Miszel03

To jest pewien objaw braku szacunku w stosunku do pomocy świadczonej przeze mnie. Taki raport skanowania to naprawdę dużo informacji dla mnie dlatego właśnie celowo instruuję użytkowników co mają robić. Generalnie cała reszta pomyślnie wykonana i wygląda na to, że zbliżamy się do końca. To się dobrze składa, bo i tak musimy ją kompleksowo przeinstalować ze względu na modyfikacje preferencji (usuwanie ręczne jest mozolne, mógłbym znaleźć poprzednią wersję pliku, ale to też dłuższy proces). Myślę, że tym jednym krokiem rozwiążemy oby dwa problemy. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome (czyli Panel Sterowanie > Odinstaluj program). Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.

W raportach widać infekcje adware / PUP (i inne) odpowiedzialne za wymienione przez Ciebie problemy. Raczej szybko się z tym uporamy, od razu więc przechodzimy do działań. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {1233F3AE-C05F-4E7C-87F4-B0BBB58D2453} - System32\Tasks\{7D7A7E47-0A0D-0A7E-0511-0B7E087D1178} => C:\Windows\system32\WindowsPowershell\v1.0\powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand OwAgACQARQByAHIAbwByAEEAYwB0AGkAbwBuAFAAcgBlAGYAZQByAGUAbgBjAGUAPQAiAHMAdABvAHAAIgA7ACQAcwBjAD0AIgBTAGkAbABlAG4AdABsAHkAQwBvAG4AdABpAG4AdQBlACIAOwAkAFcAYQByAG4AaQBuAGcAUAByAGUAZgBlAHIAZQBuAGMAZQA9ACQAcwBjADsAJABQAHIA (dane wartości zawierają 9996 znaków więcej). <==== UWAGA Task: {5C2DF9BD-24A9-4AAE-BF01-480749FB231F} - System32\Tasks\8f5924d3f0decf6b4ab73c990a7a077b => powershell.exe -NoProfile -NoLogo -NonInteractive -ExecutionPolicy Bypass -File "C:\Windows\8f5924d3f0decf6b4ab73c990a7a077b.ps1" <==== UWAGA Task: {5F4BB55D-19E5-4B62-8F24-567E6325718D} - System32\Tasks\L0qObltTFUur => l0qoblttfuur.exe Task: {8B24F83C-9A61-494D-99B9-24EDCDC0CB66} - System32\Tasks\Moon Manager => C:\Windows\system32\rundll32.exe "C:\Program Files\Moon Manager\Moon Manager.dll",sfaPDJrqo <==== UWAGA Task: {ADE446E0-842A-4E34-AECF-F1E7BECA585B} - System32\Tasks\3ff2108d7185625d7293e4213106116d => sc start 3ff2108d7185625d7293e4213106116d <==== UWAGA C:\Windows\8f5924d3f0decf6b4ab73c990a7a077b.ps1 C:\Program Files\Moon Manager AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [135] AlternateDataStreams: C:\ProgramData\TEMP:BFE23423 [362] HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA GroupPolicy: Ograniczenia - Windows Defender <==== UWAGA HKU\S-1-5-21-233006258-18527085-3623643150-1000\...\Run: [5400625] => C:\Users\Agata\AppData\Roaming\qtbfehtpxob\m53tfii2wrl.exe [472899 2017-10-12] ( ) HKU\S-1-5-21-233006258-18527085-3623643150-1000\...\Run: [6760600] => C:\Users\Agata\AppData\Roaming\nt0qd4ngbvo\ca2cups2kwo.exe [472899 2017-10-12] ( ) C:\Users\Agata\AppData\Roaming\qtbfehtpxob C:\Users\Agata\AppData\Roaming\nt0qd4ngbvo HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {d4fee3d1-1014-4db8-a824-573bf9ab51c7} URL = SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {DC91FAFB-6CEA-49E5-BB74-9CEE75D09B77} URL = FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku] S2 KeService; C:\ProgramData\KeService.exe [2904064 2017-10-12] (Adobe Systems Incorporated) [Brak podpisu cyfrowego] <==== UWAGA S2 TCPSvc; "C:\Users\Agata\AppData\Local\Temp\csrss\proxy\Tor\tor.exe" --nt-service --SocksPort 7050 --Log "notice file C:\Windows\rss\t" <==== UWAGA C:\Windows\rss\t C:\ProgramData\KeService.exe S3 AndNetDiag; system32\DRIVERS\lgandnetdiag64.sys [X] S3 ANDNetModem; system32\DRIVERS\lgandnetmodem64.sys [X] S1 dqkcaurg; \??\C:\Windows\system32\drivers\dqkcaurg.sys [X] S1 unzpezbg; \??\C:\Windows\system32\drivers\unzpezbg.sys [X] 2017-10-12 17:51 - 2017-10-12 21:33 - 000000000 ____D C:\ProgramData\ad8a42d0-6cd7-1 2017-10-12 17:51 - 2017-10-12 21:33 - 000000000 ____D C:\ProgramData\ad8a42d0-4af5-0 2017-10-12 17:45 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files\129TZA7WHV 2017-10-12 17:48 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files\8ZCB25VOSK 2017-10-12 17:47 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files (x86)\L0qObltTFUur 2017-10-12 17:47 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files (x86)\fbg33l1j5hc 2017-10-11 21:45 - 2017-10-11 21:45 - 000358400 _____ C:\Windows\0c27bc2489ccbd6abf90736157684dfa.exe 2017-10-11 21:45 - 2017-10-11 21:45 - 000037170 _____ C:\Windows\uninstaller.dat C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\INTENSO (F).LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Vulvakarzinome 2017.ppt.LNK CMD: dir /a C:\Windows CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Agata\AppData\Local CMD: dir /a C:\Users\Agata\AppData\LocalLow CMD: dir /a C:\Users\Agata\AppData\Roaming Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 3. Zastosuj AdwCleaner z opcji Szukaj (nie stosuj jeszcze Oczyść). Dostarcz raport z tego działania. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Nie, po prostu odpowiem niebawem. Mam trudny egzamin przed sobą i dostępny będę jutro.

Ja nie mogę zbytnio nic wykombinować. Skonsultuje się w najbliższym czasie z picasso (jutro, bo dziś nie dam już rady).

Problem spowodowany jest kluczem startowym w rejestrze uruchamiającym konsole komend co uruchomienie komputera. Czy to infekcji? Raczej nie, choć FRST flaguję ten wpis. Oprócz tego system będzie sprzątany z resztek po odinstalowanych programach oraz infekcjach adware. Wdrożymy również kompleksowy skan antywirusowy rekomendowanym narzędziem. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia HKU\S-1-5-21-3419328886-4262450284-3426682108-1000\...\Winlogon: [shell] C:\Windows\System32\cmd.exe [345088 2010-11-21] (Microsoft Corporation) BootExecute: autocheck autochk * sdnclean64.exe GroupPolicy: Ograniczenia CHR StartupUrls: Default -> "hxxp://www.google.com","hxxp://www.yoursearching.com/?type=hp&ts=1451414267&z=253ebf680a6b883cb58608dgdzfw8gbz7g1z1oeqdm&from=face&uid=WDCXWD10EZEX-21M2NA0_WCC3FC37H669FC37H669","hxxp://www.yoursearching.com/?type=hp&ts=1457640022&z=efbf9d615582f15113c598cg2zfw3mfq9z3e1efo2o&from=itr&uid=wdcxwd10ezex-21m2na0_wcc3fc37h669fc37h669" CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 dump_wmimmc; \??\C:\Users\Damian\Desktop\Metin2\GameGuard\dump_wmimmc.sys [X] S3 iusb3hub; system32\DRIVERS\iusb3hub.sys [X] S3 iusb3xhc; system32\DRIVERS\iusb3xhc.sys [X] ContextMenuHandlers1: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers1: [WinRAR32] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers6: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers6: [WinRAR32] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku Task: {2F57269B-1E09-4E2D-AB1E-B0FDAC7D279C} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> Brak pliku Task: {4FE55972-E001-414F-908C-923B173D1218} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> Brak pliku Task: {6F188FE8-AF37-47BA-ADF7-381821C36E09} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> Brak pliku Task: {AC4E5ACF-89F7-4220-BA21-81EE183975E2} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku Task: {CEE64558-E1A7-4D9D-80A7-2001912BE5B5} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> Brak pliku Task: {FA2BC0A6-8D4B-458A-85C8-2B8C72487513} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> Brak pliku C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Metin2.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Catalyst\Project CARS\Start game Project CARS.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Catalyst\Project CARS\Uninstall game Project CARS.lnk C:\Users\Damian\Links\OneDrive.lnk C:\Users\Damian\Desktop\FIFA18 — skrót.lnk C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\FIFA 18 ICON Edition.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Damian\AppData\Local\Mozilla C:\Users\Damian\AppData\Roaming\Mozilla C:\Users\Damian\AppData\Roaming\Profiles CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Pierwszy raz coś takiego widzę. Jakie masz zainstalowane rozszerzenia do przeglądarki? Korzystasz z najnowszej jej wersji?

Podaj jeszcze raport, o który prosi Marcin.

W porządku, w takim razie uznaję, że możemy kończyć. Na koniec zastosuj DelFix oraz odpal aktualizacje systemu i ważnych programów.

To wygląda na problem infekcyjny. Temat przenoszę do działu Pomocy doraźnej, gdzie odbędzie się ewentualne leczenie systemu z infekcji. Zapoznaj się proszę z zasadami tego działu.

Z analizy wynika, że czołowi producenci oprogramowania zabezpieczającego znaleźli w tym złośliwe oprogramowanie. Moje zalecenie jest następujące: odinstalować grę i wszystkie jej komponenty. Upewnić się, że ten plik został również skasowany. Jak ta gra i skąd znalazła się na Twoim komputerze (była pobrana z oficjalnych źródeł producenta, modyfikacje również?).

Wszystko pomyślnie wykonane, infekcje usunięte, system wyczyszczony z resztek. Wygląda to już w porządku. Detekcje z MBAM o nazwie PUP.Optional.StartPage daj do kasacji, resztę zostaw. Plik od tej gry tj. C:\PROGRAM FILES (X86)\MOUNT BLADE WARBAND\MBREG_FIANNA_PROPER.EXE sprawdź w serwisie VirusTotal.com i dostarcz link do analizy.

OK, miło mi to słyszeć. Na koniec zastosuj DelFix oraz odpal aktualizacje systemu i ważnych programów.

Poproszę nowe raporty FRST, ale wygeneruj je za pomocą najnowszej wersji.

W raportach brak oznak infekcji, w spoilerze zadaję tylko kosmetykę systemową (kasacja resztek po odinstalowanym oprogramowaniu) i kasację polityk dot. Windows Defender. Temat przenoszę do działu Pozostałe zagadnienia komputerowe, gdzie będzie prowadzona dalsza pomoc. Dostarcz raport CrystalDiskInfo w celu analizy stanu dysku.

Wpisałem Cię na listę tematów priorytetowych, bo czekałeś 5 dni. Problem przez Ciebie opisany tworzy wpis w rejestrze uruchamiający przy starcie systemu losowe, rosyjskie reklamy. Oprócz tego niestety widoczne są inne infekcje. Wyglądają na standardowe koparki BitCoin. Domyślam się, że wolno chodzi Ci komputer? Przy okazji: czyszczę komputer z resztek po odinstalowanym wcześniej oprogramowaniu. Od razu przechodzimy do działań. 1. Za pomocą Program Install and Uninstall Troubleshooter odinstaluj dwie pozycje o nazwie Google Update Helper (to ogólny aktualizator produktów Google, których Ty nie posiadasz). 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\...\Winlogon: [userinit] C:\Users\Kamil Kowalczyk\AppData\Local\Kometa\StartButton\kometastartvx64.exe,C:\windows\system32\userinit.exe, HKU\S-1-5-21-696178943-1244779741-494401308-1001\...\Run: [cqdbtbuhke] => explorer "hxxp://khovymush.ru/?utm_source=uoua03&utm_content=295e913c7eb43d006191a7eeee61c5ce&utm_term=D8E957798745964B948E3505AF0E8E8A&utm_d=20170321" HKU\S-1-5-21-696178943-1244779741-494401308-1001\...\Run: [Java x86 applicate] => C:\Users\Kamil Kowalczyk\AppData\Roaming\Java\x86-64bits Windows\Config-DefaultMain\SysUtils SDK v2.49\svhcost.exe [ ] () HKU\S-1-5-21-696178943-1244779741-494401308-1001\...\RunOnce: [Flash Inc.] => C:\Users\Kamil Kowalczyk\AppData\Roaming\Adobe\syssl.exe [509952 2017-10-03] () C:\Users\Kamil Kowalczyk\AppData\Roaming\Java C:\Users\Kamil Kowalczyk\AppData\Local\Kometa C:\Users\Kamil Kowalczyk\AppData\Roaming\Adobe\syssl.exe ShortcutTarget: Wysyłanie do programu OneNote.lnk -> C:\Program Files (x86)\Microsoft Office\root\Office16\ONENOTEM.EXE (Brak pliku) GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia HKU\S-1-5-21-696178943-1244779741-494401308-1001\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKU\S-1-5-21-696178943-1244779741-494401308-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-696178943-1244779741-494401308-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku C:\ProgramData\Microsoft\Windows\GameExplorer\{E48C0AD5-44D5-40E4-979C-F5EC3239172A}\PlayTasks\0\Play.lnk C:\Users\Kamil Kowalczyk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Wysyłanie do programu OneNote.lnk DeleteKey: HKCU\Software\Google DeleteKey: HKCU\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google VirusTotal: C:\Users\Kamil Kowalczyk\AppData\Roaming\Java\x86-64bits Windows\Config-DefaultMain\SysUtils SDK v2.49\svhcost.exe VirusTotal: C:\Users\Kamil Kowalczyk\AppData\Local\Kometa\StartButton\kometastartvx64.exe CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Kamil Kowalczyk\AppData\Local CMD: dir /a C:\Users\Kamil Kowalczyk\AppData\LocalLow CMD: dir /a C:\Users\Kamil Kowalczyk\AppData\Roaming CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Większość to odpady, które są niewidoczne z poziomu raportów. Wszystkie detekcje zarówno w AdwCleaner jak i Malwarebytes daj do kasacji (pomimo, że kilka detekcji jest takich samych w obu programach) i podsumuj obecny stan systemu, napisz czy problem ustąpił itd.

W porządku, i przepraszam za wprowadzenie w błąd dot. IE. Skoro cała reszta wygląda OK to kończymy. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Jeszcze raz bardzo dziękuje w imieniu całego zespołu.

Lada moment będziemy kończyć. Teraz wdrażam poprawki i usuwam wcześniej pominiętą infekcję. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: DeleteValue: HKEY_USERS\S-1-5-21-1123165568-1724948108-1352480687-1001\Software\Clients\StartMenuInternet\FirefoxHTML\Capabilities|C:\Program Files (x86)\Firefox\Firefox.exe DeleteValue: HKEY_USERS\S-1-5-21-1123165568-1724948108-1352480687-1001\Software\Clients\StartMenuInternet\FirefoxHTML\DefaultIcon|C:\Program Files (x86)\Firefox\Firefox.exe DeleteValue: HKEY_USERS\S-1-5-21-1123165568-1724948108-1352480687-1001\Software\Clients\StartMenuInternet\FirefoxHTML\InstallInfo|C:\Program Files (x86)\Firefox\Firefox.exe DeleteValue: HKEY_USERS\S-1-5-21-1123165568-1724948108-1352480687-1001\Software\Clients\StartMenuInternet\FirefoxHTML\InstallInfo|C:\Program Files (x86)\Firefox\Firefox.exe DeleteValue: HKEY_USERS\S-1-5-21-1123165568-1724948108-1352480687-1001\Software\Clients\StartMenuInternet\FirefoxHTML\InstallInfo|C:\Program Files (x86)\Firefox\Firefox.exe DeleteValue: HKEY_USERS\S-1-5-21-1123165568-1724948108-1352480687-1001\Software\Clients\StartMenuInternet\FirefoxHTML\shell\open\command|C:\Program Files (x86)\Firefox\Firefox.exe DeleteValue: HKEY_USERS\S-1-5-21-1123165568-1724948108-1352480687-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Firefox\Firefox.exe DeleteValue: HKEY_USERS\S-1-5-21-1123165568-1724948108-1352480687-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Firefox\Firefox.exe DeleteValue: HKEY_USERS\S-1-5-21-1123165568-1724948108-1352480687-1001\Software\Classes\FirefoxHTML\Application Task: {62BA5BB4-76E1-459B-996A-0DEFA2F1BDDB} - System32\Tasks\Microsoft\Windows\Multimedia\Manager => C:\Users\Adrian\AppData\Roaming\Adobe\Manager.exe [2017-10-08] () C:\Users\Adrian\AppData\Roaming\Adobe\Manager.exe Task: {3D4A3688-51FF-4085-8E86-A80AFC4C139D} - System32\Tasks\Microsoft\Windows\Multimedia\Logon => C:\Users\Adrian\AppData\Roaming\Windows_x64_nheqminer-5c\Zcash.exe C:\Users\Adrian\Desktop\programy\AC3D.lnk VirusTotal: C:\Users\Adrian\AppData\Roaming\Windows_x64_nheqminer-5c\Zcash.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom AdwCleaner z opcji Szukaj (nie stosuj Oczyść). Po zakończeniu zadania wydobądź raport znajdujący się w C:\AdwCleaner. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Dołącz plik Fixlog, nowe raporty FRST zbędne.

Sporo infekcji adware. Blokada instalacji antywirusa również jest spowodowana przez te infekcje (została wykorzystana metoda blokowania certyfikatów). Oprócz tego przeglądarka Mozilla FireFox została podmieniona na fałszywą i jej profile - musimy w tym kierunku podjąć sporo kroków. W ogóle: szybko się z tym uporamy. Proszę przeczytaj lekturę jak uniknąć podobnych sytuacji w przyszłości: KLIK. 1. Przez panel sterowania odinstaluj: Programy adware / PUP: YoutubeAdBlock. Podejrzane nazwy programów / niezidentyfikowane: eset. Za pomocą narzędzia Program Install and Uninstall Troubleshooter odinstaluj: Google Update Helper, bo to ogólny aktualizator produktów Google, których Ty nie posiadasz. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {4D04664E-D746-4DD6-84B5-4F705E0948E2} - System32\Tasks\DentaCopy Race Contract => C:\WINDOWS\system32\rundll32.exe "C:\Program Files\DentaCopy Race Contract\DentaCopy Race Contract.dll",zaOcqA C:\Program Files\DentaCopy Race Contract HKLM\...\RunOnce: [DESKTOP-M3GD7NQ] => C:\WINDOWS\TEMP\gC3AD.tmp.exe [212992 2017-10-09] () HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia R2 SecureIM; C:\ProgramData\SecureIM.exe [2908824 2017-10-08] (Adobe Systems Incorporated) C:\ProgramData\SecureIM.exe C:\Program Files (x86)\Everness C:\Users\Adrian\AppData\Local\Everness C:\Users\Adrian\AppData\Roaming\Everness C:\Program Files (x86)\Firefox C:\Users\Adrian\AppData\Local\Firefox C:\Users\Adrian\AppData\Roaming\Firefox HKU\S-1-5-21-1123165568-1724948108-1352480687-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Everness\Application\chrome.exe IFEO\DisplaySwitch.exe: [Debugger] IFEO\taskmgr.exe: [Debugger] 2017-10-09 16:54 - 2017-10-09 16:54 - 000245776 _____ (Mozilla) C:\Users\Adrian\Downloads\Firefox Installer.exe 2017-10-09 16:52 - 2017-10-09 16:52 - 000000000 ____D C:\Program Files (x86)\TQoarIXzU 2017-10-09 16:52 - 2017-10-09 16:52 - 000000000 ____D C:\Program Files (x86)\ICBaloCIDxXU2 2017-10-09 16:52 - 2017-10-09 16:52 - 000000000 ____D C:\Program Files (x86)\CKCpTyVyQIE 2017-10-09 16:52 - 2017-10-09 16:52 - 000000000 ____D C:\Program Files (x86)\AvMVIUoBwtUn 2017-10-08 14:32 - 2017-10-08 14:32 - 000000000 ____D C:\Users\Adrian\AppData\Roaming\lp2p5taby2n 2017-10-08 14:32 - 2017-10-08 14:32 - 000000000 ____D C:\Users\Adrian\AppData\Roaming\34ylgubbfdc 2017-10-08 14:32 - 2017-10-08 14:32 - 000000000 ____D C:\Users\Adrian\AppData\Roaming\0gmhtlqkfnc 2017-10-08 14:32 - 2017-10-08 14:32 - 000000000 ____D C:\ProgramData\f8e566b8-7433-0 2017-10-08 14:32 - 2017-10-08 14:32 - 000000000 ____D C:\ProgramData\f8e566b8-0ba1-1 2017-10-08 14:32 - 2017-10-08 14:32 - 000000000 ____D C:\Program Files\R5HMV2S75W 2017-10-08 14:32 - 2017-10-08 14:32 - 000000000 ____D C:\Program Files\2ZR0WTQQ80 C:\ProgramData\Microleaves C:\Users\Adrian\AppData\Roaming\Microleaves C:\Program Files (x86)\ShutdownTime C:\Users\Adrian\AppData\Local\Microsoft\Windows\GameExplorer\{A20033EC-848B-4990-955E-D40CD74FFC50}\PlayTasks\2\Readme.lnk C:\Users\Adrian\AppData\Local\Microsoft\Windows\GameExplorer\{A20033EC-848B-4990-955E-D40CD74FFC50}\PlayTasks\1\Manual.lnk C:\Users\Adrian\AppData\Local\Microsoft\Windows\GameExplorer\{A20033EC-848B-4990-955E-D40CD74FFC50}\PlayTasks\0\Play.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PLAY\Warlords Battlecry III\Podręcznik Gracza.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PLAY\Warlords Battlecry III\Warlords Battlecry III.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\Warlords Battlecry 3\Uninstall Warlords Battlecry 3.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\Warlords Battlecry 3\Warlords Battlecry 3.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\Warlords Battlecry 3\Documents\Manual.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\Warlords Battlecry 3\Documents\Readme.lnk DeleteKey: HKCU\Software\Eastness DeleteKey: HKCU\Software\Firefox DeleteKey: HKLM\SOFTWARE\WOW6432Node\Eastness DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Adrian\AppData\Local CMD: dir /a C:\Users\Adrian\AppData\LocalLow CMD: dir /a C:\Users\Adrian\AppData\Roaming CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Kompleksowo wymień profile w przeglądarce Mozilla FireFox. Kliknij klawisz z flagą Windows + R > wklej komendę "C:\Program Files\Mozilla Firefox\firefox.exe" -p > załóż nowy profil, wszystkie poprzednie skasuj. Utracisz wszystko z tej przeglądarek, więc ewentualnie możesz wyeksportować zakładki i ważne linki. Ważne, abyś jakąś z przeglądarek ustawił jako domyślną - inaczej nie cofnie się modyfikacja infekcji. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). eastness;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Na pewno załączyłeś?

Z tego raportu nic nie wynika. Na pewno nie jest to sprawa infekcji. Spróbuj naprawmy za pomocą Ostatniej, poprawnej znanej konfiguracji systemu, czyli przy starcie systemu kliknij i przytrzymaj w klawisz F8 następnie wybierz system (jeśli masz więcej niż jeden). Zaznacz opcję Ostatnia znana dobra konfiguracja, a następnie naciśnij klawisz ENTER. Po tej operacji system uruchomi się z ostatnią dobrą konfiguracją zapisaną w rejestrze, o ile system nie jest zbyt poważnie uszkodzony. Ze spraw moderacyjnych: popraw nazwę tematu ta jest mało adekwatna. Proponuję Uszkodzony system Windows po awarii prądu.

Wygląda na to, że wszystko pomyślnie wykonane, a główny problem zażegnany. Ważna czy nie ważna, ma być zrobiony wszystko porządne. Zacznij od reinstalacji przeglądarki: KLIK. W imieniu całego zespołu Fixitpc.pl dziękuje za wsparcie

Koniecznie dostarcz raport z MBAM. Teraz na ślepo odbuduję tę usługę i zobaczymy, najwyżej będziemy kombinować dalej. Oprócz tego zajmiemy się lekkim sprzątaniem systemu z adware / PUP i szczątek. 1. Przez Panel Sterowania odinstaluj adware / PUP: Browser Configuration Utility. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ShortcutTarget: Telegram.lnk -> C:\Users\Profil\AppData\Roaming\Telegram Desktop\Telegram.exe (Brak pliku) HKU\S-1-5-21-3295605243-3104791100-1276282624-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.splashtop.com/asusexpressgate/mb/searchAPI.php?SE=yahoo&QS=http%3A%2F%2Fuk.search.yahoo.com%2Fsearch%3Ffr%3Dfp-devicevm%26type%3DWEB01 SearchScopes: HKU\S-1-5-21-3295605243-3104791100-1276282624-1001 -> DefaultScope {CFE0D3DA-DB73-4ceb-BC9D-E4A25C68DE8F} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=EGMB SearchScopes: HKU\S-1-5-21-3295605243-3104791100-1276282624-1001 -> {CFE0D3DA-DB73-4ceb-BC9D-E4A25C68DE8F} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=EGMB SearchScopes: HKU\S-1-5-21-3295605243-3104791100-1276282624-1001 -> {B63C2A71-1DE6-4e64-A2D9-E728F8DCE872} URL = hxxp://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=5369970905&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms} FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] S2 HuaweiHiSuiteService64.exe; "C:\Program Files (x86)\HiSuite\HandSetService\HuaweiHiSuiteService64.exe" -/service [X] S2 InstallerService; C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe -originalversion 4.14.102.0 [X] S3 MSICDSetup; \??\I:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\I:\NTIOLib_X64.sys [X] S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X] ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Social Games.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Metin2.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\PDFCreator Pomoc.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opt-In Software\Web Proxy Checker.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Andy\HandyAndy.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Andy\Start Andy.lnk C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Social Games.lnk C:\Users\Profil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Social Games.lnk C:\Users\Profil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mod Organizer\Mod Organizer.lnk C:\Users\Profil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mod Organizer\Uninstall.lnk StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Themes] "Start"=dword:00000002 "DisplayName"="@%SystemRoot%\\System32\\themeservice.dll,-8192" "ErrorControl"=dword:00000001 "Group"="ProfSvc_Group" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Type"=dword:00000020 "Description"="@%SystemRoot%\\System32\\themeservice.dll,-8193" "ObjectName"="LocalSystem" "RequiredPrivileges"=hex(7):53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,\ 00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,\ 72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,44,00,65,\ 00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,00,61,00,74,\ 00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Themes\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceMain"="ThemeServiceMain" "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 74,00,68,00,65,00,6d,00,65,00,73,00,65,00,72,00,76,00,69,00,63,00,65,00,2e,\ 00,64,00,6c,00,6c,00,00,00 EndRegedit: Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Przeprowadź skanowanie integralności plików Windows. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. 4. Dostarcz plik Fixlog i sprawdź czy kompozycja Aero już działa.

Cieszę się, że wszystko pomyślnie wykonane. Z Twojego punktu widzenia to było mało (bo wszystko zautomatyzowałem do skryptu naprawczego, który napisałem), ale z mojego punktu widzenia to było usuwanie masy infekcji. Przy okazji wyczyściłem Ci ok. 50 GB plików tymczasowych, więc na pewno zwolniło Ci się sporo miejsca na dysku - na końcu "zmuszę" Cię abyś zainstalował porządne oprogramowanie antywirusowe. AdwCleaner usunie resztki, a mój kolejny skrypt dobije ostatnie modyfikacje. Na wszelki wypadek przeprowadzimy jeszcze skan antywirusowy rekomendowanym narzędziem. 1. Zagrożenia wykryte przez AdwCleaner daj do kasacji (za pomocą opcji Oczyść). 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\...\Policies\Explorer: [NoActiveDesktop] 1 HKLM\...\Policies\Explorer: [NoActiveDesktopChanges] 1 HKLM\...\Policies\Explorer: [ForceActiveDesktopOn] 0 HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Policies\Explorer: [NoDriveTypeAutoRun] 145 HKLM\ DisallowedCertificates: 1916A2AF346D399F50313C393200F14140456616 (U) HKLM\ DisallowedCertificates: 2A83E9020591A55FC6DDAD3FB102794C52B24E70 (U) HKLM\ DisallowedCertificates: 2B84BFBB34EE2EF949FE1CBE30AA026416EB2216 (U) HKLM\ DisallowedCertificates: 305F8BD17AA2CBC483A4C41B19A39A0C75DA39D6 (U) HKLM\ DisallowedCertificates: 367D4B3B4FCBBC0B767B2EC0CDB2A36EAB71A4EB (U) HKLM\ DisallowedCertificates: 3A850044D8A195CD401A680C012CB0A3B5F8DC08 (U) HKLM\ DisallowedCertificates: 40AA38731BD189F9CDB5B9DC35E2136F38777AF4 (U) HKLM\ DisallowedCertificates: 43D9BCB568E039D073A74A71D8511F7476089CC3 (U) HKLM\ DisallowedCertificates: 471C949A8143DB5AD5CDF1C972864A2504FA23C9 (U) HKLM\ DisallowedCertificates: 51C3247D60F356C7CA3BAF4C3F429DAC93EE7B74 (U) HKLM\ DisallowedCertificates: 5DE83EE82AC5090AEA9D6AC4E7A6E213F946E179 (U) HKLM\ DisallowedCertificates: 61793FCBFA4F9008309BBA5FF12D2CB29CD4151A (U) HKLM\ DisallowedCertificates: 637162CC59A3A1E25956FA5FA8F60D2E1C52EAC6 (U) HKLM\ DisallowedCertificates: 63FEAE960BAA91E343CE2BD8B71798C76BDB77D0 (U) HKLM\ DisallowedCertificates: 6431723036FD26DEA502792FA595922493030F97 (U) HKLM\ DisallowedCertificates: 7D7F4414CCEF168ADF6BF40753B5BECD78375931 (U) HKLM\ DisallowedCertificates: 80962AE4D6C5B442894E95A13E4A699E07D694CF (U) HKLM\ DisallowedCertificates: 86E817C81A5CA672FE000F36F878C19518D6F844 (U) HKLM\ DisallowedCertificates: 8E5BD50D6AE686D65252F843A9D4B96D197730AB (U) HKLM\ DisallowedCertificates: 9845A431D51959CAF225322B4A4FE9F223CE6D15 (U) HKLM\ DisallowedCertificates: B533345D06F64516403C00DA03187D3BFEF59156 (U) HKLM\ DisallowedCertificates: B86E791620F759F17B8D25E38CA8BE32E7D5EAC2 (U) HKLM\ DisallowedCertificates: C060ED44CBD881BD0EF86C0BA287DDCF8167478C (U) HKLM\ DisallowedCertificates: CEA586B2CE593EC7D939898337C57814708AB2BE (U) HKLM\ DisallowedCertificates: D018B62DC518907247DF50925BB09ACF4A5CB3AD (U) HKLM\ DisallowedCertificates: F8A54E03AADC5692B850496A4C4630FFEAA29D83 (U) HKLM\ DisallowedCertificates: FA6660A94AB45F6A88C0D7874D89A863D74DEE97 (U) Lsa: [Authentication Packages] msv1_0 Lsa: [Notification Packages] scecli SecurityProviders: credssp.dll SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - Brak pliku SSODL-x32: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - Brak pliku BootExecute: autocheck autochk * AlternateShell: cmd.exe CHR HomePage: Default -> hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvHPkpvb-No78HikOEZEV2_LfH80ml8jqaUs3k_rxzv8Fc2MqsPUWbWU0f55y6UhUhRUsNvWw5M9AO9drg1XVRzKClyLFY6lwEOj-mdUGkERacYWGX4zOQdYLpyP8DPgDukEj4ZRGV2PEryUmtzeVsk1YYXw,, S2 RIVpemjyECl8 Updater; C:\Program Files (x86)\RIVpemjyECl8 Updater\RIVpemjyECl8 Updater.exe [X] S2 suUqZBp2wcSI Updater; C:\Program Files (x86)\suUqZBp2wcSI Updater\suUqZBp2wcSI Updater.exe [X] U3 Winsock; Brak ImagePath C:\Users\wiczi\Desktop\securedisk — skrót.lnk C:\Users\Public\Desktop\Download icq.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

System jest kolosalnie zainfekowany. Dramat, więc nie będę tego opisywał zbytnio bo mi palce odpadną od pisania. DNS ustawione z poziomu Windows również są zainfekowane (KLIK / KLIK). Ze względów bezpieczeństwa nie wykonuj żadnych operacji związanych z płatnością online oraz nie loguj się do ważnych serwisów na tym komputerze. Na końcu dezynfekcji będzie wymagana prewencyjna zmiana haseł wszystkich serwisach. Jeśli nie będziesz potrafił wykonać jakiejś czynności to STOP. Nie wykonuj dalszych kroków, a zgłoś się po pomoc. 1. Zaczniemy od deinstalacji. Za pomocą narzędzia Program Install and Uninstall Troubleshooter odinstaluj: Online Application. Przez Panel Sterowania odinstaluj adware / PUP: FastDataX 1.20, DAEMON Tools Toolbar, RIVpemjyECl8 Updater version 1.2.0.4, suUqZBp2wcSI Updater version 1.2.0.4, YoutubeAdBlock. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [sERVICE] => [X] HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [WifiAudio] => C:\Users\wiczi\AppData\Local\Temp\Rar$EXa0.900\wifiaudio_windows.exe HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [msiql] => C:\Users\wiczi\AppData\Local\Temp\00007476\msiql.exe /RUNNING HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [jorrj0dirj4] => "C:\Users\wiczi\AppData\Roaming\mgdc00zcfgp\2mslswu0add.exe" HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [AC4B63GB8D7ZXQY] => C:\Program Files\039D13FSE0\039D13FSE.exe [668672 2017-10-07] (59) HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [ans55we5zxf] => "C:\Users\wiczi\AppData\Roaming\ctsli5py401\lrkyvvmkhj1.exe" HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [k2hbjtkux4n] => "C:\Users\wiczi\AppData\Roaming\3lx1isnuf5g\0vjx5xcdz01.exe" HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [35s1qqalrvf] => "C:\Users\wiczi\AppData\Roaming\sd4uyjj3qwd\bfmlqaqsivp.exe" HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [3LDCG2UWTIBBNNW] => C:\Program Files\J33CWQTO0X\J33CWQTO0.exe [668672 2017-10-07] (59) HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [b9XA3KPASSP0IEP] => C:\Program Files\AYMZ4WRTNO\AYMZ4WRTN.exe [668672 2017-10-07] (59) HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [j3rpfkwdop4] => "C:\Users\wiczi\AppData\Roaming\aa3xp1m3evr\qxgmkgztgij.exe" HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [R4TBOLE2FWLHC2W] => C:\Program Files\K7KJNWYTE4\K7KJNWYTE.exe [668672 2017-10-07] (59) HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [ty3nb2wyauq] => "C:\Users\wiczi\AppData\Roaming\biy1bidt4l0\tsxuupndsze.exe" HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [t14dhmjgejq] => "C:\Users\wiczi\AppData\Roaming\2abg233kem3\um1ag4wwd4y.exe" HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [ouwa0r4lz30] => "C:\Users\wiczi\AppData\Roaming\iagqaaqvol0\n4ekvd3z3qr.exe" HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [PEHBPKUX8X99RZ3] => C:\Program Files\ZEVYAVKYSI\ZEVYAVKYS.exe [668672 2017-10-07] (59) HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [46NFVDANM7YK9DW] => C:\Program Files\PYKWL8MGUZ\PYKWL8MGU.exe [668672 2017-10-07] (59) HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [rfra4ehjfvj] => "C:\Users\wiczi\AppData\Roaming\jxdezycqule\mh00zvmvibr.exe" HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [brdvwcdk4ao] => "C:\Users\wiczi\AppData\Roaming\0jqi0zgv0ji\s2jft1xc53b.exe" HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [nj44jggelhu] => "C:\Users\wiczi\AppData\Roaming\gbs2qwnbw14\glgusc5w4kb.exe" HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [RGIM0EA3JE1WX9Q] => C:\Program Files\17B7WZZR38\17B7WZZR3.exe [668672 2017-10-07] (59) HKU\S-1-5-21-319334698-2115631649-3299897735-1000\...\Run: [JQIRXKQRID2CHP5] => C:\Program Files\MDNQT2KV8R\MDNQT2KV8.exe [668672 2017-10-07] (59) C:\Program Files\039D13FSE0 C:\Program Files\J33CWQTO0X C:\Program Files\AYMZ4WRTNO C:\Program Files\AYMZ4WRTNO C:\Program Files\K7KJNWYTE4 C:\Program Files\ZEVYAVKYSI C:\Program Files\PYKWL8MGUZ C:\Program Files\17B7WZZR38 C:\Program Files\MDNQT2KV8R C:\Users\wiczi\AppData\Roaming\jxdezycqule C:\Users\wiczi\AppData\Roaming\0jqi0zgv0ji C:\Users\wiczi\AppData\Roaming\gbs2qwnbw14 C:\Users\wiczi\AppData\Roaming\aa3xp1m3evr C:\Users\wiczi\AppData\Roaming\biy1bidt4l0 C:\Users\wiczi\AppData\Roaming\2abg233kem3 C:\Users\wiczi\AppData\Roaming\iagqaaqvol0 C:\Users\wiczi\AppData\Roaming\mgdc00zcfgp C:\Users\wiczi\AppData\Roaming\ctsli5py401 C:\Users\wiczi\AppData\Roaming\3lx1isnuf5g C:\Users\wiczi\AppData\Roaming\sd4uyjj3qwd ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - C:\Users\wiczi\AppData\Roaming\tmp546.dat -> Brak pliku HKU\S-1-5-21-319334698-2115631649-3299897735-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\ProgramData\DreamScreen\DreamScreen.scr [5313536 2017-10-07] (TODO: ) C:\ProgramData\DreamScreen GroupPolicy: Ograniczenia - Chrome Tcpip\Parameters: [NameServer] 82.163.143.136 82.163.142.138 Tcpip\..\Interfaces\{669E9543-2778-4A2E-BE7D-4CC3C7525398}: [NameServer] 82.163.142.8,95.211.158.136 HKU\S-1-5-21-319334698-2115631649-3299897735-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvHPkpvb-No78HikOEZEV2_LfH80ml8jqaUs3k_rxzv8Fc2MqsPUWbWU0f55y6UhUhXjFR4Ifimk_SXDDbLQTfSW8fFDa20g6OXN_f9UZwckQTBRyJxl-_hnOjxCywjkR0FJafhNXysuyoQalkYEbYjAub8Q,,&q={searchTerms} HKU\S-1-5-21-319334698-2115631649-3299897735-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvHPkpvb-No78HikOEZEV2_LfH80ml8jqaUs3k_rxzv8Fc2MqsPUWbWU0f55y6UhUt99UoLAxdD8NuPXs55NQpueu9KN1m6ZTGiXWq1p6eLKO43l_L4ei16X-VY4IA2E9pyieNyNJCI9H0ZhBxMb9gbEMANw,, SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvHPkpvb-No78HikOEZEV2_LfH80ml8jqaUs3k_rxzv8Fc2MqsPUWbWU0f55y6UhUhXjFR4Ifimk_SXDDbLQTfSW8fFDa20g6OXN_f9UZwckQTBRyJxl-_hnOjxCywjkR0FJafhNXysuyoQalkYEbYjAub8Q,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-319334698-2115631649-3299897735-1000 -> DefaultScope {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvHPkpvb-No78HikOEZEV2_LfH80ml8jqaUs3k_rxzv8Fc2MqsPUWbWU0f55y6UhUhXjFR4Ifimk_SXDDbLQTfSW8fFDa20g6OXN_f9UZwckQTBRyJxl-_hnOjxCywjkR0FJafhNXysuyoQalkYEbYjAub8Q,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKU\S-1-5-21-319334698-2115631649-3299897735-1000 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvHPkpvb-No78HikOEZEV2_LfH80ml8jqaUs3k_rxzv8Fc2MqsPUWbWU0f55y6UhUhXjFR4Ifimk_SXDDbLQTfSW8fFDa20g6OXN_f9UZwckQTBRyJxl-_hnOjxCywjkR0FJafhNXysuyoQalkYEbYjAub8Q,,&q={searchTerms} CHR HKLM-x32\...\Chrome\Extension: [clgckgfbhciacomhlchmgdnplmdiadbj] - hxxps://clients2.google.com/service/update2/crx R2 backlh; C:\ProgramData\Logic Cramble\set.exe [3780096 2017-08-17] () [brak podpisu cyfrowego] C:\ProgramData\Logic Cramble S3 EsgScanner; system32\DRIVERS\EsgScanner.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] 2017-09-18 09:28 - 2017-09-18 09:28 - 007327744 _____ () C:\Users\wiczi\AppData\Local\agent.dat 2017-09-18 09:28 - 2017-09-18 09:28 - 000070800 _____ () C:\Users\wiczi\AppData\Local\Config.xml 2017-09-18 09:28 - 2017-09-18 09:28 - 001895382 _____ () C:\Users\wiczi\AppData\Local\Faxjob.bin 2017-09-18 09:28 - 2017-09-18 09:28 - 002554368 _____ (TODO: ) C:\Users\wiczi\AppData\Local\GreenWarm.exe 2017-09-18 09:28 - 2017-09-18 09:28 - 001899389 _____ () C:\Users\wiczi\AppData\Local\GreenWarm.tst 2017-09-18 09:28 - 2017-09-18 09:28 - 000016464 _____ () C:\Users\wiczi\AppData\Local\InstallationConfiguration.xml 2017-09-18 09:28 - 2017-09-18 09:28 - 000140800 _____ () C:\Users\wiczi\AppData\Local\installer.dat 2017-09-18 09:28 - 2017-09-18 09:28 - 000018432 _____ () C:\Users\wiczi\AppData\Local\Main.dat 2017-09-18 09:28 - 2017-09-18 09:28 - 000005568 _____ () C:\Users\wiczi\AppData\Local\md.xml 2017-09-18 09:28 - 2017-09-18 09:28 - 000126464 _____ () C:\Users\wiczi\AppData\Local\noah.dat 2017-09-18 09:28 - 2017-09-18 09:28 - 002554368 _____ (TODO: ) C:\Users\wiczi\AppData\Local\TinRanfix.exe 2017-09-18 09:28 - 2017-09-18 09:28 - 000278508 _____ () C:\Users\wiczi\AppData\Local\TinRanfix.tst 2017-09-18 09:28 - 2017-09-18 09:28 - 000032038 _____ () C:\Users\wiczi\AppData\Local\uninstall_temp.ico Task: {4DABA4CF-48BC-47E8-9B36-398229333BCA} - System32\Tasks\{7D0F0A47-0E78-7F0B-0F11-7F0F09791179} => C:\Windows\system32\WindowsPowershell\v1.0\powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand OwAgACAAOwAgADsAJABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAIgA7ACQAVwBhAHIAbgBpAG4AZwBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AJABzAGMA (dane wartości zawierają 9540 znaków więcej). Task: {111E2617-97A6-4DFE-91D7-68B15355CE0C} - System32\Tasks\LaCieS => C:\Disk\WebService.exe [2017-09-18] (TODO: ) C:\Disk\WebService.exe C:\Disk\securedisk.exe Task: {07733C2B-B09A-48A7-B06B-2D1C0408E614} - System32\Tasks\Opera scheduled Autoupdate 1506784223 => C:\Users\wiczi\AppData\Local\Programs\Opera\launcher.exe Task: {38A2A7E0-A278-433F-8AA0-476C1BCF30A0} - System32\Tasks\jJKowXmxzIFxIuj => rundll32 "C:\Program Files (x86)\TQoarIXzU\CfZgRr.dll",#1 Task: {38EF46DD-79BA-46A2-B7A6-02F0F8027642} - System32\Tasks\jJKowXmxzIFxIuj2 => rundll32 "C:\Program Files (x86)\TQoarIXzU\CfZgRr.dll",#1 Task: {E8746C37-5B0C-4B7B-9EC4-12551D03784D} - System32\Tasks\LSjUFtTofwjkxN => rundll32 "C:\Program Files (x86)\ICBaloCIDxXU2\NCgfMZIgPRUri.dll",#1 Task: C:\Windows\Tasks\jJKowXmxzIFxIuj.job => C:\Program Files (x86)\TQoarIXzU\CfZgRr.dll C:\Program Files (x86)\TQoarIXzU Task: {85D7E03C-E193-4D63-B9A1-8C25E517BA90} - System32\Tasks\Beeper => C:\Windows\system32\rundll32.exe "C:\Program Files\Beeper\Beeper.dll",njxVgIafTBR C:\Program Files\Beeper Task: {5EE02D9A-E4A4-4C40-BF68-B96C914D13CD} - System32\Tasks\{63AD27C3-C35E-E0B0-63EC-813B01F4AC0F} => C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\ab4f31a8\9276406a.dll" Task: {D07F2050-C90D-4DD0-AA1F-53F005E6B4C3} - System32\Tasks\{E9AB34FF-5E00-8354-C440-05D4A8CF09DE} => C:\ProgramData\{071E9CDE-B0B5-2B75-8F6A-A7A75FE71BC0}\1B5BA9BC-ACF0-1E17-E3EB-0667DC944503.exe [2017-10-04] () C:\PROGRA~3\ab4f31a8 C:\ProgramData\{071E9CDE-B0B5-2B75-8F6A-A7A75FE71BC0} Task: {E8746C37-5B0C-4B7B-9EC4-12551D03784D} - System32\Tasks\LSjUFtTofwjkxN => rundll32 "C:\Program Files (x86)\ICBaloCIDxXU2\NCgfMZIgPRUri.dll",#1 C:\Program Files (x86)\ICBaloCIDxXU2 ShortcutWithArgument: C:\Users\wiczi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://pop.yeawindows.com/ ShortcutWithArgument: C:\Users\wiczi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://pop.yeawindows.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://pop.yeawindows.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://pop.yeawindows.com/ HKU\S-1-5-21-319334698-2115631649-3299897735-1000\Software\Classes\regfile: regedit.exe "%1" C:\Users\Public\Desktop\EloBuddy.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\wiczi\AppData\Local\Mozilla C:\Users\wiczi\AppData\Roaming\Mozilla C:\Users\wiczi\AppData\Roaming\Profiles CMD: ipconfig /flushdns CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\wiczi\AppData\Local CMD: dir /a C:\Users\wiczi\AppData\LocalLow CMD: dir /a C:\Users\wiczi\AppData\Roaming Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj adware Wize, Clean My Chrome oraz wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zastosuj AdwCleaner z opcji Szukaj (nie stosuj jeszcze Oczyść). Dostarcz raport z tego działania. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.