picasso

Raporty FRST skonfigurowane niezgodnie z ustawieniami forum, opcje Lista BCD, MD5 sterowników oraz Pliki z 90 dni nie miały być zaznaczone. Masa zbędnych danych, które służą do analizy rzeczy bardzo rzadko już tu występujących. Te "4 rootkity" to raczej fałszywe alarmy. GMER oznacza komponenty stricte systemowe (usługi Instalator Modułów Windows + Windows Defender) jako "rootkit", a taki odczyt m.in. może występować jeśli system jest mało responsywny / bardzo obciążony. Service C:\WINDOWS\servicing\TrustedInstaller.exe (*** hidden *** ) [AUTO] TrustedInstaller Service C:\WINDOWS\system32\drivers\WdBoot.sys (*** hidden *** ) [bOOT] WdBoot Service C:\WINDOWS\system32\drivers\WdFilter.sys (*** hidden *** ) [bOOT] WdFilter Service C:\Program Files (x86)\Windows Defender\MsMpEng.exe (*** hidden *** ) [AUTO] WinDefend Natomiast w raportach FRST owszem widać elementy infekcji: HKU\S-1-5-21-1292469835-3904043757-2447316924-1001\...\Run: [spoolsv32] => "C:\WINDOWS\system32\javaw.exe" -jar "C:\Users\Ewelina\AppData\Roaming\Win32\spoolsv32.jar" Dodatkowo, są ślady instalacji programu śledzącego w typie Mini Monitoring / Oko szefa - czy to była celowa instalacja? HKLM-x32\...\Run: [dtmcfg] => C:\Pliki Systemowe\Nod\x94\dtmcfg\dtmcfg.exe [1304576 2010-05-31] (Dyzmond Software) Ale te elementy nie mają związku z obciążeniem, one zostały już wyłączone za pomocą Menedżera zadań Windows 10. Wysokie obciążenie to raczej z powodu katastrofy w antywirusach, tu działają wspólnie: majdan AVG z niepoprawnie odinstalowanym ESET, a na dokładkę jeszcze lewy skaner SpyHunter 4. Są też odpadkowe sterowniki po odinstalowanym MBAM. [hr] Czyli następujące operacje do wdrożenia: 1. Wejdź w Tryb awaryjny Windows. Zastosuj ESET Uninstaller. 2. Opuść Tryb awaryjny. Klawisz z flagą Windows + X > odinstaluj stare wersje i zbędne aplikacje: Adobe Reader X (10.1.12) MUI, AVG Web TuneUp, Java 7 Update 45 (64-bit), Java 7 Update 67, SpyHunter 4. Jeśli będzie jakiś problem z deinstalacją SpyHunter, skorzystaj z narzędzia SpyHunterCleaner. 3. Doczyszczanie głównie wpisów szczątkowych / pustych. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [dtmcfg] => C:\Pliki Systemowe\Nod\x94\dtmcfg\dtmcfg.exe [1304576 2010-05-31] (Dyzmond Software) Winlogon\Notify\igfxcui: igfxdev.dll [X] HKLM\...\Policies\Explorer\Run: [btvStack] => C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe HKU\S-1-5-21-1292469835-3904043757-2447316924-1001\...\Run: [spoolsv32] => "C:\WINDOWS\system32\javaw.exe" -jar "C:\Users\Ewelina\AppData\Roaming\Win32\spoolsv32.jar" HKU\S-1-5-21-1292469835-3904043757-2447316924-1001\...\Run: [Mobile Partner] => C:\Michał\net\Huawei E5372\Huawei E5372 HKU\S-1-5-21-1292469835-3904043757-2447316924-1001\...\Policies\system: [DisableLockWorkstation] 0 S3 MBAMProtector; C:\WINDOWS\system32\drivers\mbam.sys [25816 2015-10-05] (Malwarebytes) S3 MBAMWebAccessControl; C:\WINDOWS\system32\drivers\mwac.sys [64216 2015-10-05] (Malwarebytes Corporation) Task: {15975FC2-5B99-4383-9B25-15AA19F9F119} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {2A6FA746-EB11-4570-BC22-469993C1013D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {2CC9561D-3A76-422E-92E2-DBDC12D77442} - System32\Tasks\{C92E8478-8A1B-4260-9F34-2208E48FC04A} => pcalua.exe -a C:\Users\Ewelina\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {4A346F29-9A1F-4170-AC6C-548A483D37ED} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {56D6AF1C-2A8A-43EF-B32A-C049B9BA6982} - System32\Tasks\SAgent => C:\Program Files\Samsung\S Agent\CommonAgent.exe Task: {5D81EFE7-157C-49DF-B9B2-CB0B8AE380CC} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {68FB1AAE-B47A-4277-BF97-BD96C0E382F1} - System32\Tasks\{AF6DA228-E8C6-41F2-940A-CC5D7D3BB0F7} => pcalua.exe -a "C:\Users\Ewelina\AppData\Local\Europa Casino\internalEuropaSetupUninstall1389109868205_7f2d9b_pl.exe" -c /executeuninstall /trafficsource='caver3' /profile='nasdec' /userid='BEC57A6FA8B94421BD22FA925046BB5FUI' /skinid='new' Task: {768779C3-5474-4F17-8989-F74DD1E20EC8} - System32\Tasks\{DD7B7164-27AC-4565-B9B1-D33BD5CD1E95} => pcalua.exe -a "C:\Users\Ewelina\AppData\Local\Casino Tropez\internalTropezSetupUninstall1389092744832_b8b35_pl.exe" -c /executeuninstall /trafficsource='nokws' /profile='main' /userid='EBD63FB308FA42E59D2AEE043035711FUI' /skinid='new_icons' Task: {78A79BB3-898C-46DA-ACC9-5A0CBD07FB60} - System32\Tasks\{479D3E8A-4F12-4A79-B087-431F2D86E932} => pcalua.exe -a E:\autorun.exe -d E:\ Task: {7EB1AF35-A4DA-46EF-80E2-D19D9B1832C3} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {8A98AC78-7436-4386-8301-97D7C461D66F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {8D866BB0-ABE6-4A6D-985F-F037221E770D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {B4FA2981-E0F1-40DD-B0E9-5C30DFEAD341} - System32\Tasks\{6DA83E79-4B81-4235-A50B-1D8136A9B60E} => pcalua.exe -a "C:\Program Files (x86)\Image-Line\Shared\uninstall.exe" Task: {B670F1A1-0469-4E73-9A91-20E4CEFD8BC2} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {C5487043-BFB8-4950-833D-4BF8EEF66485} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {C74D8655-68A6-44B6-AFDD-2027ADD4043B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {C89D345F-6F07-4E63-96CF-6DDC6A140EFC} - System32\Tasks\{76BA7823-6504-4749-AEC9-8988F970AAE7} => pcalua.exe -a D:\SETUP.EXE -d D:\ Task: {CEA24034-8B61-4300-8876-9CCDD8BD91B7} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {D3374684-E6B4-4A61-9A0F-4DB8AB6165FA} - System32\Tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d-Logon Task: {D52743E4-45F4-4984-8789-94B094663400} - System32\Tasks\{7E90E837-52B3-4B5D-81F4-081969A70FA1} => pcalua.exe -a "C:\Users\Ewelina\Desktop\Tibia Map Installer.exe" -d C:\Users\Ewelina\Desktop Task: {D56326A5-290B-483F-A72B-A5CAD07C844A} - System32\Tasks\{DC67236D-08AD-4A49-A111-21C533702C4F} => pcalua.exe -a "C:\Program Files (x86)\Common Files\myCuteBuddy\Bootstrapper{4.wfBHCKiGLgWE12.102}.exe" Winsock: Catalog5 01 C:\WINDOWS\SysWOW64\napinsp.dll [55808 2015-10-30] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\napinsp.dll" Winsock: Catalog5 02 C:\WINDOWS\SysWOW64\pnrpnsp.dll [70656 2015-10-30] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\pnrpnsp.dll" Winsock: Catalog5 03 C:\WINDOWS\SysWOW64\pnrpnsp.dll [70656 2015-10-30] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\pnrpnsp.dll" Winsock: Catalog5 04 C:\WINDOWS\SysWOW64\NLAapi.dll [65024 2015-10-30] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5 05 C:\WINDOWS\SysWOW64\mswsock.dll [312160 2015-10-30] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5 06 C:\WINDOWS\SysWOW64\winrnr.dll [23552 2015-10-30] (Microsoft Corporation)UWAGA: LibraryPath powinno kierować na "%SystemRoot%\System32\winrnr.dll" CustomCLSID: HKU\S-1-5-21-1292469835-3904043757-2447316924-1001_Classes\CLSID\{444785F1-DE89-4295-863A-D46C3A781394}\InprocServer32 -> Brak ścieżki do pliku ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => Brak pliku GroupPolicy: Ograniczenia - Chrome HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-1292469835-3904043757-2447316924-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://mysearch.avg.com/?cid={F6612E51-E9EF-489D-8641-0BFF948889D6}&mid=7a80442b378d47cca1dcf1c0c2f5592d-5233c8df0424be70114540273ff17c4401ab22ac&lang=en&ds=AVG&coid=avgtbavg&cmpid=0216piz&pr=fr&d=2016-04-13 15:09:02&v=4.2.9.726&pid=wtu&sg=&sap=hp SearchScopes: HKU\S-1-5-21-1292469835-3904043757-2447316924-1001 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={F6612E51-E9EF-489D-8641-0BFF948889D6}&mid=7a80442b378d47cca1dcf1c0c2f5592d-5233c8df0424be70114540273ff17c4401ab22ac&lang=en&ds=AVG&coid=avgtbavg&cmpid=0216piz&pr=fr&d=2016-04-13 15:09:02&v=4.2.9.726&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-1292469835-3904043757-2447316924-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={F6612E51-E9EF-489D-8641-0BFF948889D6}&mid=7a80442b378d47cca1dcf1c0c2f5592d-5233c8df0424be70114540273ff17c4401ab22ac&lang=en&ds=AVG&coid=avgtbavg&cmpid=0216piz&pr=fr&d=2016-04-13 15:09:02&v=4.2.9.726&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-1292469835-3904043757-2447316924-1001 -> {F2E48B17-78B7-406A-BE47-7FB63603E514} URL = BHO: Brak nazwy -> {89BDDABE-B308-89D1-AB93-14E8F6D8CDB3} -> Brak pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v RGSC /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v AlcoholAutomount /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "BIL Start" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v spoolsv32 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v vilanscr.exe /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "CnxMon.exe " /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "EA Core" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v MyCuteBuddy /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Cudanv /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IgfxTray /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Persistence /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v egui /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe Reader Speed Launcher" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v CLMLServer_For_P2G8 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v CLVirtualDrive /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Intel AppUp(SM) center" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v RemoteControl10 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v WinPatrol /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "BIL Start" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v dtmcfg /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v vProt /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "McAfee Security Scan Plus.lnk" /f C:\Program Files (x86)\fwmdpwclxd C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Activision C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ivo C:\Users\Ewelina\AppData\Local\nsq925.tmp C:\Users\Ewelina\AppData\Local\Google C:\Users\Ewelina\AppData\Local\Mozilla C:\Users\Ewelina\AppData\Local\Sparta C:\Users\Ewelina\AppData\Roaming\*.* C:\Users\Ewelina\AppData\Roaming\Nature C:\Users\Ewelina\AppData\Roaming\PDEs C:\Users\Ewelina\AppData\Roaming\Pipe Organ C:\Users\Ewelina\AppData\Roaming\Mozilla C:\Users\Ewelina\AppData\Roaming\sparta111 C:\Users\Ewelina\AppData\Roaming\WarThunder C:\Users\Ewelina\AppData\Roaming\Win32 C:\Users\Ewelina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Sparta.lnk C:\Users\Ewelina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\Ewelina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sparta C:\Users\Ewelina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Tibia Map Viewer C:\Users\Ewelina\Documents\Bajki dla dzieci\YTD Video Downloader.lnk C:\Users\Ewelina\Documents\MAGIX\Video_deluxe_MX_Download_Version\Pokaz zdjęć z muzyką.lnk C:\Users\Ewelina\Documents\MAGIX\Video_deluxe_MX_Download_Version\_TV Anti Cropping.LNK C:\WINDOWS\msdownld.tmp C:\WINDOWS\system32\drivers\mbam.sys C:\WINDOWS\system32\drivers\mwac.sys C:\WINDOWS\SysWOW64\HRUPPROG.TXT C:\WINDOWS\SysWOW64\HRUPPROG.EXIT Hosts: CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. [Jeśli keylogger instalowany celowo, wykreśl ze skryptu linię z dtmcfg] Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wg wytycznych z forum, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy jest poprawa w działaniu.

1. Zrób nowe raporty FRST na następującym ustawieniu: odznaczone pola Usługi + Sterowniki, by pokazały się wszystkie obiekty. 2. Dodatkowo jeszcze podaj mi wyciąg z rejestru jak wyglądają klasy myszy i klawiatur (to pod kątem ewentualnych filtrów sprzętowych). Tzn. otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4d36e96f-e325-11ce-bfc1-08002be10318} /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{745a17a0-74d3-11d0-b6fe-00a0c90f57da} /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Zaprezentuj wynikowy fixlog.txt. 3. Wejdź na stronę producenta i wyszukaj jakie aktualizacje sterowników są dostępne dla Twojego modelu.

Czy sprawdzałeś ustawienia tej aplikacji co tam w ogóle jest? Jeśli chodzi o wyłączenie zaplanowanego zadania w Autoruns, to jeszcze musisz zresetować system, bo operacja nie odładowuje przecież już uruchomionych w tle procesów (aż trzy). Jeśli po restarcie też będzie problem, to do wypróbowania całkowita deinstalacja ASUS Smart Gesture, która powinna zlikwidować też powiązany sterownik Asusa filtrujący urządzenia. ==================== Procesy (filtrowane) ================= (AsusTek) C:\Program Files (x86)\ASUS\ASUS Smart Gesture\AsTPCenter\x64\AsusTPLoader.exe (AsusTek) C:\Program Files (x86)\ASUS\ASUS Smart Gesture\AsTPCenter\x64\AsusTPCenter.exe (AsusTek) C:\Program Files (x86)\ASUS\ASUS Smart Gesture\AsTPCenter\x64\AsusTPHelper.exe ===================== Sterowniki (filtrowane) ========================== R3 ATP; C:\Windows\System32\drivers\AsusTP.sys [97680 2015-08-23] (ASUS Corporation)

To w takim razie czy to przypadkiem nie jest problem gestu myszy/touchpada? Jedyne co w raporcie FRST się łączy z tym, to firmowy program ASUS Smart Gesture: ==================== Zainstalowane programy ====================== ASUS Smart Gesture (HKLM-x32\...\{4D3286A6-F6AB-498A-82A4-E4F040529F3D}) (Version: 4.0.5 - ASUS) ==================== Zaplanowane zadania (filtrowane) ============= Task: {97562B1C-0E40-4120-A8ED-4688D442B2C5} - System32\Tasks\ASUS Smart Gesture Launcher => C:\Program Files (x86)\ASUS\ASUS Smart Gesture\AsTPCenter\x64\AsusTPLauncher.exe [2015-08-23] (AsusTek) Sprawdź konfigurację tego oprogramowania. Sprawdź też czy problemy ustąpią po jego deaktywacji. To zadanie Harmonogramu "ASUS Smart Gesture Launcher" możesz wyłączyć za pomocą Autoruns (karta Scheduled Tasks).

Infekcji tu nie ma co szukać i całkowicie porzuć koncepcję "wirusa joke". Temat kwailifikuje się do innego działu, albo Windows 10, albo Hardware, na razie do Windows przenoszę pod bardziej dopasowanym do wątku tytułem. To wygląda na problem myszy. Czy przypadkiem tu nie występuje zjawisko nieumyślnych podwójnych klików jak w tym temacie: KLIK? Która metoda jest używana do przechodzenia w Tryb awaryjny? Czy problem występował przed instalacją ESET Smart Security? PS. Wątki poboczne: - Odinstaluj wątpliwy program Dll-Files Fixer. Tym to można sobie tylko zaszkodzić. Do rozwiązywania problemów z uszkodzonymi bibliotekami Windows służy narzędzie wbudowane w system: KLIK. - Widać, że pobierałeś z portalu dobreprogramy śmieciarskiego "Asystenta pobierania" - w Pobranych charakterystyczny plik DirectX-12667-dp.exe. Na temat "Asystenta": KLIK. - I jeszcze pokaż co za fixlist był wykonywany, bo mnie niepokoi ten wątek cóż takiego było robione.

Ale ja muszę widzieć raporty, służą one zresztą do oceny bardzo wielu aspektów, a nie tylko czy jest infekcja. Analiz z innego forum nie biorę też w ogóle pod uwagę i robię ją "na czysto" nie sugerowana innymi opiniami, muszę zobaczyć na własne oczy stan systemu.

Szkodliwe rekordy zniknęły. Na zakończenie: Zastosuj DelFix, a po jego użyciu wyczyść foldery Przywracania systemu: KLIK.

rokobokspl, mam wyraźnie napisane w profilu, że nie reaguję na PW, a piszę tu bo i tak miałam odpisać. I proszę o dostosowanie się do zasad działu, tzn. dostarczenie raportów z FRST i GMER. "FRST nic nie wykrył" - skoro mam analizować sytuację systemu, to muszę go widzieć, a infekcja wcale nie musi być powodem opisanych zachowań. "fixlist.exe poszukiwaniu dziwnych plików również" 0- przedstaw co robiłeś w skrypcie, bo sam opis operacji wydaje się być bardzo dziwny.

System jest zainfekowany adware, ten komunikat o kończeniu procesu rundll32 wygląda na związany z zadaniem adware PriceFountain, które posługuje się systemowym rozrusznikiem rundll32, by załadować własny moduł: Task: C:\WINDOWS\Tasks\MarekMMorainePapyrusV2.job => C:\WINDOWS\system32\rundll32.exeIsologTeacherage.dll ==================== Załadowane moduły (filtrowane) ============== 2016-04-10 21:01 - 2016-04-10 21:01 - 00370688 _____ () C:\Documents and Settings\MarekM\Ustawienia lokalne\Dane aplikacji\MorainePapyrus\IsologTeacherage.dll Powinieneś więc widzieć też reklamy "PriceFountain" na serwisach typu Allegro czy Ceneo. To świeży nabytek. Natomiast w systemie są także inne kwiatki adware, np. zmodyfikowane skróty LNK przeglądarek, niektóre bardzo stare i trzymane w systemie od dwóch lat. Wszystko przypuszczalnie nabyte przy udziale "Asystenta pobierania" serwisu dobreprogramy.pl: KLIK. Dodatkowo stary pakiet ESET oraz różne stare wersje narażające bezpieczeństwo systemu. I dużo uruchomionych programów, co może być powodem dla spowolnienia. To do zignorowania. W rejestrze jest jakaś ścieżka odwołująca się do nieistniejącego dysku. Np. może chodzić o klucze MountPoints zawierające historię mapowania wcześniej podpinanych urządzeń USB: HKU\S-1-5-21-725345543-117609710-1801674531-1003\...\MountPoints2: {36102cf8-51c8-11e2-b910-40618606fd9a} - K:\AutoRun.exe HKU\S-1-5-21-725345543-117609710-1801674531-1003\...\MountPoints2: {9b2d9936-7b75-11e3-bbd7-40618606fd9a} - K:\AutoRun.exe HKU\S-1-5-21-725345543-117609710-1801674531-1003\...\MountPoints2: {baee8cd7-18ee-11e0-9d29-40618606fd9a} - H:\NokiaPCIA_Autorun.exe HKU\S-1-5-21-725345543-117609710-1801674531-1003\...\MountPoints2: {d319fc58-908b-11e1-b653-40618606fd9a} - N:\AutoRun.exe HKU\S-1-5-21-725345543-117609710-1801674531-1003\...\MountPoints2: {d319fc5b-908b-11e1-b653-40618606fd9a} - J:\AutoRun.exe Następujące operacje czyszczące do wdrożenia: 1. Przez Dodaj/Usuń programy odinstaluj: - Adware: BatBrowse 1.0.0, MySearchDial, PriceFountain, Search Provided by Yahoo, Update for PriceFountain. Gdyby coś zwróciło błąd lub nie było widoczne, kontynuuj. - Stare wersje: Adobe Flash Player 20 ActiveX, Gadu-Gadu 7.7, Gadu-Gadu 10 , Java 6 Update 33, OpenOffice.org 3.2, Opera 12.16, Skype™ 3.8, Skype™ 5.0. 2. Uruchom Program Install and Uninstall Troubleshooter i usuń Google Update Helper (to resztki adware BonanzaDeals a nie Google) oraz RealUpgrade 1.1 (odpadkowy wpis pozostawiony po odinstalowanym RealPlayer) . Narzędzie nie umożliwia akcji hurtowej, więc trzeba je uruchomić dwa razy. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\MarekM\DANEAP~1\MYSEAR~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA Task: C:\WINDOWS\Tasks\At2.job => C:\DOCUME~1\NETWOR~1\DANEAP~1\MYSEAR~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA Task: C:\WINDOWS\Tasks\At3.job => C:\DOCUME~1\Grzegorz\DANEAP~1\MYSEAR~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA Task: C:\WINDOWS\Tasks\At4.job => C:\DOCUME~1\Asia\DANEAP~1\MYSEAR~1\UPDATE~1\UPDATE~1.EXE <==== UWAGA Task: C:\WINDOWS\Tasks\At5.job => C:\DOCUME~1\NETWOR~1\USTAWI~1\DANEAP~1\{38C20~1\UNINST~1.EXE Task: C:\WINDOWS\Tasks\At6.job => C:\DOCUME~1\MarekM\DANEAP~1\PRICEF~1\SYNCVE~1.EXE Task: C:\WINDOWS\Tasks\MarekMMorainePapyrusV2.job => C:\WINDOWS\system32\rundll32.exeIsologTeacherage.dll Task: C:\WINDOWS\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-725345543-117609710-1801674531-1003.job => D:\Program Files\Real\RealUpgrade\realupgrade.exe Task: C:\WINDOWS\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-725345543-117609710-1801674531-1003.job => D:\Program Files\Real\RealUpgrade\realupgrade.exe S4 Update BatBrowse; C:\Program Files\BatBrowse\updateBatBrowse.exe [316704 2014-05-04] () S4 Util BatBrowse; C:\Program Files\BatBrowse\bin\utilBatBrowse.exe [316704 2014-05-04] () S2 pds-srv1; "C:\Program Files\soft Xpansion\Private Data Safe\pds-srv1.exe" [X] S1 msw_fs1; \??\C:\Program Files\soft Xpansion\Private Data Safe\Kernel\msw_fs1.sys [X] S3 msw_pds1; \??\C:\Program Files\soft Xpansion\Private Data Safe\Kernel\msw_pds1.sys [X] S2 msw_ssp1; \??\C:\Program Files\soft Xpansion\Private Data Safe\Kernel\msw_ssp1.sys [X] S1 SuperMounter; Brak ImagePath S3 xp; \??\C:\Documents and Settings\MarekM\xp.sys [X] HKLM\...\Run: [] => [X] HKU\S-1-5-18\...\RunOnce: [tscuninstall] => %systemroot%\system32\tscupgrd.exe HKU\S-1-5-18\...\RunOnce: [Del1378656] => cmd.exe /Q /D /c del "C:\WINDOWS\TEMP\0.del" <===== UWAGA HKU\S-1-5-18\...\RunOnce: [Del1085921] => cmd.exe /Q /D /c del "C:\WINDOWS\TEMP\0.del" <===== UWAGA HKU\S-1-5-18\...\RunOnce: [Del1258375] => cmd.exe /Q /D /c del "C:\WINDOWS\TEMP\0.del" <===== UWAGA HKU\S-1-5-18\...\RunOnce: [Del16357093] => cmd.exe /Q /D /c del "C:\WINDOWS\TEMP\0.del" <===== UWAGA HKU\S-1-5-18\...\RunOnce: [FlashPlayerUpdate] => C:\WINDOWS\system32\Macromed\Flash\FlashUtil32_20_0_0_286_pepper.exe -update pepperplugin AppInit_DLLs: sx-prt.dll => Brak pliku GroupPolicy: Ograniczenia - Chrome <======= UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA ShortcutWithArgument: C:\Documents and Settings\MarekM\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.so-v.com/?type=ll&uid=88fc2265-b9ba-40c3-a603-7aca43aed9bc ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.so-v.com/?type=ll&uid=88fc2265-b9ba-40c3-a603-7aca43aed9bc ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\SRWare Iron\SRWare Iron.lnk -> C:\Program Files\SRWare Iron\chrome.exe (SRWare) -> hxxp://www.so-v.com/?type=ll&uid=88fc2265-b9ba-40c3-a603-7aca43aed9bc HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.mysearchdial.com/?f=1&a=irmsd103&cd=2XzuyEtN2Y1L1QzuyEtDyCtCzzyCtDyC0F0Dzy0Azz0CtCyCtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=1719256000&ir= HKU\S-1-5-21-725345543-117609710-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.mysearchdial.com/?f=1&a=irmsd103&cd=2XzuyEtN2Y1L1QzuyEtDyCtCzzyCtDyC0F0Dzy0Azz0CtCyCtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=1719256000&ir= HKU\S-1-5-21-725345543-117609710-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxps://us.search.yahoo.com/yhs/web?hspart=elm&hsimp=yhs-001&type=hdr_s_15_44_orgnl&param1=1&param2=f%3D2%26b%3DIE%26cc%3Dpl%26pa%3DHodor%26cd%3D2XzuyEtN2Y1L1QzuyEtDyCtCzzyCtDyC0F0Dzy0Azz0CtCyCtN0D0Tzu0StCtAzyyBtN1L2XzutAtFtCtAtFyBtFtAtN1L1Czu1M1Q1CtCzytN1L1G1B1V1N2Y1L1Qzu2SyBtDyC0DyB0FtBtDtGyBtA0DtBtG0FyEzztAtGtC0ByCyEtGyBzyyEtAyEtCzy0DyC0EyDtA2QtN1M1F1B2Z1V1N2Y1L1Qzu2StAzyyE0AyDtCyCyDtG0EtAyE0CtGyE0E0AtAtGzyzy0CtBtGtAyCtDyEzz0EtCzzzz0AtCtD2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCtCyEzy%26cr%3D584656388%26a%3Dhdr_s_15_44_orgnl%26os%3DWindows%2BXP" <======= UWAGA SearchScopes: HKLM -> DefaultScope {1b31c9d2-7135-442b-bb93-7c002172adc6} URL = hxxps://us.search.yahoo.com/yhs/search?hspart=elm&hsimp=yhs-001&type=hdr_s_15_44_orgnl&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dpl%26pa%3DHodor%26cd%3D2XzuyEtN2Y1L1QzuyEtDyCtCzzyCtDyC0F0Dzy0Azz0CtCyCtN0D0Tzu0StCtAzyyBtN1L2XzutAtFtCtAtFyBtFtAtN1L1Czu1M1Q1CtCzytN1L1G1B1V1N2Y1L1Qzu2SyBtDyC0DyB0FtBtDtGyBtA0DtBtG0FyEzztAtGtC0ByCyEtGyBzyyEtAyEtCzy0DyC0EyDtA2QtN1M1F1B2Z1V1N2Y1L1Qzu2StAzyyE0AyDtCyCyDtG0EtAyE0CtGyE0E0AtAtGzyzy0CtBtGtAyCtDyEzz0EtCzzzz0AtCtD2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCtCyEzy%26cr%3D584656388%26a%3Dhdr_s_15_44_orgnl%26os%3DWindows%2BXP&p={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd103&cd=2XzuyEtN2Y1L1QzuyEtDyCtCzzyCtDyC0F0Dzy0Azz0CtCyCtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=1719256000&ir= SearchScopes: HKLM -> {1b31c9d2-7135-442b-bb93-7c002172adc6} URL = hxxps://us.search.yahoo.com/yhs/search?hspart=elm&hsimp=yhs-001&type=hdr_s_15_44_orgnl&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dpl%26pa%3DHodor%26cd%3D2XzuyEtN2Y1L1QzuyEtDyCtCzzyCtDyC0F0Dzy0Azz0CtCyCtN0D0Tzu0StCtAzyyBtN1L2XzutAtFtCtAtFyBtFtAtN1L1Czu1M1Q1CtCzytN1L1G1B1V1N2Y1L1Qzu2SyBtDyC0DyB0FtBtDtGyBtA0DtBtG0FyEzztAtGtC0ByCyEtGyBzyyEtAyEtCzy0DyC0EyDtA2QtN1M1F1B2Z1V1N2Y1L1Qzu2StAzyyE0AyDtCyCyDtG0EtAyE0CtGyE0E0AtAtGzyzy0CtBtGtAyCtDyEzz0EtCzzzz0AtCtD2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCtCyEzy%26cr%3D584656388%26a%3Dhdr_s_15_44_orgnl%26os%3DWindows%2BXP&p={searchTerms} SearchScopes: HKU\S-1-5-21-725345543-117609710-1801674531-1003 -> DefaultScope {CC555D01-0911-4134-8381-EEF93F56C625} URL = hxxp://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd103&cd=2XzuyEtN2Y1L1QzuyEtDyCtCzzyCtDyC0F0Dzy0Azz0CtCyCtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=1719256000&ir= SearchScopes: HKU\S-1-5-21-725345543-117609710-1801674531-1003 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=51FC00FF9D7A666D&affID=119357&tsp=5021 SearchScopes: HKU\S-1-5-21-725345543-117609710-1801674531-1003 -> {CC555D01-0911-4134-8381-EEF93F56C625} URL = hxxp://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd103&cd=2XzuyEtN2Y1L1QzuyEtDyCtCzzyCtDyC0F0Dzy0Azz0CtCyCtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=1719256000&ir= SearchScopes: HKU\S-1-5-21-725345543-117609710-1801674531-1003 -> {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = hxxp://mystart.incredimail.com/?search={searchTerms}&loc=search_box Toolbar: HKU\S-1-5-21-725345543-117609710-1801674531-1003 -> Brak nazwy - {00000000-5736-4205-0008-F7ED0776FB27} - Brak pliku Toolbar: HKU\S-1-5-21-725345543-117609710-1801674531-1003 -> Brak nazwy - {00000000-5736-4205-0008-781CD0E19F00} - Brak pliku DPF: {68282C51-9459-467B-95BF-3C0E89627E55} hxxp://www.mks.com.pl/skaner/SkanerOnline.cab StartMenuInternet: IEXPLORE.EXE - iexplore.exe StartMenuInternet: FIREFOX.EXE - firefox.exe DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Konnekt DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WINSWEEP Popupblocker DeleteKey: HKCU\Software\Mozilla\SeaMonkey DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox\Extensions DeleteKey: HKLM\SOFTWARE\Mozilla\Thunderbird DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\MarekM\Dane aplikacji\PriceFountainUpdateVer C:\Documents and Settings\MarekM\Ustawienia lokalne\Dane aplikacji\mysearchdial-speeddial.crx C:\Documents and Settings\MarekM\Ustawienia lokalne\Dane aplikacji\cache C:\Documents and Settings\MarekM\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\MarekM\Ustawienia lokalne\Dane aplikacji\MorainePapyrus C:\Program Files\BatBrowse C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension DisableService: PLAY ONLINE. RunOuc Reg: reg add "HKLM\SOFTWARE\Clients\StartMenuInternet\chrome.exe\shell\open\command" /ve /t REG_SZ /d "\"C:\Program Files\SRWare Iron\chrome.exe"" /f Reg: reg query HKCU\Software\Classes\http\shell\open\command /s Reg: reg query HKLM\SOFTWARE\Classes\http\shell\open\command /s CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wygląda na to, że korzystasz z przeglądarki SRWare Iron, ale jest tu także Firefox zanieczyszczony adware. Do wyczyszczenia: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy są zmiany. Dodatkowo, jest tu ogromna ilość kont, na razie sprawdzany tylko Marek, wypadałoby zrobić skany FRST z pozostałych kont. Ale najpierw skończymy z Markiem. ==================== Konta użytkowników: ============================= Administrator (S-1-5-21-725345543-117609710-1801674531-500 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Administrator Agnieszka (S-1-5-21-725345543-117609710-1801674531-1006 - Limited - Enabled) => %SystemDrive%\Documents and Settings\Agnieszka Asia (S-1-5-21-725345543-117609710-1801674531-1007 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Asia Grzegorz (S-1-5-21-725345543-117609710-1801674531-1005 - Limited - Enabled) => %SystemDrive%\Documents and Settings\Grzegorz Mama (S-1-5-21-725345543-117609710-1801674531-1004 - Limited - Enabled) => %SystemDrive%\Documents and Settings\Mama MarekM (S-1-5-21-725345543-117609710-1801674531-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\MarekM

Jak mówię, w raportach zero rekordów związanych z takimi infekcjami i moim zdaniem analizą zjawiska powinien zająć się administrator sieci w chwili, gdy laptop jest w nią wpięty, bo wtedy środowisko pracy jest inne niż tu widziane. To komputer popinany pod domenę, więc skan FRST (oraz innymi skanerami wywoływanymi lokalnie) jest tu ograniczony. Dodatkowo, brak widoczności infekcji może też wypływać z oglądania kontekstu innego konta użytkownika. Raporty zrobione z poziomu konta "rafał", a są tu conajmniej trzy (rafał, szczepan i Bank): Załadowane profile: rafal... (Dostępne profile: rafal... & Bank) ==================== Konta użytkowników: ============================= Administrator (S-1-5-21-4195087781-2223933032-4022338309-500 - Administrator - Enabled) Bank (S-1-5-21-4195087781-2223933032-4022338309-1001 - Administrator - Disabled) => C:\Users\Bank Gość (S-1-5-21-4195087781-2223933032-4022338309-501 - Limited - Disabled) + pliki Temp "szczepana" w FRST oraz jego skróty w Shortcut Jak widać, nawet FRST nie wykrył kont "rafał" (załadowane) i "szczepan" (pośrednia dedukcja że istnieje) jako lokalnych, bo to system domenowy. Jeśli ten laptop ma być rzetelniej sprawdzony via FRST, wymagane jest ładowanie po kolei wszystkich używanych na nim kont i zrobienie z ich poziomu odrębnych skanów FRST (z Addition).

Osłona web F-Secure wykrywała konkretne strony jako te uruchamiające eksploity. W tu widzianym systemie nie ma żadnych oznak infekcji która mogłaby odpalić takie przekierowania. Jeśli zgłoszenia były jednorazowe, nie jest wykluczone że na Google przypadkiem trafiono na stronę / reklamę to otwierającą. Jeśli zgłoszenia nie są jednorazowe, źródłem może być inny komputer sieci i analiza tu widzianego mija się z celem. Moim zdaniem to wygląda właśnie na problem sieci firmowej, którym powinien zająć się jej administrator.

W raportach żadnych oznak infekcji. Do wykonaia byłyby tylko drobne czynności porządkowe (np. usunięcie odpadków po ArcaBit). Przeklej dokładnie te rekordy w czym / jaka ścieżka dostępu, czy powiązane jest to z detekcję jakiejś strony internetowej. Generalnie detekcje eksploitu "Angler" są związane z lukami w oprogramowaniu. Tu widać na komputerze np. starszą wersję Java 8 Update 45. Czy to na pewno jest tak sformułowane? To "zagrożenie sieciowe" fsmsh.dll to ... biblioteka F-Secure Policy Manager. Owszem, pakiet F-Secure jest tu starej wersji.

Fix FRST pomyślnie wykonany. Zabrakło głównego skanu FRST.txt. Uzupełnij. Nie wiem o jaką wersję Ci chodzi. Wg FRST masz zainstalowane dwa programy VAIO: ==================== Zainstalowane programy ====================== VAIO Care (HKLM\...\{EC635BC0-0D7C-4CA2-9B87-2A330C298CB2}) (Version: 8.1.0.10120 - Sony Corporation) VAIO Control Center (HKLM-x32\...\{8E797841-A110-41FD-B17A-3ABC0641187A}) (Version: 5.4.0.02260 - Sony Corporation) Mówisz o VAIO Care, ale to aplikacja z akcjami konserwacyjnymi i diagnostycznymi. To VAIO Control Center jest tym który ma ustawienia przez Ciebie punktowane i wg raportu program posiadasz, skrót w Menu Start także obecny: ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VAIO Control Center.lnk -> C:\Program Files (x86)\Sony\VAIO Control Center\VAIO Control Center.exe (Sony Corporation) -> /VCC Tak więc czy na pewno brakuje Ci czegoś? (przykładowy zrzut ekranu z Google) Wielkie dzięki!

Komentując stary wątek: Ten komunikat mojego forum jest związany z rekordami w bazie StopForumSpam (KLIK) i w przypadku niewinnego użytkownika jest charakterystyczny dla wspólnego IP zewnętrznego (bądź systemu proxy dostawcy) danej sieci. Użytkownicy widziani pod tym samym IP, więc aktywność jednego nawet spamera z tej sieci ma skutki uboczne dla wszystkich jej użytkowników. Sprawa do omówienia z dostawcą, nie jestem w stanie nic zdziałać. W raportach żadnych oznak infekcji, w tym oznak infekcji routera. Widać tylko wewnętrzne adresy routera. Wprawdzie ten odczyt nie jest gwarancją, że nie ma modyfikacji routera, ale po opisywanych objawach wątpię, by to o to chodziło. Tcpip\Parameters: [DhcpNameServer] 192.168.2.254 192.168.1.254 Tcpip\..\Interfaces\{70AFD5D5-A181-4883-BF5E-C3BB4C895B2A}: [DhcpNameServer] 192.168.2.254 192.168.1.254 Mulenie netu zaś może być niepowiązane z powyższym problemem. W tym kontekście równie dobrze aktywności Kaspersky Internet Security mogą mieć coś do rzeczy. PS. Zainstalowany lewy skaner SpyHunter. A poza tym byłyby do wykonania akcje bardziej kosmetyczne, ale to bez związku z problemami.

O ile problem nadal aktualny: 1. Błąd RunDll produkuje adware PriceFountain, nieumiejętnie usuwane. Pozostało w Harmonogramie zadań zadanie próbujące to odpalać: Task: {943BC93B-5ACA-43D4-ADCE-1D4CF68E06CF} - System32\Tasks\AciIslan41 => Rundll32.exe C:\Users\SEBAST~1\AppData\Local\SMOOTE~1\Smsegment.dll,Enum Ponadto widać w raportach inne aktywne elementy adware. Jeśli nadal potrzebna pomoc, dostarcz świeże raporty FRST. 2. Problemu z Menu start i paskiem nie są pochodną infekcji. Być może to jest efekt z tej kolekcji: KLIK. A być może to uruchomione procesy (np. pakiet Symantec) mają wpływ.

O ile problem nadal aktualny: 1. Pendrive jest zainfekowany typem Gamarue: KLIK. Klikanie w skrót to akcja niepożądana, dane zasadnicze są dostępne bez uruchamiania skrótu, po prostu ukryte (widziane pod odfajkowaniu opcji Ukryj chronione pliki systemu operacyjnego). Czy na pewno po usunięciu skrótu na pendrive jest on samoistnie regenerowany spod widzianego tu komputera? W systemie nie ma oznak infekcji tego typu, więc albo jest tu niedokładny opis (skrót nie jest tworzony na nowo) i infekcja nastąpiła po podpięciu pendrive pod inny komputer, albo infekcję już czym usunięto. Zostaje sprawa wyczyszczenia samego pendrive. Dodaj raport USBFix z opcji Listing zrobiony przy podłączonym pendrive. 2. W samym systemie natomiast widać aktywne adware (sponsorowany BingSvc w starcie). Raporty FRST są stare, jeśli nadal potrzebna pomoc dostarcz świeże. 3. Problemy ze spowolnieniem systemu i przyciskiem "Zamknij" nie są związane z infekcją. Wątek spowolnienia może być powiązany z poniższymi błędami. Zwykle te błędy rozwiązuje się poprzez reset bufora czcionek: KLIK. Dziennik System: ============= Error: (02/13/2016 03:18:46 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0 z powodu następującego błędu: %%1053 Error: (02/13/2016 02:15:41 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Usługa buforowania czcionek platformy Windows Presentation Foundation, wersja 3.0.0.0.

Proszę przeczytać zasady działu jakie raporty są obowiązkowe: KLIK. OTL jest cholernie przestarzały i w ogóle tu nie brany już pod uwagę. Usuwam jego log.

Większość tych obiektów to poprawne systemowe komponenty, a widzisz je teraz, gdyż przestawiła się w systemie opcja Ukryj chronione pliki systemu operacyjnego. I nie wolno było ich ruszać, a taka próba oznacza uszkodzenie systemu. - System Volume Information - Katalogi związane z Przywracanie systemu, umieszczone na każdym dostępnym dysku. Domyślnie zablokowane przez uprawnienia, by ich nie uszkodzić. - All Users to link symboliczny do C:\ProgramData, a ten z kolei to niezbędny element systemu, by poprawnie działały m.in. aplikacje i pewna sfera Menu Start współdzielona między wszystkie konta. Link symboliczny zaś jest dla wstecznej kompatybilności dla programów, które nie rozpoznają nowej struktury ścieżek systemów Vista i nowszych. - Default to matryca zakładania kont, niezbędna, by dało się konta tworzyć. - Default User to link symboliczny do Default. - Publiczny to niezbędny folder dzielony między wszystkie konta systemowe, w nim jest m.in. część zawartości Pulpitu. - Jedyne bezpieczne do usunięcia foldery to były: Administrator (gdyż wbudowane w system konto nie było aktywne wg FRST Addition) oraz £ukasz (folder z uszkodzoną nazwą) Objawy z Pulpitem są pochodną usunięcia folderu Publicznego, zaś defekty menu Start wskazują, że rozwaliłeś albo swoje konto, albo właśnie ProgramData. Usuwałeś elementy, więc usterka jest nie do naprawienia bez przywrócenia poprzedniego stanu. Proszę użyj Przywracanie systemu do czasu sprzed tych fatalnych kasacji, o ile masz punkt Przywracania systemu... Przywracanie systemu rzecz jasna wyzeruje działanie skryptu FRST, ale to akurat najmniej istotna sprawa w kontekście tego co zmalowałeś. Po użyciu Przywracania systemu zrób nowe raporty FRST (włącznie z Addition)

Czysty rozruch wyłączył następujące elementy: HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [9913376 2009-12-29] (Realtek Semiconductor) HKLM\...\Run: [synTPEnh] => C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [1890088 2009-12-10] (Synaptics Incorporated) HKLM\...\Run: [PLFSetI] => C:\Windows\PLFSetI.exe [206208 2010-01-13] () HKLM\...\Run: [Acer ePower Management] => C:\Program Files\eMachines\eMachines Power Management\ePowerTray.exe [861216 2010-04-23] (Acer Incorporated) HKLM\...\Run: [iTunesHelper] => C:\Program Files\iTunes\iTunesHelper.exe [176952 2016-03-19] (Apple Inc.) HKLM-x32\...\Run: [iAStorIcon] => C:\Program Files (x86)\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe [284696 2010-04-13] (Intel Corporation) HKLM-x32\...\Run: [startCCC] => C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [98304 2010-01-22] (Advanced Micro Devices, Inc.) HKLM-x32\...\Run: [LManager] => C:\Program Files (x86)\Launch Manager\LManager.exe [908368 2010-04-08] (Dritek System Inc.) HKU\S-1-5-21-3714686009-140934952-2927603390-1000\...\Run: [DAEMON Tools Pro Agent] => C:\Program Files (x86)\DAEMON Tools Pro\DTAgent.exe [3111744 2012-04-26] (DT Soft Ltd) HKU\S-1-5-21-3714686009-140934952-2927603390-1000\...\Run: [sony PC Companion] => C:\Program Files (x86)\Sony\Sony PC Companion\PCCompanion.exe [457088 2015-09-23] (Sony) HKU\S-1-5-21-3714686009-140934952-2927603390-1000\...\Run: [skype] => C:\Program Files (x86)\Skype\Phone\Skype.exe [50599552 2016-02-10] (Skype Technologies S.A.) R2 Apple Mobile Device Service; C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe [83768 2016-03-02] (Apple Inc.) R2 ePowerSvc; C:\Program Files\eMachines\eMachines Power Management\ePowerSvc.exe [867360 2010-04-23] (Acer Incorporated) S3 GameConsoleService; C:\Program Files (x86)\eMachines Games\eMachines Game Console\GameConsoleService.exe [238328 2009-10-10] (WildTangent, Inc.) R2 GREGService; C:\Program Files (x86)\eMachines\Registration\GREGsvc.exe [23584 2010-01-08] (Acer Incorporated) S4 MBAMScheduler; C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamscheduler.exe [1513784 2015-10-05] (Malwarebytes) S2 MBAMService; C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamservice.exe [1135416 2015-10-05] (Malwarebytes) R2 Updater Service; C:\Program Files\eMachines\eMachines Updater\UpdaterService.exe [243232 2010-01-29] (Acer Group) R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation) [+ Ukryte na białej liście FRST (czyli niewidoczne bezpośrednio w podanych raportach) usługi Adobe, Google, Skype. Być może jest więcej ukrytych usług niedomyślnych.] Większość zakreślonych obiektów nie jest krytyczna i może zostać wyłączona na stałe, ale: - Jeśli po akcji przestał działać touchpad, przywróć w msconfig w karcie Uruchamianie wpis SynTPEnh. - Jeśli korzystałeś z rozszerzonych firmowo funkcji klawiatury (skróty / klawisze funkcyjne), to należy przywrócić też wpis LManager. - Deaktywacja usług MBAM rzecz jasna powoduje, że nie będzie on poprawnie działał, Jeśli ma zostać w systemie, w msconfig w karcie Usługi przywróć powiązane usługi. Z jakiego instalatora były poprzednio instalowane? Czy na stronie producenta sprzętu eMachines są dostępne pliki do pobrania dla Twojego modelu?

Mało danych. 1. Zrób zrzut ekranu z tego co jakoby "naprawia" WindowsUpdateDiagnostic. 2. Uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. Gdy narzędzie ukończy skan, skopiuj na Pulpit cały katalog C:\Windows\Logs\CBS, zapakuj do ZIP i shostuj gdzieś podając link do paczki. Nie obiecuję szybkiej analizy. EDIT: Pisałam nie widząc powyższej odpowiedzi.

1. Jest naruszenie w usługach - brakuje usługi Informacje o aplikacji (Appinfo), która odpowiada za: "Umożliwia uruchamianie aplikacji interaktywnych z dodatkowymi uprawnieniami administracyjnymi. Jeśli ta usługa zostanie zatrzymana, użytkownicy nie będą mogli uruchamiać aplikacji z dodatkowymi uprawnieniami administracyjnymi, których mogą wymagać do wykonywania żądanych zadań użytkownika.". Wstępnie rekonstrukcja w rejestrze, przy założeniu że powiązania biblioteka appinfo.dll jest na dysku (w skanie SFC brak powiązanych adnotacji). Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Appinfo] "DisplayName"="@%systemroot%\\system32\\appinfo.dll,-100" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%systemroot%\\system32\\appinfo.dll,-101" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000003 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,50,00,72,00,6f,00,\ 66,00,53,00,76,00,63,00,00,00,00,00 "RequiredPrivileges"=hex(7):53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,\ 00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,\ 72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,\ 00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,\ 72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,\ 00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,\ 65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,00,76,00,69,00,6c,\ 00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,74,00,6f,00,72,00,\ 65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\ 00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,\ 6e,00,67,00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,\ 00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,\ 72,00,73,00,6f,00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,\ 00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:ff,ff,ff,ff,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Appinfo\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 61,00,70,00,70,00,69,00,6e,00,66,00,6f,00,2e,00,64,00,6c,00,6c,00,00,00 "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Appinfo\Security] "Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,70,00,05,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\ 00,01,01,00,00,00,00,00,05,12,00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zrestartuj system. Podaj czy są zmiany. 2. Odrębna sprawa to SFC, który wykrył masę brakujących plików i ich nie podstawił, gdyż brak poprawnych kopii w repozytorium WinSxS. Ogromna ilość nienaprawionych rekordów, która głównie się kręci wokół naruszeń komponentów czcionek, plików dźwiękowych i pomniejszych plików graficznych - czy tu aby nie były podejmowane jakieś nieprawidłowe próby "odchudzania" systemu? Sprawa naruszeń wykazanych przez SFC jest nie do rozwiązania bez podstawienia poprawnych plików w identycznych sumach kontrolnych zgodnych z nienaruszoną wersją komponentów. Pliki te musiałby ktoś z nas dostarczyć. Uszkodzeń jest jednak tak koszmarna ilość, że to robota dla kaskadera i nie wiadomo nawet czy opłacalna (tzn. czy to ma w ogóle impakt na system). Tu wypadałoby użyć Przywracanie systemu, ale ta możliwość odpada. Poprzednie punkty Przywracania z marca zostały już usunięte i obecnie widać jeden z kwietnia (replikuje naruszenia), przy czym i tak nie wiadomo czy te poprzednie punkty miały poprawne wersje, usterka mogła być już wcześniej. W tej sytuacji widzę po prostu reinstalację systemu.

Odgrzebując stary wątek, bo muszę to skomentować: lukaszmm Głupoty w serwisie opowiadane. "Metoda" reinstalacji systemu dobrana, gdyż nie umieli poprawnie zdefiniować modyfikacji. I tyle. shoutt W raportach widać: infekcję blokującą w oparciu o technikę Debugger uruchamianie aplikacji skanujących, adware Sale Charger w Operze, polityki Google Chrome wprowadzone przez adware, zmodyfikowane przez adware skróty Internet Explorer. Problem tytułowy "Ads by Addonjet", zakładając że czyszczenie polityk Google Chrome byłoby nieskuteczne, prawdopodobnie byłby wynikową modyfikacji plików przeglądarki Chrome (np. szkodliwy skrypt wstawiony do resources.pak), a taki przypadek rozwiązuje się poprzez reinstalację przeglądarki nadpisującą pliki w Program files. Jeśli problem nadal aktualny, dodaj nowe raporty FRST (wszystkie trzy).

1. Hitman wykrył odpadki adware i śmierciarskie ciastka. Usuń wszystkie pozycje. Po usuwaniu przez SHIFT+DEL dokasuj cały folder adware: C:\Program Files (x86)\Common Files\Dingsing. Następnie odinstaluj Hitman. 2. Kolejny skan przeprowadź przy udziale Malwarebytes Anti-Malware. Dostarcz wynikowy raport.

Widzę tu dwa typy infekcji. Adware: W usługach oraz Harmonogramie zadań są szkodliwe obiekty, a także ustawione polityki Google Chrome. Ale są też ślady infekcji routera, na forum widzę Cię z polskim IP Neostrady, a poniższy adres pobrany z routera jest niemiecki: Tcpip\Parameters: [DhcpNameServer] 46.101.178.39 8.8.8.8 Tcpip\..\Interfaces\{C0E12199-F244-49BA-A484-91A4C29A3E24}: [DhcpNameServer] 46.101.178.39 8.8.8.8 Tcpip\..\Interfaces\{E4D7884B-C731-44AC-ADC7-FB2C113BCEA1}: [DhcpNameServer] 46.101.178.39 8.8.8.8 Operacje do przeprowadzenia: 1. Relatywne do routera. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. 2. Deinstalacje: Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj McAfee Security Scan Plus (sponsor instalacji Adobe Flash), qksee (adware), Shared C Run-time for x64 (odpadek po odinstalowanym pakiecie McAfee), WinZip (adware, to nie jest WinZip Corela tylko obiekt go udający). Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\QwinpQ\WFini.exe [582328 2016-04-13] (WFini LIMITED) S2 Winsere; C:\Program Files (x86)\Winsere\Winsere\Winsere.exe [295096 2016-01-25] () R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [705688 2016-04-13] (Winzipper Pvt Ltd.) S3 HipShieldK; C:\Windows\System32\drivers\HipShieldK.sys [196440 2012-04-20] (McAfee, Inc.) S3 mferkdet; C:\Windows\System32\drivers\mferkdet.sys [106112 2012-06-22] (McAfee, Inc.) S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 EsgScanner; system32\DRIVERS\EsgScanner.sys [X] S3 FTDIBUS; \SystemRoot\system32\drivers\ftdibus.sys [X] S3 FTSER2K; \SystemRoot\system32\drivers\ftser2k.sys [X] S3 MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [X] Task: {15C759D1-1059-4D8F-BA75-32536F44948A} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {364BB908-CF1B-4081-8CCE-F3DE559E293F} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\47185D1CB6DF3175E48B2A3B42A43E29\Update\BrowserUpdate.exe [2016-04-08] (Tencent) Task: {5AF52401-6B6D-4341-87CD-A5D2AE9AEFAD} - System32\Tasks\WinTaske => C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe [2016-01-25] () Task: {C2B59258-8831-4FE2-85ED-68CA1F0F3F97} - System32\Tasks\GridinSoft Anti-Malware => C:\Program Files\GridinSoft Anti-Malware\gsam.exe Task: {FEDC3EE2-2F1F-4AAC-BFD7-CEFF0FF74948} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird HKU\S-1-5-21-577657667-1055987836-4248545114-1002\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku BootExecute: SBBD.exe /D \Device\HarddiskVolume4\Program Files (x86)\iS3\STOPzilla AntiVirus\Definitions /Lautocheck autochk * sdnclean64.exe GroupPolicy: Ograniczenia - Chrome HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-577657667-1055987836-4248545114-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF Plugin: @mcafee.com/MSC,version=10 -> C:\Program Files\mcafee\msc\npMcSnFFPl64.dll [brak pliku] FF Plugin-x32: @mcafee.com/MSC,version=10 -> C:\Program Files (x86)\McAfee\msc\npMcSnFFPl.dll [brak pliku] C:\Program Files\Common Files\AV\Spybot - Search and Destroy C:\Program Files (x86)\Lenovo C:\Program Files (x86)\qksee C:\Program Files (x86)\QQBrowser C:\Program Files (x86)\SearchesToYesbnd C:\Program Files (x86)\Winsere C:\Program Files (x86)\WinTaske C:\Program Files (x86)\WinZipper C:\ProgramData\QwinpQ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel AT Service.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\qksee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\Users\asus\AppData\Local\Lenovo C:\Users\asus\AppData\Roaming\eCyber C:\Users\asus\AppData\Roaming\Enigma Software Group C:\Users\asus\AppData\Roaming\qksee C:\Users\asus\AppData\Roaming\WinZiper C:\Users\asus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee.lnk C:\Users\asus\Desktop\fot.2015_16\NS25\20151103_091634 — skrót.lnk C:\Users\asus\Desktop\Nowy folder\strona\Bibliotekarz .NET.lnk C:\Users\asus\Start Menu\Programs\SpyHunter C:\Users\Public\Desktop\qksee.lnk C:\Users\Public\Desktop\ASUS\Business tool\Adobe Reader X.lnk C:\Windows\System32\drivers\HipShieldK.sys C:\Windows\System32\drivers\mferkdet.sys C:\Windows\System32\Tasks\Lenovo CMD: ipconfig /flushdns Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. W związku z politykami blokującymi "coś" w Google Chrome mogą być w ustawieniach (już odblokowanych w/w skryptem) niepożądane obiekty. W związku z tym dodatkowe czyszczenie: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 5. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Na wszystkich podanych obrazkach w karcie Procesy nie widzę nic podejrzanego i na żadnym z nim nie został nawet złapany dysk w stanie 100%, więc z nich nic kompletnie nie wynika. Mnie interesuje czy ten efekt ma nadal miejsce: Ostatnie pytanie - czy inne sterowniki sprzętowe są także w najnowszych dostępnych wersjach dla Twojego modelu? Np. poniższy pakiet Killer Network widziany w FRST Addition jest w nowszej wersji przynajmniej w wersji ogólnej, nie wiem jaki masz model komputera i czy na stronie producenta brandowana wersja jest dostępna w wyższej wersji. Qualcomm Atheros Bandwidth Control Filter Driver (Version: 1.1.42.1045 - Qualcomm Atheros) Hidden Qualcomm Atheros Killer E220x Drivers (Version: 1.1.42.1045 - Qualcomm Atheros) Hidden Qualcomm Atheros Network Manager (Version: 1.1.42.1045 - Qualcomm Atheros) Hidden Qualcomm Atheros Performance Suite (HKLM-x32\...\{E70DB50B-10B4-46BC-9DE2-AB8B49E061EE}) (Version: 1.1.42.1045 - Qualcomm Atheros)