Miszel03

To co jest w skrypcie to głównie kosmetyka systemowa, instalacja Nero nie powinna tutaj nic zbytnio zmienić. Komentując zaś resztę: wszystkie niepotrzebne Ci programy możesz odinstalować.

To wtedy sprawa trafia na drogę sądową, bo pracodawca nie może Cię zwolnić za to, że chcesz pracować w bezpiecznych warunkach.

W raportach brak oznak infekcji. Kosmetykę systemową pomijam, bo w tej sytuacji wydaję się to być zbędne. Kiedy czujesz, że jesteś szpiegowany (= potencjalnie jesteś w poważnym niebezpieczeństwie!) należy natychmiast udać się na komisariat policji i zgłosić, że prawdopodobnie jesteś ofiarą przestępstwa. Można zrobić to również przez Europejski numer alarmowy 112 lub państwowy policyjny 997.

Raporty nie wykazują oznak infekcji. Poniżej zadaje wątek poboczny i diagnostyczny. Odbywać się będzie pobór najświeższych logów z Dziennika Zdarzeń oraz dodatkowy skan antywirusowy, przy okazji posprzątam system z resztek pozostawionych po odinstalowanych wcześniej programach itd. Poproszę również o raport CrystalDiskInfo. To pomoże zbadać dysk, który często jest problemu w sekcji wolnego działania systemu. 1. Za pomocą Program Install and Uninstall Troubleshooter odinstaluj zbędny (bo nie masz produktów Google) aktualizator produktów Google: Google Update Helper. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll -> Brak pliku ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => C:\Program Files (x86)\AIMP\System\aimp_menu64.dll -> Brak pliku ContextMenuHandlers4: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => C:\Program Files (x86)\AIMP\System\aimp_menu64.dll -> Brak pliku Task: {F48265DD-9135-4FB1-83CB-1467A1AF3F6C} - \Microsoft\Windows\Setup\EOSNotify -> Brak pliku <==== UWAGA HKU\S-1-5-21-1657043038-3288557173-2309702434-1002\Software\Classes\.scr: AutoCADScriptFile => SearchScopes: HKLM -> {90EC94BD-C139-4B72-ADD0-FBFC3876C3A7} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKLM-x32 -> {90EC94BD-C139-4B72-ADD0-FBFC3876C3A7} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-1657043038-3288557173-2309702434-1002 -> {90EC94BD-C139-4B72-ADD0-FBFC3876C3A7} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Program Files (x86)\Common Files\Microsoft Shared\Help\hxds.dll Brak pliku S3 BtAudioBusSrv; \SystemRoot\System32\Drivers\BtAudioBus.sys [X] S3 btUrbFilterDrv; \SystemRoot\System32\Drivers\IvtUrbBtFlt.sys [X] C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\CyberLink Media Suite.lnk C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\CyberLink YouCam.lnk C:\Users\Krzysiek\Links\OneDrive.lnk C:\Users\Krzysiek\Favorites\GG dysk (krzysiekpoz83-gmail_com).lnk C:\Users\Krzysiek\Favorites\GG dysk.lnk C:\Users\Krzysiek\Documents\Programy\Gwint.lnk C:\Users\Krzysiek\Documents\Dla banku\GOG Galaxy.lnk C:\Users\Krzysiek\Desktop\Pulpit\GIMPPortable — skrót.lnk C:\Users\Krzysiek\AppData\Local\Microsoft\Windows\GameExplorer\{51D20414-0220-49F5-A5E7-BAA741341748}\PlayTasks\0\Zagraj.lnk C:\Users\Waleria\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\CyberLink Media Suite.lnk C:\Users\Waleria\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk C:\Users\Waleria\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Chat.lnk C:\Users\Waleria\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk C:\Users\Waleria\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk DeleteKey: HKCU\Software\Mozilla\Firefox DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Krzysiek\AppData\Local\Mozilla\Firefox C:\Users\Krzysiek\AppData\Roaming\Mozilla\Firefox C:\Users\Krzysiek\AppData\Roaming\Profiles DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Log Addition załącz jako załącznik lub wklej na wklej.org

Z tego co mi wiadomo strony na silniku WordPress mają tendencję do wolniejszego działania. Jeśli zaś chodzi o raporty to z pozostawionych szczątek wnioskuję, że był tutaj kiedyś problem z infekcjami adware. Cudem ocalał zarażony profil w przeglądarce Google Chrome - jak go wymienimy na poprawny to przejdziemy do diagnostyki problemu tytułowego. Po za tym teraz zajmę się również kasacją reszek po odinstalowanych wcześniej programach (wdrażam m.in reset pliku Hosts i reguł zapory systemu Windows) 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: FF Plugin: wacom.com/WacomTabletPlugin -> C:\Program Files\TabletPlugins\npWacomTabletPlugin.dll [brak pliku] FF Plugin-x32: wacom.com/WacomTabletPlugin -> C:\Program Files (x86)\TabletPlugins\npWacomTabletPlugin.dll [brak pliku] ContextMenuHandlers1: [KuaiZipShlExt] -> {6ADF19E3-77A3-4395-ADB4-9FD7D351EB3E} => -> Brak pliku ContextMenuHandlers1: [ContextMenuExt] -> {6ADF19E3-77A3-4395-ADB4-9FD7D351EB3E} => -> Brak pliku ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} => -> Brak pliku C:\Users\Alchemy Studio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FormatFactory\Uninstall.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Native Instruments\Service Center\Native Instruments Homepage.lnk CMD: netsh advfirewall reset Hosts: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Otwórz Google Chrome następnie: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Załóż czysty profil > ponownie wejdź do sekcji Osoby i skasuj wszystkie stare profile. 3. Uruchom AdwCleaner z opcji Skanuj (nie stosuj Oczyść). Po zakończeniu zadania wydobądź raport znajdujący się w C:\AdwCleaner. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

W raportach brak oznak infekcji, ale na wszelki wypadek przeprowadźmy skan antywirusowy rekomendowanym przez nas i wielu innych specjalistów narzędziem. Przejrzę również świeże wyciągi z Dziennika Zdarzeń by zobaczyć ewentualnie czy nie wadzi jakiś program. Dodatkowo sprzątam resztki po odinstalowanych wcześniej programach itd. Proszę dostarcz raport CrystalDiskInfo w celu diagnostyki dysku. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [163] HKLM-x32\...\Run: [] => [X] GroupPolicy: Ograniczenia FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] S3 andnetadb; System32\Drivers\lgandnetadb.sys [X] S4 F-Secure Filter; \??\C:\Program Files (x86)\F-Secure\Anti-Virus\Win2K\FSfilter.sys [X] S4 F-Secure Recognizer; \??\C:\Program Files (x86)\F-Secure\Anti-Virus\Win2K\FSrec.sys [X] S3 MBAMProtection; \??\C:\Windows\system32\drivers\mbam.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S3 MBAMWebProtection; \??\C:\Windows\system32\drivers\mwac.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

System jest zainfekowany przez infekcje typu adware / PUP. Na pewno zauważyłeś nadmiar reklam w przeglądarce - to właśnie ich główne objawy. Nowoczesne infekcje tego typu wykorzystują mechanizmy obronne, tak, aby żaden produkt zabezpieczający nie mógł ich usunąć. Ta metoda opiera się na wystawianiu fałszywych certyfikatów systemie. System Windows ich nie rozpoznaje i blokuje. Po za tym wygląda na to, że masz zainfekowany router ponieważ adresy DNS są zagraniczne - a dokładniej Izraelskie (KLIK) - będziemy to korygować. Oprócz tego wszystkiego sprzątam system z resztek po programach i resetuję plik Hosts ze względu na podejrzaną zawartość. Zostanie również usunięte połączenie Proxy - nie wydaje mi się, że to celowe ustawienie (jeśli jednakby tak było to usuń ze skryptu w pkt. 2 linijkę RemoveProxy:) 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {16FF22FD-1D1D-47D7-9AB2-A4E511628E8E} - System32\Tasks\GoogleUpdateSecurityTaskMachine_WI => C:\Users\jedynak\AppData\Local\597ff8dbcc864c808555acdd4a42af95\chipset.exe exec hide HEBMSZRYSW.cmd Task: {2CCA6488-5B01-4595-B147-3F829E29B004} - System32\Tasks\GoogleUpdateSecurityTaskMachine_KJ => C:\Users\jedynak\AppData\Roaming\e2f90f209b0e4001bf284a721d0ea8c9\chipset.exe exec hide WCQLGPVXCI.cmd Task: {7D21B08F-D6FD-42EC-AA0B-AE795CB5E229} - System32\Tasks\GoogleUpdateSecurityTaskMachine_LG => C:\ProgramData\6bbd6a92743c47aea8dda34fa475e5f1\chipset.exe exec hide AGIUWRZCZE.cmd Task: {A82A4ABA-7B5D-46FE-9FD5-3A45E5541075} - System32\Tasks\GoogleUpdateSecurityTaskMachine_VM => C:\ProgramData\3fa84d64b65a49f29a2dece67fe034dd\chipset.exe exec hide GCRNXIAFIA.cmd C:\Users\jedynak\AppData\Local\597ff8dbcc864c808555acdd4a42af95 C:\Users\jedynak\AppData\Roaming\e2f90f209b0e4001bf284a721d0ea8c9 C:\ProgramData\6bbd6a92743c47aea8dda34fa475e5f1 C:\ProgramData\3fa84d64b65a49f29a2dece67fe034dd HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) U\S-1-5-21-937921051-684533228-786433087-1001\...\Run: [FMDANISCXL.exe] => C:\Users\jedynak\AppData\Local\Temp\YKPXKHLRDR\FMDANISCXL.exe HKU\S-1-5-21-937921051-684533228-786433087-1001\...\Run: [2JkWEa90yZkXJ.exe] => C:\Users\jedynak\AppData\Local\8b7e7e33cc2b448e86ed7d1bed683987\2JkWEa90yZkXJ.exe C:\Users\jedynak\AppData\Local\Temp\YKPXKHLRDR C:\Users\jedynak\AppData\Local\8b7e7e33cc2b448e86ed7d1bed683987 GroupPolicy: Ograniczenia - Chrome Tcpip\..\Interfaces\{c79953e3-6496-42e8-ab27-5498e44dddb7}: [NameServer] 82.163.143.12,82.163.142.22 HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = ' SearchScopes: HKU\S-1-5-21-937921051-684533228-786433087-1001 -> DefaultScope {7BD50091-F6A2-4362-B9CF-A3F4775F993C} URL = SearchScopes: HKU\S-1-5-21-937921051-684533228-786433087-1001 -> {7BD50091-F6A2-4362-B9CF-A3F4775F993C} URL = CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] 2017-09-21 13:32 - 2017-09-21 13:32 - 000140800 _____ () C:\Users\jedynak\AppData\Local\installer.dat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Application Compatibility Toolkit\Demo Application\Mitigating Application Issues Using Shims - Lab Guide.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\jedynakAppData\Local\Mozilla C:\Users\jedynak\AppData\Roaming\Mozilla C:\Users\jedynak\AppData\Roaming\Profiles CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\jedynak\AppData\Local CMD: dir /a C:\Users\jedynak\AppData\LocalLow CMD: dir /a C:\Users\jedynak\AppData\Roaming CMD: ipconfig /flushdns RemoveProxy: Hosts: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Jeśli będzie już w porządku to będziemy kończyć. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Wszystko do kasacji. Podsumuj obecny stan systemu.

OK, w takim razie kończymy. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i sam system Windows.

Jeśli temat nadal aktualny to poproszę o nowy zestaw raportów FRST.

Na pewno zrobiłeś dokładnie tak jak jest opisane w tym poradniku: KLIK? Potwórz tą akcję. OK. System został przywrócony do porządku, infekcje usunięte, a kosmetyka systemowa zrobiona. Te pliki DOC przejrzę później i powiem coś więcej na ten temat. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: DeleteKey: HKEY_USERS\S-1-5-21-360975752-3786565279-1083807947-1001\Software\Fishpat DeleteKey: HKEY_USERS\S-1-5-21-360975752-3786565279-1083807947-1001\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\df7f444d_0 DeleteValue: HKEY_USERS\S-1-5-21-360975752-3786565279-1083807947-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache|C:\Program Files (x86)\Fishpat\Application\chrome.exe DeleteValue: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment|C:\Program Files (x86)\Fishpat\Reports\Dump Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Dostarcz go.

Wszytko pomyślnie wykonane. Dysk wygląda w porządku. 1. Zagrożenia wykryte przez AdwCleaner daj do kasacji (za pomocą opcji Oczyść). 2. Preferencje przeglądarki Google Chrome zostały zmodyfikowane przez adware co mija się z moimi pierwszymi przypuszczeniami. Wymagana jest kompleksowa reinstalacja Google Chrome. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

Podaj linki. Teraz śmiało mogę teraz powiedzieć, że w systemie brak oznak infekcji. Podmień sobie tylko skrypt z pkt. 2 na ten poniższy (tamten jest zrobiony pod infekcje DNS). CloseProcesses: CreateRestorePoint: S3 klids; \??\C:\ProgramData\Kaspersky Lab\AVP16.0.1\Bases\klids.sys [X] CustomCLSID: HKU\S-1-5-21-689077054-4267889677-1268134294-1001_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-A5541C1C03A3}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {1B826A68-2BFD-486B-B775-CDAEB1CE3B7E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {1D7D4060-DAE8-4F05-88FE-05A6FA97A47E} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {280944C5-56A5-4AEC-BA87-45ADC43FB063} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {3387189F-AA93-45AE-82F7-728BAA9584C7} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {5AB3FC94-C677-4FD8-BD55-5E866F0BDE89} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {62181F62-BCDF-46C4-B2AA-E5813ECFFC97} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {6BCC9D5F-B8B6-49C9-9401-B260ACF0280C} - \CCleanerSkipUAC -> Brak pliku Task: {A5658747-E50E-400C-94FF-53EBA4BFDD9C} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {BAACA7C6-C5F1-4C9B-BB5F-DEEE0D7D2A65} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {D2EC9FF0-07D6-4665-BF8D-515F9E24D0CF} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {DC8A6D5F-25CB-47FC-8C7D-4C4CCA68EC6D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {E6488BEE-1463-487C-822D-5B2346287339} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku C:\Users\Misiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\µTorrent.lnk CMD: netsh advfirewall reset EmptyTemp:

Raporty nie wykazują oznak infekcji. W spoilerze zadaję działania poboczne (czyli sprzątanie systemu z resztek po programach itd.). Czy Tryb testu jest ustawieniem celowym?

Posty łącze. Używaj proszę opcji Edytuj dostępnej przy każdym poście. Raporty umieść jako załącznik, serwisy wklejkowe utrudniają analizę raportów (z wyjątkiem wklej.org). P.S: GMER niepotrzebny, już go nie wymagamy. Takich programów trzeba używać z głową, dla zwykłych użytkowników nie polecamy takich "czyścicieli" systemu.

Wygląda na to, że dysk jest w porządku. Muszę jeszcze pomyśleć co tu może być przyczyną. Odezwę się.

Rozumiem, że nie chcesz, abym sprawdził system pod kątem infekcji?

Mało prawdopodobne, że Twój system został zainfekowany ponieważ malware znajdowało się w instalatorach dla system 32 bitowego, a Twój system jest 64 bitowy. Ewentualną infekcję usunie w całości Malwarebytes, zaś ja w skrypcie uwzględniam tylko sprzątanie systemu z resztek po programach itd. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: FF Plugin: @microsoft.com/GENUINE -> disabled [No File] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File] FF Plugin: @videolan.org/vlc,version=2.0.7 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [No File] FF HKLM-x32\...\Firefox\Extensions: [{FFB96CC1-7EB3-449D-B827-DB661701C6BB}] - C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker => not found FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => not found S3 BCM43XX; system32\DRIVERS\bcmwl664.sys [X] S3 btwaudio; system32\drivers\btwaudio.sys [X] S3 btwavdt; system32\DRIVERS\btwavdt.sys [X] S3 btwl2cap; system32\DRIVERS\btwl2cap.sys [X] S3 btwrchid; system32\DRIVERS\btwrchid.sys [X] S3 RSUSBSTOR; System32\Drivers\RtsUStor.sys [X] S4 sptd; System32\Drivers\sptd.sys [X] S3 STHDA; system32\DRIVERS\stwrt64.sys [X] S3 MBAMFarflt; \??\C:\windows\system32\drivers\farflt.sys [X] S3 MBAMProtection; \??\C:\windows\system32\drivers\mbam.sys [X] S3 MBAMWebProtection; \??\C:\windows\system32\drivers\mwac.sys [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File ContextMenuHandlers1_S-1-5-21-908772619-3192644915-72303369-1000: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => -> No File ContextMenuHandlers4_S-1-5-21-908772619-3192644915-72303369-1000: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => -> No File ContextMenuHandlers5_S-1-5-21-908772619-3192644915-72303369-1000: [GGDriveMenu] -> {E68D0A55-3C40-4712-B90D-DCFA93FF2534} => -> No File C:\ProgramData\Microsoft\Windows\GameExplorer\{21C35C68-A6C5-4A75-8FFD-DB503CE6F67B} C:\Users\Konar\Desktop\Programs\CCleaner.lnk C:\Users\Konar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WapSter\AQQ\Deinstalacja.lnk C:\Users\Konar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WapSter\AQQ\Uruchom AQQ.lnk C:\Users\Konar\AppData\Local\Microsoft\Windows\GameExplorer\{7E70F0A9-F30E-4188-ABCA-A8F5FEE96AB8}\PlayTasks\0\The Witcher Enhanced Edition.lnk CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (masz go na dysku więc koniecznie robisz aktualizacje bazy danych i samego programu). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3.Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Zastosuj się do zasad działu leczenia systemu z infekcji - KLIK.

A gdzie raport z tej operacji? Skoro wszystkie pliki zostały odzyskane i działają z wyjątkiem plików DOC to obawiam się, że te są uszkodzone. Shostuj je gdzieś i prześlij mi na PW do sprawdzenia, oczywiście jeśli nie są poufne. Poszło gładko. Do kasacji zostały resztki po infekcjach oraz sama fałszywa przeglądarka, która wcześniej pominąłem. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\Program Files (x86)\ayk3F7F C:\Program Files (x86)\j10gqnmc C:\Program Files (x86)\jr4bnhdn C:\Program Files (x86)\Jujatsterkerther C:\Program Files (x86)\tz4iudxh C:\Program Files (x86)\UvConverter C:\Program Files (x86)\zeiaih4k C:\ProgramData\gjcfj C:\ProgramData\QQBrowser C:\ProgramData\Tencent C:\ProgramData\ttff C:\Users\Bartek\AppData\Local\UCBrowser C:\Users\Bartek\AppData\Local\vufshwpelyreemicult C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\86bee06da8dbda8b\Google Chrome.lnk C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7cdc350dafa50a54\Google Chrome.lnk MSCONFIG\startupreg: apphide => C:\Program Files (x86)\sbqh\uc.exe MSCONFIG\startupreg: svchost0 => "C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe"\UUC0789.exe C:\Program Files (x86)\Fishpat C:\Users\Bartek\AppData\Local\Fishpat DeleteKey: HKLM\SOFTWARE\WOW6432Node\Fishpat DeleteKey: HKEY_USERS\S-1-5-21-252974029-621322211-1437129156-1001\SOFTWARE\Fishpat EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wygląda na to, że przeglądarka Google Chrome jest zainfekowana bardziej niż mi się wydawało (= zarażone preferencje). Wymagana jest kompleksowa reinstalacja przeglądarki. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. Koniecznie ustaw przeglądarkę Google Chrome jako domyślną, to musi być zrobione w celu niwelacji ustawień infekcji. 3. Zastosuj AdwCleaner z opcji najpierw Skanuj, a następnie z opcji Oczyść. Dostarcz raport z tego działania. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). fishpat Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Raporty wskazują na to, że niedawno był tutaj większy bałagan. Teraz zajmować się będziemy sprzątaniem systemu z infekcji typu adware / PUP. Wątkiem pobocznym będzie sprzątanie systemu z po programach itd. Jeśli zaś chodzi o tytułowy problem to nie widzę przyczyny na tym systemie, przypuszczalnie pendrive został zainfekowany na innym. Punkt 1 powinien przywrócić pliki i wyleczyć pendirve. 1. Podepnij zainfekowanego pendrive do portu USB, a następnie w interfejsie USBFix kliknij Clean. Dostarcz raport z przeprowadzenia tego działania. 2. Przez Panel Sterowania odinstaluj adware / PUP: WinZip. 3. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM-x32\...\RunOnce: [] => [X] HKU\S-1-5-21-360975752-3786565279-1083807947-1001\...\Run: [GalaxyClient] => [X] HKLM\...\Providers\hizyzp25: C:\Program Files (x86)_\local64spl.dll HKLM\...\Providers\yn2ca30o: C:\Program Files (x86)\\local64spl.dll C:\Program Files (x86)_\local64spl.dll C:\Program Files (x86)\\local64spl.dll C:\Program Files (x86)\local64spl.dll.ini SearchScopes: HKU\S-1-5-21-360975752-3786565279-1083807947-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = KLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1477333215&z=246edfc7b45dca66060252ag4z5m8m9c2c8c3o4g7c&from=interhop1024&uid=HitachiXHTS543232L9A300_090930FB8400CEJ4270AX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1477333215&z=246edfc7b45dca66060252ag4z5m8m9c2c8c3o4g7c&from=interhop1024&uid=HitachiXHTS543232L9A300_090930FB8400CEJ4270AX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1477333215&z=246edfc7b45dca66060252ag4z5m8m9c2c8c3o4g7c&from=interhop1024&uid=HitachiXHTS543232L9A300_090930FB8400CEJ4270AX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1477333215&z=246edfc7b45dca66060252ag4z5m8m9c2c8c3o4g7c&from=interhop1024&uid=HitachiXHTS543232L9A300_090930FB8400CEJ4270AX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1477333215&z=246edfc7b45dca66060252ag4z5m8m9c2c8c3o4g7c&from=interhop1024&uid=HitachiXHTS543232L9A300_090930FB8400CEJ4270AX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1477333215&z=246edfc7b45dca66060252ag4z5m8m9c2c8c3o4g7c&from=interhop1024&uid=HitachiXHTS543232L9A300_090930FB8400CEJ4270AX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1477333215&z=246edfc7b45dca66060252ag4z5m8m9c2c8c3o4g7c&from=interhop1024&uid=HitachiXHTS543232L9A300_090930FB8400CEJ4270AX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1477333215&z=246edfc7b45dca66060252ag4z5m8m9c2c8c3o4g7c&from=interhop1024&uid=HitachiXHTS543232L9A300_090930FB8400CEJ4270AX&q={searchTerms} FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => nie znaleziono FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\6416071.js [2017-03-26] FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\6416071.cfg [2017-03-26] S2 ed2kidle; "C:\Program Files (x86)\amuleC\ed2k.exe" -downloadwhenidle [X] S2 IlS; C:\ProgramData\Tencent\QQ\dr\qmdr.dll [X] S2 InterHop; "C:\Program Files (x86)\InterHop\InterHop.exe" {2C8E8C85-942B-451C-8243-97A089265577} [X] S3 OverwolfUpdater; "C:\Program Files (x86)\Overwolf\OverwolfUpdater.exe" /RunningFrom SCM [X] S2 UvConverter; "C:\Program Files (x86)\UvConverter\UvConverter.exe" {2C8E8C85-942B-451C-8243-97A089265577} [X] S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] ContextMenuHandlers1-x32: [WinZipper] -> {DC638EEA-2BA2-4459-9C46-85A2F0BE6040} => C:\Program Files (x86)\WinZipper\wzShellctx64.dll -> Brak pliku ContextMenuHandlers4: [WinZipper] -> {DC638EEA-2BA2-4459-9C46-85A2F0BE6040} => C:\Program Files (x86)\WinZipper\wzShellctx64.dll -> Brak pliku ContextMenuHandlers6-x32: [WinZipper] -> {DC638EEA-2BA2-4459-9C46-85A2F0BE6040} => C:\Program Files (x86)\WinZipper\wzShellctx64.dll -> Brak pliku Task: {296A3842-F378-4B34-9B2A-ACFCF5322269} - \Overwolf Updater Task -> Brak pliku ShortcutWithArgument: C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxps://launchpage.org/?uid=oTlKBKjchxocXe%2FWrUZCG7qKYIrY3ndPJFlyD8TbELWDkEafc%2B65xTmhEN3Q8aOs1w%3D%3D ShortcutWithArgument: C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Fishpat\Application\chrome.exe (Google Inc.) -> hxxps://launchpage.org/?uid=oTlKBKjchxocXe%2FWrUZCG7qKYIrY3ndPJFlyD8TbELWDkEafc%2B65xTmhEN3Q8aOs1w%3D%3D ShortcutWithArgument: C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\86bee06da8dbda8b\Google Chrome.lnk -> C:\Program Files (x86)\Fishpat\Application\chrome.exe (Google Inc.) -> hxxps://launchpage.org/?uid=oTlKBKjchxocXe%2FWrUZCG7qKYIrY3ndPJFlyD8TbELWDkEafc%2B65xTmhEN3Q8aOs1w%3D%3D ShortcutWithArgument: C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7cdc350dafa50a54\Google Chrome.lnk -> C:\Program Files (x86)\Fishpat\Application\chrome.exe (Google Inc.) -> hxxps://launchpage.org/?uid=oTlKBKjchxocXe%2FWrUZCG7qKYIrY3ndPJFlyD8TbELWDkEafc%2B65xTmhEN3Q8aOs1w%3D%3D ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxps://launchpage.org/?uid=oTlKBKjchxocXe%2FWrUZCG7qKYIrY3ndPJFlyD8TbELWDkEafc%2B65xTmhEN3Q8aOs1w%3D%3D CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Bartek\AppData\Local CMD: dir /a C:\Users\Bartek\AppData\LocalLow CMD: dir /a C:\Users\Bartek\AppData\Roaming CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} RemoveProxy: Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 5. Wyczyść przeglądarkę Mozilla FireFox. Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 6. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

A gdzie pełny zestaw raportów FRST? Przejrzyj zasady działu, podlinkowałem Ci je w moim pierwszym poście.

Czyli rozumiem, że nie chcesz sprawdzić systemu pod kątem infekcji?