Miszel03

Raporty nie wykazują żadnych oznak infekcji. Opisywane tu problemy nie przypominają mi objawów żadnej infekcji. Temat przenoszę do działu Windows 10 gdzie będzie rozwiązywany problem Bluescreena (więc dostarcz pliki z C:\Windows\Minidump) oraz problemów z komunikacją bibliotek. W spoilerze zadania poboczne, raczej bez związku z problemem.

W przeglądarkach są widoczne elementy adware w postaci śmieciowej wyszukiwarki do-search. Nie widzę żadnych innych oznak innych infekcji i szczerze powiedziawszy widząc Twój bunkier w postaci KIS oraz MBAM (apropos: wykonaj nimi pełny skan systemu i dostarcz wyniki) wątpię w możliwość w ogóle jej istnienia. Ta detekcja, rzekomo Trojana to nic innego niż właśnie to adware w przeglądarkach, o którym mówię. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {60A9034B-3E3F-4C14-98E9-44FF61B20C1B} - System32\Tasks\{1C13C2A6-D397-48FD-9C66-BB75F1091BED} => pcalua.exe -a D:\Y-226\U2v2_1_4.exe -d D:\Y-226 Task: {67363862-4046-4826-B881-F047DDA7BA8A} - System32\Tasks\{03633650-BBA8-4B82-902C-05C96380E87E} => pcalua.exe -a D:\DEMO32.exe -d D:\ AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [120] HKU\S-1-5-21-1405297173-1497940689-1013170819-1001\...\Run: [] => [X] ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku BHO: Brak nazwy -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> Brak pliku BHO-x32: Brak nazwy -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> Brak pliku StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF SelectedSearchEngine: Mozilla\Firefox\Profiles\0ihprbz8.default -> do-search CHR DefaultSearchURL: Default -> hxxp://do-search.com/web/?type=ds&ts=1429412508&from=cor&uid=CrucialXCT256MX100SSD1_15030E6511DC0E6511DC&q={searchTerms} CHR DefaultSearchKeyword: Default -> do-search CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W przeglądarce Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin 3. W przeglądarce Mozilla FireFox. Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin (aktualnie masz AdBlocka - polecam go wymienić). 4. Dostarcz plik Fixlog i sam raport FRST już bez Addition i Shortcut, by sprawdzić czy pozbyliśmy się adware.

Widziałem Twój post w dziale Dotacji - bardzo dziękuje za pomoc w utrzymani serwisu w imieniu całego zespołu Fixitpc! Temat zamykam.

To się cieszę. Kończymy. Zastouj DelFix oraz dodatkowo zaktualizuj Windows i oprogramowanie zewnętrzne.

Spokojnie, gdybym miał się denerwować przy każdym temacie, że ktoś czegoś nie umie wykonać to już dawno trafiłbym do wariatkowa Rozumiem, że czasem ktoś czegoś nie potrafi i trzeba mu poszerzyć instrukcję. Wszystko pomyślnie wykonane. Wynik SFC sugeruję, że błędy w Dzienniku Zdarzeń nie są powiązane z Windows (brak wykrytych usterek, więc log mnie już nie interesuję). System wyczyszczony. Jak podsumowujesz obecną sytuację?

Posty łącze w jedną całość. Używaj opcji Edytuj. Te Fixlogi są takie same i niczym się nie różnią. Są poprawne, dzięki. AdwCleaner nic nie wykrył, więc z adware system już wyczyszczony. Przechodzimy do poprawek względem malware oraz kompleksowego skanu antywirusowego. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: HKU\S-1-5-21-118853160-3530397755-141892092-1000\...\StartupApproved\StartupFolder: => "update.vbs" 2015-04-14 18:28 - 2015-04-14 18:28 - 0004387 _____ () C:\Users\VincentVega\AppData\Roaming\d5cqW7eqkPZlTSVnJkx 2015-04-19 14:20 - 2015-04-19 14:20 - 0005872 _____ () C:\Users\VincentVega\AppData\Roaming\TVGWw73UpNjdHLjNh Hosts: Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (masz na dysku, więc robisz tylko komplet aktualizacji). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Niepokojom mnie notowania odmów dostępu w Dzienniku Zdarzeń. Wykonaj sprawdzanie sfc /scannow i dostarcz przefiltrowane wyniki: KLIK. 4. Dostarcz plik Fixlog i nowy zestaw raportów FRST + Additon.

A gdzie posiałeś plik Fixlog?

Raport z GMER'a sobie odpuść, przejdziemy do pracy bez niego. System jest zainfekowany dwoma typami szkodników, jeden z nich to adware uruchamiane przez cztery zadania w Harmonogramie zadań, a drugi z nich to malware w autostarcie uruchamiający update.vbs. Zajmować się również będę pustymi wpisami. Działania do przeprowadzenia: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: Task: {01880733-B61E-4ED1-8F81-99F968A46B77} - System32\Tasks\TVGWw73UpNjdHLjNh => C:\Users\VincentVega\AppData\Roaming\TVGWw73UpNjdHLjNh.exe Task: C:\WINDOWS\Tasks\TVGWw73UpNjdHLjNh.job => C:\Users\VincentVega\AppData\Roaming\TVGWw73UpNjdHLjNh.exe Task: {BA910380-03FA-48FE-B4E7-60A90B8D5FB9} - System32\Tasks\d5cqW7eqkPZlTSVnJkx => C:\Users\VincentVega\AppData\Roaming\d5cqW7eqkPZlTSVnJkx.exe Task: C:\WINDOWS\Tasks\d5cqW7eqkPZlTSVnJkx.job => C:\Users\VincentVega\AppData\Roaming\d5cqW7eqkPZlTSVnJkx.exe C:\Users\VincentVega\AppData\Roaming\TVGWw73UpNjdHLjNh.exe C:\Users\VincentVega\AppData\Roaming\d5cqW7eqkPZlTSVnJkx.exe Task: {0E80B95A-573D-4F4B-8DA1-52F950D12DE6} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {1BBC05D5-2903-47FA-BAAB-44FA79A1CF16} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {30B50382-C87F-4C54-958A-2BC103EF0E47} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {3974609A-E197-4299-93C2-496CE797B9D8} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {59A1AFBC-3BF6-4879-AF34-F7BC0A8A5D6B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {5F748EAC-40EC-4044-A3FE-22C060646F06} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {8C882FFE-C3E8-4D37-A01F-80C576D4729E} - \CCleanerSkipUAC -> Brak pliku Task: {8D14784C-DE20-4B76-88CB-0687D26DA9D0} - \Lenovo\Lenovo Service Bridge\S-1-5-21-118853160-3530397755-141892092-1000 -> Brak pliku Task: {924FB4FC-8F15-4B1F-B3C4-09A2A16352F5} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {940B0152-F55C-4E49-8884-7B46CFC53425} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {BF619A6B-7FB7-4041-9F2F-7D87025AD7D3} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {CC5640CE-10E9-4202-96CE-19F5A156C304} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {D723238F-CD8D-4B9D-9500-474CB057D346} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {DAD14618-1FA3-4FFE-AFAD-2025B1D36804} - \PMTask -> Brak pliku Task: {E63AC8F5-0BA0-4DAF-9427-0E403A9FEA56} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku MSCONFIG\startupreg: GoogleChromeAutoLaunch_8A4663CD3A7F445C9256F906889C2ACF => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --no-startup-window MSCONFIG\startupreg: update => wscript.exe //B "C:\Users\VINCEN~1\AppData\Local\Temp\update.vbs" HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe Startup: C:\Users\VincentVega\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\update.vbs [2015-02-03] () C:\Users\VincentVega\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\update.vbs U3 idsvc; Brak ImagePath C:\Users\VincentVega\Pictures\Prywatne\Foto\Ślub Marleny i Artura\101EOS1D\Light Alloy.lnk C:\Users\VincentVega\AppData\Roaming\Microsoft\Windows\Start Menu\War Robots.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Google Chrome. Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia (w tym AdBlock, bo uBlock Origin jest wg mnie lepszy). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Uruchom AdwCleaner z opcji Szukaj (nie stosuj opcji Oczyść) i dostarcz raport znajdujący się w C:\AdwCleaner. 4. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Azddition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Fix ucięty, a w raportach brak zmian. Powtórz Fix (tym razem z poziomu Trybu awaryjnego) i zrób nowy zestaw raportów.

# Updated 08/04/2015 by Xplode # Database : 2015-04-22.1 [server] Stara wersji i stare bazy danych. Po to linkuję każde narzędzie osobno, by pobierać jego najnowszą wersję. Po za tym prosiłem tylko o skan, a nie o skan + dezynfekcje. Powtórz to działanie.

1. Zagrożenia wykryte przez AdwCleaner daj do kasacji. Zostały wykryte błahe szczątki w rejestrze, czyli teraz mogę potwierdzić, że system został wyczyszczony, więc została tylko weryfikacja integralności Windows (która poprawiam w 2 pkt). Jak podsumowujesz obecną sytuację? 2. Trzeba poprawić usunięcie klucza (pomyliłem znaki "), dodatkowo sam sobie wydobędę jednak ten raport SFc, bo ten masywny jest i nieprzefiltrowany. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{071CDB9C-B6AB-4E5C-A410-76ACBA8EA7E8} CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Wszystko poprawnie wykonane, system dokładnie wyczyszczony. Wdrążam skan końcowy i weryfikacje usług. Jak wygląda sytuacja z Twojej strony? Instalacja SafeFinder jest prawdopodobnie odpadkowa. Należy skasować klucz dot. programu w Panelu. 1. Otwórz CMD (Start > Wyszukaj programy i pliki > CMD.EXE) jako administrator i w oknie komend wklej: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\071CDB9C-B6AB-4E5C-A410-76ACBA8EA7E8" /f Następnie kliknij klawisz ENTER i daj wynik. 2. Uruchom ponownie konsole CMD jako administrator i w oknie komend wklej: sfc /scannow Następnie kliknij klawisz ENTER, podczas skanowania nic nie rób - po prostu czekaj. Gdy skanowanie zakończy się zapisz sobie jego głowy wynik (treść wyświetlaną), a następnie pokaż mi dokładny raport wynikowy, czyli ponownie CMD i komenda: findstr /c:"[sR]" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\sfc.txt" Na pulpicie powstanie plik SFC.TXT - zaprezentuj go na forum. 3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner.

Konkretnej infekcji nie ma, aczkolwiek widoczne są istotne komponenty resztkowe pozostawione po adware. Między innymi: modyfikacja pliku Hosts, szczątkowe zadania w Harmonogramie zadań i wpisy typu "not found". Myślę, że poniższe działania nie mają powiązania z problemem pobierania załączników i ogólnym przymuleniem komputera, ale dezynfekcja zawsze stawiana jest na pierwszym miejscu Szybko się z tym uporamy i zajmiemy się resztą problemów. Profilaktycznie, przeczytaj: KLIK. 1. Przez panel sterowania odinstaluj: Programy adware: Booking.com version 1.3.0.5019. Zbędniki: Badanie mające na celu poprawę produktów HP Deskjet 1510 series. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {73049A8E-1100-490D-9DAB-8AD9466C85BB} - \ByteFence -> Brak pliku Task: {C19753AD-CFD0-4026-A98B-AEC11E924BCD} - \ByteFence Scan -> Brak pliku HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [LManager] => [X] ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2921416616-421801093-4220499416-1001 -> DefaultScope {CC0AF95F-501E-498E-9917-84881554FFBA} URL = SearchScopes: HKU\S-1-5-21-2921416616-421801093-4220499416-1001 -> {CC0AF95F-501E-498E-9917-84881554FFBA} URL = BHO: Brak nazwy -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> Brak pliku BHO-x32: Brak nazwy -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> Brak pliku Handler: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - Brak pliku Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - Brak pliku CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx S3 BTATH_LWFLT; \SystemRoot\system32\DRIVERS\btath_lwflt.sys [X] S3 mfesapsn; \??\C:\Program Files (x86)\McAfee\SiteAdvisor\x64\mfesapsn.sys [X] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Gabriela\AppData\Local\Mozilla C:\Users\Gabriela\AppData\Roaming\Mozilla C:\Users\Gabriela\AppData\Roaming\Profiles C:\Program Files (x86)\Mozilla Firefox Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut (którego teraz zabrakło). Dołącz też plik fixlog.txt.

System jest zainfekowany przez adware. Widoczne tutaj to m.in UCBrowser, SafeFinder, Albireo. Oprócz tego są również pojedyncze modyfikacje np. polityk grup, WMI, lokalizacji itp. Dodatkowo zauważyłem w Twoim systemie martwe elementy programu SpyHunter - to wyrób o wątpliwej reputacji, więc, aby się go pozbyć w całości proponuję użyć SpyHunterClener. Chciałbym również, abyś przeczytał poniższy obszerny artykuł, który w przyszłości może ochronić Cię przed ponowną wizytą w tym dziale Portale z oprogramowaniem / Instalatory - na co uważać 1. Deinstalacje. Za pomocą Program Install and Uninstall Troubleshooter odinstaluj adware SafeFinder * . Wejdź do folderu C:\Program Files (x86)\UCBrowser i z jego poziomu spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe) *. Sugeruję pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {2F28A952-D70C-4648-ADF3-5F0CCF20A304} - System32\Tasks\AutoPico Daily Restart => C:\Users\FSX\Desktop\Portable\AutoPico.exe Task: {42A1FC8E-9817-4C17-ABA5-09EA91D80489} - System32\Tasks\{B7B447C5-67E6-437D-B587-AAD0248A14A2} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Fresh-Com\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Fresh-Com\uninstall.dat" -a uninstallme 071CDB9C-B6AB-4E5C-A410-76ACBA8EA7E8 DeviceId=c46eeb73-e710-ca64-1ed0-2af895df0517 BarcodeId=51749003 ChannelId=3 DistributerName=APSFBcnmonetize Task: {621A0419-6C97-4C0A-8F18-6238D62F7E2A} - System32\Tasks\RPN RegSnap => Rundll32.exe "C:\Program Files\RPN RegSnap\RPN RegSnap.dll",FQpBZp Task: {7696A3AB-954C-4752-92CF-6E8044415A0B} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: {7DB04FFB-37F1-4E50-A829-F6CB167E4504} - System32\Tasks\Symbillar Scheduler => Rundll32.exe "C:\Program Files\Symbillar Scheduler\Symbillar Scheduler.dll",GgsRxsiCn Task: {8B5FAFC9-E7E2-4C2C-86F3-976F288D95AD} - \{040A0847-0A7E-0D7A-7D11-0E04787A117A} -> Brak pliku Task: {A32EAC54-6C79-44BC-863A-118073741AA6} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe Task: {D328B67B-F9A0-4F3B-853B-2D52F3B35A04} - System32\Tasks\E3605470-291B-44EB-8648-745EE356599A => Rundll32.exe "C:\Program Files (x86)\YubeAlckU\iuQhMgB.dll",#1 Task: {D8013A39-8068-4CAD-B5C4-90C4A85F482D} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: {E1A9BD0B-096F-4D53-8148-8C3BD60E4348} - System32\Tasks\E3605470-291B-44EB-8648-745EE356599A2 => Rundll32.exe "C:\Program Files (x86)\YubeAlckU\iuQhMgB.dll",#1 Task: C:\WINDOWS\Tasks\E3605470-291B-44EB-8648-745EE356599A.job => C:\Program Files (x86)\YubeAlckU\iuQhMgB.dll Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe C:\Program Files\RPN RegSnap C:\Program Files\Symbillar Scheduler C:\Program Files (x86)\UCBrowser C:\Program Files (x86)\YubeAlckU WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\FSX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\FSX\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\FSX\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\FSX\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\FSX\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\FSX\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/ C:\Users\FSX\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk HKLM\...\StartupApproved\Run: => "Malwarebytes TrayApp" HKU\S-1-5-21-3145106597-2943682012-1353001551-1001\...\StartupApproved\Run: => "'4HeFx#tH0.exe" C:\Program Files\Windows Media Player\DETKPJGAUJO1C57UUH2TP90HFZAZ9UKBS8IOKS2NS0IFYPYOT HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [JzShlobj] -> {9A0700D2-920A-4E52-8697-9B5230C92612} => C:\Program Files (x86)\Maoha\JiSuZip\JZipExt.dll -> Brak pliku C:\Program Files (x86)\Maoha GroupPolicy: Ograniczenia - Chrome GroupPolicyScripts-x32: Ograniczenia GroupPolicyScripts-x32\User: Ograniczenia HKU\S-1-5-21-3145106597-2943682012-1353001551-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iY3AhIJvu_GKNPKQAGpaHsTBZ4Yi50GKpHmigIbJkSZuyGhcI3YK3Fo98afip1ql9S4JbTFNtPcuV5kqpIBUn28V0xhtFTOtBosb-Hf1o_htI45HfUY0w_ZHHvHcVLoNGuxnIO0iyAtFflu5ULmRCMHXjgQgKeO1rnNcIAhNQA,&q={searchTerms} HKU\S-1-5-21-3145106597-2943682012-1353001551-1001\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> {0BBF3F7A-D636-4961-AA68-F4EB8EE7D453} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk1-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-3145106597-2943682012-1353001551-1001 -> {0BBF3F7A-D636-4961-AA68-F4EB8EE7D453} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk1-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} CHR HKLM\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx CHR HKU\S-1-5-21-3145106597-2943682012-1353001551-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx S2 FSLabs Service; C:\Program Files (x86)\FlightSimLabs\FSLSpotLights\FSLService\FSLService.exe [X] S2 UCBrowserSvc; "C:\Program Files (x86)\UCBrowser\Application\UCService.exe" [X] R1 cytdsk; C:\WINDOWS\System32\drivers\cytdsk.sys [195496 2017-06-13] () C:\WINDOWS\System32\drivers\cytdsk.sys U0 aswVmm; Brak ImagePath S1 ucdrv; \??\C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [25444] AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1498914] AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1223458] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\unEZCA2.exe C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\dbg C:\Users\FSX\AppData\Local\69ff07055291669bb2b218.72821112 C:\Users\FSX\AppData\Local\agent.dat C:\Users\FSX\AppData\Local\Config.xml C:\Users\FSX\AppData\Local\Greenfax.exe C:\Users\FSX\AppData\Local\Greenfax.tst C:\Users\FSX\AppData\Local\installer.dat C:\Users\FSX\AppData\Local\Joytom.bin C:\Users\FSX\AppData\Local\Main.dat C:\Users\FSX\AppData\Local\md.xml C:\Users\FSX\AppData\Local\noah.dat C:\Users\FSX\AppData\Local\ScotString.bin C:\Users\FSX\AppData\Local\test_db_cara.db C:\Users\FSX\AppData\Local\uninstall_temp.ico C:\Users\FSX\AppData\Local\Mozilla C:\Users\FSX\AppData\Roaming\Mozilla C:\WINDOWS\SECOH-QAD.exe C:\WINDOWS\SECOH-QAD.dll C:\WINDOWS\system32\Drivers\390823F7.sys C:\WINDOWS\system32\Drivers\4B69379C.sys C:\WINDOWS\system32\Drivers\vcdrom.sys C:\WINDOWS\system32\Drivers\WinDivert64.sys CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. Dołącz też plik fixlog.txt. ------ * 1 - jeśli nie pójdzie to zrobisz to z poziomu panelu sterowania. * 2 - jeśli pojawią się problemy to pominiesz ten podpunkt, bo skrypt w następnym punkcie usunie jego widoczne elementy.

W takim razie kończymy. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne / Windows. Zamykam.

Jedyne co mi jeszcze przychodzi do głowy, żeby usunąć gada to chyba jedynie z poziomu środowiska zewnętrznego WinRe (wtedy obrona klucza nam może skoczyć). Skonsultuje się z picasso i nie wykluczone, że ona przejmie sterty.

1. Uruchom Registry DeleteEx *. Zaznacz opcję "Recursively delete all subkeys". W pasku adresów wklej poniższy klucz i usuń go. HKLM\SYSTEM\CurrentControlSet\Services\drmkpro64 Zresetuj system. 2. Wykonaj skrypt FRST, ten sam, co w pkt. 1 mojego 1 posta. Dostarcz Fixlog. 3. Zrób nowy zestaw raportów FRST. * Jeśli będzie problem to usuń, następnie pobierz jeszcze raz i przed uruchomieniem zmień nazwę np. na asd123 (i zostawiasz .exe).

Zagrożenie wykryte przez AdwCleaner daj do kasacji, a następnie podsumuj obecny stan systemu.

W imieniu całego zespołu Fixitpc bardzo dziękuję za wsparcie Temat zamykam.

Bez wątpienie to gadzina niezła jest, bo znowu nie chcę się usunąć (nałożyła blokady). Teraz się uda na bank. 1. Odładuj pamięciowe elementy Trojan.SmartService za pomocą narzędzia RKill (nie wolno Ci po tym zabiegu zrestartować systemu!). 2. Wykonaj skrypt z mojego poprzedniego posta (pkt. 1).

Ale wypluł Fixlog? Jeśli nie to uruchom system ponownie i użyj skryptu jeszcze raz.

Już moglibyśmy kończyć temat, gdyby nie to, że głowna gwiazda wieczoru, czyli Trojan.SmartService to twardy zawodnik. Spróbujemy potraktować skyptem wykonanym z poziomu Tryby Awaryjnego. Reszta działań została pomyślnie wykonana, a uBlock może być blokowany przez omawianego nieproszonego gościa. Browser-Security zniknął również z raportów, więc to była tylko resztka. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe HKLM-x32\...\Run: [cpx] => "C:\Users\Kacper\AppData\Local\ntuserlitelist\cpx\cpx.exe" -starup <===== UWAGA HKLM-x32\...\Run: [svcvmx] => "C:\Users\Kacper\AppData\Local\ntuserlitelist\svcvmx\svcvmx.exe" -starup RemoveDirectory: C:\Users\Kacper\AppData\Local\ntuserlitelist S2 Dataup; C:\Users\Kacper\AppData\Local\ntuserlitelist\dataup\dataup.exe [X] <==== UWAGA S2 windowsmanagementservice; C:\Users\Kacper\AppData\Local\fdceag\ct.exe [X] <==== UWAGA RemoveDirectory: C:\Users\Kacper\AppData\Local\fdceag Unlock: HKLM\SYSTEM\ControlSet001\Services\drmkpro64 R5 drmkpro64; EmptyTemp: Z klawiatury CTRL+S, by zapisać zmiany. Wejdź w Tryb awaryjny Windows *. Uruchom FRST i kliknij Napraw (Fix). Nastąpi restart, opuść tryb awaryjny. Powstanie kolejny fixlog.txt. * Przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > Tryb awaryjny. 2. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, już bez Shortcut. Dołącz też plik fixlog.txt.

Widzisz - na tym forum czasem i userzy proszący o pomoc mogą pomóc innym. Skąd przecież musimy brać dane Wszystko pomyślnie wykonane, tym samym wszystko zostało wyczyszczone. Małe poprawki kończące oraz skan potwierdzający wynik dezynfekcji. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: DeleteKey: HKU\S-1-5-21-409928750-3168526246-4082151387-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\e04bcfda_0 DeleteValue: HKU\S-1-5-21-409928750-3168526246-4082151387-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache|C:\Program Files (x86)\Eastness\Application\chrome.exe Toolbar: HKU\S-1-5-21-409928750-3168526246-4082151387-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] DeleteQuarantine: Z klawiatury CTRL+S, by zapisać zmiany. Wyłącz COMODO na czas operacji, by nie zablokował zmian. Następnie w oknie FRST klik w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Oczyść) i dostarcz log z folderu C:\AdwCleaner.

Infekcja adware dodała wpis w Harmonogramie Zadań oraz na powłoce startowej uruchamiający przeglądarkę ze śmieciową stroną. Poniższe zadania wyczyszczą system. 1. Sugeruję pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: Task: {68112462-87C9-4FC9-B4CA-A6D25CC404F8} - System32\Tasks\jhg => cmd.exe "/c start hxxp://yocoursenews.net/jhg /min /b" MSCONFIG\startupreg: 8ABE0BF8F314ABC6125F4F3A94C39AEE3CABBFD0._service_run => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --type=service /prefetch:8 S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\DOM\AppData\Local\Mozilla C:\Users\DOM\AppData\Roaming\Mozilla C:\Users\DOM\AppData\Roaming\Profiles Hosts: EmptyTemp: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. Uruchom AdwCleaner z opcji Szukaj (nie stosuj Oczyść). Po zakończeniu zadania wydobądź raport znajdujący się w C:\AdwCleaner. 4. Zrób nowy zestaw raportów: FRST, Addition oraz Shortcut, którego teraz tu zabrakło.

FireFox wcale nie został usunięty, tylko Ci się tak wydaję, bo dotychczasowo przez infekcję systemu korzystałeś z podróbki. Oryginalna wersja była usilnie zamaskowana przez adware. Deinstalacja nie rusza profili, więc musisz powtórzyć działanie z profilem ponownie (patrz pkt. 2 w tym poście). Reszta pomyślnie wykonana, teraz musimy dobić i pominięte przeze mnie elementy za pierwszym razem. Niektóre elementy usuną się ponownie, bo wcześniej popełniłeś literówkę i nie wykonało się to tj. powinno. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\...\RunOnce: [AND-KOMPUTER] => C:\Windows\TEMP\gC36D.tmp.exe [239104 2017-06-19] () HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] R2 swpvr; C:\ProgramData\Microsoft\Software\Shadow\Provider.dll [122880 2017-05-17] (TODO: ) [brak podpisu cyfrowego] C:\ProgramData\Microsoft\Software IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe MSCONFIG\startupfolder: C:^Users^And^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^x.vbs => C:\Windows\pss\x.vbs.Startup MSCONFIG\startupfolder: C:^Users^And^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^z.vbs => C:\Windows\pss\z.vbs.Startup 2017-06-01 09:12 - 2017-06-01 09:12 - 00000000 ____D C:\Users\Public\Documents\chrome 2017-06-19 11:39 - 2017-05-12 12:26 - 00000000 _____ C:\Users\Public\Documents\report.dat 2017-06-19 11:20 - 2017-05-12 12:26 - 00006566 _____ C:\Users\Public\Documents\temp.dat 2017-06-02 13:08 - 2017-05-17 10:48 - 00000000 ____D C:\Users\And\AppData\Roaming\WinSAPSvc 2017-05-24 11:08 - 2017-05-12 12:26 - 00000000 _____ C:\Windows\SysWOW64\1111 FF HKLM-x32\...\Firefox\Extensions: [{F003DA68-8256-4b37-A6C4-350FA04494DF}] - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt FF HKLM-x32\...\Firefox\Extensions: [quickprint@hp.com] - C:\Program Files (x86)\Hewlett-Packard\SmartPrint\QPExtension FF HKLM-x32\...\Firefox\Extensions: [arthurj8283@gmail.com] - C:\Users\And\AppData\Roaming\Mozilla\Firefox\Profiles\e3mbqcik.default-1494836737585\extensions\arthurj8283@gmail.com C:\Users\And\Desktop\Avira PC Cleaner.lnk C:\Users\And\Desktop\Remove Avira PC Cleaner.lnk DeleteKey: HKEY_USERS\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\b8ade3e_0 DeleteValue: HKEY_USERS\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache|C:\Program Files (x86)\Firefox\Firefox.exe=Firefox DeleteValue: HKEY_USERS\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Classes\FirefoxURL\shell\open\command|C:\Program Files (x86)\Firefox\Firefox.exe -osint -url %1 DeleteValue: HKEY_USERS\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Classes\FirefoxURL\DefaultIcon|C:\Program Files (x86)\Firefox\Firefox.exe,1 DeleteValue: HKEY_USERS\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Mozilla\Firefox\OldDefaultBrowserCommand|C:\Program Files (x86)\Firefox\Firefox.exe -osint -url %1 DeleteValue: HKEY_USERS\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted|C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe=1 DeleteKey: HKEY_USERS\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\651b31f_0 DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Firefox\InstallInfo|ShowIconsCommand=C:\Program Files (x86)\Firefox\Firefox.exe -ShowIconsCommand DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Firefox\InstallInfo|ReinstallCommand=C:\Program Files (x86)\Firefox\Firefox.exe -ReinstallCommand DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Firefox\InstallInfo|HideIconsCommand=C:\Program Files (x86)\Firefox\Firefox.exe -HideIconsCommand DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Firefox\DefaultIcon|C:\Program Files (x86)\Firefox\Firefox.exe,0 DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Firefox\Capabilities|ApplicationIcon=C:\Program Files (x86)\Firefox\Firefox.exe,0 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Kliknij klawisz z flagą Windows + R > wklej komendę "C:\Program files (x86)\Mozilla Firefox\firefox.exe" -p lub "C:\Program Files\Mozilla Firefox\firefox.exe" -p > załóż nowy profil, wszystkie poprzednie skasuj. 3. Usunąłem diagnostykę, bo picasso właśnie zawiadomiła mi, że inny user podesłał jej plik. W związku z przeprowadzeniem analizy wirusa przez picasso, zalecana jest kompleksowa reinstalacja przeglądarki, by usuną tą modyfikację. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.