Miszel03

Poszło gładko, teraz napisz czy problem ustąpił.

Tym razem to ja przepraszam za pożną odpowiedz, ale od 19 miałem urlop. WarThunder wygląda na resztkę, choć to się mija z moimi przypuszczeniami. Klucz z logu Addition usunie AdwCleaner w kolejnym moim poście. Robimy poprawki i skan przeciw infekcją typu adware, co usunie ewentualne resztki. Myślę, że dużymi krokami zbliżamy się do końca. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: S3 iSafeKrnlBoot; C:\WINDOWS\System32\DRIVERS\iSafeKrnlBoot.sys [55056 2016-05-23] (Elex do Brasil Participações Ltda) R1 iSafeNetFilter; C:\WINDOWS\System32\DRIVERS\iSafeNetFilter.sys [52392 2016-05-19] (Elex do Brasil Participações Ltda) C:\WINDOWS\System32\DRIVERS\iSafeKrnlBoot.sys C:\WINDOWS\System32\DRIVERS\iSafeNetFilter.sys 2017-08-16 23:36 - 2016-09-02 18:49 - 000000000 ____D C:\Program Files (x86)\PC Purifier C:\Program Files (x86)\PCPurifier Task: C:\WINDOWS\Tasks\PC Purifier_DEFAULT.job => C:\Program Files (x86)\PC Purifier\PCPurifier.exe Task: C:\WINDOWS\Tasks\PC Purifier_UPDATES.job => C:\Program Files (x86)\PC Purifier\PCPurifier.exe ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> C:\Users\katar\AppData\Roaming\Elex-tech C:\Users\katar\AppData\Roaming\gplyra C:\Users\katar\AppData\Roaming\opera_helper C:\Users\katar\AppData\Roaming\PC Purifier DeleteKey: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\8342b33a_0 DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\"SOFTWARE\Clients\StartMenuInternet\ChromeHTML"\InstallInfo|C:\Program Files (x86)\Bossship\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Bossship\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\ActivatableClasses\Package\DefaultBrowser_NOPUBLISHERID\Server\DefaultBrowserServer|C:\Program Files (x86)\Bossship\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\Extensions\ContractId\Windows.File\PackageId\DefaultBrowser_NOPUBLISHERID\ActivatableClassId\DefaultBrowser.DefaultBrowserActivatableClass|C:\Program Files (x86)\Bossship\Application\chrome.exe,0 DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\Extensions\ContractId\Windows.Launch\PackageId\DefaultBrowser_NOPUBLISHERID\ActivatableClassId\DefaultBrowser.DefaultBrowserActivatableClass|C:\Program Files (x86)\Bossship\Application\chrome.exe,0 DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\Extensions\ContractId\Windows.Protocol\PackageId\DefaultBrowser_NOPUBLISHERID\ActivatableClassId\DefaultBrowser.DefaultBrowserActivatableClass|C:\Program Files (x86)\Bossship\Application\chrome.exe,0 DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\Extensions\ContractId\Windows.Search\PackageId\DefaultBrowser_NOPUBLISHERID\ActivatableClassId\DefaultBrowser.DefaultBrowserActivatableClass|C:\Program Files (x86)\Bossship\Application\chrome.exe,0 DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\ftp\DefaultIcon|C:\Program Files (x86)\Bossship\Application\chrome.exe,0 DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\http\DefaultIcon|C:\Program Files (x86)\Bossship\Application\chrome.exe,0 DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\https\DefaultIcon|C:\Program Files (x86)\Bossship\Application\chrome.exe,0 DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\irc\DefaultIcon|C:\Program Files (x86)\Bossship\Application\chrome.exe,0 DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\irc\shell\open\command|C:\Program Files (x86)\Bossship\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\mailto\DefaultIcon|C:\Program Files (x86)\Bossship\Application\chrome.exe,0 DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\mms\DefaultIcon|C:\Program Files (x86)\Bossship\Application\chrome.exe,0 DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\mms\shell\open\command|C:\Program Files (x86)\Bossship\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\news\DefaultIcon|C:\Program Files (x86)\Bossship\Application\chrome.exe,0 DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\news\shell\open\command|C:\Program Files (x86)\Bossship\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\nntp\DefaultIcon|C:\Program Files (x86)\Bossship\Application\chrome.exe,0 DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\nntp\shell\open\command|C:\Program Files (x86)\Bossship\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\sms\DefaultIcon|C:\Program Files (x86)\Bossship\Application\chrome.exe,0 DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\sms\shell\open\command|C:\Program Files (x86)\Bossship\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\smsto\DefaultIcon|C:\Program Files (x86)\Bossship\Application\chrome.exe,0 DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\smsto\shell\open\command|C:\Program Files (x86)\Bossship\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\urn\DefaultIcon|C:\Program Files (x86)\Bossship\Application\chrome.exe,0 DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\urn\shell\open\command|C:\Program Files (x86)\Bossship\Application\chrome.exe DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\webcal\DefaultIcon|C:\Program Files (x86)\Bossship\Application\chrome.exe,0 DeleteValue: HKEY_USERS\S-1-5-21-1769923494-3148577438-2251075067-1001\Software\Classes\webcal\shell\open\command|C:\Program Files (x86)\Bossship\Application\chrome.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom AdwCleaner z opcji Szukaj (nie stosuj Oczyść). Po zakończeniu zadania wydobądź raport znajdujący się w C:\AdwCleaner. 3. Dostarcz plik Fixlog, raport FRST i Addition.

Chyba jakaś zadyma z uprawnieniami...poniższa dyrektywa spróbuje usunąć kosz. Uruchom FRST jako administrator. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: RemoveDirectory: C:\$Recycle.bin Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Spróbujemy to zrobić z poziomu FRST (pamiętaj, że to wyczyści i usunie kosz, więc jak masz tam ważne dane to zrób ich kopie). Uruchom FRST jako administrator. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CMD: rd /s /q C:\$Recycle.bin Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Dostarcz go.

W porządku, jak coś by było nie tak to wracaj i pisz. Pozdrawiam.

Możesz go skasować. Skoro problem ustąpił to będziemy kończyć. Zastosuj DelFix (kasacja używanych narzędzi), zaktualizuj system Windows oraz ważne programy. P.S: uBlock Origin blokuję reklamy tylko o podłożu nieinfekcyjnym, więc jeśli jakieś zauważysz w zwiększonej ilości to napisz.

Spróbujemy usunąć zawartość kosza i sam kosz (co spowoduję swoisty reset), po restarcie system utworzy nowy. 1. Kliknij klawisz z logiem Windows + R > CMD > ENTER. 2. W polu poleceń użyj polecenia rd /s /q C:\$Recycle.bin (wklejasz i ENTER). Jeśli dostępne są inne dysku to powtórz tą akcję podmieniając literę C na inną, która oznacza inny dysk. 3. Uruchom komputer ponownie i sprawdź rezultaty.

Ale tylko z tą linijką: RestoreQuarantine: C:\FRST\Quarantine\C\Windows\system32\sppuinotify.dll.xBAD Bo reszta pomyślnie zrobiona.

Wykonaj pkt. 1 jeszcze raz, wkradł Ci się Backspace przy EndRegedit: i było to w jednej linii zamiast osobno. Pomiń te linijki: DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Class\{0014298C-A9BA-440D-AAA8-AD12C7010EE5} DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Class\{181A06EA-B82C-47DE-B851-E20FD0E1CC7D}

Tak, rzeczywiście pomyliłem się, ten raport był sprzed kilku godzin. Teraz szybka rekonstrukcja i poprawki. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CreateRestorePoint: StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sppuinotify] "DisplayName"="@%SystemRoot%\\system32\\sppuinotify.dll,-103" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,00,00 "Description"="@%SystemRoot%\\system32\\sppuinotify.dll,-102" "ObjectName"="NT AUTHORITY\\LocalService" "ErrorControl"=dword:00000001 "Start"=dword:00000003 "Type"=dword:00000020 "DependOnService"=hex(7):45,00,76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,\ 65,00,6d,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,e0,93,04,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sppuinotify\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 73,00,70,00,70,00,75,00,69,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sppuinotify\Security] "Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,28,00,fd,01,02,00,01,06,00,00,00,00,00,05,50,00,00,00,\ f0,5b,58,07,c3,43,8c,9a,c7,8a,72,dd,8f,8c,b4,df,44,47,e7,f8,00,00,18,00,ff,\ 01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,8d,01,\ 02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,\ 00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,00,00,01,01,00,00,00,00,00,05,\ 0b,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\ 00,00,00 EndRegedit: RestoreQuarantine: C:\FRST\Quarantine\C\Windows\system32\sppuinotify.dll.xBAD DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Class\{0014298C-A9BA-440D-AAA8-AD12C7010EE5} DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Class\{181A06EA-B82C-47DE-B851-E20FD0E1CC7D} Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Dostarcz plik Fixlog oraz podsumuj obecny stan systemu, napisz czy problem ustąpił itp.

# AdwCleaner 7.0.2.1 - Logfile created on Sun Sep 10 11:51:11 2017 # AdwCleaner 7.0.2.1 - Logfile created on Fri Sep 08 20:08:03 2017 Oby dwa raporty są z 8 września, a ja chcę byś zrobił je dziś. Pomyłka. Na szybko poproszę jeszcze o kopię rejestru, bo muszę przywrócić jedną rzecz, więc: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: FF HKU\S-1-5-21-3853154925-1102989141-3211563624-1000\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Simek\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => nie znaleziono FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] Reg: reg load HKLM\TEMP C:\FRST\Hives\SYSTEM Reg: reg export HKLM\TEMP\ControlSet001\Services C:\Users\Simek\Desktop\services.reg Reg: reg unload HKLM\TEMP Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Dostarcz go i dodatkowo plik znajdujący się na pulpicie pod nazwą services.reg (możesz np. shostować go na MediaFire). Nie uruchamiaj go broń boże.

Kończymy. Zastosuj DelFix (kasacja używanych narzędzi), zaktualizuj system Windows oraz ważne programy. MBAM możesz odinstalować (przez Panel Sterownia). Jeśli chodzi o darmowe propozycję to wybrałbym na spokojnie rozwiązanie marki Avast. Jak będziesz uważnie, z głową korzystał z Internetu i urządzeń przenośnych oraz będziesz miał aktualny system i oprogramowanie to wyjdziesz z tego cało P.S: Naprawdę zachęcam do obszernej listy oprogramowania zabezpieczającego, autorskiego materiału Picasso.

Przeoczyłem Twoją edycję, dlatego nie odpowiadałem. Przepraszam Fix pomyślnie wykonany. Nie widzę już Reimage Rapair na liście. Od strony tego działu jest OK. Bierzemy się na resztę problemów - podaj najpierw raporty z Hardware już teraz, rzucę okiem i Groszek pewnie też, bo nie wiem czy jest sens iść dalej, a jeśli jest to będziemy naprawiać Windows Update i przyjrzymy się temu alertowi z SFC.

Detekcje nie nadają się do kasacji, ponieważ są już w kwarantannie AdwCleaner. Jak podsumowujesz obecną sytuację?

W raportach widać infekcje adware, głównie w harmonogramie zadań, ale jest również w postaci usługi podszywającej się pod Microsoft (to była jednak pomyłka i wyciąłem to ze skryptu) (dodatkowo resetuje plik Hosts, bo jego zawartość jest podejrzana). Oprócz tego sprzątam system z resztek po odinstalowanych programach. Szkoda, że nie dostarczyłeś raportów z AdwCleaner i ZHP Cleaner. Akcję z tym pierwszym musimy powtórzyć w celu weryfikacji. P.S: Martwi mnie brak jakiegokolwiek zewnętrznego oprogramowania zabezpieczającego, same zabezpieczenia systemu Windows 7 nie są wystarczające. Przejrzyj - KLIK. 1. Przez Panel sterownia odinstaluj: Przestarzałe oprogramowanie: Spybot - Search & Destroy. Sugeruję pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {B03FA676-24DA-470E-93E4-A1E0A404F4F2} - System32\Tasks\YlOOqEqYHplMfZba4Oe => C:\Users\Simek\AppData\Roaming\YlOOqEqYHplMfZba4Oe.exe Task: C:\Windows\Tasks\YlOOqEqYHplMfZba4Oe.job => C:\Users\Simek\AppData\Roaming\YlOOqEqYHplMfZba4Oe.exe C:\Users\Simek\AppData\Roaming\YlOOqEqYHplMfZba4Oe HKLM-x32\...\Run: [] => [X] HKLM-x32\...\RunOnce: [AvgUninstallURL] => cmd.exe /c start hxxp://www.avg.com/pl.special-uninstallation-feedback-app?lic=OE1FSC1STlpMTC0yWTRRWC03OVBQQS1NMlBGRi1BRU1CUg"&"inst=NzYtNzA4MTM1MTg0LUQzODFMKzYtU1AxKzEtU1VQKzMtVFVHKzMtU1AxUzIrMS1DSVA (dane wartości zawierają 83 znaków więcej). Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] HKU\S-1-5-21-3853154925-1102989141-3211563624-1000\...\Run: [ASRockXTU] => [X] BootExecute: autocheck autochk * sdnclean64.exe StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF Plugin HKU\S-1-5-21-3853154925-1102989141-3211563624-1000: @acestream.net/acestreamplugin,version=3.1.6 -> C:\Users\Simek\AppData\Roaming\ACEStream\player\npace_plugin.dll [brak pliku] U3 astrp8c4; C:\Windows\System32\Drivers\astrp8c4.sys [0 ] (Advanced Micro Devices) S3 cpuz143; \??\C:\Users\Simek\AppData\Local\Temp\cpuz143\cpuz143_x64.sys [X] R3 ArdDrv; \??\C:\Windows\SysWOW64\Drivers\ArdDrv.sys [X] C:\Program Files (x86)\Google C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\Simek\AppData\Local\Google DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Simek\AppData\Local CMD: dir /a C:\Users\Simek\AppData\LocalLow CMD: dir /a C:\Users\Simek\AppData\Roaming Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj (na koniec tematu) rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Zrób raport AdwCleaner z opcji Szukaj, nie stosuj jeszcze Oczyść. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Produkt AVG PC TuneUp wg mnie nadaję się do deinstalacji, bo robi masę zmian w systemie, które mogą okazać się problematyczne. Zresztą Avast Software przejmie AVG, ale nie wiadomo do końca na jakich zasadach. Przeglądarka Google Chrome musi przejść proces kompleksowej reinstalacji wg poniższej instrukcji ze względu na modyfikacje preferencji przez adware. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. Reszta wygląda w porządku, szkoda jednak, że nie przedstawiłeś raportu z AVG, ale zakładam, że nic już nie wykrywa. Proszę o końcowy, całościowo skan systemu za pomocą Malwarebytes. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

Zakładam, że ktoś się bawił uprawnieniami. Raporty niekompletne, zastosuj się do zasad wykonywania raportów. Dodatkowo poproszę o raporty z konta Martynaa.

Gdzie raport z AVG? Czy ja w ogóle prosiłem o te skany? Wykonuj tylko moje zalecenia, bo zaczną się komplikacje. Musisz zrobić nowe raport FRST + Addition, bo w związku z AVG te, które dałeś są już nieaktualne.

OK, czyli AdwCleaner już niczego nie wykrywa. Zapomniałeś dostarczyć raportu wynikowego Fixlog - poproszę o niego ponownie.

Wszystko pomyślnie wykonane i ze strony tego działu to tyle. Na koniec za pomocą Program Install and Uninstall Troubleshooter odinstaluj Google Update Helper, bo to ogólny aktualizator produktów Google, których Ty nie posiadacz. Widzę jakieś problemy z dyskiem w raportach, więc temat przenoszę do działu Hardware, gdzie dostarczysz wymagane raporty i poczekasz na dalszą pomoc.

Na przyszłość: jeśli kupujesz laptopa / dostajesz, który był używany należy ze względów bezpieczeństwa zawsze przeprowadzić kompleksową reinstalację systemu, a nawet MBR. W raportach brak oznak aktywnej infekcji, widać jedynie resztki, które koryguję przy okazji sprzątając system z resztek po oprogramowaniu. 1. Mając rozwiązanie MBAM oraz Avast możesz odinstalować: Norton Security Scan, Kaspersky Security Scan. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {34D62A45-3C97-4138-8D83-405A5EA7B789} - System32\Tasks\RunAsStdUser Task => C:\Program Files\Pogo Games\PogoDGC.exe C:\Program Files\Pogo Games HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia BootExecute: PDBoot.exeautocheck autochk * HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://uk.search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms} HKU\S-1-5-21-1191366141-603960025-2015744437-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://uk.search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms} SearchScopes: HKLM -> DefaultScope {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = hxxps://uk.search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms} SearchScopes: HKLM -> {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = hxxps://uk.search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms} SearchScopes: HKU\S-1-5-21-1191366141-603960025-2015744437-1000 -> DefaultScope {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = hxxps://uk.search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms} SearchScopes: HKU\S-1-5-21-1191366141-603960025-2015744437-1000 -> {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = hxxps://uk.search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms} U4 AvastVBoxSvc; "C:\Program Files\AVAST Software\Avast\ng\vbox\AvastVBoxSVC.exe" [X] C:\Users\Paulina\Desktop\Continue MixVideoPlayer installation.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Paulina\AppData\Local\Mozilla C:\Users\Paulina\AppData\Roaming\Mozilla C:\Users\Paulina\AppData\Roaming\Profiles C:\Program Files\Mozilla Firefox C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Mozilla C:\Program Files (x86)\Google C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\Paulina\AppData\Local\Google DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Ponów całościowy skan Malwarebytes AntiMalware w celu oceny, czy nic już nie wykrywa (tak jak to zrobiłeś z AdwCleaner). 4. Dostarcz plik Fixlog.

Dostarcz raport z tego skanowania. W systemie widać infekcję adware, głównie w postaci rozszerzeń w przeglądarce Google Chrome, ale zainfekowane zostały również skróty przeglądarek (CHR i IE), więc je usuwam, a Ty dorobisz sobie nowe. Gdyby tego było mało to widać infekcję podszywającą się pod Microsoft. Od razu przechodzimy do działań. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku C:\Users\adam1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\Users\adam1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Ехрlоrеr.lnk C:\Users\adam1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\63f64848708c6231\Аdаm - Сhrоmе.lnk C:\Users\adam1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\63f64848708c6231\Adam - Chrome.lnk HKU\S-1-5-21-2257015987-4230492318-3150798801-1001\...\Run: [Виджет] => C:\Program Files (x86)\Widget 1.2\Âčäćĺň.exe C:\Program Files (x86)\Widget 1.2 GroupPolicy: Ograniczenia - Chrome S2 lsid61607; C:\ProgramData\lsid61607.exe [1118208 2017-09-09] (Microsoft Corporation) [brak podpisu cyfrowego] C:\ProgramData\lsid61607.exe 2017-09-09 11:06 - 2017-09-09 11:34 - 000000000 ____D C:\Users\adam1\AppData\Roaming\lll00j1gjh0 2017-09-09 11:05 - 2017-09-09 11:32 - 000000000 ____D C:\Users\adam1\AppData\Roaming\1337 2017-09-09 11:06 - 2017-09-09 11:06 - 000140800 _____ () C:\Users\adam1\AppData\Local\installer.dat 2017-09-09 11:05 - 2017-09-09 11:05 - 000000000 ___SH () C:\ProgramData\Microsoft.ini 2017-09-02 20:49 - 2017-09-02 20:49 - 000000060 _____ () C:\ProgramData\SoftwareUpdateTemp.xml DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\adam1\AppData\Local\Mozilla C:\Users\adam1\AppData\Roaming\Mozilla C:\Users\adam1\AppData\Roaming\Profiles C:\Program Files\Mozilla Firefox C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Mozilla CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\adam1\AppData\Local CMD: dir /a C:\Users\adam1\AppData\LocalLow CMD: dir /a C:\Users\adam1\AppData\Roaming Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj adware Quick Searcher v16.2, Quick Searcher, BetterTTV, FACEIT HELPER oraz wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Ustaw tą lub jakąkolwiek inną zaufaną przeglądarkę jako domyślną - skromnie sugeruję Google Chrome - KLIK. 3. Zrób raport AdwCleaner z opcji Szukaj, nie stosuj jeszcze Oczyść. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Raport nie wykazuję żadnych naruszeń integralności. Z tym adresem to ja się odezwę, więc śledź ten temat.

Na koniec zastosuj DelFix oraz wdrąż aktualizacje systemu i ważnych programów.

Raporty nie wykazują oznak infekcji, zresztą...tyle wyników porządnych skanerów antywirusowych mówią sama za siebie. Jeśli zaś chodzi o te adresy, to pierwsze trzy są w porządku, ten trzeci wygląda podejrzanie. W takim razie poproszę o przefiltrowany raport SFC z opcji scannow w celu oceny plików systemowych na obecność niedomyślnych modyfikacji. P.S: Mój aktualny, zmienny adres IP na DNSBL zachowuję się jakby miał ADHD. Raz czysty, raz podejrzany, wg mnie nie ma się co przejmować, bo mając zmienne IP musimy liczyć się z tym, że kiedyś mogło być w nieciekawym miejscu.