQPCTray] => C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQPCTray.exe [356464 2016-05-14] (Tencent) HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => Brak pliku ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=92552456_hao_pg HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-3571118831-541648067-3504218841-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=92552456_hao_pg BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TSWebMon64.dat [2016-05-14] (Tencent) FF Plugin-x32: @baidu.com/npxbdcntb -> C:\Program Files (x86)\Baidu\BaiduPinyin\3.3.2.1028\npxbdcntb.dll [brak pliku] FF Plugin-x32: @qq.com/QQPCMgr -> C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\npQMExtensionsMozilla.dll [2016-05-14] (Tencent Technology (Shenzhen) Company Limited) AV: 电脑管家系统防护 (Enabled - Up to date) {6F9C3F92-B625-0E47-F0B1-447602EC65F5} AS: 电脑管家系统防护 (Enabled - Up to date) {D4FDDE76-901F-01C9-CA01-7F04796B2F48} FirewallRules: [{FDEC9359-C73A-4ED9-9B11-45C684DD9A90}] => (Allow) C:\Windows\Temp\download\MiniThunderPlatform.exe FirewallRules: [{A2F9975D-68EA-49FA-ACF7-43095E23779D}] => (Allow) C:\Windows\Temp\download\MiniThunderPlatform.exe FirewallRules: [{048C35D3-E5B0-459F-B645-34FF70CCBB1E}] => (Allow) c:\users\x\appdata\roaming\download\MiniThunderPlatform.exe FirewallRules: [{989BB1FA-13A5-4D53-8547-636A34E30413}] => (Allow) c:\users\x\appdata\roaming\download\MiniThunderPlatform.exe FirewallRules: [{795D00F9-940E-466E-83DC-1DF2DE20F4A7}] => (Allow) C:\Users\x\AppData\Local\Temp\00562\download\MiniThunderPlatform.exe FirewallRules: [{4B0A5CDC-F89E-4D0A-A1CC-EE30FBBCA667}] => (Allow) C:\Users\x\AppData\Local\Temp\00562\download\MiniThunderPlatform.exe FirewallRules: [{68286F27-7935-4F3E-8A82-211AE0FA36EB}] => (Allow) C:\Users\x\AppData\Local\Temp\04850\download\MiniThunderPlatform.exe FirewallRules: [{0BAE6064-9329-4AD4-B424-61561AB99B51}] => (Allow) C:\Users\x\AppData\Local\Temp\04850\download\MiniThunderPlatform.exe FirewallRules: [{4DBE008C-B0C3-4F1A-B596-5A161FE382F9}] => (Allow) C:\Users\x\AppData\Local\Temp\09800\download\MiniThunderPlatform.exe FirewallRules: [{364ED87D-62D3-4F14-A593-D0DA98DFAC1D}] => (Allow) C:\Users\x\AppData\Local\Temp\09800\download\MiniThunderPlatform.exe FirewallRules: [{EE51B5CD-6FF8-4AC6-9AB2-FB08C188CC4A}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe FirewallRules: [{1FE23FF9-1D4B-45F5-858A-605C95FA9BD4}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe FirewallRules: [{9FA3C538-5FB3-4116-A606-02CA882AF545}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQPCmgrInstallGuide.exe FirewallRules: [{AA3FBC6D-2E6D-4AB6-BFCA-0D523171EE2E}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQPCTray.exe FirewallRules: [{8A1E7B8A-719A-46A4-8DEA-D1783A572AF0}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQPCMgr.exe FirewallRules: [{23B883EC-A1E0-4C94-B623-609702BE57F4}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQPCRTP.exe FirewallRules: [{1A592A96-58C2-43C6-8A2A-605EC5DD7542}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QMDL.exe FirewallRules: [{A7897D8B-C538-4DA9-99EA-596A2D88302A}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\bugreport.exe FirewallRules: [{3B0AC799-126A-422E-886B-631F3685CD73}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQPCFileOpen.exe FirewallRules: [{B8D9D8E3-9D03-497F-BCD4-A1FFF93547C0}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQPCLeakScan.exe FirewallRules: [{29DF9963-4EBA-4F4F-B991-1006F8AD353F}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQPConfig.exe FirewallRules: [{F5C9443C-23CB-44A5-8D72-4ED70656E3CC}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQPCSoftMgr.exe FirewallRules: [{E252A5E3-1A94-4706-A9FC-25F33A753785}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\plugins\QMNetMon\QQPCNetFlow.exe FirewallRules: [{A4A87E0D-615A-4035-97EA-7D8828A843CF}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQPCBTU.exe FirewallRules: [{DB0ACDDE-FBFF-47DB-8E95-0BB0BE0C5781}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQPCClinic.exe FirewallRules: [{2F111240-AF1D-4A9A-9BFF-FEC249C75A6D}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQPCLaunch.exe FirewallRules: [{D6C69DA5-D2F5-48C3-8A96-FCEBDCD31236}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QMUpdate\QQPCMgrUpdate.exe FirewallRules: [{A5AF382B-4C4B-4885-967C-E7C3E11630A4}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQPCSoftGame.exe FirewallRules: [{A773907D-8B7A-47C0-B4C1-56B8D5DD66EA}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQPCSysOptimize.exe FirewallRules: [{1A918C40-24D4-4C79-A334-25B976E15DE2}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQPCUpdateAVLib.exe FirewallRules: [{05C31B49-BD74-4CEB-9B4F-8A6D684CA036}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQRepair.exe FirewallRules: [{20F6CC43-C8ED-4086-8D63-BDA26DCD92A0}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\Uninst.exe FirewallRules: [{5DE9974C-0943-496C-AD82-0172D162260B}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQPCPatch.exe FirewallRules: [{4C955EC6-72E2-4DC3-9939-2A2E9DFCE432}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TpkUpdate.exe FirewallRules: [{8019DB82-08E8-4426-8C61-BDCEA853A772}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QMRouterMgr.exe FirewallRules: [{85028920-EBB7-4D76-8E8B-5F8CC171A9D9}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QMAccountProtection.exe FirewallRules: [{9A70B93F-B5A5-4292-B47B-68178915D169}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QMAdBlock.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\C: DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG C:\Program Files\Common Files\Tencent C:\Program Files (x86)\Tencent C:\ProgramData\*.* C:\ProgramData\Baidu C:\ProgramData\KRSHistory C:\ProgramData\Tencent C:\ProgramData\Thunder Network C:\ProgramData\TXQMPC C:\ProgramData\Windows Update C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced RAR Repair C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\Public\Thunder Network C:\Users\x\AppData\Local\Temp.dat C:\Users\x\AppData\Local\{94EA4C77-4ED7-49B1-8F2C-26F710EB1C5E} C:\Users\x\AppData\Local\Google C:\Users\x\AppData\Local\Microsoft\Windows\GameExplorer\{44372086-486F-45B1-AB62-07948744A077} C:\Users\x\AppData\Local\Microsoft\Windows\GameExplorer\{C1E07615-2A58-42DA-B113-2351FCD17199} C:\Users\x\AppData\Local\Microsoft\Windows\GameExplorer\{F476B7E1-7B9E-4B00-86F1-9F5ED9CE2455} C:\Users\x\AppData\LocalLow\Baidu C:\Users\x\AppData\Roaming\*.* C:\Users\x\AppData\Roaming\download C:\Users\x\AppData\Roaming\Tencent C:\Users\x\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\x\Desktop\Kacper\Gry\NBA 2K14.lnk C:\Users\x\Desktop\Programy\Adobe Reader XI.lnk C:\Windows\AdBlock.exe C:\Windows\systwin.exe C:\Windows\system32\Drivers\TAOAccelerator64.sys C:\Windows\system32\Drivers\TAOKernel64.sys C:\Windows\system32\Drivers\TFsFltX64.sys C:\Windows\system32\Drivers\TSSKX64.sys C:\Windows\system32\baiducn.ime C:\Windows\SysWOW64\baiducn.ime Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut. Dołącz też plik fixlog.txt.

Tym razem skrypt FRST dokończył zaległą robotę. Zostały wpisy po odinstalowanej Java. Poprawki: Otwórz Notatnik i wklej w nim: HKLM\...\Run: [sunJavaUpdateSched] => C:\Program Files\Common Files\Java\Java Update\jusched.exe [596504 2016-04-01] (Oracle Corporation) BHO: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku BHO: Brak nazwy -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> Brak pliku DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab DeleteKey: HKLM\SOFTWARE\MozillaPlugins C:\Program Files\Java 2 C:\Program Files\Common Files\Java C:\Documents and Settings\All Users\Dane aplikacji\Oracle C:\Documents and Settings\All Users\Menu Start\Programy\Java C:\Documents and Settings\Dorota\.oracle_jre_usage C:\Documents and Settings\Dorota\Dane aplikacji\Oracle C:\WINDOWS\system32\javacpl.cpl C:\WINDOWS\system32\WindowsAccessBridge.dll Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Skrypt FRST pomyślnie wykonany. Przez SHIFT+ DEL (omija Kosz) skasuj folder C:\FRST oraz FRST i jego logi z folderu C:\ROBOCZY. Wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Skrypt FRST pomyślnie wykonany. Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Czyszczenie folderów Przywracania systemu aplikuje się dla partycji które mają status Ochrony "Włączona" - domyślnie jest to tylko dysk systemowy.

Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Jeśli chodzi o przedstawiony problem, próbuje się uruchamiać robak skryptowy home.vbe - prawdopodobnie przeniesiony z urządzeń przenośnych. Akcje do wykonania: 1. Odinstaluj stare programy: Adobe AIR, Adobe Reader XI MUI, Java 8 Update 65, Spybot - Search & Destroy. Ten Spybot to przestarzały program i dziś mało w czym pomoże. 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: Startup: C:\Users\MGRK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\home.vbe [2015-09-08] () C:\Users\MGRK\AppData\Roaming\home.vbe HKU\S-1-5-21-2577041985-4214604163-1054155769-1000\...\Run: [home] => wscript.exe //B "C:\Users\MGRK\AppData\Roaming\home.vbe" HKU\S-1-5-21-2577041985-4214604163-1054155769-1000\...\Run: [Power2GoExpress] => NA HKU\S-1-5-21-2577041985-4214604163-1054155769-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) HKU\S-1-5-21-2577041985-4214604163-1054155769-1000\...\Run: [TIDAL] => [X] Reg: reg query HKU\S-1-5-21-2577041985-4214604163-1054155769-1000\Software\Microsoft\Windows\CurrentVersion\Run HKU\S-1-5-21-2577041985-4214604163-1054155769-1000\...\Run: [{13285A32-2335-4E9C-ADE9-4DF8782052E2}] => C:\Windows\System32\msiexec.exe [128000 2015-06-15] (Microsoft Corporation) HKU\S-1-5-21-2577041985-4214604163-1054155769-1000\...\RunOnce: [CTPostBootSequencer] => "C:\Users\MGRK\AppData\Local\Temp\CTPBSeq.exe" /reglaunch /self_destruct HKU\S-1-5-21-2577041985-4214604163-1054155769-1001\...\Run: [home] => wscript.exe //B "C:\Users\MGRK\AppData\Roaming\home.vbe" HKU\S-1-5-21-2577041985-4214604163-1054155769-1001\...\Run: [TIDAL] => [X] DeleteKey: HKU\S-1-5-21-2577041985-4214604163-1054155769-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKU\S-1-5-21-2577041985-4214604163-1054155769-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] BootExecute: autocheck autochk * sdnclean64.exe Task: {9D84C567-F198-4DCA-B9D3-41C2192B4A86} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe Task: {C20C1AC1-B50D-4F56-B0EB-1EA526609E05} - System32\Tasks\{43498AF4-EFAB-4DAA-8A05-CE8B3572B38D} => pcalua.exe -a C:\Users\MGRK\Downloads\0mwl08ww.exe -d C:\Users\MGRK\Downloads Task: {EE8FF59E-5292-441C-B721-C43ED771EA77} - System32\Tasks\{92A73EED-8BB1-40DA-A172-A07B691EAAF4} => pcalua.exe -a E:\SETUP.EXE -d E:\ CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-09-23] DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{13285A32-2335-4E9C-ADE9-4DF8782052E2} DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdobeBridge DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Spybot-S&D Cleaning DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotPostWindows10UpgradeReInstall DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TIDAL U3 BcmSqlStartupSvc; Brak ImagePath U2 CLKMSVC10_3A60B698; Brak ImagePath U2 CLKMSVC10_C3B3B687; Brak ImagePath U2 DriverService; Brak ImagePath U2 IAStorDataMgrSvc; Brak ImagePath U2 iATAgentService; Brak ImagePath U2 idealife Update Service; Brak ImagePath U3 IGRS; Brak ImagePath U2 IviRegMgr; Brak ImagePath U2 Oasis2Service; Brak ImagePath U2 PCCarerService; Brak ImagePath U2 ReadyComm.DirectRouter; Brak ImagePath U2 RichVideo; Brak ImagePath U2 RtLedService; Brak ImagePath U2 SeaPort; Brak ImagePath U2 SoftwareService; Brak ImagePath U3 SQLWriter; Brak ImagePath S3 TDKLIB; \??\C:\Users\MGRK\AppData\Local\Temp\TdkLib64.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z brakującym Shortcut. Dołącz też plik fixlog.txt.

Skrypt FRST wykonany pomyślnie. Skasuj przez SHIFT+DEL (omija Kosz) folder C:\FRST, z Pobranych folder FRST z programem i jego logami oraz GMER. Na koniec wyczyść foldery Przywracania systemu: KLIK. To wszystko.

System nie został zainfekowany i w kontekście tego komunikatu zadam po prostu czyszczenie lokalizacji tymczasowych. Możesz wykonać za to inne poboczne działania (deinstalacje i usunięcie wpisów odpadkowych). Czyli: 1. Odinstaluj zbędne "śledzące" programy Lenovo: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj CCSDK. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK 35 > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {1A528E99-013A-406B-8EC0-D3DC7876B185} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2015-08-17] (Lenovo) Task: {88E8D1B3-A54F-4205-8143-15ACE01D5B7E} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe S0 mfeelamk; C:\Windows\System32\drivers\mfeelamk.sys [80920 2015-07-02] (McAfee, Inc.) C:\Windows\System32\drivers\mfeelamk.sys S2 Internet Manager. RunOuc; C:\Program Files (x86)\T-Mobile\InternetManager_H\UpdateDog\ouc.exe [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Internet Manager S1 rrfd_vw_1_10_0_24; system32\drivers\rrfd_vw_1_10_0_24.sys [X] HKLM-x32\...\Run: [snp2uvc] => C:\WINDOWS\vsnp2uvc.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKU\S-1-5-21-3359559365-526962705-2663625626-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-3359559365-526962705-2663625626-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-3359559365-526962705-2663625626-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-3359559365-526962705-2663625626-1001 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe logi FRST nie są już potrzebne.

Nie ma oznak, by system został zainfekowany z tej reklamy, ale wyczyść lokalizacje tymczasowe + drobne odpadkowe wpisy innego typu: Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {28C7A9B7-8772-42DD-B1ED-42E48041DC31} - System32\Tasks\{145F7D9A-F1EB-4A5C-864B-36B5D2594922} => pcalua.exe -a D:\Pobrane\dotnetfx35.exe -d D:\Pobrane Task: {6D01D217-93BF-42C7-8242-C0DE7EBFA0EC} - System32\Tasks\{FBCF7ECC-12D2-4276-8E80-3ED81A4B7775} => D:\Pobrane\dotNetFx35setup.exe C:\Program Files (x86)\ESET C:\ProgramData\Orbit C:\Users\Kuba\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦 C:\Users\Kuba\AppData\Local\OTLand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe logi FRST nie są już potrzebne.

Potwierdź mi proszę, że siedzicie w Irlandii, co wykluczy infekcję routera (w raporcie irlandzkie IP pobierane z routera). Problem definitywnie inny. Brak oznak tej infekcji, żadnych wpisów proxy. Co tu widać: - W starcie jest sponsorowany Bing, ale to raczej nie on (wpis jest zresztą już wyłączony via Menedżer zadań). - W Firefox podejrzane rozszerzenie "SmashTV", brak takiego w oficjalnej bazie Firefox add-ons. Czyli wstępnie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-3878036693-4044154408-2236019048-1001\...\Run: [bingSvc] => C:\Users\Cinek91\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation) HKLM\...\Run: [HotKeysCmds] => "C:\Windows\system32\hkcmd.exe" HKLM\...\Run: [Persistence] => "C:\Windows\system32\igfxpers.exe" Task: {048AB502-4892-4ACB-BC32-CDC06C6E039F} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {0BEB4D4E-3129-496F-B004-23B6C029F546} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {15C0BBFB-6099-49B6-89F3-C32C49098858} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {1AA555B2-5BE4-408F-8265-2D65CA22D455} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {31D71EA4-FAB2-467A-B47C-9CBC4E697B7F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {4C6B208D-EAB1-46C2-B4C4-9EA79CCF57DC} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {50653210-CD2D-48A2-883E-A07F2A242A4E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {50A110D3-E038-46C1-A0AE-7806CBC6D2E4} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {775990B8-40CD-4EC6-8C27-AD378CB3CD7B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {88A51268-F8D2-4232-8594-6AD27DE9A13D} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {93CC881E-9C66-48FD-A713-9C16E32D65CF} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {C4857D85-86E6-4722-9635-EF47D2B6AA6D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {CA8A6200-A9E3-4F6D-B2D5-590BCF0B8E19} - System32\Tasks\{E8B54FEF-F2AD-472B-9BBB-9AF6D5656A2B} => pcalua.exe -a "C:\ProgramData\Package Cache\{6535d76a-59fb-4935-b2c5-cd61917c4a4b}\Setup.exe" -c /uninstall Task: {D07C4ACB-DB03-4C45-8513-960C6B29CEB1} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku SearchScopes: HKLM -> {0b4d26f6-61a8-4463-99dd-5f2fe0400fa6} URL = DeleteKey: HKCU\Software\Google\Chrome DeleteKey: HKLM\SOFTWARE\Google\Chrome DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Persistence /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v TCrdMain /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v StartCCC /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "ALLPlayer WiFi Remote /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BingSvc /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "MyPC Backup.lnk" /f C:\Users\Cinek91\AppData\Local\Google\Chrome C:\Users\Cinek91\AppData\Local\Microsoft\BingSvc EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Czyszczenie Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus zostanie usunięty. Polecam w zamian instalację uBlock Origin. Menu Historia > Wyczyść całą historię przeglądania. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy po czyszczeniu Firefox są pozytywne zmiany.

Tylko jeśli jest on tak niezbędny, że nie dasz rady tego obejść. Apple również zaleca deinstalację. Z przyklejonego cytuję:

Jakiego konta dotyczył ten e-mail (Facebook, bank, ...)? W raportach brak jakichkolwiek oznak infekcji. Działania poboczne nie związane ze zgłoszonym problemem: 1. Odinstaluj stare niebezpieczne wersje: Adobe AIR, Apple Software Update, Bonjour, Obsługa programów Apple, QuickTime 7. W QuickTime ostatnio wykryto poważne luki, Apple ich nie załata, usunięto wsparcie dla Windows. Widzę, że QuickTime co dopiero instalowałeś... 2. W Google Chrome odinstaluj podejrzane rozszerzenie Video AdBlock for Chrome. Ono nie pochodzi z Chrome Web Store, montował je jakiś zewnętrzny instalator (w rejestrze reinstalatory globalne), poza tym na forum występowało w kontekście ... produkcji reklam. Reinstalatory z rejestru usunie poniższy skrypt FRST. 3. Skrypt usuwający wpisy puste, odpadki po odinstalowanym Firefox, czyszczący Tempy oraz naprawiający błędy PNRPSvc w Dzienniku. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: BHO: Brak nazwy -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> Brak pliku HKU\S-1-5-21-3664094850-1680449025-3853055335-1000\...\Run: [AdobeBridge] => [X] S2 AODDriver4.3; \??\C:\Program Files\AMD\ATI.ACE\Fuel\amd64\AODDriver2.sys [X] CHR HKU\S-1-5-21-3664094850-1680449025-3853055335-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins AlternateDataStreams: C:\Users\MATIG\Cookies:p4iOetldWFSh1f50OK4z [2352] AlternateDataStreams: C:\Users\MATIG\AppData\Local\Temp:Om8SKt1OTpVwoE2rSUDE0c [2034] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Haali Media Splitter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MeGUI C:\Users\MATIG\AppData\Local\{62E9329C-EE00-4ED3-84C1-66AEE41D0D32} C:\Users\MATIG\AppData\Local\{E672B1B2-0E6E-4B4D-BC71-69D3FC3E5A7B} C:\Users\MATIG\AppData\Local\Mozilla C:\Users\MATIG\AppData\Roaming\Mozilla C:\Users\MATIG\AppData\Roaming\Microsoft\Windows\SendTo\Znajomy Xfire.lnk C:\Users\MATIG\Desktop\Adobe Reader XI.lnk C:\Users\MATIG\Desktop\DAEMON Tools Lite.lnk C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking\idstore.* Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Co to konkretnie oznacza, co widzisz, jakiś błąd?

Hmmm, ale adresy DNS pobierane z routera nadal te same co poprzednio: Tcpip\Parameters: [DhcpNameServer] 37.220.3.10 37.220.3.12 Tcpip\..\Interfaces\{FA635E4A-0745-4E36-8CFB-6AB1D6D2A28E}: [NameServer] 8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{FA635E4A-0745-4E36-8CFB-6AB1D6D2A28E}: [DhcpNameServer] 37.220.3.10 37.220.3.12 Problem jest pozornie rozwiązany (i prawdopodobnie ustały u Ciebie przekierowania), bo widać że jednocześnie ustawiłaś serwery Google w konfiguracji Windows. One owszem biorą precedens nad wpisami z routera, co nie zmienia faktu że router nadal wygląda na zainfekowany... W kwestii działań pobocznych: Skrypt FRST zatrzymał się na resecie pliku Hosts i nie był w stanie tego wykonać. Przypuszczalnie zablokował zmiany Kaspersky. Poza tym, nie widzę oznak, by zostały odinstalowane stare programy, co najmniej niebezpieczna Java 6 nadal widziana w logu. Ponowienie nie wykonanych akcji: 1. Odinstaluj programy, które wskazałam. 2. Wyłącz osłony Kasperskiego na czas tej operacji. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 NPF; system32\drivers\NPF.sys [X] Hosts: EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Ma nastąpić restart. Przedstaw wynikowy fixlog.txt.

Wszystko zrobione. Mini poprawka. Otwórz Notatnik i wklej: U3 TrueSight; \??\C:\Windows\System32\drivers\TrueSight.sys [X] Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Arni556\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Arni556\Downloads\FRST-OlderVersion CMD: del /q C:\Users\Arni556\Downloads\51ev8d2w.exe Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są już potrzebne.

Fix FRST pomyślnie wykonany. 1. AdwCleaner znalazł jeszcze dużo odpadków po adware. Uruchom program ponownie, wybierz po kolei opcje Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz ręcznie zainstaluj najnowszą łatkę dla Adobe Reader (XP nie aktualizuje już wyżej niż wersja 11.0.08): KLIK. To wszystko.

1. AdwCleaner dopatrzył się jednego klucza po YAC. Uruchom program ponownie, wybierz po kolei opcje Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Zastosuj DelFix. Pobrany GMER i jego log skasuj ręcznie, DelFix ich nie wykryje. To wszystko. PS. I wielkie dzięki za ewentualne wsparcie.