Miszel03

Mimo wszystko poczekałbym na to co powie Groszek.

Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Przejdź do wykonywania następnych punktów.

Okej. Wszystko jasne. Fix zatrzymał się na przetwarzaniu pewnego katalogu, proszę powtórzyć pkt. 1, ale z wykorzystaniem następującego skryptu: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-242199268-3129651509-2813359090-1001\...\Policies\Explorer: [NolowDiskSpaceChecks] 1 HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> GroupPolicy: Ograniczenia SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-242199268-3129651509-2813359090-1001 -> DefaultScope {2C7771DA-25C3-4A01-9D21-B639539129E1} URL = SearchScopes: HKU\S-1-5-21-242199268-3129651509-2813359090-1001 -> {2C7771DA-25C3-4A01-9D21-B639539129E1} URL = Filter: application/x-mfe-ipt - Brak wartości CLSID CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} Hosts: EmptyTemp: RemoveDirectory: C:\Java

Pomimo błędu powinien zostać utworzony częściowy Fixlog. Przedstaw go.

Tak, wszystko idzie w odstawkę (niektóre temperatury są na poziomie krytycznym, a niestabilne sektory to zły znak). Priorytet ma zawsze Hardware. Tam też przenoszę temat. Poinformowałem moderatora Groszka, który zajmuję się tematyką sprzętową na forum.

Trionx, ale to przecież nie jest Twój temat! To jest Twój: Spadek wydajności po długoletnim użytkowaniu. Instrukcje są indywidualne i nie można ich powielać na innych systemach / w innych przypadkach.

Skoro było to nazwisko, to tak - w tym miejscu zmiana jest dopuszczalna. Urządzenie potencjalne zarażone, proszę nie podpinać jego do żadnego systemu, gdyż może dojść do infekcji kolejnych urządzeń. Wszelkie inne media mające kontakt z tym komputerem również mogą być potencjalnym nośnikiem tego ustrojstwa. Infekcja podszywająca się pod oprogramowanie Java, w auto-stracie jest wpis uruchamiający javaw.exe (co ciekawe, został utworzony właśnie ok. tydzień temu - tak jak piszesz) i wykonujący zadanie infekcji. Ponad to przeglądarka Mozilla FireFox jest w ciężkim stanie - podstawiony prefabrykowany profil, a poprawny uszkodzony. a w Harmonogramie zadań widoczne są szczątkowe zadania infekcji. System przejdzie dezynfekcje, a przy okazji posprzątam go z resztek po oprogramowaniu. Mediami przenośnymi zajmiemy się na końcu. 1. Sugerowane deinstacje: SpyHunter 4 - skaner wątpliwej reputacji, w przyszłości stosował bardzo podejrzane taktyki reklamowe i był na czarnej liście, Wszystkie produkty marki IObit ze względu na liczne kontrowersje (w tym kradzież bazy danych MBAM). 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-242199268-3129651509-2813359090-1001\...\ChromeHTML: -> ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {21882806-6B19-4DF9-9DC6-B6E00E6DBBD1} - System32\Tasks\javaw.exe => C:\Users\jakub\Documents\Java_Update.exe [2018-02-08] (Java Sun) Task: {6238C4D6-89DB-4657-B3F7-809CBBFD9E20} - \PowerWord-SCT-JT -> Brak pliku Task: {EF4DE754-43C4-49B5-9883-A2ADF2A8C3DF} - \Windows-WoShiBeiYongDe -> Brak pliku HKLM\...\Run: [] => [X] Winlogon\Notify\igfxcui: igfxdev.dll [X] HKU\S-1-5-21-242199268-3129651509-2813359090-1001\...\Run: [javaw.exe] => C:\Users\jakub\Documents\Java_Update.exe [109056 2018-02-08] (Java Sun) Startup: C:\Users\jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\javaw.exe [2018-02-08] (Java Sun) C:\Users\jakub\Documents\Java_Update.exe C:\Users\jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\javaw.exe Folder: C:\Java C:\Java HKU\S-1-5-21-242199268-3129651509-2813359090-1001\...\Policies\Explorer: [NolowDiskSpaceChecks] 1 HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> GroupPolicy: Ograniczenia SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-242199268-3129651509-2813359090-1001 -> DefaultScope {2C7771DA-25C3-4A01-9D21-B639539129E1} URL = SearchScopes: HKU\S-1-5-21-242199268-3129651509-2813359090-1001 -> {2C7771DA-25C3-4A01-9D21-B639539129E1} URL = Filter: application/x-mfe-ipt - Brak wartości CLSID U3 aswbdisk; Brak ImagePath CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Obecne profile przeglądarki Mozilla FireFox wyglądają na uszkodzone, a jeden został podstawiony przez adware. Wymagana jest kompleksowa ich wymiana. Kliknij klawisz z flagą Windows + R > wklej komendę "C:\Program Files\Mozilla Firefox\firefox.exe" -p > załóż nowy profil, wszystkie poprzednie skasuj. 4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

W przedstawionych tu raportach brak oznak infekcji. Komentując detekcje MBAM: PUP.Optional.StartPage24, C:\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SRLKBD49.DEFAULT-1492714497846\EXTENSIONS\FFEXT_BASICVIDEOEXT@STARTPAGE24.XPI, Usunięcie-po-restarcie, [11382], [186354],1.0.3962 To rozszerzenie adware montowane w przeglądarce Mozilla FireFox. Malwarebytes zutylizowało je pomyślnie. PUP.Optional.Amazon1Button, HKLM\SOFTWARE\WOW6432NODE\CLASSES\APPID\Amazon1ButtonBrowserHelper.dll, Dodano do kwarantanny, [831], [468987],1.0.3962 PUP.Optional.Amazon1Button, HKLM\SOFTWARE\WOW6432NODE\CLASSES\APPID\Amazon1ButtonRuntime.dll, Dodano do kwarantanny, [831], [468987],1.0.3962 PUP.Optional.Amazon1Button, HKU\S-1-5-21-4273419673-1912282134-1578572012-1002\SOFTWARE\APPDATALOW\SOFTWARE\AMAZON\Amazon1ButtonApp, Dodano do kwarantanny, [831], [441167],1.0.3962 PUP.Optional.Amazon1Button, HKLM\SOFTWARE\CLASSES\WOW6432NODE\APPID\Amazon1ButtonBrowserHelper.dll, Dodano do kwarantanny, [831], [468987],1.0.3962 PUP.Optional.Amazon1Button, HKLM\SOFTWARE\CLASSES\WOW6432NODE\APPID\Amazon1ButtonRuntime.dll, Dodano do kwarantanny, [831], [468987],1.0.3962 PUP.Optional.Amazon1Button, HKLM\SOFTWARE\CLASSES\APPID\Amazon1ButtonBrowserHelper.dll, Dodano do kwarantanny, [831], [468987],1.0.3962 PUP.Optional.Amazon1Button, HKU\S-1-5-18\SOFTWARE\APPDATALOW\SOFTWARE\AMAZON\Amazon1ButtonApp, Dodano do kwarantanny, [831], [441167],1.0.3962 PUP.Optional.Amazon1Button, HKLM\SOFTWARE\CLASSES\APPID\Amazon1ButtonRuntime.dll, Dodano do kwarantanny, [831], [468987],1.0.3962 PUP.Optional.Amazon1Button, HKLM\SOFTWARE\WOW6432NODE\APPDATALOW\SOFTWARE\AMAZON\Amazon1ButtonApp, Dodano do kwarantanny, [831], [441168],1.0.3962 Szczątki po Amazon1Buttton - czyli oprogramowaniu adware. Również pomyślnie zutylizowane. Sugeruję więc przeprowadzić kompleksową reinstaluje tej przeglądarki.

Ale na pewno była zaznaczona opcja Polityka IE i klik w OK?

Akcja wykonana pomyślnie. Infekcja usunięta. Skoro problem ustąpił to zadaję już finalizację. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Nie widzę więcej tych folderów. System wygląda w porządku. Jak mówiłem wcześniej: temat przenoszę do działu Sieci. Wygląda na to, że tak, ale powiedz jeszcze w jaki sposób zachodzi łączenie. Przez sieć WI-FI czy przez kabel?

Raporty nie wykazują oznak infekcji (zadaję drobną kosmetykę - sprzątanie resztek po oprogramowaniu), za to są jakieś podejrzane foldery w katalogach głównych - prześwietlę je, żeby zobaczyć czy nie ma ich więcej. Po tej diagnostyce temat przeniosę do działu Sieci. 1. Sugeruję odinstalować McAfee Security Scan Plus, gdyż wygląda na to, że został zainstalowany drogą sponsorską (po za tym masz zainstalowane rozwiązanie Avast). 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin HKU\S-1-5-21-3895863922-2302880773-250945931-1000: @my.com/Games -> C:\Users\Przemek\AppData\Local\MyComGames\NPMyComDetector.dll [brak pliku] S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] 2018-01-25 17:35 - 2018-01-25 17:35 - 000000000 ____D C:\Program Files (x86)\1vojwvvmkjs C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Team Meat\SuperMeatBoy\Super Meat Boy.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Team Meat\SuperMeatBoy\Uninstall Super Meat Boy.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Might and Magic Heroes VII\Might and Magic Heroes VII.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Might and Magic Heroes VII\Uninstall Might and Magic Heroes VII.lnk C:\Users\Przemek\Desktop\Might and Magic Heroes VII.lnk C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Super Meat Boy\Microsoft Visual C++ 2008 Redistributable x64.lnk C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Super Meat Boy\Microsoft Visual C++ 2008 Redistributable x86 (32bit).lnk C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Super Meat Boy\Microsoft® DirectX for Windows®.lnk C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Super Meat Boy\Play Over 14.000 Online Games on The Playing Bay.lnk C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Super Meat Boy\Super Meat Boy.lnk C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Super Meat Boy\Uninstall Super Meat Boy.lnk C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Super Meat Boy\Uninstall.lnk CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Przemek\AppData\Local CMD: dir /a C:\Users\Przemek\AppData\LocalLow CMD: dir /a C:\Users\Przemek\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Przedstaw plik Fixlog.

To ma priorytet (choć w raportach widoczne są infekcje). 1. Dostarcz do analizy pliki zrzutu pamięci, w tym celu skopiuj na pulpit folder C:\Windows\Minidump, spakuj go (np. za pomocą WinRAR), a następnie wstaw na hosting plików (np. na MediaFire). 2. Wykonaj diagnostykę dysku za pomocą CrystalDiskInfo i dostarcz wynikowy log.

Kurczę, szkodliwa mapa domen usunęła się tylko częściowo. 1. Uruchom AdwCleaner, z paska ustawień wybierz Narzędzia, następnie Opcje i w sekcji Resetuj zaznacz Polityka IE. Przeprowadź skan, wszystkie detekcje poddaj kasacji. 2. Zrób jeszcze jeden log Addition w celu potwierdzenia pomyślności operacji.

"HKU\S-1-5-21\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" => nie znaleziono Hm...dla pewności poproszę jeszcze jednak o nowy raport Addition.

Cieszę się, że mogłem pomóc. Operacja pomyślnie wykonana. Poprawki i finalizacja: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Efficient Diary Pro\Efficient Diary Help.lnk DeleteKey: HKU\S-1-5-21\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains Reboot: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Brakuje raportu Shortcut - dostarcz go w następnym poście, po wykonaniu instrukcji. W sekcji statu widoczny jest wpis uruchamiający stronę hxxp://adf.ly/pRzv6. Oprócz tego szkodliwe zmodyfikowana została mapa domen w przeglądarce IE, a także plik Hosts (ale niewykluczone, że to artefakty SpyBota). Dezynfekcja powinno pójść gładko. 1. Masz potwornie starą wersję oprogramowania zabezpieczającego - uaktualni ją. AV: ESET NOD32 Antivirus 9.0.407.0 (Enabled - Out of date) {EC1D6F37-E411-475A-DF50-12FF7FE4AC70} AS: ESET NOD32 Antivirus 9.0.407.0 (Enabled - Out of date) {577C8ED3-C22B-48D4-E5E0-298D0463E6CD} 2. Sugeruję odinstalować program Spybot - Search & Destroy, gdyż to przestarzały twór i w kwestii obecnych zagrożeń jest bezużyteczny. 3. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: InternetURL: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\more.url -> URL: hxxp://adf.ly/pRzv6 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\more.url Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] HKU\S-1-5-21-1667539775-1210465141-673175957-1000\...\Policies\Explorer: [DisableThumbnails] 0 HKU\S-1-5-21-1667539775-1210465141-673175957-1000\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-21-1667539775-1210465141-673175957-1000\...\Policies\Explorer: [TaskbarNoNotification] 1 HKU\S-1-5-21-1667539775-1210465141-673175957-1000\...\Policies\Explorer: [NoWindowsUpdate] 1 BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre-9.0.4\bin\ssv.dll => Brak pliku S3 VGPU; System32\drivers\rdvgkmd.sys [X] DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i koniecznie Shortcut. Dołącz też plik fixlog.txt i napisz czy problem ustąpił.

Schemat zdecydowanie wygląda na Cerber w wersji pierwszej (V1). Zapomniałem, że limitacja tego dekodera jest następująca: Oznacza to, że dekoder zadziała tylko na zainfekowanej maszynie, gdyż wymagane są ku temu dane, ale: ...jeśli spełniasz w/w normy techniczne to niewykluczone, że jeśli pozwolisz narzędziu działać kilka godzin (ok. 4h) to być może deszyfracja się powiedzie.

Tak, to wszystko. Miło mi, że mogłem pomóc.

Podobny temat sprzed dwóch dni z taką samą infekcją: Avast blokuje cały czas zagrożenie URL:Mal. Sprawy mają się tutaj podobnie. Dezynfekcja (+ kasacja martwych wpisów / szczątek po oprogramowaniu w tym po przeglądarce Mozilla FireFox): 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe Startup: C:\Users\Marta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JDSound.lnk [2018-02-14] ShortcutTarget: JDSound.lnk -> C:\Users\Marta\AppData\Roaming\appmr\JDSound.vbs () 2018-02-14 02:37 - 2018-02-15 18:29 - 000000000 ____D C:\Users\Marta\AppData\Roaming\vbhost 2018-02-14 02:37 - 2018-02-14 02:37 - 000000000 ____D C:\Users\Marta\AppData\Roaming\appmr DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Marta\AppData\Local\Mozilla C:\Users\Marta\AppData\Roaming\Mozilla C:\Users\Marta\AppData\Roaming\Profiles Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i koniecznie Shortcut. Dołącz też plik fixlog.txt i napisz czy problem ustąpił.

Posty łączę, proszę używać opcji Edytuj dostępnej przy każdym Twoim poście. W porządku. Wszystko pomyślnie wykonane. Infekcja usunięta. Obecne raporty wyglądają już w porządku, a skoro sygnalizujesz, że problem ustąpił to będziemy kończyć. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Tak, przygotowałem skrypt (gdyż przy okazji znowu wyczyszczę Dziennik Zdarzeń, żeby nie widniał tam ten nieaktualny błąd). 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: S2 U3sHlpDr; C:\Windows\SysWOW64\Drivers\U3sHlpDr.sys [7423 2018-02-10] () [brak podpisu cyfrowego] C:\Windows\SysWOW64\Drivers\U3sHlpDr.sys S0 MBAMSwissArmy; System32\Drivers\mbamswissarmy.sys [X] Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Co oznacza sformułowanie "nic to nie dało"? Czy zostały wykryte jakieś zagrożenia? Jeśli tak to proszę dostarczyć z tego raport. Brakuje raportu Shortcut, więc będę go wymagał w następnym poście. Wydaję mi się, że poniższe elementy to infekcja: Startup: C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JDSound.lnk [2018-02-13] ShortcutTarget: JDSound.lnk -> C:\Users\Adam\AppData\Roaming\appmr\JDSound.vbs () 2018-02-13 15:06 - 2018-02-13 16:01 - 000000000 ____D C:\Users\Adam\AppData\Roaming\vbhost 2018-02-13 15:06 - 2018-02-13 15:06 - 000000000 ____D C:\Users\Adam\AppData\Roaming\appmr ...gdyż: - data utworzenia jest wczorajsza, - nie mogę powiązać tych komponentów z żadnym poprawnym, zainstalowanym oprogramowaniem, - nazwy folderów wyglądają podejrzanie. Czy może znasz te wpisy? W skrypcie odbędzie się ich kasacja, a oprócz tego sprzątanie szczątek po wcześniej odinstalowanym oprogramowaniu (m.in po Mozilla FireFox), a także kasacja martwych wpisów itd. Akcja: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-3636725091-2947975232-529749042-1002_Classes\CLSID\{162C6FB5-44D3-435B-903D-E613FA093FB5}\InprocServer32 -> C:\Users\Adam\AppData\Local\Microsoft\OneDrive\17.3.6743.1212\amd64\FileCoAuthLib64.dll => Brak pliku Task: {0B420E43-ABE8-4D21-B427-69F70240C3AA} - \Microsoft\Windows\Setup\EOSNotify -> Brak pliku Task: {D5EDEC38-D37C-4B04-9401-DE378129ACC1} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\BrowserChoice\browserchoice.exe Startup: C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JDSound.lnk [2018-02-13] ShortcutTarget: JDSound.lnk -> C:\Users\Adam\AppData\Roaming\appmr\JDSound.vbs () C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JDSound.lnk HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKU\S-1-5-21-3636725091-2947975232-529749042-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3636725091-2947975232-529749042-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3636725091-2947975232-529749042-1002 -> {C0C3A6C6-03BC-4195-8FCB-AEA091301353} URL = hxxps://pl.search.yahoo.com/yhs/search?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__ch_WCYID10181_1355_171108__yaie&p={searchTerms} S3 intaud_WaveExtensible; \SystemRoot\system32\drivers\intelaud.sys [X] S3 iwdbus; \SystemRoot\System32\drivers\iwdbus.sys [X] 2018-02-13 15:06 - 2018-02-13 16:01 - 000000000 ____D C:\Users\Adam\AppData\Roaming\vbhost 2018-02-13 15:06 - 2018-02-13 15:06 - 000000000 ____D C:\Users\Adam\AppData\Roaming\appmr DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Adam\AppData\Local\Mozilla C:\Users\Adam\AppData\Roaming\Mozilla C:\Users\Adam\AppData\Roaming\Profiles Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przeskanuj system za pomocą HitmanPro. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i koniecznie Shortcut. Dołącz też plik fixlog.txt.

Nie wykluczony konflikt obu programów. Czy ja prosiłem o użycie skanera Kasperskiego?! Proszę wykonywać moje instrukcję. Teraz widzę, że Malwarebytes odizolował wszystko z ostatniego skanu w kwarantannie (możesz ją opróżnić i odinstalować program). Wcześniejsze zagrożenia nie zostały odizolowane, w momencie, w którym dostałem raport, stąd moje polecenie by te zagrożenia usunąć. Proszę teraz o komplet raportów FRST w celu oceny sytuacji.