Proszę o sprawdzenie logów

[kamil6733]

Proszę o sprawdzenie logów ponieważ wystąpiły jakieś "chińskie nazwy aplikacji" na dodatek redist antyvirus i strona startowa Dostępne tylko dla zarejestrowanych użytkowników

OTL Dostępne tylko dla zarejestrowanych użytkowników

FRST Dostępne tylko dla zarejestrowanych użytkowników

shortcut Dostępne tylko dla zarejestrowanych użytkowników

addition Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

1. Otwórz notatnik i wklej:

CloseProcesses:
R1 innfd_1_10_0_14; system32\drivers\innfd_1_10_0_14.sys [X]
R1 QMUdisk; \??\C:\Program Files\Tencent\QQPCMgr\10.6.15950.224\QMUdisk.sys [X]
R4 TAOKernelDriver; System32\Drivers\TAOKernel.sys [X]
R4 TsFltMgr; system32\drivers\TsFltMgr.sys [X]
S2 globalUpdate; C:\Program Files\globalUpdate\Update\globalupdate.exe /svc [X] <==== ATTENTION
S3 globalUpdatem; C:\Program Files\globalUpdate\Update\globalupdate.exe /medsvc [X] <==== ATTENTION
S4 insvc_1.10.0.14; "C:\Program Files\Infonaut_1.10.0.14\Service\insvc.exe" [X]
S2 QQPCRTP; "C:\Program Files\Tencent\QQPCMgr\10.6.15950.224\QQPCRTP.exe" -r [X]
R0 sysmon; C:\Windows\System32\DRIVERS\sysmon.sys [157896 2015-04-30] (Beijing Rising Information Technology Co., Ltd.)
R2 rsdsys; C:\Windows\system32\drivers\protreg.sys [24120 2014-05-28] (Beijing Rising Information Technology Co., Ltd.)
R1 rsutils; C:\Windows\System32\DRIVERS\rsutils.sys [83384 2015-04-09] (Beijing Rising Information Technology Co., Ltd.)
R1 kguard; C:\Windows\System32\DRIVERS\kguard.sys [77080 2015-05-15] (Beijing Rising Information Technology Co., Ltd.)
R2 RsMgrSvc; C:\Program Files\Rising\RSD\RsMgrSvc.exe [184088 2015-05-21] (Beijing Rising Information Technology Co., Ltd.)
R2 RsRavMon; C:\Program Files\Rising\RAV\ravmond.exe [277552 2014-05-15] (Beijing Rising Information Technology Co., Ltd.)
StartMenuInternet: Google Chrome - Chrome.exe
CHR Extension: (CinemaP-1.9cV05.07) - C:\Users\Stacja Robocza\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\lkadffjmnaiokkdncgdlecdegajoiemi [2015-07-05]
C:\Users\Stacja Robocza\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\lkadffjmnaiokkdncgdlecdegajoiemi
FF Plugin HKU\S-1-5-21-1546938142-768918871-1592905380-1000: @iqiyi.com/npWebPlayer -> C:\IQIYI Video\LStyle\npWebPlayer.dll [2015-04-29] (爱奇艺公司)
FF Plugin HKU\S-1-5-21-1546938142-768918871-1592905380-1000: @rising.com.cn/nprising -> C:\Program Files\Rising\RAV\nprising.dll [2013-06-27] (Beijing Rising Information Technology Co., Ltd.)
FF Plugin: @rising.com.cn/nprising -> C:\Program Files\Rising\RAV\nprising.dll [2013-06-27] (Beijing Rising Information Technology Co., Ltd.)
FF Plugin: @iqiyi.com/npclient -> C:\IQIYI Video\LStyle\npclient.dll [2015-05-12] ()
FF Plugin: @iqiyi.com/npWebPlayer -> C:\IQIYI Video\LStyle\npWebPlayer.dll [2015-04-29] (爱奇艺公司)
BHO: °®ĆćŇŐÖúĘÖ -> {FB4F6285-4C32-49F2-950F-A5998F9CEC6C} -> C:\IQIYI Video\Common\Accelerator\IEHelper.dll [2015-04-29] (爱奇艺)
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
HKU\S-1-5-21-1546938142-768918871-1592905380-1000\Software\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
HKU\S-1-5-21-1546938142-768918871-1592905380-1000\...\Run: [apphide] => C:\Program Files\baidu\baidu.exe [61440 2015-06-20] ()
HKU\S-1-5-21-1546938142-768918871-1592905380-1000\...\Run: [HCDNClient] => C:\IQIYI Video\Common\QyKernel.exe [576104 2015-05-12] (iQIYI.COM)
HKU\S-1-5-21-1546938142-768918871-1592905380-1000\...\Run: [GoogleChromeAutoLaunch_8DD5A9436C4694656CADD8CC970ABDE7] => C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe [637440 2015-05-12] (Crossbrowse)
Startup: C:\Users\Stacja Robocza\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\crossbrowse.lnk [2015-07-05]
ShortcutTarget: crossbrowse.lnk -> C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe (Crossbrowse)
BootExecute: autocheck autochk * bsmain
HKLM\...\Run: [gmsd_pl_005010022] => [X]
HKLM\...\Run: [RSDTRAY] => C:\Program Files\Rising\RSD\popwndexe.exe [126808 2012-09-25] (Beijing Rising Information Technology Co., Ltd.)
HKLM\...\Run: [RavTRAY] => C:\Program Files\Rising\RAV\RSTRAY.EXE [111000 2014-05-15] (Beijing Rising Information Technology Co., Ltd.)
HKLM\...\Policies\Explorer: [NoRemoteRecursiveEvents] 1
HKU\S-1-5-19\...\Run: [Sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\...\Run: [Sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
2015-07-05 19:36 - 2015-07-05 19:36 - 00001306 _____ C:\Users\Stacja Robocza\Desktop\全网影视.lnk
2015-07-05 19:36 - 2015-07-05 19:36 - 00000000 ____D C:\Users\Stacja Robocza\Desktop\FRST-OlderVersion
2015-07-05 19:36 - 2015-07-05 19:36 - 00000000 ____D C:\Users\Stacja Robocza\AppData\Roaming\ppslog
2015-07-05 19:35 - 2015-07-05 19:35 - 00088520 _____ C:\Users\Stacja Robocza\Desktop\OTL.Txt
2015-07-05 19:35 - 2015-07-05 19:35 - 00000064 _____ C:\Windows\QMNetworkMgr.ini
2015-07-05 19:25 - 2015-07-05 19:25 - 00000000 ____D C:\Users\Stacja Robocza\.android
2015-07-05 19:21 - 2015-07-05 19:21 - 00000000 ____D C:\ProgramData\TXQMPC
2015-07-05 19:20 - 2015-07-05 19:20 - 00000000 ____D C:\Windows\system32\UploadCache
2015-07-05 19:14 - 2015-07-05 19:16 - 00000000 ____D C:\Program Files\CinemaPlus-3.2cV05.07
2015-07-05 19:14 - 2015-07-05 19:14 - 00000000 ____D C:\Program Files\8eaf934f-a3a3-4a5c-bd16-610e3f752e77
2015-07-05 19:12 - 2015-07-05 19:20 - 00001062 _____ C:\Windows\Tasks\Crossbrowse.job
2015-07-05 19:12 - 2015-07-05 19:12 - 00002350 _____ C:\Users\Public\Desktop\Crossbrowse.lnk
2015-07-05 19:12 - 2015-07-05 19:12 - 00002211 _____ C:\Users\Public\Desktop\Search.lnk
2015-07-05 19:12 - 2015-07-05 19:12 - 00000000 ____D C:\Users\Stacja Robocza\AppData\Local\Crossbrowse
2015-07-05 19:12 - 2015-07-05 19:12 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crossbrowse
2015-07-05 19:11 - 2015-07-05 19:22 - 00000000 ____D C:\Windows\system32\wbbak
2015-07-05 19:11 - 2015-07-05 19:11 - 00000000 ____D C:\Program Files\Crossbrowse
2015-07-05 19:11 - 2015-07-05 19:11 - 00000000 _____ C:\Windows\setup.20150705.log
2015-07-05 19:10 - 2015-07-05 19:10 - 00000000 ____D C:\ProgramData\KingSoft
2015-07-05 19:06 - 2015-07-05 19:13 - 00000000 ___RD C:\RavBin
2015-07-05 19:06 - 2015-07-05 19:06 - 00000132 __RSH C:\rising.ini
2015-07-05 19:06 - 2015-07-05 19:06 - 00000122 _____ C:\Windows\system32\BsMain.ini
2015-07-05 19:06 - 2014-07-30 04:44 - 00091928 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\vpatch.dll
2015-07-05 19:06 - 2013-12-30 09:33 - 00256280 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\ravext.dll
2015-07-05 19:06 - 2012-09-06 02:30 - 00240472 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\bsmain.exe
2015-07-05 19:05 - 2015-07-05 19:06 - 00000000 ____D C:\ProgramData\Rising
2015-07-05 19:05 - 2015-07-05 19:05 - 00000000 ____D C:\Program Files\Rising
2015-07-05 19:05 - 2015-05-15 07:00 - 00077080 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\Drivers\kguard.sys
2015-07-05 19:05 - 2015-04-30 03:17 - 00157896 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\Drivers\sysmon.sys
2015-07-05 19:05 - 2015-04-09 07:00 - 00083384 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\Drivers\rsutils.sys
2015-07-05 19:05 - 2014-05-28 09:37 - 00024120 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\Drivers\protreg.sys
2015-07-05 19:05 - 2012-02-29 09:49 - 00010808 ____N (Beijing Rising Information Technology Co., Ltd.) C:\Windows\system32\Drivers\rsndisp.sys
2015-07-05 19:03 - 2015-07-05 19:20 - 00000000 ____D C:\Users\Stacja Robocza\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件
2015-07-05 19:03 - 2015-07-05 19:04 - 00000000 ____D C:\Program Files\Common Files\Tencent
2015-07-05 19:02 - 2015-07-05 19:13 - 00000000 ____D C:\Users\Stacja Robocza\AppData\Roaming\Tencent
2015-07-05 19:02 - 2015-07-05 19:04 - 00000000 ____D C:\ProgramData\Tencent
2015-07-05 19:02 - 2015-07-05 19:02 - 00000000 ____D C:\Program Files\Tencent
2015-07-05 18:58 - 2015-07-05 18:58 - 00871725 _____ C:\Users\Stacja Robocza\Downloads\E4BF.tmp
2015-07-05 18:50 - 2015-07-05 19:20 - 00000364 _____ C:\Windows\Tasks\APSnotifierPP3.job
2015-07-05 18:50 - 2015-07-05 19:20 - 00000364 _____ C:\Windows\Tasks\APSnotifierPP2.job
2015-07-05 18:50 - 2015-07-05 19:10 - 00000366 _____ C:\Windows\Tasks\APSnotifierPP1.job
2015-07-05 18:49 - 2015-07-05 18:49 - 00613255 _____ (CMI Limited) C:\Users\Stacja Robocza\AppData\Local\nsh4CE.tmp
2015-07-05 18:49 - 2015-07-05 18:49 - 00000000 __SHD C:\Users\Stacja Robocza\AppData\Roaming\AnyProtectEx
2015-07-05 18:47 - 2015-07-05 19:28 - 00000000 ____D C:\Users\Stacja Robocza\AppData\Local\SmartWeb
2015-07-05 18:47 - 2015-07-05 18:47 - 00000000 ____D C:\Users\Stacja Robocza\AppData\Roaming\mystartsearch
2015-07-05 18:39 - 2015-07-05 19:20 - 00001030 _____ C:\Windows\Tasks\kqvHC45udLn.job
2015-07-05 18:39 - 2015-07-05 18:39 - 00000000 ____D C:\Program Files\15f6daf6-b6c3-4c03-883f-9e336ea54a03
2015-07-05 18:38 - 2015-07-05 19:17 - 00000000 ____D C:\Program Files\globalUpdate
2015-07-05 18:38 - 2015-07-05 18:38 - 00000000 ____D C:\Users\Stacja Robocza\AppData\Local\globalUpdate
2015-07-05 18:34 - 2015-07-05 18:34 - 00000000 ____D C:\Program Files\predm
2015-07-05 18:28 - 2015-07-05 19:37 - 00000000 ____D C:\Users\Stacja Robocza\AppData\Roaming\IQIYI Video
2015-07-05 18:28 - 2015-07-05 19:36 - 00000000 ____D C:\qycache
2015-07-05 18:28 - 2015-07-05 19:34 - 00000000 ____D C:\ProgramData\IQIYI Video
2015-07-05 18:28 - 2015-07-05 19:34 - 00000000 ____D C:\IQIYI Video
2015-07-05 18:28 - 2015-07-05 18:29 - 00000000 ____D C:\Users\Stacja Robocza\AppData\Local\SysassistByHotWheel
2015-07-05 18:28 - 2015-07-05 18:28 - 00000000 ____D C:\Users\Public\QiYi
2015-07-05 18:28 - 2015-07-05 18:28 - 00000000 ____D C:\ppsfile
2015-07-05 18:27 - 2015-07-05 18:27 - 00000000 ____D C:\Program Files\baidu
2015-07-05 18:26 - 2015-07-05 18:26 - 00000000 _____ C:\Windows\prleth.sys
2015-07-05 18:26 - 2015-07-05 18:26 - 00000000 _____ C:\Windows\hgfs.sys
2015-07-05 18:25 - 2015-07-05 18:25 - 00000000 ____D C:\Users\Stacja Robocza\AppData\Local\mybestofferstoday
C:\Windows\system32\029B560A371F4E00AB32838EBC01B9E7
testsigning: ==> testsigning is on. Check for possible unsigned rootkit driver <===== ATTENTION!2015-04-19 14:20 - 2015-04-19 14:20 - 0005872 ____N () C:\Users\Stacja Robocza\AppData\Roaming\kqvHC45udLn
2015-01-05 23:25 - 2015-01-17 01:40 - 0000088 _____ () C:\Users\Stacja Robocza\AppData\Roaming\WB.CFG
2015-07-05 18:49 - 2015-07-05 18:49 - 0613255 _____ (CMI Limited) C:\Users\Stacja Robocza\AppData\Local\nsh4CE.tmp
Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\Crossbrowse.job => C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe <==== ATTENTION
Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files\DriverToolkit\DriverToolkit.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\kqvHC45udLn.job => C:\Users\Stacja Robocza\AppData\Roaming\kqvHC45udLn.exe <==== ATTENTION
Task: C:\Windows\Tasks\sport_jam_helper_service.job => C:\Program Files\Sport Jam\sport_jam_helper_service.exe
Task: {185FC80E-3E26-4ECC-A18B-D35273C68A3F} - System32\Tasks\sport_jam_helper_service => C:\Program Files\Sport Jam\sport_jam_helper_service.exe
Task: {3E6C74C9-ECE8-46E7-98AC-0471B34FD5C9} - System32\Tasks\RsDelayLauncher_{8A34248E-7D35-4832-8378-7659E0B0A380} => C:\Program Files\Rising\RAV\rsdelaylauncher.exe [2014-05-15] (Beijing Rising Information Technology Co., Ltd.)
Task: {50E97CB8-8F61-480B-8537-F0A917D1DAE2} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe [2015-06-04] (Google Inc.)
Task: {5F7D9BBA-E344-4CAD-AECC-CCF302028C1F} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files\Google\Update\GoogleUpdate.exe [2015-06-04] (Google Inc.)
Task: {76811708-D1AC-43E2-B2D7-28EA69605396} - System32\Tasks\APSnotifierPP2 => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {9A5CED07-56C7-4D21-9A18-9A921943FE6C} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2015-03-13] (Piriform Ltd)
Task: {DDD503CF-E8A2-4278-B727-9E2350BC7633} - \kqvHC45udLn No Task File <==== ATTENTION
Task: {E808746C-689B-4D06-B967-72506E14ECDB} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\Stacja Robocza\AppData\Local\SmartWeb\SmartWebHelper.exe <==== ATTENTION
Task: {ED827D0A-3D76-4461-BEA4-07E672B7EBF4} - System32\Tasks\APSnotifierPP1 => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {F366D775-0E52-44C7-A792-8D364380BDC3} - System32\Tasks\APSnotifierPP3 => C:\Program Files\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {FD6E0683-6A5A-4837-88F9-7F5331FF3B55} - System32\Tasks\Crossbrowse => C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe [2015-07-05] () <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
CustomCLSID: HKU\S-1-5-21-1546938142-768918871-1592905380-1000_Classes\CLSID\{5EC7C511-CD0F-42E6-830C-1BD9882F3458}\InprocServer32 -> C:\IQIYI Video\LStyle\npWebPlayer.dll (爱奇艺公司)
CustomCLSID: HKU\S-1-5-21-1546938142-768918871-1592905380-1000_Classes\CLSID\{61CED8F3-2CB2-4C3C-9484-7530E1127A58}\InprocServer32 -> C:\IQIYI Video\LStyle\npWebPlayer.dll (爱奇艺公司)
CustomCLSID: HKU\S-1-5-21-1546938142-768918871-1592905380-1000_Classes\CLSID\{D96C1D26-5CDF-4506-9244-57233C3984DF}\InprocServer32 -> C:\IQIYI Video\LStyle\npWebPlayer.dll (爱奇艺公司)
CustomCLSID: HKU\S-1-5-21-1546938142-768918871-1592905380-1000_Classes\CLSID\{F3D0D36F-23F8-4682-A195-74C92B03D4AF-NOT}\InprocServer32 -> C:\IQIYI Video\LStyle\npWebPlayer.dll (爱奇艺公司)
InternetURL: C:\ProgramData\Rising\Rav\ShortCut\Repair.url -> hxxp://www.rising.com.cn/2008/repair_rs09/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&t ... 015890015X
ShortcutWithArgument: C:\Users\Public\Desktop\Search.lnk -> C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe (Crossbrowse) -> --open-page=sr hxxp://google.com
ShortcutWithArgument: C:\Users\Stacja Robocza\Desktop\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&t ... 015890015X
ShortcutWithArgument: C:\Users\Stacja Robocza\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&t ... 015890015X
ShortcutWithArgument: C:\Users\Stacja Robocza\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\20340e79c9c21610\Google Chrome.lnk -> C:\Windows.old\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&t ... 015890015X
Shortcut: C:\Users\Stacja Robocza\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk -> C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe (Crossbrowse)
Shortcut: C:\Users\Stacja Robocza\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\crossbrowse.lnk -> C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe (Crossbrowse)
CMD: netsh firewall reset
CMD: sfc /scanfile=C:\Windows\explorer.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

2. Odinstaluj: mystartsearch uninstall / SuperClick 1.10.0.16 / Crossbrowse ... oraz te chińskie znaczki

3. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

4. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

5. Wyczyść Firefox:

• menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• menu Historia > Wyczyść historię przeglądania

6. Zastosuj narzędzie Fix-it likwidujące błąd WMi numer 10: Dostępne tylko dla zarejestrowanych użytkowników.

7.Dostarcz logi z FRST (NOWE, nie zapomnij zahaczykować Addition.txt i Shourt) + FSS => Dostępne tylko dla zarejestrowanych użytkowników (zahaczykuj wszystkie pola w programie i Scan).

[kamil6733]

Adw-cleaner Dostępne tylko dla zarejestrowanych użytkowników
JRT Dostępne tylko dla zarejestrowanych użytkowników
frst Dostępne tylko dla zarejestrowanych użytkowników
addition Dostępne tylko dla zarejestrowanych użytkowników
shourt Dostępne tylko dla zarejestrowanych użytkowników
fss Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Mega ubytki w systemie. Naprawiamy.

1. Do użycia Dostępne tylko dla zarejestrowanych użytkowników

2. Otwórz notatnik i wklej:

CloseProcesses:
S1 kguard; system32\DRIVERS\kguard.sys [X]
S0 sysmon; system32\DRIVERS\sysmon.sys [X]
S2 RsRavMon; C:\Program Files\Rising\RAV\ravmond.exe [277552 2014-05-15] (Beijing Rising Information Technology Co., Ltd.)
C:\Program Files\Rising
HKLM\...\Run: [RavTRAY] => C:\Program Files\Rising\RAV\RSTRAY.EXE [111000 2014-05-15] (Beijing Rising Information Technology Co., Ltd.)
C:\Users\Stacja Robocza\.android
C:\RavBin
C:\Windows\MEMORY.DMP
C:\Windows\Minidump\*.dmp
C:\Windows\*.log
C:\ProgramData\Rising
C:\Program Files\Rising
C:\Users\Stacja Robocza\AppData\Roaming\.atlauncher
C:\Windows\system32\notepad.ini
C:\Windows\notepad.ini
C:\Users\Default\Workaround.vbs
C:\Users\Stacja Robocza\Workaround.vbs
C:\Users\Stacja Robocza\AppData\Roaming\kqvHC45udLn
testsigning: ==> testsigning is on. Check for possible unsigned rootkit driver <===== ATTENTION!

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

Daj raport fixlog.txt który wyskoczy.

3. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER:

sfc /scannow

Gdy komenda ukończy działanie, w cmd wklej kolejną:

findstr /c:"[SR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt

Wynikowy log dołącz tutaj.

4. Daj raport z Dostępne tylko dla zarejestrowanych użytkowników.

5. Wykonaj i wklej nowe logi z FRST + nowy raport z FSS. Tak jak poprzednio wszystko ma być zahaczykowane.

[kamil6733]

cbs log Dostępne tylko dla zarejestrowanych użytkowników
tdss Dostępne tylko dla zarejestrowanych użytkowników
frst Dostępne tylko dla zarejestrowanych użytkowników
shortcut Dostępne tylko dla zarejestrowanych użytkowników
addition Dostępne tylko dla zarejestrowanych użytkowników

Występują chińskie nazwy rozszerzeń

[djarta]

Występują chińskie nazwy rozszerzeń

Czy możesz jaśniej? Gdzie? Screeny poproszę.

Interpretacja logów:
- SFC nie mogło naprawić dwóch ważnych plików systemowych.
- TDSSKiller czysty.
- Brakuje logu FSS

P.S: dopiero teraz się kapnąłem, że system to jakaś dziwna przeróbka i dlatego explorer.exe i User32.dll nie chciały się naprawić = nie zgadzały się ich sygnaturki a SFC nie potrafiło tego naprawić bo żadna kopia nie jest tą która jest w oryginalnym systemie Windows'a.

W takim razie czekam tylko na nowy log z FSS oraz screen z chińskim rozszerzeniem.

[kamil6733]

fss Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Komentarz FSS:
- Nie wiem czy jest tutaj potrzebna naprawa. Chodzi głównie o funkcję ,,Przywracania systemu", Centrum Zabezpieczeń (chyba celowo wyrwane z systemu) oraz Windows Defender (tak samo jak Centrum Zabezpieczeń). Zajme się tym pierwszym o ile na tym systemie wogóle się uda.

1. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt]
"DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205"
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204"
"ObjectName"="localSystem"
"ErrorControl"=dword:00000000
"Start"=dword:00000002
"Type"=dword:00000020
"DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00
"ServiceSidType"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
00,6c,00,6c,00,00,00
"ServiceMain"="ServiceMain"

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system.

Możesz w FSS zrobić ponownie Scan i mi pokazać.

=================================================================================

Drugi problem:
1. A jeżeli chodzi o te menu itp. sprawdziłbym program Dostępne tylko dla zarejestrowanych użytkowników i powyłączał tam wszystko co jest po chińsku.

2. Klawisz z flagą Windows + R, do pola Uruchom przeklej z posta komendę regsvr32 /i shell32.dll zatwierdź i zresetuj system.

3. Otwórz notatnik i wklej:

CloseProcesses:
Task: {0B233CE9-A716-46D8-A01D-A28837E732BB} - System32\Tasks\RsDelayLauncher_{8A34248E-7D35-4832-8378-7659E0B0A380} => C:\Program Files\Rising\RAV\rsdelaylauncher.exe
C:\Program Files\Rising

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

[kamil6733]

fss Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Nie będę ruszał tych usług = nic się nie zmieniło.

Czy dalej występują jeszcze jakieś problemy?

[kamil6733]

nie

[djarta]

W takim razie przechodzimy do kroków końcowych.

1. Wykonaj wszystko z tego tematu: Kroki kończące temat.
Końcowo pokazujesz: raport z DelFix oraz pełny skan MalwareBytes.

2. Przeprowadź skanowanie za pomocą Dostępne tylko dla zarejestrowanych użytkowników. Jeśli coś znajdzie, nic nie usuwaj, tylko dostarcz raport z wynikami.

[kamil6733]

DelFix Dostępne tylko dla zarejestrowanych użytkowników

MalwareBytes Dostępne tylko dla zarejestrowanych użytkowników

HitmanPro Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Czyściutko