picasso

Wszystko pomyślnie przetworzone. 1. W Chrome widzę inne zmiany i załadowany inny zestaw ustawień i dodatków niż poprzednio, takl jakby z serwera Google odtworzyły się ustawienia. Czy na pewno zresetowałaś synchronizację przed resetem lokalnych ustawień? Poprawki: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj OneTab. To rozszerzenie kojarzone z niepożądanymi instalacjami. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy z wyjątkiem google.pl, przestaw na "Otwórz stronę nowej karty" 2. Wykonaj drobne szukanie dodatkowe. Uruchom FRST, w polu Szukaj wklej co poniżej, klik w Szukaj w rejestrze i dostarcz wynikowy log. QQPCMgr;Tencent

Temat przenoszę do działu Windows, żadnych oznak infekcji. I te logi FRST zostały już zrobione najwyraźniej po deinstalacji Pandy - jeszcze odinstaluj Panda Security Toolbar. Nasuwa się pytanie czy po deinstalacji Pandy wystąpiły jakieś zmiany w działaniu systemu i czy opisywane problemy nadal aktualne?

Raporty zostały zrobione wg wytycznych z innego forum a nie tutejszych: sekcje "Lista BCD", "MD5 sterowników" i "Pliki z 90 dni" nie miały być zaznaczone. To produkuje masę zbędnych danych, te opcje są pod bardzo konkretne problemy i infekcje (niektóre bardzo stare i już nie występujące w przyrodzie). Temat przenoszę do Windows, nie notuję oznak infekcji. Co widzę w raportach: - Ślady braku kompletnej aktualizacji Windows. Stoi stary nie wspierany już IE9, a usługa Windows Update wyłączona via msconfig, co każe podejrzewać, że braki mogą być o wiele poważniejsze. Należy włączyć usługę Windows Update i wykonać pełne wyszukiwanie i instalacje z Windows Update. To działanie z pewnością obciąży mocno system (KLIK) i należy doczekać do ukończenia wszystkiego. - Stary ESET Smart Security (wersja z komponentami z 2014). ESET może być podejrzewany o obciążenie ogólne zasobów, o ile to nadal ma miejsce, bo nie jest to dla mnie jasne. Twoja notatka dodana później na spodzie mówi tylko o jednorazowym obciążeniu procesu svchost, co jak rozumiem nie jest tym samym zjawiskiem co opisywne na początku? - Aktywny obiekt "Thorn" (KLIK) oraz drobne nieaktywne już odpadki adware i wpisy puste. 1. Wstępnie usuń Thorn i odpadki. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Thorn; C:\Users\Rohandar\AppData\Local\THORN\Thorn.exe [56824 2015-10-01] (GGS) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 MBfilt; system32\drivers\MBfilt64.sys [X] S3 USBPNPA; system32\drivers\CM10864.sys [X] Task: {11CE462C-A8C0-42C0-A6A9-9BB17D872D29} - System32\Tasks\{9C35C0DE-8AD1-4428-9FFF-DEF6B77E9F49} => Firefox.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=6.18.0.105&LastError=404 Task: {29EACBCC-F34E-4F17-9A4F-C75E7C69CADF} - System32\Tasks\RUQOG => C:\Users\Rohandar\AppData\Roaming\RUQOG.exe Task: {5C92EA86-1BE6-4470-BE96-9D96AFDA5959} - \Installer_iwebar -> Brak pliku Task: {96D6E500-5D20-4D9E-B1C0-F1EE487B8FEC} - System32\Tasks\GameNet => C:\Program Files (x86)\QGNA\qGNA.exe Task: {D707E92F-21D0-4AE2-8D4E-E2EABAA30CFF} - System32\Tasks\1214tbUpdateInfo => C:\ProgramData\Avg_Update_1214tb\1214tb_{5ED5914E-F3C0-464F-824E-F86395465A48}.exe [2014-12-10] () Task: {DDE1FF2C-8282-4720-8082-CEB6E7D893C0} - System32\Tasks\RHAOLU => C:\Users\Rohandar\AppData\Roaming\RHAOLU.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\vToolbarUpdater3.2.0 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AppsHat DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\cheatengine DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoobzoYouTubeAccelerator DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt GroupPolicyScripts: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3195461200-3561244552-3601279974-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141123 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141123 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-3195461200-3561244552-3601279974-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-3195461200-3561244552-3601279974-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main FF DefaultSearchEngine: Bezpieczne wyszukiwanie FF SelectedSearchEngine: AVG Secure Search C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins C:\ProgramData\Avg_Update_1214tb C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bohemia Interactive C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dragon Age Origins C:\Users\Rohandar\AppData\Local\THORN C:\Users\Rohandar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Bohemia Interactive CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. 2. Dodatkowa drobnostka. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Rohandar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer (x86)\iexplore.exe" dopisz dwie spacje i -extoff

Obiekt wprowadziłeś w system własnoręcznie: HKLM\...\Run: [Chew7Hale] => C:\Windows\System32\hale.exe [2169856 2015-08-16] () To crack aktywacji Windows 7 (zachowany przy aktualizowaniu do Windows 10). Znany dobrze na forum z niepożądanych zachowań (wysokie obciążenie zasobów). Multum tematów, np.: KLIK / KLIK / KLIK / KLIK / KLIK. Rzecz jasna należy usunąć crack, a wszystko wróci do normy. Przy okazji do usunięcia różne puste / odpadkowe wpisy (w tym po aktualizacji z Windows 7). Kombinując wszystkie działania: 1. Odinstaluj stare wersje: Adobe AIR, Java 7 Update 75 (64-bit), Java 8 Update 31 (64-bit), Java 8 Update 31. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [Chew7Hale] => C:\Windows\System32\hale.exe [2169856 2015-08-16] () HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 Task: {00422730-84D2-4034-920D-67B8EBF36AC9} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {093558AF-7E48-482D-B22B-2CB01F76FAD7} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {0B165BAC-DC9F-48D9-9A1A-A68D1B198BBC} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {1671BF30-82F5-4DD4-8EFC-36571DA4022C} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {177EC48C-DF30-4EA1-BC72-8732671B3DB1} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {1F3E5816-D215-4D3C-9FD5-D6ACDBA82DB6} - System32\Tasks\{7329FD3A-203E-4964-AED1-C849C00224CA} => pcalua.exe -a J:\OnePlus_setup.exe -d J:\ Task: {28CDD071-8675-480A-B212-3351B37424F2} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {2A53593F-187E-4F3C-9188-A286251BF9CC} - System32\Tasks\Menedżer sesji Menedżera okien pulpitu32 => C:\Windows\system32\config\systemprofile\AppData\Local\Menedersesji\menedżer.exe Task: {3334DE27-60E2-4027-9D8C-20BAAB17BA85} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {359FAAA6-B9FB-401E-9427-C019EFC23616} - System32\Tasks\Norton Security\Norton Error Analyzer => C:\Program Files (x86)\Norton Security\Engine\22.5.0.124\SymErr.exe Task: {3697C7FC-CD7D-40B5-BE04-B1BBFDC0074F} - System32\Tasks\Norton Security\Norton Error Processor => C:\Program Files (x86)\Norton Security\Engine\22.5.0.124\SymErr.exe Task: {369B424A-0DAA-4D6E-9372-35EBF5AF2592} - System32\Tasks\Microsoft Office 15 Sync Maintenance for Komputer-gtx Komputer => C:\Program Files\Microsoft Office\Office15\MsoSync.exe Task: {3A1E67A5-C051-4BDC-90C3-4899AE6CB494} - System32\Tasks\{892A11B0-57D5-4B18-9812-39CD55322CF3} => pcalua.exe -a "F:\Instalki Win 7\Camtasia\MadTracksDemoInstall.exe" -d "F:\Instalki Win 7\Camtasia" Task: {3A204890-1571-4496-BF7F-9D3B828D89D7} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {3DDA5664-D7C9-4205-9625-AEA1F9550AF5} - System32\Tasks\{5FFBD848-C2AE-42A6-B6D3-898D6E53C8E8} => pcalua.exe -a F:\Eksperymenty\Win10\VMware-player-7.1.0-2496824.exe -d F:\Eksperymenty\Win10 Task: {41D6C1C5-DAE6-4FC2-BAA4-2B42C90ABE17} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {510FE605-C218-49A8-B13B-C0423451AAA7} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {5616208D-0107-4288-A7C1-D368B08220CA} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {587CDE86-6FB1-4D0F-8C6A-FA1D3D342B67} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {5A01BB55-EC2E-45DA-B67D-B776C808D8D4} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {68A14978-A112-498C-80AD-486EC841ED48} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {6A3F8826-29EE-4621-9938-01B5417189BC} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {70894714-1B09-40BC-8180-B4F58036828D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {7D33DD1B-D93E-4213-ABCD-A6CF90F2CD7C} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {7D98692B-BBCD-4A43-B55C-B355871E1C88} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {8B489E42-105D-4C30-A771-447398833C49} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {8CC49613-1BDF-4D2A-B4E5-64F4CAE19FEB} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {9205ADA1-3B9C-4F60-BF99-8EC990A20B96} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {93F3B933-A6B3-4C26-B2E7-6EC8DD649210} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {A87F07C0-A4C8-47A2-AA45-B63ECC9B41FC} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {AA098C43-A2E1-4925-BC4B-2EA4DB3647B1} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {AD72055E-B387-414B-8399-DFADBBBF867B} - System32\Tasks\{E27720A9-0F6D-4CAB-B7FE-ABA1899BE7BB} => pcalua.exe -a H:\Dokumenty\Downloads\WinRAR_3.80_PL\setup.exe -d H:\Dokumenty\Downloads\WinRAR_3.80_PL Task: {B1FBDC29-6B10-4ACF-AAD4-7445DF39B1EC} - System32\Tasks\AutoPico Daily Restart => C:\Users\gtx\AppData\Local\Temp\RarSFX0\AutoPico.exe Task: {C48C9972-A042-4829-B4C6-CF3393AEED73} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {CF98016A-8B88-467B-B820-7DD19183A335} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {D48E5CE1-1F5E-4FF1-9666-F0FE0134521E} - System32\Tasks\Norton WSC Integration => C:\Program Files (x86)\Norton Security\Engine\22.5.0.124\WSCStub.exe Task: {E73BD091-D836-4363-8E66-8E1EA887E35A} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {F10B09FD-8459-43D3-8CFA-7ADF1CA26451} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {F7599025-DEC6-4E45-B646-A6F51EDACD37} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe S3 hamachi; C:\Windows\system32\DRIVERS\Hamdrv.sys [45680 2015-11-12] (LogMeIn Inc.) U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath GroupPolicyUsers\S-1-5-21-2592313924-3969202158-3244188748-1004\User: Ograniczenia GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia ShellIconOverlayIdentifiers: [ OverlayExcluded] -> {4433A54A-1AC8-432F-90FC-85F045CF383C} => Brak pliku ShellIconOverlayIdentifiers: [ OverlayPending] -> {F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225} => Brak pliku ShellIconOverlayIdentifiers: [ OverlayProtected] -> {476D0EA3-80F9-48B5-B70B-05E677C9C148} => Brak pliku CustomCLSID: HKU\S-1-5-21-2592313924-3969202158-3244188748-1001_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\gtx\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Brak pliku CHR HKU\S-1-5-21-2592313924-3969202158-3244188748-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crxx CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://safesearch.avira.com/#web/result?source=art&q= HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://safesearch.avira.com/#web/result?source=art&q= HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://safesearch.avira.com/#web/result?source=art&q= HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxps://safesearch.avira.com/#web/result?source=art&q= HKU\S-1-5-21-2592313924-3969202158-3244188748-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://safesearch.avira.com/#web/result?source=art&q= HKU\S-1-5-21-2592313924-3969202158-3244188748-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://safesearch.avira.com/#web/result?source=art&q= HKU\S-1-5-21-2592313924-3969202158-3244188748-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://safesearch.avira.com/#web/result?source=art&q= HKU\S-1-5-21-2592313924-3969202158-3244188748-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxps://safesearch.avira.com/#web/result?source=art&q= SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2592313924-3969202158-3244188748-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxps://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SSUService DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Security DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Chew7Hale /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v Chew7Hale /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "Splashtop Wired XDisplay Agent.lnk" /f C:\Program Files\*.exe C:\Users\gtx\AppData\Local\ACCCx2_8_0_447.zip.aamdownload C:\Users\gtx\AppData\Local\ACCCx2_8_0_447.zip.aamdownload.aamd C:\Users\gtx\AppData\Local\Mozilla C:\Users\gtx\AppData\Local\Splashtop C:\Users\gtx\AppData\Roaming\Mozilla C:\Users\gtx\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Bamboo Dock.lnk C:\Users\gtx\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\FTB Launcher.lnk C:\Users\gtx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FTB Launcher.lnk C:\Windows\pss\Wysyłanie do programu OneNote.lnk.Startup C:\Windows\ehome C:\Windows\System32\hale.exe C:\Windows\System32\Drivers\Hamdrv.sys C:\Windows\System32\Tasks\Norton Security C:\Windows\System32\Tasks\Microsoft\Windows\Media Center CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zresetuj cache wtyczek Google Chrome, by usunąć martwe wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut. Dołącz też plik fixlog.txt.

Dział pomocy doraźnej to dział dedykowany tylko i wyłącznie diagnostyce infekcji, a nie innych objawów. To na pewno nie ma związku z infekcją i temat przesuwam do ogólnego działu Windows (nie podane jaka platforma). Zacznijmy od tego, że opisywany problem nie wygląda na "usterkę", tylko na uruchomienie jakieś funkcji dzielenia ekranu, bądź wirtualnych Pulpitów. Nie podane specyfikacje systemu, nie podane raporty pokazujące co się uruchamia przy starcie.

X: to jak najbardziej poprawny i spodziewany odczyt, to jest wirtualnie zmapowany dysk ze środowiskiem odzyskiwania systemu RE. I w środowisku RE ogólnie mapowanie liter może być inne, ponieważ wtedy jako pierwsza "C" ujawnia się partycja ukryta spod Windows "Zastrzeżone przez system", a to co spod uruchomionego systemu było widziane jako "C" przesuwa się na dalszą pozycję. Operacja wykonana w punkcie b niepoprawna z dwóch powodów. Po pierwsze to polecenie obsługiwane na systemach Windows 8 i nowszych, po drugie użyty parametr Online stosowany tylko i wyłącznie spod uruchomionego Windows. W środowisku RE stosuje się parametr Offline. Zacznij od wykonania polecenia DISM /Image:Litera: /Cleanup-Image /RevertPendingActions z ustępu "Uruchamianie SFC z poziomu WinRE": KLIK. Poprawne litery wytypuj w oparciu o podany tam trik z Notatnikiem.

Temat przenoszę do właściwego działu Sieci. Problem nie jest pochodną infekcji. A jedyne co widzę w raportach połączone z ustawieniami sieci, to poniższe błędy w Dzienniku zdarzeń, ale moim zdaniem to jest poboczna sprawa: Dziennik Aplikacja: ================== Error: (05/15/2016 01:57:20 PM) (Source: Microsoft-Windows-EapHost) (EventID: 2002) (User: Mateo-Komputer) Description: Pomijanie: nie można zweryfikować Eap method DLL path. Błąd: identyfikator typu=43, identyfikator autora=9, identyfikator dostawcy=0, typ dostawcy=0 Error: (05/15/2016 01:57:20 PM) (Source: Microsoft-Windows-EapHost) (EventID: 2002) (User: Mateo-Komputer) Description: Pomijanie: nie można zweryfikować Eap method DLL path. Błąd: identyfikator typu=25, identyfikator autora=9, identyfikator dostawcy=0, typ dostawcy=0 Error: (05/15/2016 01:57:20 PM) (Source: Microsoft-Windows-EapHost) (EventID: 2002) (User: Mateo-Komputer) Description: Pomijanie: nie można zweryfikować Eap method DLL path. Błąd: identyfikator typu=17, identyfikator autora=9, identyfikator dostawcy=0, typ dostawcy=0 Error: (05/15/2016 01:57:20 PM) (Source: Microsoft-Windows-EapHost) (EventID: 2002) (User: Mateo-Komputer) Description: Pomijanie: nie można zweryfikować Eap method DLL path. Błąd: identyfikator typu=23, identyfikator autora=8086, identyfikator dostawcy=0, typ dostawcy=0 Error: (05/15/2016 01:57:20 PM) (Source: Microsoft-Windows-EapHost) (EventID: 2002) (User: Mateo-Komputer) Description: Pomijanie: nie można zweryfikować Eap method DLL path. Błąd: identyfikator typu=21, identyfikator autora=8086, identyfikator dostawcy=0, typ dostawcy=0 Error: (05/15/2016 01:57:20 PM) (Source: Microsoft-Windows-EapHost) (EventID: 2002) (User: Mateo-Komputer) Description: Pomijanie: nie można zweryfikować Eap method DLL path. Błąd: identyfikator typu=18, identyfikator autora=8086, identyfikator dostawcy=0, typ dostawcy=0 Opis błędu - Zachodzi pytanie jak jest skonfigurowany router obecnie. Log z FRST tylko tyle mówi, że w Windows jest prawdopodobnie ustawione "Pobierz automatycznie" DNS, gdyż jedyne serwery DNS widoczne w raporcie to te pobierane z routera (DhcpNameServer), a nie pobierane z Windows (NameServer): Tcpip\Parameters: [DhcpNameServer] 62.179.1.60 62.179.1.61 Tcpip\..\Interfaces\{D9106A91-743D-4F08-883C-25A888FD6DA6}: [DhcpNameServer] 62.179.1.60 62.179.1.61 I skoro wyraźnie mówisz, że przeinstalowałeś system, a problem nadal występuje, to nie sądzę, że jest to problem systemu i ponowne resetowanie ustawień w Windows wydaje się tu bezcelowe (to wykonała już reinstalacja). Niestety nic mi nie przychodzi do głowy. PS. Jako poboczne działania w spoilerze pobór informacji o w/w kluczach EapHost skombinowane z czyszczeniem innych wpisów nie powiązanych z problemami:

Temat przenoszę do działu Windows. To nie jest problem infekcji tylko uszkodzenia pliku taskmgr.exe, o czym mówią obrazki, a pośrednio i skan SFC. A powód rysuje Dziennik zdarzeń: Dziennik System: ============= Error: (05/14/2016 10:41:06 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie C:. Od tego należy zacząć. 1. Wg FRST już jest zaplanowany skan chkdsk przy starcie systemu, więc go wdróż. Tzn. zresetuj system i pozwól się wykonać w pełni sprawdzaniu błędów dysku. Wynik zostanie nagrany w Dzienniku zdarzeń w gałęzi Aplikacja w postaci rekordu z Wininit. Pobierz szczegóły tego rekordu, skopiuj i wklej do posta statystyki. 2. Po w/w sprawdzaniu uruchom ponownie sfc /scannow. Następnie zrób przefiltrowany wg instrukcji log skanu SFC, by było wiadome co konkretnie i gdzie namierza SFC (uszkodzeń może być więcej): KLIK. 3. Dodaj też wyniki wyszukiwania na wszystkie wystąpienia pliku. Uruchom FRST, w polu Szukaj wklej co podane poniżej, klik w Szukaj plików i przedstaw log wynikowy. taskmgr.exe

Shocked, zajmę się tematem, gdy będę w stanie, więc proszę nie odświeżaj (widzę jakie tematy wymagają interwencji). Obecnie jestem mocno ograniczona czasowo i kondycyjnie.

W systemie są szkodliwe obiekty startowe RunOnce (AdBlock + systwin). Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: set HKLM-x32\...\RunOnce: [AdBlock] => "AdBlock.exe" HKLM-x32\...\RunOnce: [systwin] => "systwin.exe" HKU\S-1-5-21-1202582443-2431899416-2755814704-1001\...\Run: [AdobeBridge] => [X] Task: {5684927F-CDD2-4FE5-9B5C-0AD1D4CC9230} - System32\Tasks\{E13A6586-1AFA-4370-BF34-C46740C4A699} => Chrome.exe hxxp://ui.skype.com/ui/0/7.21.0.100/en/abandoninstall?page=tsProgressBar Task: {6AE322FF-3CCA-4F1B-B468-2CEB03DED424} - \{7E0C0847-0C04-0A05-0C11-0E097F781178} -> Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKU\S-1-5-21-1202582443-2431899416-2755814704-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.msn.com/spbasic.htm SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości C:\ProgramData\~0 C:\ProgramData\RogueKiller C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VideoLAN C:\Users\Arni556\AppData\Local\BTServer.log C:\Users\Arni556\AppData\Local\MetastaticArbutuses C:\Users\Arni556\AppData\Local\Tempfolder C:\Users\Arni556\AppData\Roaming\*.* C:\Users\Arni556\AppData\Roaming\{6402F97B-592D-8ED0-8C92-6A62ED4128B1} C:\Users\Arni556\AppData\Roaming\download C:\Users\Arni556\AppData\Roaming\Guikn C:\Users\Arni556\AppData\Roaming\MolfKolgaj C:\Users\Arni556\AppData\Roaming\Nutni C:\Users\Arni556\AppData\Roaming\VuviroKit C:\Users\Arni556\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\allegro.pl (2).lnk C:\Users\Arni556\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Booking (2).lnk C:\Users\Public\Documents\dmp C:\Windows\AdBlock.exe C:\Windows\systwin.exe C:\Windows\system32\Drivers\TrueSight.sys C:\Windows\SysWOW64\pl.html Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Prewencyjnie zresetuj przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

Fixlog sugeruje, że błąd musiał nastąpić już po wykonaniu wszystkich linii ze skryptu, gdyż FRST w drugim podejściu nic nie znalazł. Gdyby błąd wystąpił gdzieś "wyżej", to miałoby to odbicie w Fixlog (wykonanie poleceń od miejsca błędu). To tylko uwagi poboczne, gdyż w sumie wszystkie akcje wykonane. Małe poprawki: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{9563BC59-9556-4805-8CD4-886781779D8D} HKU\S-1-5-18\...\RunOnce: [FlashPlayerUpdate] => C:\WINDOWS\system32\Macromed\Flash\FlashUtil32_16_0_0_310_pepper.exe -update pepperplugin RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\ACE Mega CoDecS Pack CMD: del /q "C:\Documents and Settings\PC\Moje dokumenty\ttfggdwi.exe" CMD: del /q "C:\Documents and Settings\PC\Moje dokumenty\qno8pw1w.exe" Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom ponownie (wcześniej używany już) AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Na koniec zastosuj DelFix, wyczyść foldery Przywracania systemu i zaktualizuj Adobe Reader (posiadasz 11.0.11): KLIK.

Log główny z FRST ogromny, gdyż w katalogu Temp nabita masa szkodliwych plików. Działania wstępne: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje i zbędny program: Adobe AIR, Adobe Flash Player 10 ActiveX, HP Customer Participation Program 13.0. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [80768 2016-04-25] (Huorong Borui (Beijing) Technology Co., Ltd.) U3 idsvc; Brak ImagePath U1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QMUdisk64.sys [X] HKLM-x32\...\Run: [tasklist] => c:\users\madzia\appdata\roaming\tasklist HKU\S-1-5-18\...\Winlogon: [shell] C:\Windows\explorer.exe [4515256 2016-05-12] (Microsoft Corporation) Task: {050D9B8F-1D73-4905-B0AA-A12ACE55FC08} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {0E635C07-5FD6-44C3-B45C-3A7ECCA97F53} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {14F5A757-D3E0-4C1E-BEFC-77613FDD0FB6} - System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan => C:\Program Files\Microsoft Security Client\MpCmdRun.exe Task: {2543F8D3-D6CE-4FAE-8E7B-83D89D22B451} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {2975F2D7-F33E-4279-844E-FF168E4CC1CB} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {2BE2FF66-90BB-4E59-A7B8-CD952BCB6FAC} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {31D9FCD2-346F-480A-B817-D592EA79B03E} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {39577D6D-7738-4CB2-A086-34994B7A8560} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {3BEE7AC0-BB68-486B-9F0B-6727EC9140BC} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {4433608E-2AB0-41A8-8BDE-DB605512BAE9} - System32\Tasks\Microsoft\Windows\Software\UpdaterSrv => C:\ProgramData\UpdaterSrv\UpdaterSrv.exe [2015-11-27] () Task: {4483EC5C-25FD-445D-A46C-9D21F4180FDA} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {4B4F474F-442B-4A24-889A-74DC619A196B} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {4C7DD9B2-05B8-4A52-83B9-C535BF6F92F1} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {533B4C42-AFBA-4604-B8F4-A33711FA2810} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {59269AA0-9FB9-45F3-801A-EA0436711FB8} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {5B0837BE-683A-4559-A2DE-8277B7B1909A} - System32\Tasks\{C6B40CDB-573A-4681-957F-0517FF4D0CDC} => pcalua.exe -a C:\Users\Madzia\Downloads\Realtek_High-Definition_Audio_Driver_Vista_Win7_Win8_R2.73_x32_www.INSTALKI.pl.exe -d C:\Users\Madzia\Downloads Task: {649D62EC-25EE-45C5-A041-BF8534E4E24F} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {6627FC7E-2D75-423B-AF6D-318CD6C2600C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {6B3FE2B0-C0B3-48DB-AFD1-008C7917A56B} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {6CE3AE3C-E6B0-43C7-9913-A3DA7BCF50D2} - System32\Tasks\{660F76A3-68DA-484E-9281-DEEBDFC0B1AB} => pcalua.exe -a "C:\Program Files (x86)\SpaceSondPro\uninstall.exe" Task: {80130F5B-153D-4120-9E51-5BA5BB2308B1} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {835489DD-4FA6-4D9F-8C80-A78A41A8CEE5} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {87E20E70-6909-46B4-B845-A954C858F685} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {891C82BB-A6E3-4CB4-9642-70B1FCEAB6DE} - System32\Tasks\{ACDCE7B3-53AF-4BD4-A4D9-87FD08584C48} => pcalua.exe -a C:\Users\Madzia\AppData\Local\PPTAssist\utility\uninst.exe Task: {A25FFF81-6C65-4D4E-9509-69BE4A5F43FC} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {A6CFB772-982D-4BB9-976D-C9A7714D9A4D} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {B1533D84-C249-4CC0-9226-26044A5046BA} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {B1EC218E-CF36-4077-8CBA-225E7F06E753} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {B7EAC076-AF2C-4CBE-9B55-3937087B38F1} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {B89C8401-C75B-43A0-9C2E-D5AAC6E0B546} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {BBE085EA-7BCF-4002-A258-CC5805608C19} - System32\Tasks\{A23A283B-9B6E-41AD-AC2F-FDD00696EAE5} => pcalua.exe -a C:\Users\Madzia\Downloads\jxpiinstall.exe -d C:\Users\Madzia\Downloads Task: {C8C9089C-FC28-4DE7-A287-2148847AC8FA} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {CF3B9CC2-D8AE-490D-8FF4-95515EA881CB} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {D5362935-A779-49C7-9093-3AC819AEF3ED} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {D9660219-8B04-4308-8B1E-E8904929831F} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {DDE21DD4-964B-4B3A-86A3-E3B64210F2FD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {E77F16C1-8AA8-4C82-977B-7C11A7B4F5B6} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {F00CFF76-486B-430A-BD42-5005823C9D6C} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center ShortcutWithArgument: C:\Users\Madzia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=WD-WXB1A9193691_WDCWD7500BPVT-24HXZT3&tm=1450897374 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKU\S-1-5-21-1487593702-3916242759-977676160-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/p/?LinkId=619797&pc=UE01&ocid=UE01DHP SearchScopes: HKLM-x32 -> DefaultScope - brak wartości CustomCLSID: HKU\S-1-5-21-1487593702-3916242759-977676160-1000_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-00B144C9840D}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => Brak pliku CHR HKU\S-1-5-21-1487593702-3916242759-977676160-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{505BCB56-CDB2-7A2E-3979-74388936CCA6} DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IntelWireless /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SpaceSoundPro /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v tasklist /f C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\*.* C:\ProgramData\.D6E5339F-CB2B-32C1-CD2D-C0295C19C822 C:\ProgramData\.SF170 C:\ProgramData\{221FC8B2-AC31-4636-9E23-B612433AEADC} C:\ProgramData\TEMP C:\ProgramData\Thunder Network C:\ProgramData\UpdaterSrv C:\uninst C:\Users\Madzia\AppData\Local\.DG212F11-EC8C-210D-DE1E-D9584D18D740 C:\Users\Madzia\AppData\Local\t80.dat C:\Users\Madzia\AppData\Local\app C:\Users\Madzia\AppData\Local\Mozilla C:\Users\Madzia\AppData\Local\PingTool C:\Users\Madzia\AppData\Local\Tempfolder C:\Users\Madzia\AppData\Local\Microsoft\Windows\GameExplorer\{98C4205E-2E44-498D-820C-CEB4758F668F} C:\Users\Madzia\AppData\Local\Microsoft\Windows\GameExplorer\{2FA4F61A-3A90-498A-A08B-5223FE202F34} C:\Users\Madzia\AppData\Local\Microsoft\Windows\GameExplorer\{CE757362-E1EF-4A42-B93D-3E7B769161C0} C:\Users\Madzia\AppData\LocalLow\Company C:\Users\Madzia\AppData\Roaming\gdfw.log C:\Users\Madzia\AppData\Roaming\gdscan.log C:\Users\Madzia\AppData\Roaming\GiftBag.db C:\Users\Madzia\AppData\Roaming\xldl.dll C:\Users\Madzia\AppData\Roaming\download C:\Users\Madzia\AppData\Roaming\gplyra C:\Users\Madzia\AppData\Roaming\Mozilla C:\Users\Madzia\AppData\Roaming\Wiypj C:\Users\Madzia\AppData\Roaming\Microsoft\*.* C:\Users\Madzia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\sai.lnk C:\Users\Public\Documents\dmp C:\Users\Madzia\Documents\Cognitive Science\I semestr\MDTiAR\Laborki\Prolog.lnk C:\Users\Madzia\Documents\Cognitive Science\I semestr\KCK\Strona\FileZilla.lnk C:\Users\Madzia\Documents\Corel\Próbki CorelDRAW X7\target.lnk C:\Users\Madzia\Documents\Rainmeter\Skins\DesignersBar\Quicklaunch\Shortcuts\*.lnk C:\Users\Madzia\Links\Fotografias.lnk C:\Users\Public\Thunder Network C:\Windows\ehome C:\Windows\system32\Drivers\TAOKernelEx64.sys C:\Windows\System32\Drivers\ucguard.sys C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\System32\Tasks\Microsoft\Windows\Media Center C:\Windows\system32\zuto CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Wyłącz COMODO na czas operacji, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

Na przyszłość: proszę nie zapisuj logów FRST do nowych plików tylko dostarczaj oryginały, ten zrobiony przez Ciebie to nie to samo (złe kodowanie ANSI zamiast UTF-8). Akcja pomyślnie wykonana. Teraz uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Brakuje jeszcze głównego pliku FRST.txt. Dorzuć. A Fix FRST wykonałeś aż dwa razy, to jednorazowy skrypt i nie zrobi po raz drugi tego samego.

To pewnie były klucze "Search" (a nie SearchScopes) - przykładowy log. Te klucze są znane z XP IE6 i w ogóle nie działają na nowszych systemach, wyszukiwarki IE8 i nowszych używają SearchScopes. Niektóre adware modyfikując ustawienia dodają sztucznie te klucze. Zamiast je modyfikować, należy je w całości usunąć. To już szczegół (skoro i tak nieaktywne), ale chodzi o te wystąpienia (o ile są): HKCU\Software\Microsoft\Internet Explorer\Search HKCU\Software\Microsoft\Internet Explorer\SearchUrl HKLM\SOFTWARE\Microsoft\Internet Explorer\Search HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl Tak. EDIT: Zapomniałam napisać, że od dawna widzę to w Firefox przy przywracaniu sesji. Jest ładowany "stary widok".

Akcje do przeprowadzenia: 1. Przez Dodaj/Usuń programy odinstaluj: - Adware/PUP: BlockAndSurf, Component Touch, ConvertAd, Style Beach, WinZip, YAC(Yet Another Cleaner!). - Stare programy: ACE Mega CoDecS Pack, Apple Software Update, JavaFX 2.1.1, Obsługa programów Apple, QuickTime, Windows Media Player Firefox Plugin. QuickTime/Apple nie jest bezpieczny, ostatnio wykryte poważne luki, które już nie zostaną naprawione (wycofane wsparcie dla Windows), nie wspominając o tym że dla XP i tak jest dostępna tylko stara wersja (jeszcze bardziej dziurawa). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {55dce8ba-9dec-4013-937e-adbf9317d990}t; C:\WINDOWS\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}t.sys [55184 2014-08-10] (StdLib) R1 {69b2a7fb-60a8-4ce6-8aeb-423ac97a1ad2}Gt; C:\WINDOWS\System32\drivers\{69b2a7fb-60a8-4ce6-8aeb-423ac97a1ad2}Gt.sys [55824 2015-01-09] (StdLib) R1 {a5c25b9e-3974-4e91-9864-34f9aca33ff3}Gt; C:\WINDOWS\System32\drivers\{a5c25b9e-3974-4e91-9864-34f9aca33ff3}Gt.sys [55832 2014-12-30] (StdLib) S2 LiveUpdateSvc; C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe [2945312 2016-01-14] (IObit) HKLM\...\Run: [ROC_roc_ssl_v12] => "C:\Program Files\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 HKLM\...\Run: [ROC_ROC_NT] => "C:\Program Files\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT HKLM\...\Run: [YTDownloader] => "C:\Program Files\YTDownloader\YTDownloader.exe" /boot HKLM\...\Run: [gmsd_pl_14] => [X] HKLM\...\Run: [upgmsd_pl_14.exe] => C:\Documents and Settings\PC\Ustawienia lokalne\Dane aplikacji\gmsd_pl_14\upgmsd_pl_14.exe -runhelper HKU\S-1-5-21-117609710-507921405-1801674531-1003\...\Run: [DriverUpdaterPro] => C:\Program Files\oTweak\DriverUpdaterPro\DriverUpdaterPro.exe /ot /as /ss HKU\S-1-5-21-117609710-507921405-1801674531-1003\...\Run: [updateMyDrivers] => C:\Program Files\SmartTweak\UpdateMyDrivers\UpdateMyDrivers.exe /ot /as /ss HKU\S-1-5-21-117609710-507921405-1801674531-1003\...\Run: [speedUpMyComputer] => C:\Program Files\SmartTweak\SpeedUpMyComputer\SpeedUpMyComputer.exe /ot /as /ss HKU\S-1-5-21-117609710-507921405-1801674531-1003\...\Run: [YTDownloader] => "C:\Program Files\YTDownloader\YTDownloader.exe" /boot HKU\S-1-5-21-117609710-507921405-1801674531-1003\...\Run: [FixMyRegistry] => C:\Program Files\SmartTweak\FixMyRegistry\FixMyRegistry.exe /ot /as Task: C:\WINDOWS\Tasks\ASC Task (One-Time).job => C:\Program Files\IObit\Advanced SystemCare\ASCPromote.exe Task: C:\WINDOWS\Tasks\Browser Updater Task(Core).job => C:\Program Files\QQBrowser\Update\050A00EDD3F6FCC847968E0BD165782A\Update\BrowserUpdate.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\Style Beach2.job => C:\WINDOWS\system32\rundll32.exe C:\Documents and Settings\PC\Local Settings\Application Data\Style Beach\{B664DB93-2543-E0FE-5385-64DEDDDF95B0}\sdoed.dll Task: C:\WINDOWS\Tasks\WinTaske.job => C:\Program Files\WinTaske\WinTaske\WinTaske.exe Task: C:\WINDOWS\Tasks\yellow_cabs_notification_service.job => C:\Documents and Settings\PC\Ustawienia lokalne\Dane aplikacji\yellow cabs\yellow_cabs_notification_service.exeǧ/url='hxxp:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='yellow cabs' /appid='73143' /srcid='2913' /bic='78d5c8e7d70ec162e242e7b35f4cca15' /verifier='ff6ab3e9ce69543d5630ea7832f5c169' /installerversion='1.50.3.10' /statsdomain='hxxp:/stats.buildomserv.com/data.gif?' /errorsdomain='hxxp:/stats.buildomserv.com/data.gif?' /monetizationdomain='hxxp:/logs.buildomserv.com/monetization.gif Task: C:\WINDOWS\Tasks\yellow_cabs_updating_service.job => C:\Documents and Settings\PC\Ustawienia lokalne\Dane aplikacji\yellow cabs\yellow_cabs_updating_service.exe¬ /campid=2913 /verid=1 /url=hxxp:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=yellow_cabs_updating_service /funurl=hxxp:/stats.buildomserv.com Task: C:\WINDOWS\Tasks\YTDownloader.job => C:\Program Files\YTDownloader\YTDownloader.exe ShortcutWithArgument: C:\Documents and Settings\All Users\Pulpit\Opera.lnk -> C:\Program Files\Opera\launcher.exe (Opera Software) -> hxxp://www.piesearch.com/?uid=478a465d-3f7c-486c-8c17-608e197276bb GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://istart.webssearches.com/web/?type=ds&ts=1419976961&from=obw&uid=SAMSUNGXHD403LJ_S0NFJ1MQ101544&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1419976961&from=obw&uid=SAMSUNGXHD403LJ_S0NFJ1MQ101544&q={searchTerms} SearchScopes: HKU\S-1-5-21-117609710-507921405-1801674531-1003 -> {3BD44F0E-0596-4008-AEE0-45D47E3A8F0E} URL = hxxp://www.mystart.com/results.php?gen=ms&pr=vmn&id=mystarttb&v=5_4&ent=ch_5224&q={searchTerms} SearchScopes: HKU\S-1-5-21-117609710-507921405-1801674531-1003 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468 SearchScopes: HKU\S-1-5-21-117609710-507921405-1801674531-1003 -> {szukaj.gazeta.pl} URL = hxxp://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll => Brak pliku BHO: IplexToALLPlayer -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> C:\PROGRA~1\ALLPLA~1\Iplex\IPLEXT~1.DLL => Brak pliku CustomCLSID: HKU\S-1-5-21-117609710-507921405-1801674531-1003_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Documents and Settings\PC\Dane aplikacji\GG\ggdrive\ggdrive-menu.dll => Brak pliku AV: IObit Malware Fighter (Disabled - Out of date) {0ED16AC2-4656-4907-BD42-21EA693640D6} DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google\Chrome DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Google\Chrome DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins C:\Documents and Settings\All Users\Dane aplikacji\ProductData C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{31505C44-7CED-49C2-B290-4AFC14A0E156} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{37E50060-D7B2-402E-A5A5-D9271BB2FE37} C:\Documents and Settings\All Users\Menu Start\Programy\WinZip C:\Documents and Settings\PC\TempWmicBatchFile.bat C:\Documents and Settings\PC\Dane aplikacji\BBHJ.exe C:\Documents and Settings\PC\Dane aplikacji\BxhA5NMH7bmv9J7J C:\Documents and Settings\PC\Dane aplikacji\hWvjBDreh1v2KUsCyYeBg63W C:\Documents and Settings\PC\Dane aplikacji\SCOWI.exe C:\Documents and Settings\PC\Dane aplikacji\IObit C:\Documents and Settings\PC\Dane aplikacji\Mozilla C:\Documents and Settings\PC\Dane aplikacji\TSv C:\Documents and Settings\PC\Dane aplikacji\WinZiper C:\Documents and Settings\PC\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Documents and Settings\PC\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Documents and Settings\PC\Local Settings\Application Data\Style Beach C:\Documents and Settings\PC\Menu Start\Programy\WorldofTanks C:\Documents and Settings\PC\Ustawienia lokalne\Dane aplikacji\nsqF3.tmp C:\Documents and Settings\PC\Ustawienia lokalne\Dane aplikacji\CRE C:\Documents and Settings\PC\Ustawienia lokalne\Dane aplikacji\Mozilla C:\Documents and Settings\PC\Ustawienia lokalne\Dane aplikacji\yellow cabs C:\Program Files\Enigma Software Group C:\Program Files\IObit C:\Program Files\jIxmRfR C:\Program Files\Mozilla Firefox C:\Program Files\WinTaske C:\Program Files\WinZipper C:\Program Files\SearchesToYesbnd C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\029B560A371F4E00AB32838EBC01B9E7 C:\WINDOWS\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}t.sys C:\WINDOWS\System32\drivers\{69b2a7fb-60a8-4ce6-8aeb-423ac97a1ad2}Gt.sys C:\WINDOWS\System32\drivers\{a5c25b9e-3974-4e91-9864-34f9aca33ff3}Gt.sys CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Documents and Settings\PC\Menu Start\Programy\Akcesoria\Narzędzia systemowe Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut. Dołącz też plik fixlog.txt. Potwierdź ustąpienie problemów.

Tak, ponieważ CurrentControlSet to jest tylko link symboliczny do jednej z gałęzi ControlSet00X (tu zapewne ControlSet001), a do czego linkuje ten skrót zawsze można pobrać z klucza HKEY_LOCAL_MACHINE\SYSTEM\Select - wartość Current równa X to ControlSet00X. Czyli wystarczy usunąć tylko z jednego miejsca (CurrentControlSet lub docelowe miejsce tego linka), automatycznie zanik z dwóch miejsc na raz. Pokaż mi wyniki, bo wg FRST wszystko było w porządku z SearchScopes (żadnych niedomyślnych wyników).

Log Addition jest urwany i nie mam wszystkich informacji (np. błędów z Dziennika czy statystyk dysku). Zrób ponownie skan i dodaj kompletny plik Addition. PS. Na razie to ja tu nie widzę infekcji, ale czynny śmieć Amazon, aktywny sterownik filtrujący klawiaturę pozostawiony po odinstalowanym Avast, stare (również uruchamiane) programy integrowane przez producenta w obrazie (np. Norton Backup czy Packard Bell MyBackup). Czyli na razie trop tu jest taki, by redukować procesy, ale zanim do tego przejdę dodaj pełny Addition.

SFC naprawił ubytki w plikach. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Np. mógłbyś wybrać: Avast lub Panda Free (odznaczyć toolbary przy instalacji) + TinyWall + EMET.

Był uruchamiany GMER, na wszelki wypadek sprawdź transfer dysku wg wytycznych ze Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. W Windows 7 kroki podobne, nieco inaczej wyglądają niektóre dialogi. A Fix FRST wykonany. Skasuj z dysku FRST i jego logi. Następnie DelFix i czyszczenie folderów Przywracania systemu: KLIK.

Jeśli chodzi o sprzątanie FRST, to prawie wszystko zrobione. Jeszcze drobne korekty. Otwórz Notatnik i wklej: S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera CMD: del /q C:\Windows\SysWOW64\deployJava1.dll CMD: del /q C:\Windows\SysWOW64\npdeployJava1.dll FF Plugin-x32: @java.com/DTPlugin,version=10.5.1 -> C:\Windows\SysWOW64\npDeployJava1.dll [2012-07-05] (Oracle Corporation) FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Users\Admin\AppData\Local\Facebook RemoveDirectory: C:\Users\Admin\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\BCD5545077AC4347B24F654B1189F8D4.TMP Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw fixlog.txt. Nowe skany FRST nie są potrzebne.

Wszystko zrobione. Jeszcze drobne poprawki na odpadki po odinstalowanych aplikacjach. Otwórz Notatnik i wklej: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking HKU\S-1-5-21-3061505195-1876517776-3165528320-1001\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) FF Plugin-x32: @java.com/JavaPlugin,version=10.2.1 -> C:\Program Files (x86)\Oracle\JavaFX 2.0 Runtime\bin\new_plugin\npjp2.dll [2011-11-08] (Oracle Corporation) RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy RemoveDirectory: C:\Program Files (x86)\Java RemoveDirectory: C:\Program Files (x86)\Oracle\JavaFX 2.0 Runtime RemoveDirectory: C:\Program Files (x86)\File Scanner Library (Spybot - Search & Destroy) RemoveDirectory: C:\Program Files (x86)\Misc. Support Library (Spybot - Search & Destroy) RemoveDirectory: C:\Program Files (x86)\SDHelper (Spybot - Search & Destroy) RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\Program Files (x86)\TeaTimer (Spybot - Search & Destroy) RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java Development Kit RemoveDirectory: C:\Windows\System32\Tasks\Safer-Networking CMD: del /q C:\Users\Asus\Downloads\ebie7o47.exe CMD: del /q C:\Users\Asus\Downloads\MicrosoftFixit*.exe Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt.

Brak widocznej infekcji po stronie systemu - odinstaluj tylko Popcorn Time (flagowany przez FRST jako "niepożądany"). W kwestii pendrive podaj raport USBFix z opcji Listing zrobiony przy podpiętym pendrive.

Wszystko pomyślnie usunięte. Kończymy: 1. W Dzienniku zdarzeń jest drobny nieszkodliwy błąd WMI. Zastosuj narzędzie Fix-it go usuwające: KLIK. 2. Przez SHIFT+DEL (omija Kosz) skasuj z Pobranych folder FRST z FRST i jego logami. Następnie zastosuj DelFix. To wszystko.