Miszel03

Niemożliwe, musiało być, bo to poprawne zachowanie podczas przeglądania zawartości za pomocą suwaka.

1. Zagrożenia wykryte przez Malwarebytes daj do kasacji. 2. Podsumuj obecną sytuację. Czy problemy ustąpiły?

W raportach brak oznak infekcji, są tylko szczątki po adware w pliku Hosts (blokada aktualizacji licencji Malwarebytes) oraz szczątki po oprogramowaniu. Na wszelki wypadek przeprowadzimy kompleksowy skan antywirusowy. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: HKU\S-1-5-21-444814806-3231848153-1378265534-1001\...\Policies\Explorer: [] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku ContextMenuHandlers5: [igfxDTCM] -> {9B5F5829-A529-4B12-814A-E81BCB8D93FC} => -> Brak pliku AlternateDataStreams: C:\ProgramData\TEMP:C05ABBB5 [156] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navitel Navigator update center\Navitel Navigator update center.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navitel Navigator update center\Uninstall.lnk Hosts: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Wszystko pomyślnie wykonane. Infekcje usunięte, teraz jeszcze Malwarebytes wysprząta to co on widzi, a następnie ja przeanalizuję raporty od nowa by upewnić się, że już nic nie pozostało. 1. Zagrożenia wykryte przez Malwarebytes daj do kasacji. 2. Powtórz skan Malwarebytes, by upewnić się, że już nic nie wykrywa. Jeśli coś zostanie wykryte to niczego nie usuwaj, a dostarcz raport. 3. Dostarcz nowy zestaw raportów FRST, wraz z Addition i Shrotcut.

W raportach brak oznak infekcji oraz pozycji mogących powodować problem spowolnienia. 1. Dostarcz przefiltrowany raport SFC z opcji sfc /scannow w celu sprawdzenia integralności Windows. 2. Wykonaj diagnostykę dysku za pomocą CrystalDiskInfo i dostarcz wynik.

Post poprawiam, raportów proszę nie wklejać bezpośrednio do posta. Po otworzeniu strony wklej.org należy skopiować zawartość każdego raportu osobno i wkleić (za pomocą opcji Wklej), a następnie z pasku adresów URL skopiować link i wkleić do posta. Akcję trzeba powtórzyć dla każdego z raportów, czyli w sumie mają być 3 linki. Zapytam zaraz picasso, bo limit chyba powinien być większy.

System jest przytłoczony przez infekcje adware (które dodatkowo blokuję instalacje większość programów zabezpieczających), ale są też sztuki grubszego kalibru. Póki co nie wykorzystuj tego komputera do ważnych operacji finansowych. Adware prawdopodobnie przedostało się do systemu wraz z Asystentem Pobierania serwisu DobreProgramy, do poczytania Portale z oprogramowaniem / Instalatory - na co uważać. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\Users\Mati\Desktop\TeamSpeak 3 Client.lnk C:\Users\Mati\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TeamSpeak 3 Client.lnk ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {111FFD10-57D0-4B76-BBE5-8A7B66D6ACBE} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {1D3FC0A2-7F44-4FAE-934F-564B350A26F6} - \WPD\SqmUpload_S-1-5-21-4274788851-1844473529-1912967261-1001 -> Brak pliku Task: {20FDA149-3D59-4386-A284-03DBE43FCBBD} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {27FFA7C6-6188-4E7B-B3F7-C9B31CB1BE01} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {32D5ACF2-36E6-49D5-9575-4AC521C9DCAB} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {B194A4E6-7E58-409E-81E4-F2507481BBE4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {6DCC83AA-2D96-4063-BC95-3AAAFD9097F9} - System32\Tasks\iFileSpy => C:\WINDOWS\system32\rundll32.exe "C:\Program Files\iFileSpy\iFileSpy.dll",fssYCuS Task: {84AE8503-DE98-429B-8778-0EA6B8C71673} - System32\Tasks\{5DC18CEC-A5D6-48E3-AF2E-0B0465691F15} => C:\WINDOWS\Windows\ProgramData\svchost.exe Task: {B5AB1458-A8F1-4C6E-8718-2BCACFBA970A} - System32\Tasks\iMonitor Video Converter => C:\WINDOWS\system32\rundll32.exe "C:\Program Files\iMonitor Video Converter\iMonitor Video Converter.dll",gquqPeqWRIV Task: {F431F7EF-5702-46AE-8D7E-89B7C4A143F6} - System32\Tasks\wincore => C:\WINDOWS\Windows\ProgramData\wincore.exe C:\Program Files\iFileSpy C:\Program Files\iMonitor Video Converter C:\WINDOWS\Windows\ProgramData C:\Users\Public\Desktop\Настройки FIFA14.lnk HKLM\...\Run: [pYrVerCaM4] => C:\Program Files\vsappltlpvsPJQUf\.mAJappltlpmAJ.vbs [168 2017-12-06] () HKLM\...\RunOnce: [MRM] => C:\WINDOWS\TEMP\g767E.tmp.exe C:\Program Files\vsappltlpvsPJQUf HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia HKU\S-1-5-21-4274788851-1844473529-1912967261-1001\...\Policies\Explorer: [NolowDiskSpaceChecks] 1 ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - -> Brak pliku Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.pYrappltlppYr.vbs [2017-12-06] () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.pYrappltlppYr.vbs GroupPolicy: Ograniczenia - Chrome GroupPolicy\User: Ograniczenia S2 daeaService_1092541921; C:\ProgramData\daeaService\daeaService_1092541921.exe [278528 2017-11-12] () [brak podpisu cyfrowego] C:\ProgramData\daeaService 2017-12-09 16:21 - 2017-12-09 16:21 - 001578080 _____ (Licarelo ) C:\Users\Mati\Downloads\Odkurzacz-12322-AsystentPobierania.exe 2017-11-13 21:39 - 2017-11-13 21:39 - 000553687 _____ C:\Users\Mati\Downloads\RegCleaner(dobreprogramy.pl).exe 2017-11-13 21:37 - 2017-11-13 21:37 - 001625840 _____ ( ) C:\Users\Mati\Downloads\RegCleaner-11442-AsystentPobierania.exe 2017-12-11 19:11 - 2017-12-11 19:11 - 000000000 ____D C:\ProgramData\Reimage Protector 2017-12-09 15:58 - 2017-12-09 16:38 - 000000000 ____D C:\Program Files\Reimage 2017-12-09 15:57 - 2017-12-09 16:01 - 000000140 _____ C:\WINDOWS\Reimage.ini 2017-12-09 15:57 - 2017-12-09 16:01 - 000000000 ____D C:\rei 2017-12-09 15:57 - 2017-12-09 15:57 - 000605424 _____ (Reimage) C:\Users\Mati\Downloads\ReimageRepair.exe 2017-11-19 20:17 - 2017-11-19 20:18 - 000000000 ____D C:\Users\Mati\AppData\Local\svchost 2017-11-12 14:33 - 2017-11-12 14:33 - 000000000 ____D C:\Users\Mati\AppData\Local\UCBrowser 2017-11-12 14:15 - 2017-12-05 22:06 - 000000000 ____D C:\Program Files\LaCie Private Public 2017-11-12 14:28 - 2017-11-12 14:29 - 000000000 ____D C:\Users\Mati\AppData\LocalLow\CelGrfgXIrZdI 2017-11-12 14:14 - 2017-11-12 14:15 - 000000000 ____D C:\Program Files\8G3RQ4LFWH 2017-11-12 14:14 - 2017-11-12 14:14 - 000000000 ____D C:\Users\Mati\AppData\Roaming\pwpbc0hmgny 2017-11-12 14:14 - 2017-11-12 14:14 - 000000000 ____D C:\Users\Mati\AppData\Roaming\j4pv0swdiqw 2017-11-12 14:14 - 2017-11-12 14:14 - 000000000 ____D C:\Users\Mati\AppData\Roaming\hgecfhwssht 2017-11-12 14:14 - 2017-11-12 14:14 - 000000000 ____D C:\Users\Mati\AppData\Roaming\Easeware 2017-11-12 14:13 - 2017-11-12 14:13 - 000000000 ____D C:\Users\Mati\AppData\Roaming\yvljcf0sph5 2017-11-12 14:13 - 2017-11-12 14:13 - 000000000 ____D C:\Program Files\ESKQBFV6BL 2017-11-12 14:15 - 2017-11-12 14:15 - 000000000 ____D C:\Program Files\ZOMHLLJKCH 2017-11-12 14:14 - 2017-11-12 14:14 - 000140800 _____ C:\Users\Mati\AppData\Local\installer.dat 2017-11-12 14:15 - 2017-11-12 14:15 - 000000000 ____D C:\Disk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Mati\AppData\Local\Mozilla C:\Users\Mati\AppData\Roaming\Mozilla C:\Users\Mati\AppData\Roaming\Profiles CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Mati\AppData\Local CMD: dir /a C:\Users\Mati\AppData\LocalLow CMD: dir /a C:\Users\Mati\AppData\Roaming VirusTotal: C:\WINDOWS\system32\Drivers\VqipJuxB.sys Hosts: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 2. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj podejrzane wejścia / adware: Speed Dial [FVD] - New Tab Page, 3D, Sync..., Tiempo en colombia en vivo oraz wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Tak, teraz wszystko jest OK Postaram się odpowiedzieć w temacie rano.

Przespałem Twój temat, poproszę o nowy zestaw raportów FRST, a sprawdzę je jak najszybciej mogę.

Raporty kasuję - powinny być bez dat, czyli nie z archiwalnego C:\FRST, a z miejsca, z którego FRST został uruchomiony. Po za tym zaznaczyłeś złą konfigurację - zapoznaj się z naszą.

Nie widzę tych raportów, przeczytaj ze zrozumieniem zasady działu (pkt. 3).

W systemie widoczne są instalacje adware, zaś w Harmonogramie zadań uprasowały się szkodliwe wpisy - LaCieS oraz ShadowsocksS (które powodują u Ciebie problemy). Powinniśmy szybko się z tym uporać. 1. Przez Panel sterowania odinstaluj adware / PUP: MyPC Backup, Smart File Advisor 1.1.8. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {4CCA3661-EE02-43F9-8DEC-638AE3442A85} - System32\Tasks\ShadowsocksS => C:\Applications\Service.exe [2017-09-18] (TODO: ) Task: {6FFD1B21-092E-4EBD-BE44-E1548457E01A} - System32\Tasks\LaCieS => C:\Disk\WebService.exe [2017-10-14] (TODO: ) Task: {C663462E-6E8F-488B-86C9-A029B0C43AD7} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku C:\Disk C:\Applications Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

W celu otrzymania pomocy proszę dostosować swój temat do zasad działu.

Aktualnie nie ma skutecznego dekodera, ale to już pewnie zdążyłeś przeczytać. Dane pozostaw, może w przyszłości pojawi się dekoder. Możesz co jakiś czas sprawdzać w ten sposób czy nie powstał dekoder.

Zrób zestaw raportów FRST, abym upewnił się, że Twój system jest wolny od złośliwego oprogramowania. Zaszyfrowany plik prześlij na serwer usługi ID Ransomware (program pokazuję również czy wynaleziono dekoder) i dostarcz wynik analizy (najlepiej screen).

Bardzo się cieszę. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Już po ptakach, ja zawsze na forum robię punkt przywracania na wypadek gdyby coś poszło nie tak. To, że nie robisz kopii zapasowych to nie dobrze, sugeruję zacząć. Wszystko pomyślnie wykonane. Czy coś uległo zmianie? Problemy ustąpiły, czy może nadal są?

W raportach widoczne są polityki z różnymi ograniczeniami i to one mogą odpowiadać za problem dot. wolnego działania systemu. Jeśli zaś chodzi o problem z przekierowaniami na strony bukmacherskie itd. to oprócz podejrzanego rozszerzenia Reverse Page 1.0.1 nie widzę niczego ciekawego. 1. Włącz funkcję przywracania systemu, bym mógł utworzyć punkt przywracania. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers4: [AVG Disk Space Explorer Shell Extension] -> {4838CD50-7E5D-4811-9B17-C47A85539F28} => C:\Program Files (x86)\AVG\AVG PC TuneUp\DseShExt-x64.dll -> Brak pliku ContextMenuHandlers4: [AVG Shredder Shell Extension] -> {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} => C:\Program Files (x86)\AVG\AVG PC TuneUp\SDShelEx-x64.dll -> Brak pliku AlternateDataStreams: C:\ProgramData\TEMP:054203E4 [312] MSCONFIG\startupreg: StartupOptimizer.exe C: => HKLM\...\Policies\Explorer: [RestrictRun] 0 HKLM\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKLM\...\Policies\Explorer: [NoResolveSearch] 1 HKLM\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-1942541910-2699294463-2421528154-1000\...\Policies\system: [LogonHoursAction] 2 HKU\S-1-5-21-1942541910-2699294463-2421528154-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1 HKU\S-1-5-21-1942541910-2699294463-2421528154-1000\...\Policies\Explorer: [RestrictRun] 0 HKU\S-1-5-21-1942541910-2699294463-2421528154-1000\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-21-1942541910-2699294463-2421528154-1000\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-21-1942541910-2699294463-2421528154-1000\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> GroupPolicy\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKLM-x32 -> DefaultScope - brak wartości FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 massfilter; system32\drivers\massfilter.sys [X] U4 nicm; Brak ImagePath U4 nwfilter; Brak ImagePath U4 parvdm; Brak ImagePath U4 smbios; Brak ImagePath U4 VMTools; Brak ImagePath U4 VMUpgradeHelper; Brak ImagePath S3 ZTEusbnet; system32\DRIVERS\ZTEusbnet.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] C:\Users\standardowy\Desktop\Vegas Pro 13.0 (64-bit).lnk C:\Users\standardowy\AppData\Roaming\Microsoft\Word\PZU%20Opieka%20medyczna%20-%20Wniosek%20o%20części304672983696182963\PZU%20Opieka%20medyczna%20-%20Wniosek%20o%20częściową%20refundację%20kosztów%20świadczeń%20zdrowotnych.docx.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 2. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Miło mi to słyszeć, w takim razie kończymy. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Malwarebytes możesz odinstalować.

Wszystko pomyślnie wykonane. Wygląda na to, że system doprowadzony do porządku. Jak podsumowujesz obecną sytuację?

Picasso prowadzi temat, ja jedynie napiszę, że przepraszam leliwka za zamieszanie - nie zwróciłem uwagi na ten komponent, który rzeczywiście wygląda na infekcje.

Post podbijający kasuję. Wygląda to o wiele lepiej, ale UCBrowser nadal siedzi - z tego co widzę, Malwarebytes z nim sobie poradzi. Po za tym przy okazji usunie inne infekcje i resztki. Zbliżamy się do końca 1. Zagrożenia wykryte przez Malwarebytes daj do kasacji (pominąć możesz detekcje związane z DAEMON Tools Lite, bo masz go zainstalowanego). Dostarcz raport z tego działania. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\Program Files\TYYII14TX4 HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia HKU\S-1-5-21-2765039487-2702460980-1030939640-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 3. Ponów skan Malwarebytes, by upewnić się, że już nic nie wykrywa. Jeśli coś jednak zostanie wykryte to tak jak poprzednio niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

KLIK Powiem Ci tylko drogi użytkowniku, że że zachowujesz się niepoważnie i to do granic możliwości. Zakładasz tematy na różnych forach, bez powiadomienia nikogo. Dwie osoby pomagające pracują w tym samym czasie - tracą czas, bo przecież do wykonania jest tylko jedna partia instrukcji. Straciłem cenną godzinę na Twój temat. Rozumiem, że każdy chce pomocy jak najszybciej, ale no...trochę wyobraźni. Niech pomoc będzie prowadzona na Pclab, bo tam się zaczęła.

Posty porządkowe skasowałem. W systemie widoczne są infekcje adware oraz inne. Ponad to adresy DNS ustawione z poziomu Windows są zagraniczne i wyglądają na zarażone (KLIK / KLIK) - usuwam je. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku Task: {BD4F5FCA-61CA-400E-8388-F5CF1351B5CB} - System32\Tasks\space(title, t_monitor) => C:\Program Files (x86)\SystemHealer\HealerConsole.exe HKLM-x32\...\Run: [] => [X] HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia HKU\S-1-5-21-2765039487-2702460980-1030939640-1000\...\Run: [1744468] => C:\Users\User\AppData\Roaming\ziszkkva3f2\pflwkpoppbs.exe [907150 2017-12-09] (riggar ) HKU\S-1-5-21-2765039487-2702460980-1030939640-1000\...\Run: [2535864] => C:\Users\User\AppData\Roaming\aw3qvtzkrdv\pjketuc2yqz.exe [907150 2017-12-09] (riggar ) HKU\S-1-5-21-2765039487-2702460980-1030939640-1000\...\Run: [7255537] => C:\Users\User\AppData\Roaming\lztk53op3ed\e100h3ocdok.exe [907150 2017-12-09] (riggar ) HKU\S-1-5-21-2765039487-2702460980-1030939640-1000\...\Run: [6899054] => C:\Users\User\AppData\Roaming\20rxfdrcezi\wka1wyksfr5.exe [907150 2017-12-09] (riggar ) HKU\S-1-5-21-2765039487-2702460980-1030939640-1000\...\Run: [5369713] => C:\Users\User\AppData\Roaming\lnu0sr15ine\wttaatfeb15.exe [907150 2017-12-09] (riggar ) HKU\S-1-5-21-2765039487-2702460980-1030939640-1000\...\Run: [9242629] => C:\Users\User\AppData\Roaming\tivd5ds2xh1\vwkra3bny1y.exe [907150 2017-12-09] (riggar ) C:\Users\User\AppData\Roaming\ziszkkva3f2 C:\Users\User\AppData\Roaming\aw3qvtzkrdv C:\Users\User\AppData\Roaming\lztk53op3ed C:\Users\User\AppData\Roaming\20rxfdrcezi C:\Users\User\AppData\Roaming\lnu0sr15ine C:\Users\User\AppData\Roaming\tivd5ds2xh1 AppInit_DLLs: C:\ProgramData\Quoteex\Yearlax.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Quoteex\Alphatax.dll => Brak pliku C:\ProgramData\Quoteex GroupPolicy: Ograniczenia - Chrome HKU\S-1-5-21-2765039487-2702460980-1030939640-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYrA7RVHtgN_gnVnWVaXlpVpLgvuo5S8hEI0HiLY-x6i3X8hPhff5Utr0u7fJN5cnvM5wW2Q0AdYhoY1aF7lXuljVotApiF_oYRrD8XIjJLPpzk6_Elgyro4X_FAyQ3leSwnlyny_eKISABwt3e7hTNDnBkWw,,&q={searchTerms} HKU\S-1-5-21-2765039487-2702460980-1030939640-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYrA7RVHtgN_gnVnWVaXlpVpLgvuo5S8hEI0HiLY-x6i3X8hPhff5Utr0u7fJN5cnvAT5-aR2HByHjjEw8U860rJejmG8_AVD8GrFoB_A0y2oVBfFieu8aRe1DNz8uIbnIEnadg6fCLXcPwRd54LQptqq6gjA,, SearchScopes: HKLM-x32 -> DefaultScope - brak wartości R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) C:\Program Files (x86)\UCBrowser C:\Users\User\AppData\Local\UCBrowser 2017-12-09 13:37 - 2017-12-09 13:37 - 007561216 _____ () C:\Users\User\AppData\Local\agent.dat 2017-12-09 13:37 - 2017-12-09 13:37 - 000070800 _____ () C:\Users\User\AppData\Local\Config.xml 2017-12-09 13:36 - 2017-12-09 13:36 - 000140800 _____ () C:\Users\User\AppData\Local\installer.dat 2017-12-09 13:37 - 2017-12-09 13:37 - 001895382 _____ () C:\Users\User\AppData\Local\Konkit.bin 2017-12-09 13:37 - 2017-12-09 13:37 - 000005568 _____ () C:\Users\User\AppData\Local\md.xml 2017-12-09 13:37 - 2017-12-09 13:37 - 000126464 _____ () C:\Users\User\AppData\Local\noah.dat 2017-12-09 13:37 - 2017-12-09 13:37 - 001980959 _____ () C:\Users\User\AppData\Local\Rehold.tst 2017-12-09 13:37 - 2017-12-09 13:37 - 000032038 _____ () C:\Users\User\AppData\Local\uninstall_temp.ico 2017-12-09 13:37 - 2017-12-09 13:37 - 000278508 _____ () C:\Users\User\AppData\Local\ViaOzefix.tst 2017-12-09 14:03 - 2017-12-09 14:50 - 000000000 ____D C:\Program Files\66U0T6MXBG 2017-12-09 13:46 - 2017-12-09 13:48 - 000000000 ____D C:\Users\User\AppData\LocalLow\ZUAwrnxgIZhKc 2017-12-09 13:39 - 2017-12-09 14:21 - 000000000 ____D C:\Program Files\SE6135IAQE Tcpip\..\Interfaces\{9FB8A1B0-7156-4E41-990A-08D41F0D0026}: [NameServer] 82.163.142.8,95.211.158.136 CMD: ipconfig /flushdns CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\User\AppData\Local CMD: dir /a C:\Users\User\AppData\LocalLow CMD: dir /a C:\Users\User\AppData\Roaming Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 2. Uruchom przeglądarkę Opera, a następnie za pomocą kombinacji klawiszy CTRL + SHIFT + E przejdź do Rozszerzenia i skasuj wszystkie nieznane Ci i niepotrzebne rozszerzenia (szczególną uwagę zwróć na rozszerzenie Safe browsing - wydaję mi się, że jest ono szkodliwe, więc raczej skasuj je). 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Dzięki. O to mi chodziło. Wynik jasno symbolizuję to, że plik nie jest podpisany i raczej nieoryginalny. Wg VirusTotal nie jest zarażony, ale też brak wykrycia podpisu cyfrowego. Musimy podmienić ten plik na oryginalny, ale ja niestety posiadam inny system. Poprosiłem o ten plik picasso - może go gdzieś ma, w każdym razie powinienem go niebawem załatwić. To powinno rozwiązać problem.