Miszel03

Raporty nie wykazują oznak infekcji, ale owszem, usługi wyglądają na uszkodzone, więc pobieram ich klucze z rejestru w celu weryfikacji co konkretnie tam się stało. P.S: Cześć programów jest nieaktualna wraz z oprogramowaniem antywirusowym (ESET), ponad to masz trzy skanery / antywirusy - SUPERAntiSpyware, ESET oraz Zemana AntiMalware. Powinien być jeden, i ja rekomenduję zostawić tego ESET'a. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {139123F1-E9A7-400F-A55B-1005B955EBE8} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {226160D3-0385-4455-881B-E2EFD76B9D81} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku Task: {252A6BFB-A061-4E26-8B24-6AA2290C9D7A} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {2A8047BE-9FDC-495D-BF85-D8EF68A1EF9D} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {31BEB547-28F0-4FC8-B940-96DE53DB1943} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {3541E0AD-594C-48B7-9F47-FA067C4D46CC} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {82B56D83-1D3E-49F6-BC7A-0CFDED68FFDD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {AD9C6589-C4A3-40E0-AE09-CFF12BF772FD} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {B078A655-8CF4-415E-AF6D-4AD379E13FC1} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {B88FC054-13F2-4445-97B9-CB8C86F265F1} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {C07E4E3C-D0A6-4D5D-B720-2D44AC01BEEE} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {D7CDFE4E-D5E0-423D-978F-D0B349BC5D7E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {DF28CC02-D03F-4186-9EF6-C47CD7D76C76} - \WPD\SqmUpload_S-1-5-21-3900642790-3964556960-2634687529-1001 -> Brak pliku Task: {E2B90EC9-68E9-493E-B42B-1AF9DE072EC3} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku Task: {EC7DE2F2-DFA9-46C9-8574-C9EFDCE9A037} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {F769A09B-A54C-4C30-A437-874B31E40C66} - \Microsoft\Windows\Setup\EOONotify -> Brak pliku Task: {FA1BD478-16FA-4AB1-B0FF-11568B63B6C4} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku AlternateDataStreams: C:\3590F75ABA9E485486C100C1A9D4FF06Z..Z.Z..ZZ.Z..ZZ:1 [898] AlternateDataStreams: C:\3590F75ABA9E485486C100C1A9D4FF06Z..Z.ZZ.Z..ZZ..Z:1 [898] AlternateDataStreams: C:\3590F75ABA9E485486C100C1A9D4FF06Z..ZZ.ZZZ.Z..ZZZ:1 [882] AlternateDataStreams: C:\3590F75ABA9E485486C100C1A9D4FF06ZZZZ.Z.Z.Z.ZZZ.Z:1 [898] FirewallRules: [uDP Query User{98B0F779-A4E9-45CC-81C4-43824AEE75D2}C:\users\ania\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\ania\appdata\roaming\utorrent\utorrent.exe FirewallRules: [TCP Query User{4B72EEF3-0584-437D-BBED-F313A980BB96}C:\users\ania\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\ania\appdata\roaming\utorrent\utorrent.exe C:\Users\Ania\AppData\Roaming\ClassicShell\Pinned\startscreen.lnk Reg: reg query "HKLM\SYSTEM\CurrentControlSet\services\mpsdrv" /s Reg: reg query "HKLM\SYSTEM\CurrentControlSet\services\MpsSvc" /s Reg: reg query "HKLM\SYSTEM\CurrentControlSet\services\bfe" /s Reg: reg query "HKLM\SYSTEM\CurrentControlSet\services\winmgmt" /s Reg: reg query "HKLM\SYSTEM\CurrentControlSet\Services\wscsvc" /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób raport z Farbar Service Scanner (FSS), a następnie zaprezentuj go na forum. 3. Dostarcz raporty wymagane przez dział Hardware. 4. Dostarcz plik Fixlog.

O kurde, pominąłem jedną infekcje. Adresy DNS są już w porządku, ale jeśli aktualizacja do routera jest dostępna to proszę ją wdrążyć. Jeszcze będzie to: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - C:\Windows\C_KE763.dat [2035200 2017-07-29] (Micrasaft Carparation) C:\Windows\C_KE763.dat EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Po tym chyba będziemy kończyć, więc profilaktycznie przeskanuj całościowo system za pomocą Malwarebytes AntiMalware, jeśli coś wykryję niczego nie usuwaj, a dostarcz raport.

Jak to przejdzie, to dostarcz jeszcze raporty wymagane przez dział Hardware, bo może masz coś z dyskiem. Trzeba sprawdzić, w każdym razie te działania tutaj są bez związku z tym incydentem.

Tak, ten folder znaleziony przez AdwCleaner daj do kasacji (używając opcji Oczyść). On by się usunął w skrypcie, ale źle wpisałem ścieżek, ucięło mi znak "\". Właściwie moglibyśmy już kończyć, ale te szczątki w rejestrze, nie chcą mi się usunąć, więc poproszę o ponowne wykonanie pkt. 4 z mojego pierwszego posta. Dodatkowo dostarcz jeszcze nowe FRST i Addition. Jak podsumowujesz obecną sytuację?

Czy ja prosiłem o używanie tego narzędzia? Wykonuj kroki tylko i wyłącznie, które ja zaleciłem, bo zaczną się komplikację. Wszystko pomyślnie wykonane, teraz poprawki dot. adware (po nich pewnie już wszystkie resztki znikną) oraz skan narzędziem dedykowanym do usuwania infekcji Adware. Wcześniej zapomniałem dopisać, że plik Hosts jest uszkodzony, a właściwie go nie - przywracam go. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: DeleteKey: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Clients\StartMenuInternet\FIREFOX.EXE DeleteKey: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\797cd6e_0 DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts|FirefoxURL_http DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts|FirefoxURL_https DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts|FirefoxHTML_.pdf DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\OpenWithProgids|FirefoxHTML DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\OpenWithProgids|FirefoxHTML DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pdf\OpenWithList|b DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\OpenWithProgids|FirefoxHTML DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Firefox\Firefox.exe DeleteKey: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\FirefoxHTML DeleteKey: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\FirefoxURL DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Mozilla\Firefox\TaskBarIDs|C:\Program Files (x86)\Firefox DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\RegisteredApplications|Firefox DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\.OGA\OpenWithProgids|FirefoxHTML DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\.OGG\OpenWithProgids|FirefoxHTML DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\.OGV\OpenWithProgids|FirefoxHTML DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\.pdf\OpenWithProgids|FirefoxHTML DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\.WEBM\OpenWithProgids|FirefoxHTML DeleteKey: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\b38f5baf_0 DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Bagsarah\Application\chrome.exe DeleteKey: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\2a1c05ea_0 DeleteValue: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Guntony\Guntony\chrome.exe DeleteKey: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Clients\StartMenuInternet\ghokswaHTM DeleteKey: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\d3fa6788_0 DeleteValue: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts|ghokswaHTM_.shtml DeleteValue: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts|ghokswaHTM_.xht DeleteValue: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts|ghokswaHTM_.xhtml DeleteValue: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts|ghokswaHTM_http DeleteValue: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts|ghokswaHTM_https DeleteValue: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\ghokswa Browser\ghokswa\bin\browserServer.exe DeleteValue: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\ghokswa Browser\ghokswa\chrome.exe DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\RegisteredApplications|ghokswaHTM DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\.htm\OpenWithProgids|ghokswaHTM DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\.html\OpenWithProgids|ghokswaHTM DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\.shtml\OpenWithProgids|ghokswaHTM DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\.xht\OpenWithProgids|ghokswaHTM DeleteVaule: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\.xhtml\OpenWithProgids|ghokswaHTM DeleteKey: HKEY_USERS\S-1-5-21-3086125673-826957410-2058139994-1001\Software\Classes\ghokswaHTM C:\Program Files (x86)Elex-tech Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Oczyść) i dostarcz log z folderu C:\AdwCleaner. 3. Dostarcz plik Fixlog.

Tak teraz jest poprawnie i posty dot. generacji raportów kasuję, by nie było zamieszania w wątku pomocy. Odpowiem dziś, ale za kilka godzin. W raportach brak oznak infekcji, do wykonania tylko skan antywirusowy oraz poniższy skrypt poprawkowy i diagnostyczny, czyli: kasacja pustych wpisów, skrótów LNK i szkodliwej mapy domen w przeglądarce Internet Explorer, dodatkowo pobieram zawartość pliku user.js z przeglądarki Mozilla FireFox ponieważ jego istnienie samo w sobie jest już podejrzane. Skąd wiesz / masz podejrzenia, że system został zainfekowany keylogger'em? 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {199C118C-7AFA-4A56-8728-9B7CFDFBE98A} - \Microsoft\Windows\Setup\EOSNotify -> Brak pliku HKU\S-1-5-21-3810140173-3774344370-2139636201-1002\...\Policies\Explorer: [NolowDiskSpaceChecks] 1 SearchScopes: HKU\S-1-5-21-3810140173-3774344370-2139636201-1002 -> DefaultScope {182A9C87-0A02-43B9-84AE-DB264A68A46D} URL = SearchScopes: HKU\S-1-5-21-3810140173-3774344370-2139636201-1002 -> {182A9C87-0A02-43B9-84AE-DB264A68A46D} URL = C:\Users\Kararzyna\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk C:\Users\Kararzyna\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk C:\Users\Kararzyna\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main CMD: type C:\Users\Kararzyna\AppData\Roaming\Mozilla\Firefox\Profiles\g3ttlrv7.default\user.js EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Dostarcz ten plik. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

OK, ale tematu nie zamykam, bo może okazać się jeszcze przydatny, gdy np. wyjdzie nowa aktualizacja, która to naprawi.

Wymagane raporty poprawnie dostarczone, więc tamtą dyskusję na ich temat kasuję, by nie rozciągać tematu pomocy. W systemie widać pozostałości po adware, jak i aktywnych jej znajomych Widoczna fałszywka przeglądarki Mozilla FireFox oraz trzy inne klony również podszywające się pod przeglądarkę, ale tym razem zainstalowaną - Google Chrome. Raczej powinniśmy się szybko z tym uporać. Do poczytania na przyszłość dla pacjenta, jak uniknać podobnych sytuacji: Portale z oprogramowaniem / Instalatory - na co uważać. P.S: Od ComboFix z dala, to program tylko do specjalistów (a widzę go w Twoim katalogu pobierania!) - KLIK. 1. Przez Panel Sterowania odinstaluj: Oprogramowanie adware / PUP: AlphaGo (będzie wymienione podwójnie na liście, więc deinstalujesz oba), WINSNARE. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku C:\Program Files (x86)\Firefox C:\Users\LawendoweSpa\AppData\Local\Firefox C:\Users\LawendoweSpa\AppData\Roaming\Firefox IFEO\taskmgr.exe: [Debugger] CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM -> {503D5AA2-D2D2-499D-B90B-DF31A80953A1} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3086125673-826957410-2058139994-1001 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://v9.com/web?type=ds&ts=1450257336&from=zzgbkk123&uid=st500lt012-1dg142_s3pb09lc&z=2c903c6fa664b667079b86cg1zawce0ocw4m1c1cdw&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKU\S-1-5-21-3086125673-826957410-2058139994-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Bagsarah\Application\chrome.exe C:\Program Files (x86)\Bagsarah C:\Users\LawendoweSpa\AppData\Local\Bagsarah C:\Users\LawendoweSpa\AppData\Roaming\Bagsarah 2017-08-15 15:40 - 2017-02-07 17:48 - 000000000 ____D C:\Users\LawendoweSpa\AppData\Local\3 2017-08-15 15:40 - 2017-02-07 15:48 - 000000000 ____D C:\Users\LawendoweSpa\AppData\Local\1 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Przeglądarka Opera.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip\Uninstall.lnk C:\Users\LawendoweSpa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\chrome.lnk C:\Program Files (x86)\WinZipper C:\Program Files (x86)\Guntony C:\Users\LawendoweSpa\AppData\Local\Guntony C:\Users\LawendoweSpa\AppData\Roaming\Guntony C:\Users\LawendoweSpa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\839f680194ff9273\ghokswa.lnk C:\Users\LawendoweSpa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Google Chrome.lnk C:\Users\LawendoweSpa\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_1818532532_pl.lnk C:\Users\LawendoweSpa\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_2846494135_pl.lnk C:\Users\LawendoweSpa\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_3731308582_pl.lnk C:\Users\LawendoweSpa\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk C:\Users\LawendoweSpa\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk C:\Users\LawendoweSpa\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk C:\Users\LawendoweSpa\AppData\Local\Microsoft\Windows\Application Shortcuts\AD2F1837.HPPrinterControl_v10z8vjag6ke6\AD2F1837.HPPrinterControl.lnk DeleteKey: HKCU\Software\Firefox DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox DeleteKey: HKCU\Software\Bagsarah DeleteKey: HKLM\SOFTWARE\WOW6432Node\Bagsarah DeleteKey: HKCU\Software\Guntony DeleteKey: HKLM\SOFTWARE\WOW6432Node\Guntony CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\LawendoweSpa\AppData\Local CMD: dir /a C:\Users\LawendoweSpa\AppData\LocalLow CMD: dir /a C:\Users\LawendoweSpa\AppData\Roaming CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zostaną usunięte wszystkie skróty fałszywych przeglądarek. Odtwórz w wybranych miejscach skróty do prawdziwego Google Chrome. Uruchom przeglądarkę i wyczyść ją z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwarka > z rozwijanego menu ustaw jako domyślną Google > klik w Zarządzaj wyszukiwarkami i skasuj z listy wszystkie inne pozycje. Ustaw przeglądarkę jako domyślną. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). firefox;bagsarah;guntony;ghokswa Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Powtórz tą operacje za pomocą Program Install and Uninstall Troubleshooter. Przy okazji: widzę nową instalację Driver Updater Plus flagowaną przez FRST. Sugeruję deinstalacje, no chyba, że ufasz temu programowi. Jak pisałem tamten post to generalnie chyba byłem nieprzytomny, bo pominąłem trochę instalacji adware. Odinstaluj jeszcze: Opera_helper PC Purifier PCPurifier Następnie wygeneruj nowe raport FRST (FRST + Addition).

Sprawdziłem na IOS 10.3.3, Opera Mini, świeżo pobrana z AppStore i jak wchodzę przez Fixitpc.pl to widzę tylko ostrzeżenie o niemożności weryfikacji certyfikatu, ale jak kliknę Kontynuuj mimo to, to mogę normalnie przeglądać forum. Przez Windows'a jak już pisałem też mogę, ale po krótkim dialogu dot. certyfikatu.

Wykonaj kroki wraz z Trybem agresywnym.

W raportach brak oznak infekcji, więc problem nie leży po tej stronie. System był piracki?

Potrzebuję kopii rejestru do wglądu, by ustalić na pewno co się stało. Wygeneruj ją za pomocą RegBack. Z kopii wybierz plik SYSTEM, zapakuj do ZIP i shostuj gdzieś podając tu link. Weryfikacja całej gałęzi to kupa roboty, więc zajmie to trochę czasu. Pamiętam, że na forum było więcej przypadków na łamach 2012-2013 i z reguły uszkodzonych kluczy w gałęzi SYSTEM był ogrom i nie wiem czy będę mógł coś sam zdziałać. EDIT: Dodatkowo poproszę o zestaw raportów FRST.

Wątek założony w złym dziale, tutaj odbywa się leczenie zainfekowanych systemów. Temat przenoszę do działu Hardware.

Ja go kwalifikuję jako adware / PUP. Na Bleeping Computer w języku angielskim dostępny jest jego opis - KLIK. Nie widzisz go na liście zainstalowanych programów, bo omawiany komponent jest szczątkowy. Kasuję go (i przy okazji inne resztki - do wglądu w pkt. 1). Zacznę od tego, że program Program Install and Uninstall Troubleshooter to narzędzie rozwiązujące potencjalne problemy z deinstalacją. Zastosowałem go w tym przypadku ze względu na to, że program Online Application nałożył na siebie flagę Hidden, co uniemożliwia z poziomu Panelu Sterowania jego modyfikacje. Jeśli chodzi o programy, które odinstalowują program autorskim sposobem celem wykasowania go w całości z systemu to niestety, ale nic nie polecę, bo po prostu z nich nie korzystam. Wg mnie jeśli będziesz pozbywał się danego programu z systemu poprzez Panel Sterownia bądź autorski deinstalator (najczęściej dostępny pod nazwą uninstall.exe w C:\Program Files (x86)\NAZWA PROGRAMU lub C:\Program Files\NAZWA PROGRAMU) to będzie to sposób poprawny. Oprogramowanie zabezpieczające możesz traktować dedykowanymi deinstalatorami za strony producenta. Wszystko pomyślnie wykonane i system wyczyszczony. Teraz zadaję poprawki do wykonania oraz kroki zabezpieczające system. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\Program Files (x86)\pccleanplus C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\Program Files (x86)\UCBrowser C:\Users\admin\AppData\Roaming\UCChannel C:\Users\admin\AppData\Roaming\baidu 2017-08-12 17:30 - 2017-08-12 17:30 - 000000000 ____D C:\Windows\System32\Tasks\Safer-Networking 2017-08-01 21:11 - 2017-08-01 21:11 - 000011568 _____ () C:\Users\admin\AppData\Local\InstallationConfiguration.xml 2017-08-01 21:11 - 2017-08-01 21:11 - 000140800 _____ () C:\Users\admin\AppData\Local\installer.dat 2017-08-01 21:11 - 2017-08-01 22:33 - 001847296 _____ () C:\Users\admin\AppData\Local\po.db EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zainstaluj blokery reklam w przeglądarkach. Rekomenduję rozszerzenie uBlock Origin ze względu na lekkość, stabilność, wydajność i skuteczność. 3. Zaktualizuj system Windows oraz wszystkie ważne programy - KLIK. 4. Napisz jak podsumowujesz obecną sytuację i zrób nowy log FRST i Addition w momencie, w którym będziesz podłączony do Internetu - muszę sprawdzić jak się mają sprawy z DNS.

Witam, poproszę o nowy zestaw raportów FRST. Przepraszam za poźną odpowiedź. Wynika to z tego, że oprogramowanie zabezpieczające praktycznie wszystkich producentów (prócz MBAM na przykład) ma kolosalny problem z detekcją infekcji adware / PUP. Te zagrożenia schodzą na drugą półkę - a to wnioskuje właśnie po problemach z detekcjami. Sam zgłaszam tygodniowo kilkadziesiąt próbek z adware / PUP do laboratorium Kasperskiego, by wyeliminować te infekcje przede wszystkim trzeba świadomości użytkowników - dlatego podaje ten artykuł o portalach z oprogramowaniem, które często są temu winne.

Wszystko pomyślnie wykonane, skrypt wyczyścił sporo lokalizacji TEMP oddając pond 30 GB miejsca na dysku. Klucz ma poprawne odwołanie, więc zostaje ten reset komponentów, który wg mnie coś dać musi. Tak, pomijasz 4.1, 4.2 (są oznaczone na czerwono), bo to odpowiednik opcji agresywnej. Jeśli podstawowy reset nie przyniesie rezultatów, wtedy odwołam się do opcji agresywnej.

Przepraszam z taki długi okres czekania, w innych tematach odpowiadam od razu praktycznie, zostawiają stare temat na końcu. To zły system, wiem o tym i już go zmieniam. Poproszę o nowe raport FRST, Rucek wpisał temat na priorytet.

Dzięki za wykaz, jak mówię - odezwę się.

Raporty są wymagane w tej sytuacji, więc zastosuj się do zasad działu - KLIK.

OK, diagnostyka pokazała, że usługi są kompletne, jednak część z nich jest wyłączono, ale to pewnie ustawienie Kasperskiego. Na ikony musisz dać mi czas bym pomyślał.

Nie, pomoc jest świadczona bezpłatnie. Istnieje jedynie możliwość przekazania dotacji na utrzymanie serwisu - KLIK. Problem jest znany i dość oględny. Piszesz, że korzystałeś z ESET - jego komponent zeruje pewnie preferencje w rejestrze. Odbuduj go - KLIK. W raportach brak oznak infekcji, więc to nie jej sprawka. Sugeruję pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. Dodatkowo jednak poproszę o raport z Farbar Service Scanner (FSS) ze względu na adnotacje w logu Addition. P.S: C:\Users\pawel\Desktop\RANSOMWARE - to komponent Kaspersky prawda?

Źle zinterpretowałeś wynik z Malwarebytes. 14 zagrożeń zostało wykrytych w kwarantannie ComboFix (swoją drogą kto pozwolił Ci tego używać?! ). Tylko jedno stanowiło zagrożenia i to jest chyba jakiś crack. Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Ustaw przeglądarkę jako domyślną. Aktualnie domyślną przeglądarką jest Internet Explorer. Raporty generalnie nie wykazują żadnych oznak infekcji (cracki KMSpico pomijam). Wdrążam kosmetykę systemowa (kasacja polityk, pustych skrótów LNK). 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia GroupPolicyScripts: Ograniczenia C:\Users\Krzysiek\Desktop\Dokumenty Mamy\Roczne rozliczenie podatku dochodowego - PIT 2011.lnk C:\Users\Krzysiek\Desktop\Dokumenty Mamy\Skrót do kwestionariusz(2).lnk C:\Users\Public\Music\FIFA 16\Support\Plik Przeczytaj.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Kliknij klawisz Windows + R > Wklej combofix /uninstall > ENTER. To odinstaluje Combofix. Wszystkie kopie zapasowe oraz pliki w kwarantannie zostaną usunięte. 3. Dostarcz plik Fixlog, reszta raportów zbędne. Powiedz jak rezultaty z FireFox i ComboFix.

Przepraszam za pożną odpowiedź. Raporty nie wykazują oznak infekcji. Temat przenoszę do działu Windows 7. W spoilerze zadaję zadania poboczne.

Cześć, przepraszam za pożną odpowiedź. W raportach brak oznak infekcji. Temat przenoszę do działu Windows 7 gdzie odbędzie się dalsza diagnostyka. Dołącz wymagane raporty z działu Hardware.