Psychocidoll

Log FSS nie napawa optymizmem.

Platform: Microsoft Windows Embedded Standard  Service Pack 1 (X86) Język: Polski (Polska)

Nie wiem, czy taki System może się różni od zwykłych Systemów, używanych przez Użytkowników, a nie przez przemysł, jak "embedded".

Mam też jakąś dziwną, chińską przeglądarke

w logach nie widzę tej przeglądarki.

zaraz to wszystko przejrzę  ...

Zrób logi z FRST /Zak%C5%82adanie-tematu-og%C3%B3lne-raporty-systemowe-t55253/

Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt"

.

Otwórz Notatnik i wklej w nim:

Task: {616E17BD-6F99-42AD-87A7-58197BB1E41D} - System32\Tasks\UCBrowserUpdater => c:\Program Files\UCBrowser\Application\update_task.exe [2017-01-16] (UCWeb Inc) <==== UWAGA
RemoveDirectory: c:\Program Files\UCBrowser
Task: {86903A27-B674-4706-B2C9-64F590D7C664} - System32\Tasks\UCBrowserSecureUpdater => c:\Program Files\UCBrowser\Security\uclauncher.exe [2017-02-10] (UC Web Inc.) <==== UWAGA
Task: {883436FE-B32B-4E5B-9FB2-015D295EE3A9} - System32\Tasks\{5A19993A-6CA1-4043-90E4-2AB9F4FBFF2D} => pcalua.exe -a C:\Users\Ada\AppData\Local\Temp\Temp1_Realtek_Ethernet_Win7_7092_05202015.zip\Install_Win7_7092_05202015\setup.exe <==== UWAGA
Task: {965924C4-7CF0-43C6-A388-5CC37595A5C3} - System32\Tasks\{EAD2E91C-54C0-4DF0-B514-7F0A1E4DF38C} => pcalua.exe -a "C:\Program Files\Lavalys\EVEREST Home Edition\everest.exe" -d C:\Users\Ada\Desktop
Task: {AFE4E1DD-7F83-4427-AE87-252AC6FE4E6C} - System32\Tasks\UCBrowserUpdaterCore => c:\Program Files\UCBrowser\Application\update_task.exe [2017-01-16] (UCWeb Inc) <==== UWAGA
Task: {D25F9842-1D13-4BA1-B09A-0BBAF0F06208} - \Traffic Exchange -> Brak pliku <==== UWAGA
Task: C:\Windows\Tasks\UCBrowserUpdater.job => c:\Program Files\UCBrowser\Application\update_task.exe <==== UWAGA
Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => c:\Program Files\UCBrowser\Application\update_task.exe <==== UWAGA
ShortcutWithArgument: C:\Users\Ada\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Ada\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Ada\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Ada\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Ada\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Ada\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Ada\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA
AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x86.sys [84370]
AlternateDataStreams: C:\Windows\system32\drivers:x86 [1213218]
MSCONFIG\Services: UCBrowserSvc => 2
FirewallRules: [{4F4373A9-0F9F-4DC2-AD7C-A6C877DD94C5}] => c:\Program Files\UCBrowser\Application\UCBrowser.exe
FirewallRules: [{55E02CEE-E958-4949-B2E7-EFD53194494A}] => c:\Program Files\UCBrowser\Application\UCBrowser.exe
Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\Winmgmt /s
HKLM\...\Policies\Explorer: []
HKU\S-1-5-18\...\Run: [] => 0
ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} =>  -> Brak pliku
S4 UCBrowserSvc; c:\Program Files\UCBrowser\Application\UCService.exe [930704 2017-01-16] ()
R1 ucdrv; C:\Windows\System32\drivers:ucdrv-x86.sys [84370 ] (UC Web Inc.) <==== UWAGA
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\spyhunter.fix
c:\Program Files\Enigma Software Group
C:\Users\Ada\Downloads\SpyHunter-Installer.exe
CMD: attrib /d /s -r -s -h C:\FOUND.*
CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f"
C:\found.000
C:\Users\Ada\Desktop\Microleaves
C:\Users\Ada\AppData\Local\UCBrowser
C:\Users\Ada\AppData\Roaming\UCChannel
Task: {2B7F089C-822B-4D68-B459-08A807D53D9E} - \KuaiZip_Update -> Brak pliku <==== UWAGA
Task: {3C489DF7-DEA9-4BDF-BEFE-34B58F17B708} - \Traffic Exchange Guardian -> Brak pliku <==== UWAGA
Task: {424D015C-7759-4CF8-BDD3-E36B99623A05} - \Traffic Exchange Guard -> Brak pliku <==== UWAGA
C:\Users\Ada\AppData\Roaming\Microleaves
C:\Users\Ada\AppData\Roaming\Installer.dat
C:\Users\Ada\AppData\Roaming\InstallationConfiguration.xml
C:\Users\Ada\Desktop\Gry\APK\Spyware Terminator 2015.lnk
C:\Users\Ada\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk
HOSTS:
EmptyTemp:

Zrób nowe logi FRST - już bez Shortcut.

.

został jeszcze folder ''Żęną'' i te chińskie programy.

Ja tego w logach nie widzę.

1) Wejdź w Tryb Awaryjny (F8 przed startem Systemu)

2) Otwórz Notatnik i wklej w nim:

AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x86.sys [84370]
AlternateDataStreams: C:\Windows\system32\drivers:x86 [1213218]
Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\Winmgmt /s
R1 ucdrv; C:\Windows\System32\drivers:ucdrv-x86.sys [84370 ] (UC Web Inc.) <==== UWAGA
EmptyTemp:

3) Zrób nowe logi FRST.

4) Napisz gdzie są (ścieżki) te "chińczyki".

.

Sprawdź usługę "winmgmt" lub napraw WMI.

Z "fixlog" wynika, że usługa "winmgmt" jest OK.

Obawiam się, że uszkodzone jest WMI, a to już problem nie na moją głowę, naprawa przekracza moje umiejętności.

Daj jeszcze log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).

Otwórz Notatnik i wklej w nim:

2017-01-17 09:52 - 2017-01-17 09:57 - 00000000 ____D c:\Program Files\żěŃą
2017-01-17 09:52 - 2017-01-17 09:52 - 00000000 ____D C:\Users\Ada\AppData\Roaming\Softlink
2017-01-17 09:51 - 2017-02-10 16:11 - 00000000 ____D C:\ProgramData\Microleaves
2017-01-17 09:48 - 2017-01-17 09:48 - 00000000 __SHD C:\Windows\system32\%APPDATA%
EmptyTemp:

>>Menu Notatnika >> Plik >>
>>Zapisz jako >>
Nazwa pliku: fixlist
Zapisz jako typ: Dokumenty tekstowe
Kodowanie: UTF-8
>>Zapisz
Plik umieść w folderze C:\Users\Ada\Desktop
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Mam też jakąś dziwną, chińską przeglądarke, jej logo to wiewiórka na pomarańczowym tle, ale nie mam zainstalowanej takiej przegladarki, nie moge tego usunac

 

Zrób nowe logi FRST

Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt"

.

.