picasso

Tak, to samo, tylko nie rozumiem dlaczego błąd nadal się pokazuje po podstawieniu plików... I prosiłam o nowe wyniki wyszukiwania:

W raportach nie widzę żadnych oznak infekcji tego typu. Niemniej zastanawia mnie Singapurski DNS (OpenDNS) pobierany z routera - czy to celowe ustawienie? Tcpip\Parameters: [DhcpNameServer] 8.8.8.8 208.67.220.220 Poza tym widzę stare adware, stare niebezpieczne wersje programów oraz starszą wersję Avast, różne odpadkowe wpisy, fatalne statystyki wolnego miejsca na dysku i jakieś błędy w Dzienniku powiązane z niemożnością utworzenia punktu Przywracania (być może powiązane z brakiem miejsca na dysku). Drive c: (ACER) (Fixed) (Total:85.3 GB) (Free:1.71 GB) NTFS Na razie częściowo adresuję powyższe aspekty: 1. Odinstaluj stare niebezpieczne wersje i inne niepożądane programy: Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Shockwave Player 11.6, Facebook Video Calling 3.1.0.521, FoxTab Media Player (adware), Java 8 Update 45, Java™ 6 Update 32, Java™ 6 Update 34, JavaFX 2.1.1, McAfee Security Scan Plus, Opera 11.62, SpyHunter (skaner z czarnej listy). 2. Na czas tej operacji wyłącz SpyShelter, by nie zablokował FRST. Otwórz Notatnik i wklej w nim: CloseProcesses: ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=wid&from=wid&uid=TOSHIBAXMK3265GSX_40U8C2K3TXX40U8C2K3T&ts=1359234449 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=wid&from=wid&uid=TOSHIBAXMK3265GSX_40U8C2K3TXX40U8C2K3T&ts=1359234449 CHR HomePage: Default -> hxxp://www.22find.com/?utm_source=b&utm_medium=wid&from=wid&uid=TOSHIBAXMK3265GSX_40U8C2K3TXX40U8C2K3T&ts=1359234449 CHR StartupUrls: Default -> "hxxp://www.22find.com/?utm_source=b&utm_medium=wid&from=wid&uid=TOSHIBAXMK3265GSX_40U8C2K3TXX40U8C2K3T&ts=1359234449" CHR DefaultSearchURL: Default -> hxxp://search.22find.com/web/?utm_source=b&utm_medium=wid&from=wid&uid=TOSHIBAXMK3265GSX_40U8C2K3TXX40U8C2K3T&ts=1359234464&type=default&q={searchTerms} CHR DefaultSearchKeyword: Default -> 22find.com HKU\S-1-5-21-1064041401-3872098482-3789036179-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.22find.com/newtab?utm_source=b&utm_medium=wid&from=wid&uid=TOSHIBAXMK3265GSX_40U8C2K3TXX40U8C2K3T&ts=1359234461 HKU\S-1-5-21-1064041401-3872098482-3789036179-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.22find.com/newtab?utm_source=b&utm_medium=wid&from=wid&uid=TOSHIBAXMK3265GSX_40U8C2K3TXX40U8C2K3T&ts=1359234461 URLSearchHook: HKU\S-1-5-21-1064041401-3872098482-3789036179-1000 - (Brak nazwy) - {51a86bb3-6602-4c85-92a5-130ee4864f13} - Brak pliku SearchScopes: HKU\S-1-5-21-1064041401-3872098482-3789036179-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.22find.com/web/?utm_source=b&utm_medium=wid&from=wid&uid=TOSHIBAXMK3265GSX_40U8C2K3TXX40U8C2K3T&ts=1359234464 SearchScopes: HKU\S-1-5-21-1064041401-3872098482-3789036179-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.22find.com/web/?utm_source=b&utm_medium=wid&from=wid&uid=TOSHIBAXMK3265GSX_40U8C2K3TXX40U8C2K3T&ts=1359234464 BHO: Complitly -> {0FB6A909-6086-458F-BD92-1F8EE10042A0} -> C:\Users\Admin\AppData\Roaming\Complitly\64\Complitly64.dll => Brak pliku Toolbar: HKLM - Brak nazwy - !{D4027C7F-154A-4066-A1AD-4243D8127440} - Brak pliku Toolbar: HKLM - Brak nazwy - !{F9639E4A-801B-4843-AEE3-03D9DA199E77} - Brak pliku Toolbar: HKLM-x32 - Brak nazwy - !{D4027C7F-154A-4066-A1AD-4243D8127440} - Brak pliku Toolbar: HKLM-x32 - Brak nazwy - !{F9639E4A-801B-4843-AEE3-03D9DA199E77} - Brak pliku Task: {6CE146EF-4C7C-4671-B69D-78D73AD36D6B} - System32\Tasks\{B10BA226-D3EF-46FE-BCC5-A09777D8F156} => F:\iriver plus 3\iplus3_setupex.exe Task: {872D6613-C62A-4ED8-993C-A9E909EEC18E} - System32\Tasks\{AB17AA70-C6D0-40EA-8FED-27670232857C} => Firefox.exe hxxp://ui.skype.com/ui/0/6.14.0.104/pl/go/help.faq.installer?LastError=1618 HKU\S-1-5-21-1064041401-3872098482-3789036179-1000\...\Winlogon: [shell] C:\Windows\explorer.exe [3231232 2016-01-22] (Microsoft Corporation) S3 StarOpen; C:\Windows\System32\Drivers\StarOpen.sys [5504 2009-11-12] () S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 PCDSRVC{6DD8E36B-3D64B770-06020101}_0; \??\c:\users\admin\appdata\local\temp\xxypfl77czv9\pcdrdiag\bin\pcdsrvc_x64.pkms [X] S4 sptd; System32\Drivers\sptd.sys [X] DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EgisTecPMMUpdate DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EgisUpdate DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mwlDaemon DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SuiteTray DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\uTorrent DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GIMP 2.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SIO.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AcerSystem\AcerSystem User's Guide.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Activision C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dont Starve Reign of Giants C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gimnazjum klasa 2 - Puls zycia C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iriver C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Last.fm C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimus Nexus C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PhotoScape C:\ProgramData\Microsoft\Windows\Start Menu\Programs\System Informacji Oświatowej C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks Closed Beta C:\Users\Admin\AppData\Local\{7273595F-CEA5-461B-845D-E936E3B09712} C:\Users\Admin\AppData\Local\{9F0C4C02-3A27-45DE-B87B-6167F8001E03} C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\novo_price_comparison.crx C:\Users\Admin\AppData\Roaming\skype.ini C:\Users\Admin\AppData\Roaming\DAEMON Tools Lite C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\FoxTab Media Player C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OpenFM.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FoxTab FLV Player C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Testy Gimnazjalne 2013 C:\Users\Admin\Desktop\tata\Gimnazjum klasa 2 - Puls życia.lnk C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Welcome Center.lnk C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\system32\FxsTmp C:\Windows\System32\Drivers\StarOpen.sys C:\Windows\SysWOW64\adbT.exe C:\Windows\SysWow64\Drivers\StarOpen.sys CMD: for /d %f in (C:\Users\Admin\AppData\Local\{*}) do rd /s /q "%f" CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut. Dołącz też plik fixlog.txt.

Poprzednie zadania wprawdzie wykonane, ale wskoczyła kolejna infekcja, tym razem robak Gamarue.... kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3047276897-3179028656-1573973646-1000\...\CurrentVersion\Windows: [Load] C:\ProgramData\msvei.exe C:\ProgramData\msvei.exe C:\ProgramData\ProductData C:\Users\Dominik\AppData\Local\Adobe C:\Users\Dominik\AppData\Local\CryptographMalcontent C:\Users\Dominik\AppData\Local\DOSBox C:\Users\Dominik\AppData\Local\Google\Chrome\User Data\Default C:\Users\Dominik\AppData\Local\Google\Chrome\User Data\Profile 1 C:\Users\Dominik\AppData\Local\Installer C:\Users\Dominik\AppData\Local\Mozilla C:\Users\Dominik\AppData\Local\Tempfolder C:\Users\Dominik\AppData\LocalLow\Company C:\Users\Dominik\AppData\LocalLow\IObit C:\Users\Dominik\AppData\Roaming\ADBDriverInstaller C:\Users\Dominik\AppData\Roaming\Adobe C:\Users\Dominik\AppData\Roaming\BinarySense C:\Users\Dominik\AppData\Roaming\Brotsoft C:\Users\Dominik\AppData\Roaming\Cypherix C:\Users\Dominik\AppData\Roaming\FireShot C:\Users\Dominik\AppData\Roaming\fltk.org C:\Users\Dominik\AppData\Roaming\Foxit Software C:\Users\Dominik\AppData\Roaming\GogguDodg C:\Users\Dominik\AppData\Roaming\GPS Utility C:\Users\Dominik\AppData\Roaming\ipla C:\Users\Dominik\AppData\Roaming\IObit C:\Users\Dominik\AppData\Roaming\JebvMydon C:\Users\Dominik\AppData\Roaming\Mozilla C:\Users\Dominik\AppData\Roaming\NewmNoxg C:\Users\Dominik\AppData\Roaming\ProductData C:\Users\Dominik\AppData\Roaming\Shortcut C:\Users\Dominik\AppData\Roaming\Shuame C:\Users\Dominik\AppData\Roaming\SuperBoost C:\Users\Dominik\AppData\Roaming\UbupcIjefgi C:\Users\Dominik\AppData\Roaming\VaqiutChd C:\Users\Dominik\AppData\Roaming\{C3E3ABA5-F159-48FD-B408-25787224A4E1} C:\Users\Dominik\AppData\Roaming\{F3A1E4F2-9E3E-4379-82D0-A128BA26750F} CMD: ipconfig /flushdns cMD: netsh advfirewall reset EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt. 2. Wprawdzie widzę, że pobrałeś instalator Chrome na dysk, ale czy go uruchomiłeś? Nadal brak wejścia Google Chrome na liście zainstalowanych programów. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Fix FRST pomyślnie wykonany. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu. Ponadto, zaktualizuj Windows, masz starą niewspieraną już wersję IE8. Aktualizacja IE jest ważna, mimo że korzystasz tylko z Firefoxa, jej silnik i tak jest używany przez system i zewnętrzne aplikacje. Wszystkie akcje rozpisane tu: KLIK. Jeśli na pewno ponowny pełny (a nie ekspresowy) skan Avast nie wykrywa Sality, to sprawa wygląda na rozwiązaną. Poza tym, masz 64-bitowy system, Sality to infekcja 32-bitowa, więc szkody w systemie byłyby częściowe. Nie wiem. Nie mam danych z momentu gdy była usterka. A ten log z "Complete Internet Repair" niewiele mówi, to narzędzie masowo wdraża fiksy, nie jest pokazane czy naprawiane sfery naprawdę były uszkodzone.

Fix FRST uruchomiłeś aż 4 razy! To skrypt jednorazowego użytku, po pierwszym użyciu jest już nieaktualny i należy dopasować wyniki z nowego skanu do ewentualnych poprawek. Prawie wszystko usunięte. Drobne poprawki. Otwórz Notatnik i wklej w nim: S2 QQRepair1a76; "C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepair1a76" [X] S2 QQRepairb49; "C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepairb49" [X] R3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] DeleteKey: HKU\S-1-5-18\Software\Tencent RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Malwarebytes RemoveDirectory: C:\ProgramData\WindowsMsg RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Blade&Soul RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StepMania RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows 7 - Codec Pack RemoveDirectory: C:\Users\Holy Emperor\AppData\Local\Microsoft\Windows\GameExplorer\{0ABF504E-04CB-48FC-8E63-23828D0762A0} RemoveDirectory: C:\Users\Holy Emperor\AppData\Local\Microsoft\Windows\GameExplorer\{2A3DF11A-13E4-4740-B42D-48CB9938AE0E} RemoveDirectory: C:\Users\Holy Emperor\AppData\Local\Microsoft\Windows\GameExplorer\{2C49EA32-C910-4908-887F-4B1B66C6F708} RemoveDirectory: C:\Users\Holy Emperor\AppData\Local\Microsoft\Windows\GameExplorer\{E212B6B8-B82B-4B0E-B2E2-7598E32F9214} RemoveDirectory: C:\Users\Holy Emperor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft CMD: del /q "C:\Users\Holy Emperor\AppData\Roaming\GiftBag.db" CMD: del /q "C:\Users\Holy Emperor\Desktop\programy\Adobe Reader XI.lnk" CMD: del /q "C:\Users\Holy Emperor\Desktop\programy\World of Warships.lnk" Reg: reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\Uninst.exe" /f Reg: reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\Uninst.exe" /f Reg: reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\UninstallTips.exe" /f Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

W Chrome widać podejrzaną replikację rozszerzenia "Tłumacz Google" - ta nazwa jest przypisana do ID innych rozszerzeń. Nie wiadomo co to ma znaczyć, czy uszkodzone Google Chrome, czy coś innego. Wstępnie: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Apple Software Update, Obsługa programów Apple, QuickTime 7. QuickTime nie jest bezpiecznym programem, ostatnio wykryto luki, których Apple już nie naprawi (likwidacja wsparcia dla Windows) 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [seagull Drivers] => ssdal_nc.exe startup HKLM\...\runonceex: [Flags] => 128 HKLM\...\runonceex: [Title] => RAPID uninstall cleanup using key [0001] R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] Zip: C:\Program Files (x86)\Google\Chrome;C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job;C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie widoczne rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Na Pulpicie powstał też plik upload.zip - shostuj go gdzieś i podaj link. Wypowiedz się czy problemy w Google Chrome nadal występują. Jeśli nie będzie zmian, prawdopodobnie jest modyfikacja w globalnych plikach Google.

Jest tu infekcja routera a nie w Windows - poniższe adresy IP są angielskie. Nie pomoże tu więc uruchamianie skanów spod Windows, infekcja jest na innym poziomie. Tcpip\Parameters: [DhcpNameServer] 37.220.3.10 37.220.3.12 Tcpip\..\Interfaces\{FA635E4A-0745-4E36-8CFB-6AB1D6D2A28E}: [DhcpNameServer] 37.220.3.10 37.220.3.12 A ten komunikat dodatkowy, który Ci się pokazał, jest związany z modyfikacją pliku Hosts pozostawioną po odinstalowanym Spybot Search & Destroy (nie odkręcono immunizacji). Działania do przeprowadzenia: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Odinstaluj stare niebezpieczne wersje: Adobe Shockwave Player, Gadu-Gadu 7.7, J2SE Runtime Environment 5.0 Update 9, Java™ 6 Update 12. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\RealUpgradeLogonTaskS-1-5-21-602162358-1935655697-1801674531-1004.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe Task: C:\WINDOWS\Tasks\RealUpgradeScheduledTaskS-1-5-21-602162358-1935655697-1801674531-1004.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKU\S-1-5-18\...\RunOnce: [FlashPlayerUpdate] => C:\WINDOWS\system32\Macromed\Flash\FlashUtil32_17_0_0_134_pepper.exe -update pepperplugin HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki" SearchScopes: HKU\S-1-5-21-602162358-1935655697-1801674531-1004 -> {3E313458-ECFC-48CC-8BB1-B2E444FE9CEB} URL = hxxp://search.yahoo.com/search?ei=ISO-8859-1&fr=megaup&q={searchTerms} BHO: Brak nazwy -> {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} -> Brak pliku Toolbar: HKLM - Brak nazwy - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - Brak pliku Toolbar: HKU\S-1-5-21-602162358-1935655697-1801674531-1004 -> Brak nazwy - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - Brak pliku S3 NPF; system32\drivers\NPF.sys [X] U4 RemoteRegistry; Brak ImagePath U0 Winflash; Brak ImagePath DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera.exe DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IPLA! DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NokiaMServer DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TomTomHOME.exe DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy C:\Documents and Settings\All Users\Menu Start\Programy\Pity Format 2010 C:\Documents and Settings\All Users\Menu Start\Programy\PIT Format 2013 C:\Documents and Settings\All Users\Menu Start\Programy\PIT Format 2015 C:\Documents and Settings\All Users\Menu Start\Programy\Premium Booster C:\Documents and Settings\All Users\Menu Start\Programy\UltraVNC C:\Documents and Settings\All Users\Pulpit\PIT Format 2013.lnk C:\Documents and Settings\Dorota\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\Dorota\Menu Start\Programy\TomTom C:\Documents and Settings\Dorota\Ustawienia lokalne\Dane aplikacji\Google C:\Program Files\Premium Booster C:\WINDOWS\system32\Drivers\etc\hosts.*.backup CMD: ipconfig /flushdns CMD: netsh firewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Podaj model routera.

W systemie jest ustawione szkodliwe proxy i problem powinien być widoczny we wszystkich przeglądarkach, a nie tylko Firefox. A załatwił Cię poniższy plik, to "downloader" a nie zasadniczy instalator: 2016-05-07 16:37 - 2016-05-07 16:37 - 00957176 _____ ( ) C:\Users\Asus\Downloads\installer_Direct_MIDI_to_MP3_Converter_sciagnij.exe Działania do wdrożenia: 1. Deinstalacje: - Odinstaluj stare wersje: Apple Software Update, Java 8 Update 40, Java™ SE Development Kit 7 Update 2, JavaFX 2.0.2, JavaFX 2.0.2 SDK, Obsługa programów Apple, QuickTime 7, Spybot - Search & Destroy. Używanie QuickTime nie jest już bezpieczne, Apple nie załata nowych luk. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK (to wpis po niechcianej instalacji programu REACHit Lenovo) > Dalej. - W Operze: Ustawienia > karta Rozszerzenia > odinstaluj adware Magical Find. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {1FA22C8D-C3EC-4EE3-9AA2-54D3F367622C} - System32\Tasks\bbb => C:\@1\wysylanie.bat Task: {74D30D4E-FC04-47D4-A020-2DA0B735A806} - System32\Tasks\{74891E2E-78F0-4BC3-839E-C35CCC52EFF1} => pcalua.exe -a C:\Users\Asus\Downloads\vcredist_x64.exe -d C:\Users\Asus\Downloads Task: {99E34E74-335D-49E0-B42F-1AB23587BAA9} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {9A5F3602-B241-4F25-8FEC-C7A8AF708CE7} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: {B3622A0F-811C-4185-8667-FB2517E8E463} - System32\Tasks\{1F129768-E620-4432-BACD-1119559300A9} => pcalua.exe -a C:\Users\Asus\Downloads\RegCleaner.exe -d C:\Users\Asus\Downloads Task: {EAB43CE4-EAB6-4A51-9A1D-91A3B169BB62} - System32\Tasks\{F3BD02B1-09AE-4C37-9853-63AA4B91E3CD} => pcalua.exe -a E:\FreePrimoPDF32Setup.exe -d E:\ Task: {F96D6F67-F4A0-407C-AC35-A91FE6998E41} - System32\Tasks\CoolTools => c:\programdata\{bf8bf7dd-08f6-f056-bf8b-bf7dd08fdf74}\21e1.exe Task: C:\Windows\Tasks\CoolTools.job => c:\programdata\{bf8bf7dd-08f6-f056-bf8b-bf7dd08fdf74}\21e1.exe HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" HKLM-x32\...\Run: [ASUS Screen Saver Protector] => C:\Windows\AsScrPro.exe Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] ShellExecuteHooks-x32: - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - Brak pliku [ ] ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 1 (GFS Unread Stub)] -> {99FD978C-D287-4F50-827F-B2C658EDA8E7} => Brak pliku ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 2 (GFS Stub)] -> {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} => Brak pliku ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)] -> {920E6DB1-9907-4370-B3A0-BAFC03D81399} => Brak pliku ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 3 (GFS Folder)] -> {16F3DD56-1AF5-4347-846D-7C10C4192619} => Brak pliku ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 4 (GFS Unread Mark)] -> {2916C86E-86A6-43FE-8112-43ABE6BF8DCC} => Brak pliku BootExecute: autocheck autochk * sdnclean64.exe S3 Microsoft SharePoint Workspace Audit Service; Brak ImagePath S3 MBAMSwissArmy; Brak ImagePath S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 SANDRA; \??\C:\Program Files (x86)\SiSoftware\SiSoftware Sandra Standard 2004 (Win32 x86)\sandra.sys [X] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia OPR StartupUrls: "hxxp://www.yandex.ru/?win=196&clid=2233244-169" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130978003549404037&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130978003553864292&GUID=00000000-0000-0000-0000-000000000000 HKU\S-1-5-21-3061505195-1876517776-3165528320-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130978003553934296&GUID=00000000-0000-0000-0000-000000000000 FF Plugin-x32: @java.com/DTPlugin,version=11.31.2 -> C:\Program Files (x86)\Java\jre1.8.0_31\bin\dtplugin\npDeployJava1.dll [brak pliku] FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2015-02-10] (Microsoft Corporation) FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL [brak pliku] FF user.js: detected! => C:\Users\Asus\AppData\Roaming\Mozilla\Firefox\Profiles\5bhilbg6.default-1378741043584\user.js [2015-09-09] FF SearchPlugin: C:\Users\Asus\AppData\Roaming\Mozilla\Firefox\Profiles\5bhilbg6.default-1378741043584\searchplugins\yandex.ru-221713.xml [2015-10-02] FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files (x86)\T-Mobile\InternetManager_Z\Bin\addon => nie znaleziono DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Recuva Packages DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files (x86)\Lenovo C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\{EC8EAC95-AB39-4699-974D-A45DFE7C2764} C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Finale 2003\QuickStart Video Tips.lnk C:\Users\Asus\AppData\Local\ACCCx2_5_1_369.2.zip.aamdownload C:\Users\Asus\AppData\Local\ACCCx2_5_1_369.2.zip.aamdownload.aamd C:\Users\Asus\AppData\Local\Lenovo C:\Users\Asus\AppData\Roaming\Microsoft\Word\R-11-07303996293293031229\R-11-07.doc.lnk C:\Users\Asus\Desktop\GG dysk.lnk C:\Users\Asus\Downloads\*sciagnij.exe C:\Users\Asus\Favorites\GG dysk.lnk C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\REACHit Drive.lnk C:\Windows\System32\Tasks\Lenovo CMD: netsh advfirewall reset Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, bez Shortcut. Dołącz też plik fixlog.txt.

DamnSlayer, zamiast spekulować, po prostu sprawdź inną klawiaturę (choćby pożyczoną) czy zachowuje się podobnie. Moim zdaniem to wygląda na problem klawiatury. W raportach nie widzę nic co mogłoby generować taki efekt od strony procesów. A DelFix wykonał zadanie. Skasuj z dysku plik raportu C:\delfix.txt.

Temat doprowadzam do porządku. Zmieniam tytuł tematu ze "sprawdzania logów" na odpowiedniejszy do działu - w zasadach o tym jest. Zbędne posty usuwam. Nie ma żadnych raportów co konkretnie i gdzie wykrył antywirus, czy to na pewno był Sality oraz w jakim zakresie. Przedstaw wyciągi z antywirusa. A w podanych tu raportach FRST i GMER nie widać żadnych oznak infekcji Sality. Z tym, że te raporty to tylko bardzo powierzchowne sprawdzanie, przy infekcji Sality od oceny stanu plików jest antywirus. Nawiasem mówiąc, MBAM nie jest antywirusem i jego operacje z elementami Sality są mocno limitowane (nie leczy plików). Jak mówię, na razie nie wiadomo dokładnie co wykrył antywirus. Natomiast widzę mocno podejrzane zadanie w Harmonogramie udające "IntelMemoryDiagnostic". Toteż doczyszczanie tego oraz wpisów pustych: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {16D4DA97-DADA-4C58-8AA4-D7655A717A26} - System32\Tasks\IntelMemoryDiagnostic => C:\Users\kaczka2\AppData\Roaming\d3dx10.exe [2015-08-13] () Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PAexec => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PAexec => ""="Service" HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = S4 vdrive; system32\DRIVERS\vdrive.sys [X] C:\ProgramData\TEMP C:\Users\kaczka2\AppData\Local\Microsoft\Windows\GameExplorer\{D519DE35-C430-43E3-86C6-6D769018A1B1} C:\Users\kaczka2\AppData\Local\Microsoft\Windows\GameExplorer\{C7274BDF-9466-45E5-9423-39F77AF98509} C:\Users\kaczka2\AppData\Local\Microsoft\Windows\GameExplorer\{93272364-096C-4796-BB74-110451787421} C:\Users\kaczka2\AppData\Roaming\d3dx10.exe C:\Users\kaczka2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GameSub C:\Users\kaczka2\AppData\Roaming\Opera Software C:\Users\kaczka2\Desktop\Nowy folder\Profile — skrót.lnk C:\Users\kaczka2\Desktop\Nowy folder (2)\RLD! — skrót.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Tencent jest w pełni zainstalowany - multum obiektów startowych, w tych te odnawiające modyfikacje / "reinstalujące" komponenty. Prócz Tencent, także inne szkodniki. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe S2 GoogleChromeUpService; C:\ProgramData\service.exe [1755136 2016-04-27] () [brak podpisu cyfrowego] S2 GoogleChromeUpSvc; C:\ProgramData\Windows Update\svrupg.exe [2783744 2016-05-07] (TODO: ) [brak podpisu cyfrowego] S2 lrcReportsService; C:\Program Files (x86)\Lorckphsary\lrcReportsService.exe [1005736 2016-05-06] () R2 QQPCRTP; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCRTP.exe [313936 2016-05-08] (Tencent) U2 QQRepair1f75; C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepair1f75 [136512 2016-05-08] () S2 QQRepairFixSVC; C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\QQRepairFixSVC [136512 2016-05-08] () R1 QMUdisk; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMUdisk64.sys [184952 2016-04-18] (Tencent) R2 QQSysMonX64; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQSysMonX64.sys [154744 2016-05-08] (电脑管家) R1 softaal; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\softaal64.sys [44664 2016-05-08] (Tencent) R1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\SRepairDrv [168568 2016-05-08] () R3 TAOAccelerator; C:\Windows\system32\Drivers\TAOAccelerator64.sys [99480 2016-05-08] (Tencent) R1 TAOKernelDriver; C:\Windows\system32\Drivers\TAOKernel64.sys [147576 2016-05-08] (Tencent Technology(Shenzhen) Company Limited) R3 TFsFlt; C:\Windows\System32\Drivers\TFsFltX64.sys [97400 2016-05-08] (电脑管家) R1 TSDefenseBt; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSDefenseBT64.sys [28984 2016-05-08] (Tencent) R2 tsnethlpx64; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys [57976 2016-05-08] () R3 TSSKX64; C:\Windows\System32\drivers\tsskx64.sys [54904 2016-05-08] (电脑管家) R1 TSSysKit; C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSSysKit64.sys [96888 2016-05-08] (电脑管家) S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM-x32\...\Run: [tasklist] => C:\Users\HOLYEM~1\AppData\Local\Temp\28565\tasklist HKLM-x32\...\Run: [ QQPCTray] => C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCTray.exe [362304 2016-05-08] (Tencent) ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMGCShellExt64.dll [2016-05-08] (Tencent) BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSWebMon64.dat [2016-05-08] (Tencent) Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CodecPackUpdateChecker.lnk [2014-07-26] BootExecute: Task: {2B9F9597-A439-4A05-BA64-BC748F5CF1F4} - System32\Tasks\{E7AC9377-C964-4B3F-A37B-88299B43EC22} => pcalua.exe -a "C:\Users\Holy Emperor\Desktop\seba86mu ModPack (0.9.10 v8) + XVM 6.1.4.2.exe" -d "C:\Users\Holy Emperor\Desktop" Task: {34B42ABB-F17D-464E-857F-C8B8FA3B09F6} - System32\Tasks\{1FD127C0-9FA6-429F-8147-C848062854A8} => pcalua.exe -a "C:\Users\Holy Emperor\Desktop\intel_sct\intel_sct_9\Setup.exe" -d "C:\Users\Holy Emperor\Desktop\intel_sct\intel_sct_9" Task: {6818633B-413F-4265-ACB1-9EC9F70CE4EF} - System32\Tasks\Lorckphsary Reports => C:\Program Files (x86)\Lorckphsary\lrcReportsTask.exe [2016-05-06] () Task: {762815A5-7F8E-4CB5-AD94-D123F0F9D6F2} - System32\Tasks\{507F26FF-B854-4BF7-9C1D-3596555B0027} => pcalua.exe -a "C:\Users\Holy Emperor\Desktop\MMD3 PL.exe" -d "C:\Users\Holy Emperor\Desktop" Task: {A20D3C18-974F-4ABD-BECE-79B4BF3C1E21} - \GoogleUpdateTaskMachineUA -> Brak pliku FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2012-10-01] (Microsoft Corporation) FF Plugin-x32: @qq.com/QQPCMgr -> C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\npQMExtensionsMozilla.dll [2016-05-08] (Tencent Technology (Shenzhen) Company Limited) FF Plugin HKU\S-1-5-21-3489827281-3978022601-1105995746-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Tencent DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{63332668-8CE1-445D-A5EE-25929176714E} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{B7667919-3765-4815-A66D-98A09BE662D6} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{D4801E96-E7A1-45F6-B124-7A36DFB40B81} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{E52EB753-1F56-4DF7-BE53-2C314AC5F8A1} DeleteKey: HKLM\SOFTWARE\Classes\PCMgrRepairIEExtensions DeleteKey: HKLM\SOFTWARE\Classes\qmbfile DeleteKey: HKLM\SOFTWARE\Classes\qmgcfiles DeleteKey: HKLM\SOFTWARE\Classes\qpakfile DeleteKey: HKLM\SOFTWARE\Classes\QQPCMgr.qbox DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{35627C7C-DB28-4772-9A6F-7607FFCBF9FF} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{445E3964-15B0-472A-95F4-6242DD2EA066} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{C049F583-D724-4BAB-8F47-F13BCA41B808} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{29B6CFD5-0064-411A-8C42-9890C83F9921} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{63332668-8CE1-445D-A5EE-25929176714E} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{70DE12EA-79F4-46bc-9812-86DB50A2FD64} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{E52EB753-1F56-4DF7-BE53-2C314AC5F8A1} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{35627C7C-DB28-4772-9A6F-7607FFCBF9FF} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{445E3964-15B0-472A-95F4-6242DD2EA066} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{C049F583-D724-4BAB-8F47-F13BCA41B808} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81} DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\msiql DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tasklist DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{16EE6530-8649-4F42-A9E4-F6A3295AF975} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\tencentdl_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\tencentdl_RASMANCS DeleteKey: HKLM\SOFTWARE\Wow6432Node\Tencent DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QMUDISK DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAOACCELERATOR DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAOKERNELDRIVER DeleteKey: HKU\QMConfig Reg: reg add HKLM\SOFTWARE\Classes\Unknown\shell\openas\command /ve /t REG_EXPAND_SZ /d "%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" /f Reg: reg add HKLM\SOFTWARE\Classes\Unknown\shell\opendlg\command /ve /t REG_EXPAND_SZ /d "%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" /f Reg: reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" /v PendingFileRenameOperations /t REG_MULTI_SZ /d "" /f CMD: for %i in ("C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\*.dll") do regsvr32 /s /u %i CMD: netsh advfirewall reset C:\Program Files\Common Files\Tencent C:\Program Files (x86)\Firewatch C:\Program Files (x86)\hohobnd C:\Program Files (x86)\Lorckphsary C:\Program Files (x86)\osTip C:\Program Files (x86)\Tencent C:\Program Files (x86)\Common Files\Tencent C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\*.* C:\ProgramData\Tencent C:\ProgramData\Thunder Network C:\ProgramData\TXQMPC C:\ProgramData\Windows Update C:\Users\Holy Emperor\AppData\Roaming\Tencent C:\Users\Holy Emperor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Holy Emperor\Downloads\CCleaner-13061-dp.exe C:\Users\Holy Emperor\Downloads\yet_another_cleaner_sk_5721297.exe C:\Users\Holy Emperor\Downloads\yet_another_cleaner_sk_5721297 (1).exe C:\Users\Public\Desktop\软件管理.lnk C:\Users\Public\Documents\dmp C:\Users\Public\Thunder Network C:\Windows\system32\Drivers\TAOKernel64.sys C:\Windows\system32\Drivers\TAOAccelerator64.sys C:\Windows\system32\Drivers\TFsFltX64.sys C:\Windows\system32\Drivers\TSSKX64.sys Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut oraz wyszukiwanie w rejestrze na warunki: Tencent;QQPCMgr Dołącz też plik fixlog.txt.

Skróty LNK Internet Explorer są zmodyfikowane. Ustawienia Google Chrome są zablokowanie na bazie polityk oprogramowania. Ponadto, uruchamia się szkodliwy klon jIxmRfR ze zintegrowanym adware, symulujący Chrome. Przejął skróty Google Chrome. Działania wstępne: 1. Deinstalacje: - Odinstaluj stare wersje, zbędne programy i adware: Adobe Flash Player 10 ActiveX, Adobe Shockwave Player 12.1, HP Customer Participation Program 13.0, Java 7 Update 55, Java 8 Update 25, qksee (adware), SpyHunter 4 (wątpliwy skaner), WinZip (adware). - Jeśli będzie jakiś problem z deinstalacją SpyHunter, skorzystaj z narzędzia SpyHunterCleaner. Narzędzie to możesz zastosować też w przypadku pomyślnej deinstalacji wstępnej, by ewentualnie doczyściło śmieci. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 jIxmRfR_protect; C:\ProgramData\jIxmRfR\protect\protect.exe [303016 2016-04-21] () [brak podpisu cyfrowego] S2 jIxmRfR_update; C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe [473000 2016-04-21] () [brak podpisu cyfrowego] S2 qkseeService; C:\Program Files (x86)\qksee\qkseeSvc.exe [706200 2016-04-08] () [brak podpisu cyfrowego] S2 yahoochromebase; C:\ProgramData\desktopfind\desktop264.exe [236728 2016-04-26] () [brak podpisu cyfrowego] S2 Update Deal Keeper; "C:\Program Files (x86)\Deal Keeper\updateDealKeeper.exe" [X] S2 Update webget; "C:\Program Files (x86)\webget\updatewebget.exe" [X] S2 Util webget; "C:\Program Files (x86)\webget\bin\utilwebget.exe" [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] Task: {1743F810-1A9C-471B-B74D-CA9966785846} - System32\Tasks\jIxmRfRBrowserUpdateCore => C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe [2016-04-21] () Task: {7A58338A-42A6-4E31-B1BC-FE5D4DFCF8F6} - System32\Tasks\{78EF3320-0F40-4E0E-90D0-D8F74DD11686} => pcalua.exe -a "D:\DIVIX\Battlefield 3\Uninstall.exe" Task: {BF64BA00-7BE6-4A0D-BAB3-9022CC73459F} - System32\Tasks\jIxmRfRBrowserUpdateUA => C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe [2016-04-21] () Task: {C56C7E10-6EB4-49AE-A3B6-0574F75276C7} - System32\Tasks\{1B431ECE-D3AB-4D8F-90E9-77EBB2811F6E} => pcalua.exe -a D:\sterowniki\Intel_RST_MB\iata_cd.exe -d D:\sterowniki\Intel_RST_MB Task: {CD413636-A128-4353-8B17-5E38313A3B34} - System32\Tasks\jIxmRfRCheckTask => C:\Program Files (x86)\jIxmRfR\jIxmRfR\bin\jIxmRfR_server.exe [2016-04-21] () Task: {EB31AB58-2C5B-4592-829F-6C4954BDBC8D} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\F5EE5C1372915DBD060FB9D94DD04E0C\Update\BrowserUpdate.exe [2016-04-08] (Tencent) Task: {F30DE50F-6E5C-447C-B745-900EC9A2ADB7} - \WinTaske -> Brak pliku HKLM-x32\...\Run: [] => [X] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR StartupUrls: Profile 4 -> "hxxp://www.nicesearches.com?type=hp&ts=1461584889&from=86490425&uid=wdcxwd5000azrx-00a8lb0_wd-wmc1u360611406114&z=f6f3d7335db344eabb810bbg1z4q2gew4b3zdbbbeb" CHR DefaultSearchURL: Profile 4 -> hxxp://gomovix.searchalgo.com/search/?category=web&s=rvds&q={searchTerms} CHR DefaultSearchKeyword: Profile 4 -> goMovix CHR DefaultSuggestURL: Profile 4 -> hxxp://sug.searchalgo.com/search/index_sg.php?q={searchTerms} CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-07-20] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3796836612-2775900645-2379586109-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131044291765428732&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131044291765428732&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.qone8.com/web/?type=ds&ts=1400942713&from=smt&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U360611406114&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://start.qone8.com/?type=hp&ts=1400942713&from=smt&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U360611406114 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.qone8.com/web/?type=ds&ts=1400942713&from=smt&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U360611406114&q={searchTerms} HKU\S-1-5-21-3796836612-2775900645-2379586109-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=128&systemid=488&v=a12834-364&apn_uid=1192091334964534&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=128&systemid=488&v=a12834-364&apn_uid=1192091334964534&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKU\S-1-5-21-3796836612-2775900645-2379586109-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-3796836612-2775900645-2379586109-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-3796836612-2775900645-2379586109-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.qone8.com/web/?type=ds&ts=1400942713&from=smt&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U360611406114&q={searchTerms} SearchScopes: HKU\S-1-5-21-3796836612-2775900645-2379586109-1000 -> {6C1813C9-A36D-40E9-AE97-7C47002F1EDB} URL = hxxp://q.search-simple.com/?affID=na&q={searchTerms}&r=101 SearchScopes: HKU\S-1-5-21-3796836612-2775900645-2379586109-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=128&systemid=488&v=a12834-364&apn_uid=1192091334964534&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} BHO-x32: Brak nazwy -> {dc264a72-fa75-4948-b881-ea8eff8e5dd2} -> Brak pliku CustomCLSID: HKU\S-1-5-21-3796836612-2775900645-2379586109-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\dom\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku ShortcutWithArgument: C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1400942713&from=smt&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U360611406114 ShortcutWithArgument: C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1400942713&from=smt&uid=WDCXWD5000AZRX-00A8LB0_WD-WMC1U360611406114 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main C:\Program Files (x86)\jIxmRfR C:\Program Files (x86)\qksee C:\Program Files (x86)\QQBrowser C:\Program Files (x86)\SearchesToYesbnd C:\Program Files (x86)\WinZipper C:\ProgramData\desktopfind C:\ProgramData\ewinpe C:\ProgramData\jIxmRfR C:\ProgramData\Microsoft\Windows\GameExplorer\{5142FAD6-040E-4189-A180-ECBDB74C1643} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\qksee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk C:\Users\dom\AppData\Local\jIxmRfR C:\Users\dom\AppData\Local\Mozilla C:\Users\dom\AppData\Local\Google\Chrome\User Data\Default C:\Users\dom\AppData\Local\Microsoft\Windows\GameExplorer\{CF47B737-300F-442F-A760-E4049F394573} C:\Users\dom\AppData\Local\Microsoft\Windows\GameExplorer\{E488E077-E9C1-4B6B-B323-0D84F7A3E692} C:\Users\dom\AppData\Roaming\eCyber C:\Users\dom\AppData\Roaming\Mozilla C:\Users\dom\AppData\Roaming\qksee C:\Users\dom\AppData\Roaming\TSv C:\Users\dom\AppData\Roaming\WinZiper C:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\48499db33039e897\Google Chrome.lnk C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee.lnk C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Wolfenstein - The New Order.lnk C:\Users\dom\Downloads\sh-remover.exe C:\Users\dom\Downloads\SpyHunter-Installer.exe C:\Users\dom\Pictures\Microsoft Office\*.lnk C:\Users\dom\Pictures\Microsoft Office\Narzędzia pakietu Microsoft Office 2010\*.lnk C:\Users\Public\Desktop\qksee.lnk C:\Users\Public\Documents\jIxmRfR C:\Windows\system32\log C:\Windows\SysWOW64\pl.html CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj adware/PUP: EasyPDFCombine, goMovix (o ile już samodzielnie nie zniknie). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dodatkowo, uruchom FRST ponownie, w polu Szukaj wklej co poniżej, klik w Szukaj w rejestrze i dostarcz wynikowy log. jIxmRfR Dołącz też plik fixlog.txt.

Posługujesz się starą wersją FRST sprzed prawie pół roku. Od tego czasu multum wersji. Pobierz najnowszą z podanego przeze mnie przyklejonego tematu.

Komunikat mówi, że plik XP jest za stary, nie posiada funkcji wymaganej przez Operę. I wygląda na to, że Opera nie działa już na XP. Oficjalne wymagania to Windows 7 i nowsze. Opera 37 jest oparta na silniku Chromium 50 (od Google, ten sam co w Google Chrome). Google oficjalnie w kwietniu odcięło systemy XP i Vista, nie jest już możliwa instalacja na tych systemach, ostatnia działająca na tych systemach wersjach to któryś build 49.x. To właśnie wtedy wydano Google Chrome 50 oparte na Chromium 50, pozbawione obsługi XP i Vista. Wygląda na to, że w Chromium 50 wprowadzili jakieś "niekorzystne" dla XP zmiany i każda przeglądarka używająca tej samej wersji silnika będzie podobnie się zachowywać. EDIT: Sprawdź czy się uruchomi instalator wersji Opera 36.

Myślę, że nie ma sensu reinstalować, skoro naprawy zaszły już tak daleko. Resztę jestem w stanie naprawić, ale to wymaga po prostu więcej czasu (skompletowanie idealnych wersji komponentów do obu typów napraw). Nie jestem w stanie tego zrobić szybko, a teraz już wychodzę z domu i mnie nie będzie być może nawet do jutra, zaś jutro mam ważne spotkanie rodzinne.

Narzędzie wykryło 17 błędów, naprawiło 10 z nich. Brakuje niektórych komponentów naprawczych, by zlikwidować pozostałe odczyty. Ręczna próba naprawy tych rekordów z CheckSur oraz niepowtarzających się rekordów z wcześniejszego skanu SFC to już grubsza robota. Nie wiem kiedy będę mogła się tym zająć.

WMI w końcu naprawione, w Addition nie ma już komunikatu "Sprawdź usługę "winmgmt" lub napraw WMI", a z Dziennika zdarzeń zniknęły wszystkie poprzednie błędy WMI. Wprawdzie WmiDiag teraz zgłasza kilka błędów typu WBEM_E_NOT_FOUND, ale nie wiem czy brać to serio, gdyż wcześniejszy pobór danych poleceniem winmgmt /verifyrepository podawał "Repozytorium jest spójne". W Dzienniku zostały te błędy już innego typu: Dziennik Aplikacja: ================== Error: (05/07/2016 01:04:11 PM) (Source: Winlogon) (EventID: 4103) (User: ) Description: Aktywacja licencji systemu Windows nie powiodła się. Błąd 0x80070005. Error: (05/07/2016 12:52:38 PM) (Source: Windows Search Service) (EventID: 10021) (User: ) Description: Nie można uzyskać informacji rejestru licznika wydajności dla elementu WSearchIdxPi w wystąpieniu z powodu następującego błędu: Operacja ukończona pomyślnie. 0x0. Error: (05/07/2016 12:52:36 PM) (Source: Windows Search Service) (EventID: 3007) (User: ) Description: Nie można zainicjować monitorowania wydajności dla obiektu programu zbierającego, ponieważ liczniki nie są załadowane lub nie można otworzyć obiektu pamięci współużytkowanej. Wpływa to tylko na dostępność liczników monitora wydajności. Uruchom ponownie komputer. Kontekst: aplikacja , wykaz SystemIndex Error: (05/07/2016 12:52:36 PM) (Source: Windows Search Service) (EventID: 3006) (User: ) Description: Nie można zainicjować monitorowania wydajności dla usługi zbierającej, ponieważ liczniki nie są załadowane lub nie można otworzyć obiektu pamięci współużytkowanej. Wpływa to tylko na dostępność liczników monitora wydajności. Uruchom ponownie komputer. Pierwszy to wiadomo = crack aktywacji. Pozostałe próbowałam już naprawić przebudową liczników WSearchIdxPi, ale nie widzę efektów. Ten wątek zostawiam sobie na potem.

1. Uruchom ponownie AdwCleaner, po kolei wybierz opcje Skanuj + Usuń. Po czyszczeniu jeszcze przez SHIFT+DEL (omija Kosz) dokasuj te foldery z dysku: C:\Program Files (x86)\lavasoft C:\ProgramData\lavasoft C:\Users\Mikołaj\AppData\Roaming\lavasoft 2. Ręcznie usuń z folderu Downloads\fixit FRST i jego logi. Następnie Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. Wymień też Java najnowszą werją. To wszystko w zakresie czyszczenia systemu.

Wszystkie widoczne obiekty adware usunięte. Teraz uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Jeśli efekt nadal występuje, to zdecydowanie obstawiam klawiaturę. Wypadałoby sprawdzić jak się zachowuje inna klawiatura podpięta pod ten system.

Pomimo wyrzucenia niedomyślnych danych z klucza Svchost, WmiDiag nadal czepia się tej konfiguracji: .1764 12:24:07 (2) !! WARNING: WMI registry setup: ........................................................................................ INVALID HOSTING SETUP! .1765 12:24:07 (0) ** => The WMI service must be configured to run as a STANDALONE service host or .1766 12:24:07 (0) ** as a SHARED service host but the (SvcHost) configuration contains invalid information. I też mnie dziwią niektóre niepowiązane z WMI błędy w Dzienniku, niektórych nie powinno być po w/w naprawach. Kolejne podejście: 1. Do Notatnika wklej: CMD: rundll32 C:\WINDOWS\system32\wbem\WMIsvc.dll,MoveToShared Zapisz jako fixlist.txt tam gdzie siedzi FRST, w FRST klik w Napraw (Fix). Przedstaw fixlog.txt. 2. Wyczyść Dzienniki zdarzeń. Zresetuj system. Wygeneruj świeże logi: Addition oraz WmiDiag. To jest po to, by ograniczyć ładowanie określonych logów.

Wstępnie przeprowadź przebudowę wartości Config. Otwórz Notatnik i wklej w nim: Reg: reg export HKLM\SYSTEM\CurrentControlSet\Control\Network C:\Users\work\Desktop\backup.reg Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Network /v Config /f Reboot: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart systemu. Przedstaw wynikowy fixlog.txt. Wypowiedz się czy widzisz zmiany.

Ja miałam na myśli, że to zrobi podany skrypt FRST drukujący klucz Network z rejestru. A na analizę danych potrzebuję więcej czasu.

Przedstaw raport z FRST pokazujący jakie wtyczki są ładowane w Firefox oraz jakie ogólnie programy są aktywne w tle. Zresetuj wszystkie zmiany do poziomu domyślnego.

W wynikach nienaprawione rekordy, dwa typy: pliki DLL/MUI oraz manifesty. Pod kątem odczytów relatywnych do manifestów: Uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. Gdy skan ukończy się, przekopiuj plik C:\Windows\Logs\CBS\Checksur.log. Zmień mu ręcznie rozszerzenie z *.log na *.txt i dostarcz w załącznikach.

Jeśli chodzi o "brak implementacji usługi", to widzę że w kluczu svchost (we wszystkich kopiach rejestru) są dodane dziwne definicje, domyślnie brak takich elementów usługi winmgmt: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost] "winmgmt"=hex(7):77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\winmgmt] "CoInitializeSecurityParam"=dword:00000001 "CoInitializeSecurityAppID"="{8BC3F05E-D86B-11D0-A075-00C04FB68820}" "AuthenticationLevel"=dword:00000004 "ImpersonationLevel"=dword:00000002 "AuthenticationCapabilities"=dword:00003020 To odpowiada też temu zgłoszeniu z WmiDiag: .1095 12:35:48 (4) Reading registry (REG_MULTI_SZ) 'HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\winmgmt'. .1096 12:35:48 (2) !! WARNING: 'Windows Management Instrumentation' (WINMGMT) is running as a STANDALONE HOST SERVICE. Natomiast inne rzeczy z WmiDiag wyglądają na nieistotne. Do zignorowania wszystkie błędy WMI service DCOM setup i DCOM Security, mam identyczne odczyty na moim Windows 7 z nienaruszonym WMI. A ten odczyt nie wiem skąd generowany: ..133 12:35:47 (0) ** Verifying Auto-Recovery MOF files presence. ..134 12:35:47 (1) !! ERROR: (CheckMOFFilesPresence) : 0x1A8 - Wymagany jest obiekt. 'Autorecover MOFs' registry key is missing or is access denied. W Twoim rejestrze w kluczu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\CIMOM jest wartość "Autorecover MOFs" z listą plików MOF i nie widzę też problemu z uprawnieniami... Spróbuj przywrócić elementy do stanu domyślnego. Przy okazji zadam też przebudowę liczników WSearchIdxPi (były błędy w Addition wcześniej, w rejestrze klucz WSearchIdxPi nie ma danych o licznikach) i likwidację błędów związanych z wyłączeniem usługi Serwer. 1. Wyczyść Dzienniki zdarzeń jak wcześniej podane: Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. Rozwiń gałąź Dzienniki systemu Windows i z prawokliku Wyczyść Aplikacja oraz System. 2. Do Notatnika wklej: Reg: reg delete HKLM\SOFTWARE\Classes\AppID\{8BC3F05E-D86B-11D0-A075-00C04FB68820} /v EndPoints /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost" /v winmgmt /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\winmgmt" /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\services\Winmgmt\Security /f CMD: lodctr C:\Windows\inf\wsearchidxpi\0000\idxcntrs.ini CMD: lodctr C:\Windows\inf\wsearchidxpi\0415\idxcntrs.ini CMD: winmgmt /resyncperf CMD: winmgmt /verifyrepository CMD: sc config LanmanServer start= auto Zapisz jako fixlist.txt tam gdzie siedzi FRST, w FRST klik w Napraw (Fix). Przedstaw fixlog.txt. 3. Wykonaj ręczny restart systemu. Zrób nowy log FRST Addition (i tylko Addition dostarcz) oraz log z WmiDiag.